• Thứ Bảy, 10/12/2016 11:43 (GMT+7)

    12 lỗ hổng bảo mật cần xử lý ngay

    Thương Huyền
    (PCWorldVN) Phần cứng quá cũ hay phần mềm quá đát đều tiềm ẩn nhiều rủi ro cho bạn. Hãy sớm cập nhật, nâng cấp hay thay thế chúng trước khi quá muộn.

    Có thể không ngoa khi khẳng định nhiều tổ chức ngày nay vẫn còn sử dụng không ít những hệ thống phần cứng và phần mềm đã lạc hậu. Tư duy thường thấy là, ừ thì PC cũ với hệ điều hành cũ, kể cả ứng dụng chuyên dụng đã lỗi thời thì có làm sao, vì chúng vẫn được việc nên chẳng việc gì phải tính chuyện nâng cấp hay thay thế cho tốn kém.

    Thế nhưng chủ nhân các hệ thống cũ không hình dung rằng, vấn đề với phần mềm quá đát và phần cứng quá cũ là họ sẽ không còn nhận được sự hỗ trợ kỹ thuật từ nhà cung cấp. Vì thế nhiều lỗ hổng bảo mật đe dọa đem lại rủi ro cho tổ chức cũng như bản thân họ.

    Dưới đây chúng ta sẽ đề cập đến những lỗ hổng trong phần cứng máy tính, phần mềm và thiết bị di động mà bạn nên tìm cách giải quyết ngay để giảm thiểu rủi ro, tăng cường an ninh thông tin cho đơn vị mình.

    Máy tính cũ

    Thông thường chúng ta quan tâm chủ yếu tới lỗ hổng bảo mật đối với phần mềm mà quên rằng phần cứng cũng tồn tại lỗ hổng bảo mật, do phần mềm tích hợp. Vấn đề chính đối với máy tính cũ là nhiều hệ thống không được tích hợp những tính năng bảo mật, chẳng hạn như Unified Extensible Firmware Interface (UEFI) thay cho BIOS đã lỗi thời, với tính năng Secure Boot có khả năng tự kiểm tra và khôi phục nguyên bản trước khi nạp hệ điều hành. Mặc dù những tính năng này không đảm bảo bảo vệ người dùng chống lại 100% các cuộc tấn công bằng mã độc, nhưng rõ ràng đã cải thiện an ninh bảo mật lên nhiều cho máy tính của từng cá nhân và doanh nghiệp. 

    Một số tiêu chí sau có thể áp dụng cho việc thanh lọc máy tính cũ của tổ chức:

    Máy tính dùng BIOS thông thường: Máy tính để bàn cũng như laptop đã cũ thường tích hợp BIOS trên bo mạch chủ, không hỗ trợ tính năng Secure Boot, vốn được áp dụng cho UEFI, được Microsoft áp dụng từ thời Windows 8, cả cho Windows Server. Secure Boot giúp chặn đứng hành vi mã độc được kích hoạt trong quá trình máy tính khởi động nạp hệ điều hành. Để tăng cường khả năng tự vệ, công nghệ  SureStart của HP, được giới thiệu vào năm 2013, kiểm tra chương trình BIOS đã bị lỗi hay sửa đổi chưa trước khi nạp lên, nếu thấy sai sót sẽ tự động sao chép lại đoạn chương trình gốc có chữ ký số.

    Máy tính thiếu xác thực tiền khởi động (PBA) hay chip Trusted Platform Module (TPM): Đây là một cấp độ bảo vệ khác. PBA ngăn hệ điều hành tải lên cho đến khi người dùng nhập thông tin xác thực, như mật khẩu chẳng hạn. PBA được kích hoạt sau BIOS rồi nạp hệ điều hành. Tính năng này đã có vài năm nay, và trên một số máy tính, đã được thay thế bằng BitLocker của Microsoft sử dụng TPM.

    Router cũ: Rất nhiều hộ gia đình cũng như văn phòng nhỏ đang dùng router cũ, kể cả sản xuất trước năm 2011, mà ít khi quan tâm tới việc nâng cấp. Chúng có thể ẩn chứa những lỗ hổng bảo mật nghiêm trọng.

    Ổ đĩa không tự mã hóa: Xuất hiện từ năm 2009, ổ đĩa cứng tự mã hóa (self-encrypting drive), hay còn gọi là SED, đặc biệt quan trọng cho laptop. SED yêu cầu người dùng nhập thêm mật khẩu, ngoài mật khẩu đăng nhập của hệ điều hành, và công nghệ này tự động mã hóa và giải mã dữ liệu chứa trên ổ cứng. Thậm chí kể cả khi ổ cứng cũ không trực tiếp bị đe dọa về bảo mật thì bạn cũng đối mặt với nguy cơ mất dữ liệu cao vì ổ cứng có thể hỏng bất cứ lúc nào. 

