BẢN TIN AN NINH - BẢO MẬT HÀNG NGÀY

[tôi_yêu_Liên_Xô]

Trong topic này , tôi sẽ post những bản tin an ninh - bảo mật mà tôi sưu tầm được ở nhiều nguồn khác nhau . Nội dung trong topic này sẽ được cập nhật hàng ngày hoặc sau một thời gian ngắn . Mọi người nên vào đây theo dõi thường xuyên để biết thêm tin tức .

[tôi_yêu_Liên_Xô]

Vụ tại nạn hầm mỏ tuần trước tại Tây Virginia của Mỹ lại là một nguồn để những kẻ lừa đảo trên mạng trục lợi. Bằng những bức thư giả mạo, chúng đã lừa không ít nạn nhân để kiếm một khoản lợi không nhỏ.

Cơ quan điều tra Mỹ (FBI) mới đây đã đưa ra lời cảnh báo với người sử dụng Internet về một bức thư giả liên quan đến việc thu gom tiền cứu trợ cho những người sống sót trong vụ sập hầm mỏ ở bảng Tây Virginia vào đầu tháng 1 vừa qua.

--------------------------------------------------------------------------------------------------

Vào ngày 3 tháng 1, một vụ nổ đã xảy ra tại khu mỏ than Sago ở bang Tây Virginia làm 13 người mắc kẹt trong hầm, trong đó chỉ có duy nhất 1 người sống sót trong vụ thảm họa đó.

Ngay lập tức trên mạng xuất hiện một email tự xưng là từ một bác sĩ của bệnh viện đang điều trị cho người sống sót đó. Bức thư đó đưa ra những thông tin về các đơn thuốc dùng cho người sống sót và khoản tài chính cần phải được giúp đỡ để người may mắn này bình phục hoàn toàn bởi người bị nạn đang ở trong tình trạng hết sức nguy hiểm.

Bức thư này được gửi rộng rãi khắp nơi và yêu cầu người nhận trả lời nếu họ muốn tài trợ tiền cho việc chăm sóc y tế dành cho người sống sót.

FBI vào cuộc

Văn phòng FBI đưa ra lời khuyến cáo "FBI coi vấn đề này là việc hết sức nghiêm trọng và đang tiến hành những biện pháp pháp lý để điều tra những người có liên quan. Bất kỳ ai khi nhận được bức thư này đều liên lạc với trung tâm phản ánh tội phạm Internet (IC3) của FBI thông qua trang web www.ic3.gov,"

Trong bản thông cáo của mình, FBI cũng đưa ra lời khuyên tới mọi người rằng không nên mở hay trả lời những bức thư không rõ nguồn gốc, bất kỳ bức thư nào, bất kỳ lời yêu cầu nào về tiền bạc hay tin tức cá nhân nhận được thông qua email cần được xác định rõ người gửi và độ chính xác của nó trước khi trả lời.

Bức thư này không khác so với những cú điện thoại về vụ cơn bão Katrina và website giả mạo cứu giúp những nạn nhân trong đợt sóng thần kinh hoàng. Nó đánh thẳng vào lòng nhân đạo của mọi người để trục lợi.

--------------------------------------------------------------------------------------------------

Cẩn thận phishing

Người dùng Internet nên cẩn thận với tất cả những bức thư liên quan đến các hoạt động nhân đạo, bởi không ít trong số đó là những bức thư giả mạo để rút tiền từ lòng hảo tâm của mọi người. Theo bà Koetzle, chuyên gia phân tích của Forrester Research cho biết “Mọi người muốn tài trợ tiền trực tuyến không nên trả lời trực tiếp những bức thư họ nhận được hay sử dụng những đường link thông qua email, nếu đó là bức thư phishing thì cần phải liên lạc ngay với ngân hàng của bạn, bởi chẳng ai biết đường link đó sẽ dẫn tới đâu”.

