Hệ thống nhắn tin SWIFT đã lỗi thời?

Những ngày này, hãng bảo mật Skyport Systems đang phải nhận nhiều phê bình, chỉ trích sau khi hệ thống SWIFT tiết lộ ngân hàng TP Bank của Việt Nam bị tấn công. TP Bank là ngân hàng thứ hai trở thành nạn nhân của kỹ thuật gian lận, tạo ra mối lo ngại lớn sau khi ngân hàng Bangladesh hồi tháng Hai đã bị tấn công thiệt hại tới 81 triệu USD.

Trong cả hai trường hợp của TP Bank và ngân hàng Bangladesh, về mặt lý thuyết, hacker đã tiếp cận được các thông tin cần thiết để gửi tin nhắn trên hệ thống nhắn tin tài chính bảo mật SWIFT sau khi lây nhiễm thành công các thiết bị đầu cuối trong mạng lưới của ngân hàng chủ đích, hoặc lợi dụng một cán bộ ngân hàng tham nhũng, biến chất. Cả hai trường hợp, SWIFT đều tuyên bố vụ gian lận xảy ra vì đó là một vụ tấn công đã được lên kế hoạch kỹ lưỡng chống lại các ngân hàng chủ đích, và thiếu sót trong biện pháp bảo mật, chứ SWIFT không hề có bất kỳ yếu kém nào.

 

 

Trong khi đó, các chuyên gia bảo mật độc lập lại có nhiều ý kiến khác nhau về quan điểm này. Một số ít nhất cũng lên tiếng rằng hệ thống SWIFT cần kiện toàn lại. Chẳng hạn, những phân tích của phó chủ tịch Doug Gourlay của hãng Skyport Systems về các bước bảo mật của SWIFT đối với người dùng đã kết luận rằng dù xử lý được "các loại tấn công thịnh hành cách đây 1 thập kỷ", song lại không thể bảo vệ được các ngân hàng khỏi các vụ tấn công tinh vi hơn của ngày nay. Ông tuyên bố hệ thống SWIFT đã được cập nhật và hiện đại hóa -  và vụ tấn công gần đây nhẽ ra đã có thể tránh được.

Theo trang The Register, Gourlay đã đưa ra những vấn đề cần áp dụng như cải thiện mạng lưới, sử dụng chứng thực 2 yếu tố và nâng cấp bảo mật trình duyệt…. SWIFT hỗ trợ chứng thực 2 bước nhưng về cơ bản, công nghệ mà các ngân hàng sử dụng để kết nối vào mạng lưới SWIFT vẫn chưa hiện đại – mặc dù thẻ cứng và những thiết bị cần thiết để truy cập từ xa đã được dùng từ 20 năm hoặc tương đương.

Cảnh báo lỗ hổng bảo mật nguy hiểm GHOST

Vào ngày 27/1/2015 các chuyên gia bảo mật của Qualys  đã phát hiện ra một lỗ hổng nguy hiểm mới được công bố với thên “GHOST”

GHOST là một lỗ hổng nghiêm trọng được phát hiện trong bộ thư viện Linux glibc. GNU C Library hoặc gọi là glibc thường có sẵn trong các hệ điều hành Linux. Lỗ hổng này cho phép kẻ tấn công kiểm soát từ xa hoàn toàn hệ thống đang bị tổn thương bằng cách khai thác lỗ hổng tràn bộ đệm trong chức năng GetHOST của glibc.

Cũng giống như Shellshock và Heartbleed thì lỗ hổng này rất nghiêm trọng và ảnh hưởng nhiều đến các máy chủ trên toàn thế giới.

Lỗ hổng GHOST có thể khai thác trên các máy chủ chạy hệ điều hành Linux mà có sử dụng thư viện glibc từ các phiên bản 2.18 trở về trước.  Nhiều bản phân phối của Linux phổ biến đang được nhiều máy chủ sử dụng đang tồn tại lỗ hổng này như:

  • RHEL (Red Hat Enterprise Linux) version 5.x, 6.x and 7.x
  • CentOS Linux version 5.x, 6.x & 7.x
  • Ubuntu Linux version 10.04, 12.04 LTS
  • Debian Linux version 7.x
  • Linux Mint version 13.0
  • Fedora Linux version 19 or older
  • SUSE Linux Enterprise 11 and older (also OpenSuse Linux 11 or older versions).
  • Arch Linux glibc version <= 2.18-1

Viện Công nghệ An toàn thông tin (IST) cảnh báo các đơn vị, tổ chức đang sử dụng các hệ thống Linux cần kiểm tra và câp nhật ngay. Sau đây là một số phương pháp kiểm tra xem hệ thống có đang bị lỗ hổng GHOST hay không và cách thức khắc phục lỗ hổng này.

 

A: Kiểm tra xem hệ thống có đang bị lỗ hổng bảo mật này:

Có 2 cách kiểm tra lỗ hổng này:

Cách 1: 

 Kiểm tra phiên bản của glibc bằng câu lệnh dưới :

ldd --version

 

Với Ubuntu & Debian

 

Dòng đầu tiên sẽ thể hiện phiên bản của eglibc. Như ví dụ dưới là phần bôi đậm

ldd (Ubuntu EGLIBC 2.15-0ubuntu10.7) 2.15
Copyright (C) 2012 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.

Nếu phiên bản eglibc giống hoặc mới hơn các phiên bản được liệt kê dưới đây thì hệ thống của bạn không bị lỗ hổng GHOST và ngược lại bạn đang bị lỗ hổng cần cập nhật ngay:

  • Ubuntu 12.04 LTS: 2.15-0ubuntu10.10
  • Ubuntu 10.04 LTS: 2.11.1-0ubuntu7.20
  • Debian 7 LTS: 2.13-38+deb7u7

CentOS & RHEL

Với phương pháp tương tự 

Nếu phiên bản glibc cũ hơn 2.18 thì hệ thống của bạn dễ bị tổng thương. Ngược lại nếu bạn đang sử dụng các phiên bản 2.18 hoặc mới hơn thì hệ thống an toàn với lỗ hổng GHOST. 

Cách 2: 

Sử dụng đoạn code C sau:  

link : http://www.openwall.com/lists/oss-security/2015/01/27/9

/* ghosttest.c:  GHOST vulnerability tester */
/* Credit: http://www.openwall.com/lists/oss-security/2015/01/27/9 */
#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
 
#define CANARY "in_the_coal_mine"
 
struct{
  char buffer[1024];
  char canary[sizeof(CANARY)];
} temp = {"buffer", CANARY };
 
int main(void){
  struct hostent resbuf;
  struct hostent *result;
  int herrno;
  int retval;
 
  /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
  size_t len = sizeof(temp.buffer) - 16*sizeof(unsignedchar) - 2*sizeof(char *) - 1;
  char name[sizeof(temp.buffer)];
  memset(name, '0', len);
  name[len] = '\0';
 
  retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);
 
  if(strcmp(temp.canary, CANARY) != 0){
    puts("vulnerable");
    exit(EXIT_SUCCESS);
  }
  if(retval == ERANGE){
    puts("not vulnerable");
    exit(EXIT_SUCCESS);
  }
  puts("should not happen");
  exit(EXIT_FAILURE);
}

Compile và chạy:

$ gcc ghosttest.c -o ghosttest

$ ./ghosttest

Nếu hệ thống bị lỗ hổng GHOST sẽ có kết quả:

vulnerable

Và ngược lại không bị lỗ hổng:

not vulnerable

 

 

B: Cách khắc phục lỗ hổng GHOST:

vVới Ubuntu / Debian: 

sudo apt-get clean
sudo apt-get update
sudo apt-get dist-upgrade

Khởi động lại hệ thống sau khi cập nhật xong. 

 

vVới CentOS / RHEL/ Fedora/ Scientific Linux

 

sudo yum update glibc
sudo yum update 

 Khởi động lại hệ thống sau khi cập nhật xong. 

 

C: Sử dụng các cách như phần A đã trình bày để kiểm tra lỗ hổng

D: Tham khảo:

 

·         https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability

·         https://www.digitalocean.com/community/tutorials/how-to-protect-your-linux-server-against-the-ghost-vulnerability

·         https://rhn.redhat.com/errata/RHSA-2015-0090.html

·         https://launchpad.net/ubuntu/+source/eglibc

·         https://security-tracker.debian.org/tracker/CVE-2015-0235

 

·         http://www.gnu.org/software/libc/

 

 

Mật khẩu Google Chrome bị lộ chỉ sau ba bước

Sample image

Không cần thủ thuật tinh vi, bất kì người dùng nào sử dụng trình duyệt Chrome trên máy tính đều có thể biết được mật khẩu bạn đã lưu.

