28/04/2017

VNCERT cảnh báo phương thức tấn công mới của nhóm hacker Shadow Brokers

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT vừa phát đi thông tin cảnh báo về phương thức tấn công khai thác hệ thống mới của nhóm hacker Shadow Brokers có nguy cơ gây ra mất an toàn thông tin trên diện rộng đa quốc gia, trong đó có Việt Nam.
Bộ công cụ tấn công mạng mà nhóm hacker Shadow Brokers tung lên mạng gồm các chương trình nhị phân đã được biên dịch để khai thác bất kỳ hệ thống nào sử dụng các phiên bản của hệ điều hành Windows (trừ Windows 10 và Windows Server 2016) thông qua các lỗ hổng chưa được khai thác (Ảnh minh họa. Nguồn: Techrum.vn)
Nhằm ngăn chặn sự lây lan và giảm thiểu rủi ro cho các đơn vị nắm giữ hệ thống thông tin quan trọng, các đơn vị, doanh nghiệp sử dụng giao dịch thanh toán trực tuyến và người dùng Internet trước nguy cơ từ phương thức tấn công mới của nhóm nhóm hacker Shadow Brokers, ngày 24/4/2017, VNCERT - đơn vị trực thuộc Bộ TT&TT đã gửi công văn cảnh báo tới các đơn vị chuyên trách về CNTT, an toàn thông tin yêu cầu các cơ quan, doanh nghiệp chú ý, tăng cường công tác bảo đảm an toàn thông tin mạng để phòng ngừa sự cố có thể xảy ra.
VNCERT cho biết, ngày 14/4 vừa qua, nhóm hacker có tên gọi Shadow Brokers tuyên bố đã đánh cắp được một bộ công cụ gián điệp tấn công hệ thống nhằm khai thác dữ liệu của Cơ quan An ninh mạng quốc gia Hoa Kỳ (NSA). Do không đạt được thỏa thuận về tài chính để đánh đổi bộ công cụ, nhóm hacker này đã tung lên mạng thông qua website chuyên về mã nguồn mở Github.
Bộ công cụ bao gồm các chương trình nhị phân đã được biên dịch để khai thác bất kỳ hệ thống nào sử dụng các phiên bản của hệ điều hành Windows (trừ Windows 10 và Windows Server 2016) thông qua các lỗ hổng chưa được khai thác. Mục tiêu của các công cụ tấn công này nhằm vào các tổ chức tiền tệ, ngân hàng lớn, phần đông có trụ sở tại khu vực Trung Đông như UAE, Kuwait, Qatar, Palestine và Yemen. “Báo cáo đánh giá của các chuyên gia an toàn thông tin mạng cho thấy điều này có gây ra nguy cơ mất an toàn thông tin trên diện rộng đa quốc gia, trong đó có Việt Nam”, công văn của VNCERT nêu rõ.
Về phương thức tấn công khai thác dữ liệu hệ thống, VNCERT cho hay, một trong các công cụ Hacking được công bố gọi là Eternalromance, chứa một giao diện dễ sử dụng và khai thác hệ thống Window thông qua các cổng TCP 445 và 139. Các lỗ hổng của hệ điều hành Window được công bố gồm có EternalBlue (MS17-010),  EmeraldThread (MS10-06), EternalChampion (CVE-2017-0146 và CVE-2017-0147), ErraticGopher (lỗ hổng trên Windows Vista - không được hỗ trợ), EsikmoRoll (MS14-068), EternalRomance (MS17-010), EducatedScholar (MS09-050), EternalSynergy (MS17-010), Eclipsed Wing (MS08-067).
Bên cạnh đó, nhóm hacker Shadow Brokers còn khai thác lỗ hổng zero-day (CVE-2016-6366) ExtraBacon qua giao thức SNMP - giao thức tầng ứng dụng trong phần mềm Cisco ASA cho phép tin tặc không cần xác thực từ xa để khởi động lại hệ thống hoặc thực thi mã tùy ý, từ đó chiếm quyền kiểm soát thiết bị. Một hành vi tấn công hệ thống của Cisco cũng được khai thác thông qua tệp tin giải mã lưu lượng mạng riêng ảo (VPN) Cisco PIX và cấy mã độc vào bo mạch chủ firmware nhằm che dấu hành vi và xóa dấu vết.
Để phòng tránh các rủi ro mất an toàn thông tin mạng liên quan đến các công cụ tấn công mới được nhóm hacker Shadow Broker đưa ra, VNCERT khuyến cáo các đơn vị, doanh nghiệp triển khai một số biện pháp.
Cụ thể, với hệ thống sử dụng hệ điều hành Windows (từ Windows Server 2000 tới Windows Server 2012, Windows XP, Windows Vista, Windows 7, Windows 8,…), cần nhanh chóng rà soát và cập nhật các bản vá lỗi được cảnh báo trên tại website  chính thức của Mircosoft.
Đối với hệ thống sử dụng các thiết bị của Cisco, cần cập nhật các bản vá lỗi liên quan đến lỗ hổng zero - day (CVE-2016-6366). Để bảo vệ dữ liệu an toàn, máy tính nên được bảo vệ đằng sau Router hoặc Firewalls. Trang bị các hệ thống phòng chống tấn công mạng như IPS/IDS, Firewalls...
Đồng thời, các cơ quan, đơn vị, doanh nghiệp cũng được VNCERT đề nghị cập nhật phiên bản mới nhất của các chương trình diệt Virus để phát hiện và xử lý các mã thực thi do hacker tấn công vào hệ thống; thực hiện sao lưu dữ liệu định kỳ (sử dụng các ổ đĩa lưu trữ ngoài như ổ cứng cắm ngoài, ổ đĩa USB để lưu trữ các dữ liệu quan trọng trong máy tính; sau khi sao lưu xong đưa ra cất giữ riêng và không kết nối vào Internet).
Ngoài ra, để giúp các cơ quan chức năng theo dõi, phân tích và kịp thời phản ứng nhanh với các phương thức tấn công mới, các cơ quan, doanh nghiệp được đề nghị ngay khi phát hiện sự cố và không có khả năng xử lý, cần thông báo ngay về đầu mối điều phối ứng cứu sự cố quốc gia là Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT, có địa chỉ tại tầng 5, tòa nhà 115 Trần Duy Hưng, Cầu Giấy, Hà Nội. Các số điện thoại 04 3640 4423 số máy lẻ 112; 0934 424 009 và hòm thư điện tử tiếp nhận báo cáo sự cố [email protected]
M.T

27/04/2017

Mã độc MilkyDoor biến điện thoại thành backdoor di động

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT vừa phát đi thông tin cảnh báo về phương thức tấn công khai thác hệ thống mới của nhóm hacker Shadow Brokers có nguy cơ gây ra mất an toàn thông tin trên diện rộng đa quốc gia, trong đó có Việt Nam.



