Bảo vệ trình duyệt Web của bạn

Bài viết này sẽ giúp bạn cấu hình trình duyệt của mình một cách an toàn
hơn khi truy cập Internet. Tài liệu này được viết cho những người dùng
máy tính tại nhà, các sinh viên, nhân viên trong các công ty nhỏ và cả
những người có kết nối băng thông rộng (cable modem, DSL, ADSL) hay
dial-up, ít có được sự hỗ trợ về CNTT. Tuy nhiên những thông tin trong
bài này cũng có thể hỗ trợ cho các người biết nhiều về CNTT.

I, Tại sao phải bảo vệ trình duyệt của bạn

Ngày nay, các trình duyệt như Internet Explorer, Mozilla Firefox và Safari,…
được cài đặt trên hầu hết các máy tính. Chính vì các trình duyệt được sử dụng
một cách thường xuyên nên vấn đề đảm bảo cho nó an toàn là một nhiệm vụ
quan trọng. Thông thường, một trình duyệt web đi kèm với một hệ điều hành
không được thiết lập ở cấu hình mặc định an toàn. Việc không bảo đảm trình
duyệt của bạn có thể dẫn đến một loạt các vấn đề gây ra bởi spyware xâm
phạm để dành quyền điều khiển máy tính của bạn.

Lý tưởng mà nói, người dùng máy tính nên đánh giá các rủi ro từ phần mềm
mà họ sử dụng. Nhiều máy tính được bán với phần mềm đã được tải. Dù
được cài đặt bởi một hãng sản xuất máy tính, hệ điều hành, nhà cung cấp dịch
vụ Internet hay tại những nơi mua lẻ thì bước đầu tiên trong việc truy cập
máy tính của bạn là để tìm ra phần mềm gì được cài đặt và làm thế nào để
một chương trình tương tác với các chương trình khác. Tuy nhiên hầu hết
mọi người lại không thực hiện mức phân tích này.

Ngày nay số lượng các tấn công nhằm vào những yếu điểm của trình duyệt
ngày càng nhiều. người ta đã quan sát thấy xu hướng là các phần mềm bị tấn
công một cách trực tiếp tại các trình duyệt bằng sử dụng các trang web nguy
hiểm. Vấn đề này được đưa ra đánh giá theo một sô các vấn đề dưới đây:
 Các trình duyệt được cấu hình để cung cấp nhiều chức năng nhưng với
giảm các tính năng bảo mật.
 Các lỗ hổng bảo mật mới có thể được phát hiện khi phần mềm được
cấu hình và đóng gói bởi nhà sản xuất.
 Nhiều trang web yêu cầu người dùng kích hoạt các đặc tính chính hoặc
cài thêm nhiều phần mềm, làm cho máy tính của bạn càng dễ gặp nhiều
rủi ro.
 Nhiều người không hiểu làm thế nào để cấu hình các trình duyệt web
của họ được an toàn.
 Nhiều người không sẵn lòng để kích hoạt hay vô hiệu hóa chức năng
được yêu cầu cho việc bảo mật trình duyệt.
 Nhiều người không hiểu máy tính của họ đang bị nguy hiểm hay
không.
 Nhiều người thất bại với một máy tính bị làm hại.
Cuối cùng, việc khai thác các lỗ hổng trong các trình duyệt trở thành phổ biến
đối với những kẻ tấn công để làm hại máy tính của bạn.

II, Tìm hiểu các tính năng của trình duyệt

Hiểu các chức năng và các đặc tính của trình duyệt là một vấn đề hệ trọng.
Bằng việc kích hoạt một vài đặc tính của trình duyệt có thể làm giảm độ bảo
mật. Cho ví dụ, tính năng phần mềm ActiveX có nhiều lỗ hổng có thể ảnh
hưởng lớn đến vấn đề bảo mật.

Nhiều trình duyệt có thể được cài đặt trên máy tính của bạn. Các ứng dụng

phần mềm khác trên máy tính như phần mềm gửi nhận email hoặc phần mềm
đọc văn bản có thể sử dụng một trình duyệt khác mà không phải là trình
duyệt bạn vẫn thường dùng để truy cập web. Cũng tương tự như vậy, các loại
file cụ thể được cấu hình để mở với một trình duyệt khác. Bằng việc sử dụng
một trình duyệt để truy cập vào các trang web không có nghĩa là các ứng
dụng còn lại sẽ tự động sử dụng cùng một trình duyệt. Với lý do này, sẽ là rất
quan trọng đối với việc cấu hình an toàn mỗi trình duyệt được cài đặt trên
máy tính của bạn.

