Chuyên mục
Lỗ Hổng Bảo Mật

Phát hiện lỗ hổng nghiêm trọng trong plugin WordPress của 400.000 website

[AnToanThongTin VN]

Mới đây, các lỗ hổng nghiêm trọng trong 3 plugin WordPress đã được các chuyên gia phát hiện. Các plugin này bao gồm InfiniteWP, WP Time Capsule và WP Database Reset đã được cài đặt trên tổng cộng 400.000 website.

Phát hiện lỗ hổng nghiêm trọng trong plugin WordPress của 400.000 website

Lỗ hổng ảnh hưởng nhiều nhất là lỗ hổng vượt qua xác thực trong InfiniteWP Client. Plugin này được cài đặt trên hơn 300.000 trang web, cho phép quản trị viên quản lý nhiều trang web từ một máy chủ đơn lẻ. Lỗ hổng này cho phép bất cứ ai có thể đăng nhập vào tài khoản quản trị mà không cần thông tin xác thực. Từ đó, kẻ tấn công có thể xóa nội dung, thêm tài khoản mới và thực hiện một loạt các hành vi độc hại khác.

Để khai thác lỗ hổng này, tin tặc chỉ cần biết tên người dùng của một tài khoản hợp lệ và thêm vào đó một payload độc hại trong yêu cầu POST được gửi đến trang web bị ảnh hưởng. Theo nhà cung cấp tường lửa ứng dụng web Wordfence (Mỹ), lỗ hổng bắt nguồn từ một tính năng cho phép người dùng hợp pháp tự động đăng nhập với vai trò quản trị viên mà không cần cung cấp mật khẩu.

Marc-Alexandre Montpas, nhà nghiên cứu tại công ty bảo mật web Sucuri (Mỹ) đã viết trong một bài đăng: “Các lỗ hổng logic như những lỗ hổng được phát hiện mới đây có thể dẫn đến vấn đề nghiêm trọng đối với ứng dụng và thành phần web. Những lỗ hổng này có thể bị khai thác để vượt qua kiểm soát xác thực. Trong trường hợp này là đăng nhập vào tài khoản quản trị viên mà không cần mật khẩu”. Người dùng sử dụng InfiniteWP Client phiên bản 1.9.4.4 trở về trước cần cập nhật lên phiên bản 1.9.4.5 càng sớm càng tốt.

Lỗ hổng nghiêm trọng trong WP Time Capsule cũng dẫn đến vượt qua xác thực, cho phép tin tặc đăng nhập với vai trò quản trị viên mà không cần xác thực. WP Time Capsule được sử dụng trên khoảng 20.000 website, được thiết kế để sao lưu dữ liệu trang web một cách dễ dàng hơn. Bằng cách thêm vào chuỗi độc hại trong yêu cầu POST, tin tặc có thể lấy được danh sách tất cả các tài khoản quản trị và tự động đăng nhập vào tài khoản đầu tiên. Lỗ hổng đã được vá trong phiên bản 1.21.16. Các website cần cập nhật ngay phiên bản mới của plugin này.

Plugin bị ảnh hưởng cuối cùng là WP Database Reset, được cài đặt trên khoảng 80.000 website. Trong đó, có một lỗ hổng cho phép tin tặc có thể thiết lập lại bất kỳ bảng nào trong cơ sở dữ liệu về trạng thái WordPress ban đầu mà không cần xác thực. Lỗ hổng xảy ra do các chức năng thiết lập lại không được đảm bảo an toàn bởi các kiểm tra tiêu chuẩn hoặc các biện pháp bảo mật. Khai thác này có thể dẫn đến việc mất hoàn toàn dữ liệu hoặc thiết lập lại website về cài đặt mặc định của WordPress.

Lỗ hổng bảo mật thứ hai trong WP Database Reset là lỗ hổng leo thang đặc quyền, cho phép bất kỳ người dùng xác thực nào kể cả những người dùng có quyền hệ thống tối thiểu, giành được quyền quản trị và khóa tất cả người dùng khác. Quản trị viên của những website có sử dụng plugin này cần cập nhật lên phiên bản 3.15 để vá cả hai lỗ hổng.

Hiện vẫn chưa có bằng chứng nào cho thấy các plugin này đã bị khai thác trong thực tế.

Chuyên mục
An Toàn Thông Tin

Năm 2020, các thiết bị IoT sẽ là điểm nóng an ninh mạng

TTO – Trong năm 2020, các thiết bị IoT như router, wifi, camera giám sát, thiết bị đầu cuối… sẽ là điểm nóng về an ninh mạng, tấn công lừa đảo chiếm đoạt tài khoản ngân hàng sẽ tiếp tục gia tăng khó lường.


Đó là những dự báo của các chuyên gia về tình hình an ninh mạng của năm 2020.

Trong bản báo cáo đánh giá về an ninh mạng năm 2019 và dự báo năm 2020 vừa được công bố, các chuyên gia của BKAV cũng chia sẻ những thông tin đáng chú ý như thiệt hại do vius máy tính đối với người dùng Việt Nam đã vượt ngưỡng 20.000 tỉ đồng trong năm 2019.

Bên cạnh đó, 80% máy tính bị nhiễm virus do cài đặt phần mềm từ trên mạng, 1,8 triệu lượt máy tính bị mất dữ liệu. Trong khi đó, mã độc tấn công APT đã tinh vi đến mức “tàng hình”.

Thiệt hại do virus máy tính vượt ngưỡng 20.000 tỉ đồng

“Năm 2019, thiệt hại do virus máy tính gây ra với người dùng Việt Nam đã lên tới 20.892 tỉ đồng (902 triệu USD), vượt xa con số 14.900 tỉ đồng của năm 2018”, các chuyên gia an ninh mạng của BKAV cho biết.

Theo đánh giá của các chuyên gia, tuy không có sự cố đặc biệt nghiêm trọng xảy ra nhưng sự gia tăng các máy tính bị nhiễm mã độc mã hóa dữ liệu và mã độc tấn công có chủ đích APT là nguyên nhân chính gây ra những thiệt hại khổng lồ này.

Tổng số lượt máy tính bị nhiễm mã độc được ghi nhận trong năm 2019 lên tới 85,2 triệu lượt, tăng 3,5% so với năm 2018.

Việt Nam thăng hạng về chỉ số an toàn, an ninh thông tin toàn cầu

Năm 2019, với sự chỉ đạo quyết liệt từ cơ quan quản lý nhà nước, cùng các chiến dịch xử lý mã độc đồng loạt tại một số thành phố lớn đã góp phần giảm đáng kể số lượng máy tính tại Việt Nam nằm trong mạng máy tính ma (botnet).

Cũng theo công bố của liên minh Viễn thông quốc tế ITU, Việt Nam đã tăng 50 hạng về chỉ số an toàn, an ninh thông tin toàn cầu trong năm.

Các chuyên gia BKAV phân tích đây là những tín hiệu rất đáng mừng, từng bước cải thiện về tình hình an ninh mạng tại Việt Nam, điều chưa từng xảy ra trong vài thập kỷ vừa qua.

Tuy nhiên, chuyển biến tích cực này mới chỉ đến chủ yếu từ khối cơ quan ở trung ương và một số thành phố lớn.

Công tác phòng chống mã độc tại các địa phương khác vẫn còn rất nhiều tồn tại, đặc biệt một lượng lớn máy tính tại khối doanh nghiệp tư nhân và người sử dụng cá nhân vẫn chưa có hình thức phòng vệ cần thiết, chưa có phần mềm diệt virus bảo vệ thường trực, hoặc có phần mềm diệt virus nhưng không đủ mạnh.

Theo thống kê của BKAV, tỉ lệ máy tính bị nhiễm mã độc trong năm 2019 tại Việt Nam vẫn ở mức rất cao, 57,70%.

