• Thứ Hai, 13/04/2009 05:59 (GMT+7)

    Chặn đứng kiểu tấn công “ngày zero” nhắm vào IE

    Mặc dù gần đây có nhiều lỗi được vá, trong đó có 23 lỗi nghiêm trọng, nhưng Microsoft vẫn không để mắt đến một lỗi hiện diện trong tất cả phiên bản IE (bao gồm IE 8 Beta 2).

    Lỗi này đã nhanh chóng tạo nên làn sóng các cuộc tấn công “ngày zero” trên mạng trước khi Microsoft nghĩ ra giải pháp khắc phục.

    Lỗi này tác động đến 1 hàm then chốt gọi là “data binding” mà IE cần để làm việc với ngôn ngữ web XML; lỗi này làm cho việc giải phóng bộ nhớ (khi không còn cần dùng) không thực hiện đúng.

    Chương trình hiểm độc có thể khai thác lỗi này bằng cách nạp đoạn mã của nó vào bộ nhớ thừa để chiếm quyền kiểm soát máy tính. Nếu bạn viếng thăm 1 site cài bẫy hay nhấn lên 1 liên kết “độc” trong email, thì ngay cả mức bảo mật của IE được thiết lập ở cấp cao nhất cũng không ngăn cản được nó.

    Các nhà phát triển của Microsoft vội vã đưa ra bản vá lỗ hổng này, nhưng cũng phải mất đến 1 tuần. Trong thời gian đó các cuộc tấn công đã bùng phát.

    Vì cần đưa ra bản vá nhanh, Microsoft đã không cung cấp bản sửa lỗi IE dưới dạng bản cập nhật thông thường, một dấu hiệu cho thấy mức độ nguy hiểm của lỗi này. Các cuộc tấn công đã diễn ra, vì vậy Microsoft thúc giục người dùng tải về bản vá càng sớm càng tốt (nếu không thiết lập chế độ cập nhật tự động); tải về tại find.pcworld.com/62120.

    Khử 23 lỗi

    Còn về 23 lỗi nghiêm trọng khác? Trước khi các cuộc tấn công “ngày zero” bùng phát, Microsoft đã đưa ra 1 bản vá sửa 4 lỗi nghiêm trọng trong IE từ phiên bản 5.01 (trên Windows 2000 SP4) đến IE7 (trên Vista SP1).

    Phần lớn các lỗi này tương tự về mặt kỹ thuật với lỗ hổng “ngày zero”. Nhưng khác ở chỗ không có lỗi nào trong số này bị khai thác. Hãy cập nhật ngay các bản vá mới nhất. Xem find.pcworld.com/62119 để có thêm thông tin và liên kết đến các bản vá.

    Microsoft cũng sửa chữa 2 lỗi trong giao tiếp thiết bị đồ họa của Windows, giao tiếp này cho phép các chương trình hiển thị text và đồ hoạ theo định dạng Windows Metafile (xem find.pcworld.com/62123 để có thông tin chi tiết và liên kết đến bản sửa lỗi); hai lỗ hổng trong Windows Search của Windows Vista (xem find.pcworld.com/62121); và một loạt lỗi trong Office, trong đó có 1 lỗi nghiêm trọng ảnh hưởng đến Word 2007.

    Lỗi trình duyệt cho phép tấn công phishing không qua email

    Theo kiểu tấn công phishing truyền thống, tin tặc gửi hàng triệu email giả mạo trông giống như được gửi từ các công ty hợp pháp. Nhưng theo các nhà nghiên cứu của hãng bảo mật Trusteer, “tấn công phishing xen ngang” - một kiểu tấn công mới, có thể cho phép tin tặc đánh cắp thông tin giao dịch trực tuyến bằng cách dùng cửa sổ pop-up trong trình duyệt thay cho email. Tin tặc có thể đột nhập website của công ty nào đó để cấy đoạn mã HTML trông giống như pop-up cảnh báo bảo mật yêu cầu người dùng nhập vào thông tin đăng nhập và trả lời các câu hỏi bảo mật khác mà các ngân hàng thường dùng để xác thực khách hàng.

