Sau gần một thập niên "nghịch ngợm" với các đoạn code, Matherly cuối cùng đã phát triển ra một cách để phát hiện và thu thập thông tin từ tất cả những thiết bị trên Internet, bao gồm PC, máy in và cả máy chủ web.
Matherly gọi máy tìm kiếm (search engine) của mình là Shodan và đến cuối năm 2009 anh ta bắt đầu mời bạn bè dùng thử sản phẩm của mình. Lúc đó, Matherly không thể hình dung ra rằng, Shodan sẽ sớm làm chao đảo cán cân bảo mật của thế giới số.
"Lúc đó tôi chỉ nghĩ nó là một sản phẩm hay ho", Matherly, hiện giờ đã 29 tuổi, nhớ lại.
Matherly cùng những người dùng đầu tiên của Shodan sớm phát hiện ra rằng họ đang bật mí một sự thật khủng khiếp: vô số các máy vi tính điều khiển các hệ thống công nghiệp, các hệ thống tự động hóa các nhà máy điện nước, được kết nối với Internet và trong rất nhiều trường hợp, các máy vi tính này có thể được truy cập bởi cả các hacker "bậc trung".
Các máy vi tính này được xây dựng để chạy bên trong sự bảo vệ của các lớp tường bê tông. Nhưng bảo vệ như vậy cũng là vô ích, khi chúng bị kết nối với Internet. Gần đây, một hacker vô danh đã đột nhập vào hệ thống điều khiển một nhà máy nước tại Houston của Mỹ, sử dụng mật mã mặc định mà anh ta tìm thấy trên một tài liệu hướng dẫn sử dụng. Một người dùng Shodan đã có thể đột nhập vào máy gia tốc hạt nhân tại phòng thí nghiệm quốc gia Lawrence Berkeley. Một người dùng khác phát hiện ra hàng nghìn router không được bảo vệ đóng mác Cisco – các thiết bị đóng vai trò điều hướng trên các mạng máy vi tính.
"Không có lý do gì để ‘phơi' các hệ thống này ra như vậy cả. Điều này thật quá kì lạ", Matherly nói.
Sự trỗi dậy của Shodan cho thấy quá trình tích hợp nhanh chóng của thế giới thực và thế giới ảo, đến mức độ mà các hệ thống quyết định tới sự sống còn của hàng triệu người có thể dễ dàng bị đột nhập và phá hoại. Shodan cũng cho thấy thế giới online được kết nối và phức tạp hơn bất kì ai có thể hiểu được – điều đó có nghĩa rằng thực tế chúng ta gặp phải những hiểm họa lớn hơn rất nhiều so với những điều có thể tưởng tượng ra.
Trong 2 năm qua, Shodan đã thu thập được dữ liệu từ hơn 100 triệu thiết bị, nắm bắt được vị trí chính xác của chúng, cũng như xác định được các hệ thống phần mềm đóng vai trò quản lý các thiết bị này.
Website của Shodan ghi chú: "Truy cập vào các thiết bị online. Webcam. Router. Nhà máy điện. iPhone, Tủ lạnh. Điện thoại VoIP".
Các nhà chức trách về an ninh đã cảnh cáo rằng bức tường số bảo vệ nhiều hệ thống công nghiệp đang biến mất rất nhanh trước cơn lũ Internet.
"Điều đó có nghĩa rằng những hệ thống máy vi tính này có thể được truy cập bởi các tội phạm nguy hiểm và có trình độ thông qua Internet", một báo cáo của Bộ An ninh Hoa Kỳ kết luận vào năm 2010.
Số lượng đột nhập và tấn công các hệ thống điều khiển công nghiệp tại Hoa Kỳ đang tăng rất nhanh. Từ tháng 10/2011 đến tháng 4/2012, Bộ An ninh Hoa Kỳ ghi nhận 120 trường hợp tấn công – bằng với số lượng của cả năm 2011. Không ai biết được các cuộc tấn công xảy ra thường xuyên đến mức nào và chúng nghiêm trọng ra sao. Các công ty không phải thông báo lại các cuộc tấn công cho các nhà chức trách.
