Lỗ hổng DNS nghiêm trọng trên Internet

Posted on Tháng Bảy 9, 2008

0


Được Dan Kaminsky phát hiện đầu năm 2008. Đây là một khiếm khuyết lớn trong thiết kế của bản thân giao thức DNS chứ không phải lỗi của một bản cài đặt cụ thể nào. Nó cho phép những kẻ tấn công dễ dàng thỏa hiệp được với bất cứ máy chủ nào (kể cả máy khách cũng bị ảnh hưởng).

Lỗ hổng này –DNS Cache Poisoning– được đánh giá ở mức độ cực kỳ nghiêm trọng, vì vậy tất cả các máy chủ tên miền cần phải được vá ngay, càng sớm càng tốt. Nếu không, người sử dụng có nguy cơ bị lừa (“phishing” scams). Cụ thể là dù có nhập đúng tên miền cũng sẽ bị dẫn tới các trang web giả mạo. Tại đó, họ có thể bị gài bẫy để cung cấp các thông tin nhạy cảm như tài khoản ngân hàng hoặc thẻ tín dụng…

Tối hôm qua, bản vá cho Debian cũng đã được nhanh chóng đưa lên các kho phần mềm (repository). Tôi chỉ mất 5 phút để cập nhật cho 2 máy chủ Ubuntu đặt ở 2 nơi khác nhau.

Mặc dù thông tin cảnh báo này cũng đã được đưa lên nhiều tờ báo lớn như:

nhưng sau khi tự sử dụng phần mềm kiểm tra DNS Checker do Dan Kaminsky cung cấp, thì tôi và một đồng nghiệp nữa thấy thông báo cả 2 mạng ADSL của FPT và VDC đều “vulnerable”.

Một người bạn trong HanoiLUG cho rằng điều đó chẳng có gì ngạc nhiên. Bởi cá nhân anh cũng đã phát hiện ra từ nhiều năm trước khi đến Việt Nam sống và làm việc, rằng dịch vụ DNS của FPT là tệ nhất. Chả thế mà anh đã quyết định không bao giờ sử dụng DNS của các ISP này nữa, thay vào đó sử dụng các máy chủ DNS gốc (“go strait to root name servers“).

Có hai điều tôi rút ra từ sự việc này:

  1. Tốc độ cập nhật bản vá của Linux thực sự nhanh chóng. Thêm một bằng chứng nữa cho thấy tại sao dùng Linux an toàn.
  2. Ý thức về an toàn và bảo mật của các ISP lớn ở Việt Nam trong trường hợp này cho thấy họ thật sự chưa thể coi là chuyên nghiệp. Và không biết có bao nhiêu người dùng bình thường bị vạ lây.
  3. Mặc dù ông Vũ Quốc Khánh có trả lời VietnamNet rằng VNCERT đã gửi công văn từ ngày 9/7, thì việc thông báo rộng rãi muộn (ngày 23/7) chẳng biết có đem lại giá trị cảnh báo về nguy cơ và mức độ nguy hiểm của lỗ hổng nếu các ISP không ý thức được trách nhiệm của họ, trong khi bản chất về lỗ hổng có thể đã bị tiết lộ trước khi Kaminsky chính thức đăng đàn.

Đọc thêm

Advertisements
Thẻ: