Lỗ hổng mới nguy hiểm như thế nào?

Theo website Sở TT&TT Bình Thuận, lỗ hổng mới trong bộ thư viện OpenSSL mới được công bố vào ngày 1/3/2016 còn được gọi là tấn công DROWN "Decrypting RSA with Obsolete and Weakened eNcryption”, nghĩa là "Giải mã RSA có mã hóa lỗi thời và suy yếu", cho phép tin tặc thực hiện giải mã các kết nối mạng sử dụng giao thức mã hoá SSLv2 dựa trên điểm yếu trong quá trình bắt tay.

Lỗ hổng có tên mã quốc tế là CVE-2016-0800. Lỗ hổng DROWN lợi dụng điểm yếu trong việc thực hiện giao thức bảo mật SSLv2 và TLS, và được khẳng định là lỗ hổng nghiêm trọng trong OpenSSL, hệ thống thi hành SSL và TLS.

DROWN được miêu tả như một cuộc tấn công chi phí thấp có thể giải mã các liên lạc HTTPS an toàn, nhạy cảm, bao gồm mật khẩu và thông tin thẻ tín dụng chỉ trong vài giờ, hoặc gần như ngay lập tức trong một số trường hợp.

Khai thác thành công điểm yếu này, tin tặc có thể lấy được bất kỳ thông tin, dữ liệu nào được truyền trên kênh đã mã hoá bao gồm cả những thông tin như tài khoản người dùng, thông tin thẻ tín dụng…

Về cơ bản, một máy chủ có thể bị tấn công DROWN khi có hỗ trợ kết nối sử dụng giao thức SSLv2; không sử dụng SSLv2 nhưng chia sẻ cặp khoá với máy chủ khác sử dụng SSLv2 (có nhiều đơn vị thường sử dụng một chứng chỉ cho nhiều dịch vụ trên cùng một máy chủ hoặc nhiều máy chủ).

Lỗ hổng này do hai chuyên gia an toàn thông tin có tên Nimrod Aviram và Sebastian Schinzel thông báo vào ngày 29/12/2015 và hiện tại các nhà phát triển OpenSSL xác nhận và đưa ra bản vá kịp thời. Theo đó một biến thể của tấn công DROWN với nhiều kịch bản bẻ khoá khác cũng được trình bày và tồn tại trên các phiên bản OpenSSL trước đó.

Mức độ ảnh hưởng của lỗ hổng

Theo đánh giá của các chuyên gia trên thế giới, hơn 33% máy chủ HTTPS có nguy cơ bị tấn công DROWN, có tới 11,5 triệu máy chủ trên thế giới bao gồm cả Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared và Samsung đều có khả năng bị ảnh hưởng.

Freedom 251 đang bị nghi ngờ là chiêu trò PR?

Ringing Bells, một hãng điện thoại Ấn Độ đang khiến cả thế giới bị sốc khi công bố giá bán chính thức của Freedom 251, mẫu smartphone mới nhất của hãng này, chỉ có 3,6 USD. Với mức giá này, hẳn nhiên nó không thể có đối thủ trong hạng mục smartphone rẻ nhất thế giới. Sự khó tin càng tăng lên khi người ta đọc cấu hình chi tiết của Freedom 251, từ màn hình, chip, camera... tất cả đều là những linh kiện thông dụng đang được các smartphone 150-200 USD sử dụng.

"Giá thành sản xuất chắc chắn phải cao hơn mức 4 USD rất nhiều", một chuyên gia bình luận.

Số khác hoài nghi đây chỉ là chiêu trò đánh bóng tên tuổi và làm thương hiệu của Ringing Bells. Sự quan tâm của người dùng và giới truyền thông dành cho thương hiệu 5 tháng tuổi này lớn đến mức website của hãng đã bị tê liệt, không thể truy cập nổi ngay sau khi Freedom 251 ra mắt. Hiện không rõ có bao nhiêu người đã thực sự mua được con dế nói trên, nhưng chắc chắn số không mua được là cực đông, căn cứ vào những lời phàn nàn tràn ngập trang Facebook của Ringing Bells.

Ringing Bells từ chối trả lời báo giới, song có thông báo qua Facebook rằng đội kỹ thuật của họ đang xử lý vấn đề của website. Hãng này cũng kêu gọi khách hàng "ở lại với chúng tôi, ủng hộ và tin tưởng chúng tôi".

Smartphone giá rẻ đang làm mưa làm gió tại Ấn Độ, thị trường smartphone lớn thứ hai thế giới hiện nay. Đây là một thị trường chịu sự thống trị của các thương hiệu nội địa nhưng gần như vô danh ở nước ngoài. Nhờ giá bán hấp dẫn và sự am hiểu tâm lý, hành vi tiêu dùng bản địa, các hãng này đã gây dựng được một nền tảng khách hàng đáng mơ ước.

Cũng như nhiều thiết bị điện tử khác, giá smartphone liên tục giảm mạnh những năm qua. Đó là nhờ giá linh kiện đã rẻ đi rõ rệt, rồi sự cạnh tranh khốc liệt giữa các hãng đã khiến cho các thiết bị giá rẻ xuất hiện như nấm sau mưa, cái sau rẻ hơn cái trước. Nhưng rẻ đến mức 4 USD thì không.

