Hơi Nhạy Cảm - nói dối e blog
nói dối e blog
nói dối e blog

Hơi Nhạy Cảm

Anonymous trong Blockchain Xử Lý Ngôn Ngữ Tự Nhiên
 Khoảng 800 từ 4 phút 

Gần đây, trên mạng xã hội lan truyền nhiều tin đồn về vấn đề bảo mật SSL khiến không ít người hoang mang. Vì đa số đường dẫn liên quan đều không thể truy cập do những lý do “được biết đến rộng rãi”, tôi đề nghị các bạn tự tìm đọc bài viết với từ khóa “GFW nổi giận, nghe lén SSL?” để hiểu rõ bối cảnh. Bài viết đó nêu lên một thực tế đáng chú ý: việc mơ tưởng sử dụng các dịch vụ webmail như Gmail có hỗ trợ giao thức HTTPS để tránh kiểm duyệt đều là vô ích, bởi hệ thống UTM Plus đã được tích hợp chức năng proxy SSL có khả năng giải mã mọi kết nối SSL một chiều qua phương pháp trung gian. Nói cách khác, mọi giao thức ứng dụng chạy trên đường hầm SSL đều bị đặt dưới sự giám sát toàn diện, không còn “kẽ hở nào để lọt lưới”.

Lúc đầu đọc được thông tin này, tôi chẳng mấy để tâm. Việc tạo chứng chỉ giả để thực hiện tấn công man-in-the-middle chẳng phải điều mới mẻ gì, quan trọng vẫn là ý thức bảo mật của người dùng cuối. Vài hôm trước là sinh nhật bố tôi, tôi tặng ông chiếc điện thoại HTC Hero. Trong lúc cài đặt, tôi tiện tay thêm vào trình duyệt một bookmark dẫn đến Điều bất ngờ xảy ra khi vừa truy cập, trình duyệt lập tức hiện cảnh báo “Trang web này có thể không phải là trang bạn đang tìm kiếm”.

Ban đầu tôi nghĩ mình quá nhạy cảm, nhưng rồi quyết định kiểm tra kỹ chứng chỉ SSL. Sự việc trở nên kỳ lạ khi phát hiện chứng chỉ này được cấp cho tên miền www.google.com, chứ không phải reader.google.com như mong đợi. Nghi ngờ tiếp tục tăng cao khi kiểm tra tổ chức cấp chứng chỉ (CA) là Thawte - tưởng đâu đơn vị này đã bị thu hồi giấy phép từ lâu. Tôi lập tức đổi sang DNS của OpenDNS để kiểm chứng, đồng thời liên hệ bạn bè quốc tế xác minh thông tin. Kết quả cho thấy chứng chỉ này thực sự thuộc hệ thống Google, đồng thời việc truy cập qua mạng Tor cũng không gặp trở ngại, lúc đó mới yên tâm phần nào.

Nhân tiện đề cập đến Tor, gần đây dịch vụ này đã bị sập khoảng phân nửa node công khai. Nhớ lại năm ngoái đã từng đọc trên Twitter nhiều nghiên cứu cảnh báo về lỗ hổng bảo mật của Tor. Tuy nhiên hiện tại chỉ cần thêm các bridge node ẩn danh vào cấu hình là vẫn có thể sử dụng được. Tình cờ thay, trong những ngày qua, hàng loạt bài viết liên quan đến kỹ thuật nghe lén SSL bỗng dưng xuất hiện dày đặc trên thanh feed reader của tôi, các bạn quan tâm có thể tự tìm đọc thêm.

[Liên kết đề xuất] Hiểu rõ kỹ thuật nghe lén SSL / Thực hành tấn công MITM trên kết nối SSL

Tuy nhiên, nhân đây tôi muốn chia sẻ kinh nghiệm xương máu: việc cho phép đăng ký email theo tên miền công ty là một lỗ hổng bảo mật nghiêm trọng. Ngày mới vào làm tại NetEase, đã có đồng nghiệp cảnh báo tôi về vấn đề này. Tiếc rằng do NetEase bắt đầu từ dịch vụ 163 Mail, khi nhận ra nguy cơ thì sự việc đã trở thành “chuyện đã rồi”.

Dịp Quốc khánh này dù được nghỉ lễ nhưng vẫn còn vài công việc tồn đọng. Tôi đang chuẩn bị slide thuyết trình cho hội thảo phát triển phần mềm do CSDN tổ chức tại Bắc Kinh tháng sau với chủ đề: “Kỹ thuật lập trình hỗn hợp C/C++ và Lua”. Ngoài ra, tôi dự định dành thời gian nghiên cứu các module code trong dự án do đồng nghiệp khác viết để đảm bảo tính nhất quán của hệ thống.

Trong thời gian rảnh, tôi đang đọc cuốn “Nhật ký quỷ dữ” (Ngưu quỷ xà thần lục) của Dương Tiểu Khải. Tác phẩm này mang đến góc nhìn độc đáo về những biến động lịch sử, thực sự là một lựa chọn đọc thích hợp cho những ngày nghỉ dài.

Cập nhật ngày 2009-09-01 
CC BY-NC-SA 4.0
Đọc với định dạng Markdown
Mẫu Thiết Kế
Quay lại | Trang chủ
0%