Yet
More Security Reasons to Give Microsoft a Miss
Published 10:44, 24 July
13
Bài được đưa lên
Internet ngày: 24/07/2013
Lời
người dịch: Nếu bạn coi an ninh là điều hệ trọng đối
với hệ thống thông tin và bản thân thông tin của bạn,
thì ngoài những gì bạn chứng kiến về PRISM ra, bạn nên
xem xét lại các sản phẩm và công nghệ của Microsoft.
“Như tôi đã
lưu ý gần đây, rằng sự vô trách
nhiệm sớm có thể có các hệ quả tài chính và pháp lý
chủ chốt nếu kết quả là những mất mát nảy sinh.
Biết được kinh nghiệm ở Hàn
Quốc, nơi mà những điểm yếu trong Internet Explorer và
công nghệ ActiveX của Microsoft đã gây ra một cách lặp
đi lặp lại các vấn đề khổng lồ về an ninh,
điều đó dường như chỉ là vấn đề của thời gian”.
Xem thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Theo các kết quả tài
chính kinh
khủng của Microsoft, dường như không xứng đáng với
một nhà thể thao để lôi cuốn sự chú ý tới nhiều
vấn đề hơn của hãng. Nhưng chiếc thòng lọng tiếp tục
treo lơ lửng trên các công ty và các chính phủ khắp thế
giới có nghĩa là những biện pháp như vậy sẽ được
chứng minh, không ít hơn vì mọi người đang gánh chịu
kết quả - hàng triệu người trong số họ.
Đó không chỉ là
phép ngoa dụ của tôi, mà là một tuyên bố đơn giản
của thực tế, như câu chuyện khác thường này về Hàn
Quốc thể hiện:
Sự
dựa dẫm của Hàn Quốc vào trình duyệt Internet Explorer
của Microsoft và phần mềm ActiveX đang bị đổ lỗi vì
cho phép một mùa nước lên các vụ đột nhập đã làm
tổn thương hơn 100 triệu hồ sơ của người sử dụng
từ đất nước này trong hơn 5 năm qua.
Nhà
vận hành KT đã chịu một lỗ thủng đã gây nguy hiểm
cho các hồ sơ của gần 9 triệu khách hàng vào năm ngoái,
trong khi hãng trò chơi trực tuyến Nexon đã có hơn 13
triệu hồ sơ của người sử dụng đã bị tổn thương
vào năm 2011. Lỗ hổng lớn nhất trong thời gian gần đây
tới từ SK, hãng đứng đằng sau Cyworld - tiền bối của
Facebook, được ước tính đã có 35 triệu hồ sơ bị bắt
quả tang vào năm 2011.
Các chuyên gia đang
chỉ ngón tay tới sự dựa dẫm vào phần mềm do Microsoft
làm vì các cuộc tấn công đó và các cuộc tấn công
khác trong những năm gần đây.
Vâng, đó cũng là
công nghệ ActiveX
y hệt mà đã được giới thiệu 17 năm về trước, và
từng hầu như ngay lập tức được thừa nhận như một
rủi ro an ninh khổng lồ từ các chuyên gia khi đó. Bất
chấp điều đó, Hàn Quốc không chỉ đã đi tiếp để
áp dụng nó cho các giao dịch của chính phủ và thương
mại, mà nó đã làm thành thứ bắt
buộc, ép từng người ở quốc gia đó phải sử dụng
Internet Explorer.
Các kết quả của
văn hóa độc canh do chính phủ bắt buộc bây giờ rõ
ràng cho mọi người để thấy, và Hàn
Quốc cuối cùng đang dịch chuyển tới một tiếp cận
đàn hồi hơn, nhưng theo con đường mà lòng tin mù quáng
vào các sản phẩm của Microsoft đã gây ra thiệt hại
không thể nói hết được cho số lượng người vô cùng
lớn.
Các vấn đề của
ActiveX từng được biết rộng rãi. Nhưng câu chuyện khác
có liên quan tới Microsoft và an ninh vừa chỉ mới xuất
hiện trên màn hình rada, thậm chí dù các vấn đề nằm
bên dưới từng được hiểu tốt từ 2 thập niên trước.
Những tiết lộ gần
đây về việc gián điệp ồ ạt của Cơ quan An ninh Quốc
gia - NSA (và GCHQ), và kho lưu trữ thường xuyên các giao
tiếp truyền thông trực tuyến của chúng ta, đã nhấn
mạnh tới tầm quan trọng của các kết nối được mã
hóa trên Internet bằng việc sử dụng SSL. Hóa ra là có
một công nghệ sẵn sàng rồi, được gọi là Bí mật
Trước Tuyệt vời – PFS (Perfect
Forward Secrecy), có thế làm cho nó khố hơn nhiều để
gián điệp trong những kết nối như vậy:
Khi PFS được sử
dụng, sự tổn thương của khóa cá nhân site SSL không
nhất thiets làm tiết lộ các bí mật của giao tiếp
truyền thông riêng tư trong quá khứ; các kết nối tới
các site SSL sử dụng PFS có một khóa theo từng phiên mà
không bị tiết lộ nếu khóa riêng dài hạn bị tổn
thương. An ninh của PFS phụ thuộc vào cả các bên loại
bỏ bí mật được chia sẻ sau khi giao dịch được hoàn
tất (hoặc sau một giai đoạn hợp lý để cho phép phục
hồi lại phiên làm việc).
Những kẻ nghe trộm
mong muốn giải mã được giao tiếp truyền thông trong quá
khứ mà đã sử dụng PFS đối mặt với một nhiệm vụ
khó khăn: từng phiên trước đó cần phải bị tấn công
một cách độc lập. Thậm chí việc biết khóa riêng dài
hạn không giúp được khi khóa phiên không sẵn sàng đối
với sự giải mã đơn giản. Ngược lại, khi các kết
nối SSL không sử dụng PFS, thì khóa bí mật được sử
dụng để mã hóa phần còn lại của phiên đó được
site SSL sinh ra và gửi đi cặp khóa riêng-công khai dài hạn
được mã hóa. Nếu khóa riêng dài hạn này bị tổn
thương thì tất cả các phiên được mã hóa trước đó
sẽ dễ dàng bị giải mã.
Đó
là tin tốt lành. Nhưng câu hỏi sau đó là: các trình
duyệt nào hỗ trợ PFS, và tốt thế nào? Bài viết trên
Netcraft đã trích ở trên đưa ra cho chúng ta một số dữ
liệu thú vị về điều này:
Netcraft đã kiểm
thử bộ mật mã khi chọn ra 5 trình duyệt chính Internet
Explorer, Google Chrome, Firefox, Safari và Opera — đối với
2.4 triệu site SSL từ Khảo sát SSL hồi tháng 6 của
Netcraft. Sự hỗ trợ cho PFS khác nhau đáng kể giữa các
trình duyệt: chỉ một phần nhỏ bé các kết nối SSL của
Internet Explorer đã vận hành được với PFS; trong khi
Google Chrome, Opera và Firefox từng được bảo vệ với gần
1/3 các kết nối. Safari chỉ tốt hơn một chút so với
Internet Explorer.
Trong
thực tế, Internet Explorer đã không ứng dụng PFS 99.71%
thời gian, so với Firefox là 66.38% và Chrome 66.39% - một sự
khác biệt đáng ngạc nhiên. Tất nhiên, đó chỉ là một
phía của phương trình: vấn đề thú vị khác là cách mà
các máy chủ Web khác nhau làm, và Netcraft đã đưa ra cùng
một ma trận gây ngạc nhiên, chỉ ra sự tương tác giữa
các máy chủ và máy trạm khác nhau. Đây là những gì
được phát hiện ra:
nginx,
một máy chủ web nguồn mở, ban đầu do một người Nga
có tên là Igor Sysoev viết, sử dụng các bộ mật mã mạnh
một cách mặc định, đã gây ra một số bình luận về
hiệu năng SSL của ngĩn. Với ngoại lệ của Internet
Explorer và Safari, hơn 70% các site SSL có sử dụng máy chủ
web đã chọn một bộ mật mã PFS khi được viếng thăm
với một trình duyệt hiện đại.
Sử dụng PFS trong số
các site SSL có sử dụng Apache cũng khá, khoảng 2/3 các
site SSL nó phục vụ sử dụng một bộ mật mã PFS khi
được viếng thăm trong Firefox, Chrome hoặc Opera. Ngược
lại, sự hỗ trợ của Microsoft cho các bộ mật mã PFS là
yếu đáng kể; cả IIS và Internet
Explorer của Microsoft chỉ hiếm khi sử dụng các bộ mật
mã PFS - khi được sử dụng cùng nhau thì chỉ 111 (0.01%)
các kết nối SSL giữa IIS và IE đã sử dụng PFS.
Thế
là, các giải pháp nguồn mở không chỉ sáng chói ở phía
máy trạm, mà cũng là tốt hơn một cách không thể so
sánh được ở phía máy chủ.
Cho tới vài tuần
trước, sự hỗ trợ PFS có lẽ từng là một tính năng
mù mờ ít được quan tâm đối với hầu hết các công
ty. Nhưng việc đưa ra bản chất tự nhiên toàn cầu và
liên tục của việc gián điệp của NSA thì nó trở thành
một thứ phải có cho các tổ chức mong muốn làm cho các
giao tiếp truyền thông trực tuyến của họ càng an ninh
có thể càng tốt. Vì thế một lần nữa sự kết luận
sẽ là bất kỳ ai đang sử dụng các sản phẩm của
Microsoft cho các kết nối Web an ninh là đang thiếu trách
nhiệm, vì tự bản thân chúng bộc lộ ra và các khách
hàng của chúng có rủi ro cao hơn rất nhiều sẽ bị gián
điệp dựa vào một số điểm.
Như
tôi đã
lưu ý gần đây, rằng sự vô trách
nhiệm sớm có thể có các hệ quả tài chính và pháp lý
chủ chốt nếu kết quả là những mất mát nảy sinh.
Biết được kinh nghiệm ở Hàn Quốc, nơi mà những điểm
yếu trong Internet Explorer và công nghệ ActiveX của
Microsoft đã gây ra một cách lặp đi lặp lại các vấn
đề khổng lồ về an ninh, điều đó dường như chỉ là
vấn đề của thời gian.
In
the wake of Microsoft's dire
financial results, it might seem a little unsporting to draw
attention to more of the company's problems. But its continuing
stranglehold on companies and governments around the world means that
such measures are justified, not least because people are suffering
as result - millions of them.
That's
not just my hyperbole, but a simple statement of the facts, as this
extraordinary story about South
Korea demonstrates:
Korea’s
reliance on Microsoft’s Internet Explorer browser and ActiveX
software is being blamed for enabling a spate of hacks that have
compromised more than 100 million user records from the country over
the past five years.
Operator
KT suffered a breach that endangered the records of nearly 9 million
customers last year, while online games firm Nexon had more than 13
million user records compromised in 2011. The largest breach in
recent times came from SK, the firm behind Facebook-forerunner
Cyworld, which is estimated to have had 35 million records nabbed in
2011.
Experts
are pointing the finger at the reliance on the Microsoft-made
software for these attacks and others in recent years.
Yes,
that's the same ActiveX
technology that was introduced 17 years ago, and was almost
immediately recognised as a huge security risk by experts at the
time. Despite that, South Korea not only went on to adopt it for
government and commercial transactions, it made it obligatory,
forcing everyone in that country to use Internet Explorer.
The
results of the government-mandated monoculture are now plain for
everyone to see, and South Korea is finally moving to a more
resilient approach, but along the way that blind trust in Microsoft
products has caused untold damage to large numbers of people.
ActiveX's
problems were widely known. But the other story concerning Microsoft
and security has only just appeared on the tech radar, even though
the underlying issues were well understood two decades ago.
Recent
revelations about massive spying by NSA (and GCHQ), and the routine
storage of our online communications, have highlighted the importance
of encrypted connections across the Internet using SSL. It turns out
that there is a technology readily available, called Perfect
Forward Secrecy (PFS), that can make it much harder to spy on
such connections:
When
PFS is used, the compromise of an SSL site's private key does not
necessarily reveal the secrets of past private communication;
connections to SSL sites which use PFS have a per-session key which
is not revealed if the long-term private key is compromised. The
security of PFS depends on both parties discarding the shared secret
after the transaction is complete (or after a reasonable period to
allow for session resumption).
Eavesdroppers
wishing to decrypt past communication which has used PFS face a
daunting task: each previous session needs to be attacked
independently. Even knowing the long-term private key does not help
as the session key is not available by simple decryption. Conversely,
when SSL connections do not use PFS, the secret key used to encrypt
the rest of the session is generated by the SSL site and sent
encrypted with the long-term private-public key pair. If this
long-term private key is ever compromised all previous encrypted
sessions are easily decrypted.
That's
the good news. But the question then becomes: which browsers support
PFS, and how well? The Netcraft post quoted above provides us with
some fascinating data in this regard:
Netcraft
has tested the cipher suite selection of five major browsers —
Internet Explorer, Google Chrome, Firefox, Safari and Opera —
against 2.4 Million SSL sites from Netcraft's June SSL Survey. The
support for PFS varied significantly between browsers: only a tiny
fraction of Internet Explorer's SSL connections operated with PFS;
whereas Google Chrome, Opera and Firefox were protected for
approximately one third of connections. Safari fared only a little
better than Internet Explorer.
In
fact, Internet Explorer failed to utilise PFS 99.71% of the time,
compared with Firefox's 66.38% and Chrome's 66.39% - a pretty
astonishing gulf. Of course, that's only one side of the equation:
another interesting issue is how well the different Web servers do,
and Netcraft has put together a fascinating matrix that shows the
interaction between different clients and servers. Here's what it
found:
nginx,
an open-source web server originally written by Russian Igor Sysoev,
uses strong cipher suites by default, which has caused some to
comment on nginx's SSL performance. With the exception of Internet
Explorer and Safari, more than 70% of SSL sites using the web server
selected a PFS cipher suite when visited with a modern browser.
The
usage of PFS amongst SSL sites using Apache is also fair, around
two-thirds of the SSL sites it serves use a PFS cipher suite when
visited in Firefox, Chrome, or Opera. Conversely, Microsoft's support
for PFS cipher suites is notably lacking; both Microsoft IIS and
Internet Explorer only rarely use PFS cipher suites — when used
together only 111 (0.01%) of SSL connections between IIS and IE used
PFS.
That
is, open source solutions not only shine on the client side, but are
incomparably better server-side, too.
Until
a few weeks ago, PFS support would have been an obscure feature of
little interest to most companies. But given the global and
continuous nature of NSA spying it becomes a must-have for
organisations that wish to make their online communications as secure
as possible. So once again the conclusion has to be that anyone using
Microsoft's products for secure Web connections is being
irresponsible, since they expose themselves and their customers to a
far higher risk of being spied upon at some point.
As
I mentioned
recently, that irresponsibility could soon have major financial and
legal consequences if losses are caused as a result. Given the
experience in South Korea, where weaknesses in Microsoft's Internet
Explorer and ActiveX technology have repeatedly caused massive
security issues, that seems to be only a matter of time.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.