Từ trước đến nay giao thức bảo mật  SSL  - Secure  Sockets Layer  là công nghệ  tiên tiến nhất trong việc đảm bảo an ninh khi truyền dữ liệu  qua mạng Internet  - với đặc trưng dễ nhận diện là thanh địa chỉ URL bắt đầu bằng HTTPS.

Tuy nhiên, cuối tháng 7  và đầu tháng 8  vừa qua, các nhà nghiên cứu  đã phát hiện ra một số lỗi cực kì nghiêm trọng có trên phần mềm sử dụng giao thức mã hoá theo công nghệ  này. Ở thời điểm đó, tham gia ở hội thảo Black Hat, các chuyên gia  an ninh mạng  đã trình diễn thử một số cuộc tấn công  nhằm vào giao thức SSL. Kết quả là thông tin  truyền tải giữa các trang web  và trình duyệt  hiển thị đã bị "xuyên thủng".

Kiểu tấn công  này có thể cho phép tin tặc đánh cắp mật khẩu, tấn công  vào một phiên giao dịch  ngân hàng  trực tuyến  bất kì, hay thậm chí gửi mã độc đính kèm vào các bản cập nhật trình duyệt  (Firefox) giả mạo.

Nạn nhân: không thể đếm xuể

Theo chuyên gia  an ninh Chris Paget, điểm nguy hiểm là kẻ tấn công  có thể sử dụng chúng để “oanh tạc” máy chủ  trong môi trường  chia sẻ  (shared host), máy chủ  mail, cơ sở dữ liệu  và hàng loạt ứng dụng an ninh khác. “Đó là một lỗ hổng  giao thức. Có rất nhiều ứng dụng, sản phẩm  phải vá liên quan đến SSL  như các trình duyệt, máy chủ, hệ thống  phân tải giữa các máy chủ, ứng dụng tăng tốc web, máy chủ  mail, máy chủ  SQL, driver ODBC và cả các giao thức chia sẻ  ngang hàng p-2-p”, người phụ trách công nghệ  của hãng tư vấn an ninh H4rdw4re LLC cho hay.

Mặc dù muốn tấn công, đầu tiên tin tặc  phải kiểm soát được mạng của nạn nhân  để tiếp tục thực hiện kiểu tấn công  người-đứng-giữa, nhưng hậu quả tiếp đến khi xảy ra là vô cùng nghiêm trọng, nhất là khi cuộc tấn công  nhắm vào việc đánh cắp cơ sở dữ liệu  và máy chủ  mail.

Là một công nghệ  được sử dụng rộng rãi trong thương mại  điện tử, giao dịch  trực tuyến, SSL  là đích ngắm thường xuyên của tin tặc. Các nhà nghiên cứu  an ninh cũng đặt nặng vấn đề bảo mật, nâng cao hiệu năng của giao thức này. Năm ngoái, một số chuyên gia  đã tìm ra cách tạo các chứng thực SSL  giả để đánh lừa trình duyệt. Tháng 8  vừa rồi, một số nhà nghiên cứu  cũng trình diễn các cuộc tấn công  dạng thức mới nhằm vào SSL. Tuy nhiên, khác với kiểu tấn công  trên, vốn yêu cầu phải sử dụng tới nền tảng hỗ trợ nhằm đối phó với chứng thực số SSL, lỗi gần đây nhất nằm ở chính giao thức này và do đó, công việc  vá lỗi sẽ khó khăn hơn rất nhiều. Vấn đề còn đi xa hơn khi thông tin  về lỗi SSL  đã bị phát tán qua hệ thống  mail  list, buộc các nhà phát triển  phần mềm phải tất tả vá lỗi sản phẩm.

Đầu tháng 8, các nhà nghiên cứu  ở công ty  an ninh mạngPhoneFactor Inc đã phát hiện được lỗ hổng  liên quan tới SSL. Trước đó,họ đã làm việc  liên tục trong hai tháng cùng Hiệp hội  các công ty  côngnghệ có tên Industry Consortium for Advancement of Security on the Internet  (ICASI), với dự án có tên Project Mogul, nhằm hợp tác rộng rãi để khắc phục  vấn đề.

Hớ hênh

Nhưng kế hoạch  cẩn trọng này đã bị đảo lộn hoàn toànvà có nguy cơ bị phá sản khi thứ Tư  vừa rồi, một kĩ sư của SAP AG cótên Martin Rex đã không nhận thức được mức độ nghiêm trọng  của vấn đề,đăng tải thông tin, nhận xét  của mình về lỗ hổng  và gửi tới một danhsách thảo luận  tại Internet  Engineering Task Force. Lập tức, thông tintrên nhanh chóng được nhà nghiên cứu  an ninh HD Moore đăng tải lên mạng.

Ngay trong ngày thứ Tư, hàng loạt độc giả bắt đầu nắmđược thông tin  của vấn đề, khiến cho PhoneFactor quyết định  công tốnhững gì hãng đã phát hiện được: “Ở thời điểm này, chúng tôi  cảm thấycần có trách nhiệm phải công bố những gì đã khám phá được với nhữngngười chưa biết, khi chúng đã bị một số người xấu nắm được”, SarahFender, phó chủ tịch  phụ trách marketing của PhoneFactor thông cáo.

Mặc dù các chuyên gia  an ninh cho hay, lỗi SSL  mớiphát hiện có thể đã tồn tại từ lâu, nhưng vẫn chưa thể khẳng định chúngđã bị khai thác, bằng bất kì kiểu tấn công  nào. Hiện vẫn chưa có phảnhồi từ ICASI.

Bạn có ý kiến gì về bài viết Giới an ninh mạng hoang mang trước lỗi SSL này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Giới an ninh mạng hoang mang trước lỗi SSL bạn tại đây.