Cảnh báo về hiểm hoạ "sâu và virus web"
Sâu và virus Web có thể sẽ trở thành mối đe doạ mới đối với người dùng Internet do những sơ hở trong việc kiểm tra khả năng bảo mật của trình duyệt và máy chủ web.
Đó là những gì mà các chuyên gia nghiên cứu bảo mật đã đưa ra tại Hội nghị Black Hat năm nay.
Trong các bản thuyết trình trước hội nghị, các chuyên gia nghiên cứu đã đưa tra trình diễn kỹ thuật nhúng mã Javascript vào một trang web để ăn cắp thông tin Histories của trình duyệt và quét các hệ thống mạng nội bộ.
Đặc biệt các chuyên gia cũng trình diễn kỹ thuật sử dụng công nghệ AJAX - công nghệ giúp tăng tính tương tác của các trang web - để tạo ra các con virus web có khả năng ăn cắp thông tin cá nhân của người dùng.
Hiểm hoạ hiện hình 
Các chuyên gia cảnh báo những mối hiểm hoạ như trên đã không còn là vấn đề lý thuyết nữa mà nó đã đi vào thực tế. Những kỹ thuật tấn công nói trên đã được ứng dụng trong các vụ tấn công người dùng MySpace và Yahoo, Billy Hoffman - chuyên gia nghiên cứu phát triển hàng đầu của hãng bảo mật web SPI Dynamics - khẳng định.
Trong năm ngoái, sâu Samy đã phát tán rộng rãi trong cộng đồng người dùng MySpace. Con sâu này sử dụng mã Javascript và AJAX để thêm một "thành viên MySpace" có tên "Samy" vào trong danh sách bạn bè của nạn nhân bị lây nhiễm.
Sự việc này đã làm dấy lên lo ngại về việc sẽ có nhiều script tương tự có khả năng phát tán rộng rãi trong cộng đồng người dùng website xuất hiện. Tuy nhiên, xuất hiện sau đó là con sâu sử dụng mã Javascript khai thác lỗi bảo mật trong định dạng tệp tin Flash và Windows Meta File (WMF) để lây nhiễm và phát tán rộng rãi.
Tháng 6 vừa qua, con sâu Yamanner xuất hiện và phát tán rộng rãi trong cộng đồng người dùng dịch vụ thư điện tử miễn phí của Yahoo nhằm thu thập địa chỉ email để bán cho những kẻ chuyên gửi thư rác (spammer).
Dấu hiệu mở màn
Những vụ tấn công như thế mới chỉ là dấu hiệu cho thấy một xu hướng mới đang đến, Jeremiah Grossman - người sáng lập đồng thời là kỹ sư công nghệ trưởng của WhiteHat Security - khẳng định trong bài trình bày về các hiểm hoạ Javascript tại Hội nghị Black Hat.
"Chúng ta đang quay trở lại những ngày đầu tiên của kỷ nguyên virus email. Vào lúc đó mọi người chúng ta mới chỉ đứng nhìn xem những loại virus đó có khả năng làm được những gì," Grossman nói.
Chuyên gia Grossman cũng trình diễn kỹ thuật xác định danh sách các trang web mà một người dùng đã truy cập vào và chứng minh khả năng có thể quét toàn bộ hệ thóng mạng nội bộ mà chỉ cần dùng mã Javascript không cần khai thác bất kỳ lỗi bảo mật nào.
"Chúng tôi không cần thiết phải tấn công vào các hệ điều hành nữa. Điều kiện cần và đủ để tiến hành tấn công là online," Grossman nói.
Sự trở lại của XSS
Sự xuất hiện của sâu web cũng đánh dấu sự trở lại của các vụ tấn công cross-site scripting.
Cross-site scripting (XSS) là một kỹ thuật phổ biến để đưa các đoạn mã độc hại vào trong quá trình truy cập web của người dùng. Đây là một kỹ thuật được dùng phổ biến trong giới lừa đảo trực tuyến, script kiddies, và spammers.
