Phần mềm diệt virus nguy hiểm hơn virus?

14:02 | 04/07/2009

Do phải phụ thuộc vào nhiều giai đoạn như lấy mẫu, phân tích, viết chương trình và kiểm thử…, nên hầu hết phần mềm diệt virus thường cập nhật version mới sau khi một loại virus nhất định xuất hiện. Càng ngày virus xuất hiện càng nhiều mà các phần mềm diệt virus thì cũng khó có thể dò quét triệt để các loại virus khác nhau.


Do phải phụ thuộc vào nhiều giai đoạn như lấy mẫu, phân tích, viết chương trình và kiểm thử…, nên hầu hết phần mềm diệt virus thường cập nhật version mới sau khi một loại virus nhất định xuất hiện. Càng ngày virus xuất hiện càng nhiều mà các phần mềm diệt virus thì cũng khó có thể dò quét triệt để các loại virus khác nhau. Do vậy, nhiều người cho rằng nên dùng nhiều phần mềm diệt virus để bổ trợ cho nhau (kiểu “lọt sàng xuống nia”). Tuy nhiên, các chuyên gia khuyên không nên làm điều đó.
Trước hết, các phần mềm diệt virus thường khó chung sống “hoà bình” vì:
- Lý do thương mại: các phần mềm diệt virus cạnh tranh với nhau thường yêu cầu người dùng gỡ bỏ phần mềm diệt virus đang cài đặt trên máy tính trước khi cho phép cài đặt.
- Lý do kỹ thuật: các phần mềm diệt virus luôn cần quyền kiểm soát cao nhất và không được thiết kế để làm việc trong môi trường do phần mềm diệt virus khác kiểm soát nên rất dễ xung đột hay nhận nhầm “đồng nghiệp” là mã độc.
Thứ hai, hầu hết mọi người đều cho rằng bản thân các phần mềm diệt virus/phần mềm bảo mật là an toàn, trong khi chúng chứa rất nhiều lỗ hổng bảo mật và có thể là điểm yếu mà các loại mã độc có thể lợi dụng để tấn công hệ thống. Trong bài trình diễn tại Hội thảo Hack.lu 2007, hai chuyên gia bảo mật của công ty n.runs là Sergio Alvarez và Thierry Zoller đã cảnh báo các nhà cung cấp phần mềm diệt virus về khoảng 800 lỗ hổng bảo mật trong các sản phẩm của các công ty đó (và chỉ riêng trong năm 2007, số lượng cảnh báo cũng lên tới hơn 30).



Các lỗ hổng trong phần mềm diệt virus quý 1 năm 2008 (số liệu của trường Michigan)
Trong quá trình dò quét, các phần mềm diệt virus đều cố gắng phát hiện được càng nhiều mã độc càng tốt, do đó chúng phải quét một số lượng lớn định dạng tệp (Kaspersky tuyên bố có khả năng dò quét hơn 3000 định dạng). Quá trình duyệt các tệp khác nhau, phân tách chúng thành các khối dữ liệu rất phức tạp cùng với áp lực phải chạy đua với thời gian khiến cho các lỗ hổng bảo mật xuất hiện liên tục trong chương trình nguồn của các phần mềm diệt virus. Những thư viện từ hàng chục năm trước được sử dụng lại mà không qua kiểm tra khiến những lỗ hổng đã phát hiện trước đó tiếp tục xuất hiện trong cả những phần mềm phiên bản mới.



Các lỗ hổng trong phần mềm diệt virus 2005/2007 (phân loại theo tác động)
Những điều này dẫn đến một nghịch lý là chúng ta càng cố gắng bảo vệ máy tính bằng các phần mềm bảo mật thì có thể nguy cơ đối với bảo mật cũng tăng lên. Các nghiên cứu của trường đại học Michigan (Mỹ) cho thấy lỗ hổng bảo mật xuất hiện ngày càng nhiều trong các phần mềm diệt virus. Trong khoảng thời gian từ 2002 đến 2005 có 50 cảnh báo về các điểm yếu trong phần mềm diệt virus, nhưng từ năm 2005 đến 2007, con số này đã tăng lên 170 (tăng 240%).
Danh sách các nhà cung cấp phần mềm diệt virus có lỗ hổng bảo mật nghiêm trọng mà Sergio Alvarez và Thierry Zoller nêu ra rất dài, với đầy đủ những cái tên quen thuộc thuộc trên thì trường. Phần mềm diệt virus của Việt Nam chưa xuất hiện ở đây, có lẽ do chúng chưa được các chuyên gia để mắt tới.
Các chuyên gia cho rằng: khả năng xấu nhất có thể xảy ra là khi chính những phần mềm diệt virus có thể trở thành cầu nối cho mã độc tấn công vào hệ thống. Tin tặc có thể tạo ra những tệp có cấu trúc đặc biệt chỉ phát huy tác dụng khi được phần mềm diệt virus đọc đến để lợi dụng quyền quản trị hệ thống. Nguy hiểm hơn, nếu mã độc được thực thi ngay trên máy chủ mail thì tác hại chắc chắn lớn hơn nhiều so với việc virus xuất hiện ở một vài PC.

George Ou, Giám đốc kỹ thuật của ZDNet viết rằng: “Chạy phần mềm diệt virus trên máy tính cá nhân cũng giống như để đội dò bom mìn kiểm tra những vật khả nghi (có khả năng chứa bom) trong nhà bạn. Dù họ có giỏi và cẩn thận đến đâu thì cũng có ngày họ phạm sai lầm”. Suy rộng ra, việc cài đặt phần mềm diệt virus ở khắp nơi cũng có nghĩa là chúng ta đang cho phép các chuyên gia “kiểm tra bom” ở tất cả các nơi. Theo ông, cần xem xét lại sự cần thiết khi cài đặt chương trình diệt virus ở máy tính cá nhân và các máy chủ. Việc quét virus cần được thực hiện tại các gateway trước khi chúng tới được mạng nội bộ và gửi những tệp nghi ngờ tới các máy chủ “sand box” để chúng được kiểm tra tại đó trước khi sử dụng. Nhưng vì khái niệm vành đai của hệ thống mạng ngày càng “mờ dần” và có rất nhiều thứ cần được kiểm tra trên từng máy tính, nên chúng ta không có nhiều lựa chọn để thoát khỏi nghịch lý đáng sợ mà các phần mềm bảo mật nói chung cũng như các phần mềm diệt virus nói riêng đem tới. Chúng ta chỉ có cách lựa chọn phần mềm bảo mật cẩn thận hơn và gây sức ép buộc các nhà cung cấp phần mềm bảo mật siết chặt quy trình lập trình/kiểm thử của họ