Mắt xích yếu nhất trong hệ thống
Các hệ thống điều khiển công nghiệp là con ngựa kéo của thời đại thông tin. Giống như các máy vi tính khác, chúng chạy mã nguồn và có thể lập trình được. Điểm khác biệt duy nhất của các thiết bị này so với smartphone hay tablet là chúng trông rất xấu xí và thô kệch.
Với mức giá từ một vài nghìn đô la tới 50.000 đô la, chúng thường là các hộp sắt với một vài đèn điều kiển và một vài nút tùy chỉnh. Các hệ thống này đóng/mở các vòi nước, theo dõi dòng khí ga đi qua đường ống, quản lý quá trình sản xuất các hóa chất độc hại, chạy các máy phát tại các nhà máy điện và sắp xếp lịch trình cho tàu hỏa.
Các hệ thống điều khiển công nghiệp lấy dữ liệu từ các cảm biến điện tử, phân tích chúng và gửi chúng tới các máy vi tính đóng vai trò "giao diện giữa người và máy". Chúng giúp các nhà quản lý có thể điều khiển máy móc một cách chính xác từ xa.
Trong số các hệ thống này, các hệ thống SCADA (hệ thống quản lý và thu thập dữ liệu) là các hệ thống mạnh mẽ và có tác động nhiều nhất. Chúng giúp các công ty có thể điều khiển tập trung các máy bơm, máy phát điện, đường ống dầu và các thiết bị công nghiệp khác.
Sức hút của việc điều khiển từ xa thông qua các mạng vi tính là rất khó cưỡng. Các nhà sản xuất các thiết bị điều khiển công nghiệp đã hứa hẹn rằng sử dụng các mạng vi tính như vậy sẽ giảm giá thành, do số lượng người cần phải có mặt tại vị trí của thiết bị sẽ giảm xuống. Siemens, một trong những công ty hàng đầu trong lĩnh vực này, đã khẳng định trong một mẩu quảng cáo rằng "Việc bắt đầu sử dụng các mạng này từ ngay bây giờ là quan trọng hơn bao giờ hết, nhằm đối phó với sự cạnh tranh ngày càng mạnh mẽ trên khắn thế giới".
Các hệ thống này được bảo vệ khỏi thời tiết khắc nghiệt và có thể chạy liên tục trong hàng tháng liền. Tuy vậy, rất nhiều trong số này đã được thiết kế vào một thời đại khác, trước khi các hệ thống mạng ra đời và bao phủ toàn bộ thế giới. Các hệ thống này sử dụng các phần cứng và phần mềm lỗi thời.
Một cuộc kiểm tra đối với các thiết bị điều khiển công nghiệp quan trọng được thực hiện bởi 5 nhà nghiên cứu/hacker làm việc cho công ty bảo mật Digital Bond cho thấy 6 trong số 7 thiết bị được kiểm tra chứa đầy những lỗ hổng phần cứng và phần mềm. Chúng chứa những cửa sau ("back door") cho phép hacker tải về các mật mã hoặc bỏ qua các hệ thống bảo mật một cách dễ dàng.
Một trong số những chiếc máy này, chiếc D-20, được sản xuất bởi General Electric, sử dụng cùng một con chip mà Apple đã sử dụng trên các máy vi tính của mình 2 thập kỉ trước. Hệ điều hành của chiếc máy này đã bị ngừng cập nhật từ năm 1999. Các máy này gần như không có tính bảo mật. "Chế độ bảo mật bị tắt đi theo mặc định. Để đăng nhập, bạn chỉ cần nhập tên, không cần mật mã" – hướng dẫn sử dụng của chiếc máy này nói.
Trong một thông báo với Washington Post, General Electric cho biết: "Chiếc D-20 được thiết kế nhằm hoạt động trong một môi trường bảo mật nhiều lớp, trong đó các chủ sở hữu và người điều khiển sẽ sử dụng các biện pháp để phòng tránh, phát hiện và phản ứng lại các cuộc đột nhập. GE hoạt động tích cực với các khách hàng nhằm thiết kế và thực thi các biện pháp bảo mật này".