80% máy tính bị nhiễm virus do cài đặt phần mềm từ trên mạng

Phân tích về những nguyên nhân dẫn tới số lượng máy tính bị nhiễm virus ở mức cao, các chuyên gia BKAV cho biết nguyên nhân đầu tiên là việc tải và cài đặt các phần mềm không rõ nguồn gốc, trôi nổi trên mạng.

Trung bình cứ 10 máy tính cài các phần mềm tải về từ Internet có tới 8 máy tính sẽ bị nhiễm viurs, đây là một tỉ lệ rất cao.

Để đảm bảo an toàn, người sử dụng chỉ nên tải các phần mềm có nguồn gốc rõ ràng, từ nhà sản xuất tin tưởng và từ các kho ứng dụng chính thống, không tải từ những nguồn trôi nổi trên mạng.

Tiỉlệ lây nhiễm virus qua USB đã giảm mạnh, tuy vẫn ở mức cao 55%, nhưng đã giảm tới 22% so với năm 2018. Ngược lại, virus lây nhiễm qua email lại tăng, lên mức 20%, tăng 4% so với năm 2018.

Cũng theo thống kê của BKAV, vẫn tồn tại tới 41,04% máy tính tại Việt Nam có chứa lỗ hổng SMB, từng bị virus Wanna Cry khai thác để lây nhiễm hơn 300.000 máy tính chỉ trong vài giờ. Đây vẫn là những nguy cơ rất lớn về mất an ninh thông tin tại Việt Nam.

Để phòng chống mã độc, các chuyên gia về an toàn thông tin khuyến cáo người sử dụng cần trang bị phần mềm diệt virus thường trực để quét virus cho USB trước khi sử dụng. Mở file đính kèm nhận được từ internet trong môi trường cách ly an toàn (Safe Run). Thường xuyên cập nhật bản vá lỗ hổng cho máy tính.

Năm 2020, các thiết bị IoT sẽ là điểm nóng an ninh mạng - Ảnh 2.

1,8 triệu lượt máy tính bị mất dữ liệu

Năm 2019, tiếp tục chứng kiến sự hoành hành của các loại mã độc mã hóa dữ liệu tống tiền (ransomware). Theo thống kê của BKAV, số lượng máy tính bị mất dữ liệu trong năm 2019 lên tới 1,8 triệu lượt, tăng 12% so với năm 2018.

Nghiêm trọng hơn, trong số này có rất nhiều máy chủ (server) chứa dữ liệu của các cơ quan. Không chỉ gây thiệt hại lớn, việc các máy chủ bị xóa dữ liệu cũng gây đình trệ hoạt động của cơ quan, doanh nghiệp trong nhiều ngày sau đó, thậm chí đến cả tháng.

Các chuyên gia BKAV cho biết đã có một chiến dịch quy mô lớn của hacker nước ngoài tấn công vào các máy chủ có mật khẩu yếu tại Việt Nam.

Không sử dụng các hình thức lây nhiễm mã độc lây nhiễm thông thường, hacker đã tập trung dò tìm các server có mật khẩu yếu, từ đó thực hiện truy cập trái phép từ xa (remote access) nhằm cài thủ công mã độc mã hóa dữ liệu.

Kiểu tấn công này khiến phần mềm diệt virus sẽ bị vô hiệu hóa do hacker đã chiếm được toàn quyền điều khiển máy chủ.

Người sử dụng, đặc biệt các quản trị cần rà soát, đặt lại mật khẩu đủ mạnh cho máy tính, máy chủ mình quản lý. Mật khẩu đủ mạnh phải có độ dài từ 9 ký tự trở lên, có chứa cả chữ hoa và chữ thường, có ký tự là số và kỳ tự đặc biệt.

Ngoài ra, mật khẩu không nên chứa các ký tự dễ đoán như thông tin về người dùng hay thông tin về máy chủ, quản trị.

Năm 2020, các thiết bị IoT sẽ là điểm nóng an ninh mạng - Ảnh 3.

Mã độc tấn công APT đã tinh vi đến mức “tàng hình”

420.000 máy tính tại Việt Nam đã bị nhiễm loại mã độc tấn công APT nguy hiểm W32.Fileless. Theo các chuyên gia Bkav, kỹ thuật mà W32.Fileless sử dụng rất tinh vi và có thể nói đã đạt đến mức “tàng hình”.

Mã độc này không để lại bất cứ dấu hiệu gì về sự tồn tại của chúng dưới dạng file nhị phân trên ổ cứng máy tính như các loại mã độc thông thường.

Ông Vũ Ngọc Sơn – phó chủ tịch phụ trách mảng chống mã độc (Anti Malware) của BKAV – cho biết: “W32.Fileless ẩn nấp trong các thông số cấu hình hệ thống như Registry, WMI hay Task Schedule. Chúng phá hoại bằng cách lợi dụng các tiến trình chuẩn của hệ thống để chạy các đoạn mã thực thi (script) đặc biệt. 

Mã độc này phát tán thông qua USB hay qua khai thác lỗ hổng hệ điều hành”.

Do khả năng ẩn giấu gần như trong suốt với người dùng, mã độc này sẽ nằm vùng, đánh cắp thông tin, mở cổng hậu để tin tặc có thể chiếm quyền điều khiển máy tính từ xa. BKAV cũng ghi nhận một số dòng W32.Fileless có tải về thêm các mã độc khác để lợi dụng tài nguyên máy tính đào tiền ảo.

Chuyên gia BKAV khuyến cáo người sử dụng cần nâng cấp phiên bản mới nhất của phần mềm diệt virus để có thể tìm và diệt được loại virus tàng hình này.

An ninh trên các thiết bị IoT sẽ là điểm nóng

Các chuyên gia BKAV dự báo năm 2020 mã độc tấn công APT sẽ tinh vi hơn, Fileless sẽ là xu hướng chính, cùng với đó là các mã độc giả mạo các phần mềm, chương trình chuẩn thông qua kỹ thuật DLL Side-Loading để qua mặt phần mềm diệt virus. 

Tấn công mã hóa tống tiền sẽ còn tiếp tục gia tăng do nguồn lợi trực tiếp nó mang lại cho hacker ngày càng lớn.

Các thiết bị IoT như router, wifi, camera giám sát, thiết bị đầu cuối… sẽ là điểm nóng về an ninh mạng khi các thiết bị này ngày càng trở nên phổ biến và kết nối rộng. Tấn công lừa đảo chiếm đoạt tài khoản ngân hàng sẽ tiếp tục gia tăng khó lường.

Tin tức giả mạo sẽ tiếp tục là vấn đề nhức nhối

Tin tức giả mạo sẽ tiếp tục là vấn đề nhức nhối đối với cộng đồng và các cơ quan quản lý nhà nước. Sẽ xuất hiện những tin giả mạo, clip giả mạo với mục đích xấu, ứng dụng công nghệ trí tuệ nhân tạo AI như deepfake.

Chuyên mục
An Toàn Thông Tin Giải Pháp An Toàn

4 VIỆC CẦN LÀM NGAY NẾU FACEBOOK CỦA BẠN BỊ HACK

[VnReview] Bên cạnh giải pháp xử lý từ Facebook, đây là những gì bạn cần làm nếu nghi ngờ tài khoản Facebook của mình đã bị hack.

Nếu nghi ngờ kẻ xấu đã có mật khẩu hoặc tài khoản nằm trong danh sách bị hack, bạn phải hành động càng nhanh càng tốt. Nếu truy cập thành công, chúng hoàn toàn có thể đổi mật khẩu hoặc không cho bạn vào tài khoản. Việc này rất nguy hiểm bởi hacker có thể lấy tài khoản của bạn đi lừa đảo.

Ngoài ra, nếu sử dụng Facebook để đăng nhập các dịch vụ như Spotify hay Instagram, bạn cũng cần chú ý bởi tin tặc có thể hack các dịch vụ trên để lấy thông tin tài khoản Facebook được kết nối với nó.

Làm sao để biết Facebook của bạn đã bị hack?

