Lỗi bảo mật nghiêm trọng cho Wifi, thông qua Firesheep

Kể từ khi nhà nghiên cứu Eric Butler phát hành Firesheep (là một Firefox addon) hôm Chủ nhật ngày 24/10/2010, đã gây choáng váng cư dân mạng với khả năng cho phép người dùng truy cập trực tiếp vào các trang  thông tin đăng nhập Facebook , Twitter , yahoo mail, gmail,… thông qua mạng không dây Wireless.


“Cừu lửa” Firesheep thêm một thanh sidebar cho trình duyệt “cáo lửa” Firefox của Mozilla. Nó cho biết bất kỳ ai ghé thăm một trang web không an toàn trong một mạng mở, chẳng hạn như mạng Wi-Fi công cộng tại một quán cà phê. Chỉ đơn giản với một cú nhấp đúp là tin tặc đã nhanh chóng truy cập tới trang nạn nhân đã đăng nhập vào, từ Twitter và Facebook cho đến Flickr.

Điều đáng báo động là đã có đến 200.000 lượt tải về addon này. Nhưng người dùng vẫn chưa biết phòng vệ.
Dù Firesheep được tạo ra là nhằm chứng tỏ sự không an toàn khi đăng nhập các mạng xã hội, nhưng số lượt tải về lớn đồng nghĩa với việc nhiều người dùng sẽ bị nguy hiểm.

Tuy vậy, Mozilla vẫn không quyết định chặn addon này lại, họ chỉ chặn các addon gây lỗi treo Firefox, và một ít addon khác vì lỗi bảo mật.

Cách phòng chống

Hôm thứ Ba ngày 26/10/2010, các chuyên gia bảo mật đã đề xuất các biện pháp mà người dùng có thể áp dụng để tự bảo vệ chống lại Firesheep, một add-on Firefox mới cho phép các “tay mơ” chiếm quyền truy cập của người đang dùng Facebook, Twitter và các dịch vụ phổ biến khác thông qua Wi-Fi.

Có một cách mà người dùng có thể tự bảo vệ chống lại những kẻ sử dụng Firesheep là tránh các mạng Wi-Fi công cộng không được mã hóa và chỉ dùng mật khẩu, các chuyên gia cho biết vào hôm thứ Ba. Tuy nhiên, Ian Gallagher, kỹ sư bảo mật cao cấp của Security Innovation, đã phản bác quan điểm giản đơn đó. Gallagher là một trong hai nhà nghiên cứu đã trình diễn Firesheep cuối tuần trước tại một hội nghị ở San Diego, Mỹ. Trong một bài viết đăng trên blog vào hôm thứ Ba, ông cho rằng đây không phải là một lỗ hổng trong mạng Wi-Fi, mà là thiếu an ninh từ các trang web mà người dùng truy cập tới.

Vậy thì, nếu vẫn phải dùng Wi-Fi, người dùng cần làm gì? Việc phòng vệ tốt nhất, theo Chet Wisniewski, một cố vấn an ninh cao cấp của hãng bảo mật Sophos, là sử dụng một mạng riêng ảo (virtual private network – VPN) khi kết nối với các mạng Wi-Fi công cộng, như tại sân bay hoặc một quán cà phê. Trong khi nhiều người dùng doanh nghiệp sử dụng một VPN để kết nối với mạng văn phòng của họ khi họ đang trên đường, người dùng cá nhân thường không có "đường hầm" an toàn tới Internet.

"Nhưng có một số dịch vụ VPN mà bạn có thể đăng ký sử dụng với chi phí 5 USD đến 10 USD mỗi tháng", Wisniewski cho biết. Strong VPN, nhà cung cấp dịch vụ Internet tại Mỹ là một trong số đó. Một mạng VPN mã hóa tất cả các lưu lượng truyền đi giữa một máy tính và Internet nói chung, bao gồm cả các trang web dễ bị Firesheep “cướp”. "Đây là một giải pháp tốt, và thực sự không khác với việc sử dụng mạng Wi-Fi đã được mã hóa", Wisniewski cho biết.

Tuy vậy, Gallagher cảnh báo rằng VPN không phải là một giải pháp tổng thể. "Lưu lượng truyền của bạn sau đó sẽ để lại máy chủ đó cũng giống như nó sẽ để lại trên MTXT của bạn, do đó, bất cứ ai chạy Firesheep hoặc các công cụ khác có thể truy cập dữ liệu của bạn theo cùng một cách". "Một lời đề nghị mù quáng ‘sử dụng mạng riêng ảo VPN’ không thực sự giải quyết vấn đề và chỉ có thể cung cấp một cảm nhận sai lầm về bảo mật", ông nói.

Strong VPN phản đối: "Các máy chủ của chúng tôi được đặt ở trong một trung tâm dữ liệu an toàn, do vậy không ai có thể ‘đánh hơi’ lưu lượng truyền dữ liệu vào/ra. Lấy ví dụ, tất cả lưu lượng truy cập từ MTXT của bạn ở San Francisco đều được mã hóa khi đi vào một trong các máy chủ ở Mỹ của chúng tôi".

Andrew Storms, Giám đốc giám sát an ninh của công ty bảo mật nCircle Security, có trụ sở ở San Francisco (Mỹ), phủ nhận khẳng định của Strong VPN. "Tôi có thể thấy từ quan điểm của Gallagher, rằng một VPN không giải quyết được vấn đề tận gốc, đó là dịch vụ giai đoạn cuối", ông nói. "Tuy nhiên, mặc dù đúng là lưu lượng truyền sẽ là ký tự rõ khi nó rời máy chủ VPN tới các trang web, không lấy gì làm chắc chắn rằng ai đó sẽ ăn cắp chúng".

Nếu miễn phí là mục tiêu, có quá nhiều những lựa chọn, Wisniewski nói. Sean Sullivan (một nhà tư vấn bảo mật của F-Secure) và Gallagher đã chỉ ra những add-on Firefox miễn phí buộc trình duyệt sử dụng một kết nối được mã hóa khi truy cập các trang web nhất định. Một trong những add-on Firefox này là HTTPS-Everywhere. Tiện ích được cung cấp bởi Electronic Frontier Foundation (EFF), chỉ làm việc với một danh sách các trang web đã được xác thực trước, bao gồm Twitter, Facebook, PayPal và công cụ tìm kiếm của Google. Một lựa chọn khác, tiện ích Force-TLS, cũng cùng cách thức hoạt động như vậy, nhưng cho phép người dùng xác định các trang web để thi hành mã hóa chúng (dùng với giao thức HTTPS).

Tuy nhiên, các trình duyệt khác như Internet Explorer của Microsoft và Google Chrome thiếu những tiện ích tương tự. Sullivan đề xuất thêm giải pháp là sử dụng thiết bị MiFi. Người dùng hãy mang theo nó làm điểm phát sóng Wi-Fi an toàn cho chính mình, vì nó có thể mã hóa lưu lượng truyền. Nhưng MiFi không hề rẻ. Ví dụ Verizon tặng không phần cứng nhưng tính chi phí dịch vụ khoảng 40 USD – 60 USD mỗi tháng cho việc truy cập vào mạng 3G.

Cuối cùng thì chính người dùng di động tạo ra lỗ hổng phơi bày trước Firesheep do sử dụng các truy cập không được mã hóa. Đó là quan điểm của Butler và Gallagher nhằm bảo vệ cho hành động phát hành “cừu lửa”. Và chỉ các chủ trang web và nhà cung cấp dịch vụ có thể khắc phục điều đó. Theo Butler thì "thành công" của Firesheep không phải là sự chú ý mà nó giành được, mà rồi đây các trang web sẽ được bảo mật thích hợp hơn. Và thành công thực sự sẽ là khi Firesheep không còn tác dụng. Nhưng, thời điểm hiện tại, ngay cả các chuyên gia bảo mật cũng cảm thấy lo lắng.

Nguồn: http://www.sechiakienthuc.com