Tin Tức - Hacker, Virus - Từ lỗ hổng DNS đến clickjacking
Yếu điểm trong hệ thống DNS làm cả thế giới mạng thấp thỏm Điều kiện thuận lợi cho tin tặc phát động những cuộc tấn công ồ ạt vào các hệ thống DNS trên thế giới, chuyển hướng người dùng đến những website giả mạo nhằm lừa họ cung cấp thông tin cá nhân, tài khoản ngân hàng trực tuyến, số thẻ tín dụng... Các hãng CNTT và ISP trên thế giới được US-CERT khuyến cáo cập nhật các bản vá lỗi. Microsoft, Apple, Cisco, Debian... lần lượt "ra tay", phát hành các bản cập nhật cho những sản phẩm của mình đến người dùng nhằm ngăn chặn các cuộc tấn công từ tin tặc qua lỗi DNS.
SQL Injection vẫn là món khoái khẩu của tin tặc SQL Injection là một cách thức tấn công khai tác lỗi trong việc kiểm tra dữ liệu đầu vào của các ứng dụng, để từ đó chạy các câu lệnh truy vấn (query) dữ liệu SQL có lợi cho kẻ tấn công. SQL Injection xảy ra ở tất cả các phần mềm có sử dụng ngôn ngữ truy vấn dữ liệu SQL, và thường gặp nhất là ở các web-application. Cho đến nay, SQL Injection vẫn là phương thức thông dụng nhất của tin tặc khi tấn công một website vì cơ sở dữ liệu được xem là trái tim của website. Số lượng website bị tin tặc "nắm giữ" lên đến vài trăm ngàn và thường được dùng để phát tán mã độc, malware hay lừa đảo trực tuyến (phishing) khi khách truy cập truy xuất vào website. Những vụ "SQL Injection" đình đám trong năm 2008 phải kể đến như việc mất 10.597 số an sinh xã hội và hồ sơ pháp lý của các công dân thuộc Oklahoma khi website này bị tin tặc tấn công qua phương thức SQL Injection hoặc đợt tấn công trên quy mô lớn đã gây tổn thất cho hơn nửa triệu website... Việc chống trả từ những webmaster xem ra còn khá yếu ớt vì đại đa số vẫn sử dụng những hệ thống máy chủ cơ sở dữ liệu dùng chung hoặc không được bảo vệ kỹ, cách thức lập trình website còn sơ hở. Cả Microsoft và HP cùng tham gia hỗ trợ cho khách hàng của mình qua các công cụ miễn phí nhằm kiểm tra mức độ ngăn chặn các đợt tấn công SQL Injection.
Những nguy cơ bảo mật khác * Clickjacking: Năm 2008, từ điển bảo mật ghi nhận thêm 1 thuật ngữ mới: clickjacking được Robert Hansen (nhà sáng lập và điều hành hãng SecTheory) và Jeremiah Grossman (giám đốc công nghệ tại hội nghị Whitehat Security) khám phá. Cả 2 đặc biệt nhấn mạnh những khám phá của mình về mức độ nguy hiểm từ clickjacking, diễn ra qua việc lừa đảo mọi người click vào một liên kết với vẻ ngoài “trong sạch” trong một trình duyệt, ví dụ như một nút nhấn để lưu 1 bài báo online đang đọc vào mạng xã hội lưu trữ Digg chứ không chỉ đơn thuần là nhấn vào các liên kết lừa đảo như trước đây tin tặc hay sử dụng. Hầu hết các trình duyệt đều không thể đương đầu với clickjacking. Một cuộc tấn công clickjacking có thể dựa trên một thiết kế cơ bản trong HTML cho phép các website nhúng nội dung từ các trang web khác. Nội dung nhúng có thể được ẩn và người dùng web hoàn toàn không biết đang tương tác với nó. Một dạng thức khác của clickjacking lại nhằm ...
Chi tiết
by 