Nếu kẻ xấu xâm nhập Facebook của bạn, chúng sẽ để lại dấu vết. Đây là cách phát hiện.

Trước hết, đăng nhập vào Facebook, nhấn vào mũi tên ở góc trên bên phải, chọn Cài đặt -> Bảo mật và đăng nhập.

Trong phần Nơi bạn đã đăng nhập, bạn sẽ thấy danh sách những thiết bị đã đăng nhập vào Facebook, và lần hoạt động gần nhất là khi nào.

Nhấn nút Xem thêm, bạn sẽ thấy danh sách nhiều hơn những thiết bị đã đăng nhập. Nếu nhìn thấy thiết bị lạ đăng nhập ở nơi khác, rất có thể kẻ xấu đã đăng nhập Facebook của bạn.

Một số dấu hiệu khả nghi khác gồm:

– Thông tin cá nhân, mật khẩu, địa chỉ email hoặc tên tài khoản bị thay đổi, nhưng không phải bạn đổi.
– Lời mời kết bạn hoặc tin nhắn được gửi đi, nhưng không phải bạn gửi.
– Hồ sơ có những bài đăng, bình luận hoặc lượt thích mà bạn không nhấn.

Nếu chắc chắn tài khoản Facebook của bạn bị hack, hãy làm theo hướng dẫn dưới đây.

Bước 1a. Đổi mật khẩu

Nếu kẻ xấu chưa làm gì, hãy lập tức đổi mật khẩu tài khoản bằng cách vào Cài đặt -> Bảo mật và đăng nhập -> Đổi mật khẩu -> Chỉnh sửa. Nhập mật khẩu cũ, mật khẩu mới 2 lần rồi nhấn Lưu thay đổi. Nếu kẻ xấu đã đổi mật khẩu trước bạn, chuyển sang bước 1b.

Sau khi đổi xong, kéo lên phần Nơi bạn đã đăng nhập, chọn vào thiết bị lạ rồi nhấn Đăng xuất để đảm bảo kẻ xấu không còn đăng nhập vào tài khoản được nữa.

Để chắc chắn, hãy nhấn Xem thêm -> Đăng xuất khỏi tất cả để đăng xuất khỏi những thiết bị đã đăng nhập. Sau khi đăng xuất xong, đăng nhập lại vào những thiết bị mà bạn đăng sử dụng.

Nếu đã đổi mật khẩu xong, chuyển sang bước 3.

Bước 1b: Đặt lại mật khẩu

Nếu hacker đã đổi mật khẩu và bạn không thể truy cập tài khoản, hãy đặt lại mật khẩu bằng cách nhấn vào ô Quên tài khoản? dưới phần đăng nhập. Tiếp theo, nhập địa chỉ email liên kết với tài khoản. Nếu Facebook tìm được tài khoản, bạn có thể đặt lại mật khẩu với một số cách như gửi mã xác nhận đến email hoặc số điện thoại.

Chuyên mục
An Toàn Thông Tin Giải Pháp An Toàn

FACEBOOK CẬP NHẬT CÔNG CỤ KIỂM TRA QUYỀN RIÊNG TƯ, NÊN XEM LẠI NGAY 4 THIẾT LẬP NÀY NẾU KHÔNG MUỐN BỊ HACK TÀI KHOẢN

[VnReview] Facebook vừa triển khai phiên bản cập nhập của công cụ Kiểm tra quyền riêng tư để hướng dẫn người dùng về các cài đặt bảo mật quan trọng trên mạng xã hội này nhằm tránh việc bị hack tài khoản hay lộ lọt những thông tin cá nhân nhạy cảm.

Theo đó, công cụ kiểm tra quyền riêng tư phiên bản mới được Facebook mở rộng với bốn chủ đề riêng biệt để giúp tăng cường bảo mật tài khoản và kiểm soát việc ai có thể xem những gì bạn chia sẻ và cách thông tin của bạn được sử dụng.

Để sử dụng công cụ này, bạn hãy chắc chắn đã cập nhật Facebook lên phiên bản mới nhất. Sau đó, truy cập vào phần Lối tắt quyền riêng tư trong menu cài đặt của app Facebook trên điện thoại. Tiếp đến, chọn mục Xem lại một vài cài đặt quyền riêng tư quan trọng.

Facebook cập nhật công cụ kiểm tra quyền riêng tư, nên xem lại ngay 4 thiết lập này nếu không muốn bị hack tài khoản

Công cụ kiểm tra quyền riêng tư phiên bản mới được Facebook mở rộng với 4 chủ đề riêng biệt

Facebook cập nhật công cụ kiểm tra quyền riêng tư, nên xem lại ngay 4 thiết lập này nếu không muốn bị hack tài khoản

Đầu tiên, bạn có thể tùy chỉnh Ai có thể nhìn thấy nội dung bạn chia sẻ. Thiết lập này sẽ cho phép bạn chọn lựa những ai có thể xem thông tin trên trang cá nhân như số điện thoại, địa chỉ email và các bài viết của bạn. Với những thông tin nhạy cảm như số điện thoại, email cá nhân, bạn nên chuyển sang chế độ Chỉ mình tôi hoặc Bạn bè.

Facebook cập nhật công cụ kiểm tra quyền riêng tư, nên xem lại ngay 4 thiết lập này nếu không muốn bị hack tài khoản

Tiếp đến mục Cách bảo vệ tài khoản sẽ giúp bạn tăng cường độ bảo mật tài khoản bằng cách cập nhật mật khẩu mạnh hơn và bật cảnh báo đăng nhập mỗi khi có người đăng nhập vào tài khoản của bạn từ địa điểm lạ. Sử dụng tính năng này Facebook sẽ cho biết lần đăng nhập đó được thực hiện ở đâu và trên thiết bị nào. Bạn có thể chọn để Facebook gửi cảnh báo qua cả Messenger hay thậm chí là tin nhắn SMS. Đây là tính năng rất nên sử dụng để phòng ngừa trước các hacker có ý định đánh cắp hay truy cập trái phép vào tài khoản Facebook của bạn.

Facebook cập nhật công cụ kiểm tra quyền riêng tư, nên xem lại ngay 4 thiết lập này nếu không muốn bị hack tài khoản

Tùy chỉnh thứ ba là Cách mọi người có thể tìm thấy bạn trên Facebook. Tính năng này cho phép bạn xem lại các cách mọi người tìm bạn trên Facebook và ai có thể gửi cho bạn lời mời kết bạn. Nếu thích sự riêng tư, bạn có thể tắt hoàn toàn tính năng tìm kiếm bằng số điện thoại hay email hoặc chỉ cho phép bạn bè hay bạn của bạn bè tìm thấy bạn qua các thông tin này. Đồng thời, nếu nhận được quá nhiều lời mời kết bạn từ những người xa lạ, không hề có bạn chung nào, bạn cũng nên tùy chỉnh lại thiết lập chỉ nhận lời mời kết bạn từ bạn của bạn bè mà thôi.

Facebook cập nhật công cụ kiểm tra quyền riêng tư, nên xem lại ngay 4 thiết lập này nếu không muốn bị hack tài khoản

Cuối cùng là thiết lập Cài đặt dữ liệu của bạn trên Facebook. Tính năng này sẽ giúp bạn kiểm tra những thông tin bạn đang chia sẻ với các ứng dụng hay trang web mà bạn đã đăng nhập bằng Facebook. Bạn có thể gỡ bỏ những ứng dụng hay trang web mà bạn không còn dùng nữa hoặc có nghi ngờ về những rủi ro lộ lọt thông tin nhạy cảm.

Công cụ Kiểm tra quyền riêng tư của Facebook đã được giới thiệu từ năm 2014 và phiên bản mới đã được ứng dụng trên toàn cầu vào tuần này. Đây có thể xem là nỗ lực mới nhất của Facebook để bảo vệ người dùng trên mạng xã hội này trước vấn nạn hack tài khoản, lấy trộm thông tin cá nhân đang ngày càng phổ biến.

Chuyên mục
An Toàn Thông Tin

Microsoft dừng hỗ trợ Windows 7

TTO – Ngày 14-1 là ngày mà các bên liên quan đến an ninh mạng nên chú ý, vì nó đánh dấu sự kết thúc việc hỗ trợ của Microsoft đối với Windows 7.

Từ ngày 14-1, Microsoft dừng hỗ trợ Windows 7 - Ảnh 1.

Hệ điều hành Windows 7 được hãng phần mềm Microsoft phát triển và đưa vào sử dụng tháng 7 -2009 – Ảnh: MICROSOFT

Skip in 6Neptune Goldfb.com/NeptuneCookingOilTìm Hiểu Thêm

Microsoft sẽ dừng hỗ trợ Windows 7 từ ngày 14-1 tới, bằng đúng gần 1 thập kỷ kể từ ngày hệ điều hành này ra mắt. Điều này đồng nghĩa với việc Microsoft có thể phải đối mặt với một sự lựa chọn khó khăn về các vấn đề bảo mật.

Microsoft đã hỗ trợ Windows 7 trong hai giai đoạn. Giai đoạn 1 từ năm 2009 -2015, và giai đoạn 2 từ 2016 đến ngày 14-1 tới đây. Hãng này cho biết sẽ không cung cấp bất kỷ bản sửa lỗi bảo mật, bản vá hoặc các bản cập nhật khác cho hệ điều hành này.

Như vậy, từ sau ngày 14-1 người dùng Windows 7 hoàn toàn tự lập, cần tự mình tìm cách khắc phục bất kỳ vấn đề nào với máy tính của mình.

Các chuyên gia cảnh báo đây sẽ là cơ hội vàng cho tin tặc, khi có tới hơn 27% người dùng máy tính trên khắp thế giới sử dụng hệ điều hành Windows 7. Chỉ hơn năm 5% đang chạy Windows 8, 64% dùng Windows 10 và một một số ít người vẫn dùng XP hoặc Vista.

“Đây thực sự là một sự kiện lớn, một thách thức quan trọng đối với nhiều cá nhân và tổ chức trên toàn thế giới khi không có sự hỗ trợ vá lỗi của Microsoft”, Eyal Gruner, người sáng lập và CEO của Cynet nói.

Microsoft khuyến cáo tất cả người dùng đang sử dụng Windows 7 là hãy nâng cấp lên Windows 10. Việc này đối với các cá nhân ít nguy hiểm hơn vì thường chỉ có một hoặc hai máy tính cần nâng cấp nhưng đối với các công ty, tổ chức lớn, nơi có hàng trăm, hàng nghìn chiếc máy tính thì đây là một quá trình nhiều rủi ro và gian nan. Đặc biệt là khi mỗi máy lại có phần cứng và phần mềm khác nhau cần tương thích với hệ điều hành mới.

Để giải quyết khó khăn này, Microsoft bán bản cập nhật bảo mật mở rộng (ESU), có sẵn thông qua các thỏa thuận cấp phép số lượng lớn. ESU cung cấp các cập nhật bảo mật quan trọng trong tối đa 3 năm nên không phải là một bản sửa lỗi vĩnh viễn mà là một biện pháp tạm thời khi các máy tính chưa được nâng cấp.MINH H

Chuyên mục
Giải Pháp An Toàn

Hướng dẫn bật cảnh báo rò rỉ mật khẩu trên Google Chrome

Khi kích hoạt Password Leak Detection, Google Chrome sẽ chủ động phát hiện và cảnh báo bất kỳ thông tin đăng nhập nào của bạn đang bị xâm nhập trái phép.

Google Chrome mới đây được bổ sung thêm một tính năng mới có tên “Password Leak Detection”. Đúng như tên gọi, đây là tính năng được thiết kế để cảnh báo nếu thông tin cá nhân hoặc mật khẩu của bạn bị xâm phậm trái phép trên Internet.

Trình duyệt sẽ kiểm tra mật khẩu bạn đang sử dụng để đăng nhập trang web có trùng với danh sách bị rò rỉ mà Google phát hiện hay không? Nếu phát hiện dữ liệu mật khẩu bị xâm phạm, Google sẽ cảnh báo và khuyên bạn đổi mật khẩu.

Tính năng mới này nghe có vẻ quen thuộc bởi trước đó đã xuất hiện trên Chrome dưới dạng tiện ích mở rộng. Tuy nhiên, tính năng này hiện được Google tích hợp luôn vào Chrome nên bạn không cần phải cài thêm tiện ích mở rộng nào khác.

Password Leak Detection hiện đang được Google phát triển nhưng bạn có thể kích hoạt thủ công bằng cách truy cập vào phần Cài đặt nâng cao của Chrome.

Khi bạn hoàn thành các bước kích hoạt, Google Chrome sẽ chủ động phát hiện và cảnh báo bất kỳ thông tin đăng nhập nào của bạn đang bị xâm nhập trái phép. Nếu nhận được cảnh báo, hãy đảm bảo thay đổi mật khẩu để giữ cho tài khoản an toàn.

Khi kích hoạt Password Leak Detection, Google Chrome sẽ chủ động phát hiện và cảnh báo bất kỳ thông tin đăng nhập nào của bạn đang bị xâm nhập trái phép.

Hướng dẫn kích hoạt Password Leak Detection của Google Chrome

*Nguồn: pureinfotech.com, thegioididong.com.

Đầu tiên mở trình duyệt Google Chrome, sau đó truy cập đường dẫn sau trên thanh địa chỉ: chrome://flags/#password-leak-detection

Tại Menu Default bên phải dòng Password Leak Detection hãy chọn Enabled để kích hoạt (hoặc chọn Disabled để tắt).

Tại Menu Default bên phải dòng Password Leak Detection hãy chọn Enabled để kích hoạt (hoặc chọn Disabled để tắt).

Để hoàn tất hãy nhấp vào Relaunch now để khởi chạy lại ứng dụng.

Sưu Tầm

Chuyên mục
Cảnh Báo Bảo Mật

HÃY CẬP NHẬT FIREFOX NGAY BÂY GIỜ!

Mozilla mới tung ra bản cập nhật mới cho trình duyệt Firefox, trong đó khắc phục một lỗ hổng bảo mật rất nguy hiểm. Hãng đang hối thúc người dùng cập nhật càng sớm càng tốt – và ngay cả chính quyền Mỹ cũng đưa ra khuyến cáo tương tự.

Công ty bảo mật Trung Quốc Qihoo 360 là bên đã phát hiện và báo cáo lỗ hổng zero-day này. Mozilla sau đó cho biết họ đã phát hiện ra “một số vụ tấn công có chủ đích thông qua việc khai thác lỗ hổng trên”, mặc dù vậy họ không cho biết cách thức chính xác mà lỗ hổng này bị lợi dụng. Họ mô tả lỗi này xảy ra là do “thông tin alias bị sai trong trình biên dịch IonMonkey JIT trong khi đặt các đối tượng mảng, và điều này có thể gây ra sự nhầm lẫn gõ phím.”

Chính quyền Mỹ

Ngay cả Bộ An ninh Nội địa Mỹ cũng đang kêu gọi người dùng cập nhật trình duyệt Firefox của họ lên phiên bản mới nhất. Cơ quan An ninh mạng và Cơ sở hạ tầng và an ninh mạng Mỹ (CISA) cảnh báo lỗ hổng có thể bị khai thác để hacker “chiếm quyền điều khiển những hệ thống bị ảnh hưởng”, gây ra những hậu quả nghiêm trọng.