Bộ công cụ tấn công mạng mà nhóm hacker Shadow Brokers tung lên mạng gồm các chương trình nhị phân đã được biên dịch để khai thác bất kỳ hệ thống nào sử dụng các phiên bản của hệ điều hành Windows (trừ Windows 10 và Windows Server 2016) thông qua các lỗ hổng chưa được khai thác (Ảnh minh họa. Nguồn: Techrum.vn)


Nhằm ngăn chặn sự lây lan và giảm thiểu rủi ro cho các đơn vị nắm giữ hệ thống thông tin quan trọng, các đơn vị, doanh nghiệp sử dụng giao dịch thanh toán trực tuyến và người dùng Internet trước nguy cơ từ phương thức tấn công mới của nhóm nhóm hacker Shadow Brokers, ngày 24/4/2017, VNCERT - đơn vị trực thuộc Bộ TT&TT đã gửi công văn cảnh báo tới các đơn vị chuyên trách về CNTT, an toàn thông tin yêu cầu các cơ quan, doanh nghiệp chú ý, tăng cường công tác bảo đảm an toàn thông tin mạng để phòng ngừa sự cố có thể xảy ra.
VNCERT cho biết, ngày 14/4 vừa qua, nhóm hacker có tên gọi Shadow Brokers tuyên bố đã đánh cắp được một bộ công cụ gián điệp tấn công hệ thống nhằm khai thác dữ liệu của Cơ quan An ninh mạng quốc gia Hoa Kỳ (NSA). Do không đạt được thỏa thuận về tài chính để đánh đổi bộ công cụ, nhóm hacker này đã tung lên mạng thông qua website chuyên về mã nguồn mở Github.
Bộ công cụ bao gồm các chương trình nhị phân đã được biên dịch để khai thác bất kỳ hệ thống nào sử dụng các phiên bản của hệ điều hành Windows (trừ Windows 10 và Windows Server 2016) thông qua các lỗ hổng chưa được khai thác. Mục tiêu của các công cụ tấn công này nhằm vào các tổ chức tiền tệ, ngân hàng lớn, phần đông có trụ sở tại khu vực Trung Đông như UAE, Kuwait, Qatar, Palestine và Yemen. “Báo cáo đánh giá của các chuyên gia an toàn thông tin mạng cho thấy điều này có gây ra nguy cơ mất an toàn thông tin trên diện rộng đa quốc gia, trong đó có Việt Nam”, công văn của VNCERT nêu rõ.
Về phương thức tấn công khai thác dữ liệu hệ thống, VNCERT cho hay, một trong các công cụ Hacking được công bố gọi là Eternalromance, chứa một giao diện dễ sử dụng và khai thác hệ thống Window thông qua các cổng TCP 445 và 139. Các lỗ hổng của hệ điều hành Window được công bố gồm có EternalBlue (MS17-010),  EmeraldThread (MS10-06), EternalChampion (CVE-2017-0146 và CVE-2017-0147), ErraticGopher (lỗ hổng trên Windows Vista - không được hỗ trợ), EsikmoRoll (MS14-068), EternalRomance (MS17-010), EducatedScholar (MS09-050), EternalSynergy (MS17-010), Eclipsed Wing (MS08-067).
Bên cạnh đó, nhóm hacker Shadow Brokers còn khai thác lỗ hổng zero-day (CVE-2016-6366) ExtraBacon qua giao thức SNMP - giao thức tầng ứng dụng trong phần mềm Cisco ASA cho phép tin tặc không cần xác thực từ xa để khởi động lại hệ thống hoặc thực thi mã tùy ý, từ đó chiếm quyền kiểm soát thiết bị. Một hành vi tấn công hệ thống của Cisco cũng được khai thác thông qua tệp tin giải mã lưu lượng mạng riêng ảo (VPN) Cisco PIX và cấy mã độc vào bo mạch chủ firmware nhằm che dấu hành vi và xóa dấu vết.
Để phòng tránh các rủi ro mất an toàn thông tin mạng liên quan đến các công cụ tấn công mới được nhóm hacker Shadow Broker đưa ra, VNCERT khuyến cáo các đơn vị, doanh nghiệp triển khai một số biện pháp.
Cụ thể, với hệ thống sử dụng hệ điều hành Windows (từ Windows Server 2000 tới Windows Server 2012, Windows XP, Windows Vista, Windows 7, Windows 8,…), cần nhanh chóng rà soát và cập nhật các bản vá lỗi được cảnh báo trên tại website  chính thức của Mircosoft.
Đối với hệ thống sử dụng các thiết bị của Cisco, cần cập nhật các bản vá lỗi liên quan đến lỗ hổng zero - day (CVE-2016-6366). Để bảo vệ dữ liệu an toàn, máy tính nên được bảo vệ đằng sau Router hoặc Firewalls. Trang bị các hệ thống phòng chống tấn công mạng như IPS/IDS, Firewalls...
Đồng thời, các cơ quan, đơn vị, doanh nghiệp cũng được VNCERT đề nghị cập nhật phiên bản mới nhất của các chương trình diệt Virus để phát hiện và xử lý các mã thực thi do hacker tấn công vào hệ thống; thực hiện sao lưu dữ liệu định kỳ (sử dụng các ổ đĩa lưu trữ ngoài như ổ cứng cắm ngoài, ổ đĩa USB để lưu trữ các dữ liệu quan trọng trong máy tính; sau khi sao lưu xong đưa ra cất giữ riêng và không kết nối vào Internet).
Ngoài ra, để giúp các cơ quan chức năng theo dõi, phân tích và kịp thời phản ứng nhanh với các phương thức tấn công mới, các cơ quan, doanh nghiệp được đề nghị ngay khi phát hiện sự cố và không có khả năng xử lý, cần thông báo ngay về đầu mối điều phối ứng cứu sự cố quốc gia là Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT, có địa chỉ tại tầng 5, tòa nhà 115 Trần Duy Hưng, Cầu Giấy, Hà Nội. Các số điện thoại 04 3640 4423 số máy lẻ 112; 0934 424 009 và hòm thư điện tử tiếp nhận báo cáo sự cố [email protected]
M.T

