Máy tính Lenovo cài “phần mềm gián điệp”
Không chỉ Hải Phòng, UBND tỉnh Quảng Ninh cũng vừa khuyến nghị về việc kiểm tra bảo mật các máy tính của Hãng Lenovo đang được sử dụng tại các cơ quan nhà nước.
Theo nội dung trong thông báo của cả Hải Phòng lẫn Quảng Ninh, từ tháng 10-2014 đến tháng 6-2015, một số dòng máy tính của Hãng Lenovo cài đặt sẵn phần mềm có tên “Lenovo Service Engine” (viết tắt là LSE) vào BIOS trên bo mạch chính của máy trước khi xuất xưởng.
Trong lần đầu tiên kết nối Internet, LSE sẽ tự động tải về máy tính phần mềm khác có tên “Onkey Optimizer”.
Do LSE được tích hợp vào BIOS nên khi người sử dụng máy tính cài đặt lại hệ điều hành hoặc định dạng lại ổ cứng thì trong lần khởi động đầu tiên, hệ điều hành cũng sẽ tự động tìm lại phần mềm đó trong BIOS để thực thi.
Đe dọa an toàn an ninh hệ thống mạng
Trong thông báo của Ban chỉ đạo bảo vệ bí mật nhà nước TP Hải Phòng do thiếu tướng Đỗ Hữu Ca - giám đốc Công an TP, phó trưởng ban - ký nêu rõ cơ chế hoạt động của LSE theo ba bước cơ bản: đầu tiên, LSE sẽ thay thế tập tin hệ thống mặc định của hệ điều hành Microsoft Windows có tên “autochk.exe” bằng tập tin mới cùng tên nhưng do Lenovo tạo ra.
Khi người dùng xóa tập tin bị thay thế hoặc khôi phục lại tập tin cũ của Microsoft Windows, LSE vẫn tiếp tục thay thế trong phần khởi động tiếp theo.
Trong quá trình hệ điều hành khởi động, tập tin “autochk.exe” của Lenovo sẽ kiểm tra lại hướng dẫn %systemroot%\system32 xem có đang chứa 02 tập tin LenovoCheck.exe và LenovoUpdate.exe hay không, nếu không LSE sẽ tự động đưa vào.
Trong quá trình khởi động tiếp theo, LenovoCheck.exe và LenovoUpdate sẽ được quyền hạn cao nhất, tự động kết nối ngay đến máy chủ của Lenovo để gửi lên một số thông tin cơ bản của máy tính, tự động tải các trình điều khiển và phần mềm khác do Lenovo chỉ định.
LSE hoạt động xuất phát từ một tính năng mới của hệ điều hành Windows xuất hiện từ phiên bản Windows 8 tên là “Windows Platform Binary Table”.
Tính năng này cho phép các tập tin thực thi có thể được lưu lại tại BIOS và tự động thực thi trong quá trình khởi động máy tính với mục đích là giúp các công ty sản xuất máy tính có thể duy trì các phần mềm quan trọng của hãng cả khi chúng bị cài lại hệ điều hành.
Văn bản cũng cho biết LSE hội đủ các đặc tính của "phần mềm gián điệp" với khả năng hoạt động ngầm ngay từ giai đoạn khởi động máy tính và can thiệp sâu vào các tập tin hệ thống mặc định của hệ điều hành Windows.
LSE lấy quyền cao nhất và thực hiện các thay đổi quan trọng, tự động tải về nhiều tập tin, phần mềm theo chỉ định của Lenovo. Trong khi toàn bộ các hoạt động này nằm ngoài khả năng nhận biết và cho phép hay từ chối của người dùng.
Phần mềm “Lenovo Service Engine” có nguy cơ đe dọa an toàn an ninh hệ thống thông tin mạng.
“Không dùng máy tính Lenovo có chứa LSE”
Theo thiếu tướng Đỗ Hữu Ca, thông báo trên là thông báo nội bộ được gửi tới các cơ quan quản lý nhà nước để cảnh báo, khuyến nghị về tác hại của những máy tính Lenovo có chứa LSE.
