Lỗi bảo mật "Freak" đe dọa nhiều triệu thiết bị, từ PC đến smartphone, tablet Apple, Microsoft, Google và nhiều triệu website. Xem cách kiểm tra, phòng tránh.
Đe dọa người dùng PC lẫn di động
Vài trăm triệu người dùng máy tính Windows và Mac, thiết bị di động Apple, Android... gặp nguy hiểm trước các cuộc tấn công khai thác lỗi bảo mật mang tên "Freak".
Người dùng máy tính Mac hay Windows, và cả thiết bị di động (smartphone / tablet) đều gặp nguy hiểm trước lỗi Freak, có thể bị mất tài khoản, dữ liệu giao dịch... - Ảnh minh họa: Internet |
Người dùng vẫn có thể bị hack qua lỗi này khi truy cập vào một trong nhiều triệu website có chế độ bảo mật (HTTPS), bao gồm cả website Nhà trắng hay FBI hoặc chỉ đơn thuần nhấn nút "Like" của Facebook khi xem tin trên một trang web.
Một khi bị hack, người dùng có thể bị đánh cắp dữ liệu trao đổi giữa thiết bị của họ với máy chủ dịch vụ/web có dùng chế độ mã hóa, như mật khẩu tài khoản, thông tin cá nhân, hoặc bị lợi dụng để tấn công các website khác. Sau đó, dữ liệu có thể được giải mã. Ngoài ra, Hacker còn có thể nhúng mã độc vào máy tính nạn nhân |
Lỗi bảo mật "Freak" được chín chuyên gia bảo mật khám phá và công bố ngày 3-3, đang làm "chấn động" giới công nghệ, gây lo lắng cho các hãng sản xuất phần cứng lẫn phần mềm do mức độ nguy hiểm và phạm vi ảnh hưởng.
Ban đầu, lỗi được cho là chỉ gây ảnh hưởng đến thiết bị di động dùng hệ điều hành Apple iOS gồm iPhone, iPod Touch và iPad, cùng máy Mac, và trình duyệt web mặc định trong hệ điều hành Google Android.
Tuy nhiên, chỉ vài ngày sau, giới công nghệ lẫn các cơ quan chính phủ thêm "hốt hoảng" khi Microsoft chính thức xác nhận máy tính dùng Windows cũng bị đe dọa bởi lỗi "Freak", làm gia tăng số lượng thiết bị trong tầm "bị tấn công" của lỗi Freak gia tăng lên vài trăm triệu.
Những website vướng lỗi có thể bị "bẻ khóa" mã hóa chỉ trong 7 giờ qua các hệ thống máy tính điện toán có thể thuê như Amazon EC2 với giá 104 USD. Theo đó, các cuộc tấn công có thể bắt đầu bởi bất kỳ người nào có kết nối Internet, tại văn phòng công ty, quán cà phê hay từ thư viện. |
Nadia Heninger, nhà mã hóa học từ ĐH Bang Pennsylvania (Mỹ)
|
Freak là gì?
Freak (viết tắt của Factoring RSA Export Keys) là lỗi bảo mật liên quan đến phần mã hóa của Web (SSL/TLS), cho phép kẻ tấn công đánh chặn các kết nối bảo mật HTTPS giữa thiết bị trạm (client) và máy chủ web (server), buộc sử dụng mã hóa kém hơn để chúng có thể bẻ gãy và đánh cắp dữ liệu nhạy cảm.
Lỗi bảo mật Freak cho phép kẻ tấn công "đánh chặn" dữ liệu trao đổi giữa thiết bị (PC, di động) người dùng với máy chủ web/dịch vụ có dùng chế độ mã hóa (SSL/TLS) - Ảnh minh họa: Internet |
Các chuyên gia khám phá ra lỗi Freak gồm Karthikeyan Bhargavan tại INRIA (Paris), nhóm miTLS, Matthew Green, Zakir Durumeric, David Adrian, Ariana Mirian, Michael Bailey, và J. Alex Halderman (ĐH Michigan).
Theo FreakAttack.com, trang web lập ra để theo dõi diễn biến của lỗi bảo mật này, hiện có gần 10% máy chủ HTTPS trong danh sách Một triệu tên miền hàng đầu Internet từ Alexa "mắc lỗi".
Về phía máy trạm, đa số các trình duyệt đều trong "tầm bắn", gồm: Internet Explorer, Opera, Chrome và Safari (Mac OS), Chrome và trình duyệt mặc định Web Browser (Android), Safari (iOS), Opera (Linux).
Tuy nhiên, theo thống kê của hai chuyên gia an ninh J. Alex Halderman và Zakir Durumeric từ ĐH Michigan, đến 1/3 website mã hóa (có biểu tượng ổ khóa màu vàng ở thanh địa chỉ khi truy cập) "phơi mình" trước lỗi. Từ các website các cơ quan tổ chức chính phủ, tin tức, bán lẻ cho đến các dịch vụ tài chính trực tuyến như AmericanExpress.com, 4shared.com, tinyurl.com, sedo.com, sec.gov, hostgator.in... (xem tại đây)
Hơn 5 triệu website trong tổng số 14 triệu website cung cấp chế độ bảo mật mã hóa tồn tại lỗi bảo mật "Freak" |
J. Alex Halderman, ĐH Michigan
|
Cách kiểm tra và phòng tránh
Cuộc chạy đua giữa "vá lỗi" và "khai thác lỗi", giữa các cơ quan chính phủ lo ngại vấn đề an ninh mạng, các nhà sản xuất phần cứng lẫn phần mềm và hacker bắt đầu.
Lỗi Freak nối tiếp "Trái tim rỉ máu" (heartbleed) hay lỗi SSL mang tên "Poodle" năm 2014 - Ảnh: |
Trong tuần, các website lớn như FBI.gov, Whitehouse.gov đã được khắc phục lỗi.
* Người dùng có thể tự kiểm tra qua công cụ được các chuyên gia bảo mật phát triển tại đây.
Microsoft khuyến cáo các quản trị hệ thống cần thực hiện những biến pháp như khóa các thiết lập trên máy chủ Windows cho phép dùng mã hóa yếu kém. Hiện Microsoft chưa có bản vá cập nhật để tự động bảo vệ máy tính Windows. Xem chi tiết khuyến cáo thực hiện của Microsoft tại đây.
Apple cho biết đang phát triển bản cập nhật ngăn lỗi và sẽ phát hành trong tuần sau.
Google đã phát hành bản vá cho Chrome trên Mac, phiên bản Chrome cho Android sẽ sớm có bản vá.
Mozilla đã cập nhật cho FireFox bảo vệ trình duyệt "Cáo lửa" trên cả OS X, Windows lẫn Android.
Quản trị hệ thống máy chủ tham khảo các khuyến nghị đối phó với lỗi Freak tại đây.
THANH TRỰC
Không có nhận xét nào:
Đăng nhận xét