Mổ xẻ kiểu tấn công qua “Trái tim rỉ máu”

07:51, 19/04/2014
|

(VnMedia) - Symantec mới đây đã đăng tải một bài viết trên blog về ảnh hưởng của mối đe dọa bảo mật HeartBleed đối với các thiết bị của người dùng và đối với kỷ nguyên “mọi thứ kết nối Internet” (IoT - The Internet of Things).

Mặc dù đã có rất nhiều bài viết đề cập tới mối đe dọa bảo mật Heartbleed, bài viết trên blog của Symantec đưa ra một góc độ phân tích mới về mức độ ảnh hưởng của Heartbleed đối với người dùng cá nhân và doanh nghiệp trong tương lai gần.  

Heartbleed làm ảnh hưởng tới các phần mềm trình khách (client software) như trình khách Web, trình khách email, trình khách chat, trình khách FTP, các ứng dụng di động, trình khách VPN, các chương trình cập nhật phần mềm – đây chỉ là một số nhỏ những ứng dụng bị ảnh hưởng. Nói tóm lại, bất kỳ trình khách nào tương tác thông qua các giao thức bảo mật SSL/TLS sử dụng phiên bản OpenSSL chứa lỗ hổng bảo mật đều có thể bị tấn công. 

Hơn nữa, Heartbleed ảnh hưởng tới rất nhiều máy chủ khác ngoài những máy chủ Web, trong đó có máy chủ proxies, máy chủ media, máy chủ game, máy chủ CSDL, máy chủ chat và máy chủ FTP. Các thiết bị phần cứng cũng không miễn nhiễm với mối đe dọa bảo mật này. Nó có thể ảnh hưởng tới các bộ định tuyến routers, các hệ thống điện thoại doanh nghiệp (FBXes) và nhiều nhiều thiết bị khác nữa trong kỷ nguyên “mọi thứ kết nối Internet”.  

Việc tấn công những máy chủ phần mềm và phần cứng này thông qua lỗ hổng bảo mật Heartbleed được thực hiện theo cách tương tự như tấn công vào một trang web có chứa lỗ hổng bảo mật. Tuy nhiên, những tấn công vào các trình khách, về cơ bản, có thể được thực hiện theo phương thức ngược lại.

Thông thường, việc khai thác lỗ hổng Heartbleed được mô tả là một trình khách tấn công bằng cách gửi một thông điệp có chứa Heartbleed độc hại tới máy chủ có lỗ hổng, sau đó máy chủ sẽ để lộ dữ liệu cá nhân. Tuy nhiên, phương thức ngược lại cũng khả thi. Một trình khách có chứa lỗ hổng có thể kết nối tới một máy chủ, và máy chủ này có thể gửi thông điệp kèm Heartbleed độc hại tới trình khách. Sau đó, trình khách sẽ phản hồi lại với những dữ liệu phụ được tìm thấy trong bộ nhớ của nó, điều này tiềm ẩn nguy cơ lộ thông tin cá nhân và các dữ liệu cá nhân khác.  

Ảnh minh họa
Minh họa một trình khách có chứa lỗ hổng bị tấn công theo phương thức ngược lại với tấn công vào một máy chủ.

Hai thủ thuật tấn công chủ đạo là hướng dẫn khách hàng truy nhập vào một máy chủ SSL/TLS độc hại và/hoặc lấy cắp 1 kết nối qua một điểm yếu không liên quan. Cả 2 phương pháp đều thực sự khá phức tạp đối với những kẻ tấn công.

Hầu hết các trang Web phổ biến không sử dụng OpenSSL, và các thư viện dịch vụ bảo mật mạng (NSS  libraries) là không có lỗ hổng bảo mật để Heartbleed có thể khai thác được. Tuy nhiên, nhiều dòng lệnh trên trình khách Web có sử dụng OpenSSL (giả dụ dòng lệnh wget và curl) – đây chính là các lỗ hổng có thể bị tận dụng.    

