Phần mềm diệt virus nguy hiểm hơn virus?
Do phải phụ thuộc vào nhiều giai đoạn như lấy mẫu, phân tích, viết chương trình và kiểm thử…, nên hầu hết phần mềm diệt virus thường cập nhật version mới sau khi một loại virus nhất định xuất hiện. Càng ngày virus xuất hiện càng nhiều mà các phần mềm diệt virus thì cũng khó có thể dò quét triệt để các loại virus khác nhau. Do vậy, nhiều người cho rằng nên dùng nhiều phần mềm diệt virus để bổ trợ cho nhau (kiểu “lọt sàng xuống nia”). Tuy nhiên, các chuyên gia khuyên không nên làm điều đó.
Trước hết, các phần mềm diệt virus thường khó chung sống “hoà bình” vì:
- Lý do thương mại: các phần mềm diệt virus cạnh tranh với nhau thường yêu cầu người dùng gỡ bỏ phần mềm diệt virus đang cài đặt trên máy tính trước khi cho phép cài đặt.
- Lý do kỹ thuật: các phần mềm diệt virus luôn cần quyền kiểm soát cao nhất và không được thiết kế để làm việc trong môi trường do phần mềm diệt virus khác kiểm soát nên rất dễ xung đột hay nhận nhầm “đồng nghiệp” là mã độc.
Thứ hai, hầu hết mọi người đều cho rằng bản thân các phần mềm diệt virus/phần mềm bảo mật là an toàn, trong khi chúng chứa rất nhiều lỗ hổng bảo mật và có thể là điểm yếu mà các loại mã độc có thể lợi dụng để tấn công hệ thống. Trong bài trình diễn tại Hội thảo Hack.lu 2007, hai chuyên gia bảo mật của công ty n.runs là Sergio Alvarez và Thierry Zoller đã cảnh báo các nhà cung cấp phần mềm diệt virus về khoảng 800 lỗ hổng bảo mật trong các sản phẩm của các công ty đó (và chỉ riêng trong năm 2007, số lượng cảnh báo cũng lên tới hơn 30).
Các lỗ hổng trong phần mềm diệt virus quý 1 năm 2008 (số liệu của trường Michigan)
Trong quá trình dò quét, các phần mềm diệt virus đều cố gắng phát hiện được càng nhiều mã độc càng tốt, do đó chúng phải quét một số lượng lớn định dạng tệp (Kaspersky tuyên bố có khả năng dò quét hơn 3000 định dạng). Quá trình duyệt các tệp khác nhau, phân tách chúng thành các khối dữ liệu rất phức tạp cùng với áp lực phải chạy đua với thời gian khiến cho các lỗ hổng bảo mật xuất hiện liên tục trong chương trình nguồn của các phần mềm diệt virus. Những thư viện từ hàng chục năm trước được sử dụng lại mà không qua kiểm tra khiến những lỗ hổng đã phát hiện trước đó tiếp tục xuất hiện trong cả những phần mềm phiên bản mới.
Các lỗ hổng trong phần mềm diệt virus 2005/2007 (phân loại theo tác động)
Những điều này dẫn đến một nghịch lý là chúng ta càng cố gắng bảo vệ máy tính bằng các phần mềm bảo mật thì có thể nguy cơ đối với bảo mật cũng tăng lên. Các nghiên cứu của trường đại học Michigan (Mỹ) cho thấy lỗ hổng bảo mật xuất hiện ngày càng nhiều trong các phần mềm diệt virus. Trong khoảng thời gian từ 2002 đến 2005 có 50 cảnh báo về các điểm yếu trong phần mềm diệt virus, nhưng từ năm 2005 đến 2007, con số này đã tăng lên 170 (tăng 240%).
Danh sách các nhà cung cấp phần mềm diệt virus có lỗ hổng bảo mật nghiêm trọng mà Sergio Alvarez và Thierry Zoller nêu ra rất dài, với đầy đủ những cái tên quen thuộc thuộc trên thì trường. Phần mềm diệt virus của Việt Nam chưa xuất hiện ở đây, có lẽ do chúng chưa được các chuyên gia để mắt tới.
Các chuyên gia cho rằng: khả năng xấu nhất có thể xảy ra là khi chính những phần mềm diệt virus có thể trở thành cầu nối cho mã độc tấn công vào hệ thống. Tin tặc có thể tạo ra những tệp có cấu trúc đặc biệt chỉ phát huy tác dụng khi được phần mềm diệt virus đọc đến để lợi dụng quyền quản trị hệ thống. Nguy hiểm hơn, nếu mã độc được thực thi ngay trên máy chủ mail thì tác hại chắc chắn lớn hơn nhiều so với việc virus xuất hiện ở một vài PC.