26/04/2017

Viettel trao thưởng 100 triệu đồng cho người phát hiện 2 lỗ hổng hệ thống lớn của Facebook

Viettel trao thưởng 100 triệu đồng cho người phát hiện 2 lỗ hổng hệ thống lớn của Facebook
Trong hội nghị tôn vinh Điển hình xuất sắc toàn cầu 2016, Viettel đã tiến hành trao thưởng 100 triệu đồng cho một cá nhân đã phát hiện 2 lỗ hổng lớn của Facebook.
Tối ngày 24/04/2017, tại Hà Nội, Tập đoàn Viễn thông Quân đội (Viettel) đã tổ chức Hội nghị tôn vinh Điển hình xuất sắc toàn cầu trong năm 2016. Đây là năm thứ 3 Viettel tổ chức tôn vinh các tập thể, cá nhân điển hình xuất sắc, những người ưu tú nhất của Viettel trên khắp toàn cầu, những con người đã và đang mang lại sự tự tin, sự khích lệ và cảm hứng cho tất cả người Viettel.

Tại buổi lễ, Viettel đã trao thưởng 5 tập thể và 6 cá nhân xuất sắc toàn cầu hơn 1 tỷ đồng. Đặc biệt năm nay Viettel cũng đã tôn vinh toàn cầu một cộng tác viên xuất săc với mức khen thưởng 100 triệu đồng.
Trong số đó, Phạm Văn Khánh (Nhân viên an ninh hệ thống thuộc Trung tâm An ninh mạng Viettel) là người duy nhất cho đến thời điểm này ở Việt Nam được Facebook ghi nhận phát hiện 2 lỗ hổng hệ thống của mạng xã hội lớn nhất toàn cầu, được Facebook công nhận và trao thưởng 6.000 USD. Khánh đồng thời áp dụng được kết quả đó áp dụng tại Viettel và phát hiện ra nhiều lỗ hổng nghiêm trọng, đưa ra hướng dẫn khắc phục kịp thời, góp phần bảo vệ hệ thống CNTT của Tập đoàn và khách hàng.

Bên cạnh đó là Nguyễn Phi Minh (Giám đốc Trung tâm Động cơ phản lực hàng không, Viện Hàng không vũ trụ Viettel), người đã khiến thất bại giúp mình trưởng thành chứ không để thất bại định hình mình, thử nghiệm thành công và đem lại hiệu quả các sản phẩm quân sự quan trọng, giúp Viettel làm chủ công nghệ lõi.
Trần Văn Huy, một cộng tác viên của Viettel Nam Định, người đã gây dựng sự yêu mến, tin tưởng của khách hàng dành cho Viettel thông qua cách nghĩ, coi khách hàng là người thân của mình, cho trước, nhận sau, phát triển được số lượng khách hàng doanh nghiệp lớn trên địa bàn. Hay Mariano Moniz Goncalves (Trưởng ban Bán hàng doanh nghiệp – phòng kinh doanh, Công ty Telemor), người đã mạnh dạn đột phá vào lĩnh vực mới – đó là các dự án của chính phủ để tạo ra sự tăng trưởng nhanh và bền vững tại Đông Timor..v..v….
Mỗi cá nhân, tập thể được tôn vinh lại truyền đi một thông điệp lan tỏa để truyền cảm hứng đến người Viettel toàn cầu. Đó là tinh thần luôn sẵn sàng vượt qua chính mình, luôn hành động không bị bất kỳ giới hạn nào cản trở.
Ngay những tháng đầu năm 2017, Viettel đã có những thành quả từ tinh thần này. Viettel đã sản xuất được thiết bị hạ tầng mạng viễn thông 4G, đưa vào vận hành trong mạng lưới Viettel ở Việt Nam và nhiều thị trường trên thế giới, đưa Viettel tham gia vào ngành sản xuất thiết bị hạ tầng viễn thông vốn chỉ có 4-5 công ty trên toàn thế giới kiểm soát.
Tại hội nghị thi đua, Viettel cũng phát động tinh thần thi đua năm 2017: “Khát vọng mới – Niềm tin mới – Hành trình tới những đỉnh cao”, với mục tiêu tạo ra một năm phát triển đột phá cho Viettel.

Cookie – Bạn hay Thù?

Cookie là một dạng bản ghi được tạo ra và lưu lại trên trình duyệt khi người dùng truy cập một website. Chúng là “bạn” nhưng cũng có thể là “thù” với người lướt web.

