Web 2.0 có an toàn?

Khi người dùng càng ngày càng lưu nhiều dữ liệu lên mạng thì tin tặc cũng tăng cường tìm cách đánh phá các trang web dịch vụ mới. Các chuyên gia cho biết vấn đề này đang là điểm nóng bảo mật.

Thực sự Samy Kamkar chỉ muốn tạo ấn tượng với mấy cô gái nhưng vô tình tạo ra một cột mốc lịch sử tấn công web.

Kamkar là kẻ tạo ra con sâu Web 2.0 đầu tiên, một con bọ hiểm độc mà tường lửa không chặn được và đã buộc trang web MySpace.com phải tạm thời đóng cửa. Sâu Samy (lấy tên từ Samy Kamkar) là một trong số nhiều kiểu tấn công web thế hệ mới đang nổi lên mà một số chuyên gia bảo mật sợ rằng chúng sẽ kéo chậm quá trình phát triển Internet theo mô hình cộng tác dạng Web 2.0.

Kamkar tìm cách tháo bỏ những ràng buộc về tải nội dung của MySpace, mục đích của Kamkar là muốn đánh bóng profile của mình khi hắn tìm thấy một lỗi cho phép điều khiển trình duyệt của bất kỳ ai ghé thăm trang MySpace của hắn. Và rồi hắn đã tạo ra một con sâu nền web có sức lan nhiễm nhanh nhất từ trước đến nay.

Chỉ trong vòng 20 giờ, con sâu này đã lan ra đến khoảng 1 triệu người dùng MySpace, ép họ phải chọn Kamkar như là “anh hùng” của họ trong trang profile. News Corporation – công ty chủ quản MySpace – phải tạm thời đóng cửa trang web để sửa lỗi này và Kamkar đã bị toà án Los Angeles phán quyết 3 năm tù treo.

Vì là sâu Web 2.0, Samy đã đánh tín hiệu cho một cuộc rượt đuổi mới về bảo mật web. Các con sâu khác trước đây như là MyDoom và Sobig tấn công liên tục vào hệ thống và nhà quản trị phải mất nhiều ngày để khắc phục lỗi kỹ thuật hệ thống. Còn sâu của Kamkar thì không làm gì hại đến máy tính người dùng MySpace nhưng nó đe doạ đến dữ liệu trực tuyến của người dùng. Mặc dù người dùng MySpace bị nhiễm không thể chạy bản sửa lỗi hoặc cập nhật phần mềm chống virus để giải quyết sự cố, nhưng một khi MySpace sửa lỗi này trên hệ thống máy chủ thì có nghĩa là họ phải sửa trên quy mô toàn cầu.

Hậu quả khó lường

Theo một số chuyên gia bảo mật, sâu Samy là một ví dụ cho loại chuỗi tác động dây chuyền khó lường trước được và có thể bùng phát khi các nhà điều hành trang web cho người dùng khả năng đóng góp nội dung lên trang web. Chúng ta mới thấy những trục trặc ban đầu khi mà hiện nay, bảo mật cho các chương trình Web 2.0 chỉ ở giai đoạn thử nghiệm.

Theo nhiều chuyên gia, nếu không “mạnh tay” thay đổi cách trình duyệt tương tác với web thì vấn đề bảo mật Web 2.0 sẽ chỉ đi theo hướng tệ hơn. Và với việc ngày càng có nhiều dữ liệu quan trọng được lưu lên web qua các ứng dụng Web 2.0 như Google Calendar và Zoho Office Suite thì những lỗ hổng bảo mật này sẽ gây tác hại rất nhiều.

Hiện thời, có hai loại tấn công web gây “nhức đầu” cho các nhà nghiên cứu bảo mật: tấn công mã cross-site và giả yêu cầu cross-site.

Tấn công mã cross-site có nhiều kiểu khác nhau nhưng kết quả chỉ là một: kẻ tấn công tìm cách tạo đoạn mã không hợp lệ chạy bên trong trình duyệt của nạn nhân.

Các trang web cho người dùng khả năng đóng góp nội dung lên thường sử dụng phần mềm lọc để tránh những đoạn mã không an toàn, ví dụ như trong profile MySpace hoặc trang đấu giá eBay. Nhưng trong trường hợp sâu Samy, Kamkar tìm cách lén lút đưa JavaScript vượt qua bộ lọc của MySpace.com.

Một loại tấn công cross-site khác là trang web bị lừa chạy những đoạn mã JavaScript kèm trong địa chỉ URL của một trang web nào đó. Thông thường, nhà thiết kế web khóa hoàn toàn các đoạn mã JavaScript nhưng lỗi trong quá trình lập trình có thể lộ ra vết nứt.

