Vào trong 1 website nào đó, nhìn thấy chứng thư HTTPS đừng vội tin, chúng có thể được làm giả quá giản dị dàng

2 Likes Comment
Ps2now Nơi Chia Sẽ Kiến Thức Kinh Nghiệm Tổng Hợp Cho Các Bạn Trẻ Đọc . Mời Các Bạn Đọc Bài Viết :

Những công cụ thanh toán điện tử như PayPal đã rất được ưa chuộng trên toàn thế giới, không chỉ vì sự tiện dụng khi thanh toán trên các trang thương mại điện tử mà còn nhờ vào tính bảo mật thông tin cao của những dịch vụ này. Một trong những tín hiệu giúp người dùng yên tâm về việc an toàn cho thanh toán của mình đó là chữ Secure màu xanh bên cạnh giao thức HTTPS.

Nhưng bạn đừng quá tin vào những gì mình thấy, bởi hiện tại những kẻ lừa quần đảo đã có thể tạo ra những website giả mạo với những đặc điểm giống hệt như trên. Kết quả là website lừa quần đảo nhìn không khác gì website thật:

Chứng từ HTTPS trên tên miền cũng được chứng nhận bởi một tổ chức danh tiếng.

Tại sao điều này lại sở hữu thể xẩy ra lúc các chứng thư HTTPS đang rất được các hãng công nghệ lớn như Google hay Mozilla xem là tiêu chuẩn bảo mật thông tin ở hiện tại?

Chính vì để thúc đẩy việc phổ biến giao thức này, việc cấp các chứng thư HTTPS được thực hiện theo phía “nhanh chóng, cởi mở, tự động hóa và miễn phí” đã làm toàn bộ cơ thể tốt và người xấu đều tận dụng cơ hội này để đã đoạt chứng thư HTTPS cho website của mình.

Tình trạng lạm dụng chứng thư khi chứng nhận HTTPS

Vào trong ngày 8 tháng Mười Hai 2016, tổ chức LetsEncrypt đã phát hành 409 chứng thư có chứa chữ “PayPal” trong tên miền, số lượng đó tăng lên 709 vào trong ngày 16 tháng Một năm 2017. Với chứng thư HTTPS mà mình có, những kẻ lừa quần đảo hoàn toàn có thể dựng lên những website chẳng khác gì với bản thật như trên.

Không chỉ mang tên miền của PayPal, các mục tiêu khác còn gồm có cả ngân hàng BankOfAmerica (14 chứng thư), Apple, Amazon, American Express, Chase Ngân hàng, Microsoft, Google và nhiều thương hiệu nổi tiếng khác. Letscrypt chỉ xác nhận duy nhất một lần tại thời điểm người xin cấp chứng thư có thể công bố tên miền mục tiêu của mình.

Tổ chức cấp chứng thư này cũng chỉ miễn cưỡng kiểm tra với dịch vụ SafeBrowsing để xem liệu tên miền mục tiêu đã từng bị khóa vì chứa mã độc bao giờ chưa, cho dù họ “không đồng ý” rằng điều này phải là trách nhiệm của họ.

Related Posts

Xem Thêm  Ventusky là maps thời tiết tương tác thời gian thật rất tuyệt vời mà bạn nên thử qua

Từ hơn một thập kỷ trước, lúc các tổ chức cấp chứng thư (các CA – Certificate Authority) chạy đua hạ thấp các tiêu chuẩn của việc xác thực trước lúc phát hành chứng thư bảo mật thông tin đã làm nhóm Internet Explorer đi đầu trong việc phát triển các chứng thư Extended Validation (chứng thư xác thực mở rộng). Họ hy vọng rằng, bằng việc nêu đích danh các CA này, sẽ khuyến khích họ thanh tra rà soát kỹ lưỡng danh tính của một chủ sở hữu website.

Tên một nhà xác thực chứng chỉ cho tên miền Paypal.com

Tên một nhà xác thực chứng thư cho tên miền Paypal.com

Tuy nhiên trên thực tế, việc hiển thị tên của đa số CA này ngay trên thanh địa chỉ đang không được thực hiện, vì vậy phần lớn các chứng thư xác thực tên miền vẫn là những sản phẩm & hàng hóa ẩn danh, trừ khi người dùng phải tự mình trải qua hàng loạt thao tác thủ công phức tạp để kiểm tra chứng thư của một website.

Tất nhiên, không chỉ có mình Letscrypt để xẩy ra tình trạng lạm dụng chứng thư này – nhiều tổ chức cấp chứng thư khác cũng phát hành các chứng thư xác thực tên miền cho những website lừa quần đảo. Do vậy, điều này để lại hậu quả là, ngay cả những website sử dụng giao thức https cũng không còn là một nơi tuyệt đối an toàn với những người dùng nữa.

Tuy nhiên, tình trạng này cũng không hoàn toàn chỉ là lỗi của một mình các nhà cấp chứng thư, trách nhiệm của việc này còn tới từ các trình duyệt, các website và ngay toàn bộ cơ thể dùng nữa. Các trình duyệt thường ít khi so sánh thường xuyên với những CA để biết về việc thu hồi chứng thư cấp cho tên miền đáng ngờ. Không những vậy, list các website bị chặn vì nghi ngờ lừa quần đảo thường chỉ dựa vào văn bản báo cáo của người dùng nên nó luôn có độ trễ nhất định.

Ngoài ra, một số người cũng nhận định rằng các website có một phần trách nhiệm vì đã chậm trễ triển khai các biện pháp chống giả mạo hai lớp, hay giao thức HTTPS, thường xuyên thay thay tên miền cũng như giao diện đăng nhập… Hơn nữa, ngay toàn bộ cơ thể dùng – với tư cách là điều cuối trong tương tác với những website ô nhiễm, việc chậm phản hồi về những website này cũng khiến khối hệ thống trở nên kém hiệu quả hơn.

