Tìm hiểu lỗ hổng bảo mật Spectre, Meltdown nguy c chúng hoạt động ngân hàng Thời gian gần đây, chuyên gia b ảo mật đưa cảnh báo lỗ hổng bảo mật Spectre Meltdown Cả hai mối nguy đề cập đến biến thể lỗ hổng, nhà nghiên cứu xem xét thảm họa tính chất phổ biến chúng gây Sự hình thành phạm vi hoạt động Spectre, Meltdown Hai lỗ hổng đặt tên phù hợp với mức độ ảnh hưởng chúng: Spectre đề cập đến nguyên nhân gốc rễ, khó khắc phục (và ám ảnh nhi ều năm tới); Meltdown đư ợc sử dụng để mô tả tan chảy ranh giới bảo mật mà điều xảy ra, lỗi khiến cho biện pháp bảo vệ thông thường từ phần cứng thực Lỗ hổng ban đầu cho tác động đến chipset Intel Tuy nhiên, sau tình hình trở nên phức tạp lan rộng: Gần tất hệ thống bị ảnh hưởng, từ máy tính để bàn máy tính xách tay đ ến thiết bị di động, xử lý Intel, AMD ARM T ất liệu nhớ từ ứng dụng chạy có khả bị tổn thương: trình qu ản lý mật khẩu, ảnh, tài liệu Một nhà nghiên cứu nói kẻ xấu đánh cắp liệu hệ thống Về bản, lỗ hổng vấn đề bảo mật nằm gần xử lý xây dựng 20 năm qua Điều có nghĩa m ột số lượng lớn hệ thống - tất hệ thống xây dựng với xử lý Intel, ARM AMD - cần cập nhật bảo mật Bản thân lỗi liên kết với cách ứng dụng chương trình thơng thư ờng, khám phá nội dung bảo vệ vùng nhớ kernel Trong h ệ điều hành, kernel đóng vai trị thành phần cốt lõi ứng dụng xử lý liệu, nhớ phần cứng Lỗ hổng xử lý bị ảnh hưởng cho phép tin tặc qua mặt biện pháp bảo vệ truy cập kernel xử lý, làm cho nội dung nhớ kernel dễ bị tổn thương Cặp lỗ hổng Spectre Meltdown có ho ạt động phức tạp khó vá so v ới lỗ hổng thường gặp Thông thường, người quản trị quen với lỗ hổng bảo mật nên phản ứng họ thường “hổng vá” Nhưng c ặp lỗ hổng trứ danh Spectre - Meltdown khác hẳn với lỗ hổng mà gặp, mức độ khó vá Những nỗ lực vá lỗi cho Windows Windows Server 2008 R2 không thành công c Microsoft d ẫn đến cố “Total Meltdown”, ến vấn đề trở nên nghiêm trọng nhiều Bản vá thiết lập sai quyền khiến vùng nhớ vốn truy cập kernel lại bị tự đơng ánh xạ cho tiến trình chạy mức người dùng, điều cho phép chương trình độc hại đọc tồn bộ nhớ hệ thống với tốc độ hàng GB/giây thay 120 KB/giây kh i lợi dụng lỗ hổng Meltdown Vào tháng 4/2018, người ta phát vá Windows 10 cho Spectre Meltdown trư ớc cập nhật tháng 4/2018 hồn tồn vơ dụng, chương trình truy cập vào tồn bảng trang kernel cách gọi NtCallEnclave (b ản cập nhật Windows 10 gây nhi ều vấn đề khác) Trọng tâm ban đầu vá thiết bị cá nhân Đến nay, nhiều vá có sẵn nhà nghiên c ứu nghiên cứu tác động mà Spectre có th ể gây dịch vụ đám mây, nơi số tổ chức chia sẻ tài ngun Có số suy đốn lỗ hổng liệu, người thuê đám mây có th ể truy cập liệu người khác Hãy tưởng tượng tác động lớn đến mức đám mây v ới leo thang đặc quyền Dữ liệu bị đánh cắp trường hợp mà người thuê chia sẻ chip d ịch vụ Amazon Web Services (AWS) hay Google Cloud (nh ững dịch vụ đám mây khác khơng nêu tên khơng th ể liệt kê hết khơng phải chúng khơng bị ảnh hưởng) May mắn nhà cung c ấp dịch vụ điện toán đám mây lớn thường kiểm soát an ninh chặt doanh nghiệp thơng thường họ thường cập nhật vá kịp thời Vì thế, ngân hàng cần trọng đến trung tâm liệu đảm bảo lỗ hổng bảo mật vá sớm tốt Nguy ngân hàng Với ngân hàng, nhiều người thường cho tác động Spectre - Meltdown liên quan đến kho liệu nhạy cảm họ (bao gồm thông tin tài khoản thơng tin đăng nhập người dùng) Tuy nhiên, cặp lỗ hổng cho phép tin tặc truy cập liệu nhớ nên chúng cơng ngân hàng b ằng cách đánh cắp khóa giải mã thơng tin kiểm sốt truy cập API Sau có tài sản thơng tin q giá đó, tin t ặc truy cập tới tất hệ thống ứng dụng ngân hàng (và chí ứng dụng đối tác) Vì thế, cặp lỗ hổng “phần cứng” đặt nhiều thách thức cho đội ngũ phát triển phần mềm Trước lỗ hổng xuất hiện, hầu hết nhà phát triển web cần tập trung vào bảo mật ứng dụng (nếu họ quan tâm đến an ninh bảo mật) Kể từ cặp lỗ hổng tiếng Spectre Meltdown công bố, họ phải xem xét cách trình duyệt quản lý nhớ chu trình xử lý yêu cầu, nhiệm vụ mới, khó khăn Để vượt qua thách thức này, đội ngũ phát triển cần tìm hiểu để tận dụng tối đa tính b ảo mật sẵn có như: SameSite - thuộc tính cho phép đính kèm cookie t ới yêu cầu xuất phát từ site, HTTPOnly - thuộc tính ngăn chặn cookie khỏi bị truy cập thơng qua tập lệnh phía máy khách Gần có lẽ Site Isolation (Cách ly trang web) - tính trình duyệt Chrome bổ sung thêm ranh giới trang web cách đảm bảo trang từ website khác hoạt động ti ến trình “hộp cát” khác trình ệt Tính khiến có lỗ hổng Spectre tin tặc khó lòng truy cập hay đánh cắp liệu xuyên trang tài khoản bạn trang web khác Vi ệc kích hoạt Site Isolation khơng tác đ ộng trực tiếp đến người phát triển ứng dụng web Các lập trình viên khơng phải học thêm API nhìn chung trang web khơng th ể nhận khác biệt chạy chế độ Site Isolation v ới chế độ thông thường Tuy nhiên, l ập trình viên cần lưu ý tới hiệu ứng phụ tính đ ể đảm bảo website hoạt động trơn tru Để tăng khả ngăn rị rỉ thơng tin nhạy cảm, Site Isolation bao gồm tính Cross Origin Read Blocking để chặn việc truyền liệu trang web Trong điều kiện trình duyệt Chrome chiếm thị phần lớn (ngay Microsoft chuyển sang sử dụng nhân Chrome cho trình ệt Internet Explorer), l ập trình viên khơng nên b ỏ qua tính bảo mật mà Chrome cung c ấp Site Isolation Cross -Origin Read Blocking Ngoài ra, với phổ biến ngày tăng dịch vụ mobile banking, ngân hàng phải đối mặt với ngày nhiều rủi ro bảo mật Ngay ứng dụng viết tốt dễ bị tổn thương Dù hầu hết ứng dụng đảm bảo bảo mật cách mã hóa liệu ứng dụng trung tâm liệu điều khơng đủ Để bảo vệ tốt hơn, ngân hàng cần mã hóa liệu ứng dụng họ, giải mã thời điểm cần thiết sau mã hóa l ại Để bảo vệ ứng dụng hơn, ngân hàng nên b ảo mật cho ứng dụng họ kỹ thuật chống đảo ngược chống sửa đổi Các ngân hàng có th ể tự bảo vệ cách theo dõi phân tích hành vi ứng dụng Các biện pháp kỹ thuật chống chỉnh sửa chống đảo ngược vô giá vi ệc phát hành vi bất thường ứng dụng Bằng cách phát hành vi vậy, có th ể hiểu cách thức thời điểm để thay đổi Tự động thay đổi hành vi ứng dụng / chọn đường dẫn thực đạt kết tương tự giúp giảm khả dự đoán trước ứng dụng Việc chỉnh sửa luồng điều khiển ứng dụng khiến việc nhắm mục tiêu vào thiết lập cụ thể địa nhớ xác trở nên khó khăn đ ối với kẻ công Với máy ATM, tin t ặc tải phần mềm độc hại, truy cập thông tin nhạy cảm (như số tài khoản hay số thẻ khách hàng) chí biết số loại mật mật đăng nhập người giám sát ATM thông tin đư ợc lưu tạm nhớ Hầu hết máy ATM bảo vệ khỏi phần mềm độc hại Phương pháp chuẩn dùng “danh sách tr ắng” (whitelist) để tự động ngăn ATM chạy chương trình, thư vi ện tập lệnh không nhận dạng Danh sách trắng ngăn chặn phần mềm độc hại thực thi ATM hàng phòng th ủ tuyệt vời Tuy nhiên, không ph ải tất ngân hàng sử dụng danh sách trắng ATM Một số ngân hàng sử dụng phần mềm chống virus, ngân hàng khác không s dụng phần mềm bảo vệ phần mềm độc hại (tất nhiên, điều tệ hại) Phần mềm chống virus chưa giải pháp để bảo vệ ATM lỗ hổng Meltdown làm bật thực tế cách rõ ràng Bản vá bảo mật Microsoft cho Meltdown s ẽ bị chặn nhiều sản phẩm chống virus bên thứ ba, họ phải truy cập CPU theo cách mà vá không cho phép Trong trư ờng hợp này, phần mềm chống virus khiến ATM dễ bị cơng khơng phải bảo vệ Danh sách trắng bị xâm phạm nhân viên xấu ngân hàng, người có quyền sửa đổi cài đặt danh sách trắng Tốt không cấp quyền quản trị PC ATM cho cán điều hồn tồn khơng cần thiết Tất hành động bảo trì hợp lệ ATM thực quyền tiêu chuẩn Thật khơng may nhiều ngân hàng cịn cấp quyền quản trị PC ATM cho nhân viên Đó l ựa chọn họ, với quyền quản trị PC ATM nhân viên dễ dàng cài đặt chạy phần mềm độc hại không phần mềm lợi dụng lỗ hổng Meltdown Khơng ngân hàng hi ện chạy hệ điều hành Windows XP ATM Điều nguy hiểm dù Microsoft phát hành vá lỗ hổng đặc biệt nghiêm trọng cho Windows XP đ ến có vá Meltdown cho Windows tr lên Cuối cùng, khơng nói đến vấn đề cảnh báo hướng dẫn người dùng (các chuyên gia cho r ằng biện pháp cần xem xét) Các ngân hàng nên hư ớng dẫn khách hàng tận dụng tính Site Isolation c trình duyệt Chrome máy tính điện thoại di động (nếu website họ hỗ trợ trình duyệt - điều chắn) Ngoài ra, cần nhắc nhở khách hàng tắt JavaScript đóng ứng dụng họ khơng dùng Đóng ứng dụng biện pháp đảm bảo an tồn tốt tin tặc khơng có cách truy c ập thơng tin nhạy cảm chúng khơng có nhớ  ...Cặp lỗ hổng Spectre Meltdown có ho ạt động phức tạp khó vá so v ới lỗ hổng thường gặp Thông thường, người quản trị quen với lỗ hổng bảo mật nên phản ứng họ thường ? ?hổng vá” Nhưng c ặp lỗ hổng. .. thế, ngân hàng cần trọng đến trung tâm liệu đảm bảo lỗ hổng bảo mật vá sớm tốt Nguy ngân hàng Với ngân hàng, nhiều người thường cho tác động Spectre - Meltdown liên quan đến kho liệu nhạy cảm họ... dụng ngân hàng (và chí ứng dụng đối tác) Vì thế, cặp lỗ hổng “phần cứng” đặt nhiều thách thức cho đội ngũ phát triển phần mềm Trước lỗ hổng xuất hiện, hầu hết nhà phát triển web cần tập trung vào