Lỗi Flash đe doạ hàng trăm nghìn website

By Công Ty Truyền Thông Số iGO

Hàng trăm nghìn website của các cơ quan chính phủ, tổ chức tài chính, doanh nghiệp và cá nhân toàn cầu đang phải đối mặt với nguy cơ bị tấn công và mất dữ liệu cá nhân khi người dùng truy cập vào website chứa lỗi bảo mật cực kỳ nguy hiểm trong Adobe Flash.

Các chuyên gia nghiên cứu của Google và một hãng bảo mật danh tiếng cho biết bằng kỹ thuật tấn công XSS (cross-site scripting), tin tặc có thể dễ dàng khai thác lỗi bảo mật đó để chèn mã độc trực tiếp vào trong mã nguồn hợp pháp trên các website.

Dự kiến chi tiết về lỗi bảo mật Flash nói trên sẽ được công bố trong cuốn sách “Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions” sắp được phát hành. Tuy nhiên, hiện đã có không ít chuyên gia bảo mật đã có được cuốn sách đó trong tay.

Tác giả cuốn sách là một trong những chuyên gia thử nghiệm đột nhập của hãng bảo mật iSEC và Google khẳng định: thông qua công cụ tìm kiếm ông đã phát hiện được có tới hơn 500.000 Flash mắc lỗi đang tồn tại trên các website của hàng loạt các doanh nghiệp lớn, tổ chức tài chính, cơ quan chính phủ…

“Rất nhiều người đang phải đối diện với nguy cơ bị tấn công bởi hiện vẫn chưa có bất kỳ bản sửa lỗi nào được phát hành. Giải pháp bảo vệ duy nhất nên làm hiện nay là gỡ bỏ các tệp tin Flash mắc lỗi và chờ đợi đến khi ứng dụng Flash được nâng cấp,” Alex Stamos - một trong những tác giả của cuốn sách - cho biết. “Các nhà quản trị website cần phải kiểm tra lại tất cả các tệp tin Flash đang được sử dụng trên website của mình”.

“Nhiệm vụ bất khả thi”

Tuy nhiên, việc tìm kiếm và loại bỏ các tệp tin Flash mắc lỗi dường như là một nhiệm vụ bất khả thi bởi hầu như tất cả các chương trình tạo nội dung Flash đều sản sinh ra nội dung mắc lỗi. Một nguyên nhân nữa là trong việc phát triển website phần việc lập trình và phần mềm đồ hoạ thường được tách riêng. Trong khi đó, việc loại bỏ các tệp tin Flash mắc lỗi yêu cầu cần phải kiểm tra toàn diện và thử nghiệm từng tệp tin Flash một. Nâng cấp Flash Player cũng chỉ có thể giúp kìm chế một phần nào mức độ nguy hiểm chứ khó có thể khắc phục hoàn toàn lỗi.

Tác giả Stamos cho biết bản cập nhật mới được Adobe phát hành trong tuần này cũng không thế giúp khắc phục được lỗi nói trên.

Các tác giả của cuốn sách đã liên tục làm việc cùng với Adobe System từ mùa hè vừa rồi nhằm tìm ra giải pháp khắc phục lỗi hiệu quả nhất. Đại diện của Adobe cho biết bản sửa lỗi sẽ được phát hành trong khoảng vài tuần nữa và khuyến cáo người dùng trong thời điểm này nên tìm cách vô hiệu hoá các tệp tin Flash được hiển thị trên các website.

Các nhà sáng tạo nội dung Flash có thể tham khảo thêm thông tin từ Adobe về việc sử dụng các hàm thư viện chứng thực dữ liệu nhằm tránh mắc phải lỗi nguy hiểm nói trên. Tài liệu này có thể được tải về từ đây.

(Theo Register)

 

Đánh lừa IP và cách phòng chống

By Công Ty Truyền Thông Số iGO

Đây là sự giả mạo địa chỉ IP hoặc khống chế tập lưu trữ thông tin về địa chỉ này trong hệ thống mạng. Hacker thường dùng cách này để mạo danh là máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công.

Các kiển tấn công

Trong phần tiêu đề (header) của những gói dữ liệu luôn có địa chỉ IP của nguồn xuất phát dữ liệu và chỉ số thứ tự (sequence number - dùng để sắp xếp các gói dữ liệu nhận được theo một thứ tự định sẵn). Địa chỉ IP nguồn rất dễ bị giả mạo. Nếu đoán được quy tắc gán chỉ số thứ tự của hệ điều hành thì hacker có thể khống chế được các phiên xác lập kết nối để từ đó khai thác thông tin trên mạng.

Khi hacker sử dụng trò đánh lừa IP để chiếm quyền điều khiển trình duyệt web trên máy tính, địa chỉ trang web hợp pháp mà người sử dụng muốn truy cập sẽ bị đổi thành địa chỉ trang web do hacker ấn định. Nếu họ tiếp tục truy cập vào những nội dung động (như nhập dữ liệu vào các ô trắng), hacker có thể thu thập được thông tin nhạy cảm.

