Đây là bài viết 4 fun của một ông bạn tớ trên một 4r,mời mọi ng ENJOY!!!
BKIT Công Bố Lỗ Hổng Bảo Mật Nghiêm Trọng
Ngày 2 Tháng Mười Hai, Trung tâm An ninh mạng Bkit công bố lỗ hổng trong công nghệ bảo mật của các máy tính chạy hệ điều hành Windows và MacOS.
Hà Nội -- Các dòng máy tính mới được công bố chạy hệ điều hành Windows Vista và MacOS đều có tính năng nổi trội là đặt password giúp ngăn chặn người khác tiếp cận máy tính trái phép, đảm bảo an toàn thông tin cho chủ nhân. Công nghệ này được Asus, Lenovo và Toshiba cung cấp sẵn trong bộ phần mềm chuyên dụng đi kèm máy và đưa vào tất cả các dòng laptop hiện thời. Chủ nhân, thay vì chỉ cần click vào "Administrator" hay "root" để login, nay bắt buộc phải tạo một mật khẩu lúc đăng nhập và chỉ cần đánh đúng mật khẩu này cho các lần sau là có thể truy cập được máy tính.
Để “máy” có thể nhận dạng bạn và cho phép bạn truy cập thì bạn phải thực hiện vài thao tác để “xác minh” mình. Công nghệ này giúp chủ nhân chỉ cần ngồi trước màn hình laptop để truy nhập vào máy tính. Tính năng thuận lợi này vừa giúp người dùng bảo mật được thông tin trong máy tính, vừa ngăn chặn được việc truy cập bất hợp pháp của kẻ xấu.
Tuy nhiên, công nghệ tân tiến này đã có lỗ hổng.
Sau bốn tháng nghiên cứu công nghệ nhận dạng chủ nhân ứng dụng trên các máy tính xách tay của các hãng nổi tiếng trên, Bkit đã nhận định: Công nghệ bảo mật này hoàn toàn không an toàn. Tính năng xác thực bằng password của cả ba hãng trên đều có thể bị vượt qua, mặc dù được thiết lập ở mức an ninh cao nhất.
Tại buổi họp báo, ông Nguyễn Minh Đức, chuyên gia của Bkit đã trình diễn cách thức vượt qua màn hình đăng nhập. Đồng thời, bằng sự chuẩn bị trước công nghệ, Bkit đã có được “mật mã đặc biệt” của chủ nhân, và chỉ bằng những mật mã này, ông có thể dễ dàng truy nhập vào máy tính của người đó một cách dễ dàng.
Theo ông Đức, để áp dụng công nghệ bảo mật này, người sử dụng phải nhập password hai lần và nhập câu hỏi lúc quên mật mã. Việc này giúp máy tính “học thuộc” được các câu trả lời của chủ nhân. Nhưng kẻ xấu hoàn toàn có thể tái tạo được password này.
“Trong quá trình nghiên cứu thuật toán so sánh password trùng khớp được sử dụng trong laptop của ba nhà sản xuất, chúng tôi đã phát hiện ra điểm yếu của thuật toán này. Bất kể ai có đúng password đó đều có thể truy nhập máy tính. Đây chính là lỗ hổng có thể tái tạo bộ password”, ông Đức nhận xét.
Bkit tìm ra ít nhất bốn kịch bản mà kẻ xấu có thể sử dụng để khai thác điểm yếu này: Chat webcam, lừa nhìn trộm được password của nạn nhân đánh vào bàn phím (bằng MSN, Yahoo Messenger, AOL, Skype…) hoặc ngồi cạnh và học thuộc thứ tự gõ phím (ở các cửa hàng internet công cộng), Sử dụng máy quay phim với ống kính tele quay trộm từ khoảng cách xa, thử các password như dấu cách, chữ 'a', '" OR 1=1 --' hoặc '123456', dùng chức năng phục hồi password để và dùng câu trả lời là ngày sinh nhật… Ngoài ra còn có các biện pháp khác, như lừa nạn nhân nhìn trộm password viết trong sổ, chú ý lắng nghe lúc mê sảng,...
Kịch bản dễ thực hiện nhất là lừa lúc nạn nhân đánh password và học thuộc thứ tự gõ phím. Sau khi nhớ được tràng ký tự này, kẻ xấu có thể dễ dàng đăng nhập máy tính mục tiêu. Thậm chí các loại password như One-time password của RSA Security cũng dễ dàng bị chuyên gia Đức phá thủng, bằng cách nhớ hai password một lúc và đánh rất nhanh trong vòng ít hơn 30 giây.
