Thương mại điện tử - không dễ bảo mật
(TBVTSG) - Sự thành công của thương mại điện tử phụ thuộc rất nhiều vào khả năng bảo mật thông tin của hệ thống. Thế nhưng, một điều phát hiện gần đây của các nhà nghiên cứu cho thấy việc bảo mật trong ngành này không hoàn hảo như người ta tưởng.
Các trang web thương mại điện tử, kể cả các tổ chức như ngân hàng, luôn phải dựa vào những hãng bảo mật cấp chứng thư cho họ để bảo đảm cho người tiêu dùng vào đúng trang web thật, không bị lừa vào trang web giả mạo để bị đánh cắp mật mã (password) hay số thẻ tín dụng.
Ví dụ: mỗi lần chúng ta truy cập vào trang web dành riêng để thực hiện các thao tác kiểm tra tài khoản của ngân hàng chẳng hạn, nếu trang web này chưa có chứng thư hay chứng thư hết hạn, trình duyệt sẽ thông báo ngay và khuyến cáo chúng ta không nên tiếp tục.
Những trang web hợp lệ được bảo mật bằng chứng thư còn hiệu lực thường có địa chỉ bắt đầu bằng https (có thêm chữ s đằng sau http). VeriSign hiện là nơi cấp chứng thư bảo mật lớn nhất thế giới.
Thế nhưng, cách đây mấy tuần, một nhóm các nhà nghiên cứu quốc tế được mệnh danh MD5 Collision đã cho thấy họ có thể làm giả các chứng thư của VeriSign cấp.
Một tay tội phạm tin học có trong tay một chứng thư giả rất dễ dàng thuyết phục người sử dụng tin một trang web độc hại là trang web thật vì chứng thư giả qua mặt được các trình duyệt web, vô hiệu hóa các cảnh báo cần thiết.
Và lúc đó bọn tội phạm có thể làm đủ thứ trò như chuyển người sử dụng chạy từ trang web thật sang một trang web giả danh để ăn cắp mật mã và tài khoản, kể cả số thẻ tín dụng hay tiền trong ngân hàng.
Theo Newsweek, hiện nay chưa có chứng thư giả nào xuất hiện trên thế giới nhưng với màn biểu diễn của MD5 Collision, việc này là hoàn toàn có khả năng xảy ra.
Vấn đề nằm ở chỗ VeriSign vẫn đang tiếp tục dùng MD5, một thuật toán mã hóa xưa rích do Đại học MIT phát triển từ những năm 1990 để tạo ra chữ ký điện tử bảo mật riêng. MD5 đã bị xem là quá yếu không thể dùng cho các ứng dụng đòi hỏi tính bảo mật cao. Năm 2004, bà Xiaoyun Wang, một giáo sư tại Đại học Sơn Đông (Trung Quốc), đã gây chấn động ở một hội nghị tin học tổ chức tại Santa Barbara, California khi cho biết bà đã bẻ khóa thuật toán này.
Nhóm MD5 Collision đã dùng 200 máy chơi trò chơi điện tử Sony PlayStation 3 để kết nối thành một máy tính siêu mạnh. Nên nhớ bản thân PlayStation 3 đã là một máy tính mạnh, lúc mới ra đời tương đương 40 máy tính để bàn thời đó. Và chỉ trong vòng ba ngày, nhóm này đã thành công trong việc tạo ra một chứng thư giả mạo. Dĩ nhiên họ không công bố vì VeriSign sẽ kiện mà chỉ thông báo cho Microsoft và Mozilla là hai hãng viết phần mềm duyệt web. Hai nơi này báo cho VeriSign biết sự việc.
Báo Newsweek cho biết ngay khi sự việc này được tung lên cộng đồng blog, giới phân tích không bị sốc về chuyện có thể làm ra chứng thư giả mạo bằng chuyện cho đến nay VeriSign vẫn còn dùng MD5. Hầu hết các hãng cấp chứng thư bảo mật đã chuyển sang dùng thuật toán khác như SHA-1 do Cơ quan An ninh quốc gia Mỹ phát triển. Chỉ mấy giờ sau khi sự việc được công khai, VeriSign nhanh chóng loại bỏ MD5 và cho biết thật ra họ đã dự tính chuyển dần hết sang SHA-1 trước cuối tháng 1-2009.
Tuy nhiên, MD5 vẫn còn đang được sử dụng rộng rãi. Báo Newsweek cho biết còn khoảng 9.000 trang web thương mại điện tử vẫn đang dùng chứng thư loại MD5. Các phần mềm duyệt web cũng không thể một sớm một chiều loại bỏ các chứng thư MD5 vì như thế sẽ gây tê liệt hàng loạt trang web thương mại điện tử. Nhưng tình hình buộc họ không sớm thì muộn phải thực hiện cách này.
Việc bẻ khóa các thuật toán bảo mật chỉ là vấn đề thời gian. Giáo sư Xiaoyun Wang cho biết bà đã tiến những bước dài trong việc bẻ khóa SHA-1. Chính phủ Mỹ, lường trước cuộc chạy đuổi kiểu “mèo vờn chuột” này, đã phát triển SHA-2 và sẽ cho “về vườn” SHA-1 vào cuối năm sau. Họ cũng đang phát triển SHA-2 với cột mốc hoàn thành trước năm 2012.
Tạm thời, có lẽ người tiêu dùng phải biết ơn các nhóm như MD5 Collision, hiện đang đóng vai trò “cảnh giác” giùm cho thị trường. Không có họ, các bên gồm nhà bán lẻ, hãng cấp chứng thư và người tiêu dùng sẽ mất cảnh giác và bọn tin tặc sẽ được dịp tấn công.
VÂN CẦM