Ảnh: Getty Images.

L�� hổng này được phát hiện vài tháng trước bởi Dan Kaminsky, một nhà nghiên cứu của IOActive, người làm việc t�� đầu năm nay với các nhà cung cấp phần mềm Internet như Microsoft, Cisco và Internet Systems Consortium đ�� khắc phục lỗi bảo mật này.

Các công ty đã đưa ra bản vá lỗi 2 tuần trước, đồng thời khuyến kích người s�� dụng và các nhà cung cấp dịch v�� Internet vá lỗi trên các h�� thống tên miền của h�� càng sớm càng tốt. Theo Kaminsky, mặc dù vấn đ�� này có th�� ảnh hưởng đến một vài người s�� dụng gia đình, nhưng nó không được coi là vấn đ�� lớn đối với đa s�� khách hàng.

Vào thời điểm công b�� l�� hổng này, Kaminsky đ�� ngh�� các thành viên của hội nghiên cứu v�� bảo mật mạng không tiết l�� bản chất c�� th�� của nó nhằm giúp người s�� dụng có thêm thời gian đ�� sửa h�� thống của h��. Kaminsky đã lên k�� hoạch công b�� thông tin chi tiết v�� l�� hổng này vào buổi thuyết trình tại hội ngh�� bảo mật Black Hat, được t�� chức vào ngày 6/8 tới.

Một vài nhà nghiên cứu coi đ�� ngh�� này như là một lời thách thức tìm ra l�� hổng đó trước buổi thuyết trình của Kaminsky. Một vài người khác thì lại phàn nàn v�� việc không được biết các thông tin chi tiết k�� thuật của lỗi này.

Bí mật b�� tiết l��

Th�� 2 vừa qua, giám đốc điều hành của Zynamics.com �� Thomas Dullien (người có biệt danh là Halvar Flake) đã đưa ra pỏng đoán v�� lỗi bảo mật DNS này và thừa nhận rằng ông biết không nhiều v�� DNS.

Phát hiện này của ông sau đó đã nhanh chóng được xác nhận lại bởi Matasano Security, hãng bảo mật đã cung cấp thông tin chi tiết đầu tiên v�� v�� việc này trước đó. “Bí mật đã b�� tiết l��. Halvar Flake đã khám phá ra l�� hổng mà Dan Kaminsky định công b�� tại Black Hat�� Matasano nói trên một bài blog. Bài viết này đã b�� xóa đi ngay sau đó 5 phút, vào lúc 1h30�� chiều. Nhưng các bản sao bài viết lập tức đã nhanh chóng được chuyền tay nhau trên Internet, và một trong s�� chúng đã được đọc bởi IDG News Service.

Bài viết của Matasano thảo luận v�� các thông tin k�� thuật chi tiết của lỗi này, nói rằng bằng cách s�� dụng kết nối Internet nhanh, một hacker có th�� tấn công "đầu độc b�� nh�� cache DNS" (DNS cache poisoning attack) thành công vào một máy ch�� tên miền, nhằm chuyển hướng truy cập một địa ch�� web nhiều người truy cập (chẳng hạn www.microsoft.com) sang một website có chứa mã độc ch�� trong vòng 10 giây.

Một nhà nghiên cứu của hãng Matasano �� Thomas Ptacek đã t�� chối bình luận v�� việc liệu Flake có thực s�� khám phá ra lỗi đó hay không, nhưng trong một cuộc phỏng vấn qua điện thoại ông có nói vấn đ�� đã được “vô tình công b�� quá sớm��. Ptacek là một trong s�� ít các nhà nghiên cứu bảo mật được thông tin chi tiết v�� lỗi này. Ông cũng đã đồng ý không bình luận gì v�� lỗi này trước khi thông tin chi tiết được công b�� chính thức.

Bài viết của Matasanno đã vô tình khẳng định rằng Flake đã mô t�� đúng lỗi này, Ptacek thừa nhận.

Th�� 2 vừa qua, Ptacek đã xin lỗi Kaminsky trên blog công ty ông. Ông viết “Chúng tôi rất lấy làm tiếc v�� việc này. Chúng tôi đã g�� b�� bài viết này ngay khi phát hiện ra, nhưng không may là ch�� cần vài giây là thông tin đã được lan truyền khắp Internet��.

S�� kết hợp nguy hiểm

Sau khi xem xong bài viết của Matasano, Cricket Liu �� phó ch�� tịch kiến trúc ứng dụng DNS hãng Infoblox - nói, Phương thức tấn công được Kaminsky mô t�� bằng cách lợi dụng một vài lỗi DNS đã biết, kết hợp chúng với nhau theo một cách mới.

Lỗi này liên quan đến cách các máy trạm và máy ch�� DNS tiếp nhận thông tin t�� các máy ch�� DNS khác trên Internet. Khi một phần mềm DNS không biết địa ch�� s�� IP của một máy tính, nó s�� truy vấn tới các máy ch�� DNS khác. Với cách “tấn công đầu độc b�� nh�� cache DNS��, k�� tấn công có th�� lừa phần mềm h�� thống DNS tin rằng đó là một tên miền hợp pháp, như idg.com, cho các địa ch�� IP cài mã độc.

Trong kịch bản tấn công của Kaminsky, n�� lực đầu độc b�� nh�� cache còn bao gồm d�� liệu “Bản ghi tài nguyên b�� sung�� ("Additional Resource Record). Bằng cách thêm vào d�� liệu này, việc tấn công s�� tr�� nên d�� dội hơn rất nhiều, các chuyên gia bảo mật cho biết. Liu nói “Việc kết hợp chúng khá kinh khủng��.

Một k�� tấn công có th�� tấn công các máy ch�� tên miền của một nhà cung cấp dịch v�� Internet và sau đó chuyển hướng chúng tới các máy ch�� độc khác. Bằng cách đầu độc bản ghi tên miền cho, ví d��, www.citibank.com, k�� tấn công có th�� chuyển người s�� dụng của nhà cung cấp dịch v�� Internet đó tới một máy ch�� độc mỗi khi h�� c�� gắng truy cập trang web ngân hàng này.

Kaminsky t�� chối xác nhận rằng Flake đã khám phá ra vấn đ�� của ông, nhưng trong một bài viết trên website của mình, ông đã viết ��13>0��, có l�� hàm ý rằng các nhà quản lý đã phải vá lỗi này 13 ngày trước khi nó được công b�� rộng rãi còn hơn là không có ngày nào c��.

“Vá lỗi. Hôm nay. Bây gi��. Vâng, vẫn chậm!�� ông viết.

Trên website của mình, Kaminsky đã đưa lên một công c�� kiểm tra cho phép mọi người cũng có th�� biết liệu phần mềm DNS h�� thống của h�� có b�� sửa hay không.