• Thứ Sáu, 18/06/2010 18:05 (GMT+7)
    Bảo mật ứng dụng web:

    CAPTCHA không còn an toàn

    Hải Phạm
    Cơ chế bảo vệ bằng ký tự phức tạp (CAPTCHA) đang phổ biến trong ứng dụng web. Nhưng giờ đây, các chuyên gia cho thấy nó không còn an toàn nữa.

    Bảo mật hiện được các doanh nghiệp quan tâm đặc biệt.
    Ngày 17/6/2010, Chi hội An toàn thông tin phía Nam đã tổ chức buổi hội thảo “Bảo mật ứng dụng web”. Nội dung gồm 3 chủ đề: giới thiệu OWASP Top 10 phiên bản 2010, giới thiệu cách khai thác lỗi bảo mật của cơ chế chứng thực người dùng bằng ký tự phực tạp (CAPTCHA) và quy trình bảo mật web.

    OWASP Top 10 là tài liệu công bố 10 rủi ro bảo mật của ứng dụng web. Và là một phần của Open Web Application Security Project, viết tắt là OWASP.

    Cho đến thời điểm này, OWASP Top 10 có 3 phiên bản: 2004, 2007 và 2010. Trong phiên bản 2010, rủi ro chèn dữ liệu ác ý (injection flaws) xếp đầu tiên, kịch bản chéo trang tấn công người dùng cuối (Cross-Site-Scripting) vị trí thứ 2 và chiếm phiên truy cập của người dùng (Broken Authentication and Session Management) từ vị trí số 7 năm 2007 lên thứ 3 năm 2010. Hai rủi ro bị loại bỏ khỏi danh sách là thực thi mã độc (Malicious File Execution), và quản lý thông tin lỗi trả về (Information Leakage and Improper Error Handling).

    Hầu hết các hệ thống web cho phép đăng ký người dùng đều có cơ chế xác thực người dùng bằng hình ảnh chứa các ký tự khó đọc. Mục đích để đảm bảo là con người thực đang thao tác.

    Tuy nhiên, ông Dương Ngọc Thái, Trưởng phòng an toàn thông tin của ngân hàng Đông A và cộng tác Juliano Rizzo đã chỉ ra cách làm trên không còn được an toàn nữa.

    Để chứng minh, ông Thái đã trình diễn giải mã chuỗi ký tự cần người dùng nhập vào từ 1 chuỗi ký tự mã hóa. Tổng thời gian tìm ra chuỗi ký tự hơn 4 phút. Để khắc phục điểm yếu này, ông Thái chia sẻ thêm, cách cơ bản là các nhà phát triển nên dùng các thư viện mã hóa có sẵn như Cryptlib khi cài đặt cơ chế xác thực người dùng.

    Ở quan điểm là người đánh giá, kiểm định hệ thống bảo mật ông Cường Phạm, Giám đốc dự án của Athena chia sẻ: “đánh giá ứng dụng web có an toàn hay không là một quy trình gồm nhiều bước. Từ thu thập thông tin, phân tích cho đến thẩm định hệ thống theo nhiều cách khác nhau”.