Từ lỗ hổng DNS đến clickjacking

>> Phần I: Năm 2008: năm sóng gió về bảo mật

Yếu điểm trong hệ thống DNS làm cả thế giới mạng thấp thỏm

Tháng 7-2008, chuyên gia nghiên cứu bảo mật Dan Kaminsky đã làm chấn động làng CNTT qua phát hiện về yếu điểm trong hệ thống DNS (Domain Name System) toàn cầu. Yếu điểm này cho phép tin tặc dễ dàng tấn công vào các DNS server có chức năng hỏi hộ (recursive) và lưu giữ kết quả (caching) với mục đích làm thay đổi ánh xạ tên miền và hướng người dùng đến một địa chỉ IP bất hợp lệ tùy ý.

Sơ đồ tấn công DNS - Ảnh: Bkis

Điều kiện thuận lợi cho tin tặc phát động những cuộc tấn công ồ ạt vào các hệ thống DNS trên thế giới, chuyển hướng người dùng đến những website giả mạo nhằm lừa họ cung cấp thông tin cá nhân, tài khoản ngân hàng trực tuyến, số thẻ tín dụng...

Các hãng CNTT và ISP trên thế giới được US-CERT khuyến cáo cập nhật các bản vá lỗi. Microsoft, Apple, Cisco, Debian... lần lượt "ra tay", phát hành các bản cập nhật cho những sản phẩm của mình đến người dùng nhằm ngăn chặn các cuộc tấn công từ tin tặc qua lỗi DNS.

SQL Injection vẫn là món khoái khẩu của tin tặc

SQL Injection là một cách thức tấn công khai tác lỗi trong việc kiểm tra dữ liệu đầu vào của các ứng dụng, để từ đó chạy các câu lệnh truy vấn (query) dữ liệu SQL có lợi cho kẻ tấn công. SQL Injection xảy ra ở tất cả các phần mềm có sử dụng ngôn ngữ truy vấn dữ liệu SQL, và thường gặp nhất là ở các web-application.

Cho đến nay, SQL Injection vẫn là phương thức thông dụng nhất của tin tặc khi tấn công một website vì cơ sở dữ liệu được xem là trái tim của website. Số lượng website bị tin tặc "nắm giữ" lên đến vài trăm ngàn và thường được dùng để phát tán mã độc, malware hay lừa đảo trực tuyến (phishing) khi khách truy cập truy xuất vào website. Những vụ "SQL Injection" đình đám trong năm 2008 phải kể đến như việc mất 10.597 số an sinh xã hội và hồ sơ pháp lý của các công dân thuộc Oklahoma khi website này bị tin tặc tấn công qua phương thức SQL Injection hoặc đợt tấn công trên quy mô lớn đã gây tổn thất cho hơn nửa triệu website...

Việc chống trả từ những webmaster xem ra còn khá yếu ớt vì đại đa số vẫn sử dụng những hệ thống máy chủ cơ sở dữ liệu dùng chung hoặc không được bảo vệ kỹ, cách thức lập trình website còn sơ hở. Cả Microsoft và HP cùng tham gia hỗ trợ cho khách hàng của mình qua các công cụ miễn phí nhằm kiểm tra mức độ ngăn chặn các đợt tấn công SQL Injection.

Những nguy cơ bảo mật khác

* Clickjacking: Năm 2008, từ điển bảo mật ghi nhận thêm 1 thuật ngữ mới: clickjacking được Robert Hansen (nhà sáng lập và điều hành hãng SecTheory) và Jeremiah Grossman (giám đốc công nghệ tại hội nghị Whitehat Security) khám phá. Cả 2 đặc biệt nhấn mạnh những khám phá của mình về mức độ nguy hiểm từ clickjacking, diễn ra qua việc lừa đảo mọi người click vào một liên kết với vẻ ngoài “trong sạch” trong một trình duyệt, ví dụ như một nút nhấn để lưu 1 bài báo online đang đọc vào mạng xã hội lưu trữ Digg chứ không chỉ đơn thuần là nhấn vào các liên kết lừa đảo như trước đây tin tặc hay sử dụng. Hầu hết các trình duyệt đều không thể đương đầu với clickjacking.

Một cuộc tấn công clickjacking có thể dựa trên một thiết kế cơ bản trong HTML cho phép các website nhúng nội dung từ các trang web khác. Nội dung nhúng có thể được ẩn và người dùng web hoàn toàn không biết đang tương tác với nó. Một dạng thức khác của clickjacking lại nhằm vào những plug-in phổ biến hiện nay là Adobe Flash Player hay Microsoft Silverlight.

Thực chất, clickjacking đã xuất hiện từ một vài năm trước nhưng từ sau những khám phá mới của Hansen và Grossman thì clickjacking mới lộ rõ khả năng thực sự của mình.

* Điện toán đám mây (cloud computing): Sự ra đời của điện toán đám mây mà Amazon khởi đầu với EC2 hay Google App Engine cũng như hệ điều hành Windows Azure mở ra một tương lai tươi sáng cho việc chia sẻ tài nguyên dữ liệu. Tuy nhiên, điện toán đám mây cũng kéo theo những nguy cơ bảo mật tiềm tàng. Hãng Gartner đã liệt kê một vài nguy cơ đáng lo ngại nhất của điện toán đám mây như: Quyền hạn truy cập của người dùng; Vị trí của dữ liệu được lưu trữ tại đâu, nơi nào; Sự phân tách dữ liệu; Khôi phục dữ liệu... Hơn nữa, việc phòng vệ dữ liệu qua các tầng firewall (tường lửa) cũng như những hệ thống IDS (Intrusion detection system) hay IPS (Intrusion prevention) cũng chưa được nhắc đến cụ thể.

* Netbook: Sự tăng trưởng của Netbook đã vượt qua dự đoán của giới chuyên môn. Hàng loạt nhà sản xuất máy tính tham gia vào thị trường máy tính giá rẻ kích thước nhỏ (netbook) sau sự thành công của Asus Eee PC và Acer, OLPC...

Điều dễ nhận ra ở netbook đó là kích thước nhỏ gọn, dễ mang xách, di chuyển, phục vụ cho công việc di động thường xuyên. Cấu hình bên trong các thế hệ netbook mới nhất cũng tương đối cao nhưng nó chưa kham nổi những phần mềm bảo mật hệ thống mạnh mẽ. Hầu hết vẫn còn sử dụng hệ điều hành Windows XP hoặc Windows Vista Home, thiếu vắng đi những chức năng mới nhất bảo vệ hệ thống từ bên trong. Các phần mềm bảo mật khác như mã hóa dữ liệu, anti-virus, anti-malware cũng sẽ khó lòng hiện diện trên netbook do đại đa số netbook giá tầm trung đều có bộ nhớ RAM, vi xử lý cũng như dung lượng ổ cứng tương đối thấp.

Đây chưa hẳn chỉ là mối lo ngại không có cơ sở vì hãng bảo mật Rise Security (Brazil) đã cảnh báo trong netbook Eee PC có lỗi chưa được vá từ mã Samba có thể cho phép tin tặc chiếm quyền điều khiển hệ thống từ xa.

Cuối cùng là chiếc netbook nhỏ bé sẽ dễ mất hơn 1 chiếc laptop, toàn bộ dữ liệu và những thông tin nhạy cảm bên trong có thể bay theo một "bàn tay đen" nào đó.

(Còn tiếp)