• Thứ Hai, 03/08/2009 14:39 (GMT+7)

    Lỗ hổng trong SSL

    Các nhà nghiên cứu bảo mật đã phát hiện ra một số lỗ hổng nghiêm trọng trong nhiều phần mềm sử dụng giao thức mã hóa SSL.

    SSL (Secure Sockets Layer) là giao thức dùng để đảm bảo an toàn cho thông tin liên lạc trên Internet. Hôm 30/7/2009, tại hội nghị Black Hat ở Las Vegas (Mỹ), các nhà nghiên cứu đã tiết lộ một số kiểu tấn công có thể được dùng để làm thương tổn việc trao đổi thông tin an toàn giữa website và trình duyệt (tấn công có thể cho phép tin tặc đánh cắp mật khẩu, chiếm đoạt 1 phiên giao dịch ngân hàng trực tuyến hay thậm chí là đưa ra một bản cập nhật trình duyệt Firefox có chứa mã độc).

    Vấn đề nằm trong cách nhiều trình duyệt thực thi SSL và trong hệ thống hạ tầng khóa công khai X.509 (dùng để quản lý các chứng thức số được SSL sử dụng để quyết định xem website có đáng tin cậy hay không).

    Nhà nghiên cứu bảo mật có nickname là Moxie Marlinspike giới thiệu kiểu tấn công “null-termination certificate” làm gián đoạn phiên duyệt SSL giữa client và server (trong kiểu tấn công này, nếu viết “www.paypal.com\0.thoughtcrime.org” sẽ được hiểu thành “www.paypal.com”). Loại tấn công kiểu “man-in-the-middle” này không thể phát hiện được, nếu lan rộng sẽ ảnh hưởng tới Internet Explorer, Firefox 3.0, phần mềm mạng riêng ảo VPN (virtual private network), các trình e-mail client và IM (instant messaging). Để bịt lỗ hổng này thì cần cập nhật, sửa chữa cho hệ thống X.509.

    Sự việc còn trở nên tồi tệ hơn khi 2 nhà nghiên cứu bảo mật Dan Kaminsky và Len Sassaman báo cáo phát hiện ra một số lớn chương trình web phụ thuộc vấn đề chứng thực có sử dụng công nghệ mã hóa không an toàn MD2. Để khắc phục vấn đề này, các nhà sản xuất phần mềm phải xử lý code để loại bỏ MD2 ra khỏi sản phẩm.

    Bạch Đình Vinh
    Theo IDG News Service, 30/7/2009

    ID: O0908_1