    Đối với tin tặc, vấn đề là làm sao thuyết phục nạn nhân rằng pop-up thông báo là hợp lệ. Một lỗi trong JavaScript của hầu hết trình duyệt phổ biến hiện nay đã giúp tin tặc thực hiện việc này, theo Amit Klein, giám đốc công nghệ của Trusteer. Nghiên cứu cách thức các trình duyệt dùng JavaScript, Klein đã phát hiện 1 cách thức để xác định ai đó có đăng nhập vào 1 website hay không, miễn là họ dùng 1 hàm JavaScript nhất định. Klein đã thông báo cho các hãng phát triển trình duyệt và hy vọng lỗi này sẽ sớm được vá.

    Đợi đến khi lỗi này được vá, tin tặc có thể tạo chương trình kiểm tra xem người duyệt web có đăng nhập một số site ngân hàng lớn được xác định trước hay không.

    Tầm quan trọng của việc kiểm soát tính riêng tư

    Tại sao chúng ta phải phục tùng các quy tắc về bảo mật và tính riêng tư mà các công ty đang áp dụng đối với dữ liệu nhạy cảm của mình? Hãy xem trường hợp truy lùng những kẻ tống tiền đe doạ tiết lộ hàng triệu hồ sơ y tế bị đánh cắp trên mạng. Việc điều tra đang được tiến hành với mức treo thưởng lên đến 1 triệu USD cho ai cung cấp thông tin dẫn đến việc bắt giữ và kết án những tên tội phạm. Express Scripts, 1 công ty lớn quản lý tiền trợ cấp thuốc men, đã thông báo cả công ty và khách hàng của công ty đều nhận được thư đe doạ tiết lộ thông tin cá nhân của khách hàng như số an sinh xã hội, địa chỉ, ngày-tháng-năm sinh, thông tin điều trị và nhiều thông tin khác nếu các yêu cầu tống tiền không được đáp ứng (xem thêm thông tin tại find.pcworld.com/62171).

    Cả FBI (cục điều tra liên bang Mỹ) lẫn Express Scripts đều không cung cấp thông tin chi tiết, nhưng Stephen Littlejohn, phó chủ tịch phụ trách đối ngoại của Express Scripts nói rằng các hồ sơ mà những kẻ tống tiền nêu ra trong thư “có liên quan đến dữ liệu” lưu giữ trong CSDL của công ty. Littlejohn thừa nhận Express Scripts không biết bằng cách nào mà bọn tội phạm lấy được các hồ sơ này, việc đánh cắp thực hiện từ trong công ty hay xâm nhập từ ngoài, cũng như không biết rõ bọn chúng thực sự có lấy cắp được hàng triệu hồ sơ như tuyên bố hay không. Littlejohn cho biết công ty sau đó đã thiết lập những phương thức kiểm soát tăng cường cho hệ thống của mình.

    Vài năm trước, 1 viên chức FBI cho rằng tội phạm máy tính chưa có được “tác động Enron” - ý nói rằng chưa đủ ầm ĩ lôi kéo sự chú ý của công luận để buộc các nhà làm luật và quan chức chính phủ có hành động thực sự để đối phó với các mối đe doạ bảo mật và riêng tư trong thế giới số. Vì trường hợp Express Scripts liên quan đến các hồ sơ y tế nhạy cảm và thông tin riêng tư và một khi bị xâm phạm sẽ không thể khôi phục nên nó có thể gây nên tác động Enron.

    Chuẩn hoá các luật xâm phạm dữ liệu

    Chỉ riêng việc bảo vệ tính riêng tư không đủ đảm bảo các công ty bảo vệ dữ liệu của chúng ta một cách thích đáng, chúng ta còn cần chuẩn hóa các điều luật xâm phạm dữ liệu sao cho các công ty phải thông báo một cách nhanh chóng dữ liệu thất lạc hay bị đánh cắp, nhờ vậy khuyến khích việc áp dụng những giải pháp bảo mật thích hợp.

    Việc lưu trữ và truyền tải các hồ sơ ở định dạng số có thể tiết kiệm chi phí rất lớn. Nhưng sự cố Express Script có ý nghĩa như một lời cảnh báo: chúng ta cần xem xét nghiêm túc cách thức kiểm soát dữ liệu cá nhân của mình.

    Thanh Phong
    PC World Mỹ 03/2009

    ID: A0903_111