Hotmail lại “thất thủ” trước spammer

Những kẻ phát tán thư rác đã tìm ra cách xuyên thủng cơ chế bảo mật của Hotmail sau khi Microsoft nâng cấp công cụ bảo mật CAPTCHA cho dịch vụ này được vài tháng.

Như vậy, sau một loạt những lần “gục ngã” trong năm 2008, dịch vụ webmail của Microsoft lại một lần nữa "thất thủ" trước sự tấn công của trước giới phát tán thư rác (spammer) mặc dù dịch vụ này đã được bảo vệ bằng phiên bản mới nhất của thuật toán chống đăng ký tài khoản giả mạo hàng loạt mang tên CAPTCHA (Completely Automated Public Turing – Phép thử Turing công cộng hoàn toàn tự động để phân biệt máy tính với người).

Theo phân tích của các chuyên gia hãng bảo mật Websence, quá trình tấn công vào công cụ CAPTCHA lần này cũng được bắt đầu giống như trước: Chúng sử dụng các máy tính đã bị mất quyền kiểm soát (zombie) điền thông tin như tên, mật khẩu, quốc gia … mà Hotmail yêu cầu khi đăng ký tài khoản. Công cụ CAPTCHA của Hotmail sẽ gửi đến máy khách một chuỗi ký tự (hình ảnh) và yêu cầu họ nhập vào ô trống. Chuỗi hình ảnh sẽ được gửi đến một máy chủ khác để giải mã trước khi gửi lại cho máy khách nhằm tạo ra những tài khoản ảo. Theo Websense, việc tấn công vào quá trình đăng ký này của Hotmail có tỷ lệ thành công 1/8 tức tính trung bình cứ 8 lần tấn công thì spammer sẽ có một lần thành công (chiếm tỷ lệ 12-20%). Nhưng tỷ lệ đó cũng đã quá đủ cho việc tạo ra một số lượng lớn các tài khoản ảo để gửi thư rác vì thời gian để thực hiện một lần tấn công chỉ vào khoảng 20 đến 25 giây trên mỗi máy.

Chuỗi ký tự hình ảnh do CAPTCHA của Hotmail tạo ra trong quá trình đăng ký tài khoản

Cho đến nay, CAPTCHA vẫn được coi là công cụ chống giả mạo hữu hiệu nhất của Microsoft hay các dịch vụ web khác bởi nó có khả năng ngăn chặn sự tấn công của các máy tính ảo. Thủ đoạn tấn công của spammer lần này còn tỏ ra không ngoan hơn trước vì mối liên lạc giữa những zombie PC và máy chủ điều khiển được thực hiện qua một kênh đã được mã hóa nên việc phân biệt đâu là máy trạm bị hacker điều khiển và máy trạm thông thường rất khó. Thực chất, cơ chế làm việc của CAPTCHA là sử dụng một thuật toán để liên tục thay đổi những hình ảnh chuỗi ký tự một cách ngẫu nhiên nhưng giới spammer cũng khôn ngoan không kém khi sử dụng một phần mềm xâm nhập vào đó để điều khiển thuật toán của Microsoft theo cách của chúng.

“Như chúng ta đã thấy, những kẻ gửi thư rác thường chỉ tấn công vào các hệ thống “đứng yên”, nhưng cách thức tấn công mới tinh vi hơn của chúng giờ đây đã có thể tấn công cả các hệ thống động”, Carl Leonard, Giám đốc trung tâm nghiên cứu các mối đe dọa của Websense tại châu Âu phát biểu.

Nghiêm trọng hơn nữa khi công cụ CAPTCHA của Microsoft bị “thất thủ” cũng có nghĩa là một loạt các dịch vụ webmail khác của Google hay Yahoo... cũng có thể bị tấn công bất cứ lúc nào.

Giải pháp duy nhất và được cho là hữu hiệu nhất lúc này là nâng cấp thuật toán sản sinh chuỗi hình ảnh ký tự sử dụng công nghệ 3D. Với những hình ảnh 3D, công cụ để chiếm quyền kiểm soát sẽ trở nên phức tạp hơn rất nhiều lần.