Công ty cho biết thêm rằng phần mềm của D-20 "được thiết kế để trở nên an toàn và có một lớp bảo vệ mật khẩu. Lớp bảo vệ này có thể được kích hoạt nếu người dùng muốn sử dụng".
Các máy khác có những lỗ hổng cho phép các nhà nghiên cứu chiếm quyền kiểm soát một cách dễ dàng. Vào tháng 1, Digital Bond công bố kết quả của thử nghiệm này: "đẫm máu, phần lớn là như vậy".
"Phần lớn các nhân viên của chúng tôi có thể hack vào thiết bị được giao trong vòng 1 ngày", ông K. Reid Wightman, một nhà nghiên cứu của Digital Bond từng hoạt động trong Lầu Năm Góc cho biết. "Việc đó là quá dễ dàng. Nếu như chúng tôi có thể làm được, thì các thế lực nước ngoài cũng có thể làm được".
Chủ sở hữu các hệ thống điều khiển công nghiệp này cho rằng chỉ có ít người bên ngoài có thể hiểu hoặc quan tâm tới cách mà các nhà máy điện hoạt động. Họ cũng cho rằng thiết bị của họ đang nằm một cách an toàn bên trong nhà máy, không được kết nối với các mạng bên ngoài.
Nhưng cũng giống như phần còn lại của thế giới, các hệ thống này đang dần dần được kết nối với các mạng quốc tế, thường là qua các kết nối gián tiếp. Một số kết nối này đến từ việc các nhà quản lý cần thông tin rõ ràng về hoạt động của nhà máy. Từ một vài ngoại lệ, các mạng công ty được sử dụng bởi các nhà quản lý thường được kết nối Internet.
Không gian số kì lạ đến mức kể cả một nhân viên đi dạo trong nhà máy với kết nối không dây trên máy vi tính cũng có thể tạo ra một đường dẫn tạm thời giúp cho hacker có thể đột nhập vào hệ thống điều khiển.
"Chúng kết nối theo kiểu thẩm thấu", Marty Edwards, một nhân viên cao cấp tại Bộ An ninh Hoa Kỳ, mảng an ninh mạng, cho biết. "Điều mà chúng ta đã làm là kết nối tất cả mọi thứ lại với nhau".
Một phát hiện bất ngờ
Ý tưởng về Shodan đến với John Matherly vào năm 2003, khi anh ta còn là một sinh viên đại học tại California. Bị mê hoặc bởi thế giới số, Matherly đặt tên dự án của mình theo tên nhân vật phản diện của trò chơi System Shock 2. Nhân vật này, Sentient Hyper-Optimized Data Access Network (Mạng Truy cập Dữ liệu Siêu tối ưu Tri giác), hay còn gọi là Shodan, nghĩ rằng nó là một nữ thần và cần phải hủy diệt con người.
Matherly sau đó đã thử nghiệm hệ thống trên trong hàng năm liền và đạt bằng cử nhân sinh tin học (bioinformatics) tại Đại học California. Phiên bản Shodan đầu chỉ có thể tìm được một vài thiết bị, và các thông tin trên các thiết bị đó không thể truy cập được. Sau rất nhiều tháng tập trung phát triển, năm 2009, Matherly đạt được một bước đột phá, giải quyết được vấn đề và tìm ra thêm rất nhiều thiết bị.
Khi Matherly tung ra phiên bản đầu tiên của Shodan lên mạng, vào tháng 11 năm đó, anh ta nghĩ rằng máy tìm kiếm này này có thể được sử dụng bởi các công ty phát triển phần mềm muốn nắm bắt được khách hàng của mình đang sử dụng những hệ thống gì. Trên trang web của mình, Matherly mô tả Shodan là "máy tìm kiếm đầu tiên cho phép bạn tìm thấy các máy vi tính trên Internet. Tìm các thiết bị dựa trên thành phố, quốc gia, vĩ độ/kinh độ, tên miền, hệ điều hành và IP."
