Chuyên mục
Bạn Cần Biết

Windows 7 sẽ chính thức ngừng hoạt động

Từ ngày 14/01/2020, các máy tính cá nhân sử dụng hệ điều hành Windows 7 sẽ vẫn hoạt động, nhưng sẽ không còn được Microsoft hỗ trợ kỹ thuật, cập nhật phần mềm hoặc cập nhật bảo mật.

Windows 7 sẽ chính thức ngừng hoạt động

Microsoft cũng sẽ triển khai các thông báo trên toàn màn hình cho người dùng Windows 7 từ giữa tháng 01/2020, nhằm buộc người dùng nâng cấp lên Windows 10 hoặc từ bỏ hệ điều hành sắp bị ngừng hoạt động này.

Microsoft đã tạo các cửa sổ nhỏ trên máy tính người dùng nhắc về sự thay đổi sắp tới kể từ tháng 04/2019, nhưng sẽ thay thế các thông báo này bằng các cửa sổ thông báo trên toàn màn hình để khiến người dùng Windows 7 khó bỏ qua hơn.

Theo NetMarketShare, tính đến tháng 11/2019, hệ điều hành Windows 7 vẫn đang được sử dụng bởi 26,86% người dùng Windows. Trong khi đó, hệ điều hành hiện hành Windows 10 chiếm thị phần 53,33%.

Windows 7 là một hệ điều hành máy tính cá nhân được Microsoft sản xuất như là một phần của gia đình hệ điều hành Windows NT. Nó được phát hành để đưa vào các máy tính sản xuất vào ngày 22/7/2009 và có sẵn để người dùng tải về tự cài đặt vào ngày 22/10/2009, chưa đầy ba năm sau khi phiên bản tiền nhiệm Windows Vista phát hành.

An Toàn Thông Tin VN

Chuyên mục
An Toàn Thông Tin

Phát hiện nhóm APT20 có thể vượt qua xác thực hai yếu tố

Các nhà nghiên cứu bảo mật của Fox-ITcho biết, họ tìm thấy bằng chứng cho thấy một nhóm tin tặc có thể vượt qua xác thực hai yếu tố (2FA) trong một đợt tấn công gần đây.

Theo một báo cáo được công bố mới đây của công ty an ninh mạng Fox-IT (Hà Lan), đợt tấn công được phát hiện là do nhóm APT20 thực hiện. Mục tiêu chính của nhóm là các tổ chức chính phủ và nhà cung cấp dịch vụ được quản lý (managed service provider – MSP), hoạt động trong các lĩnh vực như hàng không, y tế, tài chính, bảo hiểm, năng lượng và thậm chí những thị trường ngách như cờ bạc và khóa vật lý.

Phát hiện nhóm APT20 có thể vượt qua xác thực hai yếu tố

Biểu đồ tấn công của nhóm tin tặc APT theo vị trí địa lý

Báo cáo của Fox-IT đã giúp xác định khoảng trống trong lịch sử hoạt động của nhóm. Các vụ tấn công của APT20 bắt đầu từ năm 2011, nhưng các nhà nghiên cứu đã mất dấu vết về hoạt động của nhóm trong năm 2016 – 2017 khi nhóm thay đổi phương thức hoạt động. Báo cáo này cho thấy những hành vi nhóm APT20 đã sử dụng trong hai năm 2018 – 2019 và phương thức chúng thực hiện.

Theo các nhà nghiên cứu, tin tặc đã sử dụng các máy chủ web làm điểm xâm nhập ban đầu vào các hệ thống mục tiêu. Đặc biệt, chúng tập trung vào JBoss, một nền tảng ứng dụng doanh nghiệp thường được sử dụng trong các mạng công ty và chính phủ lớn.

Nhóm tin tặc APT20 đã lợi dụng các lỗ hổng để có quyền truy cập vào các máy chủ này, cài đặt các web shell (công cụ cho phép thực hiện lệnh từ web) và sau đó lan truyền qua các hệ thống nội bộ của nạn nhân.

Khi đã xâm nhập được vào hệ thống nội bộ, nhóm tin tặc đã lấy thông tin mật khẩu và tìm kiếm tài khoản quản trị viên để tối đa hóa quyền truy cập của chúng. Ngoài ra, APT20 thu thập thông tin xác thực VPN, nhờ vậy có thể leo thang quyền truy cập vào các khu vực an toàn hơn trong cơ sở hạ tầng của nạn nhân hoặc sử dụng tài khoản VPN như các cửa hậu ổn định.

Fox-IT cho biết, mặc dù có những hoạt động tấn công rất lớn trong hai năm qua nhưng nhóm tin tặc này đã không bị phát hiện. Nguyên nhân bởi APT20 sử dụng các công cụ hợp pháp được cài đặt trên các thiết bị bị tấn công, thay vì tải xuống phần mềm độc hại được xây dựng tùy chỉnh nhưng có thể được phát hiện bởi giải pháp bảo mật cục bộ.

Tuy nhiên, đây không phải là điểm đáng chú ý nhất trong các vụ tấn công mà chúng thực hiện trong thời gian gần đây. Các nhà phân tích của Fox-IT cho biết, họ đã tìm thấy bằng chứng cho thấy nhóm tin tặc có thể kết nối với tài khoản VPN được bảo vệ bởi 2FA.

Hiện vẫn chưa rõ phương thức nào được nhóm tin tặc sử dụng. Các chuyên gia dự đoán, APT20 đã đánh cắp token phần mềm RSA SecurID từ một hệ thống bị tấn công, sau đó sử dụng trên máy tính của chúng để tạo OTP hợp lệ và vượt qua 2FA theo ý muốn.

Tuy nhiên, để thực hiện được giả thuyết này trong thực tế là khó khả thi. Để sử dụng token của phần mềm này, người dùng cần kết nối thiết bị vật lý với máy tính của họ. Thiết bị vật lý và mã thông báo phần mềm sẽ tạo ra mã 2FA hợp lệ. Nếu không thấy thiết bị, phần mềm RSA SecureID sẽ báo lỗi.

Phát hiện nhóm APT20 có thể vượt qua xác thực hai yếu tố

Thông báo lỗi của phần mềm RSA SecureID

Tuy nhiên, tin tặc có thể khắc phục vấn đề này theo cách mà Fox-IT giải thích như sau: Token phần mềm được tạo cho một hệ thống cụ thể, nhưng giá trị cụ thể của hệ thống này có thể dễ dàng được lấy khi có quyền truy cập vào hệ thống. Tin tặc thực sự không cần phải lấy giá trị cụ thể của hệ thống nạn nhân, bởi vì giá trị cụ thể này chỉ được kiểm tra khi nhập SecurID Token Seed và không có liên hệ gì với giá trị được sử dụng để tạo mã 2FA.

Điều này có nghĩa, tin tặc chỉ cần can thiệp vào phần kiểm tra xác minh đây có phải là token mềm được tạo cho hệ thống này hay không, mà không cần lấy giá trị cụ thể của hệ thống. Nói chung, những gì tin tặc cần phải làm để sử dụng mã 2FA là đánh cắp token phần mềm RSA SecurID và can thiệp vào lệnh tạo ra các token hợp lệ.

Phát hiện nhóm APT20 có thể vượt qua xác thực hai yếu tố

Fox-IT cho biết, họ điều tra các cuộc tấn công của APT20 vì một trong những công ty bị tấn công đã mời Fox-IT hỗ trợ việc điều tra và đối phó với tấn công. Thông tin thêm về các cuộc tấn công này có thể được tìm thấy trong báo cáo có tên “Chiến dịch Woca” của Fox-IT. 

Trong ảnh chụp màn hình dưới đây, có thể thấy APT20 đang cố gắng kết nối với web shell (hiện đã bị xóa) mà chúng đã cài đặt trên mạng của nạn nhân. Các tin tặc thử chạy một số lệnh Windows. Khi các lệnh không thực thi, tin tặc hiểu rằng chúng đã bị phát hiện và ngăn chặn khỏi mạng. Chúng gõ một lệnh cuối cùng trong sự thất vọng – wocao, đó là tiếng lóng của Trung Quốc có ý nghĩa “chết tiệt”.

Phát hiện nhóm APT20 có thể vượt qua xác thực hai yếu tố
An Toàn Thông Tin VN
Chuyên mục
An Toàn Thông Tin

Đại học Justus Liebig Gießen yêu cầu tất cả sinh viên đặt lại mật khẩu tài khoản

Đại học Justus Liebig Gießen (Đức) buộc 38.000 sinh viên, nhân viên xếp hàng, xuất trình giấy tờ để đặt lại mật khẩu sau cuộc tấn công mạng

Đại học Justus Liebig Gießen yêu cầu tất cả sinh viên đặt lại mật khẩu tài khoản

Một cuộc tấn công mạng vừa xảy ra đã khiến Đại học Justus Liebig Gießen (JLU) phải đóng hầu hết các dịch vụ trực tuyến của mình trong vài ngày để thiết lập lại thông tin đăng nhập của người dùng. Để có được mật khẩu mới, nhà trường yêu cầu tất cả sinh viên phải xuất hiện trực tiếp và mang theo giấy tờ tùy thân để thay đổi mật khẩu. 

Cuộc tấn công mạng nhắm vào nhà trường sử dụng phần mềm độc hại bắt đầu vào khoảng ngày 08/12/2019, lan truyền qua mạng nội bộ của nhà trường, bao gồm cả PC được sử dụng bởi các giáo sư của đại học. Do vậy, ngoài việc đặt lại tất cả mật khẩu, nhà trường sẽ phải quét và làm sạch máy tính của các khoa.

Nhà trường đã tiến hành cấp phát USB cho nhân viên và yêu cầu họ sử dụng nó để quét và làm sạch máy tính. Sau khi quét xong, trường cho biết, nhân viên CNTT của họ sẽ tiến hành quét lại lần thứ hai bằng công cụ bổ sung, được xây dựng để phát hiện phần mềm độc hại đã tấn công nhà trường. Sau khi đã làm sạch, các PC sẽ được trang trí bằng nhãn dán màu xanh lá cây, báo hiệu đã sẵn sàng để sử dụng lại. Sinh viên sẽ không cần phải làm sạch PC của họ vì sử dụng một mạng khác với mạng của giảng viên.

JLU không phải là đơn vị duy nhất bị tấn công bởi phần mềm độc hại. Mạng lưới trường học, cả cấp đại học và tiểu học đều là mục tiêu hấp dẫn của tin tặc. Theo dữ liệu được đăng tải bởi công ty bảo mật Armor, trường học ở 70 khu vực tại Mỹ đã bị nhiễm phần mềm độc hại trong năm 2019.

An Toàn Thông Tin VN

Chuyên mục
Chứng Chỉ Quốc Tế

Học gì để thi OSCP ?

Sau đây là một số “ghi nhớ Vàng mười” cho những ai chuẩn bị thi OSCP

Introduction

Welcome to the OSCP resource gold mine. Compilation of resources I used/read/bookmarked in 2017 during the OSCP course…

Google-Fu anyone?

This was originally created on my GitBook but I decided to port it on my blog. This my way of giving back to the infosec community and I hope it can be useful to someone!

Backdoors/Web Shells

  1. http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
  2. https://highon.coffee/blog/reverse-shell-cheat-sheet/
  3. http://pentestmonkey.net/tools/web-shells/php-reverse-shell
  4. http://pentestmonkey.net/tools/web-shells/perl-reverse-shell
  5. https://github.com/bartblaze/PHP-backdoors
  6. https://github.com/BlackArch/webshells
  7. https://github.com/tennc/webshell/tree/master/php/b374k
  8. https://github.com/tennc/webshell/tree/master/php/PHPshell/c99shell
  9. http://www.acunetix.com/blog/articles/web-shells-101-using-php-introduction-web-shells-part-2/
  10. http://securityweekly.com/2011/10/23/python-one-line-shell-code/

Buffer Overflows

  1. http://www.primalsecurity.net/0x0-exploit-tutorial-buffer-overflow-vanilla-eip-overwrite-2/
  2. http://proactivedefender.blogspot.ca/2013/05/understanding-buffer-overflows.html
  3. http://justpentest.blogspot.ca/2015/07/minishare1.4.1-bufferoverflow.html
  4. https://samsclass.info/127/proj/vuln-server.htm
  5. http://www.bulbsecurity.com/finding-bad-characters-with-immunity-debugger-and-mona-py/

Information Gathering/Reconnaissance

  1. LeeBaird Discover Script
  2. Learning from the field – Intelligence Gathering
  3. NetCraft – Information Gathering
  4. The Basics Of Penetration Testing
  5. Enumeration
  6. Penetration Testing Framework

Cross-Compilation

  1. https://arrayfire.com/cross-compile-to-windows-from-linux/

Local File Inclusion/Remote File Inclusion (LFI/RFI)

  1. http://www.grobinson.me/single-line-php-script-to-gain-shell/
  2. https://webshell.co/
  3. https://www.insomniasec.com/downloads/publications/LFI%20With%20PHPInfo%20Assistance.pdf
  4. https://osandamalith.com/2015/03/29/lfi-freak/
  5. https://wiki.apache.org/httpd/DistrosDefaultLayout#Debian.2C_Ubuntu_.28Apache_httpd_2.x.29
  6. https://roguecod3r.wordpress.com/2014/03/17/lfi-to-shell-exploiting-apache-access-log/
  7. https://attackerkb.com/Windows/blind_files
  8. https://digi.ninja/blog/when_all_you_can_do_is_read.php
  9. https://updatedlinux.wordpress.com/2011/05/12/list-of-important-files-and-directories-in-linux-redhatcentosfedora/
  10. https://www.idontplaydarts.com/2011/02/using-php-filter-for-local-file-inclusion/
  11. https://github.com/tennc/fuzzdb/blob/master/dict/BURP-PayLoad/LFI/LFI_InterestingFiles-NullByteAdded.txt
  12. http://www.r00tsec.com/2014/04/useful-list-file-for-local-file.html
  13. https://www.gracefulsecurity.com/path-traversal-cheat-sheet-windows/
  14. https://github.com/tennc/fuzzdb/blob/master/dict/BURP-PayLoad/LFI/LFI-FD-check.txt

File Transfer

  1. https://insekurity.wordpress.com/2012/05/15/file-transfer/
  2. https://www.cheatography.com/fred/cheat-sheets/file-transfers/
  3. https://blog.ropnop.com/transferring-files-from-kali-to-windows/
  4. https://linux.die.net/man/1/scp
  5. https://www.freebsd.org/cgi/man.cgi?fetch(1)
  6. https://curl.haxx.se/docs/manpage.html
  7. https://linux.die.net/man/1/wget

**SCP, WGET, FTP, TFTP, CURL, NC, FETCH

Fuzzing Payloads

  1. https://github.com/fuzzdb-project/fuzzdb
  2. https://github.com/danielmiessler/SecLists

General Notes

  1. https://bitvijays.github.io/LFC-VulnerableMachines.html
  2. http://blog.knapsy.com/blog/2014/10/07/basic-shellshock-exploitation/
  3. http://www.studfiles.ru/preview/2083097/page:7/
  4. http://126kr.com/article/3vbt0k8fxwh
  5. http://meyerweb.com/eric/tools/dencoder/
  6. https://www.darkoperator.com/powershellbasics
  7. https://wooly6bear.files.wordpress.com/2016/01/bwapp-tutorial.pdf
  8. http://alexflor.es/security-blog/post/egress-ports/
  9. https://www.exploit-db.com/papers/13017/
  10. https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
  11. http://explainshell.com/
  12. https://pentestlab.blog/2012/11/29/bypassing-file-upload-restrictions/
  13. https://github.com/g0tmi1k/mpc
  14. https://www.reddit.com/r/netsecstudents/comments/5fwc1z/failed_the_oscp_any_tips_for_the_next_attempt/danovo5/
  15. https://security.stackexchange.com/questions/110673/how-to-find-windows-version-from-the-file-on-a-remote-system
  16. https://www.veil-framework.com/veil-tutorial/ (AV Evasion)
  17. https://blog.propriacausa.de/wp-content/uploads/2016/07/oscp_notes.html
  18. https://jivoi.github.io/2015/07/01/pentest-tips-and-tricks/

Ignore SSL in python scripts : http://stackoverflow.com/questions/19268548/python-ignore-certicate-validation-urllib2

Jailed Shell Escape

  1. http://netsec.ws/?p=337
  2. https://pen-testing.sans.org/blog/2012/06/06/escaping-restricted-linux-shells
  3. https://speakerdeck.com/knaps/escape-from-shellcatraz-breaking-out-of-restricted-unix-shells
  4. http://airnesstheman.blogspot.ca/2011/05/breaking-out-of-jail-restricted-shell.html
  5. http://securebean.blogspot.ca/2014/05/escaping-restricted-shell_3.html

