Tuesday, July 22, 2008

(Báo Động Đỏ) Lỗi bảo mật đặc biệt nghiêm trọng, mọi người chú ý

Gửi các bạn của tôi, mới đây một lỗ hổng bảo mật cực kỳ nghiêm trọng được phát hiện trong hệ thống DNS, xương sống của toàn bộ Internet.

Tận dụng lỗ hổng này, kẻ xấu có thể tấn công để đánh cắp tất cả thông tin trên Internet của bạn, chẳng hạn như chiếm quyền điều khiển blog của bạn, chôm mật khẩu để đọc trộm email hay giả danh bạn để chat trên Yahoo! Messenger. Tôi nhắc lại, khi khai thác thành công lỗ hổng này, kẻ xấu hoàn toàn có thể chiếm quyền điều khiển cuộc sống online của bạn.

Entry này được viết để cung cấp thêm cho các bạn những thông tin cần biết về lỗ hổng này, cũng như các phương pháp phòng chống tạm thời, cho đến khi có giải pháp triệt để từ phía các ISP ở VN.

---

Giới thiệu về DNS


DNS viết tắt của Domain Name System, là hệ thống quản lý việc ánh xạ giữa địa chỉ của máy tính trên Internet với tên của chúng. Trên Internet, mỗi máy tính đều được cấp một địa chỉ riêng biệt, thường được gọi là IP address, tạm dịch là địa chỉ IP (IP viết tắt của Internet Protocol, giao thức điều khiển việc trao đổi thông tin liên lạc giữa hai máy tính trên Internet).

Địa chỉ IP thường dài và khó nhớ, phù hợp với máy tính, không phù hợp với trí nhớ của con người (thường chỉ có khả năng nhớ được tối đa 7 số tại một thời điểm), do đó người ta mới đặt cho mỗi máy tính một cái tên dễ nhớ, chẳng hạn như www.vnexpress.net, www.yahoo.com, www.tuoitre.com.vn..., rồi sử dụng hệ thống DNS nói trên để ánh xạ những tên này vào các địa chỉ IP thực sự của chúng.

Khi bạn gõ www.vnexpress.net vào trình duyệt và nhấn enter, máy tính của bạn sẽ hỏi máy chủ DNS của bạn (thường là máy chủ do ISP của bạn quản lý) địa chỉ của www.vnexpress.net là bao nhiêu. Máy chủ DNS của bạn sẽ đi hỏi những máy chủ DNS khác trên Internet, để rồi cuối cùng trả lời cho máy tính của bạn rằng, www.vnexpress.net chính là tên miền của máy tính có địa chỉ IP là 210.245.0.22. Máy tính của bạn sẽ căn cứ vào địa chỉ này để liên lạc với www.vnexpress.net và lấy về nội dung mà bạn muốn xem.

Nếu bạn nào sống ở Mỹ hay các nước tiên tiến, thì có thể hiểu hệ thống DNS tương tự như hệ thống Postal/Zip Code, dùng để ánh xạ giữa zip code với địa chỉ nhà bạn.

Thông tin chi tiết về lỗi

Lỗi tấn công ở đây xảy ra khi máy chủ DNS của bạn bị kẻ xấu cố tình cung cấp thông tin sai lệch, khiến nó nhầm tưởng địa chỉ IP của www.vnexpress.net không phải là 210.245.0.22 mà lại là một địa chỉ IP của một máy tính nằm trong sự điều khiển của hắn. Thuật ngữ chuyên ngành gọi đây là DNS cache poisoning attack.

Khi đó, lúc bạn gõ www.vnexpress.net, thay vì nhận được nội dung từ trang VnExpress thật, bạn sẽ nhận được nội dung giả mạo từ phía kẻ xấu. Điều nay cực kỳ nguy hại, bởi lẽ áp dụng kỹ thuật này, kẻ xấu có thể mạo danh tất cả các website trên thế giới, từ Google, Yahoo, Microsoft, Paypal hay website của ngân hàng hay công ty chứng khoán của bạn. Khi đã mạo danh các website này rồi, kẻ xấu sẽ có thể đánh cắp được tất cả tài khoản cá nhân của bạn trên những website này.

Nếu bạn đọc kỹ, bạn sẽ thấy kẻ xấu không trực tiếp tấn công vào máy tính của bạn, mà tấn công vào máy chủ DNS của bạn (do ISP của bạn quản lý và cung cấp lại cho bạn sử dụng).

Thật tế dạng tấn công này đã được thực hiện từ khá lâu và cũng đã có nhiều cách phòng chống hiệu quả, nhưng những kết quả nghiên cứu của các chuyên gia trên thế giới gần đây cho thấy, kẻ xấu có thể thực hiện việc tấn công này một cách rất dễ dàng. Một số nguồn tin cho rằng chỉ cần dưới 10s là kẻ xấu có thể tấn công một máy chủ DNS chưa được sửa lỗi.

Tình trạng các máy chủ DNS ở VN

Ngay khi phát hiện ra lỗ hổng này, các chuyên gia trên thế giới đã làm việc với nhau để tìm ra các phương pháp sửa lỗi. Các hãng phần mềm đều đã có cung cấp bảng vá lỗi cho phần mềm máy chủ DNS của họ.

Tuy vậy, theo tìm hiểu của tôi, mặc dù các bảng vá đã được phát hành gần 2 tuần, nhưng tất cả các máy chủ DNS của các ISP VN như FPT, VDC, Vietel, SCTV...đều chưa được vá lỗi.

Điều này có nghĩa là tất cả những ai sử dụng dịch vụ Internet (dial-up, ADSL hay leased line) của các ISP này đều có thể bị tấn công như mô tả ở trên.