Ban chỉ đạo của TP Hải Phòng cũng yêu cầu các sở, ban ngành tổ chức cho toàn thể cán bộ, công nhân viên nâng cao cảnh giác, áp dụng các biện pháp phòng ngừa, phát hiện máy tính Lenovo cài đặt phần mềm LSE, ngăn chặn nguy cơ lây nhiễm mã độc vào mạng máy tính cơ quan, đơn vị.
Chủ động tiến hành rà soát, kiểm tra, bảo mật các máy tính của Hãng Lenovo tại cơ quan, đơn vị và dừng hoạt động ngay những máy tính do Lenovo sản xuất có chứa LSE. Không lưu trữ thông tin, nội dung bí mật nhà nước trên máy tính của Hãng Lenovo, đồng thời khuyến nghị không trang bị mới, tiến tới loại bỏ các máy tính do Hãng Lenovo sản xuất.
Tương tự, trong công văn của UBND tỉnh Quảng Ninh cũng yêu cầu các cơ quan nhà nước trên địa bàn tỉnh không trang bị mới, tiến tới loại bỏ các máy tính do Hãng Lenovo sản xuất.
Trao đổi với chúng tôi ngày 4-1-2016, ông Đặng Huy Hậu, phó chủ tịch UBND tỉnh Quảng Ninh, cho biết từ đầu tháng 12-2015 đã nhận được thông báo của Bộ Công an về việc máy tính Lenovo có chứa phần mềm đe dọa an ninh bảo mật thông tin.
Hiện tại các sở, ban ngành trên địa bàn tỉnh đang trong quá trình rà soát việc sử dụng máy tính Lenovo khi trao đổi thông tin.
Theo ông Hậu, “phần mềm gián điệp” được cài đặt trong máy tính Lenovo chưa ảnh hưởng lớn đến công việc điều hành quản lý của các cơ quan nhà nước bởi những hoạt động, nội dung quan trọng, tài liệu bí mật được lưu trữ trên các máy tính khác hoặc bằng hình thức khác.
“Việc khuyến nghị không sử dụng máy tính Lenovo cài đặt "phần mềm gián điệp" là cần thiết để đảm bản an toàn thông tin của cơ quan nhà nước. Nếu không rà soát cẩn thận thì hậu quả rất khó lường.
Về mặt luật pháp cũng không có gì vi phạm bởi đây là thông báo nội bộ trong các cơ quan hành chính nhà nước, khi bỏ tiền ra trang bị máy tính phục vụ công việc mà máy tính lại không đảm bảo bảo mật thì tỉnh hoàn toàn có quyền lựa chọn sản phẩm khác an toàn hơn, hiệu quả hơn” - ông Hậu nói.
Không phải lần đầu
Qua tìm hiểu, chúng tôi được biết máy tính của Lenovo đã không ít lần bị “tố” cài sẵn phần mềm có thể theo dõi người dùng. Chẳng hạn hồi tháng 5-2015, các nhà nghiên cứu bảo mật tại IOActive (Mỹ) đã công bố chi tiết ba lỗ hổng bảo mật trong máy tính Lenovo cho phép hacker có thể vượt qua quá trình kiểm tra độ tin cậy của ứng dụng để phát tán mã độc.
IOActive cho biết các lỗ hổng bảo mật trên tác động đến một loạt các dòng máy tính của Lenovo từ ThinkPad, ThinkCenter, ThinkStation cho đến các dòng V, B, K và E.
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCert) cũng từng phát hiện một số dòng máy tính của Lenovo sản xuất từ tháng 9-2014 đã bị cài đặt trước phần mềm độc hại dạng adware (phần mềm quảng cáo) có tên là Superfish VisualDiscovery (gọi tắt là Superfish).
Phần mềm này có thể thu thập thông tin từ các truy cập trên những máy tính bị cài đặt Superfish ngay cả khi các luồng dữ liệu đã được mã hóa bằng giao thức an toàn HTTPS và chèn thông tin quảng cáo vào lưu lượng web của người dùng.
Mặc dù lúc đó Lenovo tuyên bố đã gỡ bỏ phần mềm trên ra khỏi các máy tính của hãng sản xuất sau tháng 1-2015, nhưng những máy tính đã xuất xưởng trước đó vẫn có thể đã bị cài đặt phần mềm Superfish.
