Các chuyên gia bảo mật vừa đưa ra cảnh báo về một loại lỗ hổng được đặt tên là “clickjacking” có trên tất cả các trình duyệt hiện nay. Hàng loạt các trình duyệt như IE, Firefox, Safari, Opera, Chrome… đều mắc lỗi này.
Chính xác là có 6 lỗi đã được tìm ra tại hội nghị về an ninh mạng được tổ chức hồi đầu tuần. Tuy nhiên, các chuyên gia bảo mật đã quyết định giữ bí mật những lỗi này để cho các nhà cung cấp trình duyệt internet có thể tìm ra cách để sửa lỗi.
Mặc dù “clickjacking” đã được thông báo cho các nhà cung cấp trình duyệt, tuy nhiên người dùng IE, Firefox, Safari, Opera, Google Chrome và những trình duyệt khác đều có thể bị tấn công từ những lỗi này bởi vấn đề càng ngày càng trầm trọng hơn.
Ông Robert Hansen – người sáng lập đồng thời là CEO của công ty bảo mật Sec Theory, và là một trong hai người tham gia thảo luận về lỗi này tại hội nghị OWASP AppSec 2008 xảy ra vào hôm thứ 4 nói.
Trong một cuộc phỏng vấn vào hôm thứ 6, ông Hansen đã coi clickjacking cũng nguy hiểm tương tự như lỗi “cross-site request forgery” – CSRF đã được biết trước đó (là phương pháp lợi dụng session người khác để thực hiện một hành động không được phép).
Tuy nhiên, clickjacking có khác 1 chút ít và do đó, các công cụ để chống CSRF của trình duyệt đều không có tác dụng với clickjacking. “Một mức độ cao hơn thì gần như tất cả mọi người đều bị ảnh hưởng. Vấn đề là mọi người mất thời gian để đề phòng lỗi CSRF nên không thấy được lỗi này”- ông Hansen nói. “tấn công dùng lỗi clickjacking hoàn toàn khác với CSRF và cần thêm rất nhiều nghiên cứu về nó”.
Người cùng nghiên cứu với Hansen đó là ông Jeremiah Grossman – Giám đốc công nghệ của công ty An ninh mũ trắng (WhiteHat Security) giải thích cách những kẻ tấn công khai thác lỗi clickjacking này như sau: “Hãy suy nghĩ về một nút lệnh nào trên 1 trang web bất kì xuất hiện trên trình duyệt chẳng hạn như nút dùng để chuyển tiền từ ngân hàng hay một cái banner quảng cáo…gần như đều được xem là vô hại. Tiếp đó, hãy suy nghĩ rằng kẻ tấn công có thể làm ẩn đi những nút như thế, do đó mà khi người dùng nhấn chuột vào những gì họ trông thấy thì thực tế là họ đã nhấn vào những gì mà kẻ tấn công muốn."
Hansen tiếp sau ví dụ của Grossman bằng một ví dụ cụ thể: “Tưởng tượng rằng ở nhà bạn có 1 router không dây và bạn đã xác thực độ tin cậy đối với 1 số trang web. Những kẻ tấn công có thể bố trí để đánh lừa bạn, qua đó dựng lên 1 nút lệnh mà gửi yêu cầu tới router, chẳng hạn như yêu cầu bỏ firewall để thực hiện ý đồ của mình”. “Hacker không cần phải tạo ra một trang web được xác thực để thực hiện tấn công clickjacking qua nó”- ông nói thêm.
“Có rất nhiều giải pháp cho lỗi clickjacking, tuy nhiên 1 ý kiến hợp lý nhất đó là chính những nhà cung cấp trình duyệt phải sửa lỗi và cung cấp các bản fix cho người dùng.” – Hansen nói.
Robert Hansen và Grossman đã liên hệ với các hãng Microsoft, Mozilla và Apple là chủ sở hữu của hơn 98% trình duyệt được sử dụng trên thị trường nhằm ngăn ngừa clickjacking. Vẫn chưa rõ là các nhà cung cấp trình duyệt Internet sẽ xử lí như thế nào với những cảnh báo mà 2 chuyên gia an ninh này đưa ra và bao giờ thì họ đưa ra bản update đã sửa lỗi clickjacking này. Theo ông Hansen: “Họ đang thực thi các giải pháp”.
Tại thời điểm này, giải pháp tốt nhất để ngăn ngừa clickjacking cho chính bạn đó là sử dụng trình duyệt Firefox và cài đặt NoScript add-on. “Người dùng Firefox và NoScript add-on sẽ được an toàn. Đây là giải pháp tốt cho thời điểm hiện nay” – Hansen khuyến cáo.
Tuy nhiên theo ông Hansen, cần phải sớm tìm ra một giải pháp đơn giản hơn vì phương pháp kết hợp giữa Firefox và NoScript chỉ đơn giản đối với những người trong nghề, còn đối với những người dùng bình thường thì việc đó quá phức tạp. “Nếu mẹ tôi mà sử dụng Firefox và NoScript add-on thì tôi sẽ bị gọi điện thường xuyên để hỏi này hỏi nọ”.
Ông Hansen cũng khuyên người dùng không nên quá lo sợ. “Thực tế là chỉ có một số rất ít những người có thể lợi dụng clickjacking” – ông này nói.
Hansen và Grossman đã có kế hoạch xuất bản một số nghiên cứu của họ, bao gồm cả clickjacking và mã nguồn dùng để tấn công lỗi trong phần mềm Flash của hãng Adobe ngay khi hãng Adobe cho ra đời bản vá lỗi. Vào hôm thứ 6 thì chính ông Hansen đã từ chối khẳng định lỗi phần mềm của Adobe là từ Flash – 1 plug-in mà người dùng thường dùng kèm theo với trình duyệt Internet của mình để chơi các file nhạc, phim...