Theo một chuyên gia, vì các trang web tích hợp các thành phần mới cho đối tác và người dùng nên các nhà quản trị lo lắng về bảo mật cho những thành phần liên kết đó cũng như bảo mật cho chính trang web của họ. Bây giờ nhà quản trị phải canh chừng nhiều cửa hơn.

Nhiều dịch vụ trên nền web được xây dựng trước khi người ta nắm được đầy đủ các rủi ro về bảo mật. Toàn bộ rủi ro về tấn công giả mạo yêu cầu cross-site trên các mạng nội bộ bây giờ mới được kiểm tra.

Trong một tấn công giả mạo yêu cầu cross-site, kẻ tấn công lừa trang web nghĩ rằng trang web đó đang gửi và nhận dữ liệu từ một người dùng đang log on vào trang. Những loại tấn công như vậy có thể cho kẻ tấn công truy cập tự do đến bất kỳ trang web nào mà nạn nhân chưa log off.

Nhiều trang web bảo vệ chống lại kiểu tấn công này bằng cách tự động log off tài khoản người dùng sau vài phút người dùng không có tác động gì lên trang web, nhưng nếu kẻ tấn công có thể lừa nạn nhân vào thăm một trang web độc hại chỉ vài phút sau khi log on vào, ví dụ như trang web ngân hàng, thì kẻ xấu theo lý thuyết có thể hốt sạch tài khoản ngân hàng của nạn nhân.

Tấn công giả mạo yêu cầu cross-site khó có thể lây nhiễm trong bất kỳ kiểu lan truyền nào, nhưng nếu định sẵn mục tiêu thì rất nhiều trang web có thể lọt vào tầm ngắm của chúng. Theo một harker mũ trắng, giả mạo yêu cầu cross-site sẽ là cuộc chiến cam go nhất trong 10 năm tới.

Lỗ hổng chết người

Theo ông Hansen - điều hành trang web Sectheory.com có một diễn đàn bàn về các kiểu tấn công web mới nhất - cho biết đơn giản là máy tính cá nhân và máy chủ web không được thiết kế để có thể hoạt động chung một cách an toàn. Và khi Web 2.0 cho những cỗ máy này khả năng mới thì lại bắt đầu nảy sinh những chuyện đáng lo. Vì theo ông, nguyên nhân chính nằm ở cách thức trình duyệt hoạt động.

Cụ thể là Google Desktop bởi vì với loại dịch vụ này, các lỗ hổng trên web có thể tác động rất nhiều đến desktop: “Nếu bạn cho một trang web truy cập vào ổ cứng để chỉnh sửa, thay đổi mọi thứ để tích hợp thứ gì hay làm chuyện gì thì bạn đang phụ thuộc vào tính bảo mật của trang web đó”, ông Hansen nói.

Các trang web như MySpace và eBay phải đương đầu với vấn đề này hàng ngày, nhưng nếu tham vọng của Google về một desktop phong phú và có tích hợp web trở thành hiện thực thì bảo mật Web 2.0 sẽ là vấn đề cho cả người dùng doanh nghiệp. Theo Hansen, từ trước đến nay Google không có “nhiều kinh nghiệm” trong việc nắm được những vấn đề như thế này.

Mặc dù có vài chuyên gia bất đồng với Hansen, cho rằng Google đã làm được chuyện đáng khâm phục là giữ cho trang web của hãng không có lỗ hổng, xa hơn nữa là vấn đề bảo mật web đúng nghĩa không thuộc phạm vi quản lý của các trang web như là của Google.

Theo một chuyên gia khác thì không có một mô hình bảo mật trình duyệt nào cả, vấn đề là Google đang chơi theo luật mà Netscape đã lập nên cách đây một thập kỷ. Ông gọi mô hình chia sẻ các chương trình nhỏ của người dùng – gọi là widget – của web 2.0 là “hoàn toàn điên khùng” nếu xét về khía cạnh bảo mật.

Giữ an toàn

Các lỗi về mã web vẫn cực kỳ phổ biến nhưng các nhà điều hành web gần đây mới bắt đầu sửa được tận gốc rễ.

Một chuyên gia bảo mật cho rằng điều lạ kỳ là không có nhiều nghiên cứu theo đề tài “Làm thế nào để xây dựng một trang web thực tế và cách nào tối ưu để một công ty tự bảo vệ mình? Nếu có một tập các nguyên tắc tốt nhất thì tôi cam đoan là không có nhiều người xây dựng trang web biết chúng là gì.”

