Làm sao để chống lại Firesheep?

Các chuyên gia đề xuất các biện pháp tự vệ phòng ngừa tấn công của add-on Firefox mới chiếm quyền truy cập Facebook, Twitter thông qua Wi-Fi. Các chuyên gia bảo mật đã đề xuất các biện pháp mà người dùng có thể áp dụng để tự bảo vệ chống lại Firesheep, một add-on Firefox mới cho phép các “tay mơ” chiếm quyền truy cập của người đang dùng Facebook, Twitter và các dịch vụ phổ biến khác thông qua Wi-Fi....
Nội dung trích xuất từ tài liệu:
Làm sao để chống lại Firesheep? Làm sao để chống lại Firesheep?Các chuyên gia đề xuất các biện pháp tự vệ phòng ngừa tấn công củaadd-on Firefox mới chiếm quyền truy cập Facebook, Twitter thôngqua Wi-Fi.Hôm thứ Ba ngày 26/10/2010, các chuyên gia bảo mật đã đề xuất cácbiện pháp mà người dùng có thể áp dụng để tự bảo vệ chống lạiFiresheep, một add-on Firefox mới cho phép các “tay mơ” chiếmquyền truy cập của người đang dùng Facebook, Twitter và các dịchvụ phổ biến khác thông qua Wi-Fi.“Cừu lửa” Firesheep thêm một thanh sidebar cho trình duyệt “cáolửa” Firefox của Mozilla. Nó cho biết bất kỳ ai ghé thăm một trangweb không an toàn trong một mạng mở, chẳng hạn như mạng Wi-Ficông cộng tại một quán cà phê. Chỉ đơn giản với một cú nhấp đúp làtin tặc đã nhanh chóng truy cập tới trang nạn nhân đã đăng nhập vào,từ Twitter và Facebook cho đến bit.ly và Flickr.Kể từ khi nhà nghiên cứu Eric Butler phát hành Firesheep hôm Chủnhật ngày 24/10/2010, tiện ích đã được tải về gần 220.000 lần. Nhưngngười dùng vẫn chưa biết phòng vệ.Có một cách mà người dùng có thể tự bảo vệ chống lại những kẻ sửdụng Firesheep là tránh các mạng Wi-Fi công cộng không được mãhóa và chỉ dùng mật khẩu, các chuyên gia cho biết vào hôm thứ Ba.Tuy nhiên, Ian Gallagher, kỹ sư bảo mật cao cấp của SecurityInnovation, đã phản bác quan điểm giản đơn đó. Gallagher là mộttrong hai nhà nghiên cứu đã trình diễn Firesheep cuối tuần trước tạimột hội nghị ở San Diego, Mỹ. Trong một bài viết đăng trên blog vàohôm thứ Ba, ông cho rằng đây không phải là một lỗ hổng trong mạngWi-Fi, mà là thiếu an ninh từ các trang web mà người dùng truy cậptới.Vậy thì, nếu vẫn phải dùng Wi-Fi, người dùng cần làm gì? Việcphòng vệ tốt nhất, theo Chet Wisniewski, một cố vấn an ninh cao cấpcủa hãng bảo mật Sophos, là sử dụng một mạng riêng ảo (virtualprivate network - VPN) khi kết nối với các mạng Wi-Fi công cộng,như tại sân bay hoặc một quán cà phê. Trong khi nhiều người dùngdoanh nghiệp sử dụng một VPN để kết nối với mạng văn phòng củahọ khi họ đang trên đường, người dùng cá nhân thường không cóđường hầm an toàn tới Internet.Nhưng có một số dịch vụ VPN mà bạn có thể đăng ký sử dụng vớichi phí 5 USD đến 10 USD mỗi tháng, Wisniewski cho biết. StrongVPN, nhà cung cấp dịch vụ Internet tại Mỹ là một trong số đó. Mộtmạng VPN mã hóa tất cả các lưu lượng truyền đi giữa một máy tínhvà Internet nói chung, bao gồm cả các trang web dễ bị Firesheep“cướp”. Đây là một giải pháp tốt, và