cho thu my chủ server
Results 1 to 2 of 2
  1. #1

    Default Giới an ninh mạng hoang mang trước lỗi SSL

    Cc hng pht triển phần mềm trn thế giới đang phải gấp rt tm cch v một lỗi nghim trọng lin quan đến cng nghệ truyền dữ liệu theo giao thức SSL, vốn vẫn được xem l an ton trn mạng Internet.
    Chứng thực SSL c nguy cơ trở thnh cửa tử Từ trước đến nay giao thức bảo mật SSL - Secure Sockets Layer l cng nghệ tin tiến nhất trong việc đảm bảo an ninh khi truyền dữ liệu qua mạng Internet - với đặc trưng dễ nhận diện l thanh địa chỉ URL bắt đầu bằng HTTPS.
    Tuy nhin, cuối thng 7 v đầu thng 8 vừa qua, cc nh nghin cứu đ pht hiện ra một số lỗi cực k nghim trọng c trn phần mềm sử dụng giao thức m ho theo cng nghệ ny. Ở thời điểm đ, tham gia ở hội thảo Black Hat, cc chuyn gia an ninh mạng đ trnh diễn thử một số cuộc tấn cng nhằm vo giao thức SSL. Kết quả l thng tin truyền tải giữa cc trang web v trnh duyệt hiển thị đ bị "xuyn thủng".

    Xem thm từ Nhịp Sống Số:
    >> Lỗi m ha SSL đe dọa dữ liệu nhạy cảm
    Kiểu tấn cng ny c thể cho php tin tặc đnh cắp mật khẩu, tấn cng vo một phin giao dịch ngn hng trực tuyến bất k, hay thậm ch gửi m độc đnh km vo cc bản cập nhật trnh duyệt (Firefox) giả mạo. Nạn nhn: khng thể đếm xuể
    Theo chuyn gia an ninh Chris Paget, điểm nguy hiểm l kẻ tấn cng c thể sử dụng chng để oanh tạc my chủ trong mi trường chia sẻ (shared host), my chủ mail, cơ sở dữ liệu v hng loạt ứng dụng an ninh khc. Đ l một lỗ hổng giao thức. C rất nhiều ứng dụng, sản phẩm phải v lin quan đến SSL như cc trnh duyệt, my chủ, hệ thống phn tải giữa cc my chủ, ứng dụng tăng tốc web, my chủ mail, my chủ SQL, driver ODBC v cả cc giao thức chia sẻ ngang hng p-2-p, người phụ trch cng nghệ của hng tư vấn an ninh H4rdw4re LLC cho hay.
    Mặc d muốn tấn cng, đầu tin tin tặc phải kiểm sot được mạng của nạn nhn để tiếp tục thực hiện kiểu tấn cng người-đứng-giữa, nhưng hậu quả tiếp đến khi xảy ra l v cng nghim trọng, nhất l khi cuộc tấn cng nhắm vo việc đnh cắp cơ sở dữ liệu v my chủ mail.
    L một cng nghệ được sử dụng rộng ri trong thương mại điện tử, giao dịch trực tuyến, SSL l đch ngắm thường xuyn của tin tặc. Cc nh nghin cứu an ninh cũng đặt nặng vấn đề bảo mật, nng cao hiệu năng của giao thức ny. Năm ngoi, một số chuyn gia đ tm ra cch tạo cc chứng thực SSL giả để đnh lừa trnh duyệt. Thng 8 vừa rồi, một số nh nghin cứu cũng trnh diễn cc cuộc tấn cng dạng thức mới nhằm vo SSL. Tuy nhin, khc với kiểu tấn cng trn, vốn yu cầu phải sử dụng tới nền tảng hỗ trợ nhằm đối ph với chứng thực số SSL, lỗi gần đy nhất nằm ở chnh giao thức ny v do đ, cng việc v lỗi sẽ kh khăn hơn rất nhiều. Vấn đề cn đi xa hơn khi thng tin về lỗi SSL đ bị pht tn qua hệ thống mail list, buộc cc nh pht triển phần mềm phải tất tả v lỗi sản phẩm.
    Đầu thng 8, cc nh nghin cứu ở cng ty an ninh mạng PhoneFactor Inc đ pht hiện được lỗ hổng lin quan tới SSL. Trước đ, họ đ lm việc lin tục trong hai thng cng Hiệp hội cc cng ty cng nghệ c tn Industry Consortium for Advancement of Security on the Internet (ICASI), với dự n c tn Project Mogul, nhằm hợp tc rộng ri để khắc phục vấn đề.
    Hớ hnh