Các trang web có thể yêu cầu sử dụng một trình duyệt hỗ trợ scripting hay
các thành phần Active như JavaScript hay các điều khiển ActiveX hoặc bản
thân các trang cũng có thể có lỗ hổng. Các trang web có thể được coi như các
sản phẩm và mối quan hệ người dùng với sản phẩm, bạn có thể liên hệ đến
các quản trị viên web và yêu cầu các trang nên phải được thiết kế như thế nào
để không gây rủi ro cho máy tính của mình.

Một vài tính năng và thuộc tính của một số trình duyệt cụ thể được miêu tả
trong tài liệu này. Việc hiểu xem những đặt tính gì sẽ giúp bạn biết bằng cách
nào chúng ảnh hưởng đến chức năng của trình duyệt và bảo mật máy tính của
bạn.
ActiveX là một kỹ thuật được Microsoft
Internet Explorer sử dụng trên Microsoft
Windows. ActiveX cho phép các ứng
dụng hoặc các phần của ứng dụng được
sử dụng bởi trình duyệt web. Một trang
web có thể sử dụng các thành phần
ActiveX cư trú trên hệ thống Windows
hoặc có thể tải thành phần đó tùy một
trang web. Điều này đã cho phép mở rộng chức năng với trình duyệt truyền
thống nhưng nó cũng gây ra một số lỗ hổng về bảo mật nếu không được bổ

sung các bản vá một cách kịp thời.

Java là một ngôn ngữ lập trình hướng đối tượng có thể được sử dụng để phát
triển nội dung cho các trang web. Java Virtual Machine hoặc JVM được sử
dụng để thực thi mã Java hoặc “applet” được cung cấp bởi trang web. JVM
được thiết kế để tách rời mã thực thi để không ảnh hưởng đến phần còn lại
Nguồn:
browserhelp.de

của hệ thống. Một số hệ điều hành hỗ trợ một JVM trong khi đó các hệ điều
hành khác yêu cầu JVM phải được cài đặt trước khi sử dụng Java. Java applet
chạy hoàn toàn độc lập với các hệ điều hành.

Active Content hoặc các Plug-in được dự định sử dụng trong trình duyệt.
Chúng giống như các điều khiển ActiveX nhưng không thể thực thi bên ngoài
trình duyệt. Macromedia Flash là một ví dụ của Active Content có thể được
cung cấp như một plug-in.

JavaScript là một ngôn ngữ kịch bản động tính được sử dụng để phát triển
nội dung cho các trang. Không như Java, JavaScript là một ngôn ngữ được
thông dịch trực tiếp bởi trình duyệt. Có nhiều chi tiết trong chuẩn JavaScript
hạn chế các tính năng như việc truy cập vào các file cục bộ.

VBScript là một ngôn ngữ lập trình kịch bản của Microsoft Windows.
VBScript giống như JavaScript nhưng nó không được sử dụng rộng rãi trong
các trang bởi vì giới hạn về sự tương thích của nó với các trình duyệt khác
không như với Internet Explorer.

Cookie là các file văn bản được đặt trên máy tính của bạn để lưu dữ liệu đã
được sử dụng trong một trang web. Một Cookie có thể chứa bất kỳ thông tin

gì phụ thuộc vào mục đích thiết kế của trang web. Các Cookie có thể gồm các
thông tin về các trang mà bạn đã ghé thăm hoặc thậm chí gồm các khả năng
để truy cập. Chúng được thiết kế để chỉ có thể đọc bởi một trang web tạo
chúng.