VNCert nhận định Superfish là một nguy cơ gây mất an toàn thông tin mức nghiêm trọng, cho phép tin tặc tấn công đánh cắp thông tin trong các ứng dụng thư điện tử, giao dịch qua mạng.
Trước đó, năm 2013, Lenovo cũng từng bị các nước lớn như Mỹ, Anh, Úc, Canada, New Zealand cấm cung cấp thiết bị cho các hệ thống mạng quốc gia do lo ngại những hoạt động xâm nhập trái phép.
Đại diện Lenovo: "Để hiểu rõ khách hàng sử dụng sản phẩm của chúng tôi ra sao"
Khi trao đổi về hoạt động của LSE với chúng tôi, đại diện Lenovo tại Việt Nam chỉ cho biết: “LSE tự động gửi một vài dữ liệu hệ thống cụ thể về máy chủ Lenovo để giúp chúng tôi hiểu rõ các khách hàng của mình sử dụng sản phẩm của chúng tôi ra sao. Những dữ liệu này hoàn toàn không chứa các thông tin cá nhân của người dùng.
Dữ liệu bao gồm tên sản phẩm, tên vùng, thông tin cấu hình máy - gồm dung lượng bộ nhớ, mã SKU, model CPU, độ phân giải màn hình, dung lượng ổ cứng, card màn hình, phiên bản hệ điều hành. Những thông tin này được thu thập và gửi về máy chủ chỉ ở lần đầu tiên máy kết nối với Internet”.
* Ông Ngô Trần Vũ (giám đốc Công ty bảo mật NTS):
Có thể làm bất cứ điều gì
Một phần mềm chiếm quyền điều khiển cao nhất thì có thể làm bất cứ điều gì với máy tính của bạn khi bạn kết nối mạng Internet.
LSE là một phần mềm với khả năng hoạt động ngầm ngay từ giai đoạn khởi động máy tính, can thiệp sâu vào các tập tin hệ thống mặc định của hệ điều hành Windows, chiếm quyền cao nhất và thực hiện các thay đổi quan trọng, tự động tải về nhiều tập tin, phần mềm theo chỉ định của người điều khiển. Khả năng can thiệp của LSE là rất mạnh.
Vì vậy nếu các tin tặc khai thác LSE để tấn công người dùng thì có thể gây ra những vụ việc xâm nhập dữ liệu để mã hóa tống tiền hoặc tấn công điều khiển từ xa tạo ra hàng ngàn máy tính DDoS.
* Ông Võ Văn Khang (phó chủ tịch Chi hội An toàn thông tin phía Nam - Vnisa):
Bất hợp pháp!
Đa số sản phẩm công nghệ đều có cơ chế tự động thu thập các thông tin về tình trạng hoạt động hoặc lỗi kỹ thuật trong quá trình sử dụng thực tế nhằm hoàn thiện, khắc phục lỗi và hỗ trợ người sử dụng tốt hơn. Tuy nhiên cơ chế này phải được công khai qua hướng dẫn sử dụng cũng như cảnh báo và xin phép người sử dụng trước khi gửi thông tin.
Nếu việc thu thập thông tin là các tiến trình chạy ngầm là không đúng theo thông lệ và có thể xem là bất hợp pháp hay spyware. Đặc biệt nếu các cơ chế này tiềm ẩn lỗ hổng bảo mật để tin tặc dễ dàng khai thác điều khiển.
TP.HCM: Dùng các thương hiệu khác
Bà Võ Thị Trung Trinh, phó giám đốc Sở Thông tin và truyền thông TP.HCM, cho biết xét về phương diện kỹ thuật, việc bất kỳ một máy tính nào cài đặt phần mềm để khi khởi động gửi thông tin cấu hình về máy chủ là điều không nên.
Vì có thể người cài đặt không chủ ý, nhưng người ta có thể lợi dụng con đường đó để tấn công và thu thập thông tin bất hợp pháp.
Tại TP.HCM, hiện nay các máy PC trang bị cho các sở ngành, quận huyện thường dùng các thương hiệu FPT-Elead, Robo, TVB... Trong việc thẩm định, duyệt mua các sản phẩm như máy tính, thiết bị, phần mềm, TP cũng có sự cân nhắc kỹ lưỡng để tránh những nguy cơ mất an toàn có thể xảy ra.
MAI HOA
Tuổi trẻ