Ngày càng có nhiều người tham gia "săn tìm" lỗ hổng trên web, thiết bị di động và IoT

Hoàng Linh| 11/03/2021 10:48
Theo dõi ICTVietnam trên

Mối quan tâm đến các chương trình thưởng cho những người tìm ra các lỗ hổng bảo mật (bug bounty program) đang tăng lên khi làm việc từ xa trở nên phổ biến khiến tấn công mạng, khai thác lỗ hổng gia tăng.

Ngày càng có nhiều người tham gia "săn" lỗi bảo mật

Số lượng tin tặc phát hiện ra các lỗ hổng bảo mật và gửi những phát hiện đến các chương trình trao thưởng cho những phát hiện lỗi bảo mật đã tăng gần 2/3 trong cả năm ngoái.

Ngày càng có nhiều tin tặc phát hiện ra các lỗ hổng trên web, thiết bị di động và IoT - Ảnh 1.

Báo cáo Hacker năm 2021 của nền tảng trao thưởng cho những phát hiện lỗi bảo mật HackerOne nêu chi tiết sự tiến triển của thử nghiệm thâm nhập, tấn công có đạo đức trong 12 tháng qua và cho biết số lượng tin tặc gửi báo cáo lỗ hổng bảo mật đã tăng 63% trong suốt thời gian này.

Mục tiêu của các chương trình trao thưởng là khuyến khích các tin tặc có đạo đức hay còn gọi là tin tặc mũ trắng phát hiện và tiết lộ các lỗ hổng này trước khi tội phạm mạng lợi dụng chúng. Chỉ trong năm ngoái, các tin tặc có đạo đức đã nhận được 40 triệu USD từ chương trình thưởng cho những báo cáo lỗi bảo mật HackerOne, tăng từ 19 triệu USD vào năm 2019.

Trong khi hầu hết những người "săn tìm" lỗ hổng tập trung vào các ứng dụng web, thì số người kiểm tra các lỗ hổng tiềm ẩn khác cũng đã tăng lên, với việc gửi các báo cáo lỗ hổng liên quan đến thiết bị Android, Internet vạn vật (IoT) và các API tăng cao.

Động lực mang tính tài chính thúc đẩy việc tìm ra các lỗ hổng có thể nói đóng vai trò lớn - 76% những người được khảo sát bởi HackerOne cho biết họ "săn" lỗ hổng để kiếm tiền - 85% cho biết họ tham gia để học hỏi, trong khi 2/3 người trả lời cho biết săn tìm lỗ hổng cho vui.

Đồng sáng lập HackerOne, Jobert Abma, người tin rằng khả năng của con người vẫn là cách tốt nhất để phát hiện các lỗ hổng bảo mật, cho biết: "Chúng ta đang chứng kiến sự gia tăng đáng kể số lần gửi báo cáo lỗ hổng bảo mật ở tất cả các hạng mục và sự gia tăng tin tặc chuyên về nhiều loại công nghệ khác nhau".

Cũng theo Jobert Abma, mỗi khi một tin tặc liên kết một số lỗ hổng có mức độ nghiêm trọng thấp với nhau để giúp khách hàng tránh bị một vụ việc xâm phạm hoặc tìm thấy một cách vượt qua bản vá phần mềm duy nhất, thì điều đó chứng tỏ rằng máy móc sẽ không bao giờ thực sự vượt được khả năng của con người.

Microsoft thưởng 50.000 USD cho phát hiện lỗ hổng xâm nhập tài khoản

Microsoft vừa thưởng 50.000 USD cho một nhà nghiên cứu đã tiết lộ lỗ hổng dẫn đến việc chiếm đoạt tài khoản của hãng này thông qua chương trình trao thưởng cho phát hiện lỗi.

Trong một bài đăng trên blog ngày 9/3, nhà nghiên cứu Laxman Muthiyah cho biết lỗ hổng bảo mật có thể "cho phép bất kỳ ai chiếm đoạt bất kỳ tài khoản Microsoft nào mà không cần sự đồng ý hoặc cho phép".

Tuy nhiên, theo một ý kiến trong một cuộc thảo luận liên quan đến báo cáo lỗ hổng này thì lỗ hổng có thể chỉ khả thi cho các tài khoản người dùng.

