Chuyên gia bảo mật Dan Kaminsky, Giám đốc kiểm tra xâm nhập của IOActive. Ảnh: Flickr |
Lỗ hổng bảo mật nghiêm trọng trong thiết kế của Internet cho phép tội phạm âm thầm chuyển hướng truy cập trang web theo ý muốn đang được sửa chữa, nhưng tác hại của nó vẫn chưa xác định giới hạn, và vẫn còn nhiều người đang đối mặt với nguy hiểm.
Lỗ hổng bảo mật này cho phép thực hiện hành vì lừa đảo nhằm vào người dùng bình thường khi họ truy cập vào một website hợp lệ. Các hacker có thể thực hiện điều này nhờ khả năng khống chế các hệ thống “dẫn đường” giúp máy tính tìm trang web. Nếu thủ đoạn này được thực hiện một cách hoàn hảo, người sử dụng máy tính sẽ khó có thể nhận biết được họ đã truy cập được đúng trang web hợp pháp hay là vào một trang web được xây dựng để lừa đảo.
Các chuyên gia bảo mật lo ngại lỗ hổng này sẽ tạo thành “vụ mùa” cho các vụ tấn công bằng virus và lừa đảo danh tính trực tuyến.
“Có thể nói nôm na rằng: Có một cục tiền trên đường. Nếu bạn đi qua đủ sớm, bạn có thể lấy được nó”, Ken Silva, nhân viên công nghệ cao cấp của VeriSign – công ty quản lý các hệ thống tên miền “.com” và “.net” trên Internet đánh giá. “Đây là điều ngành công nghệ đặc biệt quan tâm. Bạn sẽ bị rơi vào tình huống xấu nếu không làm gì đó để ngăn chặn”.
Sự tồn tại của lỗi này được công bố gần 1 tháng trước. Kể từ đó đến nay, bọn tội phạm đã thực hiện thành công ít nhất một vụ, chuyển hướng các khách hàng sử dụng dịch vụ Internet của AT&T tại Texas tới một trang web Google giả mạo. Trang web giả này được “yểm trợ” bởi ba chương trình tự động click vào các quảng cáo trả tiền, và số tiền thu được từ mỗi lần click được chuyển về các tay hacker.
Còn nhiều cách thức lừa đảo nữa rất dễ xảy ra mà chưa bị phát hiện hoặc chưa được các nhà cung cấp dịch vụ Internet công bố. “Mọi người có thể chắc chắn rằng họ (các ISP) sẽ không hé răng nửa lời về bất kỳ vụ tấn công nào vào hệ thống của họ” – HD Moore, một nhà nghiên cứu bảo mật cho biết.
Vụ tấn công vào AT&T có lẽ đã bị ỉm đi nếu nó không ảnh hưởng đến dịch vụ Internet của Austin – Công ty BreakingPoint Systems đóng tại Texas. Đây là một công ty sản xuất máy kiểm tra thiết bị hệ thống, nơi Moore là giám đốc các phòng nghiên cứu. Ông đã công bố sự cố này với hy vọng nó sẽ hé lộ thêm nhiều vụ tấn công khác nữa.
Lỗi bảo mật này xảy ra trên hệ thống phân giải tên miền (DNS), một hệ thống gồm hàng triệu máy chủ có thể phân giải các địa chỉ tên miền bằng chữ được gõ vào các trình duyệt web thành các địa chỉ số (IP) mà máy tính có thể hiểu được.
Để truy cập từ trang web này sang website khác trên Internet, thông thường cần phải đi qua vài máy chủ DNS, trong đó có một vài máy chủ nhận thông tin gửi tới và lưu trữ một phần chúng. Điều này vô tình tạo cơ hội cho nhiều vụ tấn công quy mô lớn thông qua lỗ hổng cho phép sửa đổi các đường dẫn của hệ thống DNS.
Điều này có nghĩa là một người sử dụng máy tính, ví dụ tại San Francisco, có thể đánh http://www.yahoo.com và được chuyển thẳng tới trang yahoo thật, trong khi đó vào cùng thời điểm, một người sử dụng khác tại New York – nơi sự chuyển giao thông tin được truyền qua nhiều máy chủ DNS khác nhau – cũng đánh địa chỉ trang web y như vậy nhưng lại bị chuyển tới một trang web Yahoo giả mạo.
Trên đây là vài thông tin sơ lược về cách thức hoạt động của lỗi này.
Người phát hiện ra lỗi này, Dan Kaminsky thuộc công ty tư vấn bảo mật máy tính IOActive, Seattle, đã thông báo vào ngày 8/7 rằng ông đã tìm ra một điểm yếu nghiêm trọng trong DNS. Nhưng ông muốn giữ bí mật vì ông muốn cho các công ty có lỗi đó trên hệ thống có 1 tháng để cập nhật bản vá lỗi. Ông đã hợp tác với Microsoft, Cisco Systems, Sun Microsystem và nhiều nhà cung cấp lớn khác cùng ra bản vá lỗi.
Hai tuần sau khi Kaminsky đưa ra cảnh báo về lỗ hổng DNS, một số hacker đã phỏng đoán chính xác được lỗi mà ông đã khám phá ra.
Bằng cách sử dụng lỗi bảo mật này, hacker có thể đưa thêm thông tin sai vào gói dữ liệu trên một vài máy chủ DNS nhất định, các hacker có thể đổi địa chỉ của các website thật và thay bằng địa chỉ website có mã độc của chúng.
Một máy chủ DNS đã bị tấn công vẫn tin rằng nó đang đưa người sử dụng tới trang web thật. Và nếu trang web giả này được thiết kế đủ khéo, người sử dụng sẽ không thể phát hiện ra điểm khác biệt, trừ khi trang web đó có những dấu hiệu hoạt động bất thường. Một vài manh mối có thể là: nếu một trang, ví dụ trang web của một ngân hàng, thường xuyên được bảo vệ với SSL (Secure Sockets Layer) – công cụ kiểm tra người sở hữu trang web và hiện lên icon chiếc khóa móc hoặc một thanh địa chỉ mầu xanh bên trong trình duyệt. Tuy nhiên chiếc khóa móc cũng không hoàn toàn là dấu hiệu đảm bảo, vì kẻ xấu có thể làm giả chúng.
Phạm vi của vụ tấn công này khó có thể nói được. Bằng chứng của việc thay đổi dữ liệu DNS này có thể biến mất trước khi nhà cung cấp Internet biết có gì đó không ổn.
Việc sửa lỗi DNS đang được tiến hành gấp rút. Kaminsky nói 84% máy chủ mà ông kiểm tra lúc đầu có khả năng bị tấn công, nhưng giờ con số đó đã giảm xuống còn khoảng 31%.
Tuy nhiên, Kaminsky nói rằng một vài nhà quản lý hệ thống máy tính có thể sẽ không sửa máy của họ cho đến khi họ bị tấn công thực sự. Một vài người khác lại không sửa ngay lập tức vì họ phải dành vài ngày hoặc vài tuần kiểm tra lại việc sửa chữa.
Đó là trường hợp của AT&T, khi hãng nói lỗi này chỉ ảnh hưởng đến 1 máy chủ của họ - chiếc server đó theo như kế hoạch đằng nào cũng sẽ bị bỏ đi. AT&T nói vấn đề này đã được khắc phục.
“Có một hoặc hai điểm mấu chốt có lẽ chưa bị rò rỉ ra bên ngoài”, Kaminsky cười nói. “Thậm chí không mấy người biết chủ đề của buổi nói chuyện”.
Việc tấn công DNS không có gì mới mẻ. Nhưng Kaminsky đã phát hiện ra một cách liên kết các điểm yếu đã biết trên hệ thống lại với nhau, để một vụ tấn công trước đó có thể phải mất tới hàng giờ hoặc mấy ngày để thực hiện thì giờ chỉ cần có vài giây.
“Nói thật, tất cả các mảnh ghép chúng ta đã biết cả thập kỷ nay, nhưng không ai trong chúng ta nhìn thấy lỗi này cho đến khi Dan ghép chúng lại với nhau". Palu Vixie, chủ tịch Internet Systems Consortium – một tổ chức phi lợi nhuận phát hành phần mềm nằm trong phần lớn các máy chủ DNS của thế giới, nói.
“Theo quan điểm bọn tôi phạm trên mạng, đây là con đường chính giúp chúng tiếp cận tiền bạc và bí mật của người khác một cách dễ dàng hơn".