http://forum.athena.edu.vn/ Room trao đổi, nghiên cứu các vấn đề liên quan đến AEH- HACKER MŨ TRẮNG vn Wed, 08 Sep 2010 17:35:28 GMT vBulletin 60 http://forum.athena.edu.vn/images/chv/misc/rss.jpg http://forum.athena.edu.vn/ http://forum.athena.edu.vn/eh-athena-ethical-hacker-hacker-mu-trang/1918-huong-dan-bao-mat-mang-truoc-lo-hong-196-a.html Wed, 08 Sep 2010 04:46:46 GMT Đầu tiên chúng ta cần hiểu các tấn công sử dụng lỗ hổng này phải được thực hiện bên trong mạng. Thủ phạm phải có các chứng chỉ mạng và cần có kết... Đầu tiên chúng ta cần hiểu các tấn công sử dụng lỗ hổng này phải được thực hiện bên trong mạng. Thủ phạm phải có các chứng chỉ mạng và cần có kết nối thành công với mạng của bạn. Các tấn công hầu như được xuất phát từ nhân viên xấu hoặc kẻ nào đó nằm bên trong tổ chức bạn.


Lỗ hổng 196 cũng ảnh hưởng đến các chế độ Enterprise (802.1X) và Personal (PSK) của Wi-Fi Protected Access, tuy nhiên đáng kể hơn đối với các mạng không dây sử dụng chế độ Enterprise.


Một lưu ý quan trọng nữa – một số người quy kết đây là điểm yếu của WPA2, tuy nhiên nó thực sự ảnh hưởng đến hai phiên bản WPA (TKIP) và WPA2 (AES).


Để hiểu lỗ hổng này, bạn phải nhận ra một trong các lợi ích trong việc sử dụng chế độ Enterprise của WPA/WPA2: Mỗi người dùng hoặc kết nối nhận một khóa mã hóa riêng. Vì vậy người dùng này không thể giải mã lưu lượng của người dùng kia – hoặc ngược lại. Khi sử dụng chế độ Personal, người dùng kết nối với một khóa mã hóa, vì vậy họ có thể đọc lưu lượng của nhau.


Lỗ hổng 196 cho phép người dùng trên mạng được bảo vệ ở chế độ Enterprise có thể giải mã các gói dữ liệu từ người dùng khác. Nó không đúng hẳn như việc crack mã hóa mà là một tấn công man-in-the-middle bằng cách sử dụng kỹ thuật ARP cache-poisoning giống như trong các mạng chạy dây. Vấn đề bên dưới là giao thức 802.11.


Cần biết rằng, lỗ hổng này cũng ảnh hưởng tới các mạng công cộng bảo mật các Wi-Fi hotspot bằng mã hóa Enterprise và nhận thực 802.1X. Một người dùng hotspot có thể rình mò dữ liệu của người dùng khác mặc dù họ nghĩ rằng lưu lượng của mình đã được bảo vệ.


Dòng cuối là một người dùng nào đó được cấp quyền có thể capture lưu lượng dữ liệu đã được giải mã của người dùng khác, gửi lưu lượng mang dữ liệu độc hại (chẳng hạn như malware) đến họ bằng cách cải trang như các điểm truy cập mạng (AP) và thực hiện các tấn công từ chối dịch vụ.

Bảo vệ mạng của bạn trước lỗ hổng này


Trong khi đợi các hãng tiến hành vã lỗi cũng như bổ sung thêm bản vá lỗi cho các chuẩn về lỗ hổng bảo mật này, đây là một số thứ có thể thực hiện để hạn chế lỗ hổng trên mạng cá nhân của bạn:

• Cô lập sự truy cập đối với VLAN và các SSID ảo: Đặt các phòng hay các nhóm trên các mạng ảo khác nhau có thể cách ly được các tấn công. Các doanh nghiệp nhỏ hơn có thể sử dụng phần mềm thay thế DD-WRT để thiết lập các LAN ảo và nhận được sự hỗ trợ SSID.
• Cách ly máy khách: Một số hãng đã tích hợp tính năng này vào các AP và các bộ điều khiển của họ. Tính năng này có thể ngăn chặn sự truyền thông người dùng với người dùng; vì vậy nó có thể trợ giúp người dùng tránh được lỗ hổng này.
• Sử dụng các kết nối VPN: Nếu thực sự lo ngại, bạn có thể tạo đường hầm cho lưu lượng của mỗi người dùng qua máy chủ VPN. Như vậy nếu có ai đó nghe trộm thành công lưu lượng của người dùng khác, thì thủ phạm sẽ chỉ nghe thấy các dữ liệu không đúng cú pháp. Nếu bạn chưa có giải pháp VPN, hãy xem xét đến giải pháp OpenVPN.

Trong tương lai gần, bạn nên:

• Nâng cấp phần mềm AP: Các hãng có thể cung cấp các bản vá lỗi cho vấn đề này bằng một nâng cấp phần mềm đơn giản, vì vậy bạn cần liên tục theo dõi và nâng cấp các AP cũng như các thành phần mạng khác.
• Nâng cấp hệ thống IDS/IPS không dây: Các hệ thống phát hiện xâm nhập (IDS) không dây và hệ thống ngăn chặn xâm nhập (IPS) có khả năng phát hiện và cảnh báo cho bạn các kiểu tấn công này. Các giải pháp này hầu như đã cập nhật về lỗ hổng 196, vì vậy bạn cần bảo đảm nâng cấp nó. Nếu chưa có hệ thống IDS/IPS không dây, bạn nên cân nhắc đến nó ngay lập tức.

Bảo vệ bản thân bạn tránh lỗ hổng 196 này trên các mạng công cộng


Như được đề cập ở trên, lỗ hổng 196 cũng có thể ảnh hưởng tới các mạng công cộng hoặc các Wi-Fi hotspot sử dụng WPA/WPA2-Enterprise với nhận thực 802.1X. Vì bất cứ ai cũng có thể kết nối, do đó các điểm truy cập này sẽ là nơi chúng ta thấy các tấn công kiểu này nhất. Giống như trong một mạng riêng, hacker có thể capture lưu lượng Internet hay lưu lượng mạng được mã hóa của bạn và có thể giử đến bạn lưu lượng độc hại.
Mặc dù vậy, bảo vệ lưu lượng của bạn trong các mạng này không hề khó khăn. Tạo một đường hầm về VPN server và lưu lượng thực của bạn sẽ không bị capture. Nếu bạn không có máy chủ VPN server tại nhà hoặc nơi làm việc, hãy xem xét đến các dịch vụ hosting trả tiền hoặc miễn phí khác.

Một số mẹo cho các lỗ hổng nói chung


Cần nhớ rằng, đây chỉ là một trong số các lỗ hổng trong sử dụng các mạng không dây. Dưới đây là một số mẹo khác để bạn giữ an toàn cho mạng của mình:


- Khi sử dụng chế độ Personal (PSK), sử dụng mật khẩu phức tạp, dài – các mật khẩu ngắn hơn có thể dễ bị đoán bởi các tấn công từ điển.


- Khi sử dụng chế độ Enterprise với 802.1X, cấu hình đúng các thiết lập trong Windows, nếu không bạn sẽ dễ bị ảnh hưởng bởi các tấn công man-in-the-middle.

• Kiểm tra tùy chọn Validate server certificate và chọn Trusted Root Certificate Authority từ danh sách.
  
• Tích tùy chọn Connect to these servers và nhập vào tên miền hoặc địa chỉ IP của RADIUS server.
  
• Tích mục Do not prompt user to authorize new servers or trusted certificate authorities.

- Các mạng Wi-Fi được sử dụng bởi các tổ chức hoặc các doanh nghiệp cần sử dụng chế độ Enterprise, vì vậy sự truy cập có thể được kiểm soát tốt hơn. Mặc dù yêu cầu máy chủ RADIUS server nhưng vẫn có một số giải pháp cho các tổ chức nhỏ hơn.


