Google phát hành công cụ để kiểm tra các ứng dụng, thiết bị đối với các khuyết điểm SSL/TLS

Diem Do

Google đã phát hành một công cụ có thể được sử dụng để kiểm thử các kết nối được mã hóa SSL/TLS được mở bởi các ứng dụng hay các thiết bị dễ xâm phạm bởi các tấn công MitM (Man in the Middle). Có thể hiểu nôm na về kiểu tấn công này như một kẻ nghe trộm.

 

Cuộc tấn công MitM đề cập đến một tình huống nơi mà kẻ tấn công ở tại một vị trí để chặn và điều khiển sự lưu thông dữ liệu giữa máy khách và máy chủ. Đó là một loại đe dọa mà các giao thức SSL và TLS chống lại.

 

Tuy nhiên, trong thực tế, các kết nối được mã hóa SSL/TLS thường có thể dễ bị xâm phạm đến các cuộc tấn công MitM bởi vì các cấu hình client chưa tốt hay các lỗ hổng chưa được vá trong các thư viện được sử dụng bởi các lập trình viên phần mềm để thực thi các giao thức này trong các ứng dụng của họ.

 

“Hầu hết các nền tảng và các thiết bị có các chế độ mặc định bảo mật, nhưng một số ứng dụng và thư viện ghi đè lên các giá trị mặc định càng tồi tệ hơn và trong một số trường hợp đặc biệt chúng tôi nhận thấy các nền tảng mắc một số lỗi”, Chad Brubaker – “Kỹ sư bảo mật Android tại Google đã viết trên blog như thế. Khi các ứng dụng ngày càng trở nên phức tạp hơn, kết nối đến nhiều dịch vụ hơn và sử dụng nhiều hơn các thư viện bên thứ ba, nó trở nên dễ dàng hơn để giới thiệu các loại lỗi này.”

 

Công cụ được tạo ra và phát hành bởi Google được gọi là Nogotofail và được sử dụng nội bộ bởi các kỹ sư của công ty để tìm kiếm các lỗi thực thi SSL/TLS trong các ứng dụng trong một thời gian. Nó được phát hành trên GitHub vào thứ Ba vừa qua là một dự án mã nguồn mở.

 

Nogotofail có thể được triển khai như một router, máy chủ VPN hay proxy trên một mạng network để mô phỏng các cuộc tấn công MitM chống lại các thiết bị mà thiết lập các kết nối SSL/TLS đến Internet. Nó sử dụng sự kiểm soát gói sâu để khám phá sự lưu thông dữ liệu SSL/TLS thay vì chỉ kiểm soát các cổng được kết hợp với 2 kết nối chẳng hạn như cổng 443.

 

Công cụ bao gồm một thành phần client trên hệ thống Linux và Android cho rằng thành phần MitM kiểm tra cụ thể những gì đang chạy. Phía client cũng khá quan trọng trong việc theo dõi các ứng dụng chạy trên các hệ thống được kiểm tra được mở các kết nối SSL/TLS, và một số vấn đề có thể khá khó khăn để xác định từ phía MitM.

 

Nogotofail có thể kiểm tra các khuyết điểm như các lỗ hổng trong các thư viện SSL/TLS bên thứ ba, nhạy cảm với các cuộc tấn công cởi bỏ sự mã hóa SSL/TLS hay STARTTLS và xác nhận chứng nhận không thích hợp, vấn đề lan rộng trong các ứng dụng.

 

Theo các nhà nghiên cứu vào năm 2012 từ trường Đại học Stanford và Đại học Texas tại Austin đã kiểm tra phần mềm phi trình duyệt và bao gồm cả “sự xác thực chứng nhận SSL là hoàn toàn bị phá vỡ trong các ứng dụng phần mềm và thư viện quan trọng”.

 

Sau năm đó, các nhà nghiên cứu từ trường Đại học Leibniz của Hannover và trường Đại học Philipps của Marburg tại Đức đã tìm thấy 1074 ứng dụng trong 13.500 ứng dụng Android phổ biến từ Google Pay chứa code SSL chấp nhận tất cả các chứng thực.

 

Hơn nữa gần đây, cá nhà nghiên cứu từ công ty bảo mật IOActive đã kiểm thử các ứng dụng ngân hàng di động trên thiết bị iOS của 60 cơ quan tài chính và nhận thấy 40% trong số chúng đã không xác nhận tính xác thực của các chứng nhận kỹ thuật số được nhận từ các máy chủ.

 

Phát hiện các lỗ hổng trong các thư viện SSL/TLS không phổ biến. Lỗ hỗng bảo mật nghiêm trọng gọi là Heartbleed được báo cáo vào tháng Tư vừa qua trong thư viên được sử dụng OpenSSL mở rộng nổ lực vá lỗi chưa từng xảy ra và thu hút nhiều sự chú ý truyền thông. Tuy nhiên, các lỗi nghiêm trọng khác được tìm thấy trong các thư viện SSL trong năm nay.

 

Vào tháng 2 vừa qua, Apple vá lỗi bảo mật xác thực chứng nhận quan trọng trong thư viện SSL trên hệ điều hành iOS và Mac OS X. Lỗi này bắt nguồn từ một đường dây “goto fail” mở rộng trong code của thư viện và như cái tên đầy cảm hứng về công cụ mới của Google.

Chia sẻ bài viết ngay

Nguồn bài viết : pcworld.com