Heartbleed đe dọa cả thế giới

Lỗ hổng bảo mật được cho là nguy hiểm nhất trong nhiều năm qua đã được lôi ra ánh sáng, phương án khắc phục đã có nhưng vẫn còn tiềm ẩn mối đe dọa người dùng trực tuyến trên toàn thế giới.





Một lỗ hổng nghiêm trọng trong hệ thống giao dịch trực tuyến được công bố hôm 7/4, đe dọa người dùng trên toàn thế giới đối mặt với nguy cơ mất thông tin, mất tiền khi tham gia thanh toán trực tuyến.


Lỗ hổng mang tên Heartbleed (Trái tim rỉ máu) nằm trong phần mềm OpenSSL, là thư viện mà hiện có tới hai phần ba số website trên thế giới đang dùng để mã hóa dữ liệu trong giao thức bảo mật HTTPS (HTTP + SSL – Secure Socket Layer), trong đó có rất nhiều website quan trọng như các website ebanking, thương mại điện tử và thường dùng như những dịch vụ Gmail, Yahoo Mail, Facebook… Nhiều cơ quan doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên làm việc từ xa qua Internet, truy cập vào các ứng dụng nội bộ.


SSL là một chuẩn được sử dụng để bảo vệ an toàn cho các giao dịch trực tuyến, thông qua việc mã hóa dữ liệu trao đổi giữa máy chủ web và trình duyệt trên máy khách. Theo phân tích của các chuyên gia bảo mật, tin tặc có thể viết và chạy các đoạn mã khai thác lỗ hổng bảo mật này để truy cập vào bộ nhớ đệm của máy chủ, lấy cắp những dữ liệu nhạy cảm như thông tin thẻ, tài khoản ngân hàng và các giao dịch trực tuyến khác của người dùng được trình duyệt gửi lên thông qua kết nối mã hóa SSL. Từ đó tin tặc có thể rút tiền khỏi tài khoản hoặc sử dụng những thông tin cá nhân của người dùng để khai thác về sau cho mục đích xấu.


Người dùng có thể tự nhận biết đang ở trên một website sử dụng phần mềm OpenSSL thông qua dấu hiệu khóa móc trong thanh địa chỉ web hoặc nếu nó bắt đầu với ‘https’. Hiện tại, hầu hết các website phổ biến sử dụng Open SSL đã khắc phục lỗi Heartbleed, nhưng mối nguy hiểm không phải là đã hết.


Theo Symantec, lỗ hổng Heartbleed ảnh hưởng không chỉ máy chủ web mà còn cả các máy chủ Proxy, máy chủ media, máy chủ game, máy chủ cơ sở dữ liệu, máy chủ chat và máy chủ FTP. Chẳng những thế, Heartbleed còn đe dọa gây ảnh hưởng cả các thiết bị phần cứng như các bộ định tuyến (router), các hệ thống điện thoại doanh nghiệp (FBX) và vô số thiết bị khác trong kỷ nguyên “Internet kết nối vạn vật”.


Các máy chủ web không sử dụng OpenSSL, chẳng hạn như IIS (Internet Information Services) chạy trên nền Windows, không bị ảnh hưởng bởi lỗ hổng bảo mật này. Tuy nhiên, do Heartbleed ảnh hưởng tới phần mềm trên máy khách, nên khi dùng các dòng lệnh sử dụng OpenSSL (như wget và curl) người dùng có thể bị kẻ xấu khai thác lỗ hổng điều hướng tới một máy chủ SSL/TLS độc hại.


Ứng dụng di động cũng đối mặt với nguy cơ từ lỗ hổng Heartbleed, nhưng một trong những “thiệt thòi” của người dùng Android là quy trình cập nhật phần mềm cho nền tảng này hơi tốn thời gian. Đó là do một bản cập nhật sửa lỗi trước hết phải được nhà sản xuất thiết bị (như Samsung, HTC, LG, Sony…) thông qua sau đó mới đến được tay người dùng.


Hôm 12/4, công ty an ninh mạng Bkav cho biết, người dùng đã có thể an tâm khi thực hiện các giao dịch thanh toán trực tuyến tại Việt Nam. Công ty đã tiến hành kiểm tra website ebanking của toàn bộ 62 ngân hàng và hơn 30 cổng thanh toán trực tuyến phổ biến tại Việt Nam. Kết quả cho thấy hiện các website này đều đã an toàn trước lỗ hổng nguy hiểm của OpenSSL.


Cho dù sự kiện đã qua, nhưng người dùng luôn bị rình rập trong một thế giới online luôn tồn tại những lỗ hổng bảo mật. Các chuyên gia bảo mật thường khuyên người dùng nâng cao cảnh giác, tự bảo vệ mình bằng các biện pháp như: đặt mật khẩu mạnh và khác nhau trên những trang khác nhau; thay đổi mật khẩu trên mọi website sau khi lỗ hổng bảo mật bị phát giác và nhà cung cấp dịch vụ đã cập nhật bản sửa lỗi như vụ “Trái tim rỉ máu” vừa qua.

PC World VN, 05/2014









Heartbleed de doa ca the gioi


Lo hong bao mat duoc cho la nguy hiem nhat trong nhieu nam qua da duoc loi ra anh sang, phuong an khac phuc da co nhung van con tiem an moi de doa nguoi dung truc tuyen tren toan the gioi.





Mot lo hong nghiêm trong trong he thong giao dich truc tuyen duoc công bo hôm 7/4, de doa nguoi dùng trên toàn the gioi doi mat voi nguy co mat thông tin, mat tien khi tham gia thanh toán truc tuyen.


Lo hong mang tên Heartbleed (Trái tim ri máu) nam trong phan mem OpenSSL, là thu vien mà hien có toi hai phan ba so website trên the gioi dang dùng de mã hóa du lieu trong giao thuc bao mat HTTPS (HTTP + SSL – Secure Socket Layer), trong dó có rat nhieu website quan trong nhu các website ebanking, thuong mai dien tu và thuong dùng nhu nhung dich vu Gmail, Yahoo Mail, Facebook… Nhieu co quan doanh nghiep cung su dung OpenSSL de mã hóa du lieu, cho phép nhân viên làm viec tu xa qua Internet, truy cap vào các ung dung noi bo.


SSL là mot chuan duoc su dung de bao ve an toàn cho các giao dich truc tuyen, thông qua viec mã hóa du lieu trao doi giua máy chu web và trình duyet trên máy khách. Theo phân tích cua các chuyên gia bao mat, tin tac có the viet và chay các doan mã khai thác lo hong bao mat này de truy cap vào bo nho dem cua máy chu, lay cap nhung du lieu nhay cam nhu thông tin the, tài khoan ngân hàng và các giao dich truc tuyen khác cua nguoi dùng duoc trình duyet gui lên thông qua ket noi mã hóa SSL. Tu dó tin tac có the rút tien khoi tài khoan hoac su dung nhung thông tin cá nhân cua nguoi dùng de khai thác ve sau cho muc dích xau.


Nguoi dùng có the tu nhan biet dang o trên mot website su dung phan mem OpenSSL thông qua dau hieu khóa móc trong thanh dia chi web hoac neu nó bat dau voi ‘https’. Hien tai, hau het các website pho bien su dung Open SSL dã khac phuc loi Heartbleed, nhung moi nguy hiem không phai là dã het.


Theo Symantec, lo hong Heartbleed anh huong không chi máy chu web mà còn ca các máy chu Proxy, máy chu media, máy chu game, máy chu co so du lieu, máy chu chat và máy chu FTP. Chang nhung the, Heartbleed còn de doa gây anh huong ca các thiet bi phan cung nhu các bo dinh tuyen (router), các he thong dien thoai doanh nghiep (FBX) và vô so thiet bi khác trong ky nguyên “Internet ket noi van vat”.


Các máy chu web không su dung OpenSSL, chang han nhu IIS (Internet Information Services) chay trên nen Windows, không bi anh huong boi lo hong bao mat này. Tuy nhiên, do Heartbleed anh huong toi phan mem trên máy khách, nên khi dùng các dòng lenh su dung OpenSSL (nhu wget và curl) nguoi dùng có the bi ke xau khai thác lo hong dieu huong toi mot máy chu SSL/TLS doc hai.


Ung dung di dong cung doi mat voi nguy co tu lo hong Heartbleed, nhung mot trong nhung “thiet thòi” cua nguoi dùng Android là quy trình cập nhật phần mềm cho nen tang này hoi tốn thòi gian. Dó là do mot ban cap nhat sua loi truóc hết phải duọc nhà san xuat thiet bi (nhu Samsung, HTC, LG, Sony…) thông qua sau dó moi dến duọc tay nguòi dùng.


Hôm 12/4, công ty an ninh mang Bkav cho biet, nguoi dùng dã có the an tâm khi thuc hien các giao dich thanh toán truc tuyen tai Viet Nam. Công ty dã tien hành kiem tra website ebanking cua toàn bo 62 ngân hàng và hon 30 cong thanh toán truc tuyen pho bien tai Viet Nam. Ket qua cho thay hien các website này deu dã an toàn truoc lo hong nguy hiem cua OpenSSL.


Cho dù su kien dã qua, nhung nguoi dùng luôn bi rình rap trong mot the gioi online luôn ton tai nhung lo hong bao mat. Các chuyên gia bao mat thuong khuyên nguoi dùng nâng cao canh giác, tu bao ve mình bang các bien pháp nhu: dat mat khau manh và khác nhau trên nhung trang khác nhau; thay doi mat khau trên moi website sau khi lo hong bao mat bi phát giác và nhà cung cap dich vu dã cap nhat ban sua loi nhu vu “Trái tim ri máu” vua qua.

PC World VN, 05/2014


Heartbleed đe dọa cả thế giới

Lỗ hổng bảo mật được cho là nguy hiểm nhất trong nhiều năm qua đã được lôi ra ánh sáng, phương án khắc phục đã có nhưng vẫn còn tiềm ẩn mối đe dọa người dùng trực tuyến trên toàn thế giới.
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá