Tiếp nối Microsoft và HP, Google phát hành miễn phí công cụ thử nghiệm bảo mật trên nền web mang tên Ratproxy nhằm hỗ trợ cho các lập trình viên phát triển web có thể kiểm tra và phát hiện các lỗi bảo mật mà tin tặc có thể khai thác tấn công.
Tương tự như UrlScan và "SQL Source Code Analysis Tool" của Microsoft hay HP Scrawl, Google Ratproxy hoàn toàn miễn phí nhằm hỗ trợ các webmaster trong việc dò tìm lỗi bảo mật khác nhau về mã lập trình khi phát triển các ứng dụng web như các lỗi cho phép tin tặc tấn công cross-site hay các vấn đề về bộ nhớ đệm.
Theo nhận định của Michal Zalewski trên blog của Google, phiên bản Ratproxy 1.51 beta giúp thử nghiệm bằng cách tạo dựng một cuộc xâm nhập nhanh. Tuy nhiên, phần chức năng quét vẫn còn thụ động và không tạo ra một cuộc tấn công băng thông với cường độ lớn khi chạy. Ratproxy sẽ "bắt lấy" nội dung và có thể quét những phân đoạn Javascript từ stylesheet. Nó hỗ trợ quét SSL (Secure Socket Layer).
Lỗi bảo mật từ website tiếp tục đe dọa dữ liệu nhạy cảm của các doanh nghiệp như thông tin quản lý, dữ liệu nhân viên hay dữ liệu tài chính... Theo số liệu nghiên cứu của Web Application Security Consortium vào năm 2006 có 86% trong số 31.373 website mắc lỗi bảo mật cho phép tin tặc khai thác cross-site, 26% vướng vào lỗi SQL injection và 16% mang những lỗi khác mà nguy cơ mất mát dữ liệu nhạy cảm khá cao.
Từ số liệu và tình hình bảo mật trên Internet, các hãng bảo mật đã phải tăng cường các công cụ bảo mật lên tầm cao hơn để đáp ứng các yêu cầu từ khách hàng. Những "đại gia" cũng tranh nhau thâu tóm các hãng bảo mật nhỏ như IBM mua Watchfire vào tháng 6-2007 và 1 tuần sau đó, HP cũng công bố đã mua lại SPI Dynamics, một đối thủ của Watchfire, hãng chuyên dò tìm lỗi bảo mật trong các ứng dụng web cũng như kiểm tra hoạt động tương thích.
Chức năng CAPTCHA của Google, Yahoo và Hotmail bị phá vỡ
Chức năng Captcha được sử dụng khá rộng rãi trong các ứng dụng web ngày nay đặc biệt là trong diễn đàn hay webmail như Google, Yahoo hay Hotmail. Bổ sung Captcha sẽ làm giảm bớt khả năng bị tấn công qua việc làm ngập tài khoản từ các công cụ đăng ký tự động hoặc dò tìm password qua đăng nhập thử nghiệm... Khi hoạt động, Captcha sẽ hiển thị 1 loạt chữ số hay ký tự theo dạng hình ảnh để người dùng điền theo chính xác rồi mới có thể đăng nhập hay xử lý từ các form trên nền web (gửi thư phản hồi, đăng nhập tài khoản...).
Tuy vậy, Captcha vẫn có thể bị phá vỡ. Đó là nghiên cứu mới nhất từ Jeff Yan và Ahmad Salah El Ahmad, tại trường Khoa học máy tính ở Đại học Newcastle, nước Anh. Theo thử nghiệm của Jeff và Ahmad vào hệ thống Captcha của Microsoft như trong các dịch vụ trực tuyến Hotmail hay Windows Live thì đến 92% ký tự Captcha đã bị nhận diện trong cuộc tấn công thử nghiệm.
Không lâu sau thử nghiệm của Jeff và Ahmad, những tin tặc Nga đã tiến hành mở rộng dịch vụ "đen" bằng cách bán các tài khoản email thuộc nhiều nhà cung cấp dịch vụ khác nhau, từ Gmail cho đến Hotmail, Yahoo! Mail, Mail.ru... Bảng giá mới nhất từ website bán các tài khoản email là 1000 tài khoản Gmail trong tổng số 134.670 tài khoản đăng ký tự động có giá 6 USD và thậm chí còn được giảm giá xuống 5 USD khi mua từ 10.000-100.000 tài khoản (Bảng giá). Các tài khoản tự động này sẽ là mặt hàng ưa chuộng của những kẻ lừa đảo qua mạng (phisher), spamer, malware...
Mức độ nhận diện Captcha đã được các chuyên gia nghiên cứu bảo mật ước tính là 90% cho Gmail, 58% cho Yahoo và gần 92% cho Microsoft.
Từ tình hình hiện tại, không bao lâu nữa Captcha sẽ hoàn toàn bị phá vỡ và các công ty cũng sẽ phải tiến hành các giải pháp thay thế Captcha hoặc nỗ lực tăng cường khả năng cho Captcha của mình.
- Các tài liệu có thể tham khảo thêm: Phân tích của Security Labs (Websense), nhóm nghiên cứu của Microsoft (research team), thử nghiệm của Jeff Yan và Ahmad Salah El Ahmad, phân tích của chuyên gia bảo mật Dancho Danchev (blog).
- Một số giải pháp thay thế Captcha tham khảo: IMAGINATION (nhận dạng dựa trên hình ảnh), GIF CAPTCHA, KittenAuth, ESP-Pix, Asirra.
Theo: Tuoitre Online