Cách thức tấn công mạng mới đe dọa những website sử dụng mã nguồn HTTPS

Các chuyên gia an ninh mạng mới đây đã bày tỏ mối quan ngại về sự bành trướng của Drown – một cách thức tấn công mạng mới có khả năng làm tê liệt quá trình mã hóa dữ liệu của những website sử dụng mã nguồn HTTPS.

Drown là viết tắt của cụm từ “Decrypting RSA with Obsolete and Weakened eNcryption”. Một khi được sử dụng thành công, Drown sẽ cho phép các hacker tấn công và lấy cắp những thông tin cá nhân nhạy cảm như email, mật khẩu và thông tin thẻ ngân hàng.

Được biết các chuyên gia an ninh mạng đã khám phá thành công cách đối phó với Drown. Nhưng sẽ cần một thời gian nữa để cách đối phó này được sử dụng rộng rãi với các máy chủ HTTPS dễ bị tổn thương.

Giáo sư Alan Woodward đến từ đại học Surrey (Anh) cho rằng những vụ tấn công mạng mà có sự can thiệp của Drown là hoàn toàn phòng tránh được: “Điều đáng ngạc nhiên là các hacker đã sử dụng một phương pháp tấn công lỗi thời mà chúng ta đã phát hiện ra từ năm 1998. Đây là hậu quả của việc một số website cố tình không nâng cấp công nghệ mã hóa của họ”.

Nguyên nhân


Các nhà nghiên cứu cũng đã đưa ra một con số đáng báo động: 33% tất cả website sử dụng tên miền HTTPS có khả năng bị tấn công bởi Drown. Nhóm nghiên cứu, bao gồm những chuyên gia đến từ Israel, Đức, Mỹ và tập đoàn công nghệ Google cho hay tính đến hiện tại, nhiều website vẫn sử dụng công nghệ mã hóa SSLv2 được phát minh vào những năm 1990. Họ cho rằng việc áp dụng SSLv2 không gây ra vấn đề về bảo mật bởi lẽ thực chất, người dùng không bao giờ dùng nó.

Tuy nhiên, với Drown thì SSLv2 lại trở thành một vấn đề. Các hacker sẽ có thể làm tê liệt quá trình mã hóa dữ liệu trên những website sử dụng công nghệ mã hóa hiện đại TLS (mà phần lớn trang web đang sử dụng) nếu như máy chủ và người dùng cùng hỗ trợ SSLv2. “Đây là một vấn đề thực sự và những website có khả năng bị ảnh hưởng cần hành động ngay lập tức”, các chuyên gia cảnh báo.

Một cuộc tấn công “không mất sức”

Không giống như những cách tấn công mạng khác, để áp dụng Drown, hacker chỉ cần bỏ khoảng 440 USD để mua dịch vụ clould do Amazon sản xuất. Chính vì thế để đánh sập một website sử dụng phương pháp Drown, hacker chỉ cần sử dụng một chiếc laptop đơn giản và tốn khoảng 1 phút.

BBC, Samsung hay Yahoo là những website lớn mà được đánh giá là dễ bị tổn thương nếu một cuộc tấn công mạng sử dụng Drown được thực hiện.

Vậy đâu là cách phòng tránh? Các chuyên gia cho hay sử dụng và thường xuyên cập nhật những dịch vụ dưới đây sẽ giúp bạn giảm thiểu nguy cơ bị tấn công từ Drown: OpenSSL, Microsoft IIS, Network Security Services,...

Nếu bạn đang làm chủ một website có sử dụng mã nguồn HTTPS, bạn nên đọc qua bài viết phân tích của các chuyên gia, những người đã trực tiếp khám phá ra Drown. Bài viết cũng cung cấp một ô để bạn có thể điền tên website của mình xem nó có dễ bị tổn thương trước Drown hay không, dựa vào những thông tin mà nhóm chuyên gia đã thu thập trong suốt tháng 2/2016.

Bài viết có thể được tìm thấy drownattack.com/#question-answer - tại đây.