Bảo mật dịch vụ web: “người đẹp và quái vật”

10:16 06/08/2007
Bấm ngay
Đăng Ký xem video hay mới nhất

Trên thực tế, các công ty thường hiểu sai về bảo mật và nhầm tưởng rằng, họ sẽ được an toàn trước các cuộc tấn công “tiêm mã độc” nếu các ứng dụng của họ sử dụng giao thức SSL (Tầng socket bảo mật).

Gần đây, các dịch vụ web đã thu hút được ngày càng nhiều mối quan tâm chung từ phía cộng đồng, và chúng xứng đáng được như vậy. Sự xuất hiện của cách thức xây dựng các ứng dụng web kiểu mới hứa hẹn khả năng cho phép các tổ chức trao đổi thông tin với các đối tác và khách hàng ngay trong các hệ thống của chính họ.

Trước các lợi ích tiềm tàng rất đáng lưu ý, các tính năng mới lại làm dấy lên mối quan tâm từ các doanh nghiệp đối với vấn đề bảo mật. “Các dịch vụ web sẽ tạo ra các lỗ hổng trên các phương pháp bảo mật truyền thống,” chuyên gia phân tích cao cấp của hãng nghiên cứu thị trường Zap Think, Jason Bloomberg, trả lời trên tờ E-Commerce Times.

Các lỗ hổng phát sinh từ những khác biệt về thiết kế của ứng dụng. Theo truyền thống, các ứng dụng thường được xây dựng theo kiểu tuyến tính, các thông tin được lưu chuyển theo tuần tự và định kỳ. Hầu hết các sản phẩm bảo mật được thiết kế để kiểm tra thông tin tại nhiều điểm.

Ví dụ, các tường lửa thường được đặt ngoài mạng nhằm đảm bảo chỉ những cá nhân được phép mới được truy cập các mạng doanh nghiệp.

Với các dịch vụ web, dữ liệu sẽ tới từ rất nhiều điểm ra vào khác nhau. Kết quả là rất nhiều ứng dụng thường đi men theo các checkpoint (điểm kiểm tra) khác nhau.

Ví dụ, các dữ liệu HTTP (Hypertext Transfer Protocol - Giao thức truyền siêu văn bản) thường được truyền thông qua một cổng 80 của thiết bị mạng, nhờ đó tránh được sự kiểm tra của tường lửa. Vì thế, các hacker có thể lợi dụng điểm vào đó để qua mặt các phương tiện bảo mật và truy cập được vào mạng của một công ty.

Sắn sàng với những kiểu tấn công mới

Do thiết kế của các ứng dụng có những điểm khác biệt nên những kiểu tấn công mới hoàn toàn có thể xảy ra đối với các dịch vụ web, ví dụ như kiểu tấn công “tiêm mã độc”. Những kiểu tấn công như vậy có rất nhiều, nhưng chúng đều hoạt động theo một nguyên tắc chung: hacker ký sinh mã độc lên mã tốt thông qua một trường đầu vào trong ứng dụng.

Kiểu hack này đã trở nên phổ biến đối với các ứng dụng hệ thống quản lý cơ sở dữ liệu dựa vào ngôn ngữ truy vấn cấu trúc (SQL - Structured Query Language). Ngoài ra, ngôn ngữ đánh dấu mở rộng (XML - Extensible Markup Language) và Giao thức truy cập thư mục đơn giản (LDAP - Lightweight Directory Access Protocol), thường được sử dụng với các ứng dụng dịch vụ Web, có thể dễ dàng bị tiêm mã độc.

Ví dụ, nếu một ứng dụng XML dành cho thương mại điện tử không thể xác nhận điểm đến của thông tin nó gửi đi, một hacker có thể lấy được các thông tin cá nhân của khách hàng, như số tài khoản hay thông tin thẻ tín dụng. Với một “phát” tiêm mã độc LDAP, kẻ tấn công có thể truy cập vào một thư mục của công ty và truy cập thông tin địa chỉ khách hàng, như email và địa chỉ nhà riêng.

Để chống lại những cuộc tấn công như vậy, các công ty phải bố trí tính năng bảo mật ngay trong một ứng dụng hơn là ở cấp độ mạng, nhưng hầu hết các công cụ bảo mật không được thiết kế theo phương thức này.

Trên thực tế, các công ty thường hiểu sai về bảo mật và nhầm tưởng rằng họ sẽ được an toàn trước các cuộc tấn công “tiêm mã độc” nếu các ứng dụng của họ sử dụng giao thức SSL (Tầng socket bảo mật). Mật hóa SSL ngăn cản người ngoài chặn dữ liệu khi chúng truyền giữa hai điểm nhưng không tìm kiếm hoặc bảo vệ khỏi kiểu tấn công “tiêm mã độc”.

Chuẩn bị bộ ứng dụng mới

Khi các ứng dụng dịch vụ Web bắt đầu được phát triển thì cũng là lúc các hãng đại lý vạch ra phương cách bảo mật thông tin ở cấp độ ứng dụng. “Các hãng đại lý đã phát triển một bộ tổng hợp các tiêu chuẩn để bảo vệ các quá trình giao tác của dịch vụ Web,” theo Randy Heffner, một chuyên gia phân tích của Forrester Research.

Bộ ứng dụng có tên “Khung bảo mật dịch vụ web” đã được phát triển theo hai giai đoạn, với giai đoạn đầu tiên tập trung vào bảo vệ việc truyền dữ liệu qua giao thức truy cập đối tượng đơn giản (Simple Object Access Protocol – SOAP), dạng giao thức dịch vụ Web phổ biến nhất.

Các thông điệp hầu hết thường được truyển tải qua HTTP nhưng, về nguyên tắc, chúng có thể được truyền qua bất kỳ giao thức cơ sở nào. Trong lần lặp lại đầu tiên của mình, “khung bảo mật dịch vụ Web” cho phép các công ty mã hóa, ký và xác thực các thông điệp SOAP.

Nhiều tổ chức đã bổ sung mức độ bảo mật này. “Trong vài năm qua, hầu như tất cả các sản phẩm và công cụ phát triển ứng dụng được xuất xưởng đều hỗ trợ bảo mật dịch vụ Web,” Anne Thomas Manes, phó chủ tịch kiêm giám đốc nghiên cứu của Burton Group, cho biết.

Ở phía bên kia

Kể cả khi một công ty có tiến hành các bước kể trên, lỗ hổng bảo mật vẫn có nguy cơ xuất hiện. “Thực tế là các công ty cần phải biết rõ ai ở phía bên kia của bất kỳ giao tác dịch vụ Web nào,” Heffener trả lời E-Commerce Times.

Đã có nhiều sáng kiến được ứng dụng nhằm giúp giả thiết trên trở nên khả thi hơn. Hãng Liberty Alliance hiện đang nghiên cứu bộ công cụ Federated Identity. Tại đây những người được tín nhiệm sẽ bảo đảm an toàn cho khách hàng miễn là họ có cùng loại mã thông báo bảo mật.

Tổ chức OASIS (Tổ chức vì sự tiến bộ của các chuẩn thông tin theo cấu trúc) đã phát triển ngôn ngữ dịch vụ web với mục đích hỗ trợ các giao tác dựa trên các mã thông báo khác nhau.

Động thái hỗ trợ các dịch vụ liên kết (federated service) có ở giai đoạn thiếu kinh nghiệm khi các chuẩn hình thành và hợp nhất với nhiều sản phẩm. Khi đó, cho dù bảo mật dịch vụ web có dính lỗ hổng, các công ty vẫn có thể tiếp tục tiến lên phía trước nhờ các bố trí dịch vụ Web. “Khoảng 60% các công ty đã bổ sung các dịch vụ web,” Bloomberg cho biết.

Rủi ro và sự tưởng thưởng

Khoảng một phần ba các tổ chức kể trên đang tiến hành việc trao đổi thông tin với bên thứ ba là các khách hàng, đối tác hay các nhà cung cấp. ”Các công ty sắn sàng chấp nhận các rủi ro vì họ cảm thấy khá chắc chắn rằng phía bên kia kết nối đã được an toàn”, Heffner lưu ý.

Ngoài ra, các hacker chưa chắc đã nhằm vào các ứng dụng dịch vụ web trong thời điểm hiện tại. “Mặc dù đã giành được ưu thế lơn trong thời gian gần đây, song số lượng các ứng dụng dịch vụ web được bố trí trong các công ty còn tương đối ít” , Manes trả lời E-Commerce Times.

Các hacker thường có xu hướng thích gây “tiếng vang”, vì thế hầu hết trong số họ hiện tập trung vào khai thác các lỗ hổng trên những sản phẩm có tính phổ biến, ví dụ như hệ điều hành Windows của Microsoft.

Dù bảo mật dịch vụ Web không phải là an toàn tuyệt đối, nhưng nó cũng tỏ ra đủ là mạnh. Vì vậy, không ít công ty vẫn cảm thấy thoải mái và an toàn khi bố trí các ứng dụng này vào hệ thống của mình.

Nguyễn Nam (Theo TechNewsWorld)

Việt Báo
contentlength: 16361
Chia sẻ
Bấm ngay
Đăng Ký xem video hay mới nhất