Một số ứng dụng web 2.0

Khi người dùng càng ngày càng lưu nhiều dữ liệu lên mạng thì tin tặc cũng tăng cường tìm cách đánh phá các trang web dịch vụ mới. Các chuyên gia cho biết vấn đề này đang là điểm nóng bảo mật.

Thực sự Samy Kamkar chỉ muốn tạo ấn tượng với mấy cô gái nhưng vô tình tạo ra một cột mốc lịch sử tấn công web.

Kamkar là kẻ tạo ra con sâu Web 2.0 đầu tiên, một con bọ hiểm độc mà tường lửa không chặn được và đã buộc trang web MySpace.com phải tạm thời đóng cửa. Sâu Samy (lấy tên từ Samy Kamkar) là một trong số nhiều kiểu tấn công web thế hệ mới đang nổi lên mà một số chuyên gia bảo mật sợ rằng chúng sẽ kéo chậm quá trình phát triển Internet theo mô hình cộng tác dạng Web 2.0.

Kamkar tìm cách tháo bỏ những ràng buộc về tải nội dung của MySpace, mục đích của Kamkar là muốn đánh bóng profile của mình khi hắn tìm thấy một lỗi cho phép điều khiển trình duyệt của bất kỳ ai ghé thăm trang MySpace của hắn. Và rồi hắn đã tạo ra một con sâu nền web có sức lan nhiễm nhanh nhất từ trước đến nay.

Chỉ trong vòng 20 giờ, con sâu này đã lan ra đến khoảng 1 triệu người dùng MySpace, ép họ phải chọn Kamkar như là “anh hùng” của họ trong trang profile. News Corporation – công ty chủ quản MySpace – phải tạm thời đóng cửa trang web để sửa lỗi này và Kamkar đã bị toà án Los Angeles phán quyết 3 năm tù treo.

Vì là sâu Web 2.0, Samy đã đánh tín hiệu cho một cuộc rượt đuổi mới về bảo mật web. Các con sâu khác trước đây như là MyDoom và Sobig tấn công liên tục vào hệ thống và nhà quản trị phải mất nhiều ngày để khắc phục lỗi kỹ thuật hệ thống. Còn sâu của Kamkar thì không làm gì hại đến máy tính người dùng MySpace nhưng nó đe doạ đến dữ liệu trực tuyến của người dùng. Mặc dù người dùng MySpace bị nhiễm không thể chạy bản sửa lỗi hoặc cập nhật phần mềm chống virus để giải quyết sự cố, nhưng một khi MySpace sửa lỗi này trên hệ thống máy chủ thì có nghĩa là họ phải sửa trên quy mô toàn cầu.

Hậu quả khó lường

Theo một số chuyên gia bảo mật, sâu Samy là một ví dụ cho loại chuỗi tác động dây chuyền khó lường trước được và có thể bùng phát khi các nhà điều hành trang web cho người dùng khả năng đóng góp nội dung lên trang web. Chúng ta mới thấy những trục trặc ban đầu khi mà hiện nay, bảo mật cho các chương trình Web 2.0 chỉ ở giai đoạn thử nghiệm.

Theo nhiều chuyên gia, nếu không “mạnh tay” thay đổi cách trình duyệt tương tác với web thì vấn đề bảo mật Web 2.0 sẽ chỉ đi theo hướng tệ hơn. Và với việc ngày càng có nhiều dữ liệu quan trọng được lưu lên web qua các ứng dụng Web 2.0 như Google Calendar và Zoho Office Suite thì những lỗ hổng bảo mật này sẽ gây tác hại rất nhiều.

Hiện thời, có hai loại tấn công web gây “nhức đầu” cho các nhà nghiên cứu bảo mật: tấn công mã cross-site và giả yêu cầu cross-site.

Tấn công mã cross-site có nhiều kiểu khác nhau nhưng kết quả chỉ là một: kẻ tấn công tìm cách tạo đoạn mã không hợp lệ chạy bên trong trình duyệt của nạn nhân.
Ảnh
Jeremiah Grossman, trưởng phòng kỹ thuật của WhiteHat Security tin rằng tấn công giả mạo yêu cầu cross-site sẽ là điểm nóng trong cuộc chiến bảo mật 10 năm tới.
 

Các trang web cho người dùng khả năng đóng góp nội dung lên thường sử dụng phần mềm lọc để tránh những đoạn mã không an toàn, ví dụ như trong profile MySpace hoặc trang đấu giá eBay. Nhưng trong trường hợp sâu Samy, Kamkar tìm cách lén lút đưa JavaScript vượt qua bộ lọc của MySpace.com.

Một loại tấn công cross-site khác là trang web bị lừa chạy những đoạn mã JavaScript kèm trong địa chỉ URL của một trang web nào đó. Thông thường, nhà thiết kế web khóa hoàn toàn các đoạn mã JavaScript nhưng lỗi trong quá trình lập trình có thể lộ ra vết nứt.

Theo một chuyên gia, vì các trang web tích hợp các thành phần mới cho đối tác và người dùng nên các nhà quản trị lo lắng về bảo mật cho những thành phần liên kết đó cũng như bảo mật cho chính trang web của họ. Bây giờ nhà quản trị phải canh chừng nhiều cửa hơn.

Nhiều dịch vụ trên nền web được xây dựng trước khi người ta nắm được đầy đủ các rủi ro về bảo mật. Toàn bộ rủi ro về tấn công giả mạo yêu cầu cross-site trên các mạng nội bộ bây giờ mới được kiểm tra.

