Kỹ thuật ảo hoá chống mã độc cho Windows 10

Kỹ thuật ảo hoá nhằm ngăn ngừa mã độc từ các website đang được Microsoft phát triển và sẽ đưa vào phiên bản Windows 10 dành cho doanh nghiệp trong năm 2017, được đặt tên là Windows Defender Application Guard.

Theo thông tin trên Edge Developer Blog, Microsoft cho rằng 90% các cuộc tấn công hiện đại dùng các liên kết web để khởi xướng tấn công đánh cắp mật khẩu, cài mã độc hay lợi dụng lỗ hổng bảo mật. Phần lớn trong số đó lọt qua hàng rào bảo vệ của doanh nghiệp nhờ các thủ đoạn lừa đảo phi kỹ thuật, ví dụ như gửi thư điện tử cho nhân viên, lừa họ nhấn vào một liên kết để đọc một tài liệu quan trọng.

Để chống lại kiểu tấn công đó, Application Guard tích hợp với trình duyệt Edge trong Windows 10 và công nghệ ảo hoá Hyper-V để cô lập các trang web lừa đảo. Khi một nhân viên truy cập website không nằm trong danh sách cho phép (whitelist), Application Guard sẽ xuất hiện và chuyển phiên làm việc đó vào một hộp kín (sandbox): Application Guard tạo ra một instance Windows ở lớp phần cứng, cùng với một bản sao riêng của nhân hệ điều hành (kernel) và các dịch vụ tối thiểu cần để chạy Microsoft Edge. Bản sao này của Windows không có quyền truy cập tới môi trường làm việc của người dùng. Application Guard khoá mọi truy cập tới bộ nhớ, vùng lưu trữ trên đĩa cứng và các ứng dụng khác trên cùng hệ thống, mạng nội bộ của doanh nghiệp. Vì thế mã độc không thể truy cập bất kỳ tài nguyên quan trọng nào.

Tuy nhiên, người dùng sẽ cảm thấy bất tiện vì không thể duyệt web một cách bình thường từ môi trường ảo hoá cô lập này. Họ không thể chép và dán nội dung vào các ứng dụng khác qua Windows clipboard, không thể in nội dung của trang web.

Microsoft cho biết Windows Defender Application Guard sẽ được đưa vào kiểm thử trong chương trình Windows Insider trong vài tháng tới và sẽ có mặt trong phiên bản Windows 10 Enterprise vào năm sau.

Dịch vụ kiểm thử mờ trên “đám mây”

Tại hội thảo Ignite tại Atlanta vào tháng 9/2016, Microsoft công bố cung cấp dịch vụ trên “mây”, cho phép các lập trình viên kiểm tra các tệp ứng dụng nhị phân để phát hiện lỗi bảo mật trước khi triển khai. Được đặt tên là Dự án Springfield, dịch vụ này dùng kỹ thuật kiểm thử mờ hộp trắng (whitebox fuzzing) để phát hiện những lỗi phần mềm phổ biến mà tin tặc thường dùng để tấn công các hệ thống.

Trong các kiểm thử mờ chuẩn, các đầu vào ngẫu nghiên được sử dụng để phát hiện những trường hợp có thể phát sinh lỗi. Tuy nhiên, cách này rất khó phát hiện những lỗi ẩn sâu trong logic ứng dụng. Cách tiếp cận dựa trên phân tích mã nguồn (hay hộp trắng) sẽ xem xét logic chương trình, dùng các khoảng giá trị đầu vào để xác định xem lỗ hổng bảo mật có tồn tại hay không. 

Kiểm thử mờ hộp trắng kết hợp các khía cạnh của cả hai cách tiếp cận trên. Bắt đầu với các đầu vào mẫu, bộ kiểm thử mờ hộp trắng sinh ra tập hợp các giá trị đầu vào mới để thực thi ứng dụng, đi sâu phân tích các tiến trình. Sử dụng các kỹ thuật máy học (machine learning), hệ thống liên tiếp thực thi ứng dụng trong các phiên kiểm thử mờ khác nhau, thay đổi giá trị đầu vào dựa trên những kết quả thu được của những lần kiểm thử trước đó. 

Cách tiếp cận này tương tự như các kỹ thuật do những đội tham gia tranh tài tại cuộc thi Cyber Grand Challenge của Defense Advanced Research Projects Agency từng thực hiện. Nhà nghiên cứu Patrice Godefroid đã lãnh đạo việc phát triển công cụ kiểm thử mờ hộp trắng nội bộ SAGE của Microsoft và SAGE được dùng làm cơ sở để triển khai Dự án Springfield. 

Bản sớm nhất của SAGE đã được dùng để kiểm thử Windows 7 trước khi công bố và đã góp phần tìm ra 1/3 số lỗi được phát hiện bởi toàn bộ các công cụ kiểm thử mờ, mặc dù nó chỉ được dùng sau khi tất cả các kiểu kiểm thử khác đã hoàn tất. Dự án Springfield đặt hệ thống kiểm thử mờ trên đám mây Azure của Microsoft. Người dùng phải tải mã nguồn lên cùng với một giao diện để truyền các đầu vào cho ứng dụng và tập mẫu các giá trị đầu vào.

Hiện tại dịch vụ mới chỉ làm việc với các ứng dụng Windows, nhưng kiểm thử cho Linux cũng sẽ sớm ra mắt. Cũng giống như các dự án khác của Microsoft Research trước đây (chẳng hạn như Dự án Oxford), Dự án Springfield chỉ cho áp dụng một cách hạn chế và những khách hàng có nhu cầu sẽ phải được Microsoft xem xét trước khi truy cập.