Nhìn thấy chứng chỉ HTTPS đừng vội tin, chúng có thể được làm giả

19/10/2019

Mặc dù đang được các ông lớn trong ngành công nghệ như Google, Mozilla xem là một tiêu chuẩn cho các trang web hiện đại, nhưng giờ giao thức https cũng có thể bị làm giả.

Những công cụ thanh toán điện tử như PayPal đã được ưa chuộng trên toàn thế giới, không chỉ vì sự tiện dụng khi thanh toán trên các trang thương mại điện tử mà còn nhờ vào tính bảo mật cao của những dịch vụ này. Một trong những dấu hiệu giúp người dùng yên tâm về sự an toàn cho giao dịch của mình đó là chữ Secure màu xanh bên cạnh giao thức HTTPS.

Nhưng bạn đừng quá tin vào những gì mình thấy, bởi hiện tại những kẻ lừa đảo đã có thể tạo ra những trang web giả mạo với các đặc điểm giống hệt như trên. Kết quả là trang web lừa đảo nhìn không khác gì trang web thật:

Chứng chỉ HTTPS trên tên miền cũng được chứng nhận bởi một tổ chức danh tiếng.

Tại sao điều này lại có thể xảy ra khi các chứng chỉ HTTPS đang được các hãng công nghệ lớn như Google hay Mozilla xem là tiêu chuẩn bảo mật ở hiện tại?

Chính vì để thúc đẩy việc phổ biến giao thức này, việc cấp các chứng chỉ HTTPS được thực hiện theo hướng “nhanh chóng, cởi mở, tự động và miễn phí” đã làm cả người tốt và người xấu đều tận dụng cơ hội này để có được chứng chỉ HTTPS cho website của mình.

Tình trạng lạm dụng chứng chỉ khi chứng nhận HTTPS

Vào ngày 8 tháng Mười Hai 2016, tổ chức LetsEncrypt đã phát hành 409 chứng chỉ có chứa chữ “PayPal” trong tên miền, con số đó tăng lên 709 vào ngày 16 tháng Một năm 2017. Với chứng chỉ HTTPS mà mình có, những kẻ lừa đảo hoàn toàn có thể dựng lên những trang web chẳng khác gì với bản thật như trên.

Không chỉ có tên miền của PayPal, các mục tiêu khác còn bao gồm cả ngân hàng BankOfAmerica (14 chứng chỉ), Apple, Amazon, American Express, Chase Bank, Microsoft, Google và nhiều thương hiệu nổi tiếng khác. Letscrypt chỉ xác nhận duy nhất một lần tại thời điểm người xin cấp chứng chỉ có thể công bố tên miền mục tiêu của mình.

Tổ chức cấp chứng chỉ này cũng chỉ miễn cưỡng kiểm tra với dịch vụ SafeBrowsing để xem liệu tên miền mục tiêu đã từng bị khóa vì chứa mã độc bao giờ chưa, cho dù họ “không đồng ý” rằng điều này phải là trách nhiệm của họ.

Từ hơn một thập kỷ trước, khi các tổ chức cấp chứng chỉ (các CA - Certificate Authority) chạy đua hạ thấp các tiêu chuẩn của việc xác thực trước khi phát hành chứng chỉ bảo mật đã làm nhóm Internet Explorer đi đầu trong việc phát triển các chứng chỉ Extended Validation (chứng chỉ xác thực mở rộng). Họ hy vọng rằng, bằng việc nêu đích danh các CA này, sẽ khuyến khích họ rà soát kỹ lưỡng danh tính của một chủ sở hữu trang web.

Tên một nhà xác thực chứng chỉ cho tên miền Paypal.com

Tên một nhà xác thực chứng chỉ cho tên miền Paypal.com

Tuy nhiên trên thực tế, việc hiển thị tên của các CA này ngay trên thanh địa chỉ đã không được thực hiện, vì vậy phần lớn các chứng chỉ xác thực tên miền vẫn là những hàng hóa ẩn danh, trừ khi người dùng phải tự mình trải qua hàng loạt thao tác thủ công phức tạp để kiểm tra chứng chỉ của một trang web.

Tất nhiên, không chỉ có mình Letscrypt để xảy ra tình trạng lạm dụng chứng chỉ này – nhiều tổ chức cấp chứng chỉ khác cũng phát hành các chứng chỉ xác thực tên miền cho những trang web lừa đảo. Do vậy, điều này để lại hậu quả là, ngay cả các trang web sử dụng giao thức https cũng không còn là nơi tuyệt đối an toàn với người dùng nữa.

Tuy nhiên, tình trạng này cũng không hoàn toàn chỉ là lỗi của một mình các nhà cấp chứng chỉ, trách nhiệm của việc này còn đến từ các trình duyệt, các website và ngay cả người dùng nữa. Các trình duyệt thường ít khi đối chiếu thường xuyên với các CA để biết về việc thu hồi chứng chỉ cấp cho tên miền đáng ngờ. Không những vậy, danh sách các website bị chặn vì nghi ngờ lừa đảo thường chỉ dựa vào báo cáo của người dùng nên nó luôn có độ trễ nhất định.

Ngoài ra, một số người cũng cho rằng các website có một phần trách nhiệm vì đã chậm trễ triển khai các biện pháp chống giả mạo hai lớp, hay giao thức HTTPS, thường xuyên thay đổi tên miền cũng như giao diện đăng nhập... Hơn nữa, ngay cả người dùng - với tư cách là điểm cuối trong tương tác với các trang web độc hại, việc chậm phản hồi về những trang web này cũng khiến hệ thống trở nên kém hiệu quả hơn.

Nhưng trước khi chìm sâu vào việc tranh cãi ai sẽ là người chịu trách nhiệm chính ở đây, có lẽ giờ là lúc nên tìm ra một biện pháp nào đó có thể đảm bảo tới mức tốt nhất an toàn cho người dùng, khi họ đang lạc trong thế giới web đầy hiểm nguy rình rập ở mọi nơi như hiện tại. Dưới đây là một số đề xuất có giá trị từ nhà nghiên cứu bảo mật Ericlaw, có thể duy trì sự an toàn cho người dùng hiệu quả hơn.

Làm thế nào để phát hiện các trang web độc hại?

Trước đây, thế giới máy tính chỉ dựa vào mã nhị phân để xác nhận trang web đó có độc hại hay không – thật không may, cách làm đó giờ không còn phù hợp nữa. Vì vậy, nhiều hệ thống đang dịch chuyển sang sử dụng một bộ các tín hiệu (các signal). Khi đánh giá độ tin cậy của một trang web, có hàng chục các tín hiệu như dưới đây:

- Các chứng nhận HTTPS.

- Độ tuổi của trang web.

- Có người dùng nào truy cập vào trang web này trước đây hay chưa.

- Có người dùng nào lưu trữ mật khẩu trên trang web này trước đây hay chưa.

- Người dùng đã từng sử dụng mật khẩu này ở đâu đó trước đây hay chưa.

- Số người đã truy cập theo dõi trang web.

- Vị trí hosting của trang web.

- Sự hiện diện của thuật ngữ nhạy cảm trong nội dung của đường URL.

- Sự hiện diện của các hình thức đăng nhập hay các download file thực thi.

Không tín hiệu riêng lẻ nào trên đây đủ sức xác định trang web đó độc hại hay không, nhưng khi kết hợp với nhau, chúng có thể tạo ra một hệ thống biết được trang web nào an toàn hay đáng ngờ. Các trang web đáng ngờ có thể được phân tích sâu hơn bởi con người, như các chuyên gia bảo mật hay thậm chí nguồn lực đám đông để cảnh báo người dùng thông thường. Ví dụ như cảnh báo từ bộ lọc SmartScreen trên Internet Explorer dưới đây.

Phản hồi của người dùng với các cảnh báo này cũng là một tín hiệu bổ sung cho hệ thống, giúp đẩy nhanh quá trình xác định một website là tốt hay xấu và đối tượng cần chặn trên site.

Nhưng một hệ thống dựa trên các tín hiệu như vậy vẫn tồn tại một thách thức khác, đó là trong khi hệ thống này cần phát triển càng nhiều các báo cáo tín hiệu điểm cuối càng tốt, những báo cáo tín hiệu đó có thể có ý nghĩa riêng tư nhất định với mỗi người dùng.

Xây dựng danh tiếng cho website

Trong thế giới thực, rất nhiều việc cần dựa trên danh tiếng – nếu không có nó, bạn sẽ khó có thể tìm được một công việc, tham gia kinh doanh hoặc thậm chí tìm một đối tác.

Trong trình duyệt cũng tương tự như vậy, tuy nhiên hiện tại những gì chúng ta mới chỉ có một bộ khái niệm về trang web có danh tiếng xấu (trang web hoặc file bạn tải về sẽ xuất hiện trong danh sách bị chặn), nhưng chúng ta thiếu một khái niệm về danh tiếng tốt. Các chứng chỉ Extended Validation là một nỗ lực trong việc tạo ra khái niệm về danh tiếng tốt, nhưng kế hoạch kinh doanh của các CA và hệ thống pháp luật đã biến nỗ lực đó trở thành vô ích.

Dù sao đi nữa, trong lĩnh vực web, không ai có thể nói chắc chắn rằng trang web mà bạn truy cập là từ một startup cá nhân hay một công ty trong danh sách Fortune 500.

Một giải pháp tuyệt vời khác do nhà khoa học máy tính Owen Campbell-Moore đề xuất nhằm cho phép ánh xạ về nguồn gốc của thương hiệu. Theo đó, anh cho rằng nên đặt đường dẫn URL trên phần đầu của mỗi trang web, thay thế cho các logo được gắn nhãn đi kèm tên các trang web đó hay hàng chuỗi các ký tự như "https://", "www" và "co.in" ... Nhờ đó người dùng sẽ biết chính xác hơn mình đang ở đâu, đặc biệt khi lướt web trên các màn hình nhỏ như của di động.

Nếu trang web đó thực sự được tạo nên từ các ông lớn như Apple, Microsoft, Google hay tên tuổi nào đó, chúng ta sẽ không có gì phải lo lắng nữa. Đổi lại, để tạo ra một hệ thống như vậy, các nhà thiết kế phải tập trung vào thẻ , nơi chứa các phần tử đầu vào của văn bản HTML trên trang web – rõ ràng việc tạo nên một hệ thống hoàn hảo ở mọi cấp độ là điều không thực tế.

Theo GenK

 

Tin liên quan

04/07/2023

Cảm ơn bạn đã đăng ký nhận tư vấn chương trình trải nghiệm Viettel CyberWork

Cảm ơn bạn đã đăng ký nhận tư vấn chương trình trải nghiệm Viettel CyberWork

17/05/2023

ĐĂNG KÝ THAM DỰ TALKSHOW “MULTI-CLOUD AND MULTI-CDN FOR MULTI DEMAND”

Tham dự talkshow “Multi-Cloud and Multi-CDN for Multi Demand”, các khách mời sẽ cùng chúng tôi tìm hiểu rõ hơn về chiến lược Multi-cloud và Multi-CDN, cũng như cách ứng dụng và triển khai các xu hướng này trong nhiều lĩnh vực, ngành nghề kinh doanh khác nhau.

10/05/2023

Hệ thống Cloud của Viettel IDC đạt tiêu chuẩn an toàn thông tin cấp độ 3

Viettel IDC vừa hoàn thành lấy hồ sơ an toàn thông tin cấp độ 3 cho hệ thống Cloud, đáp ứng Thông tư số 12/2022/TT-BTTTT quy định chi tiết và hướng dẫn Nghị định số 85/2016/NĐ-CP của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

04/05/2023

Viettel IDC đồng hành cung cấp hạ tầng cloud cho KardiaChain, ưu tiên đáp ứng hạ tầng thúc đẩy công nghệ blockchain tại Việt Nam

Mới đây, Viettel IDC và KardiaChain đã chính thức đặt bút kí kết hợp đồng dịch vụ Viettel Dedicated Private Cloud (vDPC) - dịch vụ điện toán đám mây cung cấp gói tài nguyên tính toán, lưu trữ và truyền dẫn với hạ tầng riêng biệt.

17/03/2023

Hội nghị Data Center & Cloud Infrastructure Summit Vietnam 2023 thu hút hơn 1.900 người tham dự

Với hơn 1.900 người tham dự, hội nghị Data Center & Cloud Infrastructure Summit Vietnam 2023 do Viettel IDC tổ chức đã cho thấy sức nóng của sự kiện công nghệ hàng đầu trong lĩnh vực trung tâm dữ liệu và điện toán đám mây.

30/11/2022

Thư mời tham gia đề xuất thu mua thanh lý tài sản hỏng, cũ 2022

Viettel IDC mời Quý Công ty tham gia đề xuất thu mua thanh lý tài sản hỏng, cũ 2022 của Viettel IDC.

22/11/2022

Thư mời tham gia đề xuất thu mua thanh lý thiết bị Tháng 11/2022

Viettel IDC mời Quý Công ty tham gia đề xuất thu mua thiết bị thanh lý Tháng 11/2022 của Viettel IDC.

08/11/2022

Thư mời tham gia đề xuất thực hiện tư vấn lập báo cáo Nghiên cứu khả thi và thẩm tra báo cáo nghiên cứu khả thi cho các dự án của Viettel IDC

Viettel IDC mời Quý Công ty tham gia đề xuất thực hiện tư vấn lập báo cáo Nghiên cứu khả thi và thẩm tra báo cáo nghiên cứu khả thi cho các dự án của Viettel IDC

14/10/2022

​Viettel ra mắt hệ sinh thái Cloud góp phần kiến tạo hạ tầng số Việt Nam

Hà Nội, ngày 14/10/2022 - Tập đoàn Công nghiệp – Viễn thông Quân đội (Viettel) chính thức ra mắt hệ sinh thái Viettel Cloud, khẳng định là nhà cung cấp dịch vụ Điện toán đám mây lớn nhất Việt Nam và đảm bảo toàn trình các cấu phần của một hệ sinh thái Cloud. Sự kiện này có ý nghĩa trong chiến lược chuyển đổi số quan trọng của Việt Nam.

01/11/2022

Viettel IDC đón nhận danh hiệu Top 5 thương hiệu tiêu biểu Châu Á - Thái Bình Dương 2022

Tạp chí Kinh tế Châu Á - Thái Bình Dương và Hiệp hội Thông tin Công nghiệp Châu Á (AIPA) đã trao danh hiệu Top 5 Thương hiệu tiêu biểu Châu Á – Thái Bình Dương 2022 cho Viettel IDC và Top 5 Nhà lãnh đạo tiêu biểu Châu Á – Thái Bình Dương 2022 cho ông Hoàng Văn Ngọc - CEO Viettel IDC.

// doi link