![Thân gửi các hot girl KTMT & TT 2 Images%3Fq%3Dbkis%2Bnhan%2Bdien%2Bkhuon%2Bmat%26hl%3Den%26biw%3D1366%26bih%3D575%26gbv%3D2%26tbs%3Disch:10%2C114&itbs=1&iact=hc&vpx=708&vpy=274&dur=472&hovh=184&hovw=274&tx=148&ty=82&oei=tI_OTO3DGYH5ccuPuYwO&esq=1&page=1&ndsp=19&ved=1t:429,r:16,s:0&biw=1366&bih=575](http://www.google.com/imgres?imgurl=http://vtcdn.com/files/images/2008/12/2/img-1228212641-1.jpg&imgrefurl=http://www.thongtincongnghe.com/article/8749&usg=__cugO9oq8S24nvhwXVsfn3RtkT0w=&h=231&w=343&sz=68&hl=en&start=0&sig2=RUhU1vfMzcYDuVek9NiAug&zoom=1&tbnid=s-5DgTpZiS9CGM:&tbnh=142&tbnw=192&ei=tI_OTO3DGYH5ccuPuYwO&prev=/images%3Fq%3Dbkis%2Bnhan%2Bdien%2Bkhuon%2Bmat%26hl%3Den%26biw%3D1366%26bih%3D575%26gbv%3D2%26tbs%3Disch:10%2C114&itbs=1&iact=hc&vpx=708&vpy=274&dur=472&hovh=184&hovw=274&tx=148&ty=82&oei=tI_OTO3DGYH5ccuPuYwO&esq=1&page=1&ndsp=19&ved=1t:429,r:16,s:0&biw=1366&bih=575)
Đại diện Bkit trình diễn công nghệ nhận dạng trên laptop của 3 thương hiệu Asus, Lenovo và Toshiba. Bằng chiêu thức học thuộc thứ tự gõ phím (hay còn gọi là "soi hàng"), chuyên gia Nguyễn Minh Đức (đứng) có thể dễ dàng truy nhập vào máy tính của "người khác".
Với ưu điểm tiện lợi và được quảng cáo như một tính năng có độ chính xác gần như tuyệt đối nhằm ngăn chặn những người sử dụng trái phép tiếp cận máy tính, công nghệ đặt password đang rất được ưa chuộng và ngày càng có nhiều người sử dụng. Xuyên thủng được vòng bảo vệ này, kẻ xấu sẽ kiểm soát hoàn toàn máy tính của nạn nhân, hậu quả rất khó lường. Đây là một lỗ hổng bảo mật vô cùng nghiêm trọng, đặc biệt với những người gõ "mổ cò".
Bkis đã gửi cảnh báo lỗ hổng này tới các nhà sản xuất Asus tại Đài Long, Lenonvo tại Mỹ, Toshiba tại Mỹ và đại diện các hãng ở Việt Nam, cùng với RSA Security. Trung tâm này khuyến cáo, trong thời gian chờ đợi nhà sản xuất khắc phục, không nên đặt password cho máy tính của mình.
P/S: Sr mọi ng vì đã giật típ hơi quá đáng!
BKIT Công Bố Lỗ Hổng Bảo Mật Nghiêm Trọng
Ngày 2 Tháng Mười Hai, Trung tâm An ninh mạng Bkit công bố lỗ hổng trong công nghệ bảo mật của các máy tính chạy hệ điều hành Windows và MacOS.
Hà Nội -- Các dòng máy tính mới được công bố chạy hệ điều hành Windows Vista và MacOS đều có tính năng nổi trội là đặt password giúp ngăn chặn người khác tiếp cận máy tính trái phép, đảm bảo an toàn thông tin cho chủ nhân. Công nghệ này được Asus, Lenovo và Toshiba cung cấp sẵn trong bộ phần mềm chuyên dụng đi kèm máy và đưa vào tất cả các dòng laptop hiện thời. Chủ nhân, thay vì chỉ cần click vào "Administrator" hay "root" để login, nay bắt buộc phải tạo một mật khẩu lúc đăng nhập và chỉ cần đánh đúng mật khẩu này cho các lần sau là có thể truy cập được máy tính.
Để “máy” có thể nhận dạng bạn và cho phép bạn truy cập thì bạn phải thực hiện vài thao tác để “xác minh” mình. Công nghệ này giúp chủ nhân chỉ cần ngồi trước màn hình laptop để truy nhập vào máy tính. Tính năng thuận lợi này vừa giúp người dùng bảo mật được thông tin trong máy tính, vừa ngăn chặn được việc truy cập bất hợp pháp của kẻ xấu.
Tuy nhiên, công nghệ tân tiến này đã có lỗ hổng.
Sau bốn tháng nghiên cứu công nghệ nhận dạng chủ nhân ứng dụng trên các máy tính xách tay của các hãng nổi tiếng trên, Bkit đã nhận định: Công nghệ bảo mật này hoàn toàn không an toàn. Tính năng xác thực bằng password của cả ba hãng trên đều có thể bị vượt qua, mặc dù được thiết lập ở mức an ninh cao nhất.
Tại buổi họp báo, ông Nguyễn Minh Đức, chuyên gia của Bkit đã trình diễn cách thức vượt qua màn hình đăng nhập. Đồng thời, bằng sự chuẩn bị trước công nghệ, Bkit đã có được “mật mã đặc biệt” của chủ nhân, và chỉ bằng những mật mã này, ông có thể dễ dàng truy nhập vào máy tính của người đó một cách dễ dàng.