Bài viết của các chuyên gia của công ty bảo mật CMC InfoSec sẽ giới thiệu những thông tin người dùng cần biết để nhận thức rõ vấn đề riêng tư và bảo mật, quan trọng là phải hiểu được mục đích của cookie.
Bạn có thể bắt gặp cookie của trình duyệt gần như khắp mọi nơi mỗi khi lướt web. Hiện nay, người dùng đang tranh cãi về bản chất của những tập tin này, có người cho rằng các cookie hứa hẹn một web thân thiện hơn, một số khác lại cho rằng chúng mang một mối hiểm họa đe dọa đến sự riêng tư cá nhân.
Cookie là gì?
Cookie là một bộ nhắc nhỏ mà website lưu trữ ở trên máy tính của bạn có thể định danh cho bạn. Khi bạn truy cập và một trang web, website này sẽ đặt một cookie tại trên máy đó, thay cho việc liên tục hỏi bạn các thông tin như nhau, chương trình trên website có thể sao lưu thông tin vào một cookie mà khi cần thông tin sẽ đọc cookie. Nếu không có cookie bạn sẽ phải nhập lại thông tin của mình trên mỗi màn hình web. Thông tin duy nhất mà cookie lưu trữ là thông tin mà bản thân bạn chia sẻ với website tạo ra cookie. Một website không thể đọc cookie của một công ty khác trừ khi công ty kia cung cấp cho công ty đó chứa khóa giải thích ý nghĩa của cookie.
Cookie có các loại sau:
 - “Session Cookie”: được lưu trong bộ nhớ của máy tính chỉ trong phiên duyệt web và sẽ tự động xóa khỏi máy tính khi trình duyệt đóng lại. Những cookie này thường được lưu trữ dưới dạng ID. Nó cho phép bạn nhanh chóng chuyển tới một trang mới mà không cần đăng nhập lại. Chúng được sử dụng rộng rãi ở những trang web thương mại. Ví dụ: để theo dõi các bản ghi  mà người tiêu dùng thêm vào giỏ hàng
- “Persistent Cookie”: được lưu trữ trên ổ cứng của máy tính và không bị xóa khi trình duyệt đóng lại. Những cookie này có thể thiết lập những sở thích của bạn đối với mỗi trang web cụ thể khi bạn quay lại, cho phép những ưu đãi sẽ được sử dụng trong những lần trình duyệt tiếp theo.
“Persistent Cookie”có thể được sử dụng để nhận dạng bạn, phân tích hành vi của bạn khi lướt web. Chúng cũng có thể được sử dụng để cung cấp thông tin về số lượng khách hàng truy cập, thời gian trung bình cho một trang cụ thể, đăng nhập thông tin được lưu trữ trong tài khoản hiệu suất của web.
- Cookie của một hãng thứ 3: Cookie cho phép các công ty tiếp thị hoặc quảng cáo
Lợi ích của cookie
Các cookie được sử dụng trong các dịch vụ thương mại điện tử để hỗ trợ chức năng mua hàng trực tuyến, máy chủ có thể theo dõi khách hàng và sao lưu các giao dịch của họ khi họ di chuyển trong site
Đối với những doanh nghiệp
Doanh nghiệp có thể biết được một số thồng tin về những người đang truy cập web của mình, biết được mức độ thường xuyên truy cập cũng như thời gian chi tiết truy cập.
Doanh nghiệp có thể biết được sự cảm nhận của bạn khi duyệt web đó. Lưu trữ thông tin cá nhân của khách hàng, những thông tin này sẽ giúp khách hàng khi vào trang web đó lần sau sẽ thuận tiện hơn.
Doanh nghiệp sẽ dùng cookie để điều chỉnh các quảng cáo của mình, cung cấp cho biết những quảng cáo nào được xem nhiều nhất từ đó đưa ra biện pháp điều chỉnh hoặc thiết kế phù hợp.
Đối với người dùng
Chúng làm cho web tiện lợi hơn, người dùng có thể truy cập vào web nhanh hơn không phải nhập lại các thông tin nhiều lần.
Những rủi ro mà Cookie mang lại
Mặc dù bản thân cookie thường trú rất hữu ích và thuận tiện  nhưng kèm theo đó là những rủi ro có liên quan được lưu trữ.
Cookie ảnh hưởng tới sự riêng tư của người dùng. cũng như rò rỉ thông tin cá nhân. Cookie theo dõi người dùng đã ghé thăm những nơi nào và đã xem những gì trên web. Bản thân các cookie không thể dùng để phát tán virus, mã độc. Tuy nhiên nó có thể thu thập khá nhiều thông tin cá nhân của bạn nhất là những thông tin bạn cung cấp trên trang web như thông tin thẻ tín dụng… nên cookie có thể làm tăng nguy cơ mất thông tin đăng nhập nếu như người khác sử dụng máy tính của bạn, hoặc trường hợp máy tính của bạn bị xâm nhập, đánh cắp.
Bạn nên làm thế nào?
Để đảm bảo được tính bảo mật thông tin khi truy cập web, CMC InfoSec xin đưa ra một số lời khuyên đối với người dùng:
Thiết lập tùy chọn cookie bằng cách sử dụng cài đặt chế độ bảo mật cho trình duyệt
Xóa cookie định kỳ trên máy tính:
Đối với IE: Tool-> Internet Options -> Nhấp Delete -> tại mục Cookies chọn Delete Cookies
Đối với Firefox: Chọn Tool -> Options -> tab Privacy-> tìm mục Cookies và nhấp Clear...
“Session Cookie” được tự động xóa khi hoàn thành một giao dịch, bằng việc xóa cookie của bạn theo định kỳ sẽ làm giảm nguy cơ của việc lạm dụng thông tin vô tình hay cố ý lưu trữ trong cookie
Không cho phép cookie được lưu trữ thông tin đăng nhập
Giữ cho hệ thống trình duyệt của bạn được tự động update các bản vá lỗi, cập nhật phần mềm chống phần mềm giả mạo, chỉ truy cập vào những trang web đáng tin cậy
Nếu bạn muốn chia sẻ dữ liệu trực tuyến của bạn với ai đó, đặt thiết lập bảo mật. Lưu ý điều này có thể ảnh hưởng tới việc duyệt web
Thận trọng khi chia sẻ máy tính của bạn, nếu bạn lưu trữ thông tin sử dụng cookie (username, password..) các cá nhân sử dụng máy tính của bạn có thể sẽ truy cập vào tài khoản của bạn và thực hiện các giao dịch qua tên bạn
Nên sử dụng các tiện ích để xóa bỏ các cookie ra khỏi đĩa cứng như IEClean hay NSClean….
M.Đ - CMC InfoSec

24/04/2017

Phát hiện 10 lỗ hổng trên Smart Wi-Fi Router của Linksys

Các nhà nghiên cứu vừa phát hiện 10 lỗ hổng khi phân tích các Router của Linksys. Hiện chưa có bản vá cho các lỗ hổng này.



Nghiên cứu tập trung vào các router của Linksys có hỗ trợ tính năng Smart Wi-Fi, cho phép người dùng quản lý và kiểm soát từ xa mạng không dây trong nhà từ một thiết bị di động. Theo Linksys, các lỗ hổng này ảnh hưởng đến 25 router thuộc series EA và WRT.

Các nhà nghiên cứu sẽ không tiết lộ thêm thông tin đến khi Linksys phát hành bản vá. Các lỗ hổng này có thể bị khai thác để khởi phát tấn công DoS, đánh cắp dữ liệu nhạy cảm hoặc thậm chí cài backdoor.

Hai trong số các lỗ hổng được dùng cho các cuộc tấn công DoS. Hacker có thể làm đơ router hoặc router reboot bằng cách gửi các truy vấn đặc biệt đến một API cụ thể. Khai khác những lỗ hổng này khiến kết nối mạng bị ngắt và ngăn quản trị truy cập giao diện web.

Các lỗ hổng qua mặt cơ chế xác thực cho phép kẻ tấn công truy cập các đoạn script CGI nhất định có chức năng cấp quyền truy cập các loại thông tin khác nhau bao gồm firmware và các phiên bản của Linux kernel, các tiến trình đang chạy, các thiết bị USB đã được kết nối và WPS PIN. Kẻ tấn công cũng thu thập dữ liệu về cấu hình firewall, các thiết lập FTP và SMB server.

Các chuyên gia cảnh báo hacker có thể thực hiện hành vi phá hoại nhằm truy cập router, từ đó chèn và thực thi các command trên hệ điều hành của thiết bị với đặc quyền root. Việc này cho phép chúng tạo các tài khoản backdoor mà quản trị hợp pháp không thể phát hiện được.

7,000 thiết bị dính lỗ hổng có thể bị truy cập trực tiếp từ Internet. Gần 70% trong số chúng được đặt tại Mỹ, sau đó đến Canada, Hong Kong, Chile, Hà Lan, Venezuela, Argentina, Nga, Thuỵ Điển, Na Uy, Trung Quốc, Ấn Độ, Anh và Australia. 11% trong số đó bị phát hiện đã sử dụng thông tin đăng nhập mặc định.

Dưới đây là danh sách các model của Linksys router bị ảnh hưởng bởi các lỗ hổng:

EA2700, EA2750, EA3500, EA4500v3, EA6100, EA6200, EA6300, EA6350v2, EA6350v3, EA6400, EA6500, EA6700, EA6900, EA7300, EA7400, EA7500, EA8300, EA8500, EA9200, EA9400, EA9500, WRT1200AC, WRT1900AC, WRT1900ACS, and WRT3200ACM.

Linksys khuyến cáo khách hàng tắt tính năng Guest Network trên tất cả các sản phẩm bị ảnh hưởng và thay đổi mật khẩu trên tài khoản mặc định cho đến khi có bản cập nhật firmware. Người dùng các thiết bị Smart Wi-Fi nên bật tính năng cập nhật tự động để cập nhật khi có các phiên bản firmware mới nhất.

Nguồn: THN

Tấn công lừa đảo gần như không thể bị phát hiện trên Chrome, Firefox và Opera

Một nhà nghiên cứu Trung Quốc vừa phát hiện kiểu cuộc tấn công lừa đảo (phishing) "gần như không thể phát hiện" với cả những người sử dụng cẩn thận nhất trên Internet.
Hacker sử dụng một lỗ hổng đã biết trong các trình duyệt web Chrome, Firefox và Opera để hiển thị tên miền giả mạo các trang web từ các nhà cung cấp dịch vụ hợp pháp như Apple, Google hay Amazon để ăn cắp thông tin đăng nhập, thông tin tài chính và các thông tin nhạy cảm khác từ người dùng .


Vậy đâu là cách tốt nhất để chống lại tấn công phishing? Thông thường, đó là kiểm tra thanh địa chỉ sau khi trang đã tải xong xem nó có sử dụng kết nối HTTPS.

Lần này, hãy xem trang web demo do nhà nghiên cứu Xudong Zheng dựng nên.

"Không thể xác định đây là trang web giả mạo nếu không kiểm tra kỹ lưỡng URL của trang hoặc chứng chỉ SSL", Xudong Zheng cho biết.

Nếu trình duyệt web của bạn đang hiển thị "apple.com" trong thanh địa chỉ với tiêu chuẩn SSL, nhưng nội dung trên trang đó đến từ một máy chủ khác (như trong hình), thì trình duyệt của bạn có thể bị tấn công homograph (kiểu tấn công lợi dụng việc hình dáng trên URL giống nhau của một số ký tự khác nhau).

Tấn công homograph được biết đến từ năm 2001 và các nhà phát triển trình duyệt vẫn đang phải cố gắng để khắc phục sự cố này. Đó là kiểu tấn công giả mạo, địa chỉ website trông có vẻ hợp pháp nhưng các ký tự đã được thay thế bằng các ký tự Unicode.

Nhiều ký tự Unicode, hiển thị bảng chữ cái Hy Lạp, Kirin và Armenian trong các tên miền quốc tế, nhìn bằng mắt thường trông giống các chữ cái Latin nhưng lại được máy tính xử lý theo cách khác nhau với các địa chỉ web hoàn toàn khác nhau.

Ví dụ: cả "а" (U + 0430) trong bảng chữ cái Kirin và "a" (U + 0041) theo Latin được xử lý khác nhau theo trình duyệt nhưng lại đều được hiển thị "a" trong địa chỉ trình duyệt.

Tấn công phishing Punycode

Theo mặc định, nhiều trình duyệt web sử dụng mã hóa 'Punycode' để hiển thị các ký tự Unicode trong URL để ngăn chặn các cuộc tấn công lừa đảo. Punycode là một mã hóa đặc biệt được sử dụng bởi trình duyệt web để chuyển đổi các ký tự Unicode sang bộ ký tự giới hạn của ASCII (A-Z, 0-9), được hỗ trợ bởi hệ thống tên miền quốc tế (IDN).

Ví dụ: tên miền Trung Quốc "短 .co" được hiển thị trong Punycode là "xn--s7y.co".

Theo Zheng, lỗ hổng dựa trên thực tế các trình duyệt web chỉ hiển thị các URL Punycode theo một ngôn ngữ như Unicode (như chỉ có tiếng Trung hoặc tiếng Nhật), nhưng chúng sẽ không hiển thị thành công nếu tên miền chứa các ký tự từ nhiều ngôn ngữ khác nhau.

