本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
Nhận định, soi kèo Plaza Colonia vs Boston River, 5h00 ngày 27/3: Không dễ cho tân binh
Theo Gizmodo,Cloudflare là một trong những công ty an ninh mạng lớn nhất thế giới. Tin tốt là hãng đã hành động rất nhanh chóng khi nhà nghiên cứu bảo mật Tavis Ormandy của dự án Project Zero của Google phát hiện ra lỗ hổng gọi là Cloudbleed.
Tin xấu là các website được Cloudflare hỗ trợ đã bị rò rỉ dữ liệu nhiều tháng trời trước khi ông Ormandy phát hiện ra lỗ hổng. Cloudflare cho biết những ngày dữ liệu rò rỉ đầu tiên là từ hồi tháng Chín năm ngoái. Cho đến nay không rõ liệu các tin tặc mũ đen đã phát hiện và bí mật khai thác lỗ hổng này trước khi Cloudflare xử lý xong code lỗi chưa. Các khách hàng lớn của Cloudflare bao gồm Uber, OKCupid, 1Password (1Password đã khẳng định dữ liệu người dùng của họ an toàn) và FitBit. Điều đó có nghĩa có vô số dữ liệu nhạy cảm có khả năng đã bị thâm nhập.
Như bất kỳ lỗ hổng bảo mật lớn nào, sẽ cần phải mất một thời gian trước khi chúng ta có thể hiểu đầy đủ về mức độ thiệt hại do Cloudbleed gây ra. Hiện tại, để bảo đảm an toàn, bạn nên thay đổi mật khẩu của mình – tất cả mật khẩu – và áp dụng xác thực hai bước ở bất cứ nơi nào có thể. Bạn sẽ biết tại sao đây là cách bảo vệ tốt nhất khi đọc tiếp lỗ hổng bảo mật này tồi tệ như thế nào.
Cloudflare là gì?
Bạn có thể không biết đến Cloudflare nhưng công nghệ của hãng đang được sử dụng ở rất nhiều website phổ biến. Cloudflare mô tả bản thân là một "công ty bảo mật và hiệu suất web". Khởi điểm từ một ứng dụng theo dõi nguồn phát tán spam, hãng hiện nay cung cấp toàn bộ menu sản phẩm cho các website, bao gồm các dịch vụ dự trên hiệu quả như dịch vụ phân phối nội dung, dịch vụ cung cấp tên miền, dịch vụ an ninh mạng như bảo vệ website chống các cuộc tấn công từ chối dịch vụ DDoS.
Thực tế là Cloudflare là một công ty bảo mật và điều này làm cho việc phát hiện mã nguồn của hãng có lỗ hổng trở nên vô cùng trớ trêu. Xét cho cùng, có vô số doanh nghiệp đang trả tiền cho Cloudflare để giúp cho dữ liệu của họ an toàn. Trong khi đó, "dính" phải lỗ hổng Cloudbleed, Cloudflare lại làm ngược lại.
"Tôi đã thông báo cho Cloudflare những gì tôi phát hiện. Tôi tìm thấy nhiều tin nhắn riêng tư từ nhiều trang hẹn hò trực tuyến lớn, toàn bộ tin nhắn từ một dịch vụ chat nổi tiếng, dữ liệu quản lý mật khẩu online...",ông Tavis Ormandy cho biết."Chúng tôi đang nói đến tất cả những địa chỉ IP của khách hàng, tất cả phản hồi, cookie, mật khẩu, dữ liệu, mọi thứ". Ông cũng cho biết lỗ hổng Cloudbleed đã rò rĩ dữ liệu của 3.438 tên miền trong giai đoạn 5 ngày trong tháng Hai này.
Cloudbleed hoạt động như thế nào?
Với những người am hiểu công nghệ, Cloudbleed là đặc biệt thú vị bởi vì một ký tự duy nhất trong code của Cloudflare là nguyên nhân dẫn đến lỗ hổng này. Dường như đó là một lỗi coding đơn giản, nhưng dựa trên những gì đã được đưa tin trước đó, có lẽ Cloudbleed hoạt động hơi giống như lỗ hổng Heartbleed xét về cách nó rò rỉ thông tin trong suốt một số tiến trình nhất định. Quy mô tác động đến người dùng của Cloudbleed cũng giống như Heartbleed, vì nó ảnh hưởng đến một dịch vụ bảo mật thông thường được nhiều website sử dụng.
Theo một bài đăng trên blog của Cloudflare, vấn đề này xuất phát từ quyết định của hãng sử dụng một cú pháp HTML mới, gọi là cf-html. Một cú pháp HTML là một ứng dụng quét mã nguồn để lọc ra những thông tin liên quan như tag khởi đầu và tag kết thúc. Điều này giúp cho việc điều chỉnh mã nguồn đó dễ dàng hơn.
Cloudflare rơi vào rắc rối khi định dạng (formatting) mã nguồn cf-html và cú pháp cũ Ragel để chạy với phần mềm của mình. Mỗi lỗi trong code đã tạo ra thứ gì đó gọi là lỗ hổng tràn bộ đệm (lỗi liên quan đến đoạn "= =" trong code mà lẽ ra nó phải là "> =". Điều này có nghĩa là khi phần mềm đang viết dữ liệu cho một bộ đệm - một lượng không gian lưu trữ giới hạn cho dữ liệu tạm thời - nó sẽ điền đầy bộ nhớ đệm và sau đó tiếp tục viết code ở chỗ khác.
Nói một cách đơn giản hơn, phần mềm của Cloudflare cố lưu dữ liệu người dùng ở đúng chỗ nhưng chỗ đó lại đầy quá nên phần mềm của Cloudflare cuối cùng cất dữ liệu đó ở nơi khác , như trên một website hoàn toàn khác. Thêm nữa, dữ liệu đó bao gồm mọi thứ, từ mã API cho đến tin nhắn riêng tư. Những dữ liệu này cũng được các website khác và Google lưu lại, có nghĩa là bây giờ Cloudflare phải săn tất cả dữ liệu này trước khi các hacker phát hiện ra.
Bạn có bị ảnh hưởng?
Vẫn chưa rõ chính xác đối tượng người dùng nào bị ảnh hưởng bởi lỗ hổng Cloudbleed. Cloudlfare tuyên bố chỉ một lượng rất nhỏ yêu cầu dẫn đến dữ liệu bị rò rỉ nhưng do lỗ hổng đã có từ gần 6 tháng rồi nên ai dám chắc có bao nhiêu thông tin đã bị rò rỉ? Hơn nữa, thực tế là có quá nhiều dữ liệu như vậy đã được lưu (cache) ở khắp các website khác nhau nên một mặt vá lỗi để ngăn chặn rò rỉ, Cloudflare cần phải làm rất nhiều để đảm bảo tất cả những thông tin đã rò rỉ không bị lợi dụng. Và thậm chí tệ hơn là ngay cả những website không sử dụng dịch vụ của Cloudflare, nhưng có nhiều người dùng Cloudflare cũng có thể bị liên luỵ.
Chuyên gia bảo mật Ryan Lackey đã đưa ra một số lời khuyên hữu ích, bởi công ty CryptoSeal của ông được Cloudflare mua lại năm 2014.
"Cloudflare đứng sau nhiều dịch vụ web như Uber, Fitbit, OKCupid … nên thay vì cố xác định dịch vụ nào đang dùng Cloudflare, có lẽ bạn nên nhân cơ hội này thay đổi tất cả mật khẩu trên tất cả các website bạn đăng nhập. Người dùng cũng nên đăng nhập và đăng thoát trên các ứng dụng di động sau cập nhật này. Nếu có thể, bạn nên sử dụng xác thực bảo mật 2 lớp với những trang bạn cho là quan trọng".
">Thảm hoạ an ninh mạng Cloudbleed
Thực hành
Viết mô tả hấp dẫn: Đây là yếu tố cơ bản nhưng hay bị quên. Lời mô tả cũng giống như bạn chào mua món hàng gì đó, một lời mời tốt sẽ tạo ra khác biệt lớn. Cố gắng đưa cá tính của bạn càng nhiều càng tốt và nên ngắn gọn, súc tích. Bạn có thể chỉnh sửa nó sau, đặc biệt hữu ích nếu video Live đi theo hướng khác với hướng bạn định ra ban đầu. Phát Live xong, chọn Options khi xem lại video và chọn Edit this Video.
Quảng cáo: Người phát ngôn Facebook cho biết những người “úp mở” sắp phát Live thường có lượng người xem cao hơn.
">15 mẹo phát video trực tiếp Facebook Live để có “triệu lượt like”
Ngày 6/2 vừa qua, cơ quan cảnh sát điều tra công an tỉnh Đồng Nai đã kết thúc điều tra và chuyển hồ sơ sang Viện Kiểm sát Nhân dân tỉnh Đồng Nai đề nghị truy tố hai bị can Nguyễn Thị Tuyết Nga (33 tuổi) và Huỳnh Thị Thanh Phượng (32 tuổi), đều trú tại thành phố Biên Hòa về tội lừa đảo chiếm đoạt tài sản bằng việc sử dụng bút bi “ma thuật” có thể xóa sau khi viết.