    Tấm o an ninh SSL đang bị đặt vo tnh trạng cảnh bo Nhưng kế hoạch cẩn trọng ny đ bị đảo lộn hon ton v c nguy cơ bị ph sản khi thứ Tư vừa rồi, một kĩ sư của SAP AG c tn Martin Rex đ khng nhận thức được mức độ nghim trọng của vấn đề, đăng tải thng tin, nhận xt của mnh về lỗ hổng v gửi tới một danh sch thảo luận tại Internet Engineering Task Force. Lập tức, thng tin trn nhanh chng được nh nghin cứu an ninh HD Moore đăng tải ln mạng.
    Ngay trong ngy thứ Tư, hng loạt độc giả bắt đầu nắm được thng tin của vấn đề, khiến cho PhoneFactor quyết định cng tố những g hng đ pht hiện được: Ở thời điểm ny, chng ti cảm thấy cần c trch nhiệm phải cng bố những g đ khm ph được với những người chưa biết, khi chng đ bị một số người xấu nắm được, Sarah Fender, ph chủ tịch phụ trch marketing của PhoneFactor thng co.
    Mặc d cc chuyn gia an ninh cho hay, lỗi SSL mới pht hiện c thể đ tồn tại từ lu, nhưng vẫn chưa thể khẳng định chng đ bị khai thc, bằng bất k kiểu tấn cng no. Hiện vẫn chưa c phản hồi từ ICASI.
    NHẬT VƯƠNG (Theo Computerworld)

  2. #2

    Default Re: Giới an ninh mạng hoang mang trước lỗi SSL

    Lỗi m ha SSL đe dọa dữ liệu nhạy cảm
    TTO - Cơ sở dữ liệu mang thng tin nhạy cảm như chi tiết thẻ tn dụng, thng tin ti khoản ngn hng km mật khẩu đều c thể bị tấn cng qua lỗi trong phần mềm sử dụng m ha bảo mật SSL.

    Ảnh minh họa: DefCon 07 Vấn đề nằm trong cch thức m nhiều trnh duyệt sử dụng để triển khai SSL (Secure Sockets Layer) v lỗi cũng nằm trong hệ thống kha cng cộng X.509 thường được dng để quản l chứng thực số được sử dụng bởi SSL nhằm quyết định xem website đ c đng tin cậy hay khng.
    Moxie Marlinspike, chuyn gia nghin cứu bảo mật, đ trnh diễn cch thức chặn luồng lưu lượng SSL bằng chứng thực kết thc rỗng (null-termination certificate - theo cch gọi của Marlinspike). Để thực hiện cng việc tấn cng, Marlinspike buộc phải ci đặt phần mềm "SSL Strip" của mnh ln mạng nội bộ trước. Sau khi ci đặt, n chặn cc lưu lượng kết nối SSL v bắt đầu thực hiện "chứng thực kết thc rỗng" để ngắt lin lạc giữa my chủ v my trạm.
    Giải m "SSL Strip" - Kiểu tấn cng người-đứng-giữa
    Việc khai thc giao diện giữa cc session http v https sử dụng những kỹ thuật đ c từ vi năm nay. SSL Strip thực hiện tấn cng một lưu lượng http (khng bảo mật) thng thường, thay thế những lin kết đến cc trang https bảo mật bằng http. Người dng sẽ đăng nhập ti khoản v thng tin thẻ tn dụng trn một trang khng bảo mật v tin tặc sử dụng SSL Strip c thể thu thập thng tin chi tiết ny dễ dng.

    Kết nối bảo mật https (SSL) sẽ gip đảm bảo an ton thng tin cho người dng khi giao dịch trực tuyến Điểm nguy hại của kiểu tấn cng người-đứng-giữa (man-in--the-middle attack) ny l người dng vẫn tin tưởng rằng mnh đang sử dụng lin kết được bảo mật (https). Khi một người dng cẩn thận truy cập vo 1 trang web với kết nối m ha bảo mật (biểu tượng ổ kha trn thanh địa chỉ v kết nối https thay v http) v dụ như đăng nhập vo ti khoản Gmail, bạn sẽ được chuyển đến địa chỉ đăng nhập bảo mật https của google.com v kể từ lc đ, hầu hết người dng đều khng để đến kết nối https nữa v đinh ninh rằng mnh vẫn tiếp tục kết nối bảo mật với dữ liệu được m ha.