Và điều tự nhiên của lỗi Web 2.0 là người dùng cá nhân khó có thể tránh được. Bạn có thể tránh được các cuộc tấn công giả mạo yêu cầu cross-site bằng cách sử dụng một trình duyệt khác để truy cập vào các trang Web 2.0 là nơi chứa thông tin nhạy cảm của bạn. Ví dụ nếu bạn đang lướt web với Firefox thì bạn có thể log on vào trang web ngân hàng bằng trình duyệt Opera. Bất kỳ trang web nào mà bạn duyệt bằng Firefox sẽ không có truy cập được đến cookie của Opera, nơi chứa giữ thông tin log in của bạn.

Tấn công cross-site có thể khó tránh hơn. Một điều luôn luôn đúng là phải cẩn thận trong từng đường link mà bạn nhấn vào nhưng điều này lại không thể bảo vệ bạn trước mối đe dọa như sâu Samy, nó nhiễm vào một trang mà bạn tin tưởng. Khi bảo mật Web 2.0 ngày càng lộ ra nhiều kẽ hở thì có thể bạn sẽ nghĩ lại sẽ đưa bao nhiêu thông tin nhạy cảm của mình lên lưu trữ trực tuyến.

Cuối cùng, một chuyên gia nghĩ rằng các chuẩn bảo mật web như WS cũng đã đạt được một số thành tựu trong việc giải quyết vấn đề bảo mật web nhưng còn nhiều chuẩn web cơ bản như là JavaScript và HTTP cần phải xem lại. Cần phải đánh giá lại những chuẩn đó và nên viết lại một vài chuẩn trong số này để chúng an toàn hơn. Nếu đủ một số công ty nào đó đứng lên nói là có rắc rối ở đây thì ngành công nghiệp sẽ bắt đầu vào cuộc.

Ứng dụng Web chạy Offline
FineTune chạy không cần trình duyệt

Nếu bạn từng sử dụng Google Docs & Spreadsheets thì hẳn quen thuộc với các tính năng tuyệt vời của dịch vụ này. Hiển nhiên bạn cũng quen thuộc với lỗi khá phổ biến “Disconnected”, buộc bạn phải bỏ đi những gì vừa làm hoặc chuyển tài liệu đó sang dạng chỉ đọc khi trình duyệt mất kết nối với Google. Đó là điểm yếu chết người của các ứng dụng web có giao diện phong phú giống như ứng dụng desktop hiện nay: chúng yêu cầu kết nối Internet liên tục. Nếu có bất cứ tác động nào đến kết nối đó thì bạn có thể mất đồng bộ và mất dữ liệu, hoặc tác hại ít nhất là bạn không thể lấy được dữ liệu của mình.

Tuy nhiên, các nhà phát triển đang làm việc để giải quyết khó khăn này, sử dụng đệm thông minh để xây dựng ứng dụng có thể chạy offline cho ứng dụng web và trình duyệt của họ.

Phiên bản desktop mới của bộ phần mềm văn phòng dựa trên trình duyệt của Zimbra (zimbra.com) có thể đệm dữ liệu e-mail và lịch làm việc của bạn, cởi trói cho các ứng dụng Zimbra khỏi ràng buộc kết nối Internet. Và một chọn lựa khác đang còn trong giai đoạn xây dựng là của Scrybe (iscrybe.com) hứa hẹn một ứng dụng web với khả năng lịch và các chức năng khác sẽ chạy tốt ngay cả khi bạn kích hoạt trình điều khiển ở chế độ offline.

Thậm chí Mozilla.org còn tiến xa hơn, xây dựng bộ đệm offline trong Firefox 3, sẽ xuất hiện bản beta vào mùa hè này. Bất kỳ trang web nào cũng có thể tận dụng tính năng này mặc dù các ứng dụng trực tuyến cần phải cập nhật để tận dụng được nó.

Trong khi đệm dữ liệu có thể là giải pháp giúp ứng dụng web thoát khỏi việc liên tục duy trì kết nối thì có một công nghệ đang đình đám khác nhắm đến việc giải phóng chúng khỏi trình duyệt.

Với những hứa hẹn từ Java của Sun, Adobe cho biết nền Apollo mới của mình (hiện đã có bản alpha tại
find.pcworld.com/57346) cho phép các nhà phát triển viết ứng dụng sử dụng các công cụ lập trình trực tuyến như Flash và Ajax chạy trên desktop mà không cần chạy với trình duyệt. Theo hãng, các chương trình Apollo sẽ chạy trên cả Linux, Mac OS và Windows giống như các ứng dụng web.

Chương trình nghe nhạc FineTune (finetune.com) là một mẫu ví dụ đầu tiên của loại ứng dụng độc lập với trình duyệt. Bạn có thể nhúng chương trình nhạc dựa trên danh sách nhạc của nó vào trong blog hoặc lên trang web, hoặc bạn có thể tải về bản Apollo và chạy riêng chương trình đó.

Thứ Ba, 17/07/2007 15:53
31 👨 243
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp