Thế giới đang dần bước sang thời kỳ Web 2.0, và tất nhiên kéo theo đó hacker cũng sẽ bước vào một thời kỳ mới với nhiều hình thức tấn công và lừa đảo hơn. Theo như những nhà nghiên cứu bảo mật cho biết thì những công nghệ của Web 2.0 có thể sẽ trở thành nền tảng cho một thế hệ các công cụ tấn công mới của hacker.
Google Mashups, tin RSS, tìm kiếm,... tất cả những điều này có thể bị lạm dụng bởi hacker để phát tán malware, tấn công những người lướt Web và để liên lạc với các botnet, theo như Petko Petkov - nhà nghiên cứu về bảo mật cho biết tại hội nghị Open Web Application Security Project (OWASP) U.S 2007.
Những công cụ có thể download một cách dễ dàng như Mpack (bộ công cụ hacker) đã tạo điều kiện thuận lợi rất nhiều cho những kẻ muốn phát tán các đoạn mã độc, không chỉ vậy một trong số các công cụ mới như Google Reader, Zoho Creator, Feed43, Dapper, Yahoo! Pipes là những điều rất hứa hẹn sẽ mang công nghệ hack lên một tầng cao mới. Petko cho biết “Ngày nay mọi người sử dụng và thậm chí lạm dụng công nghệ Web 2.0 để tạo ra những thứ lớn hơn rất nhiều. Và một viễn cảnh bạn sẽ nhìn thấy nếu bạn là một hacker cơ hội là rất lớn.”
Có thể lấy ví dụ đơn giản thế này, sẽ chỉ mất khoảng một ngày để Petkov có thể xây dựng được một cơ sở hạ tầng cho các cuộc tấn công dựa trên Web bằng công cụ Google Mashup Editor. Và thậm chí nếu như Google có phát hiện ra và dập tắt kiểu tấn công này, nhưng dễ dàng có thể tạo một cuộc tấn công khác bằng việc tạo ra một account mới và tiếp tục sử dụng Google Mashup Editor.
Các kiểu malware Web 2.0 này tuy mới chỉ đang ở giai đoạn hình thành nhưng nó cũng đã bắt đầu được sử dụng và phát triển – Wayne Huang CEO của công ty bảo mật Web Armorize cho biết, đã từng nhìn thấy những kẻ tấn công sử dụng Google alert để quét và tìm kiếm site đang sử dụng những phần mềm có thể lợi dụng được. Huang cũng cho biết những tên tội phạm bắt đầu sử dụng dịch vụ chuyển đổi RSS-to-email để có được quyền điều khiển mạng máy tính mà chúng đã xâm chiếm (botnets) mà không thể dò ra dấu vết.
Những người nghiên cứu như Petkov và Huang tin rằng những tên tội phạm mới chỉ bắt đầu thử nghiệm các công nghệ Web 2.0 kiểu như vậy để thực hiện tấn công, nhưng nếu chúng nắm bắt tốt các công nghệ này thì tất cả sẽ trở thành ác mộng đối với thể giới của Web 2.0.
Huang cho biết “không một ai nhận thấy tiềm năng có thể bị lạm dụng và nếu như nó xảy ra, tôi nghĩ rằng sẽ rất hỗn loạn và rất khó khăn để ngăn cản những điều này dừng lại.”
Bùi Bình (theo Inforworld)
Bình luận
Khi làm web cần có cơ chế bảo mật tốt để hạn chế việc bị lạm dụng. Web 2.0 uyển chuyển, chỉ có các gói dữ liệu nhỏ di chuyển liên tục nên ít ai quan tâm đến việc bảo mật, hoặc có quan tâm thì đa số cũng dừng lại ở mức "tự lo cho mình".