Spi Dynamics trình diễn kỹ thuật “moi móc” thông tin

Spi Dynamics vừa phối hợp cùng với các chuyên gia nghiên cứu bảo mật trình diễn một kỹ thuật có thể “moi móc” thông tin quá trình truy cập Internet của người dùng như các lệnh tìm kiếm hay các website mà người dùng đã từng truy cập vào…

Nếu được trang bị kỹ thuật này, một website hoàn toàn có thể kiểm tra xem liệu người dùng đang truy cập nó đã từng bao giờ thực hiện bất kỳ một câu lệnh tìm kiếm trên Internet có liên quan đến các sản phẩm được bán trên website hay chưa.

Một nhà cung cấp dịch vụ bảo hiểm sẽ có thể cho triển khai một giải pháp ứng dụng kỹ thuật nói trên xác định liệu khách hàng của hãng này đã từng mua thuốc lá trực tuyến hay không. Hãng bán hàng trực tuyến nổi tiếng Amazon sẽ được trang bị thêm khả năng kiểm tra xem liệu khách hàng của mình đã từng mua hàng ở một trang web cạnh tranh khác.

Billy Hoffman – Giám đốc phụ trách nghiên cứu bảo mật của Spi Dynamics – tuyên bố: “Với kỹ thuật này bạn hoàn toàn có thể kiểm tra được ‘sự trung thành’ của khách hàng và khuyến khích họ bằng những chính sách ưu đãi phù hợp”.

Chuyên gia Hoffman so sánh kỹ thuật “moi móc” thông tin mới như vụ việc AOL để rò rỉ thông tin 20 triệu câu lệnh tìm kiếm của 650.000 người dùng trong tháng 8 vừa qua. AOL sau đó đã bị buộc phải xoá đi 439MB cơ sở dữ liệu câu lệnh tìm kiếm vì những lo ngại về vấn đề bảo vệ tính riêng của người dùng.

Cho dù khối dữ liệu nói trên không chỉ đích xác câu lệnh tìm kiếm nào là của người dùng nào nhưng New York Times vẫn có thể từ đó mà lùng tìm được dấu vết các câu lệnh tìm kiếm thuộc về một công dân 62 tuổi sống tại Georgia.

Việc cơ sở dữ liệu câu lệnh tìm kiếm của AOL bị tiết lộ cho thấy một điều ‘chúng ta có thể có được rất nhiều thông tin về một người dùng cá nhân độc lập chỉ bằng cách xem xét các câu lệnh tìm kiếm trên Internet của họ’. Đây thực sự là một hiểm hoạ đối với vấn đề bảo mật tính riêng tư của người dùng. Đây không phải là vấn đề của riêng ai mà là vấn đề của chung tất cả mọi người,” Hoffman nói.

Những đường liên kết URL kết quả một câu lệnh tìm kiếm trực tuyến đều được cấu thành theo một phương thức đã được chuẩn hoá và chứa đầy đủ thông tin về từ khoá tìm kiếm của người dùng. Các trình duyệt web hiện đều lưu trữ lại thông tin về các đường dẫn URL đó. Đây là một tính năng được các nhà lập trình trình duyệt tạo ra nhằm giúp người dùng nhận diện xem liên kết URL nào mà người dùng đã truy cập vào. Thông thường những liên kết đã được truy cập vào sẽ được đổi sang màu khác. Thông thường Firefox lưu trữ những dữ liệu này trong vòng 9 ngày và Internet Explorer lưu trữ lại trong vòng 20 ngày.

Kỹ thuật mới của Spi Dynamic sẽ tiến hành kiểm tra và so sánh một loạt các đường liên kết URL được định nghĩa trước với những liên kết URL được lưu lại trong quá trình duyệt web của người dùng nhờ vào một ứng dụng Javascript nhỏ gọn được nhúng trên các website. Mã Javascript đó tự động thực thi mà không gây bất kỳ một sự chú ý nào cho người dùng.

Hoffman khẳng định đến thời điểm này chưa phát hiện được bất kỳ ai sử dụng kỹ thuật nói trên để theo dõi người dùng. Tuy nhiên, ông cũng cảnh báo kỹ thuật này có thể sẽ bị ứng dụng trong tương lai, đây sẽ là một hiểm hoạ mới đối với vấn đề bảo vệ tính riêng tư của người dùng.

Spi Dynamics cũng không hề lo ngại về tính hợp pháp của kỹ thuật này cho dù nó thực sự đe doạ đến tính riêng tư của người dùng. Trên thực tế kỹ thuật này cũng không khác mấy so với cách mà các website hiện nay kiểm tra xem độ phân giải màn hình người dùng và cài đặt các ứng dụng plug-ins.

Spi Dynamics đã cho phát hành một mã Javascript được chứng minh là có khả năng thực hiện đầy đủ các chức năng của kỹ thuật nói trên trên trang web của hãng này.

Hoàng Dũng

Thứ Sáu, 06/10/2006 09:24
31 👨 95
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp