Freak – lỗ hổng SSL/TLS

16:26 | 09/03/2015

Ngày 3/3/2015, Viện nghiên cứu Khoa học máy tính và Tự động hóa Pháp cùng Microsoft đã công bố lỗ hổng Freak. Freak được mệnh danh là lỗ hổng bảo mật nguy hiểm được định danh mã CVE-2015-0204.

Lỗ hổng này ảnh hưởng đến giao thức bảo mật SSL và TLS (các giao thức mật mã nhằm mục đích bảo mật sự vận chuyển thông tin trên nền Internet). Cụ thể, hàm ssl3_get_key_exchange trong s3_clnt.c của phiên bản OpenSSL trước 0.9.8zd, 1.0.0 - 1.0.0p và 1.0.1 - 1.0.1k cho phép điều khiển từ xa các máy chủ SSL để tiến hành các cuộc tấn công hạ cấp RSA và tạo điều kiện cho tấn công brute force. 

Lỗ hổng trên giao thức kết nối SSL/TLS này cho phép kẻ tấn công can thiệp vào các kết nối bảo mật HTTPS giữa máy chủ và máy trạm. Sau khi can thiệp các kết nối HTTPS, tin tặc có thể buộc website hạ cấp (downgrade) xuống mức an toàn yếu, gọi là mã hóa “export-grade”; từ đó kẻ tấn công có thể dễ dàng giải mã thông tin truy cập website, lấy cắp mật khẩu và các dữ liệu nhạy cảm khác.

Các nhà nghiên cứu đã phát hiện ra các vấn đề nằm trong OpenSSL được sử dụng trong trình duyệt Android Chrome và Safari. Bất cứ ai cùng dùng chung mạng đều có thể trở thành mục tiêu. Tin tặc có thể dùng bọ (bug) để giảm mức độ mã hóa được sử dụng giữa một trình duyệt và một trang web được bảo vệ bởi HTTPS và biến nó thành một trang yếu hơn đến mức có thể crack được.

Các nhà nghiên cứu này cũng cho rằng vấn đề là do một chính sách cũ của Mỹ. Vào khoảng những năm 1990, khi các công ty Mỹ được yêu cầu bí mật làm yếu đi mức mã hóa theo quy định của chính phủ Mỹ về cấm xuất khẩu các thuật toán mã hóa tốt hơn. Vào lúc đó, độ dài một mã khóa cho phép tối là 512 bit, ngày nay mã khóa này dễ dàng bị bẻ gãy. 

Khi việc mã hóa web trở nên tốt hơn với các khóa dài hơn và mạnh hơn, tin tặc cũng gặp khó khăn hơn khi muốn bẻ các khóa này. Sau khi không thể ép các quốc gia khác sử dụng như loại mã khóa yếu, chính phủ Mỹ dường như đã không thể theo dõi việc liên lạc trên các website của mọi người bằng hình thức này.

Nhưng vẫn có một vẫn đề rõ ràng và ảnh hưởng đến tận ngày nay, đó là: một số trình duyệt và máy chủ web vẫn được lập trình để chấp nhận những loại mã hóa yếu. Chức năng bảo mật được đặt vào những yếu tố như OpenSSL và người phát triển trình duyệt. Nhưng do một lỗi nào đó trong quá trình thực hiện việc mã hóa RSA, kẻ tấn công có thể lừa các trình duyệt kết nối vào những website mã hóa bằng các mã 512 bit.

Để thực hiện một vụ tấn công sử dụng lỗ hổng này, kẻ tấn công sẽ kết nối đến một trang web bị ảnh hưởng, tìm ra các phần mã hóa yếu của nó và sau đó crack các mã. Với mã hóa đã được crack, tin tặc có thể thực hiện tấn công người trung gian (Man in the midde - MiTM) chặn việc liên lạc của mục tiêu với trang web đó và xem các thông tin ở định dạng không được mã hóa.

Tin tặc cũng có thể thay đổi nội dung như ý muốn và còn đánh lừa người sử dụng nhằm lấy cắp thông tin như tài khoản và mật khẩu.

Ban đầu, lỗ hổng Freak được cho là khiến hàng triệu người dùng có nguy cơ bị tin tặc tấn công trong khi lướt web bằng điện thoại di động, dù là với nền tảng iOS hay Android. Có khoảng 1/3 tổng số websites trên thế giới có nguy cơ cao với lỗi này, kể cả các trang web lớn được điều hành bởi American Express, Groupon, Kohl's, Marriott hay thậm chí một số cơ quan chính phủ. Cả iOS và Android đều có nguy cơ với lỗ hổng bảo mật Freak (GSMArena).  Đại diện Công ty Bkav cho biết, trong danh sách gần 10.000 website có nguy cơ bị tấn công qua lỗ hổng FREAK SSL, thì có khoảng 255 website Việt Nam. Trong đó có 6 website ngân hàng, chứng khoán; 4 website các hãng viễn thông; 5 website cơ quan nhà nước…

Đến ngày 5/3/2015, đại diện của hãng phần mềm Microsoft đưa ra thông báo: “Hàng trăm triệu máy tính Windows có nguy cơ dính lỗ hổng bảo mật Freak”. 



Đại diện Microsoft cho biết, ban đầu thì lỗ hổng liên quan đến vấn đề mã hóa trang web này chỉ được tin là có khả năng gây nguy hại cho các thiết bị di động cũng như máy tính Mac. Tuy nhiên, với các máy tính chạy Windows cũng tồn tại lỗ hổng Freak mà qua đó giới hacker có thể khai thác tấn công.

Mọi phiên bản Windows sử dụng trình duyệt IE, hay bất cứ ứng dụng bên thứ ba nào sử dụng Windows Secure Channel của Windows (gói phần mềm được sử dụng để bảo mật và mã hoá các kết nối mạng) đều có thể bị tấn công qua lỗ hổng Freak. Tuy nhiên hãng chưa đề cập đến các thiết bị di động. 

Tuy chưa có bằng chứng cho thấy tin tặc đã khai thác lỗ hổng Freak nhưng các công ty liên quan hiện đang cố gắng vá lỗi. Các chuyên gia bảo mật nhận định rằng lỗ hổng Freak rất khó để khai thác bởi hacker phải cần nhiều giờ sử dụng máy tính để "bẻ gãy" các mã hóa trước khi phát động một cuộc tấn công.

Cả Apple và Google đã ra tuyên bố hôm 4/3/2015 về việc vá lỗi Freak, trong đó, Apple dự kiến bản cập nhật của các thiết bị iOS sẽ được đưa ra trong tuần tiếp theo còn Google thì đã cung cấp bản cập nhật đến các nhà sản xuất và cung cấp dịch vụ di động. 

Với khách hàng của mình, Microsoft khuyến cáo các quản trị viên hệ thống cần vô hiệu hóa các thiết lập trên các máy chủ Windows mà có thể cho phép sử dụng các chuẩn/giao thức mã hóa cấp thấp.

Tương tự như vậy, nhiều trang web cũng đang có các hành động để sửa chữa lỗi này, tăng cường an ninh.

Hơn tất cả là ý kiến của các chuyên gia về việc trong dài hạn, Mỹ cần điều chỉnh chính sách quy định về mức bảo mật cho các chương trình mã hóa thương mại. Đây cũng chính là một nỗ lực để chống lại các tội phạm an toàn mạng, góp phần bảo vệ an ninh quốc gia.