- Không dựa vào việc vô hiệu hóa quảng bá SSID hoặc lọc địa chỉ MAC để được an toàn. ]]> A|EH - ATHENA ETHICAL HACKER-HACKER MŨ TRẮNG aeh http://forum.athena.edu.vn/eh-athena-ethical-hacker-hacker-mu-trang/1918-huong-dan-bao-mat-mang-truoc-lo-hong-196-a.html http://forum.athena.edu.vn/eh-athena-ethical-hacker-hacker-mu-trang/1917-lo-hong-bao-mat-196-a.html Wed, 08 Sep 2010 04:42:41 GMT * WPA2, được biết đến với tư cách giao thức bảo mật Wi-Fi vững chắc nhất, được sử dụng rộng rãi bởi các doanh nghiệp để việc bảo mật các mạng ... WPA2, được biết đến với tư cách giao thức bảo mật Wi-Fi vững chắc nhất, được sử dụng rộng rãi bởi các doanh nghiệp để việc bảo mật các mạng Wi-Fi của họ. Tuy nhiên gần đây các nhà nghiên cứu tại AirTight đã tuyên bố rằng có một lỗ hổng bảo mật mang tên “lỗ hổng 196” trong giao thức bảo mật WPA2 có thể phơi bày các mạng Wi-Fi được bảo mật theo chuẩn WPA2 trước những kẻ xâm nhập ác ý bên trong.

Lỗ hổng 196 là gì?

“Lỗ hổng 196” là một lỗ hổng trong giao thức bảo mật WPA2, lỗ hổng này làm phơi bày các mạng Wi-Fi được bảo mật WPA2 trước những kẻ tấn công bên trong.

Vấn đề cơ bản đối với lỗ hổng này là group temporal key (GTK), tạm được dịch là khóa dùng chung tạm thời, được chia sẻ giữa tất cả các máy khách được cấp quyền trong một mạng WPA2. AP sẽ phát lưu lượng dữ liệu định địa chỉ nhóm được mã hóa bằng GTK còn các máy khách sẽ sử dụng GTK để giải mã lưu lượng đó. Mặc dù vậy không gì có thể ngăn chặn một máy khách được cấp quyền trong việc tiêm nhiễm các gói được mã hóa GTK giả mạo! Bằng cách khai thác lỗ hổng này, kẻ tấn công bên trong (người dùng được cấp quyền) có thể đánh hơi và giải mã dữ liệu của các người dùng khác cũng như có thể quét lỗ hổng trên các thiết bị Wi-Fi của họ, cài đặt malware hay thỏa hiệp các thiết bị đó.

Nói một cách ngắn gọn, lỗ hổng này làm mất đi sự riêng tư đối với dữ liệu liên người dùng giữa những người dùng được cấp quyền trong mạng không dây sử dụng bảo mật WPA2.

Dưới đây là một số câu hỏi và trả lời giúp các bạn có thể hiểu sâu hơn về lỗ hổng bảo mật này:

Lỗ hổng này chỉ có thể bị khai thác bởi người dùng bên trong hay người dùng bên ngoài cũng có thể hack một mạng WPA2 bằng cách lợi dụng lỗ hổng 196?

Để khai thác lỗ hổng 196, người dùng ác ý cần biết khóa chia sẻ chung GTK được chia sẻ bởi các người dùng được cấp quyền trong mạng không dây đó. Vì vậy chỉ có người dùng bên trong của mạng WPA2 với quyền truy cập GTK này mới có thể khai thác lỗ hổng.

Nếu lỗ hổng 196 chỉ có thể bị khai thác bởi người dùng bên trong, vậy chúng ta có phải lo lắng về điều nó?
Các báo cáo đã thể hiện thống nhất rằng các tấn công bên trong là mối đe dọa điển hình nhất và tai hại nhất đối với dữ liệu doanh nghiệp và bảo mật mạng.

Nếu tổ chức của bạn nhạy cảm với các mối đe dọa đến từ bên trong và bạn đang thực hiện một số biện pháp để hạn chế các tấn công này trong mạng chạy dây thì lỗ hổng 196 là một lỗ hổng nguy hiểm đối vì nó có thể làm rò rỉ các dữ liệu nhạy cảm (chẳng hạn như tài sản trí tuệ, các bí mật thương mại, thông tin tài chính), hoạt động gián điệp, truy cập không được cấp quyền đối với tài nguyên CNTT, trộm nhận dạng,…

Lỗ hổng 196 cho phép hay có liên lụy đến việc crack khóa mã hóa WPA2?

Không! Việc khai thác lỗ hổng 196 không liên quan đến việc crack khóa mã hóa. Nó không phải một tấn công mã hóa AES hay nhận thực 802.1x (hoặc PSK).

Người dùng ác ý có tăng truy cập vào các khóa riêng, tức khóa PTK của người dùng được cấp quyền khác trong mạng WPA2 hay không?

Câu trả lời là không. Người dùng ác ý bên trong không thể tăng truy cập vào các khóa riêng PTK của những người dùng Wi-Fi được cấp quyền khác trong mạng WPA2.

Vậy theo cách nào đó người bên trong có thể khai thác lỗ hổng 196 này?

Việc tìm kiếm cho thấy rằng một kẻ ác tâm bên trong có thể khai thác lỗ hổng 196 này theo ba cách:

1. Cho tấn công ARP poisoning và man-in-the-middle;
2. Tiêm mã độc vào các thiết bị Wi-Fi được cấp quyền khác;
3. Khởi chạy tấn công DoS mà không cần sử dụng các frame hủy kết nối.

Trong một mạng WPA2, kẻ ác tâm có thể quảng bá các gói dữ liệu giả mạo được mã hóa bằng khóa chia sẻ chung GTK trực tiếp đến các máy khách Wi-Fi được cấp quyền khá trong mạng. Một ví dụ để chứng tỏ khai thác này có thể được khởi chạy bằng cách sử dụng GTK là tấn công ARP poisoning (man-in-the-middle).

Trong khai thác ARP poisoning, kẻ tấn công bên trong có thể tích hợp một thông báo ARP Request vào bên trong gói mã hóa GTK. ARP Request có địa chỉ IP của gateway thực, nhưng thực sự là địa chỉ MAC của máy tính của kẻ tấn công. Tất cả máy khách nhận được thông báo này sẽ cập nhật bảng ARP của chúng – bản đồ hóa địa chỉ MAC của kẻ tấn công với địa chỉ IP của gateway.

Tất cả các máy khách Wi-Fi bị đầu độc sẽ gửi tất cả lưu lượng của chúng, lưu lượng được mã hóa bằng khóa riêng tương ứng (PTK) của chúng, nhưng với địa chỉ MAC của kẻ tấn công là đích đến. AP sẽ giải mã lưu lượng và chuyển tiếp nó đến kẻ tấn công, lúc này kẻ tấn công có thể giải mã nó bằng cách sử dụng PTK của mình. Do tất cả lưu lượng sẽ tập trung đến kẻ tấn công (từ AP) được mã hóa với PTK của kẻ tấn công, nên kẻ tấn công có thể giải mã lưu lượng này (gồm có các thông tin đăng nhập, email và dữ liệu nhạy cảm khác).

Kẻ tấn công sau đó có thể chuyển tiếp lưu lượng đến một gateway thực của mạng để các máy khách Wi-Fi nạn nhân không phát hiện thấy hành vi bất thường nào và tiếp tục quá trình truyền thông của chúng.

ARP spoofing (và man-in-the middle) trước đây đã có trong mạng Ethernet hoặc thậm chí trong một mạng
WPA2 thông qua AP. Vậy điểm mới ở đây là gì?

ARP Spoofing (và man-in-the-middle) là kiểu tấn công trong cả hai mạng Wi-Fi và mạng chạy dây. Mặc dù vậy, trong cách khởi chạy tấn công cũ này, AP chuyển tiếp các thông báo ARP bị giả mạo trên mạng không dây cũng như mạng chạy dây. Các thông báo trên mạng chạy dây ở trạng thái sáng sủa (không bị mã hóa). Bảo mật mạng chạy dây đã tiến hóa qua nhiều năm về điểm này bằng các IDS/IPS và thậm chí một số switch mạng có thể bắt và khóa tấn công này trên mạng chạy dây.

Một điểm nhỏ (mà nhiều người có thể chưa biết) về việc khai thác GTK trong WPA2 để khởi chạy tấn công ARP Spoofing là dấu vết của tấn công chỉ trong không khí và tải trọng được mã hóa. Vì vậy giải pháp bảo mật cho mạng chạy dây sẽ không thể áp dụng cho mạng WPA2, không tồn tại các AP có thể thấy hành vi bất thường nào.

Lưu ý rằng việc giả mạo ARP chỉ là một ví dụ về khai thác lỗ hổng này. Có thể sẽ còn có nhiều tấn công phức tạp khác.

Lỗ hổng này có thể bị khai thác trong thực tiễn?

Không giống như lỗ hổng WPA-TKIP phần lớn chỉ mang tính lý thuyết, lỗ hổng 196 này có thể bị khai thác trong thực tế bằng cách sử dụng phần mềm mã nguồn mở chẳng hạn như madwifi driver và wpa supplicant, và bổ sung thêm 10 dòng mã. Tấn công man-in-the-middle bằng cách sử dụng ARP spoofing. Các tấn công khác chẳng hạn như quét cổng, khai thác các lỗ hổng trong các ứng dụng và hệ điều hành, tiêm mã độc, thay đổi DNS, từ chối dịch vụ,… đều có thể thực hiện bằng cách lạm dụng GTK.

Tất cả thực thi bổ sung WPA và WPA2 đều bị hổng đối với tấn công này?

Quả thực như vậy! Lỗ hổng 196 là một lỗ hổng mang tính nền tảng trong thiết kế giao thức. Tất cả các mạng không dây sử dụng WPA hoặc WPA2, không cần quan tâm đến sự nhận thực và mã hóa mà chúng sử dụng đều có lỗ hổng.

Kiến trúc WLAN đang sử dụng các AP độc lập và sử dụng các bộ điều khiển WLAN có chịu tác động của lỗ hổng này?

Lỗ hổng này là cơ bản đối với thiết kế giao thức WPA/WPA2. Vì vậy miễn là kiến trúc WLAN (AP độc lập hoặc dựa trên bộ điều khiển) tuân theo chuẩn đều chịu lỗ hổng 196 này.

Liệu sẽ có một bản vá trong chuẩn giao thức 802.11 để chúng ta có thể thực thi qua nâng cấp phần mềm để bảo vệ bản thân trước lỗ hổng này?

Không giống như trường hợp các lỗ hổng trước đây trong các giao thức nhận thực và mã hóa Wi-Fi, không có bản vá nào trong chuẩn 802.11 để có thể được sử dụng để vá lỗ hổng này.

Chúng ta có thể sử dụng tính năng cách ly máy khách (hoặc PSPF) trên cơ sở hạ tầng WLAN để bảo vệ mình trước lỗ hổng 196?

Sự cách ly máy khách không nằm trong chuẩn 802.11, tuy nhiên tính năng này có sẵn trên một số AP và bộ điều khiển WLAN. Việc thực thi tính năng này phụ thuộc vào các hãng khác nhau.
Sử dụng năng cách ly máy khách (hay PSPF) trên AP hoặc WLAN controller có thể ngăn chặn hai máy khách Wi-Fi được liên kết với một AP truyền thông với nhau thông qua AP. Điều này có nghĩa rằng kẻ tấn công bên trong có thể liên tục gửi gói dữ liệu mã hóa GTK giả mạo trực tiếp đến các máy khách khác trong mạng, nhưng lưu lượng dữ liệu từ các máy khách nạn nhân sẽ không được chuyển tiếp bởi AP đến thiết bị không dây của kẻ tấn công.

Mặc dù vậy kẻ tấn công vẫn có thể vòng tránh tính năng cách ly máy khách này bằng cách thiết lập một gateway giả mạo trên mạng chạy dậy, giả mạo ARP cache trên các thiết bị không dây được cấp phép bằng GTK và chuyển hướng tất cả dữ liệu đến gateway giả mạo thay vì hướng chúng đến thiết bị không dây của người ấy. Thêm vào đó, các tấn công khác chẳng hạn như tiêm nhiễm mã độc, quét cổng, từ chối dịch vụ,… vẫn có thể xảy ra bằng cách sử dụng bước đầu tiên (gửi các gói dữ liệu mã hóa GTK).

Có gì chúng ta có thể cài đặt trên laptop để bảo vệ chống lại lỗ hổng này?

Phần mềm (chẳng hạn như Snort hoặc DecaffeintID) có thể được cài đặt trên một số laptop Windows và Linux để phát hiện sự giả mạo ARP, tuy nhiên vấn đề này tỏ ra không thực tế đối với việc cài đặt một cách thủ công trên số lượng lớn máy tính. Thêm vào đó, phần mềm không được hỗ trợ trên hầu hết các thiết bị như (iPhone, iPad, Blackberry, Windows Mobile, Windows 7,...) nên sẽ vẫn bị rủi ro với lỗ hổng 196. Các phần mềm này cũng không thể ngăn chặn kẻ ác tâm khởi chạy các tấn công dựa vào lỗ hổng 196 này như tiêm nhiễm malware, quét cổng, từ chối dịch vụ,…

Giải pháp giống như bộ phát hiện IDS/IPS hoặc ARP Poisoning trong LAN switch có thể phát hiện ra tấn công
này?

Dấu vết của các tấn công dựa trên lỗ hổng 196 này bị hạn chế trong không khí, điều đó làm chúng trở thành các tấn công khó phát hiện nhất được biết đến. Kết quả là không giải pháp bảo mật chạy dây nào (IDS/IPS, firewall, hoặc bộ phát hiện ARP Poisoning) có thể phát hiện các tấn công này.

Hệ thống phát hiện xâm nhập không dây (WIPS) có thể phát hiện tấn công này?

Hệ thống ngăn chặn xâm nhập không dây (WIPS) có thể phát hiện các tấn công khai thác lỗ hổng 196 này và cung cấp thêm lớp bảo mật để bảo vệ các mạng doanh nghiệp trong việc chống lại các mối đe dọa không dây như các AP giả mạo, các ứng xử xấu của các máy khách không dây, lỗi cấu hình của kiến trúc WLAN, các lỗ hổng trong các giao thức bảo mật Wi-Fi.

Các hãng WLAN AP có thể tạo bản vá để vá lỗ hổng trong khi vẫn duy trì được khả năng phối hợp?

Các hãng WLAN AP có thể chống lỗ hổng 196 bằng cách ngăn chặn sử dụng khóa chia sẻ chung (GTK). Trong hầu hết các kiến trúc WLAN có bộ điều khiển ngày nay, chúng ta đều có thể tắt lưu lượng quảng bá từ các AP trên không khí và thay vào đó là sử dụng bộ điều khiển WLAN controller làm ARP proxy. Nói theo cách khác, trong cấu hình này, GTK không được sử dụng.

Tuy nhiên theo chuẩn giao thức WPA2 hiện hành, một GTK cần phải được gán bởi AP cho mỗi máy khách trong suốt quá trình bắt tay. Hãng AP có thể thực thi bản vá cho phần mềm AP của họ để gán một GTK được tạo ngẫu nhiên, duy nhất cho mỗi máy khách thay vì chia sẻ cùng một GTK giữa tất cả các máy khách với nhau. Sử dụng các GTK duy nhất sẽ trung tính được lỗ hổng 196 và cho phép khả năng cộng tác (tương thích ngược) với tất cả các thiết bị khách không dây chuẩn.

Trong khi ARP proxy vắng mặt, một AP có thể gửi lưu lượng quảng bá unicast qua không khí đến các máy khách cá nhân, quá trình này sẽ giáng chức thông lượng dữ liệu WLAN phụ thuộc vào số lượng lưu lượng quảng bá.