Lỗ hổng này cho phép nhà nghiên cứu đăng ký tên miền xn--80ak6aa92e.com và vượt qua được các phần mềm bảo vệ, xuất hiện dưới dạng "apple.com" của tất cả các trình duyệt web có lỗ hổng, bao gồm Chrome, Firefox và Opera, trong khi Internet Explorer, Microsoft Edge, Apple Safari, Brave và Vivaldi không mắc lỗ hổng này.

Ở đây, xn-- được gọi là tiền tố 'mã hoá tương thích ASCII', cho biết trình duyệt web sử dụng mã hoá 'Punycode' để hiển thị các ký tự Unicode và vì Zheng sử dụng chữ "а" (U + 0430) Cyrillic chứ không phải "a" (U + 0041) ASCII nên trình duyệt web không thể ngăn chặn cuộc tấn công.

Zheng đã báo cáo vấn đề này cho các nhà cung cấp trình duyệt bị ảnh hưởng, bao gồm Google và Mozilla từ tháng 1/2017.

Trong khi Mozilla vẫn đang thảo luận về một bản sửa lỗi, Google đã vá lỗ hổng trong Chrome Canary 59 thử nghiệm của hãng và sẽ đưa ra bản sửa lỗi chính thức bằng việc phát hành Chrome Stable 58 vào cuối tháng này.

Hàng triệu người sử dụng Internet đang đứng trước nguy cơ của cuộc tấn công lừa đảo phức tạp khó bị phát hiện này được khuyến cáo nên vô hiệu hóa chức năng Punycode trong trình duyệt web của mình để tạm thời giảm nhẹ mức độ ảnh hưởng của cuộc tấn công và xác định được các tên miền lừa đảo.

Giảm thiểu mức độ ảnh hưởng cho người dùng Firefox

Người dùng Firefox có thể làm theo các bước dưới đây để giảm thiểu mức độ ảnh hưởng:

1. Nhập about:config vào thanh địa chỉ và nhấn Enter.

2. Nhập Punycode vào thanh tìm kiếm.

3. Cài đặt trình duyệt sẽ hiển thị thông số với tiêu đề: network.IDN_show_punycode, nhấp đúp hoặc nhấp chuột phải và chọn Toggle để thay đổi giá trị từ True thành False.

Không may là Chrome hoặc Opera không có cài đặt tương tự để vô hiệu hóa chuyển đổi URL của Punycode theo cách thủ công, vì vậy người dùng Chrome phải chờ vài tuần tới khi bản Stable 58 được phát hành.

Người dùng Internet được khuyến cáo luôn nhập các URL website vào thanh địa chỉ cho các trang web quan trọng như Gmail, Facebook, Twitter, Yahoo hoặc các trang web ngân hàng thay vì nhấp vào liên kết được đề cập trên trang web hoặc email để ngăn chặn các cuộc tấn công không thể phát hiện được.

Nguồn: THN

Châu Âu phối hợp triệt phá tổ chức hacker xuyên quốc gia

Châu Âu phối hợp triệt phá tổ chức hacker xuyên quốc gia
[​IMG]

Ảnh minh họa. (Nguồn: Reuters)​

Cảnh sát châu Âu ngày 21/4 thông báo giới chức Anh và Tây Ban Nha đã bắt giữ 5 đối tượng trong một cuộc điều tra phối hợp nhằm vào một nhóm tội phạm mạng quốc tế.

Thông báo của Văn phòng Cảnh sát châu Âu (Europol) cho biết cuộc điều tra được thực hiện từ năm 2016. Cảnh sát đã bắt giữ 3 tin tặc (hacker) tại Tây Ban Nha và 2 đối tượng ở Anh, đồng thời lục soát nhiều ngôi nhà tại nhiều địa điểm khác nhau.

Nhóm tội phạm mạng này tham gia thiết kế và bán các công cụ phần mềm độc hại, khiến hàng nghìn máy tính trên khắp thế giới nhiễm mã độc, qua đó giúp chúng đánh cắp thông tin cá nhân.

Công cụ này được đưa lên các diễn đàn tin tặc để đổi lấy tiền, thường là loại tiền ảo – bitcoin.

Các cuộc điều tra cho thấy nhóm tội phạm này đã tiến hành hoạt động phạm pháp này từ năm 2013 và đã kiếm được khoản tiền lớn./.

Theo Vietnam +​

Được cả triệu lượt tải, ứng dụng độc hại "System Update" mới bị gỡ khỏi Play Store

Mặc dù được kiểm tra rất kỹ, nhưng trong một số trường hợp ứng dụng độc hại vẫn có thể xuất hiện trên kho ứng dụng Play Store "chính chủ" của Google.


Một trong số chúng là "System Update" (Cập nhật hệ thống). Ứng dụng độc hại này đã được tải xuống hàng triệu lần và mới bị Google gỡ khỏi gian hàng Play Store của mình.

Theo Android Authority , hãng bảo mật Zscaler phát hiện ra "System Update" đã xuất hiện từ năm 2014. Dù có tên System Update (Cập nhật hệ thống), thực chất đó là phần mềm gián điệp với khả năng gửi thông tin về vị trí thiết bị đến một máy chủ được thiết lập sẵn, cũng có thể đọc một số tin nhắn SMS được gửi đến. 
Theo Zscaler, khi người dùng cài về và cố gắng kích hoạt System Update, ứng dụng sẽ tắt và hiện thông báo "Unfortunately, Update Service has stopped" (Thật không may, dịch vụ cập nhật đã dừng lại), nhưng thực chất nó vẫn tiếp tục chạy trong nền mà bạn không hề biết.


Zscaler đã gửi phản ánh lên Google, và cuối cùng nó cũng đã bị gỡ khỏi Play Store, nhưng với 1-5 triệu lượt tải xuống thì không biết bao nhiêu thông tin của người dùng đã bị thu thập về phương trời nào. Dù xuất hiện trên kho ứng dụng Play Store chính thức, nhưng người dùng vẫn có thể nghi ngờ rằng đây là ứng dụng giả mạo thông qua các đặc điểm sau: không có ảnh chụp màn hình và không có bất kỳ mô tả nào. Ngoài ra, đánh giá của người dùng đa số đều phản ánh rằng ứng dụng không hoạt động. Tất nhiên, tên gọi System Update khiến nhiều người bị hiểu lầm rằng đây là bản cập nhật hệ thống mới, vì vậy cố gắng tải xuống và khởi chạy.