Tấn công XSS có thể cho phép một trang web độc hại chèn thêm các đoạn mã vào trong một trang web khác. Trong những vụ tấn công như thế này, người dùng sẽ nghĩ rằng mình đang tương tác với một trang web đáng tin cậy. Nhưng thực ra có thể họ đang tương tác giúp kích hợp đoạn mã độc hại từ một trang web khác.
Cross-site scripting là mảnh đất màu mỡ nuôi sống các vụ tấn công bằng mã Javascript và sâu web, Grossman khẳng định. "Nếu không muốn trang web của mình trở thành công cụ phát tán phần mềm độc hại thì bạn hãy khắc phục mọi lỗi XSS trên trang web của bạn đi".
Vẫn thiếu tính bảo mật
Một cuộc khảo sát mới đây được tiến hành với các trang web mạng xã hội đã cho kết quả là rất nhiều trang web kiêu này mắc các lỗi XSS cực kỳ nguy hiểm. Những lỗi này có thể được lợi dụng để tạo ra các con sâu web. Bên cạnh đó, các giải pháp phòng chống lại các vụ tấn công XSS hầu như chưa có nhiều. Thậm chí là cả việc đơn giản nhất là vô hiệu hoá Javascript, Hoffman nói.
Giải pháp mã hoá Secure Sockets Layer (SSL) không những không giúp chống lại các vụ tấn công XSS mà trái lại còn giúp chúng qua mặt các công cụ phát hiện, ngăn chặn tấn công.
Bên cạnh đó, các chuyên gia hiện cũng đang kêu gọi các nhà phát triển trình duyệt khắc phục vấn đề bảo mật nói trên.
Còn về phía người dùng thì cần phải nâng cao nhận thức về các vấn đề bảo mật. Cài đặt các ứng dụng bảo mật cho hệ thống của mình.
Hoàng Dũng
Video quay vụ tử hình Saddam phát tán trên Internet
Mặc dù chính quyền Iraq không công bố bất kỳ video nào liên quan đến vụ tử hình cựu Tổng thống Saddam Hussein, nhưng những hình ảnh ông Saddam bị treo cổ vẫn xuất hiện trên Internet. Một số hãng truyền hình còn sử dụng những hình ảnh trong các bản tin của
Tên miền .xxx có bị “xếp xó” thêm lần nữa?
ICANN đang chuẩn bị bỏ phiếu cho bản dự thảo về tên miền .xxx - khu “đèn đỏ” dành cho các trang web khiêu dâm. Tuy nhiên, lần này, tổ chức lại tiếp tục vấp phải những phản ứng mạnh mẽ từ phía các ông chủ của ngành “công nghiệp khiêu d&aci
Cách khắc phục lỗi không truy cập được vào Gmail
Rất nhiều người gặp lỗi không truy cập được gmail, có nhiều nguyên nhân khác nhau khiến bạn không vào đươc gmail.Nếu bạn gặp phải lỗi này hãy làm theo hướng dẫn dưới đây để khắc phục lỗi đăng nhập gmail nhé.
Chế tạo thành công chip quang-điện tử đầu tiên trên thế giới
Một chip xử lý điện tử thông thường sẽ có những giới hạn về tốc độ và nhiệt độ hoạt động, do vậy từ lâu các nhà nghiên cứu đã nỗ lực làm ra một con chip xử lý hoạt động bằng ánh sáng, nhằm giải quyết cùng lúc tất cả các vấn đề trên.
NTT Resonant - công cụ search độc đáo của Nhật Bản
Tập đoàn Bưu chính viễn thông Nhật Bản NTT vừa tiến hành một cuộc kiểm tra công cụ tìm kiếm thông tin trên Internet. Công cụ tìm kiếm NTT Resonant mang nét đặc thù mới, các kết quả tìm kiếm thông tin chỉ hiển thị trên một trang d
Treo ảnh của bạn lên Desktop
Sẽ có lúc bạn cảm thấy chán giao diện màn hình lúc nào cũng chỉ có một hình background. Với phần mềm XDeskPhoto thì điều đó “không có gì là khó tưởng tượng“.