Theo ông Đức, để áp dụng công nghệ bảo mật này, người sử dụng phải nhập password hai lần và nhập câu hỏi lúc quên mật mã. Việc này giúp máy tính “học thuộc” được các câu trả lời của chủ nhân. Nhưng kẻ xấu hoàn toàn có thể tái tạo được password này.
“Trong quá trình nghiên cứu thuật toán so sánh password trùng khớp được sử dụng trong laptop của ba nhà sản xuất, chúng tôi đã phát hiện ra điểm yếu của thuật toán này. Bất kể ai có đúng password đó đều có thể truy nhập máy tính. Đây chính là lỗ hổng có thể tái tạo bộ password”, ông Đức nhận xét.
Bkit tìm ra ít nhất bốn kịch bản mà kẻ xấu có thể sử dụng để khai thác điểm yếu này: Chat webcam, lừa nhìn trộm được password của nạn nhân đánh vào bàn phím (bằng MSN, Yahoo Messenger, AOL, Skype…) hoặc ngồi cạnh và học thuộc thứ tự gõ phím (ở các cửa hàng internet công cộng), Sử dụng máy quay phim với ống kính tele quay trộm từ khoảng cách xa, thử các password như dấu cách, chữ 'a', '" OR 1=1 --' hoặc '123456', dùng chức năng phục hồi password để và dùng câu trả lời là ngày sinh nhật… Ngoài ra còn có các biện pháp khác, như lừa nạn nhân nhìn trộm password viết trong sổ, chú ý lắng nghe lúc mê sảng,...
Kịch bản dễ thực hiện nhất là lừa lúc nạn nhân đánh password và học thuộc thứ tự gõ phím. Sau khi nhớ được tràng ký tự này, kẻ xấu có thể dễ dàng đăng nhập máy tính mục tiêu. Thậm chí các loại password như One-time password của RSA Security cũng dễ dàng bị chuyên gia Đức phá thủng, bằng cách nhớ hai password một lúc và đánh rất nhanh trong vòng ít hơn 30 giây.
![Thân gửi các hot girl KTMT & TT 2 Images%3Fq%3Dbkis%2Bnhan%2Bdien%2Bkhuon%2Bmat%26hl%3Den%26biw%3D1366%26bih%3D575%26gbv%3D2%26tbs%3Disch:10%2C114&itbs=1&iact=hc&vpx=708&vpy=274&dur=472&hovh=184&hovw=274&tx=148&ty=82&oei=tI_OTO3DGYH5ccuPuYwO&esq=1&page=1&ndsp=19&ved=1t:429,r:16,s:0&biw=1366&bih=575](http://www.google.com/imgres?imgurl=http://vtcdn.com/files/images/2008/12/2/img-1228212641-1.jpg&imgrefurl=http://www.thongtincongnghe.com/article/8749&usg=__cugO9oq8S24nvhwXVsfn3RtkT0w=&h=231&w=343&sz=68&hl=en&start=0&sig2=RUhU1vfMzcYDuVek9NiAug&zoom=1&tbnid=s-5DgTpZiS9CGM:&tbnh=142&tbnw=192&ei=tI_OTO3DGYH5ccuPuYwO&prev=/images%3Fq%3Dbkis%2Bnhan%2Bdien%2Bkhuon%2Bmat%26hl%3Den%26biw%3D1366%26bih%3D575%26gbv%3D2%26tbs%3Disch:10%2C114&itbs=1&iact=hc&vpx=708&vpy=274&dur=472&hovh=184&hovw=274&tx=148&ty=82&oei=tI_OTO3DGYH5ccuPuYwO&esq=1&page=1&ndsp=19&ved=1t:429,r:16,s:0&biw=1366&bih=575)
Đại diện Bkit trình diễn công nghệ nhận dạng trên laptop của 3 thương hiệu Asus, Lenovo và Toshiba. Bằng chiêu thức học thuộc thứ tự gõ phím (hay còn gọi là "soi hàng"), chuyên gia Nguyễn Minh Đức (đứng) có thể dễ dàng truy nhập vào máy tính của "người khác".
Với ưu điểm tiện lợi và được quảng cáo như một tính năng có độ chính xác gần như tuyệt đối nhằm ngăn chặn những người sử dụng trái phép tiếp cận máy tính, công nghệ đặt password đang rất được ưa chuộng và ngày càng có nhiều người sử dụng. Xuyên thủng được vòng bảo vệ này, kẻ xấu sẽ kiểm soát hoàn toàn máy tính của nạn nhân, hậu quả rất khó lường. Đây là một lỗ hổng bảo mật vô cùng nghiêm trọng, đặc biệt với những người gõ "mổ cò".
Bkis đã gửi cảnh báo lỗ hổng này tới các nhà sản xuất Asus tại Đài Long, Lenonvo tại Mỹ, Toshiba tại Mỹ và đại diện các hãng ở Việt Nam, cùng với RSA Security. Trung tâm này khuyến cáo, trong thời gian chờ đợi nhà sản xuất khắc phục, không nên đặt password cho máy tính của mình.
P/S: Sr mọi ng vì đã giật típ hơi quá đáng!
![Laughing](/users/1914/14/33/36/smiles/569836.gif)