Xem thêm: Mật khẩu Google Chrome bị lộ chỉ sau ba bước

Cảnh bảo lỗ hổng bảo mật nghiêm trọng Shell Shock (CVE-2014-6271: remote code execution through bash)

Một lỗ hổng nghiêm trọng vừa được phát hiện trong phần mềm lõi Bash được sử dụng trên các hệ thống Unix và Linux. Điều này gây ra một nguy cơ bảo mật cao đối với nhiều doanh nghiệp, tổ chức nói riêng cũng như internet nói chung do tính phổ biến sử dụng các hệ thống Unix và Linux. Các thành phần bị ảnh hưởng bởi lỗ hổng này có thể là các website, server, máy tính cá nhân, các thiết bị chạy OS X, các thiết bị mạng,….(Các hệ thống sử dụng Ubuntu và Debian không bị ảnh hưởng của lỗ hổng này do sử dụng Dash)

So sách về mức độ nghiêm trọng thì lỗ hổng này được nhiều chuyên gia đánh giá sánh ngang với lỗ hổng Heartbleed trong thư viện OpenSSL vừa được công bố vào đầu năm nay.

Lỗ hổng này được chuyên gia Stephane Chazelas phát hiện trong phiên bản 4.3 của Bash. Mức độ nghiêm trọng của lỗ hổng này là rất cao do tất cả các ứng dụng có "nhúng" việc thực thi Bash command bên trong sẽ đứng trước tình trạng dễ dàng bị khai thác từ xa và chạy lệnh trên hệ thống bị tấn công. Một số kịch bản mà lỗ hổng này có thể được lợi dụng để khai thác như:

-ForceCommand được sử dụng trong việc cấu hình SSHD để giới hạn các lệnh mà người dùng có thể thực thi từ xa. Tuy nhiên với lỗ hổng này kẻ tấn công có thể lợi dụng và bỏ qua các hạn chế đó để thực hiện các lệnh tùy ý. 

-Các máy chủ Apache có sử dụng mod_cgi hoặc mod_cgid cũng có thể bị ảnh hưởng.

-DHCP clients gọi một shell scripts để cấu hình hệ thống, với các giá trị có được khi máy chủ bị lỗ hổng này cho phép client đó thực hiện các lệnh tùy ý như với quyền root trên chính DHCP client.

-……………….

Hiện tại một số mã khai thác lỗ hổng đã được công bố:

http://pastebin.com/raw.php?i=166f8Rjx

Để kiểm tra hệ thống có đang bị lỗ hổng trên ta có thể sử dụng câu lệnh dưới đây:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Các hệ thống bị lỗ hổng này sẽ ra kết quả như hình dưới:

 

Các hệ thống không bị lỗ hổng này sẽ ra kết quả:

 

 

Các quản trị hệ thống cần kiểm tra gấp các hệ thống của mình đồng thời cập nhật gấp khi phát hiện hệ thống đang bị lỗ hổng. Hiện tại mới có Redhat và centos đưa ra bản cập nhật. 

Một số thông tin hỗ trợ việc khắc phục lỗ hổng này có thể được tham khảo tại:

http://seclists.org/oss-sec/2014/q3/650

https://access.redhat.com/solutions/1207723

http://lists.centos.org/pipermail/centos/2014-September/146099.html

 

Một số nguồn tham khảo thông tin về lỗ hổng:

http://garage4hackers.com/entry.php?b=3087

https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/

http://seclists.org/oss-sec/2014/q3/649

 

Nguồn: Kênh An toàn thông tin- Hiệp hội An toàn thông tin Việt Nam

 

Hacker Trung Quốc bị “nhử” tấn công Mỹ bằng mục tiêu giả

Hacker Trung Quoc

Bằng cách thiết lập một nhà máy nước giả có trụ sở đặt tại Mỹ, chuyên gia bảo mật đã chứng minh là một nhóm hacker Trung Quốc đang tìm cách tấn công hệ thống kiểm soát công nghiệp của Mỹ.

Xem thêm: Hacker Trung Quốc bị “nhử” tấn công Mỹ bằng mục tiêu giả