Hai đối tượng này đã thông đồng dùng bút bi “ma thuật” để lập và chỉnh sửa phiếu đề xuất, bảng lương công nhân, sổ quỹ… rồi trình giám đốc Công ty DTC ký duyệt. Sau khi Giám đốc công ty ký, công nhân ký nhận tiền, Nga và Phượng tẩy xóa, sửa số liệu trong các chứng từ để nâng khống số tiền nhằm chiếm đoạt tiền chênh lệch.
Theo cáo trạng, hai đối tượng đã chiếm đoạt của Công ty DTC hơn 536 triệu đồng, thực hiện từ tháng 9/2014 và đến cuối năm 2015 mới bị phát hiện.
Liên quan đến loại bút bi “ma thuật” được hai đối tượng nói trên sử dụng để lừa đảo, nếu nhìn bề ngoài sẽ khó phân biệt được so với bút bi bình thường, tuy nhiên sau khi viết trên giấy, chỉ cần dùng bật lửa hơ nóng nhẹ dưới mặt trang giấy (trên 70 độ C) hoặc dùng đầu tẩy của bút tẩy đi là có thể xóa hoàn toàn nội dung đã viết.
Mực bút không tự động biến mất và để vài tháng sau vẫn có thể tẩy được bình thường. Trong thực tế, những vụ lừa đảo liên quan đến sử dụng bút bi “ma thuật” có thể tẩy xóa như vụ việc nêu trên đã được cơ quan chức năng cảnh báo từ vài năm nay.
 |
Bút bi “ma thuật” bán nhiều như rau trên mạng
Nhận định, soi kèo El Kanemi vs Shooting Stars, 21h00 ngày 27/3: Chia điểm là hợp lý
Để hiện thực hóa ước muốn đó của Chủ tịch UBND TP Đà Nẵng, chiều ngày 15/2/2017, tại Tòa nhà FPT, Khu Công nghiệp An Đồn, quận Sơn Trà, TP Đà Nẵng, Đại học FPT Đà Nẵng và FPT Sofware Đà Nẵng đã ký kết thỏa thuận hợp tác đào tạo và cam kết tuyển dụng sinh viên FPT.
Theo mô hình này, Đại học FPT Đà Nẵng sẽ thiết kế một chương trình đào tạo đặc thù theo yêu cầu của FPT Software gồm 4 học kỳ. Nội dung chương trình do FPT Software đề xuất xuất phát từ những yêu cầu thực tế của ngành công nghiệp CNTT. FPT Software cũng tham gia tích cực vào quá trình đào tạo bao gồm cung cấp các công cụ quản trị, cử các chuyên gia làm hướng đạo, kiểm soát chất lượng và đánh giá đầu ra. Sinh viên còn được thực tập tại doanh nghiệp và tham gia vào các dự án thực tế.
Hàng tuần, các sinh viên được đào tạo kỹ năng mềm, đạo đức nghề nghiệp, giáo dục thể chất, văn hóa và ngoại ngữ theo tiêu chuẩn của Đại học FPT.
 |
Những sinh viên hoàn thành chương trình 4 học kỳ nói trên được công nhận trình độ tương đương cấp bậc nhân viên đầu vào (Fresher) của FPT Software, được nhận chứng chỉ “Junior SE” do Đại học FPT Đà Nẵng và FPT Software Đà Nẵng đồng chứng nhận. Đồng thời, FPT Software cam kết sẽ tuyển dụng chính thức những sinh viên này.
Sau đó, sinh viên có thể lựa chọn vừa đi làm vừa học theo chương trình của Đại học trực tuyến FUNiX hoặc quay về trường học theo chương trình chính quy của Đại học FPT hoặc để lấy bằng kỹ sư CNTT.
Ông Hoàng Nam Tiến, Chủ tịch HĐQT FPT Software cho rằng FPT Software đang hướng đến mục tiêu 1 tỷ USD doanh thu vào năm 2020. Công ty cũng sẽ đẩy mạnh hoạt động tuyển dụng để đạt quân số 30.000 người vào năm 2020. Vì vậy, ông Tiến kỳ vọng mô hình này nếu thành công, sẽ mang lại cơ hội lớn cho Đà Nẵng trong việc tạo ra hàng ngàn việc làm ở lĩnh vực CNTT. Chúng ta gần như đã lỡ 3 chuyến tàu – (3 cuộc cách mạng công nghiệp) vì vậy, chuyến tàu thứ 4 này (cuộc cách mạng công nghệ số) chúng ta không thể lỡ. Tôi thấy chính quyền Đà Nẵng đặt quyết tâm cao nên tin tưởng Đà Nẵng có thể tham gia sâu vào sân chơi này", ông Tiến bày tỏ.
">Đại học FPT ra mô hình đào tạo giúp những chú bé chăn bò có cơ hội làm ở FPT Software
Chloe Bridgewater, 7 tuổi ở Hereford, Anh đã viết một bức thư tay gửi tới "ông chủ Google". Trong thư, cô bé nêu rõ các kỹ năng máy tính của mình và bày tỏ sự thích thú được làm việc ở một nơi có các ghế lười (hay còn gọi là túi nệm, bean bag), đường trượt và các ôtô đua rất nhỏ dành cho nhân viên như tại Google.
Theo gia đình, việc nhìn thấy các bức ảnh chụp văn phòng làm việc của Google đầy rẫy những tiện ích thư giãn trên đã thôi thúc Chloe viết thư cho lãnh đạo công ty Mỹ. Trong thư, cô bé cũng giải thích, cha mình đã nói, nếu con gái tiếp tục là học sinh giỏi và nhận được nhiều điểm tốt, một ngày nào đó cô bé sẽ được Google nhận vào làm.
Chloe tiết lộ thêm rằng, bản thân còn muốn làm việc trong một nhà máy sôcôla và trở thành một vận động viên bơi lội thi đấu tại Thế vận hội Olympics.
"Ông chủ Google", CEO Sundar Pichai, sau đó đã bất ngờ viết thư hồi đáp cô bé 7 tuổi người Anh. Ông Pichai tất nhiên không đề xuất công việc nào cho Chloe, nhưng bày tỏ hy vọng cô bé sẽ theo đuổi giấc mơ tới cùng.
"Chú rất vui vì cháu thích máy tính và robot. Chú hy vọng cháu sẽ tiếp tục học hỏi về công nghệ. Nếu cháu học hành chăm chỉ và theo đuổi giấc mơ của mình, cháu có thể đạt được mọi thứ mà mình muốn, từ dự định làm việc tại Google cho tới thi bơi ở Olympics. Chú hy vọng sớm nhận được thư xin việc của cháu khi cháu học xong :)", trích thư hồi đáp của CEO Google.
Tuấn Anh(Theo CNET, Daily Mail)
">Bé 7 tuổi bất ngờ được sếp Google hồi đáp thư xin việc
Tuy nhiên, việc thu thập dữ liệu chỉ bắt đầu không bình thường khi thiết bị thu thập thông tin cá nhân và các dữ liệu nhạy cảm của người dùng gửi về máy chủ nào đó, không nhằm mục đích hoàn thiện sản phẩm và chưa được sự đồng ý của người dùng. Nhiều thông tin cảnh báo đã được đánh tiếng, tuy nhiên hầu hết người dùng điện thoại, nhất là ở các nước ngoài khu vực châu Âu và Mỹ, không mấy quan tâm.
Một phần của việc thờ ơ này chính là hậu quả để lại của các vụ việc không nghiêm trọng. Thông thường, ngay cả những phần mềm độc hại cũng chỉ làm mỗi việc gọi điện, nhắn tin đến các đầu số khiến người dùng điện thoại bị mất tiền. Ngoài ra, những cảnh báo về việc bị sao chép danh bạ, sao chép thông tin người dùng, ghi âm cuộc gọi, ghi nhận vị trí… đều bị nhiều người bỏ qua do nghĩ rằng các thông tin này có bị lộ cũng không ảnh hưởng gì đến cá nhân.
Tất nhiên, nhìn ở góc độ vĩ mô và an ninh quốc gia, việc “biếu không” dữ liệu như vậy cho các bên thứ ba mà không rõ họ dùng thông tin đó vào việc gì là rất nguy hiểm.
Để biết một ứng dụng có thể can thiệp vào tính năng nào của điện thoại, người dùng có thể xem ở phần Chi tiết về quyền (Permission Details) có ghi ở phần mô tả ứng dụng trong kho Play Store, hoặc các quyền truy cập này sẽ hiện lên khi bắt đầu cài ứng dụng. Trên thiết bị iOS, người dùng vào Cài đặt/Quyền riêng tư để xem các tính năng như định vị, danh bạ, micro,… đang được các ứng dụng nào sử dụng.
Trên Android, người dùng có thể cài thêm các ứng dụng như Permission Explorer để xem chi tiết một ứng dụng đang truy cập vào những chức năng nào của điện thoại. Bạn có thể xem một ứng dụng như Instagram đang đòi các quyền nào trên điện thoại, hoặc vào một tính năng bất kỳ của điện thoại và xem có các ứng dụng nào đang sử dụng tính năng đó. Việc này cho phép bạn so sánh xem một tính năng do một ứng dụng sử dụng có bất thường hay không, tính năng đó có đang được các phần mềm phổ biến truy cập vào hay không.
">Làm sao biết một ứng dụng lấy những thông tin nào của điện thoại?
友情链接