Security Zones và Domain Model là các phương pháp Microsoft Windows
sử dụng được thiết kế để thiết lập nhiều lớp bảo mật cho các hệ thống. Trong
khi mục đích chính được sử dụng cho Internet Explorer nhưng nó cũng có thể
cần thiết cho các ứng dụng khác trên hệ thống sử dụng các thành phần của IE.
Bạn có thể tìm hiểu thêm về Security Zones, Domain Model và làm thế nào
để bảo vệ chúng tại trang web:


III, Các lỗ hổng và các kiểu tấn công

Các kẻ tấn công đang khai thác hệ thống trình khách (trên máy tính của bạn)
thông qua nhiều lỗ hổng khác nhau. Chúng dựa vào các lỗ hổng này để dành
lấy quyền điều khiển máy tính của bạn và sau đó lấy cắp thông tin, phá hoại
các file và tấn công vào các máy tính khác. Có một cách không tốn nhiều
công sức cho các kẻ tấn công nhằm tăng quyền điều khiển trên máy tính của
bạn là khai thác các lỗ hổng trong các trình duyệt web. Một kẻ tấn công có
thể dễ dàng tạo một trang web nguy hiểm sau đó sẽ cài đặt phần mềm Trojan
hay spyware để lấy cắp thông tin từ máy tính của bạn. Bạn có thể xem nhiều
thông tin chi tiết hơn về spyware tại địa chỉ -
cert.gov/reading_room/spyware.pdf. Nguy hiểm hơn việc tấn công vào các lỗ
hổng của hệ thống, một trang web độc hại có thể làm tổn hại cho các hệ
thống một cách thụ động như trang đã được viếng thăm trước đó. Một tài liệu
HTML nguy hiểm cũng có thể gây ra nguy hiểm cho nhiều nạn nhân. Trong
trường hợp này, hành động mở một email hay gắn thêm file đính kèm có thể
làm tổn hại hệ thống.


Trong phần này, chúng tôi sẽ chỉ ra một vài lỗ hổng chung trong các trang
web và trình duyệt đã bị khai thác. Chúng tôi sẽ không đi sâu vào chi tiết cụ
thể nhưng sẽ cung cấp cho các bạn các liên kết trong các tài liệu khác để giải
thích kỹ hơn cho bạn về các lỗ hổng.

A, Các điều khiển ActiveX

ActiveX là một công nghệ gây ra nhiều lỗ hổng khác nhau. Một vấn đề trong
việc sử dụng ActiveX trong một trình duyệt là nó đã làm tăng bề mặt tấn
công, hoặc “khả năng tấn công” cho hệ thống. Các lỗ hổng trong các đối
tượng ActiveX có thể được khai thác thông qua Internet Explorer, thậm chí
nếu đối tượng chưa được thiết kế để sử dụng trong một trình duyệt. Năm
2000, CERT/CC đã giúp đỡ một hội thảo để phân tích bảo mật trong
ActiveX. Các kết quả từ cuộc phân tích đó có thể tham khảo tại đường dẫn
Nhiều lỗ hổng đã liên quan
tới các điều khiển ActiveX. Kẻ tấn công ở đây bằng việc khai thác các lỗ
hổng này có thể tăng quyền điều khiển của các máy tính. Bạn có thể tìm các
trang về lỗ hổng của ActiveX trong các đường dẫn sau -
cert.gov/query.html?qt=activex và


B, Java

Java là một ngôn ngữ lập trình hướng đối tượng được phát triển bởi Sun
Microsystems. Java applet hoàn toàn độc lập và yêu cầu một Java Virtual
Machine (JVM) trên máy khách để nó có thể thực thi. Java applet thường
thực thi bên trong một “địa điểm” nơi mà sự tương tác với phần còn lại của
hệ thống được giới hạn. Mặc dù vậy, JVM lại chứa nhiều lỗ hổng cho phép
một applet vượt qua những giới hạn này. Các Java applet đã được chứng thực

cũng có thể vượt qua nhiều giới hạn này, nhưng nhìn chung chúng nhắc nhở
người dùng trước khi chúng thực thi. Bạn có thể tìm trên các trang của US-
CERT và CERT/CC để xem thêm về các lỗ hổng này theo đường dẫn
và


C, Cross-Site Scripting

Cross Site Scripting cho phép một kẻ tấn công nhúng mã hiểm độc:
Javascript, VBScript, ActiveX, HTML hoặc Flash vào trong một trang động
có tính dễ bị tấn công để lừa người dung kích hoạt đoanj mã đó trên máy của
anh ta để thu thập dữ liệu.

Các hacker luôn luôn tiến hành các thử nghiệm với một kịch bản xảo trá của
những kĩ thuật hacking để làm hại các website và các ứng dụng web và cuỗm
đi kho báu vô chủ của dữ liệu dễ bị tấn công bao gồm cả số credit card và các
thông tin cá nhân khác.

