FREAK có nghĩa là nỗi khiếp sợ nhưng bạn đừng để nó khiến bạn phải khiếp sợ. Mặc dù có rất nhiều website và thiết bị có chứa lỗ hổng, nhưng để tiến hành một cuộc tấn công FREAK không phải chuyện đơn giản và các phần mềm xử lí vấn đề này hiện đang được phát triển.

FREAK được Viện nghiên cứu Khoa học máy tính và Tự động hóa Pháp cùng Microsoft phát hiện ra. Lỗ hổng này ảnh hưởng đến giao thức bảo mật SSL và TLS, (là các giao thức mật mã nhằm mục đích bảo mật sự vận chuyển trênInternet). Cụ thể là, người mã hóa đã phát hiện ra các vấn đề nằm trong OpenSSL được sử dụng trong trình duyệt Android Chrome và Safari. Bất cứ ai cùng dùng chung mạng đều có thể trở thành mục tiêu. Tin tặc có thể dùng bọ (bug) để giảm mức độ mã hóa được sử dụng giữa một trình duyệt và một trang web được bảo vệ bởi HTTPS và biến nó thành một trang yếu hơn đến mức có thể crack được.

Vấn đề là gì?

Vấn đề phát sinh từ cách đây nhiều năm, khoảng những năm 1990, khi các công ty Mỹ được yêu cầu bí mật làm yếu đi mức mã hóa theo quy định của chính phủ Mỹ về cấm xuất khẩu các thuật toán mã hóa tốt hơn. Vào lúc đó, độ dài một mã khóa cho phép tối là 512 bits, ngày nay mã khóa này dễ dàng bị bẻ gãy. Theo chuyên gia mã hóa Matthew Green, người dạy về mã hóa tại Đại học John Hopkins, chính phủ Mỹ đã yêu cầu điều này để NSA có thể truy cập vào các phương tiện liên lạc của nước ngoài mà vẫn tỏ ra là quốc gia này luôn cố gắng đưa mã khóa đến cho mọi người.

Giáo sư Ross Anderson, người đã xây dựng nhóm mã hóa tại trường Đại học Cambridge, đã chứng kiến “trường hợp đầu tiên về lỗi bảo mật này vào khoảng năm 1994 hoặc 1995 khi một nhân viên của Microsoft phát hiện ra một cuộc tấn công trên SSL. Vào lúc đó, Netscape là một đối thủ của Microsoft, vì vậy Microsoft đã lục lọi các lỗi của họ để có thể “mách” với các cơ quan quản lí tiêu chuẩn”.

Khi việc mã hóa web trở nên tốt hơn với các từ khóa dài hơn và mạnh hơn, những kẻ tấn công cũng gặp khó khăn hơn khi muốn bẻ các khóa này. Sau khi không thể ép các quốc gia khác sử dụng như loại mã khóa yếu, chính phủ Mỹ dường như đã không còn có thể theo dõi việc liên lạc trên các website của mọi người bằng hình thức này.

Nhưng vẫn có một vẫn đề rõ ràng và ảnh hưởng đến tận ngày nay, đó là: một số trình duyệt và máy chủ web vẫn được lập trình để chấp nhận những loại mã hóa yếu này. Chức năng bảo vệ được đặt lên vai những yếu tố như OpenSSL và người phát triển trình duyệt. Nhưng do một lỗi nào đó trong quá trình thực hiện việc mã hóa RSA, kẻ tấn công có thể lừa các trình duyệt kết nối vào những website mã hóa bằng các mã 512 bit.

Để thực hiện một vụ tấn công sử dụng lỗ hổng này, kẻ tấn công sẽ đến một trang bị ảnh hưởng, tìm ra các phần mã hóa yếu của nó và sau đó crack các mã đó. Với mã hóa đã được crack, tin tặc có thể sử dụng mạng đó, ở giữa một trình duyệt có lỗ hổng và máy chủ của trang để chặn việc liên lạc của mục tiêu với trang đó và nhìn thấy tất cả mọi thứ ở định dạng không được mã hóa.