Kiểu mò mẫm (blind spoofing)

Để tìm hiểu cách thức truyền tải dữ liệu trong mạng, hacker sẽ gửi nhiều gói dữ liệu đến một máy nào đó để nhận lại những thông điệp xác nhận. Bằng cách phân tích những thông điệp này, chúng có thể biết được quy tắc gán chỉ số thứ tự cho từng gói dữ liệu của hệ thống mạng. Kiểu tấn công này hiện nay ít được áp dụng vì các hệ điều hành mới ứng dụng phương pháp gán chỉ số thứ tự một cách ngẫu nhiên, khiến chúng khó có thể lần ra.

Kiểu ẩn mình (nonblind spoofing)

Trong kiểu tấn công này, hacker tìm cách ẩn mình trong cùng mạng phụ với máy tính sẽ bị tấn công. Từ đó, chúng có thể nắm được toàn bộ chu trình gửi tin và trả lời tín hiệu giữa máy bị tấn công với các máy tính khác trong mạng. Bằng cách đó, hacker biết đượccác chỉ số thứ tự của gói dữ liệu và có thể chiếm quyền điều khiển các phiene trao đổi thông tin, vượt qua chu trình xác nhận đã được lập trước đó.

Từ chối dịch vụ (Denial of Service)

Đây là một trong những kiểu tấn công khó phòng ngừa nhất. Mục đích của hacker là làm cho đường truyền bị tắc nghẽn do có quá nhiều yêu cầu được gửi đến máy tính bị tấn công trong một khoảng thời gian ngắn, khiến cho hệ thống mạng không thể gửi các gói tin báo nhận kịp thời. Hacker thường giả mạo địa chỉ IP của nhiều máy tính khiến cho việc truy tìm các địa chỉ này và ngăn chặn tấn công không đạt kết quả cao.

Chen giữa các máy tính (Man in the Middle)

Trong kiểu tấn công này, khi 2 máy tính đang truyền tin với nhau một cách bình thường, hacker sẽ chặn các gói dữ liệu gửi đi từ 2 máy đó, thay thế bằng những gói dữ liệu khác và gửi chúng đi. Khi đó, 2 máy tính bị giả mạo đều không hay biết gì về việc dữ liệu của chúng bị thay đổi. Kiểu tấn công này thường được dùng để lấy những thông tin bảo mật của máy tính.

Tuy nhiên, đánh lừa IP cũng có một số ứng dụng hợp pháp. Ví dụ: trong việc truy cập Internet vệ tinh, nhà cung cấp dịch vụ có thể can thiệp vào những giao thức để các gói dữ liệu có thể đến được nơi nhận nhanh chóng hơn. Việc này cũng có thể áp dụng trong mạng riêng ảo VPN để tránh sự chậm trễ trong việc xác nhận các kết nối.

Cách phòng chống

Sử dụng bộ giao thức IPSec để mã hóa và xác nhận các gói dữ liệu trao đổi ở lớp mạng.

Dùng danh sách kiểm soát việc truy cập để ngăn chặn những gói tin dữ liệu tải về có địa chỉ IP cá nhân.

Cài đặt bộ lọc dữ liệu đi vào và đi ra khỏi hệ thống mạng.

Cấu hình các bộ chuyển mạch và bộ định tuyến để loại trừ những gói dữ liệu từ bên ngoài vào hệ thống mạng nhưng lại khai báo là có nguồn gốc từ một máy tính nằm trong hệ thống.

Kích hoạt các quy trình mã hóa trong bộ định tuyến để những máy tính đã được xác nhận nhưng nằm ngoài hệ thống mạng có thể liên lạc một cách an toàn với các máy tính trong hệ thống.

(Theo Thời báo Vi tính Sài Gòn)

 

Khi nhiều phần mềm có thể dò được địa chỉ IP của bất kỳ máy tính nối mạng nào, người ta sẽ biết vị trí của chiếc máy và cả những thông tin quan trọng của người sử dụng.

Liên minh châu Âu cho rằng địa chỉ IP liên quan đến các cá nhân, tổ chức, doanh nghiệp và cần được tôn trọng. Trong khi đó, các hãng tìm kiếm như Google lập luận rằng địa chỉ này chỉ giúp xác định vị trí của máy chứ không lấy thông tin người dùng. Ngoài ra, có nhiều người cùng sử dụng một máy tính với cùng dải IP.

Peter Scharr, Ủy viên ban bảo vệ dữ liệu của Đức, thừa nhận các địa chỉ IP cho một máy tính không nhất thiết thuộc về cá nhân vì nhiều quán Internet hay văn phòng có đông người sử dụng. Tuy vậy, không thể bỏ qua những trường hợp "số nhà" điện tử này thuộc về cá nhân và các tổ chức. Việc để lộ thông tin này là xâm phạm quyền riêng tư.

Hiện các công ty quảng cáo trực tuyến muốn phát tán những mẩu thông tin tới chuỗi máy tính khác nhau qua hệ thống địa chỉ IP thu thập được. Càng nhiều địa chỉ IP nghĩa là càng nhiều người có khả năng đọc thông tin.

(Theo VnExpress)

 

Công Ty Truyền Thông Số iGO

Thiết Kế Website

Quảng Bá Website

Thương Mại Điện Tử

Câu Chuyện Doanh Nhân

Thị Trường Chứng Khoán

Khách Thăm Trong Ngày