Nhà nghiên cứu Muthiyah trước đó đã tìm thấy một lỗi giới hạn tốc độ Instagram có thể dẫn đến việc chiếm tài khoản và áp dụng các thử nghiệm tương tự đối với các bảo vệ tài khoản của Microsoft.

Để đặt lại mật khẩu cho tài khoản Microsoft, công ty yêu cầu phải gửi địa chỉ email hoặc số điện thoại thông qua trang "Quên mật khẩu" (Forgotten Password). Sau đó, mã bảo mật gồm 7 chữ số sẽ được gửi như một phương thức xác minh và cần được cung cấp để tạo một mật khẩu mới.

Việc sử dụng một cuộc tấn công brute-force (hình thức tấn công cổ điển nhất là thử mật khẩu đúng sai) để lấy mã 7 chữ số sẽ dẫn đến việc đặt lại mật khẩu mà không có sự cho phép của chủ sở hữu tài khoản. Tuy nhiên, để ngăn chặn các cuộc tấn công này, các giới hạn tỷ lệ, mã hóa và kiểm tra được áp dụng.

Sau khi kiểm tra khả năng phòng thủ của Microsoft, Muthiyah đã có thể "tìm ra" mã hóa của Microsoft và "tự động hóa toàn bộ quá trình từ mã hóa mã đến việc gửi đi nhiều yêu cầu đồng thời".

Một thử nghiệm bao gồm 1000 lần thử mã được gửi đi nhưng chỉ có 122 lần được xử lý - trong khi các thử nghiệm khác dẫn đến lỗi và các yêu cầu khác từ tài khoản thử nghiệm đã bị chặn.

Tuy nhiên, bằng cách gửi các yêu cầu đồng thời, người săn lỗi bảo mật để nhận thưởng có thể phá vỡ cả mã hóa và cơ chế chặn - miễn là không có sự chậm trễ trong các yêu cầu, vì dù chỉ một vài "mili giây" là đủ để các yêu cầu được phát hiện và đưa vào danh sách đen, theo nhà nghiên cứu này.

Muthiyah đã điều chỉnh cuộc tấn công của mình bằng cách xử lý song song, gửi tất cả các yêu cầu cùng một lúc mà không có bất kỳ độ trễ nào và lấy được mã chính xác thành công.

Tuy nhiên, trong các tình huống thực tế, vectơ tấn công này không hề đơn giản. Để bỏ qua một mã 7 chữ số sẽ đòi hỏi khả năng tính toán lớn và nếu kết hợp với nhu cầu phá vỡ mã 2FA đi kèm - khi tính năng này được kích hoạt trên tài khoản Microsoft mục tiêu - thì điều này có thể cần tổng cộng hàng triệu yêu cầu.

Muthiyah đã báo cáo những phát hiện của mình và gửi cho Microsoft một video Proof-of-Concept (PoC) để làm bằng chứng. Nhà nghiên cứu chuyên săn lỗi bảo mật này cho biết gã khổng lồ công nghệ Microsoft đã "nhanh chóng thừa nhận vấn đề" và phát hành bản vá ngay sau đó.

Lỗ hổng bảo mật được Microsoft đánh giá có mức độ "quan trọng" - do mức độ phức tạp của việc kích hoạt khai thác thông qua lỗi - và được mô tả là "nâng cao đặc quyền (bao gồm bỏ qua xác thực đa yếu tố)", theo một email được Muthiyah chia sẻ.

Chương trình thưởng tiền cho những phát hiện lỗi đã trao 50.000 USD vào ngày 9/2 thông qua nền tảng tiền thưởng lỗi HackerOne, một đối tác chuyển thưởng của Microsoft. Microsoft đã treo thưởng từ 1.500 USD - 100.000 USD cho các báo cáo lỗi hợp lệ.

"Tôi muốn cảm ơn Dan, Jarek và toàn bộ Nhóm Trung tâm phản hồi bảo mật của Microsoft (MSRC) đã kiên nhẫn lắng nghe tất cả các ý kiến của tôi, thực hiện các bản cập nhật và vá lỗi này", Muthiyah đã cho hay. MSRC cũng đã cảm ơn nhà nghiên cứu về những phát hiện lỗi này.

Người phát ngôn của Microsoft trao đổi với ZDNet cho hay: "Vấn đề này đã được giải quyết vào tháng 12/2020 và khách hàng sẽ tự động được bảo vệ."

Trong một vụ việc khác liên quan đến phát hiện lỗi bảo mật qua chương trình trao thưởng, hồi cuối tháng 2 vừa qua, một người tên là Vishal Bharad tuyên bố đã phát hiện ra lỗ hổng bảo mật XSS (cross-site scripting) được lưu trữ trong icloud.com. XSS là một lỗ hổng phổ biến trong ứng dụng web.

Các lỗ hổng XSS được lưu trữ, còn được gọi là persistent XSS (kiểu tấn công mà mã độc được lưu trong cơ sở dữ liệu trên server, hiển thị ra với toàn bộ người dùng), có thể được sử dụng để lưu trữ tải trọng trên máy chủ mục tiêu, đưa các tập lệnh độc hại vào các trang web và có khả năng được sử dụng để ăn cắp cookie, mã thông báo phiên và dữ liệu trình duyệt.

Theo Bharad, lỗ hổng XSS trong icloud.com được tìm thấy trong các tính năng của Page/Keynotes của miền iCloud của Apple.

Nhà nghiên cứu đã tiết lộ lỗi này cho Apple từ hồi tháng 8/2020. Báo cáo đã được chấp nhận và Bharad nhận được phần thưởng tài chính 5000 USD cho những nỗ lực của mình sau đó.