Các hacker cũng có thể thay đổi nội dung như ý muốn và còn có thể đánh lừa người sử dụng trao cho chúng các dữ liệu như tài khoản và mật khẩu. Điều đáng lo là: để tạo ra một mã khóa yếu không quá khó khăn. Nhà nghiên cứu Nadia Heninger từ Đại học Pennsylvinia đã nhận ra ông có thể tạo ra một mã 512 bit chỉ trong vòng 7,5 giờ với 104 USD bằng cách sử dụng Amazon Web Services.

Những trang web nào bị ảnh hưởng?

Để tạo ra một cuộc tấn công, bạn cần phải có một máy khách có bọ được kết nối vào các website chấp nhận các loại mã hóa ở mức yếu này. 12,2% các trang trong top 1 triệu trang trên Alexa chấp nhận các mã hóa yếu này. Hầu hết các trang này đều được hỗ trợ CDN (là mạng lưới gồm nhiều máy chủ lưu trữ đặt tại nhiều vị trí địa lí khác nhau, cùng làm việc chung để phân phối nội dung, truyền tải hình ảnh, CSS, Javascript, video clip, Real-time media streaming, file download đến người dùng cuối. Cơ chế hoạt động của CDN giúp cho khách hàng truy cập nhanh vào dữ liệu máy chủ web gần họ nhất thay vì phải truy cập vào dữ liệu máy chủ web tại trung tâm dữ liệu), bao gồm một trong những trang lớn nhất thế giới như Akamai.

Rất nhiều các công ty tài chính cũng bị ảnh hưởng, bao gồm American Express, các công ty truyền thông như Business Insider, Bloomberg. Nhiều website chính phủ như whitehouse.gov, nsa.gov và các trang của FBI như tips.fbi.gov cũng bị ảnh hưởng.

Thiết bị của tôi có bị ảnh hưởng không?

Nghe có vẻ đáng sợ nhưng trên thực tế, có nhiều cách dễ hơn để các hacker săm soi cuộc sống trên mạng của bạn. Muốn bắt đầu, một hacker FREAK phải tìm thấy một mục tiêu sử dụng các máy tính, điện thoại hoặc máy tính bảng dễ bị tổn thương và hi vọng các thiết bị này sử dụng các trang bị ảnh hưởng. Ngoài ra, những thiết bị này cùng hacker phải dùng chung một mạng.

Vậy những phần mềm nào dễ bị tổn thương? Theo chuyên gia mã hóa Green Matthew, trình duyệt Safari trên tất cả các thiết bị của Apple, bao gồm iPhone, Mac, iPad cũng như các trình duyệt sử dụng OpenSSL trên Android đều là những phần mềm dễ bị tổn thương trước các cuộc tấn công FREAK. 255 website của Việt Nam cũng có nguy cơ bị tấn công bởi lỗ hổng bảo mật này. Google hiện vẫn chưa đưa ra lời phản hồi nào trước yêu cầu bình luận. Một phát ngôn viên của Apple xác nhận hãng đang tiến hành sửa chữa lỗi này: “Chúng tôi có một bản sửa lỗi trên iOS và OS X và sẽ cho phép cập nhật trong tuần tới”.

Một bản sửa lỗi OpenSSL đã được đưa ra từ tháng 1 nhưng những nhà sản xuất Android mất khá nhiều thời gian để đưa ra các bản cập nhật, vì vậy sẽ mất một thời gian nữa thì những người sử dụng Android mới được an toàn trước nguy cơ tấn công FREAK.

Ngoài cách cập nhật trình duyệt khi có bản sửa lỗi, sử dụng mạng riêng ảo (VPN) cũng là một cách để tránh các cuộc tấn công này. Nếu không, bạn chỉ còn cách hi vọng không có ai muốn soi mói bạn và đừng sử dụng các mạng Wi-Fi công cộng không đáng tin.

Ông Green tổng kết lại một bài học quan trọng nhất đó là: Việc làm yếu các mã khóa là những hành động từ những năm 1980 để giúp các cơ quan tình báo có thể giám sát các hoạt động của những quốc gia khác. Tuy nhiên đây là một cách sai lầm, quá sai lầm khiến chúng ta vẫn phải chịu ảnh hưởng cho đến ngày nay.

Theo ICTnews.




Bình luận

  • TTCN (0)