Theo thông tin từ VNCERT, Đội phản ứng nhanh về các sự cố máy tính VN, họ cũng đã có cung cấp thông tin cho các ISP từ vài tuần trước, nhưng không nhận được phản hồi. Theo tôi được biết, trong nay mai, sẽ có một thông cáo báo chí của VNCERT về vấn đề này, để yêu cầu sự hợp tác từ phía các ISP.

Giải pháp tạm thời

Giải pháp tạm thời là không sử dụng Internet nữa, cho đến khi nào có thông tin mới. Haha tôi nói đùa đó :D.

Giải pháp tạm thời là thay vì sử dụng máy chủ DNS của các ISP VN, các bạn hãy chuyển sang sử dụng máy chủ DNS của công ty OpenDNS. Các máy chủ của OpenDNS đã được vá lỗi và công ty này cũng cho biết họ đã sẵn sàng để phục vụ chúng ta.

Thông tin chi tiết về việc cấu hình máy tính sử dụng máy chủ DNS của OpenDNS, các bạn có thể xem ở đây. Nếu có khó khăn gì, cứ báo cho tôi biết, nếu tôi hỗ trợ được tôi sẽ hỗ trợ.


Thông tin tham khảo

http://www.kb.cert.org/vuls/id/800113


http://isc.sans.org/diary.html?storyid=4687

Trước khi kết thúc, tôi muốn nhấn mạnh lại lần nữa đây là một lỗ hổng cực kỳ nghiêm trọng và ảnh hưởng trực tiếp đến mỗi người trong chúng ta.

5 comments:

Anonymous said...

ac ac, có chuyện gì mà mày la toáng lên vậy hả thằng thái dúi. Nếu nó có chôm dc thì nó chỉ chôm của mày thằng đầu to đít cứng chứ mấy thằng cu đen như mày thì nó chôm pass hay account paypal thì có đồng nào đâu mà chôm.

Ở VN mà mày làm như ở Mỹ vậy ? Lá toáng lên tao tưởng mày bị khùng chứ.

Thôi ngủ đi thằng khùng. Nếu nó có lấy pass hay là internet lỗi lớn gì gì đi nữa thỉ cũng kô đến lượt tao với mày xách cu đi xem đâu. Lo bò trắng răng quá mày.

Tao đi nhậu đây. À, mày còn chai vodka nào ko vậy ? Hôm nào, xách ra anh em mình nhậu nhé.

chúc mày ngủ ngon,

tao đây...

Anonymous said...

Dù bị redirect hoặc DNS poisoning, vẫn khó chôm được pass những cái quan trọng. Ví dụ PayPal, ai có ý định phishing nó, nhưng do nó sử dụng SSL, cái trình duyệt sẽ la toáng lên nếu nó check cái chứng chỉ số và cái domain không hợp lệ gắn với nhau hoặc là cái vớ vẩn. Hơn nữa, với trình duyệt đời mới thì có chức năng EV xác nhận, cái thanh addr bar sẽ đổi màu khác khi vào đúng trang xịn. Không có cái xác nhận đó, hầu hết chủ nhân tài khoản PayPal không ngu gì mà nhập pass vào cả.
Thái này làm ở bank mà ko biết đế cái này sao.
MyQuartz

thaidn said...

MyQuartz: bồ cũng nói là *hầu hết*, thế thì cứ coi như tôi viết cái này cho số ngu dốt còn lại vậy.

Việc tôi có biết hay không biết về những điều bồ nói chẳng có ảnh hưởng gì đến nội dung bài viết này.

Tôi thấy cái ngu nhất của nhiều thằng ngu là cứ nghĩ là ai cũng như mình.

Anonymous said...

Không rõ Thái nói thế là có ý phật lòng vì comment của mình hay không?
Thật sự, lỗi DNS vừa rồi là một lỗi nghiêm trọng, nó có thể khiến một lượng lớn các hoạt động trên Internet bị ảnh hưởng, vì rằng là một lượng lớn traffic trên Internet là không được mã hoá hay xác thực.
Mặc dù vậy, lỗi DNS này ít có tác động đến các web site có tính chất "tiền bạc", bởi các web site này đã tính đến yếu tố rủi ro đó và loại trừ (dù ko phải do bị tấn công DNS, nếu bị làm giả gateway mạng như là con virus gì đó gần đây thì sao?).
Lỗi DNS này, theo tôi, gây nguy hiểm nhiều nhất đến hệ thống email, bởi như thói quen và thực tế sử dụng, gần như 100% các email truyền qua SMTP giữa server - server đều không có/không bắt buộc mã hoá, nếu có thì không có xác nhận chứng chỉ số nơi nhận SMTP. Hoàn toàn có thể tấn công hệ thống DNS để sao cho gửi email vào 1 domain nào đó (của công ty nào đó), hacker chuyển hướng tất cả các email gửi đến đó ra chỗ khác, ghi lại, rồi sau đó mới forward đi đến địa chỉ thực. Rất nhiều thông tin nhạy cảm đang và đã được gửi qua email sẽ bị lộ và công ty bị tấn công có thể lộ thông tin đối tác, bạn hàng hay lộ giá cả chào hàng, kế hoạch kinh doanh... mà không hề hay biết.
MyQuartz.

Long said...

@MyQuartz Anh chỉ nhìn vấn đề ở khía cạnh "người lướt web" - lướt chứ không sử dụng. 1 phút downtime bao nhiêu tiền bạc ... hack đâu chỉ vì user - password :">
Web mình có SSL - phishing cũng có SSL ;))
DNS không chỉ có ISPs, còn có Hosting Providers ... ảnh hưởng rất nhiều mặt không riêng gì email.
Dizaime.