Phương pháp phản đối sử dụng một GTK chia sẻ chung này có thể được chấp thuận trong chuẩn IEEE 802.11 và chỉ PTK có thể được sử dụng. ]]> A|EH - ATHENA ETHICAL HACKER-HACKER MŨ TRẮNG aeh http://forum.athena.edu.vn/eh-athena-ethical-hacker-hacker-mu-trang/1917-lo-hong-bao-mat-196-a.html http://forum.athena.edu.vn/eh-athena-ethical-hacker-hacker-mu-trang/1842-bao-mat-trong-giao-dich-chung-khoan-chua-duoc-chu-trong.html Mon, 30 Aug 2010 10:02:42 GMT Các công ty chứng khoán chưa chú trọng tới việc bảo mật, làm cho các cơ quan quản lý và các nhà đầu tư vẫn không khỏi lo lắng trước các sự cố. ... Các công ty chứng khoán chưa chú trọng tới việc bảo mật, làm cho các cơ quan quản lý và các nhà đầu tư vẫn không khỏi lo lắng trước các sự cố.
>> An ninh mạng 2010: Xu hướng tấn công kiểu cũ trở lại
Đầu tháng 4/2010, thông tin về việc bản báo cáo kết quả kinh doanh của một số công ty chứng khoán (CTCK) trong nước bị rò rỉ, đã khiến không ít nhà đầu tư (NĐT) và các doanh nghiệp trong nước hoang mang.
Nhiều chuyên gia trong lĩnh vực bảo mật lên tiếng cảnh báo các giao dịch tại thị trường chứng khoán đang nằm trong tầm ngắm hấp dẫn đối với hacker. Tuy nhiên cho đến thời điểm này các CTCK có vẻ như vẫn chưa chú trọng việc bảo mật, làm cho các cơ quan quản lý và các nhà đầu tư không khỏi lo lắng trước các sự cố trong giao dịch và quản lý chứng khoán.Gần đây có hiện tượng các lệnh nhập từ Sở Giao dịch Chứng khoán Hà Nội bị nghẽn và rất chậm, đã ảnh hưởng tới các giao dịch. Cụ thể, cuối tháng 5/2010 theo nguồn tin từ một CTCK, trong khoảng thời gian từ 8h30 đến 9h, các lệnh nhập từ Sở Giao dịch Chứng khoán Hà Nội - (HNX) thông qua đường truyền trực tuyến bị nghẽn và rất chậm, khiến các công ty phải ngừng nhận lệnh giao dịch đối với các cổ phiếu trên sàn HNX.
Được biết khi các CTCK kết nối được với Sở Giao dịch Chứng khoán Hà Nội hoặc với Sở Giao dịch Chứng khoán TP.HCM, đều phải đáp ứng được yêu cầu không chỉ về phần cứng mà còn cả về đảm bảo an toàn thông tin. Vì vậy, trên lý thuyết, việc rò rỉ thông tin từ các công ty là rất khó xảy ra. Theo các chuyên gia về an ninh bảo mật, những sự cố trên đều do virus và chính sách an ninh đối với nhân sự của các công ty chưa được chặt chẽ.
Theo ông Bùi Việt Hùng, Giám đốc phụ trách CNTT của CTCK Sao Việt thì, ngay cả các ngân hàng lớn trên thế giới như South Bank hay Standar Bank cũng đã từng bị rò rỉ thông tin bảo mật, hệ quả từ việc một số công ty không cập nhật kịp thời những hệ thống tiện ích công nghệ của mình khiến cho virus xâm nhập vào hệ thống và lấy cắp thông tin tài khoản người dùng.
Thực tế trên thị trường chứng khoán thế giới, trước đây Ủy ban Chứng khoán Mỹ SEC đã từng phải phong tỏa một loạt tài khoản với tổng giá trị lên đến 732.941 USD, được nghi ngờ là bắt nguồn từ những giao dịch phạm pháp của các hacker nước ngoài. Khi đó, hacker đã tấn công vào cơ sở dữ liệu của 7 công ty môi giới chứng khoán online, ăn cắp tên và mật khẩu một số tài khoản chứng khoán.
Mới đây, kết quả rà soát an ninh thông tin cho trên 20 công ty hoạt động trong lĩnh vực chứng khoán của công ty an toàn thông tin VSEC cũng cho thấy hệ thống giao dịch trực tuyến của 15 CTCK hàng đầu tại Việt Nam có nguy cơ bị hacker kiểm soát. Các lệnh đặt mua và bán của nhà đầu tư vẫn có thể bị hacker sửa đổi về giá và khối lượng.
