Vâng nhiều lý do an ninh hơn để quên đi Microsoft

Yet More Security Reasons to Give Microsoft a Miss

Published 10:44, 24 July 13

Theo: http://blogs.computerworlduk.com/open-enterprise/2013/07/yet-more-security-reasons-to-give-microsoft-a-miss/index.htm

Bài được đưa lên Internet ngày: 24/07/2013

Lời người dịch: Nếu bạn coi an ninh là điều hệ trọng đối với hệ thống thông tin và bản thân thông tin của bạn, thì ngoài những gì bạn chứng kiến về PRISM ra, bạn nên xem xét lại các sản phẩm và công nghệ của Microsoft. “Như tôi đã lưu ý gần đây, rằng sự vô trách nhiệm sớm có thể có các hệ quả tài chính và pháp lý chủ chốt nếu kết quả là những mất mát nảy sinh. Biết được kinh nghiệm ở Hàn Quốc, nơi mà những điểm yếu trong Internet Explorer và công nghệ ActiveX của Microsoft đã gây ra một cách lặp đi lặp lại các vấn đề khổng lồ về an ninh, điều đó dường như chỉ là vấn đề của thời gian”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Theo các kết quả tài chính kinh khủng của Microsoft, dường như không xứng đáng với một nhà thể thao để lôi cuốn sự chú ý tới nhiều vấn đề hơn của hãng. Nhưng chiếc thòng lọng tiếp tục treo lơ lửng trên các công ty và các chính phủ khắp thế giới có nghĩa là những biện pháp như vậy sẽ được chứng minh, không ít hơn vì mọi người đang gánh chịu kết quả - hàng triệu người trong số họ.

Đó không chỉ là phép ngoa dụ của tôi, mà là một tuyên bố đơn giản của thực tế, như câu chuyện khác thường này về Hàn Quốc thể hiện:

Sự dựa dẫm của Hàn Quốc vào trình duyệt Internet Explorer của Microsoft và phần mềm ActiveX đang bị đổ lỗi vì cho phép một mùa nước lên các vụ đột nhập đã làm tổn thương hơn 100 triệu hồ sơ của người sử dụng từ đất nước này trong hơn 5 năm qua.

Nhà vận hành KT đã chịu một lỗ thủng đã gây nguy hiểm cho các hồ sơ của gần 9 triệu khách hàng vào năm ngoái, trong khi hãng trò chơi trực tuyến Nexon đã có hơn 13 triệu hồ sơ của người sử dụng đã bị tổn thương vào năm 2011. Lỗ hổng lớn nhất trong thời gian gần đây tới từ SK, hãng đứng đằng sau Cyworld - tiền bối của Facebook, được ước tính đã có 35 triệu hồ sơ bị bắt quả tang vào năm 2011.

Các chuyên gia đang chỉ ngón tay tới sự dựa dẫm vào phần mềm do Microsoft làm vì các cuộc tấn công đó và các cuộc tấn công khác trong những năm gần đây.

Vâng, đó cũng là công nghệ ActiveX y hệt mà đã được giới thiệu 17 năm về trước, và từng hầu như ngay lập tức được thừa nhận như một rủi ro an ninh khổng lồ từ các chuyên gia khi đó. Bất chấp điều đó, Hàn Quốc không chỉ đã đi tiếp để áp dụng nó cho các giao dịch của chính phủ và thương mại, mà nó đã làm thành thứ bắt buộc, ép từng người ở quốc gia đó phải sử dụng Internet Explorer.

Các kết quả của văn hóa độc canh do chính phủ bắt buộc bây giờ rõ ràng cho mọi người để thấy, và Hàn Quốc cuối cùng đang dịch chuyển tới một tiếp cận đàn hồi hơn, nhưng theo con đường mà lòng tin mù quáng vào các sản phẩm của Microsoft đã gây ra thiệt hại không thể nói hết được cho số lượng người vô cùng lớn.

Các vấn đề của ActiveX từng được biết rộng rãi. Nhưng câu chuyện khác có liên quan tới Microsoft và an ninh vừa chỉ mới xuất hiện trên màn hình rada, thậm chí dù các vấn đề nằm bên dưới từng được hiểu tốt từ 2 thập niên trước.

Những tiết lộ gần đây về việc gián điệp ồ ạt của Cơ quan An ninh Quốc gia - NSA (và GCHQ), và kho lưu trữ thường xuyên các giao tiếp truyền thông trực tuyến của chúng ta, đã nhấn mạnh tới tầm quan trọng của các kết nối được mã hóa trên Internet bằng việc sử dụng SSL. Hóa ra là có một công nghệ sẵn sàng rồi, được gọi là Bí mật Trước Tuyệt vời – PFS (Perfect Forward Secrecy), có thế làm cho nó khố hơn nhiều để gián điệp trong những kết nối như vậy:

Khi PFS được sử dụng, sự tổn thương của khóa cá nhân site SSL không nhất thiets làm tiết lộ các bí mật của giao tiếp truyền thông riêng tư trong quá khứ; các kết nối tới các site SSL sử dụng PFS có một khóa theo từng phiên mà không bị tiết lộ nếu khóa riêng dài hạn bị tổn thương. An ninh của PFS phụ thuộc vào cả các bên loại bỏ bí mật được chia sẻ sau khi giao dịch được hoàn tất (hoặc sau một giai đoạn hợp lý để cho phép phục hồi lại phiên làm việc).

Những kẻ nghe trộm mong muốn giải mã được giao tiếp truyền thông trong quá khứ mà đã sử dụng PFS đối mặt với một nhiệm vụ khó khăn: từng phiên trước đó cần phải bị tấn công một cách độc lập. Thậm chí việc biết khóa riêng dài hạn không giúp được khi khóa phiên không sẵn sàng đối với sự giải mã đơn giản. Ngược lại, khi các kết nối SSL không sử dụng PFS, thì khóa bí mật được sử dụng để mã hóa phần còn lại của phiên đó được site SSL sinh ra và gửi đi cặp khóa riêng-công khai dài hạn được mã hóa. Nếu khóa riêng dài hạn này bị tổn thương thì tất cả các phiên được mã hóa trước đó sẽ dễ dàng bị giải mã.

Đó là tin tốt lành. Nhưng câu hỏi sau đó là: các trình duyệt nào hỗ trợ PFS, và tốt thế nào? Bài viết trên Netcraft đã trích ở trên đưa ra cho chúng ta một số dữ liệu thú vị về điều này:

Netcraft đã kiểm thử bộ mật mã khi chọn ra 5 trình duyệt chính Internet Explorer, Google Chrome, Firefox, Safari và Opera — đối với 2.4 triệu site SSL từ Khảo sát SSL hồi tháng 6 của Netcraft. Sự hỗ trợ cho PFS khác nhau đáng kể giữa các trình duyệt: chỉ một phần nhỏ bé các kết nối SSL của Internet Explorer đã vận hành được với PFS; trong khi Google Chrome, Opera và Firefox từng được bảo vệ với gần 1/3 các kết nối. Safari chỉ tốt hơn một chút so với Internet Explorer.

Trong thực tế, Internet Explorer đã không ứng dụng PFS 99.71% thời gian, so với Firefox là 66.38% và Chrome 66.39% - một sự khác biệt đáng ngạc nhiên. Tất nhiên, đó chỉ là một phía của phương trình: vấn đề thú vị khác là cách mà các máy chủ Web khác nhau làm, và Netcraft đã đưa ra cùng một ma trận gây ngạc nhiên, chỉ ra sự tương tác giữa các máy chủ và máy trạm khác nhau. Đây là những gì được phát hiện ra:

nginx, một máy chủ web nguồn mở, ban đầu do một người Nga có tên là Igor Sysoev viết, sử dụng các bộ mật mã mạnh một cách mặc định, đã gây ra một số bình luận về hiệu năng SSL của ngĩn. Với ngoại lệ của Internet Explorer và Safari, hơn 70% các site SSL có sử dụng máy chủ web đã chọn một bộ mật mã PFS khi được viếng thăm với một trình duyệt hiện đại.

Sử dụng PFS trong số các site SSL có sử dụng Apache cũng khá, khoảng 2/3 các site SSL nó phục vụ sử dụng một bộ mật mã PFS khi được viếng thăm trong Firefox, Chrome hoặc Opera. Ngược lại, sự hỗ trợ của Microsoft cho các bộ mật mã PFS là yếu đáng kể; cả IIS và Internet Explorer của Microsoft chỉ hiếm khi sử dụng các bộ mật mã PFS - khi được sử dụng cùng nhau thì chỉ 111 (0.01%) các kết nối SSL giữa IIS và IE đã sử dụng PFS.

Thế là, các giải pháp nguồn mở không chỉ sáng chói ở phía máy trạm, mà cũng là tốt hơn một cách không thể so sánh được ở phía máy chủ.

Cho tới vài tuần trước, sự hỗ trợ PFS có lẽ từng là một tính năng mù mờ ít được quan tâm đối với hầu hết các công ty. Nhưng việc đưa ra bản chất tự nhiên toàn cầu và liên tục của việc gián điệp của NSA thì nó trở thành một thứ phải có cho các tổ chức mong muốn làm cho các giao tiếp truyền thông trực tuyến của họ càng an ninh có thể càng tốt. Vì thế một lần nữa sự kết luận sẽ là bất kỳ ai đang sử dụng các sản phẩm của Microsoft cho các kết nối Web an ninh là đang thiếu trách nhiệm, vì tự bản thân chúng bộc lộ ra và các khách hàng của chúng có rủi ro cao hơn rất nhiều sẽ bị gián điệp dựa vào một số điểm.

Như tôi đã lưu ý gần đây, rằng sự vô trách nhiệm sớm có thể có các hệ quả tài chính và pháp lý chủ chốt nếu kết quả là những mất mát nảy sinh. Biết được kinh nghiệm ở Hàn Quốc, nơi mà những điểm yếu trong Internet Explorer và công nghệ ActiveX của Microsoft đã gây ra một cách lặp đi lặp lại các vấn đề khổng lồ về an ninh, điều đó dường như chỉ là vấn đề của thời gian.