Cuối cùng, người dùng nên cảnh giác trước tất cả các ứng dụng "đáng nghi ngờ", kể cả trường hợp chúng nằm trong kho ứng dụng Play Store "chính chủ".
TBTD

23/04/2017

Nhầm một chữ trong email, công ty Việt Nam ra ngân hàng chuyển hơn 210.000 USD cho hacker mà cứ ngỡ là chuyển cho đối tác

Một sai lầm nhỏ, nhưng đem lại hậu quả vô cùng lớn với số tiền lên đến 4,7 tỷ đồng.
Theo thông tin được đưa sáng nay bởi báo Pháp luật TP Hồ Chí Minh, một công ty tại Việt Nam đã bị hacker đánh lừa và giả làm đối tác nước ngoài, để chiếm đoạt số tiền lên đến 210.000 USD. Tuy nhiên tất cả sự việc lại xuất phát từ một chữ bị nhầm trong email.
Công ty Việt Nam có tên là HT và công ty đối tác là MK (trụ sở tại Campuchia), cả hai đã có mối quan hệ kinh doanh trong nhiều năm trở lại đây. Để đàm phán, điều chỉnh và thực hiện hợp đồng, cả 2 công ty liên hệ thông qua email và số điện thoại của thư ký giám đốc Công ty MK tại phần mềm We Chat trên điện thoại.
Công ty MK của Campuchia sử dụng địa chỉ email là [email protected] . Tháng 5-2016, Công ty Việt Nam ký hợp đồng với Công ty MK để mua 105 tấn cao su CSR với giá hơn 210.000 USD. Do tài khoản ngân hàng của Công ty MK đang gặp trục trặc nên công ty này đã gọi điện thoại thông báo và đồng thời gửi kèm email có địa chỉ như trên đề nghị Công ty Việt Nam thanh toán qua tài khoản cá nhân của lãnh đạo Công ty MK.
(Ảnh Báo Pháp luật TP. Hồ Chí Minh) 
Tuy nhiên, Công ty Việt Nam không đồng ý chuyển tiền qua tài khoản cá nhân. Lúc này, Công ty Việt Nam nhận được email từ địa chỉ [email protected] (rất giống với địa chỉ email mà hai bên thường liên lạc với nhau chỉ khác chữ “e” với chữ “a” ) đề nghị Công ty Việt Nam thanh toán tiền qua tài khoản của Công ty MK ở châu Âu và gửi lại hợp đồng đã điều chỉnh và ký tên đóng dấu.
Không một chút nghi ngờ, Công ty Việt Nam đã ra ngân hàng làm thủ tục chuyển tiền nhưng hệ thống báo lỗi, không chuyển được. Công ty Việt Nam về thông báo cho cả hai e-mail: [email protected][email protected] về việc không thể chuyển được tiền qua tài khoản ở châu Âu.
Công an TP.HCM đã gửi tin nhắn khuyến cáo người dân nên cẩn thận khi chuyển tiền cho tài khoản khác. 
Thế nhưng Công ty Việt Nam chỉ nhận được được mỗi e-mail [email protected] phản hồi ngược lại đề nghị chuyển khoản qua tài khoản của Công ty MK ở châu Phi. Sau một thời gian, công ty MK vẫn liên hệ lại và yêu cầu công ty Việt Nam thanh toán tiền theo hợp đồng đã ký.
Lúc này, công ty của Việt Nam khẳng định rằng mình đã chuyển tiền và cung cấp các giấy tờ xác nhận của ngân hàng. Nhưng phía công ty của Campuchia cũng một mực khẳng định mình chưa nhận được tiền.
Cả 2 công ty không thống nhất được với nhau, do đó công ty MK đã khởi kiện công ty của Việt Nam ra Trung tâm Trọng tài Quốc tế.
Báo Pháp Luật TP.HCM đã tham khảo ý kiến của luật sư Nguyễn Thành Công (Giám đốc công ty Đông Phương Luật, người bảo vệ quyền lợi cho công ty HT): “Trong quá trình ngồi lại với nhau, hai công ty đã nhận ra là khả năng rất cao có người thứ ba (gọi nôm na là hacker) đã lợi dụng sơ hở của một trong hai công ty rồi đánh cắp dữ liệu để chiếm đoạt số tiền hơn 210.000 USD của Công ty HT.
Cụ thể, hacker đã cố tình tạo ra một email giả có địa chỉ rất giống với địa chỉ của Công ty MK làm cho Công ty HT tưởng rằng mình đang trao đổi với đối tác của mình".
Để không làm ảnh hưởng tới công việc kinh doanh lâu dài giữa hai bên, phía Công ty MK đã đồng ý cho Công ty HT chỉ cần thanh toán 70% của số tiền hơn 210.000 USD. Bên cạnh đó Công ty HT vẫn mong muốn cơ quan điều tra sớm tìm ra được đối tượng đã chiếm đoạt số tiền trên.
Tham khảo: Báo Pháp luật TP. Hồ Chí Minh

Google tích hợp công cụ chặn quảng cáo cho trình duyệt Chrome

Công cụ của Google được thiết kế để chặn các quảng cáo xấu như quảng cáo dạng cửa sổ pop-up, quảng cáo tự chạy và phát âm thanh, hay bắt người dùng xem một đoạn đếm ngược thời gian mới cho truy cập trang...


