Theo Microsoft, Vista là hệ điều hành (HĐH) an toàn nhất từ trước đến nay của hãng. Windows Vista hứa hẹn khóa chặt PC và tạo nên kỷ nguyên "điện toán an toàn" và những phần mềm phá hoại (malware) hung hăng trở thành chuyện của quá khứ.
Tuy nhiên, chỉ 3 tháng sau khi HĐH này chính thức tung ra thị trường, đã nảy sinh nhiều vấn đề. Các hãng phát triển phần mềm chống malware, giới hacker và các chuyên gia bảo mật đã đưa ra những nghi ngờ về tính hiệu quả của các giải pháp bảo mật của Microsoft, thậm chí có người còn cho rằng mô hình bảo mật của Vista chỉ là "trò đùa".
Microsoft luôn là mục tiêu hấp dẫn, đặc biệt khi hãng đưa ra những tuyên bố "quá đà”. Sự thật thì những thử nghiệm đầu tiên cho thấy Vista an toàn hơn nhiều so với các phiên bản Windows trước đây. Nhưng điều đó không có nghĩa HĐH mới này đánh dấu sự kết thúc những nỗi lo bảo mật của Windows. Một số phiền phức cho các nhà quản trị IT sẽ giảm đi, nhưng những điểm yếu và cách khắc phục vẫn là mối bận tâm hàng đầu.
Không cần quản trị
Một trong những cải tiến bảo mật được tán dương nhiều nhất của Vista lại bị phê phán nhiều nhất. UAC (User Account Control) nhằm giải quyết một lỗ hổng thâm niên trong cách thức Windows kiểm soát quyền của người dùng, nhưng những người không ưa nói rằng nó không đủ mạnh và không hiệu quả do thiết kế không thích hợp.
Tệ hơn, sự lơ là của Microsoft về quyền người dùng khuyến khích các hãng phần mềm độc lập sử dụng cẩu thả, dùng những cách thức lập trình không an toàn làm vấn đề càng trầm trọng thêm. Nhiều ứng dụng Windows không chịu làm việc trừ phi chúng được phép chạy với quyền quản trị đầy đủ - nghĩa là chạy với cách thức ít an toàn nhất.
UAC cố gắng sửa chữa thói quen xấu này, mặc định chạy phần mềm với quyền tiết giảm. Khi một ứng dụng cố làm điều gì đó yêu cầu quyền quản trị, UAC sẽ nhắc nhở người dùng với hộp thoại hỏi xem có cho phép "nâng" ứng dụng lên cấp có quyền cao hơn hay không.
Không may, UAC có kẽ hở. Trên blog của mình, Joanna Rutkowska đưa ra chi tiết nhiều lỗ hổng của UAC Vista có nguy cơ bị khai thác. Ví dụ, các trình cài đặt phần mềm luôn được phép chạy với quyền quản trị đầy đủ như trong các phiên bản Windows cũ. Thêm nữa, Ollie Whitehouse, chuyên gia bảo mật của Symantec, còn chỉ ra các tập tin thực thi được cung cấp cùng với Vista có thể dùng để "qua mặt" UAC. Như vậy các vấn đề liên quan đến tài khoản quản trị vẫn còn đó.
Tuy nhiên, không chỉ có kẽ hở lập trình qua mặt cơ chế bảo vệ của UAC, mà các hộp thoại xác nhận của UAC có thể phiền toái và hơi khó hiểu. Người dùng có thể tìm cách cấm UAC để khỏi phiền toái, hay có thể coi thường thông điệp cảnh báo và nhấn OK mà không thèm suy nghĩ. Hơn nữa, họ còn có thể dễ dàng bị lừa bởi những chiêu thức tâm lý hay giả mạo.
Theo tài liệu về UAC của Microsoft: "Windows Vista cung cấp nhiều tính năng để bảo vệ hệ thống của bạn, nhưng nó yêu cầu việc sử dụng đúng đắn. Việc bảo vệ an toàn hệ thống của bạn tùy thuộc vào hành vi của bạn, vì vậy hãy suy nghĩ trước khi nhấn". Nói cách khác, UAC đặt trách nhiệm về sự an toàn của hệ thống vào tay người dùng - điều khó an toàn tuyệt đối.
Thực sự, Microsoft không khuyến khích khách hàng nghĩ UAC như là màn chắn bảo vệ rõ ràng - và vì vậy, như Rutkowska ghi, hãng không xem các kẽ hở trong việc thực hiện UAC là lỗ hổng bảo mật.
Cần tinh chỉnh
Microsoft còn bổ sung nhiều tính năng khác cho Windows Vista ngoài UAC, nhiều tính năng trong số đó nhằm tăng tính bảo mật toàn diện cho HĐH. Nhưng nếu xem xét kỹ thì những phần bổ sung này chỉ là những cải tiến nhỏ so với các phiên bản Windows trước.
Một chương trình mới có tên là Windows Defender thêm khả năng phòng chống malware cho Windows, nhưng nó chủ yếu nhắm đến người dùng thông thường và cho đến nay dường như không tốt bằng các phần mềm khác hiện có cho XP. Theo Webroot, hãng cung cấp phần mềm chống malware cạnh tranh, Windows Defender bỏ sót nhiều spyware. Tệ hơn, hồi tháng 2, Windows Defender bị phát hiện chính là kẽ hở để tấn công Vista, do có một điểm yếu có thể khai thác trong cơ chế phát hiện malware. Tương tự, tuy Vista có tính năng mã hoá ổ cứng gọi là BitLocker nhưng nó mặc định không hoạt động, khả năng bảo vệ chống lại các kỹ thuật giám định máy tính hiện đại vẫn còn đáng ngờ.
Tệ hơn hết, một số tính năng mới thêm vào Vista thực ra lại gây bất lợi cho việc bảo mật tổng thể. Hồi tháng 1, tính năng nhận dạng tiếng nói của Vista bị phát hiện có thể lợi dụng để truy cập (có hạn chế) hệ thống máy tính từ xa, cho phép xóa file bất kỳ.
Kẻ thù bên ngoài
Kẽ hở nhận dạng tiếng nói của Vista nêu lên một điểm yếu trầm trọng. Như với các phiên bản Windows trước đây, hầu hết các cuộc tấn công vào các hệ thống chạy Windows Vista sẽ không khai thác bản thân HĐH, mà là các ứng dụng chạy trên HĐH.
Microsoft thực sự đã tạo nên những cải tiến đáng kể cho Windows Vista, nó được thiết kế để hạn chế một số dạng điểm yếu ứng dụng thông dụng nhất. Một loạt kỹ thuật mới gây khó khăn hơn cho hacker khi khai thác những lỗi quen thuộc bằng cách che khuất không gian địa chỉ bộ nhớ và bảo vệ chống truy cập nhân HĐH. Nghiên cứu ban đầu của Symantec cho thấy Vista vẫn dễ tổn thương trước một số dạng tấn công nhưng kết luận rằng "phương thức bảo vệ này đạt được nhiều mục tiêu bảo mật mà Microsoft đặt ra".
Việc sử dụng .Net như là mô hình phát triển chủ đạo cho Windows Vista cũng giúp tăng cường bảo mật. Mã lệnh được kiểm soát và các tính năng "đóng" an toàn của nền tảng .Net bảo vệ các nhà phát triển khỏi những lỗi lập trình thông thường có thể tạo nên những điểm yếu dễ bị khai thác. Tuy nhiên, điểm yếu cơ bản của các công nghệ này là yêu cầu phải viết lại mã lệnh chương trình. Các ứng dụng truyền thống không tuân theo mô hình bảo mật mới của Vista sẽ vẫn dễ bị tổn thương.
Cho đến khi các ứng dụng cũ được nâng cấp để khai thác các công nghệ bảo mật mới nhất của Microsoft, người dùng sẽ không được lợi gì nhiều khi chạy chúng trên Vista ngoài cái được UAC cung cấp. Mặc dù Microsoft đã thực hiện những cải tiến đáng kể, nhưng Vista không phải liều thuốc thần để tạo nên môi trường điện toán an toàn.
| Bảo mật Longhorn đầy hứa hẹn |
Những tiến bộ về bảo mật của Vista có thể nhiều tham vọng, nhưng chúng dường như nhỏ nhoi so với bảo mật của Longhorn. Người ta thấy vào cuối năm rồi, Longhorn vẫn còn là phiên bản "tiền thử nghiệm" - prebeta 3, nhưng bảo mật của nó đầy hứa hẹn. |
Cách thức an toàn
Russ Humphries, giám đốc chương trình bảo mật Windows Vista, nói: "Chúng tôi tự tin cho rằng Windows Vista là phiên bản an toàn nhất của Windows cho đến nay. Tuy nhiên, điều quan trọng cần lưu ý là không có HĐH nào an toàn tuyệt đối".
Tóm lại, Windows Vista không an toàn tuyệt đối nhưng cũng không dễ bị tấn công. Các tiến bộ công nghệ trong HĐH đem lại những lợi ích bảo mật thật sự, nhưng Microsoft cũng nhìn nhận các sản phẩm bảo mật và chống malware khác vẫn có ích cho người dùng Vista như với các phiên bản Windows trước đây.
Như thường lệ với các HĐH Microsoft, có lẽ điểm yếu lớn nhất của Vista nằm ở chỗ mong muốn tương thích ngược. Hầu hết các điểm yếu được phát hiện trong Vista cho đến nay đều khai thác những ứng dụng truyền thống không áp dụng mô hình bảo mật Windows mới. Ngay cả bản thân UAC cũng là một sự thoả hiệp với các phương thức cũ.
Doanh nghiệp càng áp dụng sớm những công nghệ Windows mới thì họ càng sớm hưởng lợi từ những cải tiến công nghệ của Microsoft trong lĩnh vực bảo mật. Bất kỳ ở đâu có thể, các ứng dụng thông thường nên chuyển sang mã lệnh có kiểm soát và nền .Net, và nên để mắt đến các phương thức và thư viện bảo mật mới của Windows.
Thiết lập bảo mật cụ thể tùy thuộc vào yêu cầu bảo mật của mỗi doanh nghiệp, nhưng nhìn chung để bảo mật hiệu quả trên Windows Vista vẫn phải có sự kết hợp của việc giám sát, tuân thủ các chính sách bảo mật, các công cụ bảo mật và chống malware của hãng thứ ba - nói cách khác, vẫn như cũ. Vista có cải tiến bảo mật đáng kể so với Windows XP, nhưng rốt cuộc, nó vẫn là Windows.
Bảo mật chập chững bước
|
Nguyễn Lê