Shodan chạy 24h một ngày. Hệ thống tự động vươn tới Internet và nhận diện các địa chỉ IP của các máy vi tính và các thiết bị khác. Chương trình này sau đó thử kết nối với thiết bị được nhận diện. Nếu kết nối thành công, Shodan "đánh dấu" thiết bị này, ghi lại thông tin về phần mềm, vị trí địa lý và các dữ liệu khác chứa trong bộ dữ liệu nhận diện thường được biết đến dưới tên gọi "metadata". Metadata phổ biến, hữu dụng và ẩn chứa nhiều rắc rối hơn mọi người vẫn thường nghĩ. Shodan sẽ lưu lại các thông tin này trên máy chủ của Matherly. Mỗi tháng, máy chủ này thu thập khoảng 10 triệu thiết bị, và tìm kiếm Shodan giờ dễ dàng như tìm kiếm Google.
Đầu tiên, các phát hiện của Shodan là khá "tầm thường": các máy in, máy chủ web... Nhưng sau khi các câu lệnh trở nên tinh vi hơn, các phát hiện đáng lo ngại bắt đầu xuất hiện. Một nhà nghiên cứu sử dụng Shodan đã phát hiện ra rằng máy gia tốc hạt nhân tại Trường đại học California được kết nối với Internet mà hoàn toàn không có bảo mật gì cả. Một người khác phát hiện ra hàng triệu router không có mật khẩu.
"Chỉ khoảng sau 1 năm là các nhà nghiên cứu đã bắt đầu đào bới các thông tin của Shodan để tìm ra các hệ thống không thuộc về phần đã được tìm thấy của Internet", Matherly nói. "Các nhà máy lọc nước, nhà máy điện, các máy gia tốc hạt nhân và các hệ thống điều khiển công nghiệp khác trước đó không thể bị phát hiện bởi các engine tìm kiếm truyền thống".
Khi các mối lo ngại mà Shodan phát hiện ra ngày càng trở nên rõ ràng, bộ phận Phản ứng nhanh các hệ thống điều khiển công nghiệp thuộc Bộ An ninh Hoa Kỳ đã tung ra một công bố cảnh báo về "hiểm họa lớn"về các đợt tấn công dò mật khẩu (brute-force) vào "các hệ thống trên Internet".
Cảnh báo này khuyến cáo đưa tất cả các hệ thống điều khiển công nghiệp vào bên trong tường lửa, sử dụng các biện pháp điều khiển từ xa an toàn và vô hiệu hóa mật khẩu mặc định.
Một nhà nghiên cứu tại Đại học Cambridge đã sử dụng Shodan để nhận diện hơn 10.000 máy tính với nhiều lỗ hổng khác nhau. Nhà nghiên cứu này, Eireann Leverett, kết luận rằng các nhà điều hành không nhận ra rằng họ đang gặp nguy hiểm lớn tới mức nào. Họ thậm chí còn không biết rằng hệ thống của mình bị kết nối mạng.
"Các đối tượng xấu có thể đã thực hiện tấn công các thiết bị hoặc thăm dò nhằm tìm ra điểm yếu", Leverett viết trong một luận văn vào tháng 6/2011. Trong khi đó, 2 chuyên gia an ninh Billy Rios và Terry McCorkle cho rằng tình hình còn tồi tệ hơn cả như vậy. "Các thiết bị điều khiển công nghiệp có mặt trên Internet là lớn hơn nhiều so với suy nghĩ của mọi người", McCorkle, người đã cùng Rios thảo luận về các lỗ hổng bảo mật tại Đại học Quốc Phòng Hoa Kỳ cho biết. "Các thiết bị này về cơ bản là thiếu an toàn".
Matherly cho biết anh ta muốn máy tìm kiếm của mình được sử dụng để tăng cường bảo mật thông tin. Song anh ta cũng thừa nhận rằng Shodan có thể được dùng để phá tan các hệ thống an ninh.
"Shodan đã phá bỏ ranh giới. Chúng ta không thể quay đầu lại. Một khi bạn phát hiện ra điều này, bạn không thể trốn chạy được nữa", Matherly tuyên bố.