"Hoàn toàn không có cách nào để sản xuất ra một chiếc smartphone 4 USD cả", nhà phân tích Ben Wood của CCS Insight thẳng thắn. "Chỉ riêng cái hộp không giao đi đã đủ mất 4 USD rồi".

Phát triển trong bí ẩn

Những con dế đắt đỏ nhất hiện nay, như iPhone và Samsung Galaxy S, thường mất chi phí sản xuất tối thiểu 200 USD do sử dụng các linh kiện đầu bảng, tối tân nhất. Giá sẽ giảm xuống tùy thuộc vào chất lượng linh kiện bên trong, nhưng đến mức như bèo, "cho không biếu không" của Ringing Bells thì vô cùng hiếm. Năm ngoái, kế hoạch tung ra smartphone 25 USD của Mozilla lại Ấn Độ đã đổ bể khi hãng này quyết định sẽ tập trung vào chất lượng hơn là giá thành.

Chuyên gia Ben Wood cho rằng, điện thoại feature cơ bản với tính năng thoại và nhắn tin là những lựa chọn rẻ nhất hiện nay, nhưng hóa đơn linh kiện, vật liệu của chúng cũng phải đạt tối thiểu 15 USD nếu muốn hoạt động được đảm bảo.

Mà linh kiện thì chỉ là một phần trong tổng chi phí sản xuất smartphone mà thôi. Hãng còn cần bỏ tiền cho R&D (nghiên cứu và phát triển), thử nghiệm sản phẩm, vận chuyển linh kiện và chi phí sản xuất, lắp ráp thiết bị. Tương tự, đóng gói và giao nhận hàng cũng cần tiền cả.

Ringing Bells hiện đang nhập linh kiện từ nước ngoài rồi lắp ráp tại Ấn Độ. Hãng này dự định sản xuất nội địa trong vòng một năm tới và cũng đã xây một phòng thí nghiệm test sản phẩm tại Ấn Độ.

Trong lễ công bố sản phẩm chính thức ở Ấn Độ vào chiều qua, Chủ tịch Ashok Chadha của hãng đã phát các thiết bị "beta" (thử nghiệm) cho phóng viên. Những chiếc điện thoại được dán sticker hình cờ Ấn ở mặt sau. Theo lời Wall Street Journal, trông chúng giống như muốn che logo thương hiệu của một nhà sản xuất khác thì đúng hơn.

Sản phẩm cuối cùng trông như thế nào thì vẫn còn là một bí ẩn. Ringing Bells đã phát tán 2 hình ảnh khác nhau của Freedom 251, thay đổi ảnh trên website vào đêm qua để hiển thị một thiết bị trông khá giống iPhone.

Giới truyền thông Ấn Độ suy đoán rằng có thể chính phủ nước này đã hỗ trợ cho Ringing Bells tung ra một sản phẩm với giá siêu bèo như vậy, với mục đích tạo điều kiện cho nhiều người dân tiếp cận di động hơn nữa. "Nhìn vào giá bán linh kiện, chắc chắn là con dế này phải được chính quyền trợ giá", nhà phân tích Tarun Pathak của Counterpoint Research chỉ ra.

Thủ tướng Ấn Độ thậm chím đang vận động một chiến dịch có tên "Sản xuất tại Ấn Độ" để khuyến khích các doanh nghiệp trong nước tự sản xuất hàng nội địa. Ông cũng tham gia vào một số dự án ứng dụng trong các lĩnh vực nông nghiệp, ngư nghiệp, y tế và an toàn phụ nữ - tất cả những ứng dụng này đều được cài sẵn trên Freedom 251.

Tại lễ ra mắt, bản thân Chadha cũng thừa nhận các linh kiện của Freedom 251 được nhập khẩu từ Trung Quốc và có giá thành khoảng 2500 rupiah (36 USD)/thiết bị. Dù vậy, ông vẫn tin rằng có thể kiếm lãi nhờ "số lượng lớn" và ưu đãi về thuế của Chính phủ. Nhưng ngay cả khi chính phủ Ấn Độ có tham gia vào dự án này đi nữa, thì mức độ trợ giá cần thiết để có thể bán ra sản phẩm với giá 4 USD cũng là "hoàn toàn không bền vững", Wood nhận định. "Tôi sẽ rất ngạc nhiên nếu như chính phủ Ấn Độ muốn gánh lỗ cho thị trường ở quy mô lớn như vậy".

T.C 

Thế nhưng trái ngược với sự chờ đợi của cộng đồng, cả cụm máy chủ Đông Nam Á cứ lỡ hẹn hết lần này đến lần khác. Nguyên nhân được phân tích cũng khiến cộng đồng thông cảm được khi New Impact Engine gặp khá nhiều lỗi bên máy chủ Hàn Quốc nên chúng ta không thể chơi một phiên bản FIFA Online 3 mới nhiều lỗi như vậy được. Bởi vậy từ lần nhá hàng đầu tiên vào ngày 24/12 trên fanpage của FIFA Online 3 Singapore và Malaysia đến nay đã 3 tháng nhưng tất cả chỉ mang tính chất… trưng bày!

Thông báo về cập nhật New Impact Engine lần đầu tiên vào ngày 25/12 trên fanpage của FIFA Online 3 Singapore