.jpg)
Vụ tấn công mạng nhằm vào công ty sản xuất đồ chơi Vtech của Trung Quốc đã xảy ra hơn 3 tháng nhưng bài học mà nó để lại thì vẫn còn hiện hữu.
Tháng 11/2015, tin tặc đã tấn công vào hệ thống cơ sở dữ liệu của Vtech và lấy đi thông tin cá nhân của hơn 6 triệu tài khoản. Những thông tin này bao gồm tên, ngày sinh, địa chỉ, số điện thoại của trẻ em và các ông bố bà mẹ.
Trong một email gửi đến khách hàng của mình, Vtech khẳng định mật khẩu của người dùng đã được mã hóa nhưng “vẫn có khả năng hacker đã lấy cắp được những thông tin này”. Tuy nhiên, nhiều chuyên gia công nghệ đã chỉ trích gay gắt hệ thống bảo mật của Vtech vì những lỗ hổng trong quá trình mã hóa mật khẩu và lưu trữ câu hỏi bảo mật.
Họ cho rằng Vtech đã không hành xử chuyên nghiệp sau khi vụ tấn công mạng xảy ra. Thực tế, bộ máy nhân viên kỹ thuật tại Vtech không hề hay biết điều gì về vụ tấn công, cho đến khi một nhà báo báo cáo sự việc cho công ty Trung Quốc này.
Các website phải lưu trữ mật khẩu của người dùng như thế nào?
.jpg)
Những website được coi là “an toàn” sẽ không bao giờ lưu trữ mật khẩu của người dùng dưới dạng văn bản thuần túy.
Thay vào đó, một chuỗi những thuật toán tin học sẽ biến mật khẩu của bạn thành một dãy tự nhiên bao gồm cả chữ và số. Ví dụ, nếu như bạn lập tài khoản ở một trang web và đặt mật khẩu là toiyeuvietnam, thì máy chủ của website đó sẽ tự động tạo ra một dãy tự nhiên, như 4ty6u78iik. Chỉ có dãy này, chứ không phải cụm từ toiyeuvietnam sẽ được lưu trong máy chủ.
Điều này có nghĩa, khi bạn đăng nhập, máy chủ sẽ đối chiếu mật khẩu mà bạn nhập với dãy số tự nhiên được lưu. Tất nhiên, nếu bạn gõ 4ty6u78iik thì bạn sẽ không thể truy cập thành công vì chỉ có máy mới biết và nhớ dãy số này.
Vậy điều gì sẽ xảy ra nếu có 2 người dùng chọn cùng một mật khẩu, một cách ngẫu nhiên?
Điều này ít nhiều sẽ xảy ra với những trang web có lượng người dùng lớn. Để tránh tình trạng 2 người dùng có một dãy số tự nhiên giống nhau (như 4ty6u78iik), các thuật toán được lập trình sẽ tự động thêm những chữ cái và số tự nhiên vào các mật khẩu, để chắc chắn rằng cho dù có 100 người chọn một mật khẩu giống nhau, mã số tự nhiên của họ sẽ không bao giờ giống nhau.
Nếu các trang web thực hiện đầy đủ những bước như trên, hacker sẽ gần như không có cách nào để đánh cắp thông tin người dùng. Tuy nhiên, Vtech chỉ thực hiện bước đầu mà bỏ qua bước hai. Nói cách khác, các mật khẩu trong máy chủ Vtech chỉ được mã hóa lần đầu mà không được cài thêm chữ và số ngẫu nhiên để tránh tình trạng 2 người dùng 1 mật khẩu.
Nhưng làm thế nào hacker có thể đoán ra được mật khẩu của bạn?
.jpg)
Cho dù công nghệ mã hóa có mạnh đến mấy, luôn có khả năng là nó bị hacker tấn công. Tuy nhiên, cho dù hacker có đánh sập được cơ sở dữ liệu của một website, điều mà chúng nhận được chỉ toàn là những dãy số ngẫu nhiên như 4ty6u78iik. Vậy làm thế nào mà từ một dãy số ngẫu nhiên như thế, hacker lại đoán ra được cụm từ toiyeuvietnam?
Câu trả lời là một thủ thuật có tên “Bảng dữ liệu tấn công” (gọi tắt là HTA). Nên nhớ, tất cả các thuật toán là do con người tạo ra và chính vì thế bất cứ ai cũng có thể đoán được cách mà chúng hoạt động. Để hiểu cách mà hacker sử dụng thủ thuật HTA, các bạn hãy tưởng tượng trong đầu một cuốn từ điển.
Trong cuốn từ điển này sẽ là dãy hàng chục nghìn những từ phổ biến, ví dụ tôi, yêu, việt và nam, kèm theo những dãy số ngẫu nhiên tương ứng. Giả sử hacker chia 4ty6u78iik thành 2 phần nhỏ, 4ty6u và 78iik. Chúng lần lượt dò ra được các từ toiyeu và vietnam. Và xong, tài khoản của bạn đã chính thức bị đánh cắp.
Tuy nhiên, HTA sẽ trở nên không khả thi nếu các website thực hiện mã hóa lần 2 (điều mà Vtech không làm). Như mình đã chỉ ra ở trên, mã hóa kép sẽ giúp cài các từ và số ngẫu nhiên vào xen kẽ các mật khẩu. Điều này có nghĩa, cho dù cuốn từ điển của hacker có dài hàng triệu trang, chúng sẽ không có cách nào đoán ra được mật khẩu của bạn vì không có một thuật toán tin học cố định nào cả.
Đánh giá của chuyên gia
Trao đổi với trang BBC, chuyên gia Rik Ferguson đến từ công ty an ninh mạng Trend Micro nhận định cách làm của Vtech là “không thể tha thứ được”. Rik cho hay Vtech là một công ty sản xuất đồ chơi cho trẻ em vì vậy phải có trách nhiệm xã hội lớn, nhưng họ chưa làm tròn bổn phận của mình.
“Thuật toán mà Vtech dùng có tên là MD5. Và MD5 đã được giới công nghệ phát hiện là có lỗi được hơn 1 thập kỷ”, ông Rik nhấn mạnh.
Theo Rik Ferguson, thì vụ việc của Vtech gợi cho chúng ta nhớ đến một bài học tuy đã cũ nhưng vẫn luôn quan trọng: Đừng bao giờ sử dụng một mật khẩu giống nhau cho nhiều tài khoản trên mạng!
Nguyễn Mai Đức
