Làm sao để chống lại Firesheep? ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (197.6 KB, 5 trang )
Làm sao để chống lại Firesheep?
Các chuyên gia đề xuất các biện pháp tự vệ phòng ngừa tấn công của add-on
Firefox mới chiếm quyền truy cập Facebook, Twitter thông qua Wi-Fi.
Hôm thứ Ba ngày 26/10/2010, các chuyên gia bảo mật đã đề xuất các biện pháp mà
người dùng có thể áp dụng để tự bảo vệ chống lại Firesheep, một add-on Firefox
mới cho phép các “tay mơ” chiếm quyền truy cập của người đang dùng Facebook,
Twitter và các dịch vụ phổ biến khác thông qua Wi-Fi.
“Cừu lửa” Firesheep thêm một thanh sidebar cho trình duyệt “cáo lửa” Firefox của
Mozilla. Nó cho biết bất kỳ ai ghé thăm một trang web không an toàn trong một
mạng mở, chẳng hạn như mạng Wi-Fi công cộng tại một quán cà phê. Chỉ đơn giản
với một cú nhấp đúp là tin tặc đã nhanh chóng truy cập tới trang nạn nhân đã đăng
nhập vào, từ Twitter và Facebook cho đến bit.ly và Flickr.
Kể từ khi nhà nghiên cứu Eric Butler phát hành Firesheep hôm Chủ nhật ngày
24/10/2010, tiện ích đã được tải về gần 220.000 lần. Nhưng người dùng vẫn chưa
biết phòng vệ.
Có một cách mà người dùng có thể tự bảo vệ chống lại những kẻ sử dụng
Firesheep là tránh các mạng Wi-Fi công cộng không được mã hóa và chỉ dùng mật
khẩu, các chuyên gia cho biết vào hôm thứ Ba. Tuy nhiên, Ian Gallagher, kỹ sư bảo
mật cao cấp của Security Innovation, đã phản bác quan điểm giản đơn đó.
Gallagher là một trong hai nhà nghiên cứu đã trình diễn Firesheep cuối tuần trước
tại một hội nghị ở San Diego, Mỹ. Trong một bài viết đăng trên blog vào hôm thứ
Ba, ông cho rằng đây không phải là một lỗ hổng trong mạng Wi-Fi, mà là thiếu an
ninh từ các trang web mà người dùng truy cập tới.
Vậy thì, nếu vẫn phải dùng Wi-Fi, người dùng cần làm gì? Việc phòng vệ tốt nhất,
theo Chet Wisniewski, một cố vấn an ninh cao cấp của hãng bảo mật Sophos, là sử
dụng một mạng riêng ảo (virtual private network - VPN) khi kết nối với các mạng
Wi-Fi công cộng, như tại sân bay hoặc một quán cà phê. Trong khi nhiều người
dùng doanh nghiệp sử dụng một VPN để kết nối với mạng văn phòng của họ khi
họ đang trên đường, người dùng cá nhân thường không có "đường hầm" an toàn tới
Internet.
"Nhưng có một số dịch vụ VPN mà bạn có thể đăng ký sử dụng với chi phí 5 USD
đến 10 USD mỗi tháng", Wisniewski cho biết. Strong VPN, nhà cung cấp dịch vụ
Internet tại Mỹ là một trong số đó. Một mạng VPN mã hóa tất cả các lưu lượng
truyền đi giữa một máy tính và Internet nói chung, bao gồm cả các trang web dễ bị
Firesheep “cướp”. "Đây là một giải pháp tốt, và thực sự không khác với việc sử
dụng mạng Wi-Fi đã được mã hóa", Wisniewski cho biết.
Tuy vậy, Gallagher cảnh báo rằng VPN không phải là một giải pháp tổng thể. "Lưu
lượng truyền của bạn sau đó sẽ để lại máy chủ đó cũng giống như nó sẽ để lại trên
MTXT của bạn, do đó, bất cứ ai chạy Firesheep hoặc các công cụ khác có thể truy
cập dữ liệu của bạn theo cùng một cách". "Một lời đề nghị mù quáng ‘sử dụng
mạng riêng ảo VPN’ không thực sự giải quyết vấn đề và chỉ có thể cung cấp một
cảm nhận sai lầm về bảo mật", ông nói.
Strong VPN phản đối: "Các máy chủ của chúng tôi được đặt ở trong một trung tâm
dữ liệu an toàn, do vậy không ai có thể ‘đánh hơi’ lưu lượng truyền dữ liệu vào/ra.
Lấy ví dụ, tất cả lưu lượng truy cập từ MTXT của bạn ở San Francisco đều được
mã hóa khi đi vào một trong các máy chủ ở Mỹ của chúng tôi".
Andrew Storms, Giám đốc giám sát an ninh của công ty bảo mật nCircle Security,
có trụ sở ở San Francisco (Mỹ), phủ nhận khẳng định của Strong VPN. "Tôi có thể
thấy từ quan điểm của Gallagher, rằng một VPN không giải quyết được vấn đề tận
gốc, đó là dịch vụ giai đoạn cuối", ông nói. "Tuy nhiên, mặc dù đúng là lưu lượng
truyền sẽ là ký tự rõ khi nó rời máy chủ VPN tới các trang web, không lấy gì làm
chắc chắn rằng ai đó sẽ ăn cắp chúng".
Nếu miễn phí là mục tiêu, có quá nhiều những lựa chọn, Wisniewski nói. Sean
Sullivan (một nhà tư vấn bảo mật của F-Secure) và Gallagher đã chỉ ra những add-
on Firefox miễn phí buộc trình duyệt sử dụng một kết nối được mã hóa khi truy
cập các trang web nhất định. Một trong những add-on Firefox này là HTTPS-
Everywhere. Tiện ích được cung cấp bởi Electronic Frontier Foundation (EFF), chỉ
làm việc với một danh sách các trang web đã được xác thực trước, bao gồm
Twitter, Facebook, PayPal và công cụ tìm kiếm của Google. Một lựa chọn khác,
tiện ích Force-TLS, cũng cùng cách thức hoạt động như vậy, nhưng cho phép
người dùng xác định các trang web để thi hành mã hóa chúng (dùng với giao thức
HTTPS).
Tuy nhiên, các trình duyệt khác như Internet Explorer của Microsoft và Google
Chrome thiếu những tiện ích tương tự. Sullivan đề xuất thêm giải pháp là sử dụng
thiết bị MiFi. Người dùng hãy mang theo nó làm điểm phát sóng Wi-Fi an toàn cho
chính mình, vì nó có thể mã hóa lưu lượng truyền. Nhưng MiFi không hề rẻ. Ví dụ
Verizon tặng không phần cứng nhưng tính chi phí dịch vụ khoảng 40 USD - 60
USD mỗi tháng cho việc truy cập vào mạng 3G.
Cuối cùng thì chính người dùng di động tạo ra lỗ hổng phơi bày trước Firesheep do
sử dụng các truy cập không được mã hóa. Đó là quan điểm của Butler và Gallagher
nhằm bảo vệ cho hành động phát hành “cừu lửa”. Và chỉ các chủ trang web và nhà
cung cấp dịch vụ có thể khắc phục điều đó. Theo Butler thì "thành công" của
Firesheep không phải là sự chú ý mà nó giành được, mà rồi đây các trang web sẽ
được bảo mật thích hợp hơn. Và thành công thực sự sẽ là khi Firesheep không còn
tác dụng. Nhưng, thời điểm hiện tại, ngay cả các chuyên gia bảo mật cũng cảm
thấy lo lắng.
