Một mình Google sửa lỗi SSL

Một chuyên gia nghiên cứu bảo mật đã có một cuộc nói chuyện với Google về lỗi bảo mật mà anh dự định công bố.

Lỗi bảo mật này cho phép một hacker dễ dàng bắt gói tin của bất cứ ai sử dụng những trang web được cho là bảo mật nhưng lại dùng mạng Wi-Fi không bảo mật. Đó có thể là những trang thậm chí như Facebook, Yahoo Mail và Hotmail vẫn có thể bị dính lỗi. 

 

Mike Perry, một kĩ sư và cũng là một lập trình viên chuyên dịch ngược tại tập đoàn công nghệ Riverbed nói lỗi này cũng được anh thông báo trên danh sách e-mail của BugTraq 1 năm trước đây một lỗi thông thường khi các trang web thực hiện giao thức SSL (Secure Sockets Layer) – giao thức được thiết kế để bảo vệ dữ liệu của mọi người khi họ lướt web. Thông thường, họ chỉ sử dụng SSL để mã hóa thông tin trong suốt quá trình họ log-in.



Thực tế, có tới 2 vấn đề khi thi hành giao thức SSL. Vấn đề đầu tiên là rất nhiều trang web không sử dụng SSL khi chuyển trang log-in nên sẽ dễ để những kẻ ăn trộm cookie có thể bắt được gói tin của người dùng trên mạng. Một công cụ dùng để khai thác lỗi này đã được Robert Graham thuộc công ty bảo mật Errata đưa ra vào năm ngoái vào cùng thời điểm Perry công bố phát hiện lỗi bảo mật của mình.


Theo Perry, cookie theo phiên- dùng để nhận biết máy tính đã sử dụng chính xác username và password có 2 chế độ: “an toàn” hoặc “không an toàn.” Lỗi bảo mật được Perry đưa ra tập chung vào mục tiêu là những trang web có sử dụng SSL nhưng lại không bật cookie của mình ở chế độ “an toàn”. Lỗi này cho phép những kẻ tấn công có thể chộp được cookie của người dùng khi họ sử dụng chung trong mạng nội bộ. Và khi kẻ tấn công có được cookie, họ có thể sử dụng cookie đó như người chủ đang lướt web và có thể xâm nhập vào tài khoản e-mail, tài khoản ngân hàng và những dịch vụ khác của họ ngay cả khi những người dùng này có sử dụng giao thức https.



Kể từ đó, Google vẫn chưa sửa lỗi SSL cho đến 1 tháng trước khi Google thông báo mọi người có thể thiết lập mặc định Gmail để tự động mã hóa thông tin giữa trình duyệt và những máy chủ Gmail thay vì phải gõ https://mail.google.com trên thanh địa chỉ của trình duyệt, Perry tiếp tục.



Tuy nhiên, truy cập website thông qua https://mail.google.com không tự động thiết lập chế độ “an toàn” (secure) và cookie vẫn có thể bị đánh cắp.


Perry nói là anh cũng đã thông báo với đại diện bảo mật của Hotmail, Yahoo Mail và cả Facebook để nói với họ trang web của họ vẫn còn dính lỗi mà người ta gọi là “man-in-the-middle-attack” – với cách thức tấn công này, một người ở trong cùng mạng Wi-Fi với bạn có thể “ăn trộm” phiên truy cập của cookies được chuyển giữa trình duyệt của người lướt web và 1 trang web. Như nói vào chiều thứ 6, anh vẫn không nhận được phản hồi từ các công ty trên.


Đại diện của Microsoft và Yahoo nói họ đang xem xét các nhận xét của Perry nhưng đại diện của Facebook không phản hồi gì cả bằng e-mail hay là bằng điện thoại theo như các phóng viên của CNET ghi nhận được.



Theo như Perry, Amazon mã hóa các thông tin của họ liên quan đến các khoản chi trả nhưng không mã hóa lịch sử truy cập. Một phát ngôn viên của Amazon nói, công ty không bình luận về những đánh giá bảo mật.



Hôm chủ nhật, Perry đã dự định đưa ra công cụ khai thác lỗi có khả năng bắt cookie – và sau 2 tuần, Perry sẽ có một buổi nói chuyện về lỗi bảo mật này tại hội thảo hacker Defcon tại Las Vegas và theo Perry thì cũng đã có một cách khai thác khác cũng tập chung vào lỗi bảo mật này.



Trong một buổi phỏng vấn vào hôm thứ 6, Perry nói: “Mục đích của việc này là tăng tính cảnh giác và khuyến khích mọi người tập chung nhiều thời gian hơn để xây dựng giao thức SSL an toàn hơn.”



Hoãn việc đưa ra công cụ tấn công

Perry nói anh sẽ hoãn việc đưa ra công cụ này vì khoảng thời gian không xác định sau khi nói chuyện với Google.



Google là trang web duy nhất trong những trang web lớn đưa ra cho người dùng lựa chọn thiết lập tự động mã hóa cho tất cả những kết nối với trang web, không chỉ là chỉ ở trang log-in mà còn thiết lập chế độ “an toàn” chính xác cho cookie.

 


Google nói họ phát triển lựa chọn này không chỉ giúp người dùng Gmail mà còn giúp cho những người dùng hoạt động kinh doanh sử dụng các ứng dụng của Google và họ cũng đã đưa ra phiên bản premier cho các ứng dụng của Google như Google Docs, Calendar và các trang web khác của Google cũng được mã hóa.



Việc Google thiết lập chế độ “luôn luôn mã hóa” tự động khi người dùng truy cập vào trang web thông qua https://gmail.google.com thay vì phải vào phần settings để bật nó bằng tay là hoàn toàn có thể.



Perry nói: Lỗi bảo mật này ảnh hưởng đến những người sử dụng mạng không dây không an toàn và đòi hỏi người tấn công phải dùng chung mạng vào cùng thời điểm. Tuy nhiên, nó cũng có thể ảnh hưởng đến những người trên cách kiểu mạng khác nếu nó được kết hợp với những kiểu tấn công khác như là một người nào đó tận dụng lỗi để khai thác hệ thống domain name (DNS) mà nó có thể ảnh hưởng đến bất cứ ai lướt web cũng có thể bị dính phải và thậm chí là các cuộc tấn công có thể chỉnh sửa modem và cable DSL đã giới thiệu tại hội nghị Defcon.



Perry cũng giới thiệu thêm về những vấn đề khác và các kế hoạch của mình trên blog của mình.

 

(Theo tapchiPC / CNET)



 

Lượt xem: 7286