thực sự không khác với việc sửdụng mạng Wi-Fi đã được mã hóa, Wisniewski cho biết.Tuy vậy, Gallagher cảnh báo rằng VPN không phải là một giải pháptổng thể. Lưu lượng truyền của bạn sau đó sẽ để lại máy chủ đócũng giống như nó sẽ để lại trên MTXT của bạn, do đó, bất cứ aichạy Firesheep hoặc các công cụ khác có thể truy cập dữ liệu củabạn theo cùng một cách. Một lời đề nghị mù quáng ‘sử dụng mạngriêng ảo VPN’ không thực sự giải quyết vấn đề và chỉ có thể cung cấpmột cảm nhận sai lầm về bảo mật, ông nói.Strong VPN phản đối: Các máy chủ của chúng tôi được đặt ở trongmột trung tâm dữ liệu an toàn, do vậy không ai có thể ‘đánh hơi’ lưulượng truyền dữ liệu vào/ra. Lấy ví dụ, tất cả lưu lượng truy cập từMTXT của bạn ở San Francisco đều được mã hóa khi đi vào mộttrong các máy chủ ở Mỹ của chúng tôi.Andrew Storms, Giám đốc giám sát an ninh của công ty bảo mậtnCircle Security, có trụ sở ở San Francisco (Mỹ), phủ nhận khẳngđịnh của Strong VPN. Tôi có thể thấy từ quan điểm của Gallagher,rằng một VPN không giải quyết được vấn đề tận gốc, đó là dịch vụgiai đoạn cuối, ông nói. Tuy nhiên, mặc dù đúng là lưu lượngtruyền sẽ là ký tự rõ khi nó rời máy chủ VPN tới các trang web,không lấy gì làm chắc chắn rằng ai đó sẽ ăn cắp chúng.Nếu miễn phí là mục tiêu, có quá nhiều những lựa chọn, Wisniewskinói. Sean Sullivan (một nhà tư vấn bảo mật của F-Secure) vàGallagher đã chỉ ra những add-on Firefox miễn phí buộc trình duyệtsử dụng một kết nối được mã hóa khi truy cập các trang web nhấtđịnh. Một trong những add-on Firefox này là HTTPS-Everywhere.Tiện ích được cung cấp bởi Electronic Frontier Foundation (EFF), chỉlàm việc với một danh sách các trang web đã được xác thực trước,bao gồm Twitter, Facebook, PayPal và công cụ tìm kiếm của Google.Một lựa chọn khác, tiện ích Force-TLS, cũng cùng cách thức hoạtđộng như vậy, nhưng cho phép người dùng xác định các trang web đểthi hành mã hóa chúng (dùng với giao thức HTTPS).Tuy nhiên, các trình duyệt khác như Internet Explorer của Microsoftvà Google Chrome thiếu những tiện ích tương tự. Sullivan đề xuấtthêm giải pháp là sử dụng thiết bị MiFi. Người dùng hãy mang theonó làm điểm phát sóng Wi-Fi an toàn cho chính mình, vì nó có thể mãhóa lưu lượng truyền. Nhưng MiFi không hề rẻ. Ví dụ Verizon tặngkhông phần cứng nhưng tính chi phí dịch vụ khoảng 40 USD - 60USD mỗi tháng cho việc truy cập vào mạng 3G.Cuối cùng thì chính người dùng di động tạo ra lỗ hổng phơi bày trướcFiresheep do sử dụng các truy cập không được mã hóa. Đó là quanđiểm của Butler và Gallagher nhằm bảo vệ cho hành động phát hành“cừu lửa”. Và chỉ các chủ trang web và nhà cung cấp dịch vụ có thểkhắc phục điều đó. Theo Butler thì thành công của Firesheep khôngphải là sự chú ý mà nó giành được, mà rồi đây các trang web sẽ đượcbảo mật thích hợp hơn. Và thành công thực sự sẽ là khi Firesheepkhông còn tác dụng. Nhưng, thời điểm hiện tại, ngay cả các chuyêngia bảo mật cũng cảm thấy lo lắng. ...