Thực sự thay vì gửi tiền qua những bức thư đó, người nhận thư có thể gửi tiền qua những trang web như hội chữ thập đỏ hay hiệp hội các bác sĩ không biên giới, những tổ chức nhân đạo chính thống.

[tôi_yêu_Liên_Xô]

Hãng chuyên cung cấp chương trình diệt virus của Mỹ cho biết một tính năng trong phiên bản Norton SystemWorks có nguy cơ bị tội phạm mạng lợi dụng để che giấu phần mềm nguy hiểm.

"Thùng rác" Norton Protected Recycle Bin sẽ tạo ra một khu vực ẩn mang tên NProtect trên hệ thống Windows nhằm lưu trữ tạm thời các file đã bị xóa. Thư mục đảm bảo cho khách hàng có thể khôi phục lại nhanh chóng những tệp tin họ nhỡ tay xóa mất nhưng nó lại bị hệ thống diệt virus "bỏ qua".

"Ẩn đi một thư mục sẽ tạo điều kiện kẻ tấn công giấu file chứa mã độc ngay trên máy tính của người sử dụng", Symantec nói. "Trong bản nâng cấp, NProtect sẽ vẫn tiếp tục hoạt động như trước nhưng mọi người có thể kích hoạt hay tắt chức năng thông qua giao diện Norton Protected Recycle Bin".

Phát hiện mới của Symantec một lần nữa gợi lại vụ tai tiếng của tập đoàn Sony BMG khi cài phần mềm hoạt động như spyware trong đĩa CD của họ. Công nghệ mang tên rootkit đó được cho là sẽ tạo ra một nơi trú ngụ ngầm giúp hacker phát tán mã nguy hiểm.

Hãng bảo mật Đan Mạch Securia đánh giá rắc rối này ở mức "không nghiêm trọng" còn Symantec cũng tự nhận định rằng vấn đề có "nguy cơ bị khai thác thấp".

Phiên bản mới đã có mặt thông qua dịch vụ Symantec LiveUpdate. Thông tin chi tiết có thể xem tại đây .

[tôi_yêu_Liên_Xô]

Gần đây, trên diễn đàn hacker HVA và một số site xuất hiện thông tin về xFirewall, phần mềm được quảng bá là có thể khắc phục x-flash (một dạng tấn công từ chối dịch vụ), của nhóm 91daklak. Tuy nhiên, Ban quản trị HVA và Trung tâm BKIS đều khẳng định, xFirewall là một "trợ thủ" tấn công.


Quảng cáo cho xFirewall trên 91daklak.com.

Chỉ hơn một ngày sau khi xuất hiện trên diễn đàn hacker, những thông tin về xFirewall đã bị Ban quản trị HVA gỡ bỏ kèm theo khuyến cáo phần mềm này chẳng những không có khả năng khắc phục x-flash DDoS mà còn hỗ trợ tấn công các website khác. Những forum hay website nào cài đặt phần mềm này sẽ trở thành bàn đạp đắc lực cho việc phá hoại.

Theo phân tích của những người đứng đầu diễn đàn HVA, file php đi kèm theo xFirewall đều được mã hóa bằng Zend và những file php này có biểu hiện của trình cổng hậu backdoor. Đường dẫn từ x-flash trên trang 91daklak.com, nơi cung cấp xFirewall, đều trỏ đến một hoặc nhiều trang thuộc dạng cho hosting miễn phí (free site) là bàn đạp trong các cuộc "đổ bộ" bằng x-flash. Nội dung bên trong x-flash kèm với xFirewall hoàn toàn giống các flash dùng để tấn công HVA trong suốt thời gian qua. Và xFirewall.php không hề tạo ra bất cứ cookie nào nhằm bảo vệ.

Ngay sau đó, trên diễn đàn của 91daklak.com, tác giả của xFirewall lập tức phản bác lại những cảnh báo từ HVA. Người này khẳng định những phần mềm xFirewall 100% không có Trojan hay yếu tố có thể hỗ trợ tấn công. Chứng minh xFirewall.php có khả năng tạo cookie bảo vệ, bằng chứng được đưa ra là:

<Files index.php>
RewriteEngine on
RewriteCond %{HTTP_COOKIE} !^.*access=granted.*$
RewriteRule .*$ http://91daklak.com/xfirewall/
</Files>

Tác giả xFirewall lập luận: "Dòng rule trên .htaccess của firewall này nằm trong file .htaccess và được chép vào thư mục cần bảo mật để chống bị DDoS. Nếu xFirewall.php không hề phát sinh cookie thì làm thế nào để truy nhập được vào thư mục cần bảo vệ?".

"xFirewall.php và xFirewallp2.swf là một sự kết hợp hài hòa để chống lại DDoS. xFirewallp2.swf hoàn toàn không có output bất kỳ ở bên ngoài", người này khẳng định.

Trong khi đó, Trung tâm an ninh mạng Đại học Bách khoa Hà Nội cũng đã nắm được thông tin về xFirewall. Theo mô tả của BKIS về phương thức hoạt động của xFirewall, khi người dùng truy cập vào một trang nào đó được chương trình này "bảo vệ" (danh sách trang “được bảo vệ” nằm trong file .htaccess) thì server sẽ kiểm tra cookie trình duyệt trên máy người dùng. Trường hợp nếu cookie tồn tại, máy chủ sẽ cho phép browser truy cập đến trang mà browser yêu cầu và mọi việc diễn ra bình thường. Nhưng nếu không tồn tại cookie bảo vệ, server sẽ trả về trang index.html trong thư mục xFirewall. (Ví dụ: tại ngay trang www.91daklak.com trình duyệt sẽ trả về http://www.91daklak.com/xfirewall/index.html nếu người dùng truy cập lần đầu tiên).

Nhưng kết quả phân tích xFirewall của BKIS cho thấy khả năng chống DDoS thông qua Set Cookie của phần mềm này không có hiệu quả vì kẻ tấn công có thể gửi cho server một cookie có sẵn trước khi gửi hàng loạt lệnh request tấn công DDoS. Như vậy chỉ cần thêm một vài bước, kẻ tấn công có thể hóa giải được xFirewall.

"Hệ thống xFirewall này hoàn toàn có thể được 'điều khiển từ xa' thông qua file: rv007.php được cài đặt trên 91daklak.com. Những người tạo ra xFirewall đã cố tình che giấu bằng cách mã hóa các mã lệnh. Sau khi giải mã, chúng tôi đã phát hiện hành vi này. Điều đó khẳng định những website cài đặt hệ thống xFirewall này dễ dàng bị lợi dụng để làm bàn đạp cho các cuộc tấn công DDoS", Giám đốc BKIS Nguyễn Tử Quảng cho biết.

Theo các chuyên gia bảo mật, flash là một phần mềm dạng plug-in dùng với trình duyệt để hiển thị đồ họa (graphics) và hoạt ảnh(animation). Flash được ứng dụng rộng rãi vì tính năng "action script" khá linh động và mạnh mẽ của nó. Trong một số trường hợp, những tính năng này bị khai thác cho mục đích xấu.

Khi một x-flash xấu được cài vào trang web nào đó, nó có thể ở dạng vô hình (invisible) hoặc ở dạng một flash bình thường, có hiển thị hẳn hoi nhưng "action script" của chúng thực hiện "công tác" như nhau. Khi người dùng truy cập trang web có gắn x-flash xấu, trình duyệt của người đó tự động gửi yêu cầu truy cập đến một website khác (là nạn nhân bị tấn công từ chối dịch vụ) mà người dùng này hoàn toàn không biết. Có chăng, họ chỉ cảm thấy trình duyệt chậm hơn bình thường đôi chút.

Những yêu cầu truy cập đến website nạn nhân khó bị phát hiện nếu như người dùng trình duyệt Internet Explorer (IE) hoặc Firefox một cách bình thường. Nhưng nếu họ tắt chức năng "Hide the status bar" trên Firefox sẽ thấy hàng loạt yêu cầu được gửi đến một trang web nào đó. Đây chính là địa chỉ của nạn nhân đang bị tấn công.

Cách đây 1-2 năm, các x-flash xấu được cài trên những website bị lỗi. Thường là website có lượng người truy cập khá cao để có thể đạt được mục đích. Sau một thời gian, các website không còn trợ lực cho âm mưu phá hoại này (một phần do các quản trị site được cảnh báo, một phần do họ nâng cấp và xóa các x-flash này) nên x-flash vắng tiếng trong một thời gian dài.

Những điều tra về các vụ tấn công từ chối dịch vụ diễn ra gần đây cho thấy, phần lớn x-flash được cài trên các free site và được ngụy trang bằng thông tin hấp dẫn như phim, ảnh mang nội dung "người lớn"... để dẫn dụ người dùng vào. Hầu hết các trang này chỉ có những đường dẫn giả. Bởi số lượng các free site và các x-flash này không đủ để "tàn phá" nạn nhân nên nhóm tạo x-flash vận dụng một số phương thức như khống chế trang chủ của trình duyệt IE, phát tán thông tin trên các diễn đàn để lôi kéo người dùng tò mò vào các trang của chúng.

"Những kẻ xấu, chuyên phá hoại bằng cách thức DDoS gần đây chuyển hướng sang 'đánh tiếng' là tạo ra phần mềm chống x-flash nhằm chiêu dụ đông đảo số lượng người sử dụng trên các diễn đàn, website, biến máy tính của họ trở thành công cụ ma zombie cho chúng", ông Nguyễn Xuân Việt, thành viên Ban quản trị HVA, nói. "Đây là một âm mưu nâng cao số lượng 'zombie' cho mục đích tăng hiệu quả tàn phá".

[tôi_yêu_Liên_Xô]

Trình duyệt của Microsoft đã có một tuần không may mắn. Sau lỗi bảo mật vừa được công bố chưa được vá và mã tấn công nguy hiểm được công bố rộng rãi thì IE lại có một lỗ hổng nguy cơ cao nếu bị khai thác bằng công cụ tìm kiếm Google Desktop .

Được một hacker người Israel có tên Matan Gillon khám phá, lỗi này phát sinh trong cách thức mà Internet Explorer (IE) nhập CSS (Cascading Style Sheets) từ các website khác, một phương pháp kỹ thuật được giới thiệu như XSS (cross site scripting). Cụ thể, IE sẽ nhập bất kỳ loại tập tin nào với một dấu ngoặc đơn bất chấp được hay không hoặc không phải là một tập tin CSS.

Bằng cách kết hợp lỗi này với phần mềm tìm kiếm nội dung Desktop Search của Google, một website chứa mã nguy hiểm có thể đọc được và ăn cắp thông tin cá nhân như pasword hoặc số thẻ tín dụng trên máy của khách truy cập. “Giống như các lỗi XSS cơ bản, khiếm khuyết thiết kế này của IE cho phép hacker thu thập thông tin dữ liệu cá nhân của người dùng hay thực thi các hoạt động trên PC nạn nhân qua các tên miền từ xa”, Gillon cho biết thêm. Chuyên gia này đã cung cấp mã khai thác chứng minh mức độ nguy hiểm của lỗi này tại đây .

Lỗi nói trên ảnh hưởng đến phiên bản IE 6 trên Windows XP Service Pack 2, kể cả người dùng đã cài đặt tất cả các bản vá lỗi. Mozilla FireFox và Opera không bị ảnh hưởng vì không hỗ trợ công cụ chọn lọc CSS. Microsoft cho biết họ đang tích cực sửa lỗi và Google cũng khuyến cáo người dùng tắt chức năng hỗ trợ JavaScript trong IE hoặc tạm thời sử dụng một trình duyệt khác.

(theo Tuổi Trẻ)