Nhưng trước lúc chìm sâu vào việc tranh cãi ai sẽ là người chịu trách nhiệm chính ở đây, có lẽ giờ là lúc nên tìm ra một biện pháp nào đó có thể đảm bảo tới mức tốt nhất an toàn cho những người dùng, khi họ đang lạc trong thế giới web đầy hiểm nguy rình rập ở mọi nơi như hiện tại. Tại chỗ này là một số đề xuất có mức giá trị từ nhà nghiên cứu bảo mật thông tin Ericlaw, có thể duy trì sự an toàn cho những người dùng hiệu quả hơn.

Xem Thêm  Nhãn mác quần áo sẽ trở thành vật dụng sống sót nơi hoang dã nhờ vào sáng kiến này

Làm thế nào để phát hiện các website ô nhiễm?

Trước kia, thế giới máy tính chỉ dựa vào mã nhị phân để xác nhận website đó có ô nhiễm hay là không – thật không may, cách làm đó giờ không còn phù hợp nữa. Vì vậy, nhiều khối hệ thống đang dịch chuyển sang sử dụng một bộ các tín hiệu (các signal). Khi nhận định và đánh giá độ tin cậy của một website, có hàng nghìn các tín hiệu như ở chỗ này:

– Các chứng nhận HTTPS.

– Tuổi của website.

– Có người dùng nào truy cập vào website này trước đó hay chưa.

– Có người dùng nào lưu trữ mật khẩu trên website này trước đó hay chưa.

– Người dùng đã từng sử dụng mật khẩu này ở đâu đó trước đó hay chưa.

– Số người đã truy cập theo dõi website.

– Vị trí hosting của website.

– Sự hiện hữu của thuật ngữ nhạy cảm trong nội dung của đường URL.

– Sự hiện hữu của đa số hình thức đăng nhập hay các tải về file thực thi.

Không tín hiệu riêng lẻ nào trên đây đủ sức xác định website đó ô nhiễm hay là không, nhưng khi kết phù hợp với nhau, chúng có thể tạo ra một khối hệ thống biết được website nào an toàn hay đáng ngờ. Các website đáng ngờ có thể được phân tích sâu hơn bởi con người, như các Chuyên Viên bảo mật thông tin hay thậm chí là nguồn lực đám đông để cảnh báo người dùng thông thường. Ví dụ như cảnh báo từ bộ lọc SmartScreen trên Internet Explorer ở chỗ này.

Phản hồi của người dùng với những cảnh báo này cũng là một tín hiệu bổ sung cho khối hệ thống, giúp đẩy nhanh quá trình xác định một website là tốt hay xấu và đối tượng người tiêu dùng cần chặn trên site.

Nhưng một khối hệ thống dựa trên các tín hiệu như vậy vẫn tồn tại một thử thách khác, đó là trong những khi khối hệ thống này cần phát triển càng nhiều các văn bản báo cáo tín hiệu điểm cuối càng tốt, những văn bản báo cáo tín hiệu đó có thể có ý nghĩa riêng tư nhất định với mỗi người dùng.

Xây dựng danh tiếng cho website

Trong thế giới thực, rất nhiều việc cần dựa trên danh tiếng – nếu không có nó, các bạn sẽ rất khó có thể có thể tìm được một công việc, tham gia kinh doanh hoặc thậm chí là tìm một đối tác.

Xem Thêm  Nhờ vật lý, ta đã biết phương pháp người Ai Cập cổ đại xây kim tự tháp Giza - kỳ quan thế giới ra làm sao

Trong trình duyệt cũng tương tự như vậy, tuy nhiên hiện tại những gì tất cả chúng ta mới chỉ có một bộ khái niệm về website có danh tiếng xấu (website hoặc file bạn tải về sẽ xuất hiện trong list bị chặn), nhưng tất cả chúng ta thiếu một khái niệm về danh tiếng tốt. Các chứng thư Extended Validation là một nỗ lực trong việc tạo ra khái niệm về danh tiếng tốt, nhưng kế hoạch kinh doanh của đa số CA và khối hệ thống pháp luật đã biến nỗ lực đó trở thành vô ích.

Dù sao đi nữa, trong nghành nghề dịch vụ web, không có bất kì ai nói theo cách khác chắc chắn rằng website mà bạn truy cập là từ một startup member hay một công ty trong list Fortune 500.

Một giải pháp tuyệt vời khác do nhà khoa học máy tính Owen Campbell-Moore đề xuất nhằm được cho phép ánh xạ về nguồn gốc của thương hiệu. Từ đó, anh nhận định rằng nên được sắp xếp đường dẫn URL trên phần đầu của mỗi website, thay thế cho những logo được gắn nhãn đi kèm tên các website đó hay hàng chuỗi các ký tự như “https://”, “www” và “co.in” … Nhờ đó người dùng sẽ biết chính xác hơn mình đang ở đâu, đặc biệt quan trọng khi lướt web trên các màn hình hiển thị nhỏ như của di động.

Nếu website đó thực sự được tạo nên từ các ông lớn như Apple, Microsoft, Google hay tên tuổi nào đó, tất cả chúng ta sẽ không còn có gì phải lo lắng nữa. Đổi lại, để tạo ra một khối hệ thống như vậy, các nhà thiết kế phải tập trung vào thẻ , nơi chứa các thành phần nguồn vào của văn bản HTML trên website – rõ ràng việc tạo nên một khối hệ thống hoàn hảo ở mọi Lever là điều không thực tế.

Tham khảo textslashplain

You might like

About the Author: Ps2Now

Leave a Reply

Your email address will not be published. Required fields are marked *