Linux Post-Exploitation

  1. https://github.com/mubix/post-exploitation/wiki/Linux-Post-Exploitation-Command-List
  2. https://github.com/huntergregal/mimipenguin
  3. https://github.com/mubix/post-exploitation/wiki/Linux-Post-Exploitation-Command-List

Linux Privilege Escalation

  1. https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/
  2. https://www.kernel-exploits.com/
  3. https://github.com/rebootuser/LinEnum
  4. https://github.com/PenturaLabs/Linux_Exploit_Suggester
  5. https://www.securitysift.com/download/linuxprivchecker.py
  6. http://pentestmonkey.net/tools/audit/unix-privesc-check
  7. https://github.com/mzet-/linux-exploit-suggester
  8. http://www.darknet.org.uk/2015/06/unix-privesc-check-unixlinux-user-privilege-escalation-scanner/
  9. https://www.youtube.com/watch?v=dk2wsyFiosg
  10. http://resources.infosecinstitute.com/privilege-escalation-linux-live-examples/#gref
  11. https://www.rebootuser.com/?p=1758

Metasploit

  1. https://www.offensive-security.com/metasploit-unleashed/
  2. http://www.securitytube.net/groups?operation=view&groupId=8

MSFVenom Payloads

  1. http://netsec.ws/?p=331
  2. https://www.offensive-security.com/metasploit-unleashed/msfvenom/
  3. http://www.blackhillsinfosec.com/?p=4935

Port Scanning

  1. https://highon.coffee/blog/nmap-cheat-sheet/
  2. https://nmap.org/nsedoc/
  3. https://github.com/superkojiman/onetwopunch
  4. http://kalilinuxtutorials.com/unicornscan/

Password Cracking

  1. https://uwnthesis.wordpress.com/2013/08/07/kali-how-to-crack-passwords-using-hashcat/
  2. https://hashkiller.co.uk/
  3. https://linuxconfig.org/password-cracking-with-john-the-ripper-on-linux
  4. http://www.rarpasswordcracker.com/

Pivoting

  1. https://www.offensive-security.com/metasploit-unleashed/portfwd/
  2. https://www.offensive-security.com/metasploit-unleashed/proxytunnels/
  3. https://github.com/rofl0r/proxychains-ng
  4. https://www.sans.org/reading-room/whitepapers/testing/tunneling-pivoting-web-application-penetration-testing-36117
  5. https://pentest.blog/explore-hidden-networks-with-double-pivoting/
  6. https://blog.techorganic.com/2012/10/10/introduction-to-pivoting-part-2-proxychains/
  7. https://www.cobaltstrike.com/help-socks-proxy-pivoting
  8. https://sathisharthars.com/2014/07/07/evade-windows-firewall-by-ssh-tunneling-using-metasploit/
  9. https://artkond.com/2017/03/23/pivoting-guide/

Remote Desktop Protocol (RDP)

  1. https://serverfault.com/questions/148731/enabling-remote-desktop-with-command-prompt
  2. https://serverfault.com/questions/200417/ideal-settings-for-rdesktop

Samba (SMB)

  1. https://pen-testing.sans.org/blog/2013/07/24/plundering-windows-account-info-via-authenticated-smb-sessions
  2. http://www.blackhillsinfosec.com/?p=4645

TTY Shell Spawning

  1. http://netsec.ws/?p=337
  2. https://github.com/infodox/python-pty-shells
  3. https://blog.ropnop.com/upgrading-simple-shells-to-fully-interactive-ttys/

SQL Injection

  1. http://www.sqlinjection.net/category/attacks/
  2. http://sechow.com/bricks/docs/login-1.html
  3. https://www.exploit-db.com/papers/12975/
  4. https://websec.wordpress.com/2010/12/04/sqli-filter-evasion-cheat-sheet-mysql/
  5. https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/
  6. https://github.com/cr0hn/nosqlinjection_wordlists
  7. https://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/
  8. https://websec.ca/kb/sql_injection#MSSQL_Default_Databases

Vulnhub VMs

A few Vulnhub VMs. I recommend trying out a few before the exam or when your lab time expires.

Another good advice is to read/watch the walkthroughs of those machines. Try to root them yourself first!

  1. Kioptrix: Level 1 (#1)
  2. Kioptrix: Level 1.1 (#2)
  3. Kioptrix: Level 1.2 (#3)
  4. Kioptrix: Level 1.3 (#4)
  5. FristiLeaks: 1.3
  6. Stapler: 1
  7. PwnLab: init
  8. Tr0ll: 1
  9. Tr0ll: 2
  10. Kioptrix: 2014
  11. Lord Of The Root: 1.0.1
  12. Stapler: 1
  13. Mr-Robot: 1
  14. HackLAB: Vulnix
  15. VulnOS: 2
  16. SickOs: 1.2
  17. pWnOS: 2.0

HackTheBox (HTB)

HTB is a penetration testing platform with many machines that feel like they belong in the OSCP labs. All you have to do is pass the registration challenge and only then, you will have your VPN access provided. I suggest doing a few as it is free and an excellent way to prepare for the exam without downloading a vulnerable VM.

Web Exploitation

  1. http://www.studfiles.ru/preview/2083097/page:7/
  2. http://126kr.com/article/3vbt0k8fxwh
  3. http://meyerweb.com/eric/tools/dencoder/

Windows Post-Exploitation

  1. https://github.com/gentilkiwi/mimikatz/releases/
  2. https://github.com/gentilkiwi/mimikatz/wiki/module-~-sekurlsa
  3. http://www.handgrep.se/repository/cheatsheets/postexploitation/WindowsPost-Exploitation.pdf
  4. https://github.com/PowerShellMafia/PowerSploit
  5. https://github.com/gentilkiwi/mimikatz/releases
  6. http://www.handgrep.se/repository/cheatsheets/postexploitation/WindowsPost-Exploitation.pdf
  7. https://github.com/mubix/post-exploitation/wiki/windows

Windows Privilege Escalation

  1. http://www.fuzzysecurity.com/tutorials/16.html
  2. https://toshellandback.com/2015/11/24/ms-priv-esc/
  3. https://github.com/pentestmonkey/windows-privesc-check
  4. https://blog.gdssecurity.com/labs/2014/7/11/introducing-windows-exploit-suggester.html
  5. https://pentest.blog/windows-privilege-escalation-methods-for-pentesters/
  6. https://github.com/foxglovesec/RottenPotato
  7. http://www.exumbraops.com/penetration-testing-102-windows-privilege-escalation-cheatsheet/
  8. https://www.youtube.com/watch?v=PC_iMqiuIRQ
  9. https://www.youtube.com/watch?v=kMG8IsCohHA&feature=youtu.be
  10. https://github.com/PowerShellMafia/PowerSploit
  11. http://www.blackhillsinfosec.com/?p=5824
  12. https://www.commonexploits.com/unquoted-service-paths/
  13. https://github.com/abatchy17/WindowsExploits
Chuyên mục
Giải Pháp An Toàn

Cách bảo mật tin nhắn trên Zalo và iMessage

Hiện nay, việc sử dụng thiết bị đi động để trao đổi thông tin ngày càng trở nên phổ biến. Tuy nhiên, đi kèm với đó là những rủi ro về an toàn, bảo mật thông tin. Rò rỉ thông tin có thể xuất phát từ những việc tưởng chừng đơn giản, như: để điện thoại nơi công cộng, cho người khác mượn điện thoại… Dưới đây là những cài đặt để bảo mật tin nhắn trên Zalo và iMessage.

Zalo

Đối với Zalo cài đặt trên iOS, người dùng kéo tin nhắn sang bên trái, nhấn Ẩn trò chuyện > Đặt mã PIN. Dãy số này sẽ bao gồm 4 con số, giúp bảo vệ những tin nhắn quan trọng không bị đưa lên màn hình chính, hoặc dễ dàng truy cập trên ứng dụng, khiến người khác đọc được.

Cách bảo mật tin nhắn trên Zalo và iMessage

Khi hoàn tất, những tin nhắn này sẽ biến mất khỏi giao diện trên Zalo. Nếu muốn xem lại, người dùng nhập tên người gửi tin nhắn ẩn trên thanh tìm kiếm, sau đó điền mã PIN tương ứng để mở tin nhắn. Lưu ý, để thay đổi mã PIN, người dùng có thể vào phần cài đặt trên Zalo, chọn mục Tin nhắn > Ẩn trò chuyện và làm theo các bước hướng dẫn.

Cách bảo mật tin nhắn trên Zalo và iMessage

iMessage

Khi có tin nhắn mới, theo mặc định toàn bộ nội dung sẽ được hiển thị ngay trên màn hình khóa. Điều này đồng nghĩa với việc người khác có thể đọc được các tin nhắn riêng tư của người dùng. 

Để khắc phục điều này, người dùng truy cập vào phần Settings (Cài đặt) > Notifications (Thông báo) > Messages (Tin nhắn), sau đó vô hiệu hóa tất cả các tùy chọn trong Alerts (Thông báo) và Show Previews (Hiển thị bản xem trước). Có thể thực hiện tương tự đối với cài đặt của các ứng dụng tin nhắn khác.

Cách bảo mật tin nhắn trên Zalo và iMessage

Ngoài những cài đặt trên, người dùng cũng nên thiết lập thêm mã khóa (Passcode) hoặc vân tay (Touch ID) để tăng thêm một lớp bảo mật khác cho thiết bị, tránh trường hợp bị người khác truy cập và đọc lén thông tin cá nhân.

Nếu muốn tự hủy tin nhắn trên thiết bị iOS, người dùng mở ứng dụng iMessage, chạm vào biểu tượng App Store > Store, gõ vào khung tìm kiếm từ khóa Confide và nhấn Get để cài đặt.

Cách bảo mật tin nhắn trên Zalo và iMessage

Tiện ích Confide cho phép người dùng gửi tin nhắn tự hủy dưới dạng nội dung (Text) và hình ảnh (Photo). Khi đã soạn xong tin nhắn, người dùng nhấn Continue để gửi. Khi đó, toàn bộ nội dung sẽ được mã hóa đầu cuối nên sẽ đảm bảo an toàn. Lưu ý, cả người gửi và nhận đều phải cài đặt Confide thì mới có thể xem được nội dung. Tin nhắn gửi đi sẽ hiển thị dưới dạng viên gạch, người nhận chỉ cần chạm vào tin nhắn và vuốt để xem nội dung. Khi đã đọc xong, tin nhắn sẽ biến mất vĩnh viễn và xuất hiện thông báo Cannot Read Message.

Cách bảo mật tin nhắn trên Zalo và iMessage

An Toàn Thông Tin VN

Chuyên mục
An Toàn Thông Tin

Thông tin của hàng chục nghìn nhân viên Facebook bị đánh cắp

Thông tin của hàng chục nghìn nhân viên đang làm việc tại Facebook ở Mỹ đã bị đánh cắp vào tháng 11/2019. Điều bất ngờ, nguyên nhân của việc này là do kẻ trộm đã lẻn vào ô tô của nhân viên facebook và lấy đi một số ổ cứng chứa dữ liệu.

Thông tin của hàng chục nghìn nhân viên Facebook bị đánh cắp

Các ổ cứng bị đánh cắp hầu hết đều không được mã hóa, các thông tin bị rò rỉ gồm: bảng lương, tên tuổi, số tài khoản ngân hàng, số an sinh xã hội….

Theo một phát ngôn viên xác nhận, có tổng cộng 29.000 nhân viên Facebook đang làm việc tại Mỹ bị lộ thông tin cá nhân sau vụ việc này. Trong những năm gần đây, Facebook thường xuyên đối mặt với những chỉ trích vì bị cho là để lộ thông tin cá nhân của người dùng. Tuy nhiên, các ổ cứng và dữ liệu bị đánh cắp trong vụ việc lần này không liên quan gì đến dữ liệu người dùng Facebook.

“Chúng tôi đã làm việc với cơ quan chức năng để tìm ra thủ phạm đã đánh cắp các ổ cứng. Sau vụ việc, chúng tôi không thấy có bất cứ dấu hiệu nào về việc lạm dụng các thông tin bị đánh cắp. Nhiều khả năng vụ đánh cắp này nhằm mục đích phá hoại hơn là một chủ đích đánh cắp thông tin”, người phát ngôn của Facebook chia sẻ.

Facebook đã thông báo và gửi cảnh báo tới các nhân viên bị lấy cắp thông tin. Được biết nhân viên bị tên trộm đánh cắp các ổ cứng nói trên là một nhân viên trong bộ phận trả lương của công ty. Theo quy định, nhân viên này không được phép mang những ổ cứng chứa thông tin nhân viên ra bên ngoài văn phòng. Sau vụ việc, nhân viên này đã bị ban lãnh đạo Facebook kỷ luật.

Facebook vẫn đang làm việc với các cơ quan chức năng để có thể khôi phục lại những thông tin bị đánh cắp. Trong một email, Facebook đã khuyến khích các nhân viên thông báo vụ việc cho các ngân hàng mà họ sử dụng để  thực hiện các biện pháp bảo mật cho tài khoản.

An Toàn Thông Tin VN

Chuyên mục
Giải Pháp An Toàn

Đảm bảo truy cập an toàn ứng dụng của doanh nghiệp

Việc đảm bảo truy cập an toàn vào các ứng dụng có vai trò rất quan trọng đối với các tổ chức, doanh nghiệp (TC/DN) hiện nay. Tuy nhiên, để thực hiện được điều này các TC/DN phải đối mặt với rất nhiều khó khăn và thách thức.

Một số thách thức trong việc truy cập an toàn ứng dụng

Thách thức 1: Không tuân thủ các quy định bảo mật

Các TC/DN vẫn chưa thực sự đề cao và tuân thủ các quy định bảo mật. Trước sự phát triển nhanh chóng của công nghệ thông tin, nếu doanh nghiệp không tuân thủ các quy định bảo mật thì sẽ phải chịu ngày càng nhiều thiệt hại, án phạt có thể lên tới hàng triệu USD. Cụ thể, vào năm 2018, án phạt vi phạm Quy định Bảo vệ Dữ liệu chung (GDPR) là hơn 20 triệu bảng Anh, án phạt vi phạm quy tắc bảo mật dữ liệu y tế HIPAA là 16 triệu USD.

Thách thức 2: Quản lý truy cập từ người dùng cuối tới ứng dụng đám mây và hạn chế của giải pháp NAC

Theo dự đoán của Forbes, trong năm 2020, hơn 83% lượng công việc trong các doanh nghiệp lớn sẽ được thực hiện trên các dịch vụ điện toán đám mây. Thị trường cho các dịch vụ điện toán đám mây sẽ gia tăng một cách nhanh chóng, từ 100 tỷ USD vào năm 2017 lên đến 160 tỷ USD vào năm 2020, với tỉ lệ tăng bình quân hàng năm là 19%.

Đảm bảo truy cập an toàn ứng dụng của doanh nghiệp

Hình 1. Dự báo sự phát triển của thị trường dịch vụ điện toán đám mây giai đoạn 2017 -2020

Nhân viên có thể truy xuất vào các ứng dụng đám mây từ bất cứ nơi đâu, dẫn đến việc bỏ qua nhiều rủi ro tiềm ẩn trên các thiết bị, đồng thời gây ra nhiều khó khăn trong việc kiểm soát truy cập từ các thiết bị đầu cuối.

Một trong những giải pháp để quản lý việc truy cập vào các ứng dụng từ thiết bị của người dùng được sử dụng phổ biến hiện nay là giải pháp kiểm soát truy cập mạng (Network Access Control – NAC). Tuy nhiên, các giải pháp NAC không được thiết kế để kết nối với các ứng dụng điện toán đám mây và gặp khó khăn khi tích hợp vào cơ sở hạ tầng hoặc hệ thống xác thực có sẵn của tổ chức, doanh nghiệp.

Ngoài ra, giải pháp NAC truyền thống thường hay mang lại trải nghiệm người dùng không tốt vì khi phát hiện rủi ro, người dùng sẽ không thể kết nối đến hệ thống mạng trong doanh nghiệp và không thể tác nghiệp được trên thiết bị của họ.

Chi phí đầu tư cho giải pháp NAC truyền thống thường khá cao và phức tạp để triển khai và quản lý. Điều này đòi hỏi tổ chức, doanh nghiệp phải có một đội ngũ chuyên viên có trình độ cao vận hành. Tuy nhiên, nhân sự có trình độ cao lại đang rất khan hiếm. Thống kê cho thấy, năm 2017 có đến 67% các tổ chức doanh nghiệp cho biết là thiếu nguồn nhân lực chất lượng cao về an ninh mạng. Theo dự đoán, năm 2022, cả thế giới sẽ cần hơn 1,8 triệu chuyên gia về an ninh mạng.

Thách thức 3: Xu hướng mang các thiết bị cá nhân vào doanh nghiệp

Một thách thức khác, đó là việc quản lý các thiết bị cá nhân trong xu hướng mang các thiết bị cá nhân (Bring Your Own Device – BYOD). Vào năm 2018, hơn 85% các tổ chức, doanh nghiệp lớn cho phép nhân viên của mình đem các thiết bị cá nhân vào doanh nghiệp như điện thoại, máy tính bảng, laptop,… Các thiết bị này hoạt động trên nhiều nền tảng khác nhau như Windows, macOS, Linux, Android, iOS. Quản lý về truy cập từ các thiết bị cá nhân này gần như rất khó để có thể thực hiện, vì thế đây là thị trường có tiềm năng phát triển cao với mức dự báo tăng trưởng từ 15 tỷ USD năm 2012 lên đến gần 60 tỷ USD vào năm 2020.

Đảm bảo truy cập an toàn ứng dụng của doanh nghiệp

Hình 2. Dự báo sự phát triển của xu hướng BYOD và IoT giai đoạn 2012 – 2020

Thách thức 4: Số lượng lỗ hổng bảo mật và mã độc tăng nhanh qua các năm

Năm 1999, chỉ có 1.000 lỗ hổng bảo mật được phát hiện, đến năm 2016 là 6.000 lỗ hổng và năm 2018 là hơn 16.000 lỗ hổng. Sự tăng vọt này gây ra nhiều khó khăn cho bộ phận quản lý, vì không biết lỗ hổng nào là quan trọng và cần ưu tiên khắc phục trước trong hàng ngàn lỗ hổng được phát hiện.

Đảm bảo truy cập an toàn ứng dụng của doanh nghiệp

Hình 3. Số lượng lỗ hổng bảo mật được phát hiện giai đoạn 1999 – 2018

Ngoài ra, số lượng mã độc được phát hiện cũng ngày càng nhiều, từ hơn 50 triệu mã độc vào năm 2010 đến 850 triệu mã độc đến năm 2018. Đồng thời, xuất hiện thêm các loại mã độc ngày càng đa dạng và nguy hiểm như mã độc tống tiền, mã độc đào tiền ảo.… Với sự gia tăng như vậy, khó có chương trình antivirus riêng biệt nào có thể phát hiện được tất cả.

Đảm bảo truy cập an toàn ứng dụng của doanh nghiệp

Hình 4. Số lượng mã độc được phát hiện giai đoạn 2010 – 2018

Giải pháp đảm bảo an toàn cho truy cập ứng dụng

Theo đánh giá, trên thị trường hiện nay có rất nhiều giải pháp giúp đảm bảo an toàn trong việc truy cập ứng dụng của TC/DN. Trong đó, có thể kể tới giải pháp MetaAccess của OPSWAT – giải pháp có thể giải quyết hầu hết các thách thức trên để đảm bảo an toàn cho các truy cập vào ứng dụng của doanh nghiệp.

Bằng cách thường xuyên theo dõi các thiết bị với chính sách bảo mật mà TC/DN đặt ra, MetaAccess cho phép các thiết bị tuân thủ được phép truy cập vào ứng dụng và ngăn chặn các thiết bị không tuân thủ truy cập. Đồng thời, đưa ra những hướng dẫn cụ thể giúp người dùng cuối có thể tự khắc phục được các vấn đề trên thiết bị của họ, như yêu cầu cập nhật phần mềm antivirus, cập nhật phần mềm khắc phục lỗ hổng bảo mật… mà vẫn có thể tiếp tục sử dụng thiết bị.

Đảm bảo truy cập an toàn ứng dụng của doanh nghiệp

Về việc đảm bảo tuân thủ các tiêu chuẩn bảo mật, MetaAccess cung cấp hơn 70 quy tắc an toàn, phù hợp với nhu cầu và quy mô của các TC/DN.

MetaAccess là một giải pháp trên đám mây, nghĩa là khách hàng không cần bỏ ra chi phí đầu tư ban đầu, với công cụ quản lý tập trung từ đám mây không đòi hỏi đội ngũ kỹ thuật chuyên môn để quản lý vận hành hệ thống. Đồng thời, cung cấp khả năng tích hợp vào các hệ thống có sẵn của khách hàng thông qua các API, từ đó giảm thiểu thời gian triển khai cho TC/DN.

Thay vì ngăn chặn hoàn toàn một thiết bị không tuân thủ các quy tắc an toàn truy cập vào hệ thống mạng, giải pháp cung cấp thông tin, hướng dẫn người dùng cuối thực hiện cách khắc phục các vấn đề trên thiết bị của họ trước khi cho phép họ truy cập lại vào ứng dụng của doanh nghiệp.

Bằng việc không sử dụng các giải pháp quản lý thiết bị di động (Mobile Device Management – MDM), hỗ trợ nhiều hệ điều hành khác nhau như Windows, Mac, Linux, Android, iOS, với một chương trình chạy ngầm (agent) nhỏ không đòi hỏi nhiều về cấu hình phần cứng, giải pháp hiện đang phục vụ tốt cho nhu cầu cài đặt trên thiết bị cá nhân.

Về việc quản lý các lỗ hổng bảo mật, Hệ thống chấm điểm an toàn OPSWAT (OPSWAT Security scoring system) sẽ phân loại độ ưu tiên của các lỗ hổng bảo mật trên hơn 20.000 ứng dụng. Từ đó, việc kiểm soát, sửa lỗi các lỗ hổng bảo mật được thực hiện dễ dàng hơn.

Với sự gia tăng số lượng mã độc một cách nhanh chóng như hiện nay, giải pháp MetaAccess tích hợp với công nghệ multi-scanning giúp khách hàng phát hiện các mối đe dọa một cách nhanh chóng bằng các công nghệ như phân tích sự lặp lại của các mối đe dọa, quét các mối đe dọa trên hơn 30 chương trình chống mã độc với độ phủ cao.

Như vậy, toàn bộ các thách thức trên đều có thể giải quyết thông qua giải pháp MetaAccess. Đây cũng là một trong những giải pháp nhận được danh hiệu giải pháp đảm bảo an toàn truy cập tốt nhất năm 2019 bởi hãng truyền thông SC Media.

MetaAccess được cung cấp bởi công ty an ninh mạng OPSWAT – một trong những công ty hàng đầu thế giới về công nghệ Deep CDR và cung cấp các giải pháp để bảo vệ cơ sở hạ tầng trọng yếu cho hơn 1.200 doanh nghiệp trên thế giới.

An Toàn Thông Tin VN

Chuyên mục
Giải Pháp An Toàn

Cần nâng cao mức độ đảm bảo an toàn cho giao dịch điện tử

Giao dịch điện tử và thanh toán không dùng tiền mặt đã mở ra nhiều cơ hội kinh doanh mới, mang lại sự tiện lợi, tính minh bạch trong thanh toán cho các cá nhân, tổ chức. Tuy nhiên, sự phát triển của giao dịch điện tử cũng kéo theo sự gia tăng nguy cơ mất an toàn thanh toán, gian lận, lừa đảo tài chính đối với người dùng. Do đó, an ninh thanh toán sẽ là bài toán mà các ngân hàng và tổ chức tài chính cần giải quyết nếu muốn thu hút và giữ chân khách hàng.

Cần nâng cao mức độ đảm bảo an toàn cho giao dịch điện tử

Hiện trạng mất an toàn giao dịch điện tử

Theo thống kê của Vụ Thanh toán – Ngân hàng Nhà nước, hiện nay, Việt Nam có khoảng 45 triệu tài khoản cá nhân, tương đương với một nửa dân số. Về thanh toán điện tử qua Internet, điện thoại di động, đến ngày 31/3/2019, giao dịch tài chính qua kênh Internet tăng 68,8% về số lượng và 13,4% về giá trị so với cùng kỳ năm 2018, giao dịch tài chính được thực hiện trên điện thoại di động tăng 97,7% về số lượng và 232,3% về giá trị so với cùng kỳ năm 2018.

Thanh toán điện tử, đặc biệt là thanh toán trên các nền tảng di động đang có những bước phát triển mạnh mẽ. Tuy nhiên, cùng với đó là sự gia tăng về số lượng những vụ việc liên quan đến an toàn thanh toán, gian lận tài khoản tín dụng, lừa đảo tài chính. Công nghệ 5G và các công nghệ 4.0 giúp tạo ra thế giới siêu kết nối nhưng cũng là nhân tố hình thành nên ngành công nghiệp “đánh cắp tiền” trị giá đến hàng tỷ USD.

Tại Việt Nam, trong những năm qua đã chứng kiến hàng loạt vụ mất cắp tài khoản tiết kiệm, tài khoản ngân hàng của người dùng do gian lận nội bộ, mất cắp thông tin khách hàng, bị tin tặc tấn công vào hệ thống bảo mật của ngân hàng.… Đặc biệt, có những vụ việc mà đối tượng lừa đảo đã giả mạo ngân hàng thực hiện 18 giao dịch, lấy cắp gần nửa tỷ đồng từ tài khoản của khách hàng chỉ trong 2 phút.

Nhân viên ngân hàng lợi dụng những lỗ hổng trong hệ thống quản lý, cấu kết rút ruột tài khoản tiết kiệm với số tiền lên đến hàng trăm tỷ đồng hoặc bán thông tin khách hàng cho các đối tượng lừa đảo. Nhiều người dùng phản ánh về việc bị mất tiền trong thẻ tín dụng vô cớ dù không phát sinh giao dịch do sự cố trong hệ thống bảo mật của ngân hàng. Trong thời gian qua cũng liên tiếp xảy ra những vụ tin tặc tấn công vào hệ thống ngân hàng, đánh cắp và công khai dữ liệu của hàng triệu khách hàng ngân hàng trên Internet. Đáng chú ý, tất cả các trường thông tin bị rò rỉ đều ở dạng bản rõ và không được mã hóa. 

Những vụ việc trên không chỉ xảy ra ở những ngân hàng nhỏ mà cả trong các hệ thống ngân hàng lớn, đang sở hữu hàng ngàn khách hàng thường xuyên. Nguyên nhân chính trong lừa đảo tín dụng được xác định đến từ hệ thống bảo mật của ngân hàng. Các ngân hàng chưa thực sự sẵn sàng đầu tư đúng mức cho vấn đề bảo mật và nâng cấp phần mềm, hệ thống đảm bảo an toàn. Một số đơn vị vẫn sử dụng những phương thức tạo mã OTP đơn giản, thiếu yếu tố ngẫu nhiên và tính bảo mật khiến tin tặc dễ dàng bẻ khóa và tấn công vào hệ thống.

Giải pháp đảm bảo an toàn cho giao dịch điện tử

Theo đó, việc triển khai xây dựng hệ thống xác thực mạnh mẽ như xác thực điện tử, ký số bảo mật sẽ là nhân tố thay đổi cuộc chơi trong xu hướng chuyển đổi số ngành ngân hàng, giúp nâng cao uy tín và thu hút khách hàng.

Ông Hoàng Nguyên Vân, Tổng Giám đốc Công ty cổ phần công nghệ SAVIS, Chuyên gia về xác thực, ký số điện tử, nhấn mạnh đến tầm quan trọng của xác thực, ký số và định danh điện tử: “Ngành Ngân hàng luôn là ngành dẫn đầu về ứng dụng công nghệ thông tin trong các hoạt động kinh doanh, cũng như tính phức tạp của hoạt động tài chính, thì vấn đề bảo mật và an toàn thông tin mang tính sống còn. Nhiều sự cố về an toàn thông tin gần đây đã gây thiệt hại nặng nề về mặt tài chính và uy tín của các ngân hàng. Để thiết lập niềm tin trong các giao dịch điện tử giữa các cá nhân và tổ chức, Liên minh Châu Âu đã đưa ra những quy định, tiêu chuẩn kỹ thuật cũng như khung pháp lý khắt khe về quy định bảo vệ dữ liệu chung, dịch vụ thanh toán điện tử, định danh điện tử, ký số bảo mật, dịch vụ tin cậy như eIDAS, GDPR, PSD2, 3D Secure. Định danh số, ký giao dịch, xác thực sử dụng chữ ký số đáp ứng tiêu chuẩn bảo mật là yêu cầu tiên quyết nhằm đảm bảo an toàn thanh toán, giá trị pháp lý của giao dịch điện tử ngành Ngân hàng”.

Đặc biệt, trong xu thế toàn cầu về công nghệ và pháp lý cho ký số, xác thực điện tử, thì dịch vụ ký số từ xa, ký số trên nền tảng di động sẽ là tương lai ngành Ngân hàng. “Khi xây dựng Ngân hàng số cũng như công dân điện tử, dịch vụ công điện tử xuyên biên giới (cross-border), Liên minh châu Âu đều bắt buộc triển khai định danh số, ký số, xác thực mạnh 2 yếu tố và các dịch vụ tin cậy trên nền tảng di động tuân thủ quy định eIDAS/PSD2. Việc này giúp nâng cao tính bảo mật nhờ cải thiện sự bất tiện của các thiết bị lưu khóa thông thường trong ký số như thẻ thông minh (smart card), SIM hay USB token, cũng như rủi ro của hệ thống smart OTP với mức độ bảo mật chưa cao hiện nay.” – Ông Hoàng Nguyên Vân chia sẻ.

Về hành lang pháp lý tại Việt Nam hiện nay, Quyết định số 630/QĐ-NHNN ngày 31/03/2017 của Ngân hàng Nhà nước ban hành về áp dụng các giải pháp an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, nếu so sánh với chỉ thị về dịch vụ thanh toán điện tử PSD2 tuân thủ theo quy định về định danh điện tử và các dịch vụ tin cậy cho giao dịch điện tử – eIDAS của Liên minh Châu Âu, thì vẫn còn tồn tại nhiều bất cập về mặt pháp lý, kỹ thuật và tính an toàn, bảo mật. Cùng với đó, theo Quyết định này, việc triển khai ngân hàng số không giấy tờ sẽ không thể triệt để bởi vẫn yêu cầu phải in sao kê các chứng từ giao dịch cuối ngày, chưa áp dụng việc xác nhận ký các giao dịch của người dùng trên kênh thứ hai sử dụng thuê bao di động.

Hệ thống thanh toán, giao dịch điện tử là tài sản của người dùng và hệ thống ngân hàng, cần được bảo vệ khỏi tất cả các nguy cơ bị tấn công mạng. Các giải pháp liên quan đến xác thực, định danh điện tử, ký số bảo mật hứa hẹn sẽ là công cụ cấp quyền giao dịch và bảo mật thông tin hữu hiệu nhất. Nó thiết lập một dữ liệu giao dịch duy nhất và không thể giả mạo bất kỳ yếu tố nào. Vì vậy, để tăng cường tính bảo mật, an toàn trong giao dịch, thanh toán điện tử, việc hoàn thiện hành lang pháp lý về giao dịch điện tử nói chung và giải pháp định danh, xác thực điện tử nói riêng sẽ là ưu tiên hàng đầu của các cơ quan quản lý. Hệ thống ngân hàng cũng cần dành sự quan tâm và đầu tư đúng mực hơn nữa cho các giải pháp bảo mật trong thanh toán điện tử.

An Toàn Thông Tin VN

Chuyên mục
Cẩm Nang AT3

Tác động của cặp lỗ hổng Spectre – Meltdown tới công tác phát triển phần mềm

Meltdown và Spectre đã được công bố cách đây gần một năm nhưng các nhà nghiên cứu bảo mật vẫn tiếp tục xem xét tác động của chúng và tìm cách đối phó.

Tuy là những lỗ hổng của phần cứng nhưng chúng lại tác động rất lớn đến công tác phát triển phần mềm. Trước khi các lỗ hổng kênh kề này xuất hiện, hầu hết các nhà phát triển web chỉ cần tập trung vào bảo mật ứng dụng, nhưng kể từ khi cặp lỗ hổng nổi tiếng Spectre – Meltdown được công bố, họ phải xem xét cả cách trình duyệt quản lý bộ nhớ của nó trong chu trình xử lý yêu cầu.

Tác động của cặp lỗ hổng Spectre - Meltdown tới công tác phát triển phần mềm

Cả Meltdown và Spectre đều cho phép một tiến trình đọc bộ nhớ mà thông thường nó không có khả năng đọc. Đôi khi, nhiều tài liệu từ các trang web khác nhau có thể dẫn đến việc chia sẻ một tiến trình trong trình duyệt. Điều này có thể xảy ra khi trước đó đã mở trang web khác bằng window.open hoặc <a href=”…” target=”_blank”> hay iframe. Nếu một trang web chứa dữ liệu riêng của người dùng, một trang web khác có thể sử dụng các lỗ hổng mới này để đọc dữ liệu của người dùng đó. Bài báo này sẽ giới thiệu một số tính năng mà các lập trình viên có thể sử dụng để giảm thiểu tác động của cặp lỗ hổng này.

Site Isolation và Cross-Origin Read Blocking

Tác động của việc khai thác thành công Spectre có thể được giảm đáng kể bằng cách ngăn chặn dữ liệu nhạy cảm chia sẻ tiến trình với mã do kẻ tấn công kiểm soát. Chrome đã triển khai một tính năng có tên là Site Isolation (Cách ly trang web) để thực hiện điều đó. Isolation Site bổ sung thêm một ranh giới giữa các trang web bằng cách đảm bảo rằng, các trang từ các website khác nhau hoạt động trong các tiến trình “hộp cát” khác nhau trong trình duyệt. Vì mỗi trang web trong trình duyệt có quy trình riêng biệt, trong trường hợp lỗ hổng trình duyệt hoặc Spectre như lỗ hổng kênh kề, tính năng này sẽ gây khó khăn trong việc truy cập hay đánh cắp dữ liệu xuyên trang của các tài khoản người dùng trên các trang web khác.

Tuy nhiên, ngay cả khi tất cả các trang được đưa vào tiến trình riêng biệt thì chúng vẫn có thể yêu cầu một số dữ liệu phụ của trang web khác, chẳng hạn như hình ảnh và JavaScript. Một trang web độc hại có thể dùng một thẻ <img> để tải một tệp JSON với dữ liệu nhạy cảm như số dư tài khoản ngân hàng:

<img src=”https://your-bank.example/balance.json”>

Nội dung của tệp JSON sẽ được đưa vào bộ nhớ của tiến trình kết xuất nội dung hiển thị và không phải là hình ảnh. Nhưng kẻ tấn công có thể lợi dụng một lỗ hổng như Spectre để đọc vùng nhớ đó. Hoặc thay vì dùng thẻ <img>, kẻ tấn công có thể dùng thẻ <script>:

<script src=”https://your-bank.example/balance.json”></script>

Để giúp ngăn chặn thông tin nhạy cảm bị rò rỉ, Site Isolation bao gồm tính năng Cross-Origin Read Blocking để chặn việc truyền dữ liệu giữa các trang web. CORB sẽ ngăn việc đưa nội dung của tệp balance.json vào bộ nhớ của tiến trình kết xuất nội dung hiển thị dựa trên kiểu MIME của nó.

Để đảm bảo mức an ninh cao nhất và hưởng lợi từ CORB, người dùng cần thực hiện những điều sau:

– Với các tài nguyên HTML, JSON và XML: Đảm bảo các tài nguyên này được cung cấp với “Content-Type” chính xác như danh sách dưới đây, cùng với thông tin điều khiển “X-Content-Type-Options: nosniff”:

    HTML MIME type – “text/html”

    XML MIME type – “text/xml”, “application/xml” hay bất kỳ kiểu MIME nào mà kiểu con kết thúc bằng “+xml”

JSON MIME type – “text/json”, “application/json” hay bất kỳ kiểu MIME nào mà kiểu con kết thúc bằng “+json”   

Ngoài ra, không nên hỗ trợ các yêu cầu multipart cho các tài nguyên nhạy cảm vì việc thay đổi kiểu MIME thành multipart/byteranges khiến cho Chrome khó bảo vệ dữ liệu hơn.

– Với các dạng tài nguyên khác (ví dụ như PDF, ZIP, PNG): Đảm bảo những tài nguyên này chỉ được cung cấp cho các yêu cầu có chứa token CSRF không thể đoán được (phân phối qua các tài nguyên được bảo vệ HTML, JSON hay XML như trình bày ở trên).

Về cơ bản, Site Isolation là một tính năng của trình duyệt không tác động trực tiếp đến những người phát triển ứng dụng web. Các lập trình viên không phải học thêm API mới nào và nhìn chung thì các trang web không thể nhận ra sự khác biệt khi chạy ở chế độ Site Isolation thông thường. Tuy nhiên, vẫn có một vài hiệu ứng phụ mà các lập trình viên cần lưu ý.

Bố cục toàn trang không còn đồng bộ

Với Site Isolation, bố cục toàn trang không còn được đảm bảo là đồng bộ, vì các khung của trang hiện có thể được chia ra nhiều tiến trình khác nhau. Điều này có thể ảnh hưởng đến các trang nếu người phát triển cho rằng thay đổi bố cục lan truyền ngay lập tức đến tất cả các khung trên trang.

Ví dụ: Một trang web có tên fluffykittens.example giao tiếp với một tiện ích xã hội được lưu trữ trên mạng xã hội – widget.example:

<!– https://fluffykittens.example/ –>

<iframe src=”https://social-widget.example/” width=”123″></iframe>

<script>

  const iframe = document.querySelector(‘iframe’);

  iframe.width = 456;

  iframe.contentWindow.postMessage(

    // The message to send:

    ‘Meow!’,

    // The target origin:

    ‘https://social-widget.example’

  );

</script>

Thoạt đầu, độ rộng của <iframe> là 123 điểm ảnh. Nhưng sau đó trang FluffyKittens thay đổi độ rộng thành 456 điểm ảnh và gửi một thông điệp đến social widget, trong đó chứa đoạn mã sau:

<!– https://social-widget.example/ –>

<script>

  self.onmessage = () => {

    console.log(document.documentElement.clientWidth);

  };

</script>

Khi social widget nhận được một thông điệp qua postMessage API, nó sẽ ghi lại độ rộng của phần tử gốc <html>. Giá trị nào sẽ được ghi? Trước khi bật tính năng Site Isolation, câu trả lời là 456 vì mọi thứ được đồng bộ. Tuy nhiên, khi bật tính năng Site Isolation, việc bố cục lại social widget xảy ra không đồng bộ trong một tiến trình khác. Vì thế, câu trả lời sau đó sẽ là 123. Trong trường hợp này, cách làm tốt hơn là thiết lập độ rộng của khung cha và phát hiện sự thay đổi trong <iframe> bằng cách theo dõi sự kiện resize (thay đổi kích cỡ).

Các trình xử lý dỡ tải có thể bị quá giờ thường xuyên hơn

Khi một khung được chuyển hướng hoặc đóng lại, tài liệu cũ cùng với bất kỳ tài liệu khung con nào được nhúng trong đó đều chạy trình xử lý dỡ tải của chúng. Nếu điều hướng mới xảy ra trong cùng một tiến trình kết xuất (ví dụ: đối với điều hướng cùng nguồn gốc), trình xử lý dỡ tải của tài liệu cũ và các khung con của nó có thể chạy trong một thời gian khá dài trước khi cho phép điều hướng xảy ra.

addEventListener(‘unload’, () => {

  doSomethingThatMightTakeALongTime();

});

Trong tình huống này, trình xử lý dỡ tải trong tất cả các khung đều rất đáng tin cậy. Tuy nhiên, ngay cả khi không có tính năng Site Isolation thì một số việc điều hướng khung là xảy ra xuyên tiến trình, gây ảnh hưởng đến hoạt động của trình xử lý dỡ tải. Ví dụ, khi người dùng chuyển từ trang old.example sang new.example bằng cách gõ URL vào thanh địa chỉ, việc tải new.example diễn ra trong một tiến trình mới. Trình xử lý dỡ tải của old.example và các khung con của nó chạy trong tiến trình ngầm, sau khi trang new.example được hiển thị, các trình xử lý dỡ tải cũ được chấm dứt nếu chúng không hoàn thành công việc sau một thời gian nhất định. Vì các trình xử lý dỡ tải có thể không hoàn thành đúng thời hạn và bị ép chấm dứt hoạt động nên các hành vi dỡ tải sẽ kém tin cậy hơn.

Một hệ quả khác của việc áp dụng tính năng Site Isolation là việc xử lý song song của các trình xử lý dỡ tải: Trước đây các trình xử lý dỡ tải chạy theo một trật tự nghiêm ngặt từ trên xuống dưới cho các khung, khi bật Site Isolation, các trình xử lý dỡ tải chạy song song trong các tiến trình khác nhau.