Là công ty cung cấp các dịch vụ miễn phí, Google kiếm tiền chủ yếu từ quảng cáo hiển thị trong các dịch vụ của mình. Tuy nhiên, sắp tới đây hãng sẽ làm một chuyện nghe khá... bất hợp lý: Theo WSJ, các nguồn tin giấu tên tiết lộ Google sẽ tích hợp công cụ chặn quảng cáo cho trình duyệt Chrome trên cả máy tính và di động.
Chặn quảng cáo trên trình duyệt web không còn là cái gì đó quá mới mẻ, khi mà hàng loạt phần mềm hiện nay đã giúp bạn làm điều này. Chính bản thân Google cũng từng bị tố chi tiền để công cụ Adblock Plus không chặn quảng cáo của mình.
Theo báo cáo trên, công cụ của Chrome sẽ nhắm vào việc chặn các quảng cáo xấu bao gồm quảng cáo dạng cửa sổ pop-up, quảng cáo tự chạy và phát âm thanh, quảng cáo bắt xem một đoạn đếm ngược thời gian mới cho truy cập trang... Bằng cách này, Google hy vọng rằng người dùng sẽ không còn cảm thấy khó chịu nên sẽ không cài các tiện ích chặn quảng cáo chuyên dụng (như uBlock Origin hay Adblock Plus) vốn khiến hãng mất đi một phần không nhỏ doanh thu.
Theo: GK

21/04/2017

Hacker Nga bán dịch vụ mã độc Ransomware giá rẻ trên “mạng ngầm”

Mã độc tống tiền ransomware trong vòng một vài năm gần đây đã trở thành mối đe dọa cực kì nguy hiểm đối với mọi tổ chức tài chính, ngân hàng, bệnh viện và cá nhân trên toàn thế giới. Chúng đã lấy được hàng triệu đô la từ tay người dùng.
Sự xuất hiện của các công cụ mã độc ngân hàng phức tạp, mã độc đánh cắp tiền đã dần ít đi. Thay vào đó, một trong những phương pháp dễ dàng nhất của tin tặc không gian mạng là tống tiền người dùng. Mối đe dọa này càng trở nên nguy hiểm hơn sau khi nó được cung cấp dưới dạng dịch vụ – một biến thể mã độc mới, được thiết kế thân thiện với bất cứ ai có ít hoặc không có kiến thức về triển khai mã độc, nhưng muốn kiếm tiền.
Mới đây các nhà nghiên cứu đã phát hiện mã độc Karmen, một biến thể mã độc dịch vụ mới được triển khai dựa trên bộ công cụ xây dựng mã độc tống tiền mã nguồn mở Hidden Tear. Karmen được bán tại các diễn đàn ngầm tại Nga bởi tin tặc có biệt danh DevBitox với giá 175 đô la. Mã độc có riêng một trang quản trị cho phép người mua thấy số lượng lây nhiễm thành công cùng với lợi nhuận có được trong thời gian thực.

Sau khi lây nhiễm, mã độc Karmen sẽ mã hóa toàn bộ dữ liệu của người dùng và hiện lên cảnh báo đe dọa tống tiền. Karmen tự động xóa bộ mã hóa nếu phát hiện ra có môi trường hộp cát (sandbox) hoặc phần mềm phân tích mã độc trên thiết bị của nạn nhân khiến việc điều tra về mã độc khó khăn hơn. Tới nay đã có 20 người dùng mua mã độc Karmen từ DevBitox và để lại phản hồi rằng mã độc này đang hoạt động tốt.
Các biện pháp bảo vệ bản thân trước mã độc tống tiền:
  - Định kì sao lưu dữ liệu quan trọng.
  - Đảm bảo công cụ diệt virus trên thiết bị luôn cập nhật.
  - Không mở email hay tệp tin đính kèm từ nguồn không tin cậy.
  - Truy cập Internet an toàn.
THN

17/04/2017

OWASP ZAP – Web application security

1. gIỚI THIỆU
OWASP là từ viết tắt của The Open Web Application Security Project (dự án mở về bảo mật ứng dụng Web), dự án là một cộng đồng chung giúp các tổ chức có thể phát triển, mua hoặc bảo trì các ứng dụng an toàn. Ở OWASP ta sẽ tìm thấy nhiều thứ “miễn phí” và “mở” (free and open) sau đây:
  - Công cụ và các tiêu chuẩn về an toàn thông tin
  - Sách về kiểm tra bảo mật, lập trình an toàn và các bài viết về bảo mật mã nguồn
  - Thư viện và các tiêu chuẩn điều khiển bảo mật
  - Các chi nhánh của hội ở khắp nơi trên thế giới
  - Những nghiên cứu mới nhất
  - Những buổi hội thảo toàn cầu
  - Địa chỉ thư tín chung
  - Và nhiều thứ khác, xem thêm tại www.owasp.org

OWASP cũng đưa ra danh sách top 10 các rủi ro:
   - Injection: Tiêm nhiễm mã độc
   - Broken Authentication and Session Management: Sai lầm trong kiểm tra định danh và phiên làm việc
   - Cross-Site scripting(XSS): Thực thi mã Script xấu
   - Insecure Direct Object Reference: Đối tượng tham chiếu thiếu an toàn
   - Security Misconfiguration : Sai sót cấu hình an ninh
   - Sensitive Data Exposure: Lộ dữ liệu nhạy cảm
   - Missing Function Level Access Control : Mất kiểm soát mức độ truy cập chức năng
   - Cross Site Request Forgery (CSRF): Giả mạo yêu cầu
   - Using Known Vulnerable Components: Tấn công sử dụng các thành phần với các lỗ hổng đã biết
   - Unvalidated Redirects and Forwards: Chuyển hướng và chuyển tiếp không an toàn
Tool test security - OWASP ZAP
   - Là một security scanner
   - ZAP: Zed Attack Proxy: Tại đây
   - Nội dung chi tiết: Tại đây

2. TOOL TEST SECURITY - OWASP ZAP

   - Cài đặt và sử dụng theo hướng dẫn: Tại đây

   - Một số chức năng chính của OWASP ZAP:
       - The Spiders: crawler ( sử dụng AJAX Spiders để scan các AJAX request )
       - Proxy: Recorder , để giúp tạo những data hợp lệ khi attack.
       - Active và Passive Scanning: quét lỗ hổng chủ động và bị động
       - Fuzzer: gửi những data không hợp lệ, không mong muốn.
       - Changing requests and Responses : allows  you to specify as complex a criteria as you need
3. SỬ DỤNG OWASP TEST THỬ SQL INJECTION CỦA DVWA
a. Security level: low, OWASP ZAP scan:



b. Khi Sử dụng thử chức năng Fuzz với thiết lập của của ID={FUZZ}, FUZZ là dữ liệu của MYSQL Injection để test.


c. Kết quả test với Fuzz (Các nhãn Reflected là những nhãn đáng suy nghĩ. Có khả năng xảy ra đặc biệt trong nhóm này. ):
d. Security Level: impossible:d.1. Active Scan:


d.2. Fuzz – MYSQL Injection Scan: