Nhận định, soi kèo Nigeria vs Zimbabwe, 23h00 ngày 25/3: Cơ hội thu hẹp

Bằng phương thức tấn công KRACK (Key Reinstallation attacks: tấn công cài đặt lại khóa), kẻ xấu chỉ cần nằm trong phạm vi phủ sóng với thiết bị của nạn nhân, là có thể khai thác các điểm yếu trong giao thức bảo mật này để xâm nhập vào kết nối giữa thiết bị và điểm truy cập. Phụ thuộc vào cấu hình của mạng lưới, thậm chí kẻ tấn công có thể “tiêm” vào các ransomware hay các malware vào website mà người dùng truy cập.

Nghiêm trọng hơn, các điểm yếu này nằm trong bản thân chuẩn Wi-Fi hiện tại, chứ không phải trong các sản phẩm hay hệ thống riêng lẻ, do vậy, bất kỳ thiết bị nào áp dụng giao thức WPA2 đều bị ảnh hưởng – điều này có nghĩa là hầu hết các thiết bị hỗ trợ Wi-Fi. Và để ngăn chặn cuộc tấn công, người dùng phải cập nhật thiết bị của mình ngay khi các cập nhật bản mật có mặt.

Hầu hết các nền tảng phổ biến như Android, Linux, iOS và OS X của Apple, Windows, OpenBSD, MediaTek, Linksys và những tên tuổi khác đều bị tác động bởi cách tấn công này. Vậy cuộc tấn công KRACK này được thực hiện như thế nào? Các nhà nghiên cứu bảo mật Mathy Vanhoef và Frank Piessens đã trình diễn một cuộc tấn công bằng KRACK để cho thấy họ vượt qua bức tường thành bảo mật WPA2 ra sao.

Android và Linux là hai nền tảng bị ảnh hưởng nặng nề nhất

Để chứng minh về khả năng này, các nhà nghiên cứu thực hiện cuộc tấn công cài đặt lại khóa trên chiếc smartphone Android. Một trong những lý do họ chọn nền tảng này vì Android (đặc biệt là phiên bản từ 6.0 trở lên) và Linux là hai nền tảng bị ảnh hưởng trầm trọng nhất bởi phương thức tấn công KRACK, khi chúng dễ dàng bị lừa cài đặt lại toàn bộ khóa mã hóa không có mật mã.

Do vậy, khi tấn công các thiết bị này, kẻ xấu có thể đọc được toàn bộ dữ liệu truyền đi từ thiết bị nạn nhân. Trong khi đó, nếu tấn công các thiết bị trên nền tảng khác, các gói tin khó giải mã hơn, cho dù vậy, một số lượng lớn tập tin vẫn có thể bị giải mã.

Cuộc tấn công này có thể đọc được không giới hạn các thông tin xác nhận đăng nhập (như địa chỉ email và mật khẩu). Nói chung, bất kỳ dữ liệu thông tin nào truyền đi từ thiết bị của nạn nhân cũng có thể bị giải mã. Thêm vào đó, phụ thuộc vào thiết bị nạn nhân sử dụng và thiết lập của mạng lưới, nó cũng có thể giải mã toàn bộ dữ liệu gửi đến thiết bị nạn nhân (như nội dung website), cho dù có HTTPS hay các lớp bảo vệ khác hay không, khi chúng đều có thể bị qua mặt.

(ví dụ HTTPS trước đây đã từng bị vượt qua trên các phần mềm không phải trình duyệt, trong iOS và OS X, ứng dụng Android và trong các ứng dụng ngân hàng, thậm chí trong ứng dụng VPN).

Chi tiết cuộc tấn công bằng KRACK

Điều đầu tiên cần lưu ý về cuộc tấn công này, đó là các nhà nghiên cứu không nhắm đến việc khôi phục hay dò ra mật khẩu Wi-Fi của kết nối, thay vào đó họ nhắm đến cơ chế bắt tay 4 bước (4-way handshake) trong giao thức WPA2 – cơ chế bảo mật được sử dụng trong gần như toàn bộ mạng Wi-Fi được bảo vệ hiện tại. Điều này có nghĩa là các mạng Wi-Fi doanh nghiệp cũng như cá nhân, với các chuẩn WPA cũ và WPA2 mới hơn, thậm chí cả các mạng sử dụng AES đều có thể bị tấn công.

Để triển khai cuộc tấn công bằng KRACK, kẻ tấn công sẽ đánh lừa nạn nhân cài đặt lại một khóa đã được sử dụng. Điều này được thực hiện bằng cách thao túng và phát lại nhiều lần các thông điệp bắt tay được khóa mã. Khi nạn nhân cài đặt lại mã khóa, các thông số liên quan như số gói tin truyền đi gia tăng (ví dụ số nonce: number used once) và số gói tin nhận về (ví dụ bộ đếm phát lại) được reset về giá trị ban đầu của chúng.

Về cơ bản, để đảm bảo an ninh, một khóa chỉ nên được cài đặt và sử dụng một lần. Thật không may, các nhà nghiên cứu nhận ra rằng, điều này không được đảm bảo trong giao thức WPA2. Bằng cách thao túng các thông điệp bắt tay khóa mã, các nhà nghiên cứu có thể tận dụng điểm yếu này trong thực tế.

Tấn công cài đặt lại khóa: ví dụ cụ thể nhắm vào cơ chế bắt tay 4 bước

Ý tưởng đằng sau cuộc tấn công cài đặt lại khóa là có thể được tóm tắt như sau: khi một máy khách (client) muốn truy cập vào một mạng Wi-Fi được bảo mật, nó sẽ thực thi việc bắt tay 4 bước để thương lượng về một khóa mã hóa mới. Máy khách sẽ cài đặt khóa mã hóa này sau khi nhận được tin nhắn message 3 của cơ chế bắt tay 4 bước.

Khi khóa này được cài đặt, nó sẽ được sử dụng để mã hóa các khung dữ liệu bình thường sử dụng một giao thức mã hóa. Tuy nhiên, vì tin nhắn bị mất hoặc bị rớt, điểm truy cập sẽ truyền lại tin nhắn 3 nếu nó không nhận được phản hồi phù hợp từ máy khách. Kết quả là, máy khách sẽ nhận được tin nhắn message 3 nhiều lần.

Mỗi lần nhận được tin nhắn này, máy khách sẽ cài đặt lại cùng một khóa mã hóa, và vì vậy nó sẽ thiết lập lại số gói tin truyền đi gia tăng (mã nonce) và nhận về bộ đếm phát lại sử dụng cho giao thức mã hóa. Một kẻ tấn công có thể buộc mã nonce phải reset lại về 0 lại bằng cách thu thập và phát lại tin nhắn truyền lại message 3 của cơ chế bắt tay 4 bước.

Vì mã nonce là mã số được dùng để bảo mật dữ liệu bằng cách đính kèm một mã số sử dụng một lần bên cạnh chúng, bằng cách buộc mã nonce phải reset về giá trị 0, một khóa mã hóa đã từng được dùng có thể bị sử dụng lại, và kẻ xấu dò ra khóa mã hóa đó. Do vậy, giao thức bảo mật có thể bị ấn công, làm cho các gói tin có thể bị phát lại, giải mã hoặc bị giả mạo. Kỹ thuật tương tự cũng có thể được sử dụng để tấn công một nhóm mã khóa, PeerKey, TDLS và bắt tay giao dịch nhanh BSS.

Những tác hại khó lường

Từ khả năng giải mã và nghe trộm các gói tin được truyền đi và nhận lại giữa thiết bị nạn nhân và điểm truy cập, kẻ tấn công còn có thể thực hiện một dạng tấn công phổ biến khác vào mạng lưới Wi-Fi: tiêm các dữ liệu độc hại vào trong các kết nối HTTP không được mã hóa. Ví dụ, kẻ tấn công có thể đưa vào các ransomware hay malware vào các website mà nạn nhân đang truy cập.

Điều đáng lưu ý hơn cả là phương thức tấn công này có khả năng thực hiện trên nhiều nền tảng khác nhau, trong đó có cả những nền tảng nổi tiếng và phổ biến như: Windows, Android, Linux, MacOS và iOS của Apple. Trong đó đặc biệt đáng chú ý là Android với khoảng 41% số thiết bị dễ bị tổn thương với một biến thể từ cách tấn công nguy hiểm này.

Theo GenK

Theo Cục An toàn thông tin, qua công tác theo dõi, giám sát trên không gian mạng, Bộ Thông tin và Truyền thông nhận thấy tình hình lây nhiễm phần mềm độc hại (mã độc) tại Việt Nam và nhiều quốc gia trên thế giới có nhiều diễn biến phức tạp, tiềm ẩn nhiều nguy cơ tấn công mạng nguy hiểm.

Thống kê từ Trung tâm Giám sát an toàn không gian mạng quốc gia trực thuộc Cục An toàn thông tin, có khoảng 4,7 triệu địa chỉ IP của Việt Nam thường xuyên nằm trong các mạng mã độc lớn.

Căn cứ Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ về việc nâng cao năng lực phòng, chống phần mềm độc hại, cùng với thực tế diễn biến phức tạp của tình hình lây nhiễm mã độc tại Việt Nam hiện nay, Bộ Thông tin và Truyền thông đề nghị các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương:

Thứ nhất, thực hiện nghiêm túc Chỉ thị số 14/CT-TTg ngày 25/5/2018. Lưu ý thực hiện chỉ đạo của Thủ tướng Chính phủ về thời hạn hoàn thành (tháng 12/2018) bảo đảm có giải pháp phòng, chống mã độc bảo vệ cho 100% máy chủ, máy trạm, thiết bị đầu cuối liên quan và có cơ chế tự động cập nhật phiên bản hoặc dấu hiệu nhận dạng mã độc mới.

Tình hình lây nhiễm mã độc tại Việt Nam đang diễn biến phức tạp

Giải pháp phòng, chống mã độc được đầu tư mới hoặc nâng cấp cần có chức năng cho phép quản trị tập trung; có dịch vụ, giải pháp hỗ trợ kỹ thuật 24/7, có khả năng phản ứng kịp thời trong việc phát hiện, phân tích và gỡ bỏ phần mềm độc hại; có thể chia sẻ thông tin, dữ liệu thống kê tình hình lây nhiễm mã độc với hệ thống kỹ thuật của cơ quan chức năng có thẩm quyền, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật, hướng dẫn nghiệp vụ của Bộ Thông tin và Truyền thông và quy định của pháp luật.

Thứ hai, trong các dự án đầu tư ứng dụng công nghệ thông tin phải có cấu phần phù hợp cho giải pháp bảo đảm an toàn thông tin, giải pháp phòng, chống mã độc. Ưu tiên sử dụng giải pháp phòng, chống mã độc sản xuất trong nước theo tiêu chí cụ thể đối với sản phẩm, dịch vụ được ưu tiên khi đầu tư, mua sắm có các chức năng, tính năng kỹ thuật của sản phẩm phù hợp với các yêu cầu nghiệp vụ hoặc quy định, hướng dẫn của cơ quan nhà nước.

Thứ ba, chủ động rà soát các điểm yếu, lỗ hổng trên hệ thống; tăng cường triển khai các giải pháp bảo đảm an toàn thông tin cho các hệ thống thông tin của cơ quan, tổ chức mình; theo dõi, giám sát, chủ động phát hiện sớm các nguy cơ, dấu hiệu tấn công mạng, kịp thời xử lý các vấn đề phát sinh.

Cục An toàn thông tin cũng lưu ý, khi phát hiện dấu hiệu của các chiến dịch tấn công mạng, thông báo về cơ quan chức năng liên quan của Bộ Thông tin và Truyền thông (Trung tâm Giám sát an toàn không gian mạng quốc gia, Cục An toàn thông tin,) để có biện pháp xử lý kịp thời, giảm thiểu thiệt hại.

Hải Nguyên  - Đinh Bạt Tuấn - Thanh Thuỷ

Brendan "PlayerUnknown" Greene xác nhậnhơn 150.000 tài khoản đã bị cấmvào ngày 13/9. Và hiện tại, BattlEye đã công bố con số mới đúng một tháng sau đó – cho chúng ta thấy được lượng người chơi gian lận đang gia tăng một cách đáng kể.

BattlEye cho biết thêm, có khoảng từ 6.000-13.000 tài khoản bị cấm mỗi ngày. Đáng chú ý, chỉ trong vòng 24 giờ vừa qua, 20.000 người chơi gian lận đã bị thải loại khỏi thế giới PUBG.

Phần lớn lệnh cấm được ban hành dành cho các tài khoản tại Trung Quốc, nơi mà số lượng người chơi PUBGđang bùng nổ.

Vào cuối tháng 9, khoảng 42% số lượng người chơi PUBGở Trung Quốc, theo SteamSpy. Và con số mới được BattlEye phát ra không bao gồm những tài khoản đã bị PUBGcấm trực tiếp.

Thông tin này xuất hiện ngay sau khi nhà phát triển của Fortnite: Battle Royale, Epic Games, đang đâm đơn kiệnnhững người chơi chuyên phát tán và khích lệ game thủ gian lận trong các tựa game của họ.

Rõ ràng các nhà phát triển không đùa với những người chơi đang cố gắng trục lợi từ những lợi thế thiếu công bằng trong những tựa game có mức độ nổi tiếng hàng đầu thế giới thời điểm hiện tại.

None (Theo Dot Esports)