Cách gửi thông báo “dỡ tải” hợp lý là dùng navigator.sendBeacon:

addEventListener(‘pagehide’, () => {

  navigator.sendBeacon(‘/end-of-session’);

});

Nếu muốn kiểm soát tốt hơn, chúng ta có thể dùng tùy chọn keepalive của Fetch API:

addEventListener(‘pagehide’, () => {

  fetch(‘/end-of-session’, { keepalive: true });

});

Các cookie SameSite

Các cookie thường được gửi cho tất cả các yêu cầu tới website thiết lập cookie, thậm chí cả trong trường hợp yêu cầu được một bên thứ ba gửi bằng thẻ <img>. SameSite là một thuộc tính mới, chỉ định rằng chỉ đính kèm cookie tới các yêu cầu xuất phát từ cùng site. Tuy nhiên, chỉ có những phiên bản mới nhất của các trình duyệt hỗ trợ SameSite (trong đó Internet Explorer 11 chỉ hỗ trợ một phần).

HTTPOnly và document.cookie

Nếu cookie của trang web chỉ được sử dụng phía máy chủ, không phải bởi JavaScript khách, có nhiều cách người dùng có thể ngăn dữ liệu của cookie vào quy trình hiển thị trang web (render process). Người dùng có thể đặt thuộc tính cookie HTTPOnly, điều này ngăn chặn cookie khỏi bị truy cập thông qua tập lệnh phía máy khách trên các trình duyệt được hỗ trợ, chẳng hạn như Chrome. Nếu không thể cài đặt HTTPOnly, người dùng có thể giúp hạn chế việc tải dữ liệu cookie vào quy trình được hiển thị (rendered process) bằng cách không đọc document.cookie trừ khi thực sự cần thiết.

Mở các liên kết ngoài bằng rel=”noopener”

Khi liên kết đến một trang khác bằng target=”_ blank”, trang đã mở có quyền truy cập vào đối tượng cửa sổ của người dùng, có thể điều hướng trang đó đến một URL khác và nếu không có tính năng Site Isolation, nó sẽ ở trong cùng một tiến trình với trang của người dùng. Để bảo vệ trang được tốt hơn, các liên kết đến các trang bên ngoài mở trong một cửa sổ mới phải luôn chỉ định rel=”noopener”.

Giảm độ chính xác của bộ đếm thời gian

Để khai thác lỗ hổng Meltdown hoặc Spectre, kẻ tấn công cần đo thời gian để đọc một giá trị nhất định từ bộ nhớ. Điều này cần một bộ đếm thời gian đáng tin cậy và chính xác. API mà nền tảng web cung cấp performance.now() có chính xác đến 5 micro giây. Để giảm thiểu, tất cả các trình duyệt chính đã giảm độ phân giải của performance.now() để khiến việc tấn công trở nên khó khăn hơn.

Một cách khác để có được bộ đếm thời gian độ phân giải cao là sử dụng SharedArrayBuffer. Bộ đệm được sử dụng bởi một “công nhân” chuyên dụng để tăng bộ đếm. Các luồng chính đọc bộ đếm này và sử dụng nó như là một bộ đếm thời gian. Hiện tại, các trình duyệt đã quyết định vô hiệu hóa SharedArrayBuffer cho đến khi có các biện pháp giảm thiểu rủi ro khác.

Phát triển phần mềm không chỉ là lập trình

Quá trình phát triển phần mềm không chỉ bao gồm lập trình mà còn có một giai đoạn rất quan trọng khác là kiểm thử. Cặp lỗ hổng Spectre – Meltdown nhắc cho đội ngũ kiểm thử, nhất là kiểm thử an ninh rằng, chúng đã “giấu mình” suốt 20 năm trước khi bị phát hiện, trong khi trên lý thuyết chúng có thể bị phát hiện bất cứ lúc nào. Kiểm thử tự động đã không thể phát hiện ra cặp lỗ hổng vì cách làm đó chỉ thích hợp cho việc phát hiện những vấn đề mà đội ngũ phát triển biết là có thể xảy ra.

Những người phát hiện lỗ hổng Spectre hay Meltdown tìm ra chúng khi kiểm thử thăm dò (exploratory testing). Dù kiểm thử thăm dò không chắc có thể phát hiện ra những vấn đề ẩn, nhưng nó có thể tìm ra những tác động không mong muốn mà những vấn đề đó gây ra với các ứng dụng. Việc bổ sung kiểm thử thăm dò vào quy trình kiểm thử có thể giúp  phát hiện các vấn đề tiềm ẩn sớm hơn trong tương lai.

An Toàn Thông Tin VN

Chuyên mục
Cẩm Nang AT3

USB là nguyên nhân chính khiến 15 triệu máy tính nhiễm virus

Theo thống kê từ hệ thống giám sát virus của Công ty An ninh mạng Bkav, số lượng máy tính bị nhiễm virus tại Việt Nam trong quý 3/2017 lên tới 15 triệu lượt máy. Con đường lây nhiễm virus chính là qua USB, chiếm tới hơn 50%.

USB là nguyên nhân chính khiến 15 triệu máy tính nhiễm virus

Các chuyên gia Bkav phân tích, mặc dù USB là phương tiện phổ biến để sao lưu, trao đổi dữ liệu giữa các máy tính, nhưng ý thức về sử dụng USB an toàn vẫn chưa được cải thiện nhiều. Đây là lý do mà USB vẫn đang là nguồn lây nhiễm virus nhiều nhất. Cũng theo thống kê của Bkav trong năm 2016, có tới 83% USB từng bị nhiễm virus.

Các chuyên gia khuyến cáo, để hạn chế việc lây nhiễm của virus lây lan qua USB cũng như tự bảo vệ dữ liệu của bản thân, người dùng cá nhân cần trang bị phần mềm diệt virus thường trực để quét USB trước khi sử dụng, hạn chế sử dụng USB trên các máy tính lạ. Với các cơ quan doanh nghiệp, cần trang bị giải pháp kiểm soát chính sách an ninh đồng bộ, trong đó có kiểm soát, phân quyền sử dụng USB theo nhu cầu và độ quan trọng của từng máy.

Biến thể mới của mã độc Mirai nhắm đến thiết bị IoT tại Việt Nam

Theo các chuyên gia tại Bkav, những thiết bị IoT như Router Wifi, Camera IP… trong các gia đình Việt Nam đang là mục tiêu của mã độc Mirai.

Phân tích một biến thể mới của Mirai (mã độc thường lợi dụng thói quen không đổi mật khẩu mặc định từ nhà sản xuất của người dùng để tự động dò tìm và lây nhiễm vào các thiết bị IoT), các chuyên gia Bkav phát hiện tin tặc đang nhắm mục tiêu đến Việt Nam. Trong biến thể này, danh sách mật khẩu được mã độc sử dụng để tấn công xuất hiện thông tin tài khoản mặc định của nhà mạng tại Việt Nam.
Biến thể mới của mã độc Mirai nhắm mục tiêu đến thiết bị IoT tại Việt Nam

Sự bùng nổ của IoT khiến vấn đề an ninh trên các thiết bị như Router Wifi, Camera IP… trở thành chủ đề nóng trong thời gian gần đây. Kết quả nghiên cứu của Bkav năm 2016 cũng cho thấy có hơn 5,6 triệu router trên khắp thế giới có lỗ hổng, riêng tại Việt Nam con số này là 300 nghìn.

Sau khi tấn công, kiểm soát thiết bị IoT, tin tặc có thể huy động các thiết bị này trở thành botnet trong các cuộc tấn công từ chối dịch vụ DDoS hoặc kiểm soát toàn bộ truy cập của người dùng trong mạng, thực hiện các hình thức tấn công MitM, Phishing để ăn cắp tài khoản ngân hàng, mạng xã hội, email…

Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Bkav khuyến cáo, để phòng tránh nguy cơ bị truy cập trái phép, người sử dụng cần phải kiểm tra, thay đổi mật khẩu quản trị các thiết bị IoT đồng thời tắt tính năng cho phép truy cập thiết bị từ mạng Internet bên ngoài khi không sử dụng. Về phía nhà cung cấp dịch vụ, thiết bị cũng cần thông báo việc phải thay đổi mật khẩu mặc định cho khách hàng sau khi lắp đặt và đưa thiết bị vào sử dụng.

An Toàn Thông Tin VN