    Giải quyết lỗ hổng phần mềm

    Sửa chữa và nâng cấp phần cứng thì tốn kém nhưng bịt lỗ hổng phần mềm thường ít tốn, thậm chí được cập nhật miễn phí. Sau đây là danh sách các loại phần mềm phải cập nhật, vá hoặc thay thế càng sớm càng tốt: 

    Hệ điều hành quá ‘đát’ hoặc chưa cập nhật bản vá mới nhất: Tháng 4/2014, Microsoft ngừng hỗ trợ Windows XP, đồng nghĩa với việc không còn các bản cập nhật tự động cho hệ điều hành này, và hãng cũng không hỗ trợ kỹ thuật cho người dùng Windows XP nữa. Thậm chí Microsoft còn cho biết một số phần mềm antivirus không phát huy hiệu quả trên Windows XP khi thiếu những bản cập nhật bảo mật mới nhất. Trong khi đó, những hệ điều hành máy chủ đã qua thời, như  Windows Server 2003 và những phiên bản cũ hơn, cũng tiềm ẩn nhiều rủi ro vì thiếu nhiều tính năng bảo mật so với những hệ điều hành mới, hiện đại thời nay. Các máy chủ FTP cũ ít khi được các nhà quản trị mạng quan tâm cũng là “mồi ngon” cho các cuộc tấn công qua mạng. 

    Phần mềm văn phòng không cập nhật bản vá hoặc đã quá đát: Việc sử dụng Microsoft Office chưa cập nhật bản vá, đặc biệt là với các phiên bản đã cũ như Office 2002, Office 2003 và Office 2007 đem lại nhiều rủi ro cho người dùng. Một lỗ hổng bảo mật phổ biến là khả năng bị kẻ tấn công thực thi lệnh từ xa khi người dùng mở hay xem trước một tập tin có chứa mã độc hoặc truy cập một website độc hại. Nếu hacker khai thác lỗ hổng thành công thì có thể chiếm quyền điều khiển hệ thống nếu người dùng đang sử dụng tài khoản có quyền quản trị.  

    Ứng dụng ‘may đo’ quá cũ: Nhiều tổ chức ngày nay vẫn sử dụng phần mềm viết riêng cho mình, thường gọi là phần mềm ‘may đo’, với thời hạn đã quá lâu. Thậm chí đối tác phần mềm đã chuyển đổi mô hình kinh doanh hoặc giải thể, không còn nâng cấp hay cung cấp các bản vá cho phần mềm đó nữa. Nhiều phần mềm dạng này trong môi trường internet rộng mở ngày nay với nhiều cạm bẫy tinh vi, rất dễ bị hacker lợi dụng tấn công thông qua khai thác lỗ hổng bảo mật. 

    Trình duyệt web chưa vá: Lỗ hổng trình duyệt khá phổ biến. Không trình duyệt nào là không có lỗ hổng bảo mật. Các lỗ hổng phổ biến có thể kể đến như: giả mạo đường liên kết, tấn công XSS (cross-site scripting) chèn những đoạn script độc hại vào website, tấn công injection, lây nhiễm virus, làm tràn bộ đệm, khai thác ActiveX để chiếm quyền điều khiển hệ thống… Lời khuyên ở đây là bạn cần phải cập nhật thường xuyên trình duyệt web của mình ngay khi có thể, tốt nhất là để chế độ tự động cập nhật.

    Plug-in quá cũ: Plug-in trình duyệt cho các phần mềm nền web quá cũ là mục tiêu “ngon” cho hacker khai thác tấn công. Những plug-in chứa lỗ hổng bảo mật phần nhiều liên quan đến Adobe PDF và Adobe Flash (còn gọi là Shockwave Flash), cũng như Java và Microsoft Silverlight. Nhiều plug-in cho WordPress cũng chứa lỗ hổng bảo mật, do vậy WordPress cung cấp một plug-in để kiểm tra lỗ hổng của các plug-in được viết cho WordPress.

    Lỗ hổng bảo mật trong Adobe Flash Player đe dọa cả người dùng Windows và Mac.

    Thay đổi protocol

    TCP/IP khi mới ra đời vào thời internet còn hoang sơ, và bảo mật chưa phải là ưu tiên cao nhất trong quá trình phát triển bộ giao thức liên mạng này. Nhưng mọi thứ đã thay đổi đáng kể. Nhiều giao thức truyền thông đã được sửa đổi hay thay thế với khả năng bảo mật cao hơn. Một trong những thay đổi lớn gần đây là việc chuyển từ giao thức bảo mật Secure Sockets Layer (SSL), chạy trên nền TCP/IP, sang Transport Layer Security (TLS).

    Cả hai giao thức này đều mã hóa dữ liệu truyền và xác thực giữa ứng dụng và phía máy chủ, chẳng hạn như trình duyệt web và máy chủ web, và được thiết kế cho phép truyền thông bảo mật qua mạng internet. Tuy nhiên, chữ “secure” trong SSL giờ đã trở nên vô nghĩa vì lỗ hổng bảo mật SSL rất nguy hiểm đã bị phát hiện.

