Cảnh báo về hiểm hoạ "sâu và virus web"

Sâu và virus Web có thể sẽ trở thành mối đe doạ mới đối với người dùng Internet do những sơ hở trong việc kiểm tra khả năng bảo mật của trình duyệt và máy chủ web.

Đó là những gì mà các chuyên gia nghiên cứu bảo mật đã đưa ra tại Hội nghị Black Hat năm nay.

Trong các bản thuyết trình trước hội nghị, các chuyên gia nghiên cứu đã đưa tra trình diễn kỹ thuật nhúng mã Javascript vào một trang web để ăn cắp thông tin Histories của trình duyệt và quét các hệ thống mạng nội bộ.

Đặc biệt các chuyên gia cũng trình diễn kỹ thuật sử dụng công nghệ AJAX - công nghệ giúp tăng tính tương tác của các trang web - để tạo ra các con virus web có khả năng ăn cắp thông tin cá nhân của người dùng.

Hiểm hoạ hiện hình

Các chuyên gia cảnh báo những mối hiểm hoạ như trên đã không còn là vấn đề lý thuyết nữa mà nó đã đi vào thực tế. Những kỹ thuật tấn công nói trên đã được ứng dụng trong các vụ tấn công người dùng MySpace và Yahoo, Billy Hoffman - chuyên gia nghiên cứu phát triển hàng đầu của hãng bảo mật web SPI Dynamics - khẳng định.

Trong năm ngoái, sâu Samy đã phát tán rộng rãi trong cộng đồng người dùng MySpace. Con sâu này sử dụng mã Javascript và AJAX để thêm một "thành viên MySpace" có tên "Samy" vào trong danh sách bạn bè của nạn nhân bị lây nhiễm.

Sự việc này đã làm dấy lên lo ngại về việc sẽ có nhiều script tương tự có khả năng phát tán rộng rãi trong cộng đồng người dùng website xuất hiện. Tuy nhiên, xuất hiện sau đó là con sâu sử dụng mã Javascript khai thác lỗi bảo mật trong định dạng tệp tin Flash và Windows Meta File (WMF) để lây nhiễm và phát tán rộng rãi.

Tháng 6 vừa qua, con sâu Yamanner xuất hiện và phát tán rộng rãi trong cộng đồng người dùng dịch vụ thư điện tử miễn phí của Yahoo nhằm thu thập địa chỉ email để bán cho những kẻ chuyên gửi thư rác (spammer).

Dấu hiệu mở màn

Những vụ tấn công như thế mới chỉ là dấu hiệu cho thấy một xu hướng mới đang đến, Jeremiah Grossman - người sáng lập đồng thời là kỹ sư công nghệ trưởng của WhiteHat Security - khẳng định trong bài trình bày về các hiểm hoạ Javascript tại Hội nghị Black Hat.

"Chúng ta đang quay trở lại những ngày đầu tiên của kỷ nguyên virus email. Vào lúc đó mọi người chúng ta mới chỉ đứng nhìn xem những loại virus đó có khả năng làm được những gì," Grossman nói.

Chuyên gia Grossman cũng trình diễn kỹ thuật xác định danh sách các trang web mà một người dùng đã truy cập vào và chứng minh khả năng có thể quét toàn bộ hệ thóng mạng nội bộ mà chỉ cần dùng mã Javascript không cần khai thác bất kỳ lỗi bảo mật nào.

"Chúng tôi không cần thiết phải tấn công vào các hệ điều hành nữa. Điều kiện cần và đủ để tiến hành tấn công là online," Grossman nói.

Sự trở lại của XSS

Sự xuất hiện của sâu web cũng đánh dấu sự trở lại của các vụ tấn công cross-site scripting.

Cross-site scripting (XSS) là một kỹ thuật phổ biến để đưa các đoạn mã độc hại vào trong quá trình truy cập web của người dùng. Đây là một kỹ thuật được dùng phổ biến trong giới lừa đảo trực tuyến, script kiddies, và spammers.

Tấn công XSS có thể cho phép một trang web độc hại chèn thêm các đoạn mã vào trong một trang web khác. Trong những vụ tấn công như thế này, người dùng sẽ nghĩ rằng mình đang tương tác với một trang web đáng tin cậy. Nhưng thực ra có thể họ đang tương tác giúp kích hợp đoạn mã độc hại từ một trang web khác.

Cross-site scripting là mảnh đất màu mỡ nuôi sống các vụ tấn công bằng mã Javascript và sâu web, Grossman khẳng định. "Nếu không muốn trang web của mình trở thành công cụ phát tán phần mềm độc hại thì bạn hãy khắc phục mọi lỗi XSS trên trang web của bạn đi".

Vẫn thiếu tính bảo mật

Một cuộc khảo sát mới đây được tiến hành với các trang web mạng xã hội đã cho kết quả là rất nhiều trang web kiêu này mắc các lỗi XSS cực kỳ nguy hiểm. Những lỗi này có thể được lợi dụng để tạo ra các con sâu web. Bên cạnh đó, các giải pháp phòng chống lại các vụ tấn công XSS hầu như chưa có nhiều. Thậm chí là cả việc đơn giản nhất là vô hiệu hoá Javascript, Hoffman nói.

Giải pháp mã hoá Secure Sockets Layer (SSL) không những không giúp chống lại các vụ tấn công XSS mà trái lại còn giúp chúng qua mặt các công cụ phát hiện, ngăn chặn tấn công.

Bên cạnh đó, các chuyên gia hiện cũng đang kêu gọi các nhà phát triển trình duyệt khắc phục vấn đề bảo mật nói trên.

Còn về phía người dùng thì cần phải nâng cao nhận thức về các vấn đề bảo mật. Cài đặt các ứng dụng bảo mật cho hệ thống của mình.

Hoàng Dũng