Ngừng sử dụng SSL 3.0: HTTPS có thể bị tấn công bởi lỗ hổng POODLE

Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng trong SSL 3.0 cho phép kẻ tấn công giải mã những kết nối đã được mã hóa đến các trang web.

Những kẻ tội phạm có thể khai thác một điểm yếu trong thiết kế của giao thức để lấy được thông tin cookie của nạn nhân và dùng những thông tin này để đăng nhập vào webmail và các tài khoản trực tuyến khác qua HTTPS.

Rất dễ dàng để thực hiện cuộc tấn công này và nó có thể được thực hiện nhanh chóng bằng cách sử dụng JavaScript – miễn là bạn có thể chặn các gói tin của nạn nhân, bằng cách thiết lập một điểm truy cập Wi-Fi độc hại trong một quán cà phê hoặc quán bar.

SSL có thể mã hóa thông tin liên lạc của bạn, chẳng hạn như kết nối của bạn đến trang web ngân hàng, do đó nghe lén không thể lấy cắp hoặc làm xáo trộn các thông tin nhạy cảm bạn trong khi chuyển tiếp.

Google tiết lộ chi tiết của lỗ hổng vào Thứ ba và gọi nó là Poodle – tên viết tắt của Padding Oracle Open Legacy Encryption. Đó là một sai lầm trong bản thiết kế của SSL 3.0 chứ không phải là một lỗi phần mềm, do đó nó ảnh hưởng đến bất kỳ sản phẩm này có khi giao thức này – từ Google Chrome và Mozilla Firefox cho đến Microsoft Internet Explorer.

Chuyên gia bảo mật của Google, Bodo Möller giải thích rằng tội phạm mạng có thể gây ra lỗi mạng để thúc đẩy các trình duyệt web sử dụng SSL 3.0, một giao thức đã tồn tại 18 năm lẽ ra phải được xóa bỏ từ lâu. Trình duyệt nên sử dụng giao thức mã hóa cao TLS, để không phải “chịu đựng” lỗ hổng POODLE.

“Bởi vì một kẻ tấn công mạng có thể gây ra lỗi kết nối, chúng có thể dẫn đến việc sử dụng SSL 3.0 và sau đó khai thác lỗ hổng này,” Möller cho biết.

Một giải pháp đơn giản là ngừng sử dụng SSL 3.0 và thay vào đó, chỉ sử dụng TLS. Nên áp dụng cách thức này cho các trình duyệt web và các trang web mà bạn sử dụng.

Giải pháp của Google cho lỗ hổng này là ngừng hỗ trợ SSL 3.0 từ trình duyệt Chrome hàng đầu của họ. Các trang web và các trình duyệt khác cũng được dự kiến ​​sẽ ngừng hỗ trợ cho SSL v3 vì hiện nay thiết kế của nó được cho là không an toàn và thay vào đó thực thi việc sử dụng TLS cho các kết nối HTTPS.

Google cũng khuyến cáo các trình duyệt và máy chủ web sử dụng TLS_FALLBACK_SCSV, Transport Layer Security Signalling Cipher Suite Value để khóa giao thức hạ cấp.

Thực hiện theo cách này sẽ có hiệu quả hơn là ngừng hỗ trợ SSL 3.0: đó là bởi vì sử dụng giá trị này sẽ ngăn chặn tất cả các cuộc tấn công hạ cấp trong tương lai. Chrome và máy chủ web của Google đã hỗ trợ TLS_FALLBACK_SCSV.

Các trang web kết thúc hỗ trợ cho SSL v3 sẽ trở nên không tương thích với các trình duyệt cũ và hệ điều hành – đặc biệt là Internet Explorer 6 và Windows XP. Lỗ hổng Poodle cũng có thể là lỗ hổng cuối cùng kèm theo IE6 và XP một khi những trang web lớn ngừng hỗ trợ các giao thức cũ vì lý do thiếu an toàn.

Các chi tiết của lỗ hổng này được giải thích trong một bài báo được viết bởi Möller, và chuyên gia bảo mật của Google, Thai Dương và Krzysztof Kotowicz.

“Nếu một trong hai bên chỉ hỗ trợ SSL 3.0, thì mọi hy vọng đều biến mất, và một bản cập nhật là cần thiết để tránh mã hóa không an toàn”, họ viết trong The Poodle Bite: Khai thác SSL 3.0 Fallback.

Một hướng dẫn từng bước về cách thức tiến hành một cuộc tấn công POODLE có thể được tìm thấy. “PODDle cho phép xâm nhập các máy con, trình duyệt web và nhiều thứ khác. Nếu Heartbleed hoặc Shellshock xứng đáng được chấm điểm 10, thì cuộc tấn công này là chỉ được chấm khoảng năm điểm,” chuyên gia bảo mật máy tính Robert Graham cho biết thêm.

Khai thác lỗ hổng này đòi hỏi một cuộc tấn công man-in-the-middle. Cần hết sức lưu ý khi bạn ở một nơi mà các thiết bị Wi-Fi không được mã hóa, bạn có thể đang bị nghe lén và gặp nguy hiểm nghiêm trọng với các cuộc tấn công này.

Theregister