    Thng tin xung quanh lỗi trong phần mềm m ha SSL v SSL Strip của Moxie Marlinspike c thể tham khảo thm tại hội thảo Black Hat USA 2009 (ngy 25 đến 29-7-2009) v hội thảo DEFCON 17 (đang diễn ra).
    SSL Strip đnh vo tm l chủ quan đ của đại đa số người dng bằng cch thực hiện vi thao tc giả mạo. Một v dụ nhỏ về bẫy đơn giản l thay thế biểu tượng Favicon bằng một biểu tượng ổ kha tương tự với biểu tượng ổ kha của kết nối https. Mặc d n nằm sai vị tr v kết nối vẫn thuộc dạng thng thường http nhưng đa số người dng sẽ khng để v mắc bẫy.
    Marlinspike cho biết đ "lấy tạm" 117 ti khoản email, 16 thẻ tn dụng, 7 ti khoản Paypal... để lm minh chứng cho khả năng của "SSL Strip".
    Tạo chứng thực giả
    Marlinspike cn triển khai cch thức tin tặc c thể sử dụng lỗi trong IDN (International Domain Name) để lấy một chứng thực SSL để bẫy ngược lại bộ chỉ điểm của SSL thng thường v hiển thị tn miền với https.
    Kiểu tấn cng ny khng phải l một cuộc tấn cng vo SSL thực sự m chỉ "đnh vng" vo sườn xung quanh SSL. Khng c m ha no bị ph vỡ.

    Moxie Marlinspike tại hội thảo bảo mật Black Hat 2009 - Ảnh: Internet Marlinspike tạo ra chứng thực giả cho tn miền (domain) của mnh c km theo k tự rỗng (null) thường được hiển thị l \0. Một số chương trnh sẽ bị mắc lừa bởi chứng thực giả, ngưng đọc nội dung khi chng bắt gặp 1 k tự rỗng. Do đ, một chứng thực giả cho www.paypal.com\0.tenmien.com lại được chương trnh hiểu l thuộc về paypal.com.
    Mức độ nguy hiểm cao

    MD2 l thuật ton được sử dụng bởi hng bảo mật VeriSign từ 13 năm trước, c mặt trn mọi trnh duyệt web. VeriSign đ ngưng sử dụng MD2 vo ngy 17-5-2009 v khng cn bảo đảm an ton trước những cuộc tấn cng từ tin tặc.
    Xem video phỏng vấn Moxie Marlinspike tại đy.
    "Cch tấn cng ny chưa thể d tm ra v cho php tin tặc đnh cắp mật khẩu, hijack vo cc phin giao dịch ngn hng trực tuyến hay thậm ch l đưa ra một bản cập nhật trnh duyệt FireFox c đnh km m độc", Marlinspike cho biết. "Việc tạo chứng thực giả cũng ảnh hưởng rộng ri ln nhiều chương trnh như Internet Explorer hay FireFox 3, phần mềm VPN (mạng ring ảo), cc chương trnh email-client hay tin nhắn tức thời (IM)..". Cc chuyn gia đều cho biết tin tặc cao tay c thể dễ dng vượt chứng thực bảo mật SSL v cng nghệ m ha MD2 vẫn cn được dng trong nhiều chương trnh web đ qu lỗi thời v khng cn bảo mật. Hiện chỉ c trnh duyệt FireFox 3.5 đ khắc phục lỗi "kết thc rỗng".
    Hầu hết đồng cho rằng hệ thống X.509 thường được dng để quản l chứng thực cho SSL đ qu cũ kỹ, cần được sửa chữa v nng cấp.
    Theo tuoitre.com.vn

 

 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Chủ đề tương tự

  1. [Tin tức] Sim 3G v hướng dẫn mang internet đến từng phng trọ.
    By emgaithoi in forum Cng nghệ khng dy v thng tin di động
    Replies: 13
    Last Post: 21-11-2011, 10:27 AM
  2. [Xin gip] mnh đang lm đồ n về quy hoạch mang w-cdma.ai c ti liệu cho mnh xin với.
    By gavitbkhn in forum Tổng đi v hệ thống chuyển mạch
    Replies: 0
    Last Post: 21-09-2011, 11:51 PM
  3. [Xin gip] mnh đang lm đồ n về quy hoạch mang w-cdma.ai c ti liệu cho mnh xin với.
    By gavitbkhn in forum Tổng đi v hệ thống chuyển mạch
    Replies: 0
    Last Post: 21-09-2011, 11:49 PM
  4. CV online: Tốt nước sơn rồi mới đến gỗ
    By memory in forum Chuẩn bị hồ sơ xin việc
    Replies: 0
    Last Post: 02-12-2010, 06:57 AM
  5. Motz giới thiệu FM radio bằng gỗ nhỏ nhất thế giới
    By belunhugo in forum Thng tin thị trường
    Replies: 0
    Last Post: 28-01-2010, 12:57 AM

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  
My đo đường huyết | My đo huyết p | My chủ ảo | Thu server | Dịch vụ my chủ | Mua hosting |