Lỗ hổng "siêu nguy hiểm" cho phép hacker kiểm soát mạng Web

Posted by chiasedamme on Thursday, May 6, 2010




Các đại gia công nghệ đang ráo riết tìm cách bịt lại một lỗ hổng nằm sâu bên trong "nền cốt" của Internet, có thể cho phép hacker kiểm soát lưu lượng dữ liệu qua lại trên toàn mạng World Wide Web.

Từ nhiều tháng qua, các hãng phần mềm và phần cứng chủ chốt đã hợp tác trong "bí mật" để tạo ra một miếng vá cho lỗ hổng này.

Và cuối cùng, thành phẩm hoàn thiện sẽ được chính thức phát hành kể từ hôm nay.

"Lỗ hổng liên quan đến cơ chế điều dẫn máy tính tới các địa chỉ trang web. Đây là một vấn đề rất cơ bản, quyết định toàn bộ quy trình vận hành của mạng Internet", chuyên gia Rich Mogul của hãng bảo mật Securosis tuyên bố trong cuộc họp báo.

"Bạn sẽ vẫn có mạng Internet để sử dụng. Nhưng đó không phải là một Internet mà bạn đã biết. Hacker sẽ kiểm soát mọi thứ".

Khai thác triệt để lỗ hổng này, bọn tội phạm mạng sẽ thỏa sức mở các chiến dịch phishing, dẫn dụ người dùng ghé thăm những trang web lừa đảo, mạo danh.

Họ sẽ bị lừa tiết lộ số tài khoản ngân hàng, thẻ tín dụng, mật khẩu cùng nhiều thông tin thiết thân khác.

Chưa hết, kẻ tấn công còn có thể sử dụng lỗ hổng để điều dẫn người dùng Internet tới bất cứ nơi nào chúng muốn, dù họ có gõ địa chỉ website là gì đi nữa.

Chuyên gia Dan Kaminsky của IOActive phát hiện ra lỗ hổng DNS (Hệ thống tên miền) này từ cách đây 6 tháng và ngay lập tức "toát mồ hôi" liên hệ với Microsoft, Sun cùng Cisco để tìm ra giải pháp khắc phục.

Mọi máy tính đều phải sử dụng hệ thống DNS để kết nối với mạng Internet. Cơ chế hoạt động của DNS tương tự như hệ thống điện thoại, điều dẫn các cuộc gọi tới đúng địa chỉ của nó.

"Người dùng nên thận trọng nhưng cũng không nên quá hoảng loạn", ông Kaminsky trấn an. "Chúng tôi đã có đủ thời gian để kiểm tra và ứng dụng miếng vá".

Không nên hoảng loạn

Bản thân ông đã xây dựng một trang web riêng tại địa chỉ www.doxpara.com, nơi người dùng có thể kiểm tra xem máy tính của mình có dính phải lỗ hổng DNS hay không.

Kaminsky chỉ là 1 trong số 16 chuyên gia bảo mật tham dự cuộc họp "khẩn và kín" tại đại bản doanh của Microsoft hồi tháng 3 vừa qua, với mục tiêu xử lý lỗ hổng càng nhanh càng tốt.

"Tôi phát hiện ra nó hoàn toàn tình cờ", ông kể lại. "Tôi đang nghiên cứu một vấn đề chẳng liên quan gì đến bảo mật cả. Vấn đề này không chỉ ảnh hưởng đến Microsoft và Cisco mà là tất cả mọi người".

Chưa bao giờ trọng trách của "nhóm tác chiến" lại nặng nề đến vậy. Họ phải tạo ra một miếng vá có thể chạy được đồng thời trên tất cả các nền tảng phần mềm máy tính hiện có.

"Khối lượng công việc cực kỳ khổng lồ, nhưng lại phải hoàn thành trong một thời gian siêu tốc", Kaminsky chia sẻ.

"Chúng tôi đã chung sức đồng lòng để bảo vệ người dùng tới cùng".

Theo lịch, Microsoft sẽ phát hành miếng vá nói trên trong bản tin bảo mật tháng 7.

"Người dùng cá nhân lẫn các doanh nghiệp cần đảm bảo rằng máy tính của họ sẽ nhận được miếng vá này. Chỉ có vậy, họ mới không bị biến thành nạn nhân của hacker", Microsoft khuyến cáo.

"Hôm nay là một ngày cực kỳ quan trọng", ông Jeff Moss, người sáng lập ra Hội thảo bảo mật Black Hat bình luận. "Sự vụ lần này thực sự chứng minh giá trị của các chuyên gia nghiên cứu độc lập".

"Nếu Dan muốn bán lỗ hổng này, ông ấy sẽ trở nên giàu sụ. Nhưng không, Dan đã mang nó ra ánh sáng. Nếu được, tôi rất muốn khao ông ấy một chầu bia".

{ 0 comments... read them below or add one }

Post a Comment