Lấy cắp một kết nối

Trong các mạng chia sẻ mở như các mạng Wifi công cộng, lưu lượng mạng có thể được xem và điều chỉnh bởi những người lạ, điều này cho phép các kẻ tấn công chuyển hướng các trình khách chứa lỗ hổng. Thông thường, các công nghệ bảo mật SSL/TLS (giả dụ HTTPS, duyệt web mã hóa) là một trong những giải pháp cho vấn đề này, bởi vì việc mã hóa ngăn chặn bị xem lén và chuyển hướng. Tuy nhiên, một kẻ tấn công có thể gửi nhiều thông điệp Heartbleed độc hại trước khi các phiên SSL/TLS được thiết lập hoàn chỉnh.    

Một kẻ tấn công có thể tham gia vào một mạng công cộng và xem lén các nạn nhân tiềm năng. Khi một nạn nhân tiềm năng sử dụng một trình khách có chứa lỗ hổng để thiết lập một kết nối SSL/TLS tới một máy chủ chính thống, kẻ tấn công sẽ chuyển hướng kết nối tới một máy chủ độc hại. Trước khi kết  nối SSL/TLS được thiết lập hoàn chỉnh và có khả năng ngăn chặn mọi sự chuyển hướng, kẻ tấn công đã có thể gửi nhiều thông điệp Heartbleed độc hại để trích xuất những nội dung nằm trong bộ nhớ máy tính của nạn nhân. Những nội dung này có thể bao gồm dữ liệu cá nhân như thông tin chi tiết của người dùng.  
 
Lời khuyên cho các doanh nghiệp:

- Đây là một lỗ hổng bảo mật thuộc thư viện OpenSSL và không phải là lỗi nằm trong SSL/TLS hay những chứng nhận được Symantec đưa ra.

- Bất kỳ ai đang sử dụng OpenSSL 1.0.1 tới 1.0.1f nên cập nhật phiên bản vá mới nhất của phần mềm (1.0.1g) hoặc thiết lập lại OpenSSL loại bỏ phần Heartbleed.

- Sau khi nâng cấp lên phiên bản OpenSSL vá lỗi, nếu bạn nghi ngờ rằng chứng nhận trên máy chủ web của bạn có thể đã bị lộ, lấy cắp hoặc bị khai thác, hãy liên hệ với đơn  vị cấp chứng nhận để thay thế.

- Cuối cùng, các doanh nghiệp cũng nên cân nhắc thiết lập lại mật khẩu của người dùng cuối – có thể đã bị lộ trên bộ nhớ máy chủ.

Lời khuyên cho người dùng cuối:

- Người dùng cuối nên cảnh giác rằng dữ liệu của mình có thể đã bị lộ cho một bên thứ ba vì sử dụng nhà cung cấp dịch vụ có chứa lỗ hổng bảo mật.

- Theo dõi để biết bất kỳ thông báo nào từ nhà cung cấp dịch vụ bạn sử dụng. Khi nhà cung cấp dịch vụ liên hệ và thông báo với người dùng rằng họ nên thay mật khẩu, người dùng nên làm như vậy.

- Tránh những email lừa đảo từ những kẻ tấn công yêu cầu bạn cập nhật mật khẩu, tránh truy nhập vào những website lạ, chỉ nên truy nhập vào những tên miền chính thống.

- Sử dụng các dịch vụ và website uy tín bởi họ sẽ là những người đầu tiên vá lỗ hổng bảo mật này.

- Theo dõi tài khoản ngân hàng và thẻ tín dụng để phát hiện những khoản chi tiêu bất thường nào.

Lời khuyên thêm:

- Tránh truy nhập vào những tên miền lạ với bất kỳ phần mềm trình khách nào.

- Ngừng sử dụng các dịch vụ proxy chưa được vá lỗi.

- Cập nhật phần cứng và phần mềm ngay khi nhà sản xuất công bố bản vá.

- Sử dụng một trình khách VPN và những dịch vụ được đảm bảo không bị ảnh hưởng bởi Heartbleed khi truy nhập trên các mạng công cộng.


Tuệ Minh - (Tổng hợp)

Ý kiến bạn đọc