Các chương trình trao thưởng cho việc phát hiện các lỗi bảo mật như các chương trình được HackerOne, Bugcrowd hay của chính các hãng công nghệ triển khai, vẫn là một phương thức phổ biến cho các nhà nghiên cứu bên ngoài báo cáo các vấn đề bảo mật cho các nhà cung cấp công nghệ. Chỉ trong năm 2020, Google đã trả cho người báo cáo lỗi bảo mật 6,7 triệu USD cho các báo cáo của họ.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Việt Nam - Malaysia nâng cấp quan hệ Đối tác chiến lược toàn diện
    Phát biểu tại họp báo, Tổng Bí thư Tô Lâm cho biết, Việt Nam-Malaysia tăng cường hợp tác trên các lĩnh vực mới (như kinh tế xanh, đổi mới sáng tạo, khoa học công nghệ, chuyển đổi số, năng lượng xanh...).
  • Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng
    Trẻ em - đối tượng dễ bị tổn thương nhất, đang phải đối mặt với nhiều nguy cơ. Đây không chỉ là bài toán của riêng Việt Nam mà còn là thách thức toàn cầu đòi hỏi sự chung tay hợp tác từ nhiều phía.
  • Việt Nam đang đối mặt 3 thách thức an toàn thông tin
    Các cuộc tấn công mạng hiện nay ngày càng tinh vi và phức tạp hơn, đặc biệt khi có sự hỗ trợ của trí tuệ nhân tạo. Tuy nhiên, việc kết hợp công nghệ này với trí tuệ của con người đã giúp phát hiện và phòng, chống tấn công mạng hiệu quả hơn.
  • Chuyển đổi số thành công không thể thiếu “niềm tin số”
    Muốn triển khai hiệu quả chiến lược số hóa quốc gia cần triển khai theo hướng tiếp cận từ trên xuống dưới và phải phù hợp với thực tế, đảm bảo có tầm nhìn rộng trong tương lai.
  • Việt Nam - Hàn Quốc đồng hành trong kỷ nguyên AI
    Thứ trưởng Bộ TT&TT Phan Tâm hy vọng, Việt Nam có thể học tập nhiều hơn từ Hàn Quốc về các bài học kinh nghiệm, cách làm hay để phát huy tối đa vai trò công nghệ số nói chung và trợ lý ảo nói riêng trong hoạt động của cơ quan nhà nước, thúc đẩy phát triển kinh tế, tạo lập xã hội số nhân văn và thu hẹp khoảng cách số.
Đừng bỏ lỡ
  • Bốn giải pháp trọng tâm để giải bài toán an toàn dữ liệu quốc gia
    Theo Thứ trưởng Bộ TT&TT Bùi Hoàng Phương, năm 2024 đánh dấu bước tiến vượt bậc của Việt Nam trong lĩnh vực an toàn thông tin. Tuy nhiên, còn rất nhiều thách thức cần vượt qua để đảm bảo an toàn dữ liệu quốc gia.
  • Việt Nam tăng cường hợp tác phát triển công nghệ số với Burundi và NIPA
    Trong khuôn khổ sự kiện Tuần lễ Số quốc tế 2024, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng đã tiếp và làm việc với Bộ trưởng Bộ Truyền thông, Công nghệ Thông tin và Đa phương tiện Burundi Léocadie Ndacayisaba và ông Hur Sung Wook, Chủ tịch Cục Xúc tiến Công nghiệp CNTT quốc gia Hàn Quốc (NIPA).
  • Chính thức ra mắt Nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin
    Nền tảng hướng tới nâng cao chất lượng và điều phối hiệu quả các hoạt động diễn tập trên toàn quốc thông qua nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin.
  • Robot Delta hữu dụng trong nhiều ngành
    Nhờ vào thiết kế độc đáo và khả năng hoạt động với tốc độ và độ chính xác cao, robot Delta là một giải pháp tối ưu trong nhiều ngành công nghiệp hiện đại.
  • Cà Mau ứng dụng các phần mềm chuyển đổi số trong ngành nông nghiệp
    Ngành nông nghiệp tỉnh Cà Mau đã không ngừng triển khai các giải pháp chuyển đổi số thông qua việc sử dụng các phần mềm, xây dựng cơ sở dữ liệu chuyên ngành phục vụ quản lý, điều hành. Trong tương lai không xa, các phần mềm này sẽ hoàn thiện và bắt kịp xu hướng công nghệ để hỗ trợ người nông dân nhiều hơn trong việc tăng gia sản xuất.
  • Bảo vệ các hệ thống mạng trọng yếu là cấp thiết
    Song song với tiến trình chuyển đổi số, các chiến dịch tấn công mạng, gián điệp và khủng bố mạng nhằm vào hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT) trọng yếu ngày càng gia tăng, việc đảm bảo an ninh mạng trở thành ưu tiên hàng đầu của các quốc gia.
  • ‏OPPO Find X8 Series sẽ chính thức lên kệ ngày 7/12‏
    Ngày 21/11, OPPO chính thức ra mắt Find X8 Series‏‏ tại Việt Nam và sẽ lên kệ ngày 7/12 tới. Đây là lần đầu tiên người dùng Việt Nam được trải nghiệm dòng flagship cao cấp nhất của OPPO cùng lúc với toàn cầu. ‏
  • Chuyển đổi số từ thực tiễn Báo Hải Dương
    Báo Hải Dương có nhiều thuận lợi khi thực hiện chuyển đổi số. Đó là Ban Biên tập có quyết tâm cao. Đội ngũ cán bộ, phóng viên, nhân viên của báo nhanh nhạy với cái mới, ham học hỏi...
  • Đưa siêu ứng dụng "Công dân Thủ đô số - iHanoi" vào cuộc sống
    “Công dân Thủ đô số” - iHaNoi là kênh tương tác trực tuyến trên môi trường số giữa người dân, doanh nghiệp với các cấp chính quyền thành phố Hà Nội. Qua ứng dụng này, người dân và doanh nghiệp có thể phản ánh các vấn đề đời sống, từ đó giúp chính quyền tiếp nhận và giải quyết kịp thời.
  • Sự gia tăng của ứng dụng AI tạo sinh: Những rủi ro tiềm ẩn cho xã hội và con người
    AI tạo sinh là một trong những thành tựu công nghệ mới nhất của con người trong thập niên 20 của thế kỷ XXI. Cho đến nay, sự ứng dụng của AI tạo sinh đã tạo ra nhiều cuộc tranh luận quan trọng trong các nghiên cứu xã hội, đặc biệt là trong lĩnh vực triết học. AI tạo sinh đã thách thức nhiều khái niệm và định kiến của chúng ta về bản thân mình, đặc biệt là về cách chúng ta hiểu về tư duy và bản chất của tư duy con người.
Ngày càng có nhiều người tham gia "săn tìm" lỗ hổng trên web, thiết bị di động và IoT
POWERED BY ONECMS - A PRODUCT OF NEKO