In the wake of Microsoft's dire financial results, it might seem a little unsporting to draw attention to more of the company's problems. But its continuing stranglehold on companies and governments around the world means that such measures are justified, not least because people are suffering as result - millions of them.

That's not just my hyperbole, but a simple statement of the facts, as this extraordinary story about South Korea demonstrates:

Korea’s reliance on Microsoft’s Internet Explorer browser and ActiveX software is being blamed for enabling a spate of hacks that have compromised more than 100 million user records from the country over the past five years.

Operator KT suffered a breach that endangered the records of nearly 9 million customers last year, while online games firm Nexon had more than 13 million user records compromised in 2011. The largest breach in recent times came from SK, the firm behind Facebook-forerunner Cyworld, which is estimated to have had 35 million records nabbed in 2011.

Experts are pointing the finger at the reliance on the Microsoft-made software for these attacks and others in recent years.

Yes, that's the same ActiveX technology that was introduced 17 years ago, and was almost immediately recognised as a huge security risk by experts at the time. Despite that, South Korea not only went on to adopt it for government and commercial transactions, it made it obligatory, forcing everyone in that country to use Internet Explorer.

The results of the government-mandated monoculture are now plain for everyone to see, and South Korea is finally moving to a more resilient approach, but along the way that blind trust in Microsoft products has caused untold damage to large numbers of people.

ActiveX's problems were widely known. But the other story concerning Microsoft and security has only just appeared on the tech radar, even though the underlying issues were well understood two decades ago.

Recent revelations about massive spying by NSA (and GCHQ), and the routine storage of our online communications, have highlighted the importance of encrypted connections across the Internet using SSL. It turns out that there is a technology readily available, called Perfect Forward Secrecy (PFS), that can make it much harder to spy on such connections:

When PFS is used, the compromise of an SSL site's private key does not necessarily reveal the secrets of past private communication; connections to SSL sites which use PFS have a per-session key which is not revealed if the long-term private key is compromised. The security of PFS depends on both parties discarding the shared secret after the transaction is complete (or after a reasonable period to allow for session resumption).

Eavesdroppers wishing to decrypt past communication which has used PFS face a daunting task: each previous session needs to be attacked independently. Even knowing the long-term private key does not help as the session key is not available by simple decryption. Conversely, when SSL connections do not use PFS, the secret key used to encrypt the rest of the session is generated by the SSL site and sent encrypted with the long-term private-public key pair. If this long-term private key is ever compromised all previous encrypted sessions are easily decrypted.

That's the good news. But the question then becomes: which browsers support PFS, and how well? The Netcraft post quoted above provides us with some fascinating data in this regard:

Netcraft has tested the cipher suite selection of five major browsers — Internet Explorer, Google Chrome, Firefox, Safari and Opera — against 2.4 Million SSL sites from Netcraft's June SSL Survey. The support for PFS varied significantly between browsers: only a tiny fraction of Internet Explorer's SSL connections operated with PFS; whereas Google Chrome, Opera and Firefox were protected for approximately one third of connections. Safari fared only a little better than Internet Explorer.

In fact, Internet Explorer failed to utilise PFS 99.71% of the time, compared with Firefox's 66.38% and Chrome's 66.39% - a pretty astonishing gulf. Of course, that's only one side of the equation: another interesting issue is how well the different Web servers do, and Netcraft has put together a fascinating matrix that shows the interaction between different clients and servers. Here's what it found:

nginx, an open-source web server originally written by Russian Igor Sysoev, uses strong cipher suites by default, which has caused some to comment on nginx's SSL performance. With the exception of Internet Explorer and Safari, more than 70% of SSL sites using the web server selected a PFS cipher suite when visited with a modern browser.

The usage of PFS amongst SSL sites using Apache is also fair, around two-thirds of the SSL sites it serves use a PFS cipher suite when visited in Firefox, Chrome, or Opera. Conversely, Microsoft's support for PFS cipher suites is notably lacking; both Microsoft IIS and Internet Explorer only rarely use PFS cipher suites — when used together only 111 (0.01%) of SSL connections between IIS and IE used PFS.

That is, open source solutions not only shine on the client side, but are incomparably better server-side, too.

Until a few weeks ago, PFS support would have been an obscure feature of little interest to most companies. But given the global and continuous nature of NSA spying it becomes a must-have for organisations that wish to make their online communications as secure as possible. So once again the conclusion has to be that anyone using Microsoft's products for secure Web connections is being irresponsible, since they expose themselves and their customers to a far higher risk of being spied upon at some point.

As I mentioned recently, that irresponsibility could soon have major financial and legal consequences if losses are caused as a result. Given the experience in South Korea, where weaknesses in Microsoft's Internet Explorer and ActiveX technology have repeatedly caused massive security issues, that seems to be only a matter of time.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com