Theo VietNamNet (ComputerWorld)
Chính xác là có 6 lỗi đã được tìm ra tại hội nghị về an ninh mạng được tổ chức hồi đầu tuần. Tuy nhiên, các chuyên gia bảo mật đã quyết định giữ bí mật những lỗi này để cho các nhà cung cấp trình duyệt internet có thể tìm ra cách để sửa lỗi.
Mặc dù “clickjacking” đã được thông báo cho các nhà cung cấp trình duyệt, tuy nhiên người dùng IE, Firefox, Safari, Opera, Google Chrome và những trình duyệt khác đều có thể bị tấn công từ những lỗi này bởi vấn đề càng ngày càng trầm trọng hơn.
Ông Robert Hansen – người sáng lập đồng thời là CEO của công ty bảo mật Sec Theory, và là một trong hai người tham gia thảo luận về lỗi này tại hội nghị OWASP AppSec 2008 xảy ra vào hôm thứ 4 nói.
Trong một cuộc phỏng vấn vào hôm thứ 6, ông Hansen đã coi clickjacking cũng nguy hiểm tương tự như lỗi “cross-site request forgery” – CSRF đã được biết trước đó (là phương pháp lợi dụng session người khác để thực hiện một hành động không được phép).
Tuy nhiên, clickjacking có khác 1 chút ít và do đó, các công cụ để chống CSRF của trình duyệt đều không có tác dụng với clickjacking. “Một mức độ cao hơn thì gần như tất cả mọi người đều bị ảnh hưởng. Vấn đề là mọi người mất thời gian để đề phòng lỗi CSRF nên không thấy được lỗi này”- ông Hansen nói. “tấn công dùng lỗi clickjacking hoàn toàn khác với CSRF và cần thêm rất nhiều nghiên cứu về nó”.
Người cùng nghiên cứu với Hansen đó là ông Jeremiah Grossman – Giám đốc công nghệ của công ty An ninh mũ trắng (WhiteHat Security) giải thích cách những kẻ tấn công khai thác lỗi clickjacking này như sau: “Hãy suy nghĩ về một nút lệnh nào trên 1 trang web bất kì xuất hiện trên trình duyệt chẳng hạn như nút dùng để chuyển tiền từ ngân hàng hay một cái banner quảng cáo…gần như đều được xem là vô hại. Tiếp đó, hãy suy nghĩ rằng kẻ tấn công có thể làm ẩn đi những nút như thế, do đó mà khi người dùng nhấn chuột vào những gì họ trông thấy thì thực tế là họ đã nhấn vào những gì mà kẻ tấn công muốn."
Hansen tiếp sau ví dụ của Grossman bằng một ví dụ cụ thể: “Tưởng tượng rằng ở nhà bạn có 1 router không dây và bạn đã xác thực độ tin cậy đối với 1 số trang web. Những kẻ tấn công có thể bố trí để đánh lừa bạn, qua đó dựng lên 1 nút lệnh mà gửi yêu cầu tới router, chẳng hạn như yêu cầu bỏ firewall để thực hiện ý đồ của mình”. “Hacker không cần phải tạo ra một trang web được xác thực để thực hiện tấn công clickjacking qua nó”- ông nói thêm.
“Có rất nhiều giải pháp cho lỗi clickjacking, tuy nhiên 1 ý kiến hợp lý nhất đó là chính những nhà cung cấp trình duyệt phải sửa lỗi và cung cấp các bản fix cho người dùng.” – Hansen nói.
Robert Hansen và Grossman đã liên hệ với các hãng Microsoft, Mozilla và Apple là chủ sở hữu của hơn 98% trình duyệt được sử dụng trên thị trường nhằm ngăn ngừa clickjacking. Vẫn chưa rõ là các nhà cung cấp trình duyệt Internet sẽ xử lí như thế nào với những cảnh báo mà 2 chuyên gia an ninh này đưa ra và bao giờ thì họ đưa ra bản update đã sửa lỗi clickjacking này. Theo ông Hansen: “Họ đang thực thi các giải pháp”.
Tại thời điểm này, giải pháp tốt nhất để ngăn ngừa clickjacking cho chính bạn đó là sử dụng trình duyệt Firefox và cài đặt NoScript add-on. “Người dùng Firefox và NoScript add-on sẽ được an toàn. Đây là giải pháp tốt cho thời điểm hiện nay” – Hansen khuyến cáo.
Tuy nhiên theo ông Hansen, cần phải sớm tìm ra một giải pháp đơn giản hơn vì phương pháp kết hợp giữa Firefox và NoScript chỉ đơn giản đối với những người trong nghề, còn đối với những người dùng bình thường thì việc đó quá phức tạp. “Nếu mẹ tôi mà sử dụng Firefox và NoScript add-on thì tôi sẽ bị gọi điện thường xuyên để hỏi này hỏi nọ”.
Ông Hansen cũng khuyên người dùng không nên quá lo sợ. “Thực tế là chỉ có một số rất ít những người có thể lợi dụng clickjacking” – ông này nói.
Hansen và Grossman đã có kế hoạch xuất bản một số nghiên cứu của họ, bao gồm cả clickjacking và mã nguồn dùng để tấn công lỗi trong phần mềm Flash của hãng Adobe ngay khi hãng Adobe cho ra đời bản vá lỗi. Vào hôm thứ 6 thì chính ông Hansen đã từ chối khẳng định lỗi phần mềm của Adobe là từ Flash – 1 plug-in mà người dùng thường dùng kèm theo với trình duyệt Internet của mình để chơi các file nhạc, phim...
Theo VietNamNet (ComputerWorld)