FREAK: lỗ hổng bảo mật đáng sợ

Hiện nay, một lỗ hổng bảo mật phổ biến có tên là FREAK đang gây ảnh hưởng đến rất nhiều cư dân mạng, đặc biệt là những người sử dụng Google Android và Apple iPhone Safari.
FREAK: lỗ hổng bảo mật đáng sợ

FREAK có nghĩa là nỗi khiếp sợ nhưng bạn đừng để nó khiến bạn phải khiếp sợ. Mặc dù có rất nhiều website và thiết bị có chứa lỗ hổng, nhưng để tiến hành một cuộc tấn công FREAK không phải chuyện đơn giản và các phần mềm xử lý vấn đề này hiện đang được phát triển.

FREAK được Viện nghiên cứu Khoa học máy tính và Tự động hóa Pháp cùng Microsoft phát hiện ra. Lỗ hổng này ảnh hưởng đến giao thức bảo mật SSL và TLS, (là các giao thức mật mã nhằm mục đích bảo mật sự vận chuyển trên Internet).

Cụ thể là, người mã hóa đã phát hiện ra các vấn đề nằm trong OpenSSL được sử dụng trong trình duyệt Android Chrome và Safari.

Bất cứ ai cùng dùng chung mạng đều có thể trở thành mục tiêu. Tin tặc có thể dùng bọ (bug) để giảm mức độ mã hóa được sử dụng giữa một trình duyệt và một trang web được bảo vệ bởi HTTPS và biến nó thành một trang yếu hơn đến mức có thể crack được.

Vấn đề là gì?

Vấn đề phát sinh từ cách đây nhiều năm, khoảng những năm 1990, khi các công ty Mỹ được yêu cầu bí mật làm yếu đi mức mã hóa theo quy định của chính phủ Mỹ về cấm xuất khẩu các thuật toán mã hóa tốt hơn.

Vào lúc đó, độ dài một mã khóa cho phép tối là 512 bits, ngày nay mã khóa này dễ dàng bị bẻ gãy. Theo chuyên gia mã hóa Matthew Green, người dạy về mã hóa tại Đại học John Hopkins, chính phủ Mỹ đã yêu cầu điều này để NSA có thể truy cập vào các phương tiện liên lạc của nước ngoài mà vẫn tỏ ra là quốc gia này luôn cố gắng đưa mã khóa đến cho mọi người.

Giáo sư Ross Anderson, người đã xây dựng nhóm mã hóa tại trường Đại học Cambridge, đã chứng kiến “trường hợp đầu tiên về lỗi bảo mật này vào khoảng năm 1994 hoặc 1995 khi một nhân viên của Microsoft phát hiện ra một cuộc tấn công trên SSL. 

Vào lúc đó, Netscape là một đối thủ của Microsoft, vì vậy Microsoft đã lục lọi các lỗi của họ để có thể “mách” với các cơ quan quản lý tiêu chuẩn”.

Khi việc mã hóa web trở nên tốt hơn với các từ khóa dài hơn và mạnh hơn, những kẻ tấn công cũng gặp khó khăn hơn khi muốn bẻ các khóa này. 

Sau khi không thể ép các quốc gia khác sử dụng như loại mã khóa yếu, chính phủ Mỹ dường như đã không còn có thể theo dõi việc liên lạc trên các website của mọi người bằng hình thức này.

Nhưng vẫn có một vẫn đề rõ ràng và ảnh hưởng đến tận ngày nay, đó là: một số trình duyệt và máy chủ web vẫn được lập trình để chấp nhận những loại mã hóa yếu này.

Chức năng bảo vệ được đặt lên vai những yếu tố như OpenSSL và người phát triển trình duyệt. Nhưng do một lỗi nào đó trong quá trình thực hiện việc mã hóa RSA, kẻ tấn công có thể lừa các trình duyệt kết nối vào những website mã hóa bằng các mã 512 bit.

Để thực hiện một vụ tấn công sử dụng lỗ hổng này, kẻ tấn công sẽ đến một trang bị ảnh hưởng, tìm ra các phần mã hóa yếu của nó và sau đó crack các mã đó.

Với mã hóa đã được crack, tin tặc có thể sử dụng mạng đó, ở giữa một trình duyệt có lỗ hổng và máy chủ của trang để chặn việc liên lạc của mục tiêu với trang đó và nhìn thấy tất cả mọi thứ ở định dạng không được mã hóa.

Các hacker cũng có thể thay đổi nội dung như ý muốn và còn có thể đánh lừa người sử dụng trao cho chúng các dữ liệu như tài khoản và mật khẩu. 

Điều đáng lo là: để tạo ra một mã khóa yếu không quá khó khăn. Nhà nghiên cứu Nadia Heninger từ Đại học Pennsylvinia đã nhận ra ông có thể tạo ra một mã 512 bit chỉ trong vòng 7,5 giờ với 104 USD bằng cách sử dụng Amazon Web Services.

Những trang web nào bị ảnh hưởng?

Để tạo ra một cuộc tấn công, bạn cần phải có một máy khách có bọ được kết nối vào các website chấp nhận các loại mã hóa ở mức yếu này. 12,2% các trang trong top 1 triệu trang trên Alexa chấp nhận các mã hóa yếu này.

Hầu hết các trang này đều được hỗ trợ CDN (là mạng lưới gồm nhiều máy chủ lưu trữ đặt tại nhiều vị trí địa lý khác nhau, cùng làm việc chung để phân phối nội dung, truyền tải hình ảnh, CSS, Javascript, video clip, Real-time media streaming, file download đến người dùng cuối.

Cơ chế hoạt động của CDN giúp cho khách hàng truy cập nhanh vào dữ liệu máy chủ web gần họ nhất thay vì phải truy cập vào dữ liệu máy chủ web tại trung tâm dữ liệu), bao gồm một trong những trang lớn nhất thế giới như Akamai.

Rất nhiều các công ty tài chính cũng bị ảnh hưởng, bao gồm American Express, các công ty truyền thông như Business Insider, Bloomberg. Nhiều website chính phủ như whitehouse.gov, nsa.gov và các trang của FBI như tips.fbi.gov cũng bị ảnh hưởng.

Thiết bị của tôi có bị ảnh hưởng không?

Nghe có vẻ đáng sợ nhưng trên thực tế, có nhiều cách dễ hơn để các hacker săm soi cuộc sống trên mạng của bạn. Muốn bắt đầu, một hacker FREAK phải tìm thấy một mục tiêu sử dụng các máy tính, điện thoại hoặc máy tính bảng dễ bị tổn thương và hy vọng các thiết bị này sử dụng các trang bị ảnh hưởng. Ngoài ra, những thiết bị này cùng hacker phải dùng chung một mạng.

Vậy những phần mềm nào dễ bị tổn thương? Theo chuyên gia mã hóa Green Matthew, trình duyệt Safari trên tất cả các thiết bị của Apple, bao gồm iPhone, Mac, iPad cũng như các trình duyệt sử dụng OpenSSL trên Android đều là những phần mềm dễ bị tổn thương trước các cuộc tấn công FREAK.

255 website của Việt Nam cũng có nguy cơ bị tấn công bởi lỗ hổng bảo mật này. Google hiện vẫn chưa đưa ra lời phản hồi nào trước yêu cầu bình luận. 

Một phát ngôn viên của Apple xác nhận hãng đang tiến hành sửa chữa lỗi này: “Chúng tôi có một bản sửa lỗi trên iOS và OS X và sẽ cho phép cập nhật trong tuần tới”.

Một bản sửa lỗi OpenSSL đã được đưa ra từ tháng 1 nhưng những nhà sản xuất Android mất khá nhiều thời gian để đưa ra các bản cập nhật, vì vậy sẽ mất một thời gian nữa thì những người sử dụng Android mới được an toàn trước nguy cơ tấn công FREAK.

Ngoài cách cập nhật trình duyệt khi có bản sửa lỗi, sử dụng mạng riêng ảo (VPN) cũng là một cách để tránh các cuộc tấn công này. Nếu không, bạn chỉ còn cách hy vọng không có ai muốn soi mói bạn và đừng sử dụng các mạng Wi-Fi công cộng không đáng tin.

Ông Green tổng kết lại một bài học quan trọng nhất đó là: Việc làm yếu các mã khóa là những hành động từ những năm 1980 để giúp các cơ quan tình báo có thể giám sát các hoạt động của những quốc gia khác. Tuy nhiên đây là một cách sai lầm, quá sai lầm khiến chúng ta vẫn phải chịu ảnh hưởng cho đến ngày nay.

Theo ITC News/Forbes
Trẻ em tại huyện vùng sâu, vùng xa Gia Lai.

Gia Lai chú trọng phổ cập giáo dục, xoá mù chữ ở vùng đồng bào dân tộc thiểu số

GD&TĐ - Trong năm 2021, tổng số trẻ 6 tuổi huy động vào lớp 1 là 33.451/33.485, đạt tỉ lệ 99,9%. Để duy trì và nâng cao tỉ lệ phổ cập giáo dục, xoá mù chữ, Gia Lai đặc biệt chú trọng đối với vùng dân tộc thiểu số, vùng sâu, vùng xa, vùng có điều kiện kinh tế - xã hội đặc biệt khó khăn.
Giáo viên Mỹ học cách sử dụng súng.

Giáo viên Mỹ học bắn súng để bảo vệ trường lớp

GD&TĐ -Sau hàng loạt vụ tấn công xả súng nhằm vào trường học tại Mỹ, nhiều giáo viên nước này đã đăng ký khóa đào tạo sử dụng súng. Tuy nhiên, các khóa học này đã vấp phải ý kiến trái chiều từ dư luận.
Tiết mục biểu diễn tại Chương trình nghệ thuật “Ơn nghĩa sinh thành”.

Xúc động Chương trình nghệ thuật “Ơn nghĩa sinh thành 2022” tri ân cha mẹ mùa Vu Lan

Với nhiều tiết mục nghệ thuật được dàn dựng công phu cùng các chia sẻ sâu lắng, giàu cảm xúc của các khách mời, Chương trình nghệ thuật “Ơn nghĩa sinh thành” mùa Vu Lan 2022 đã truyền tải đến người xem thông điệp ý nghĩa về sự tri ân, lòng biết ơn công sinh thành, dưỡng dục của cha mẹ.
Học viên Trường Trung cấp nghề Hồng Ngự, Đồng Tháp trong giờ thực hành.

Nâng chất nguồn nhân lực từ đào tạo nghề

GD&TĐ - Đồng Tháp là địa phương ở Đồng bằng sông Cửu Long đi đầu trong công tác đào tạo nghề, đặc biệt là đào tạo nghề cho nguồn nhân lực tham gia xuất khẩu lao động tại nước ngoài.
Tường của nhà dân bị nứt do quá trình thi công đường Đông Tây 1 kéo dài.

Thanh Hóa: Hơn 150 hộ dân mòn mỏi chờ bồi thường nứt nhà

GD&TĐ - Hơn 150 hộ dân ở phường Trúc Lâm, Xuân Lâm và xã Phú Lâm (thị xã Nghi Sơn, Thanh Hóa) bị nứt nhà do quá trình thi công tuyến đường Đông Tây 1 kéo dài, thế nhưng nhiều lần kiến nghị, người dân nơi đây vẫn chưa nhận được bồi thường.
Nguyễn Hữu Nguyên tại cơ quan chức năng.

Ngăn chặn nam thanh niên nghi lừa bán bé gái ra nước ngoài

GD&TĐ - Ngày 10/8, Cục Cảnh sát giao thông (Bộ Công an) cho biết, sau khi nhận được thông tin về việc có cháu gái tên Đ.T. K. L (SN: 2008, ở Nam Định) nghi bị một đối tượng lôi kéo lừa bán ra nước ngoài, đang di chuyển bằng ô tô đi hướng vào các tỉnh phía Nam.
Trần Đoàn Minh Thùy trong lễ phục tốt nghiệp THPT của Trường Quốc tế Á Châu. Ảnh: NVCC

Nữ thủ khoa theo ngành Y để giúp nhiều người

GD&TĐ - Với tổng điểm thi là 54, Trần Đoàn Minh Thùy - học sinh lớp 12 Trường Quốc tế Á Châu (TPHCM) trở thành một trong 3 thí sinh có số điểm cao nhất Kỳ thi tốt nghiệp THPT 2022 của TPHCM. Đồng thời, nữ sinh cũng là một trong hai thủ khoa khối KHTN của TP.