    Trong thực tế, thậm chí TLS 1.0 và cả TLS 1.1 cũng không an toàn. Các chuyên gia bảo mật khuyến nghị sử dụng TLS 1.2 trở lên. Điều đó có nghĩa là các máy chủ nên chạy phiên bản TLS mới nhất, đặc biệt là những máy chủ vận hành website thương mại điện tử.  PCI DSS 3.1, bộ tiêu chuẩn bảo mật mới nhất cho thẻ thanh toán, đã loại SSL và những phiên bản TLS ban đầu ra khỏi danh sách các chuẩn mã hóa được chấp thuận.

    Giao thức bảo mật SSL và kể cả TLS những phiên bản đầu đều không còn an toàn nữa.

    Thiết bị di động và IoT

    Thiết bị di động và IoT (Internet of Things) bùng nổ đem lại rất nhiều thuận lợi cho người dùng trong công việc và cuộc sống ngày nay. Tuy nhiên, cũng vì thế mà xuất hiện đồng loạt những lỗ hổng bảo mật đe dọa mất an toàn, an ninh thông tin. Dưới đây là một số mối quan tâm cấp bách trong rất nhiều vấn đề liên quan đến di động và IoT:

    Thiết bị di động và hệ điều hành cũ: Một số thiết bị chạy hệ điều hành cũ không thể cập nhật lên phiên bản mới hơn, và các bản cập nhật bảo mật chỉ hỗ trợ trong khoảng thời gian hạn chế. Chẳng hạn, iPhone 3 và các mẫu iPhone đời cũ hơn (là những iPhone mà Apple dừng bán vào tháng 10/2011, thời điểm ra mắt của iPhone 4S) không thể chạy các phiên bản iOS mới nhất tích hợp nhiều tính năng bảo mật. Các thiết bị Android lâu nay vẫn gặp khó khăn về cập nhật phiên bản Android mới vì chủng loại thiết bị quá nhiều, lại phụ thuộc vào khả năng hỗ trợ của các nhà sản xuất và cả nhà mạng chứ không riêng gì Google. Cần nhớ, Google cung cấp các bản cập nhật bảo mật cho Android trong vòng 3 năm kể từ ngày phát hành, và sau hai năm thì nâng cấp lên phiên bản Android mới.

    Thiết bị IoT cũ: Trước đây, khi khái niệm IoT chưa phổ biến đã có nhiều thiết bị có khả năng kết nối mạng, chẳng hạn như các camera IP dùng để giám sát, chúng không được cập nhật thường xuyên và thường sử dụng những giao thức không an toàn. Thiết bị IoT nhìn chung thiếu tính bảo mật, thêm vào đó những thiết bị đã cũ vẫn được dùng khiến tình hình bảo mật càng đáng lo ngại. 

    Thêm vài khuyến nghị

    Các chuyên gia bảo mật khuyến nghị người dùng cần cập nhật ứng dụng và các bản vá kịp thời, và hạn chế các quyền quản trị đối với ứng dụng cũng như hệ điều hành nhằm giảm thiểu rủi ro khi sử dụng thiết bị.

    Các tổ chức cũng nên thiết lập chế độ tự động cập nhật (nếu có thể) cho hệ điều hành và ứng dụng, ngoại trừ trường hợp những người quản trị hệ thống có lý do riêng để không thực hiện điều đó. Với các hộ gia đình và văn phòng nhỏ, cần cập nhật firmware cho các router họ đang sử dụng. Có thể dùng tính năng tự động cập nhật, hoặc bạn truy cập trang hỗ trợ kỹ thuật của nhà sản xuất để tải về bản cập nhật và tự cài đặt cho router. Với các thiết bị di động, hãy lưu ý cập nhật phần mềm mới nhất, và các tổ chức phải hướng dẫn người dùng chỉ tải về các bản cập nhật từ những nguồn đáng tin cậy, như Apple Store hay Google Play.

    Theo các chuyên gia bảo mật, mọi tổ chức và người dùng muốn bảo vệ hiệu quả môi trường IT của mình thì điều quan trọng là phải theo dõi thường xuyên thông tin về những lỗ hổng bảo mật. Một trong những nơi đáng tin cậy để bạn tìm hiểu những cảnh báo bảo mật là trang web của Trung tâm ứng cứu khẩn cấp máy tính Mỹ (US-CERT), địa chỉ: https://www.us-cert.gov/ncas/alerts.

    Với những tổ chức đang sử dụng các sản phẩm của Microsoft, hãy thường xuyên kiểm tra website Microsoft TechNet để nhận được những khuyến cáo mới nhất và nhận các bản tin thường xuyên về bảo mật, hoặc đăng ký nhận các thông báo về bảo mật qua RSS hoặc email. 

    PC World VN 11/2016

    ID: A1611_44