Cuộc tấn công trên diện rộng ngày 21/10/2016 đã gây ra sự cố mất truy cập Internet diện rộng nhằm vào nhà cung cấp Dyn, làm mất kiểm soát hàng triệu thiết bị gia dụng thông minh ở 164 nước. Nguyên nhân là do các router, các camera và các ổ DVR vẫn đang sử dụng các mật khẩu mặc định. Sau khi mã độc Mirai dò tìm thấy các thiết bị này, nó sẽ thực hiện việc xâm nhập vào chiếm quyền điều khiển, biến các thiết bị này thành “bot mắt xích” trong chuỗi mạng ma botnet và tạo nên các cuộc tấn công từ chối dịch vụ (DDoS).

Tuy nhiên, sau khi xem xét kỹ mã nguồn này, nhà nghiên cứu Scott Tenaglia tại hãng bảo mật Invincea đã phát hiện ra một lỗ hổng làm tràn bộ đệm ngăn xếp (stack buffer overflow) trong một đoạn code của Mirai. Lỗ hổng này được sử dụng để thực hiện các cuộc tấn công làm tràn mục tiêu bằng truy vấn HTTP. Nếu các nhà nghiên cứu thực hiện việc khai thác lỗ hổng này có thể đánh sập quá trình DDoS của Mirai và giải thoát cho các thiết bị nạn nhân của nó mà không làm ảnh hưởng gì đến chức năng căn bản của thiết bị. Tenaglia cho biết: “Cho dù nó không thể sử dụng để loại bỏ bot ra khỏi thiết bị IoT, nó cũng có thể được sử dụng để ngăn chặn khởi nguồn của cuộc tấn công từ thiết bị cụ thể đó”.

Mặc dù nghiên cứu chỉ ra rằng kết quả có thể giúp nhiều nhà sản xuất và người dùng có biện pháp phòng vệ trước các cuộc tấn công xảy ra trong tương lai, tuy nhiên, nó cũng bị trở ngại về mặt pháp lý, bởi hack là phạm pháp.

Vì sao phòng vệ bằng hack ngược không khả thi?

Hack ngược là khai thác lỗ hổng và xâm nhập thêm lần nữa vào hàng loạt thiết bị IoT, nghĩa là tạo ra các thay đổi trên hệ thống thuộc hàng loạt quốc gia khác nhau mà không có sự cho phép từ người sở hữu thiết bị, một nhà cung cấp dịch vụ hay một nhà mạng nào. Hơn nữa, nhà nghiên cứu cũng đã tuyên bố từ chối mọi trách nhiệm có thể xảy ra đối với việc thực hiện nghiên cứu của mình. Họ cũng không hoàn toàn ủng hộ việc “phòng vệ kiểu phản công” này.

Mặc dù có những trở ngại về pháp lý, tuy nhiên trong quá khứ đã có tiền lệ hacker mũ trắng được cơ quan hành pháp cho phép thực thi việc hack hệ thống nhằm đưa các thiết bị tránh khỏi tình trạng bị khai thác làm công cụ phạm tội.

Vào tháng 9/2016, cuộc tấn công DDoS trước đó có nguồn gốc từ botnet Mirai đã tấn công nhà cung cấp dịch vụ Internet và hosting của Pháp OVH với băng thông rác lên đến 1 Tbps, lưu lượng lớn nhất cho một cuộc tấn công DDoS từ trước đến nay.