Microsoft phục hồi lại mã hóa Hotmail đối với Syri và một số nước khác

Microsoftrestores Hotmail encryption to Syrian and other users

26March 2011, 23:10

Theo:http://www.h-online.com/security/news/item/Microsoft-restores-Hotmail-encryption-to-Syrian-and-other-users-1215906.html

Bàiđược đưa lên Internet ngày: 26/03/2011

Lờingười dịch: Ngày nay, khi mà công nghệ thông tin đi vớichính trị, khó ai mà biết hết được điều gì sẽ cóthể xảy ra. Chúng ta đều đã biết, cho tới nay cònkhông rõ quốc gia nào đã làm ra sâu Stuxnet, khai thác cùngmột lúc tới 4 lỗi ngày số 0 trong Windows, để phá hoạichương trình hạt nhân của Iran. Bây giờ Quỹ Điện tửkhông biên giới EFF lại vừa phát hiện rằng Microsoft đãbỏ tính năng mã hóa SSL liên tục của hãng đối vớidịch vụ tự do của Hotmail đối với những người sửdụng ở một số quốc gia như Bahrain, Morocco, Algeria,Syria, Sudan, Iran, Lebanon, Jordan, Congo, Myanmar, Nigeria,Kazakhstan, Uzbekistan, Turkmenistan, Tajikistan và Kyrgyzstan, biếtrằng: “Trong các mạng Wi-Fi không có bảo vệ an ninh,điều này cho phép những kẻ tấn công sử dụng các côngcụ như Firesheep để đọc các thư điện tử của ngườisử dụng hoặc thậm chí giành được sự truy cập tàikhoản bằng việc sao chép các cookies”. Đừng có mơtưởng rằng nếu không làm chủ được CNTT thì quốc giacủa bạn sẽ tồn tại được như một quốc gia có chủquyền trong thế kỷ 21. Chỉ những kẻ xuẩn ngốc mớimơ như vậy!!!.

Microsoftđã phục hồi lại khả năng mã hóa SSL liên tục đốivới những người sử dụng Hotmail khắp thế giới saukhi những người sử dụng tại các nước như Bahrain,Iran, Syria và Uzbekistan bản thân họ thấy không thể sửdụng được lựa chọn này. Microsoft nói rằng “chúngtôi không định hạn chế hỗ trợ theo khu vực hoặc địalý và vấn đề này từng không bị hạn chế tới bấtkỳ khu vực đặc biệt nào trên thế giới” và xin lỗivì sự bất tiện trong một bài viết của Trung tâm Giảipháp.

Hômthứ sáu, trong một báo cáo trên blog các đường dẫnsâu, Quỹ Điện tử không Biên giới EFF đã nói rằngMicrososft đã treo tính năng mã hóa SSL liên tục của hãng(“luôn sử dụng HTTPS”) đối với dịch vụ tự do củaHotmail tại một số quốc gia. Những người sử dụngHotmail mà hồ sơ của họ là những người sử dụng tạicác quốc gia như Bahrain, Morocco, Algeria, Syria, Sudan, Iran,Lebanon, Jordan, Congo, Myanmar, Nigeria, Kazakhstan, Uzbekistan,Turkmenistan, Tajikistan hoặc Kyrgyzstan đã chỉ thấy thôngđiệp lỗi "Your Windows Live ID can't use HTTPSautomatically because this feature is not available for your accounttype" (Windows Live ID của bạn không thể sử dụngHTTPS một cách tự động vì tính năng này không có sẵncho dạng tài khoản của bạn), theo nhà hoạt động chínhtrị xã hội của EFF Eva Galperin. Vấn đề này ban đầuđã được một sinh viên kỹ thuật máy tính tại Syriđang làm huyên náo. Sinh viên này đã đưa một hình ảnhcủa thông điệp từ chối này lên mạng.

EFFđã đặc biệt lo ngại về động thái này khi nó đã ảnhhưởng tới các quốc gia mà các chính phủ của họ đãcó ít quan tâm về sự tự do ngôn luận, và đã kêu gọimột sự phục hồi lại nhanh chóng dịch vụ này. TheoMicrosoft, những người sử dụng tại Bahamas, CaymanIslands và Fiji cũng đã bị ảnh hưởng với lỗi này. Lỗinày hình như đã loại bỏ tính năng trên cơ sở quốcgia nào mà người sử dụng nói họ ở trong đó mà khôngdựa vào địa chỉ IP mà họ tới từ đó. Những ngườisử dụng có thể khắc phục vấn đề này bằng việcthay đổi thiết lập quốc gia của họ tới một quốcgia không bị khóa.

Microsoftđã không tiết lộ điều gì đã gây ra lỗi này. Hãngnày chỉ đưa ra tính năng HTTPS luôn được sử dụng choHotmail vào tháng 11/2010; trước đó, chỉ thủ tục đăngnhập đã được mã hóa bằng SSL. Trong các mạng Wi-Fikhông có bảo vệ an ninh, điều này cho phép những kẻtấn công sử dụng các công cụ như Firesheep để đọccác thư điện tử của người sử dụng hoặc thậm chígiành được sự truy cập tài khoản bằng việc sao chépcác cookies.

Microsofthas restored the continuous SSL encryption capability to Hotmailusers around the world after users in countries such as Bahrain,Iran, Syria and Uzbekistan found themselves unable to use the option.Microsoft said that "we do not intentionally limit support byregion or geography and this issue was not restricted to any specificregion of the world" and apologised for the inconvenience in aSolution Center entry.

OnFriday, in a reporton its deeplinks blog, the Electronic Frontier Foundation (EFF)had reported that Microsoft had suspended its continuous SSLencryption feature ("always use HTTPS") for its freeHotmail service in a number of countries. Hotmail users whose profilegave Bahrain, Morocco, Algeria, Syria, Sudan, Iran, Lebanon, Jordan,Congo, Myanmar, Nigeria, Kazakhstan, Uzbekistan, Turkmenistan,Tajikistan or Kyrgyzstan as the user's home country only saw theerror message "Your Windows Live ID can't use HTTPSautomatically because this feature is not available for your accounttype", according to EFF activist EvaGalperin. The problem was initially spotted by a computerengineering student in currently tumultuousSyria. The student postedan image of the denial message.

TheEFF was particularly worried about the apparent move as it affectedcountries whose governments have little regard for the freedom ofexpression, and called for a speedy restoration of the service.According to Microsoft, users in the Bahamas, Cayman Islands and Fijiwere also affected by the bug. The bug apparently removed thefunctionality on the basis of what country the user said they werein, not based on the IP address they were coming f-rom. Users couldwork around the problem by changing their country setting to anunblocked country.

Microsofthas not disclosed what caused the bug. The company only introducedthe always-use-HTTPS feature for Hotmail in November 2010; beforethis time, only the log-in procedure had been SSL-encrypted. Onunsecured Wi-Fi networks, this allowed attackers using such tools asFiresheep to read users' emails or even gain account access bycopying cookies.

(djwm)

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com