Cách đây 3 năm trung tâm an ninh mạng Bkis cũng đã đưa ra cảnh báo có tới trên 40% website của các CTCK có lỗ hổng về bảo mật, nhưng cho đến nay dịch vụ tư vấn về an ninh mạng trong giao dịch điện tử của Bkis cũng chỉ thu hút được 10 trong số trên 100 CTCK đang hoạt động tham gia. Ông Nguyễn Minh Đức, Giám đốc trung tâm an ninh mạng Bkis cho biết: Hệ thống giao dịch trực tuyến có thể gặp hai tình huống bị hacker tấn công. Thứ nhất, lợi dụng quá trình giao dịch trực tuyến của các NĐT để hacker tấn công vào hệ thống của các CTCK, làm tê liệt hệ thống và phát tán mã độc gây rối loạn trong hoạt động. Thứ hai là có sự góp tay của các nhân viên, do chính sách an ninh đối với nhân sự của các công ty chưa được chặt chẽ, từ khâu thiết kế, triển khai rồi đến vận hành giao dịch, bảo hành bảo trì…, đều có nhân viên tham gia, rất có thể có thể xảy ra trong khi thực hiện.
Ông Đức cũng cho biết, hiện nay các CTCK chưa quan tâm đúng mức về an ninh mạng. Về phía các nhà cung cấp dịch vụ, khi triển khai giải pháp tuy có cài đặt tường lửa và các phần mềm bảo mật, nhưng trong quá trình hoạt động, các công ty bổ sung thêm tính năng, hay nâng cấp hệ thống cũng có thể phát sinh lỗ hổng, nhưng sự đầu tư cũng như mức độ quan tâm chưa đúng với vai trò an ninh mạng.
Theo các chuyên gia về an ninh mạng, chính vì chưa quan tâm đúng mức vấn đề bảo mật nên các CTCK và các NĐT có thể gặp nhiều bất trắc trong giao dịch như: Nghẽn giao dịch, mất dữ liệu khi giao dịch đã thực hiện, nguy cơ bị từ chối dịch vụ, lấy cắp hay sửa đổi dữ liệu, phá huỷ hệ thống cơ sở dữ liệu, bị đánh cắp mật khẩu giao dịch hay bị đánh cắp tiền trong tài khoản…
Các chuyên gia khuyên, để ngăn chặn sự xâm nhập của hacker, các công ty cần sử dụng mật khẩu, các cơ chế bảo mật bằng chữ ký số và cần phải tuân theo quy trình chuẩn về an ninh mạng, trang bị tốt các thiết bị bảo mật, cần có chính sách đào tạo an toàn thông tin thường xuyên cho nhân viên nhằm nâng cao trình độ, để phát hiện sớm các cuộc tấn công có thể xảy ra. Ngoài ra cần có sự tư vấn với các đơn vị chuyên về an ninh mạng để khi phát hiện lỗ hổng thì vá kịp thời và kiểm tra độ an toàn thường xuyên cho hệ thống khi giao dịch. ]]> A|EH - ATHENA ETHICAL HACKER-HACKER MŨ TRẮNG security+ http://forum.athena.edu.vn/eh-athena-ethical-hacker-hacker-mu-trang/1842-bao-mat-trong-giao-dich-chung-khoan-chua-duoc-chu-trong.html http://forum.athena.edu.vn/eh-athena-ethical-hacker-hacker-mu-trang/1765-cap-cuu-cho-website-cua-minh.html Thu, 19 Aug 2010 03:59:41 GMT Chào mọi người ! Mình có website bị hack mất tiêu rồi! Bạn nào có thể cho mình biết cách khắc phục đi càng sớm càng tốt đó ! ... Chào mọi người !

Mình có website bị hack mất tiêu rồi!
Bạn nào có thể cho mình biết cách khắc phục đi
càng sớm càng tốt đó !

____________________________
Giao duc|Cong nghe thong tin|Khoa hoc|Tin Cong nghe ]]> A|EH - ATHENA ETHICAL HACKER-HACKER MŨ TRẮNG chieuhado http://forum.athena.edu.vn/eh-athena-ethical-hacker-hacker-mu-trang/1765-cap-cuu-cho-website-cua-minh.html