Cross Site Scripting (còn được gọi là XSS hoặc là CSS) được tin tưởng rằng
là một trong những ứng dụng thông dụng nhất của kĩ thuật gài bẫy của các
hacker.

Nhìn chung, cross-site scripting là một đòn bẩy cho những tính chất dễ bị tấn
công trong mã của ứng dụng web cho phép một kẻ tấn công gởi nội dung độc
hại từ một đối tượng người dùng và lấy dữ liệu của nạn nhân

D, Các lỗ hổng Cross-Zone và Cross-Domain

Hầu hết các trình duyệt đều sử dụng các mô hình bảo mật để ngăn chặn việc
truy cập dự liệu vào một tên miền khác từ một trang web. Các mô hình bảo

mật này chủ yếu dựa vào Netscape Same Origin Policy:

Internet Explorer cũng có một biện pháp để phân chia vùng bảo mật này:


Các lỗ hổng trong mô hình bảo mật này có thể được sử dụng để thực hiện các
hành động không bình thường. Sự ảnh hưởng có thể như giống lỗ hổng cross-
site scripting. Mặc dù vậy, nếu lỗ hổng cho phép một kẻ tấn công đột nhập
vào một vùng cục bộ hay các vùng được bảo vệ khác thì kẻ tấn công có thể
thực hiện các lệnh tùy tiện trên hệ thống. Bạn có thể tìm thêm thông tin trong
các trang của US-CERT và CERT/CC theo địa chỉ sau: -
cert.gov/query.html?qt=cross-domain và


E, Các mối đe dọa từ các kịch bản Script, thành phần Active và HTML

Nhiều trang có thể chứa các đoạn mã Script nguy hiểm, thành phần Active
hoặc HTM. Chúng sẽ cố gắng lừa gạt khách thăm cung cấp những thông tin
hay thực hiện Kỹ thuật lừa đảo (Social Engineering: Là một thuật ngữ bắt
nguồn từ giới công nghệ thông tin, ám chỉ việc lừa người sử dụng máy tính
và Internet tiết lộ password để nhờ đó hacker có thể giành quyền truy cập hệ
thống. Cách tiến hành phổ biến nhất của thủ đoạn này là liên hệ với nạn nhân
thông qua việc chat hoặc e-mail, giả vờ là nhân viên phụ trách an ninh hệ
thống đang tiến hành kiểm tra và yêu cầu người sử dụng khai báo mật khẩu
để xác thực danh tính nếu không sẽ bị đóng tài khoản) cho phép kẻ tấn công
tăng đặc quyền. Trong cơ hội đó, những kẻ tấn công dựa vào các kỹ thuật lừa
đảo để truy cập vào thông tin của nạn nhân. Ngoài ra, các lỗ hổng trong các
trình duyệt có thể được khai thác để tăng đặc quyền. Dưới đây là một loạt các
danh sách về lỗ hổng trong các trình duyệt có thể thông qua sử dụng mã nguy
hiểm. Năm 2000, CERT/CC đã đưa ra một loạt các câu trả lời về malicious

scripting. Bạn có thể xem tham khảo tại địa chỉ
Và xem thêm các
bài về vấn đề này tại -
cert.gov/query.html?qt=malicious+scripting+active+content và


F, Lừa đảo kiểu giả mạo (Spoofing)

Khi liên quan đến các trình duyệt, việc giả mạo là một thuật ngữ được sử
dụng để mô tả các phương pháp giả mạo giao diện trình duyệt. Vấn đề này
gồm địa chỉ hoặc thanh vị trí, thanh trạng thái, móc khóa hoặc các thành phần
giao diện người dùng khác. Các tấn công đánh cắp thông tin nhất là thông tin
thẻ tín dụng thường sử dụng một vài form giả mạo để người dùng tin tưởng
và cung cấp thông tin cá nhân. Nếu trình duyệt hổng với lỗi này thì người
dùng sẽ trở thành nạn nhân trong tấn công giả mạo này. Đây là phương thức
tấn công đơn giản nhưng khá hiệu quả vì thế bạn hãy cẩn thận trước bất kỳ
một liên kết không tin cậy nào gửi tới bạn yêu cầu cập nhật thông tin tài
khoản.