Trong một tấn công giả mạo yêu cầu cross-site, kẻ tấn công lừa trang web nghĩ rằng trang web đó đang gửi và nhận dữ liệu từ một người dùng đang log on vào trang. Những loại tấn công như vậy có thể cho kẻ tấn công truy cập tự do đến bất kỳ trang web nào mà nạn nhân chưa log off.

Nhiều trang web bảo vệ chống lại kiểu tấn công này bằng cách tự động log off tài khoản người dùng sau vài phút người dùng không có tác động gì lên trang web, nhưng nếu kẻ tấn công có thể lừa nạn nhân vào thăm một trang web độc hại chỉ vài phút sau khi log on vào, ví dụ như trang web ngân hàng, thì kẻ xấu theo lý thuyết có thể hốt sạch tài khoản ngân hàng của nạn nhân.

Tấn công giả mạo yêu cầu cross-site khó có thể lây nhiễm trong bất kỳ kiểu lan truyền nào, nhưng nếu định sẵn mục tiêu thì rất nhiều trang web có thể lọt vào tầm ngắm của chúng. Theo một harker mũ trắng, giả mạo yêu cầu cross-site sẽ là cuộc chiến cam go nhất trong 10 năm tới.

Lỗ hổng chết người

Theo ông Hansen - điều hành trang web Sectheory.com có một diễn đàn bàn về các kiểu tấn công web mới nhất - cho biết đơn giản là máy tính cá nhân và máy chủ web không được thiết kế để có thể hoạt động chung một cách an toàn. Và khi Web 2.0 cho những cỗ máy này khả năng mới thì lại bắt đầu nảy sinh những chuyện đáng lo. Vì theo ông, nguyên nhân chính nằm ở cách thức trình duyệt hoạt động.

Cụ thể là Google Desktop bởi vì với loại dịch vụ này, các lỗ hổng trên web có thể tác động rất nhiều đến desktop: “Nếu bạn cho một trang web truy cập vào ổ cứng để chỉnh sửa, thay đổi mọi thứ để tích hợp thứ gì hay làm chuyện gì thì bạn đang phụ thuộc vào tính bảo mật của trang web đó”, ông Hansen nói.

Các trang web như MySpace và eBay phải đương đầu với vấn đề này hàng ngày, nhưng nếu tham vọng của Google về một desktop phong phú và có tích hợp web trở thành hiện thực thì bảo mật Web 2.0 sẽ là vấn đề cho cả người dùng doanh nghiệp. Theo Hansen, từ trước đến nay Google không có “nhiều kinh nghiệm” trong việc nắm được những vấn đề như thế này.

Mặc dù có vài chuyên gia bất đồng với Hansen, cho rằng Google đã làm được chuyện đáng khâm phục là giữ cho trang web của hãng không có lỗ hổng, xa hơn nữa là vấn đề bảo mật web đúng nghĩa không thuộc phạm vi quản lý của các trang web như là của Google.

Theo một chuyên gia khác thì không có một mô hình bảo mật trình duyệt nào cả, vấn đề là Google đang chơi theo luật mà Netscape đã lập nên cách đây một thập kỷ. Ông gọi mô hình chia sẻ các chương trình nhỏ của người dùng – gọi là widget – của web 2.0 là “hoàn toàn điên khùng” nếu xét về khía cạnh bảo mật.

Giữ an toàn

Các lỗi về mã web vẫn cực kỳ phổ biến nhưng các nhà điều hành web gần đây mới bắt đầu sửa được tận gốc rễ.

Một chuyên gia bảo mật cho rằng điều lạ kỳ là không có nhiều nghiên cứu theo đề tài “Làm thế nào để xây dựng một trang web thực tế và cách nào tối ưu để một công ty tự bảo vệ mình? Nếu có một tập các nguyên tắc tốt nhất thì tôi cam đoan là không có nhiều người xây dựng trang web biết chúng là gì.”

Và điều tự nhiên của lỗi Web 2.0 là người dùng cá nhân khó có thể tránh được. Bạn có thể tránh được các cuộc tấn công giả mạo yêu cầu cross-site bằng cách sử dụng một trình duyệt khác để truy cập vào các trang Web 2.0 là nơi chứa thông tin nhạy cảm của bạn. Ví dụ nếu bạn đang lướt web với Firefox thì bạn có thể log on vào trang web ngân hàng bằng trình duyệt Opera. Bất kỳ trang web nào mà bạn duyệt bằng Firefox sẽ không có truy cập được đến cookie của Opera, nơi chứa giữ thông tin log in của bạn.

Tấn công cross-site có thể khó tránh hơn. Một điều luôn luôn đúng là phải cẩn thận trong từng đường link mà bạn nhấn vào nhưng điều này lại không thể bảo vệ bạn trước mối đe dọa như sâu Samy, nó nhiễm vào một trang mà bạn tin tưởng. Khi bảo mật Web 2.0 ngày càng lộ ra nhiều kẽ hở thì có thể bạn sẽ nghĩ lại sẽ đưa bao nhiêu thông tin nhạy cảm của mình lên lưu trữ trực tuyến.

Cuối cùng, một chuyên gia nghĩ rằng các chuẩn bảo mật web như WS cũng đã đạt được một số thành tựu trong việc giải quyết vấn đề bảo mật web nhưng còn nhiều chuẩn web cơ bản như là JavaScript và HTTP cần phải xem lại. Cần phải đánh giá lại những chuẩn đó và nên viết lại một vài chuẩn trong số này để chúng an toàn hơn. Nếu đủ một số công ty nào đó đứng lên nói là có rắc rối ở đây thì ngành công nghiệp sẽ bắt đầu vào cuộc.

 

(Theo pcworld vietnam) 



Bình luận

  • TTCN (0)