Đây là lỗ hổng zero-day thứ ba mà Mozilla phải vá trong một năm. Hồi tháng 6 vừa qua, một cuộc tấn công tương tự, cũng được mô tả là “lỗ hổng nhầm lẫn gõ phím”, nhắm đến những người dùng Coinbase. Một lỗ hổng thứ hai được vá vài ngày sau đó. Theo trang tin ZDNet, những lỗ hổng zero-day này bị một nhóm hacker lợi dụng để tấn công các nhân viên của Coinbase thông qua một đoạn email lừa đảo dẫn link đến các trang web độc hại.

Lỗ hổng nói đến trong bài viết này có lẽ cũng có mức độ nghiêm trọng tương tự; nếu không Cơ quan An ninh mạng và Cơ sở hạ tầng và an ninh mạng Mỹ đã không phải đưa ra khuyến cáo cụ thể như vậy.

Phiên bản mới nhất chứa bản vá trên là Firefox 72.0.1, hiện đã được tung ra. Để đảm bảo máy bạn đang chạy bản Firefox mới nhất, hãy vào menu Help > About Firefox. Một cửa sổ sẽ hiện ra với thông tin về phiên bản hiện tại của Firefox. Trong trường hợp nếu bản vá vừa mới được cài đặt, cửa sổ này sẽ yêu cầu bạn khởi động lại trình duyệt để hoàn tất quá trình cập nhật. Bản vá cũng được áp dụng với phiên bản Firefox ESR 68.4.1.

VnReview

Chuyên mục
An Toàn Thông Tin

Thiệt hại do virus máy tính gây ra cho người dùng Việt Nam đã vượt ngưỡng 20.000 tỷ đồng

[ ictnews] Theo ước tính của Bkav, trong năm ngoái, thiệt hại do virus máy tính gây ra cho người dùng Việt Nam đã lên tới 20.892 tỷ đồng (902 triệu USD), vượt xa con số 14.900 tỷ đồng của năm 2018.

Thông tin nêu trên vừa được tập đoàn công nghệ Bkav cho biết trong báo cáo tổng kết tình hình an ninh mạng năm 2019.

Thiệt hại do virus máy tính gây ra cho người dùng Việt Nam đã tăng từ mức 14.800 tỷ đồng trong năm 2018 lên tới 20.892 tỷ đồng trong năm 2019 (Ảnh minh họa: Internet)

Khối cơ quan nhà nước chuyển biến tích cực

Cũng trong báo cáo tổng kết an ninh mạng 2019 mới phát ra trưa nay, ngày 9/1/2020, Bkav cho hay, trong năm 2019, với sự chỉ đạo quyết liệt từ cơ quan quản lý nhà nước, cùng các chiến dịch xử lý mã độc đồng loạt tại một số thành phố lớn đã góp phần giảm đáng kể số lượng máy tính tại Việt Nam nằm trong mạng máy tính ma (botnet). Theo công bố của Liên minh Viễn thông Quốc tế ITU, Việt Nam đã tăng 50 hạng về Chỉ số an toàn, an ninh thông tin toàn cầu trong năm.

Chuyên gia Bkav cho rằng, đây là những tín hiệu rất đáng mừng, từng bước cải thiện về tình hình an ninh mạng tại Việt Nam, điều chưa từng xảy ra trong vài thập kỷ vừa qua. Tuy nhiên, theo Bkav, chuyển biến tích cực này mới chỉ đến chủ yếu từ khối cơ quan ở Trung ương và một số thành phố lớn.

Công tác phòng chống mã độc tại các địa phương khác vẫn còn rất nhiều tồn tại, đặc biệt một lượng lớn máy tính tại khối doanh nghiệp tư nhân và người sử dụng cá nhân vẫn chưa có hình thức phòng vệ cần thiết, chưa có phần mềm diệt virus bảo vệ thường trực, hoặc có phần mềm diệt virus nhưng không đủ mạnh. Theo thống kê của Bkav, tỷ lệ máy tính bị nhiễm mã độc trong năm 2019 tại Việt Nam vẫn ở mức rất cao, lên tới gần 58%.

Mã độc tấn công APT đã tinh vi đến mức “tàng hình”

Lý giải rõ hơn về con số thiệt hại lớn mà virus máy tính gây ra cho người dùng Việt Nam trong năm 2019, Bkav cho biết, tuy không có sự cố nào đặc biệt nghiêm trọng xảy ra, song sự gia tăng máy tính bị nhiễm mã độc mã hóa dữ liệu (rasomware) và mã độc tấn công có chủ đích APT là nguyên nhân chính gây ra thiệt hại lớn này. Tổng số lượt máy tính bị nhiễm mã độc được ghi nhận trong năm 2019 lên tới 85,2 triệu lượt, tăng 3,5% so với năm 2018.

Thống kê của Bkav cho thấy, 420.000 máy tính tại Việt Nam đã bị nhiễm loại mã độc tấn công APT nguy hiểm W32.Fileless. Theo chuyên gia Bkav, kỹ thuật mà W32.Fileless sử dụng rất tinh vi và có thể nói đã đạt đến mức “tàng hình”. Mã độc này không để lại bất cứ dấu hiệu gì về sự tồn tại của chúng dưới dạng file nhị phân trên ổ cứng máy tính như các loại mã độc thông thường.

Theo thống kê của Bkav, có tới 420.000 máy tính tại Việt Nam đã bị nhiễm loại mã độc tấn công APT nguy hiểm W32.Fileless (Ảnh minh họa: Internet)

Ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng Chống mã độc (Anti Malware) của Bkav cho biết: “W32.Fileless ẩn nấp trong các thông số cấu hình hệ thống như Registry, WMI hay Task Schedule. Chúng phá hoại bằng cách lợi dụng các tiến trình chuẩn của hệ thống để chạy các đoạn mã thực thi (script) đặc biệt. Mã độc này phát tán thông qua USB hay qua khai thác lỗ hổng hệ điều hành”.

Do khả năng ẩn giấu gần như trong suốt với người dùng, mã độc này sẽ nằm vùng, đánh cắp thông tin, mở cổng hậu để tin tặc có thể chiếm quyền điều khiển máy tính từ xa. Bkav cũng ghi nhận một số dòng W32.Fileless có tải về thêm các mã độc khác để lợi dụng tài nguyên máy tính đào tiền ảo.

Chuyên gia Bkav khuyến cáo, người sử dụng cần nâng cấp phiên bản mới nhất của phần mềm diệt virus để có thể tìm và diệt được loại virus tàng hình này.

1,8 triệu lượt máy tính bị mất dữ liệu

Năm 2019 vừa qua tiếp tục chứng kiến sự hoành hành của các loại mã độc mã hóa dữ liệu tống tiền (ransomware). Theo thống kê của Bkav, số lượng máy tính bị mất dữ liệu trong năm 2019 lên tới 1,8 triệu lượt, tăng 12% so với năm 2018. Nghiêm trọng hơn, trong số này có rất nhiều máy chủ (server) chứa dữ liệu của các cơ quan. Không chỉ gây thiệt hại lớn, việc các máy chủ bị xóa dữ liệu cũng gây đình trệ hoạt động của cơ quan, doanh nghiệp trong nhiều ngày sau đó, thậm chí đến cả tháng.

Các chuyên gia Bkav cho biết, đã có một chiến dịch quy mô lớn của hacker nước ngoài tấn công vào các máy chủ có mật khẩu yếu tại Việt Nam. Không sử dụng các hình thức lây nhiễm mã độc lây nhiễm thông thường, hacker đã tập trung dò tìm các server có mật khẩu yếu, từ đó thực hiện truy cập trái phép từ xa (remote access) nhằm cài thủ công mã độc mã hóa dữ liệu. Kiểu tấn công này khiến phần mềm diệt virus sẽ bị vô hiệu hóa do hacker đã chiếm được toàn quyền điều khiển máy chủ.

Các chuyên gia khuyến nghị, người sử dụng, đặc biệt là các quản trị cần rà soát, đặt lại mật khẩu đủ mạnh cho máy tính, máy chủ mình quản lý. Mật khẩu đủ mạnh phải có độ dài từ 9 ký tự trở lên, có chứa cả chữ hoa và chữ thường, có ký tự là số và kỳ tự đặc biệt. Ngoài ra, mật khẩu không nên chứa các ký tự dễ đoán như thông tin về người dùng hay thông tin về máy chủ, quản trị.

80% máy tính bị nhiễm virus do cài đặt phần mềm từ trên mạng

Phân tích về những nguyên nhân dẫn tới số lượng máy tính bị nhiễm virus ở mức cao, các chuyên gia Bkav cho biết nguyên nhân đầu tiên là việc tải và cài đặt các phần mềm không rõ nguồn gốc, trôi nổi trên mạng. Trung bình, cứ 10 máy tính cài các phần mềm tải về từ Internet thì có tới 8 máy tính sẽ bị nhiễm viurs, đây là một tỷ lệ rất cao. Để đảm bảo an toàn, người sử dụng chỉ nên tải các phần mềm có nguồn gốc rõ ràng, từ nhà sản xuất tin tưởng và từ các kho ứng dụng chính thống, không tải từ những nguồn trôi nổi trên mạng.

Tỷ lệ lây nhiễm virus qua USB đã giảm mạnh, tuy vẫn ở mức cao 55%, nhưng đã giảm tới 22% so với năm 2018. Ngược lại, virus lây nhiễm qua email lại tăng, lên mức 20%, tăng 4% so với năm 2018. Cũng theo thống kê của Bkav, vẫn tồn tại tới 41,04% máy tính tại Việt Nam có chứa lỗ hổng SMB, từng bị virus Wanna Cry khai thác để lây nhiễm hơn 300.000 máy tính chỉ trong vài giờ. Đây vẫn là những nguy cơ rất lớn về mất an ninh thông tin tại Việt Nam.

Để phòng chống mã độc, các chuyên gia Bkav khuyến cáo, người sử dụng cần trang bị phần mềm diệt virus thường trực để quét virus cho USB trước khi sử dụng. Mở file đính kèm nhận được từ internet trong môi trường cách ly an toàn (Safe Run). Thường xuyên cập nhật bản vá lỗ hổng cho máy tính.

Chuyên mục
An Toàn Thông Tin

Sân bay Đà Nẵng: Mạng riêng của Vietjet và Bamboo Airways bị sự cố

TTO – Sự cố mạng thủ tục của hai hãng hàng không Vietjet Air và Bamboo Airways tại nhà ga hành khách T1, sân bay Đà Nẵng ảnh hưởng đến làm thủ tục chuyến bay ngày 2-1 là do mạng riêng của hai hãng.

Cảng hàng không quốc tế Đà Nẵng cho biết như vậy khi báo cáo với Tổng công ty Cảng hàng không Việt Nam (ACV) về sự cố mạng chập chờn khi làm thủ tục chuyến bay đối với hai hãng hàng không Vietjet Air và Bamboo Airways ngày 2-1.

Theo biên bản được đại diện Cảng hàng không Đà Nẵng, Cảng vụ hàng không miền Trung, đại diện Vietjet và Bamboo Airways lập: khoảng 8h30 ngày 2-1, tại nhà ga T1 Cảng hàng không Đà Nẵng, các quầy làm thủ tục chuyến bay (check in) của Vietjet và Bamboo Airways gặp sự cố mạng dẫn đến mạng chập chờn, ảnh hưởng đến việc làm thủ tục check in cho hành khách. 

Chỉ có quầy 20, 21 và 27 của Vietjet vẫn truy cập và làm thủ tục bình thường. Những quầy bị rớt mạng phải làm thủ tục thủ công cho hành khách.

Trung tâm khai thác ga Cảng hàng không Đà Nẵng đã cử nhân viên kỹ thuật kiểm tra song song hệ thống, thấy hệ thống máy tính vẫn đăng nhập bình thường nên đề nghị Vietjet và Bamboo Airways kiểm tra lại đường truyền. 

Đến khoảng 9h30 ngày 2-1, hệ mạng của hai hãng đã vào được nhưng tốc độ chậm.

Theo Cảng hàng không Đà Nẵng, doanh nghiệp này chỉ cung cấp máy tính, còn phần mềm, thiết bị ngoại vi, đường truyền đều do Vietjet và Bamboo Airways tự thực hiện. 

Các hãng thuê đường truyền trực tiếp từ 2 nhà mạng VNPT và Viettel và từng nhiều lần xảy ra sự cố mạng như trên. 

Khi có sự cố ACV cũng nhiều lần đưa đường truyền dự phòng của Cảng hàng không Đà Nẵng để hỗ trợ các hãng.

Theo Cảng hàng không Đà Nẵng, khi nhà ga T1 đưa vào khai thác từ tháng 12-2011, doanh nghiệp này đã đầu tư hệ thống thủ tục dùng chung và được các hãng Vietnam Airlines, Jetstar Pacific và Vasco khai thác ổn định, đảm bảo an ninh an toàn mạng và chất lượng dịch vụ.

Còn 2 hãng Vietjet và Bamboo Airways sử dụng mạng riêng của hãng (bao gồm phần mềm và đường truyền) kết nối trực tiếp từ Internet.

ACV đã nhiều lần đề nghị Vietjet và Bamboo Airways ký kết hợp đồng sử dụng hệ thống thủ tục dùng chung của Cảng hàng không Đà Nẵng để đảm bảo an ninh an toàn mạng, nâng cao năng lực khai thác nhà ga T1 và chất lượng dịch vụ theo quy định của Bộ Giao thông vận tải.

Đến nay, Bamboo Airways đã làm việc với nhà cung cấp dịch vụ CNTT SITA về việc chứng thực phần mềm làm thủ tục để kết nối vào mạng thủ tục dùng chung của Cảng hàng không Đà Nẵng.

“Sự cố mạng ngày 2-1-2020 là trách nhiệm của các hãng hàng không Vietjet Air và Bamboo Airways. Cảng hàng không quốc tế Đà Nẵng đã hỗ trợ và sau thời gian đó công tác làm thủ tục cho hành khách tại nhà ga T1 hoạt động bình thường.

Để đảm bảo an ninh an toàn mạng, nâng cao năng lực khai thác nhà ga T1 và chất lượng dịch vụ, đề nghị các hãng hàng không Vietjet Air và Bamboo Airways sớm ký kết hợp đồng và sử dụng mạng dùng chung của Cảng hàng không quốc tế Đà Nẵng” – lãnh đạo Cảng hàng không Đà Nẵng báo cáo với ACV.

Chuyên mục
Kiến Thức Cơ Bản

Kiến thức cơ bản về Bug Bounty

bug bounty vietnam

Bug Bounty là một chương trình bảo mật mà các doanh nghiệp kết nối với cộng đồng chuyên gia để tìm lỗ hổng bảo mật trong sản phẩm. Với mỗi lỗi tìm ra, doanh nghiệp sẽ trao một khoản tiền thưởng cho người tìm thấy lỗi. Đây là một hình thức bảo mật nhận được nhiều sự quan tâm của các tổ chức, doanh nghiệp hiện nay bởi tính hiệu quả và tối ưu chi phí. Vậy, Bug Bounty là gì, tác dụng như thế nào? Cùng tìm hiểu những kiến thức cơ bản về Bug Bounty và lợi ích mà nó mang lại cho doanh nghiệp trong bài viết sau đây.

Tổng quan về Bug Bounty

1. Bug Bounty là gì?

Bug Bounty (tạm dịch Săn lỗi nhận tiền thưởng) là một chương trình bảo mật được công bố bởi các tổ chức, doanh nghiệp hoặc bên thứ 3 nhằm thu hút cộng đồng dò tìm và báo cáo lỗ hổng bảo mật (bug) trong các sản phẩm công nghệ. Trong đó, các khoản tiền thưởng (bounty) sẽ được trao cho những người tìm ra lỗi.

Quy trình triển khai Bug Bounty

Một chương trình bug bounty tiêu chuẩn sẽ bao gồm 3 đối tượng chính:

  • Đơn vị tổ chức Bug Bounty: thường là các doanh nghiệp, tổ chức hoặc bên thứ 3. Đây là đơn vị chịu trách nhiệm thiết kế & công bố chương trình Bug Bounty, đồng thời trao thưởng cho chuyên gia tìm được lỗi.
  • Sản phẩm cần tìm lỗi: có thể là website, mobile app, IoT, API, phần mềm máy tính, phần mềm dịch vụ – SaaS,…
  • Chuyên gia: là những người tham gia tìm lỗi trong chương trình Bug Bounty. Họ là những chuyên gia an ninh mạng, tư vấn bảo mật cho các tổ chức, cũng có thể là một pen-tester, một hacker mũ trắng hay một sinh viên ATTT tài năng.

Phần thưởng có thể là tiền mặt, bằng khen, quà lưu niệm, sự công nhận,… nhưng phổ biến nhất vẫn là tiền mặt. Tiền thưởng nhiều hay ít tùy thuộc vào mức độ nghiêm trọng & tầm ảnh hưởng của lỗi bảo mật tới người dùng và chính doanh nghiệp.

2. Bug Bounty có lợi ích gì?

Mục đích của chương trình Bug Bounty là dò tìm ra nhiều lỗ hổng bảo mật nhất có thể, từ đó khắc phục – sửa chữa các lỗ hổng đó trước khi tin tặc phát hiện ra. Việc này giúp phòng tránh kẻ xấu khai thác các lỗ hổng bảo mật dẫn tới nhiều hậu quả khôn lường.

Cuộc đua tìm lỗ hổng bảo mật của Doanh Nghiệp vs Tin Tặc

3. Bug và Vulnerability

Bug là các lỗi khiến một hệ thống, chương trình, phần mềm hoạt động không bình thường. Đôi khi bug cũng ám chỉ lỗi tồn tại trong các dòng lệnh (code) của một ứng dụng. Trong chương trình Bug Bounty, “bug” thường ám chỉ tới những lỗi bảo mật (vulnerability). Đây là những lỗ hổng hay điểm yếu bảo mật trong hệ thống, chương trình, phần mềm có thể bị kẻ xấu tấn công khai thác và gây ra nhiều hậu quả nghiêm trọng. Vulnerability có thể phát sinh ở cả khâu thiết kế và vận hành.

4. Bug Bounty Hunter

Bug Bounty Hunter (thợ săn tiền thưởng Bug Bounty) là những người thường xuyên tham gia vào các chương trình bug bounty để tìm lỗi và nhận thưởng. Họ có thể là một pen-tester, hacker mũ trắng, nhà nghiên cứu an ninh mạng độc lập, hay một sinh viên An toàn thông tin xuất sắc.

bug bounty hunter - những người săn tiền thưởng từ chương trình bug bounty.

Họ yêu thích công việc tìm lỗi và thường tham gia vào nhiều chương trình Bug Bounty khác nhau để tìm kiếm các lỗi bảo mật, vừa thỏa mãn đam mê, vừa có thể kiếm thêm một khoản thu nhập đáng kể.

5. Kỹ thuật Pen-test (kiểm thử xâm nhập)

Để tìm ra các lỗi bảo mật, các Bug Bounty Hunter cần kỹ năng Pentest (Penetration testing – kiểm thử xâm nhập). Đây là hình thức kiểm tra bảo mật cho sản phẩm công nghệ (web, app, API, IoT,…) bằng cách cố gắng tấn công xâm nhập vào sản phẩm đó để phát hiện ra điểm yếu bảo mật tồn tại trong sản phẩm. Đây là kỹ thuật được sử dụng trong các chương trình Bug Bounty để tìm ra lỗi bảo mật của hệ thống. Người làm nghề kiểm thử được gọi là Pen-tester.

6. Xu hướng Crowdsourcing

Crowdsourcing được ghép bởi 2 từ “crowd” (đám đông) và “source” (nguồn lực), có nghĩa là tận dụng nguồn lực của đám đông. Khác với outsourcing (thuê ngoài), crowdsourcing tận dụng nguồn lực cộng đồng để hoàn thiện một (hoặc một phần) công việc nào đó. Crowdsourcing thường được áp dụng vào những công việc mà đám đông tỏ ra hiệu quả hơn một nhóm người cố định.

Ví dụ: Một trong những start-up crowdsourcing thành công nhất là Waze – ứng dụng cảnh báo tắc đường và tự động lựa chọn lộ trình tốt nhất. Waze cho phép users gửi những thông tin tắc nghẽn từ khắp mọi nơi về trung tâm dữ liệu. Bằng cách xử lý những data này, Waze giúp người dùng app chọn được một lộ trình di chuyển phù hợp nhất. Trong trường hợp này, rõ ràng ứng dụng sẽ không thể thành công nếu không sử dụng nguồn lực cộng đồng.

Lợi thế của crowdsourcing là tính sáng tạo không giới hạn, từ đó mang lại hiệu quả và giúp tiết kiệm chi phí. Xu hướng này đã và đang được ứng dụng vào nhiều ngành nghề khác nhau.

7. Bảo mật cộng đồng – crowdsouced security

Bảo mật cộng đồng (Crowdsourced Security) là ứng dụng của mô hình crowdsourcing trong bảo mật thông tin. Đây là hình thức tận dụng nguồn lực đám đông để bảo mật cho một sản phẩm công nghệ thông qua việc tìm lỗ hổng trong sản phẩm.

Các chương trình Bug Bounty là của giải pháp Bảo mật cộng đồng trong thực tế. Ngoài ra, chương trình “Công bố lỗ hổng” – Vulnerability Disclosure Program (VDP) mà ở đó, mọi báo cáo từ các hacker đều là tự nguyện, họ có thể có hoặc không nhận được tiền thưởng cho những báo cáo đó.

Lợi ích của Bug Bounty so với Pentest truyền thống

1. Tìm được nhiều lỗi hơn

Công việc tìm lỗi cần rất nhiều kỹ năng, kinh nghiệm, sự sáng tạo Pen-tester. Vì thế mô hình bảo mật cộng đồng (crowdsourced security) với hàng trăm, hàng nghìn chuyên gia sẽ mang lại lợi ích lớn hơn so với dịch vụ Pentest chỉ bao gồm một nhóm chuyên gia (khoảng 3-5 người).

Hơn nữa, đối với hầu hết các hợp đồng Pentest thông thường, Pen-tester bị áp lực về thời gian kiểm thử. Điều này phần nào ảnh hưởng tới tính sáng tạo của họ khi tìm lỗi. Ngược lại, các pen-tester tham gia vào nền tảng Bug Bounty bị thúc đẩy bởi sự ganh đua và hứng thú. Tâm lí này khiến cho công việc tìm lỗi đạt được nhiều kết quả khả quan hơn.

Tại WhiteHub, cộng đồng chuyên gia đã đạt hơn 600 chuyên gia, dự kiến đạt 3000 chuyên gia vào năm 2020.

2. Tiết kiệm chi phí

Chi phí của các hợp đồng Pentest truyền thống thường cố định và dựa vào uy tín của từng đơn vị cung cấp.

  • Điều đó khiến chi phí ban đầu cao, không phù hợp với những doanh nghiệp vừa và nhỏ, startup.
  • Đôi khi những lỗ hổng trong báo cáo không thực sự mang lại giá trị cho doanh nghiệp.

Với mô hình tính phí dựa trên kết quả (số lỗ hổng tìm thấy), Bug Bounty giải quyết triệt để các vấn đề trên:

  • Doanh nghiệp được hoạch định ngân sách cho chương trình Bug Bounty, và chi phí trả thưởng cho từng loại lỗ hổng, tùy theo mức độ nghiêm trọng.
  • Doanh nghiệp sẽ không phải trả tiền khi không tìm thấy lỗi, hoặc các lỗi nằm ngoài phạm vi ảnh hưởng (out of scope).
  • Chương trình Bug Bounty có thể được chia thành nhiều giai đoạn thực hiện, phù hợp cho SME, startup cần dàn trải chi phí.

3. Linh hoạt về thời gian

Với các dịch vụ pentest truyền thống, các pen-tester sẽ thực hiện kiểm thử trong một khoảng thời gian cố định (tuần hoặc tháng), sau đó sẽ làm một báo cáo tổng quan. Điều này có thể dẫn tới chậm trễ trong việc vá các lỗ hổng hệ thống.

Ngược lại, Bug Bounty linh hoạt về thời gian, chương trình Bug Bounty cho phép mỗi chuyên gia gửi báo cáo ở ngay tại thời điểm họ tìm thấy lỗ hổng. Lợi thế của cộng đồng là mỗi người có một khung giờ hoạt động khác nhau, vì thế các báo cáo sẽ liên tục được gửi về cho doanh nghiệp để xử lý kịp thời.

4. Đáp ứng được nhu cầu phát triển web, app liên tục

Cuộc chiến thu hút người dùng khiến cho doanh nghiệp phải liên tục cập nhật, cải tiến sản phẩm web, mobile app của mình. Qua đó, các lỗ hổng bảo mật có thể xuất hiện mà bộ phận phát triển (dev) không thể lường trước được. Nếu mỗi lần update app đều sử dụng dịch vụ pentest thì chi phí đội lên quá cao. Nếu chỉ sử dụng phần mềm bảo mật tự động thì không đủ đảm bảo tính an toàn cho sản phẩm.

Một chương trình Bug Bounty sẽ là giải pháp trung gian hoàn hảo. Nó cho phép doanh nghiệp thoải mái lựa chọn phạm vi thực hiện, thời gian đóng – mở chương trình sao cho phù hợp với từng giai đoạn phát triển ứng dụng với chi phí hợp lý.

Chương trình Bug Bounty tính phí dựa trên kết quả nhận được. Vì vậy, nếu bản cập nhật không tạo ra bất kỳ một lỗ hổng nào, doanh nghiệp sẽ không phải trả phí. Ngược lại, nếu có lỗ hổng nghiêm trọng, doanh nghiệp trả tiền cho một kết quả thực tế và xứng đáng.

Ông Nguyễn Hữu Trung – Sáng lập WhiteHub Bug Bounty.

5. Tính tùy biến cao

Các chương trình Bug Bounty cho phép chủ chương trình tùy biến các thông số cho phù hợp với tài chính, thực trạng doanh nghiệp hiện tại:

  • Tùy chỉnh phạm vi kiểm thử (công khai hay bí mật).
  • Tùy chỉnh tổng ngân sách, tiền thưởng cho từng lỗi.
  • Lựa chọn phạm vi kiểm thử cho chương trình Bug Bounty (công khai, bán công khai, bí mật)
  • Lựa chọn chuyên gia kiểm thử (Giới hạn ở những chuyên gia tốt nhất).
  • Tích hợp báo cáo lỗ hổng vào các phần mềm làm việc phổ biến (trello, slack).

Các nền tảng Bug Bounty phổ biến

Xuất phát từ khó khăn của các doanh nghiệp trong việc thu hút nhiều chuyên gia tài năng tham gia vào chương trình Bug Bounty, các nền tảng Bug Bounty thuộc bên thứ ba ra đời.

Nền tảng Bug Bounty (Bug bounty platform) là những đối tác bên thứ ba giúp các doanh nghiệp tổ chức và thu hút nhiều chuyên gia bảo mật tài năng. Các nền tảng Bug Bounty giải quyết 3 bài toán:

  • Giúp cho các startup và SME tiếp cận lượng chuyên gia có sẵn trên nền tảng thay vì phải tự gây dựng danh tiếng và tự thu hút chuyên gia.
  • Tạo sân chơi cho các nhà nghiên cứu bảo mật giao lưu, học hỏi, kiếm thêm thu nhập từ đam mê.
  • Giải quyết vấn đề về việc tổ chức Bug Bounty một cách chuyên nghiệp. Đảm bảo quyền lợi và sự riêng tư của cả doanh nghiệp và chuyên gia.

Dưới đây là các nền tảng Bug Bounty bên thứ 3 uy tín:

1. HackerOne

HackerOne là một trong những nền tảng Bug Bounty nổi tiếng nhất thế giới. Công ty được thành lập năm 2012 tại San Francisco. Là một trong những tên tuổi lâu đời và uy tín nhất trong ngành, HackerOne kết nối doanh nghiệp với cộng đồng hacker mũ trắng & nhà nghiên cứu bảo mật thông qua các chương trình Bug Bounty và VDP. Tính tới năm 2018, mạng lưới hacker mũ trắng của HackerOne đã lên tới 200,000 người.

Một số khách hàng tiêu biểu của HackerOne bao gồm Bộ Quốc Phòng Mỹ, General Motors, Starbucks, UBER, Spotify, airbnb, Nintendo, WordPress, Snapchat, Twitter và nhiều tổ chức, doanh nghiệp khác.

2. Bugcrowd

Thành lập năm 2011 tại San Francisco, Bugcrowd là một trong những đơn vị uy tín giúp doanh nghiệp công bố chương trình Bug Bounty và thu hút các chuyên gia kiểm thử. Công ty cung cấp 4 dịch vụ dựa trên Crowdsourced Security, bao gồm Bug Bounty, Vulnerability Disclosure, Next Gen Pentest, Bug Bash.

Bugcrowd là đối tác bảo mật của nhiều thương hiệu lớn như Tesla, Mastercard, Motorola, Atlassian, hay Western Union.

3. WhiteHub

Ra mắt vào tháng 4/2019, WhiteHub là nền tảng đầu tiên tại Việt Nam kết nối doanh nghiệp với chuyên gia bảo mật thông qua chương trình Bug Bounty. Tính tới tháng 8/2019, WhiteHub đã thu hút được 500 chuyên gia bảo mật tham gia vào nền tảng, triển khai Bug Bounty cho 20 công ty trong và ngoài nước, thuộc nhiều lĩnh vực khác nhau như eCommerce, Fintech, OTA, SaaS, blockchain, v.v.

Đây là nền tảng Bug Bounty được tin tưởng và sử dụng bởi các doanh nghiệp Việt dẫn đầu như VinGroup (VinID), Giaohangtietkiem, Vntrip, Luxstay, Sendo, Finhay, Getfly CRM.

“WhiteHub là một sản phẩm của công ty An toàn thông tin CyStack Việt Nam, được thành lập bởi nhóm chuyên gia ATTT có nhiều năm kinh nghiệm chuyên sâu và tâm huyết với ngành. Mong muốn của chúng tôi là đóng góp vào sự phát triển của ngành An ninh mạng Việt Nam. Qua đó, tạo động lực thúc đẩy nền kinh tế công nghệ cao, giúp doanh nghiệp có những bước đi vững vàng để vươn xa hơn nữa.”

Nguyễn Hữu Trung – Founder WhiteHub Bug Bounty; CTO CyStack Vietnam.

Doanh nghiệp được cung cấp những công cụ cần thiết để tổ chức chương trình Bug Bounty bài bản, chuyên nghiệp. Qua đó tiếp cận cộng đồng 500+ chuyên gia bảo mật uy tín hàng đầu tại Việt Nam và trong khu vực để tìm lỗ hổng trong sản phẩm.

Lợi ích:

  • Kiểm thử bảo mật cho website, mobile app với cộng đồng 500+ chuyên gia an ninh mạng & pentester.
  • Phát hiện nhiều lỗ hổng bảo mật hơn, với chi phí thấp hơn.
  • Bảo mật thông tin chương trình, kiểm soát chất lượng chuyên gia.

Security Daily / Bình Nguyên Đặng