• Thứ Ba, 10/06/2014 15:42 (GMT+7)

    Lỗ hổng bảo mật OpenSSL mới không nguy hiểm như Heartbleed

    Quỳnh Lam
    Cách khai thác thành công lỗ hổng bảo mật mới trong giao thức OpenSSL hoàn toàn khác biệt với Heartbleed.

    Hai tháng sau khi xảy ra lỗi bảo mật nghiêm trọng nhất của Internet mang tên Hearbleed, nay nhóm dự án mã nguồn mở OpenSSL lại tiếp tục cảnh báo một lỗ hổng bảo mật mới trong giao thức này cho phép kẻ xấu thực hiện các cuộc tấn công đánh cắp dữ liệu người dùng theo dạng nghe lén (man-in-the-middle).

    Một số chuyên gia về bảo mật cho rằng lỗ hổng bảo mật mới trong giao thức OpenSSL tuy không nghiêm trọng như "vụ" Heartbleed; song không thể không đưa ra những lời cảnh báo tới người dùng Internet. Johannes Ullrich, người đứng đầu chương trình theo dõi mức độ hoạt động nguy hiểm trên Internet (Internet Storm Center) của học viện SANS Institute cho rằng lỗ hỗng bảo mật mới dù không nguy hiểm và chưa cần thiết phải gấp rút đưa ra các bản vá, nhưng trong thời gian tới sẽ phải sớm được giải quyết khi các nhà cung cấp nhận thức được những tác động xấu đến các sản phẩm của mình.

    Theo một số phân tích gần đây, lỗ hổng bảo mật mới cơ bản chỉ là một lỗi bảo mật trong giao thức OpenSSL và hoàn toàn không liên quan đến việc mã hóa Web hay SSL. Nói rõ hơn, đây là một cuộc tấn công man-in-the-middle, có nghĩa là một kênh thông tin liên lạc an toàn sẽ trở nên nguy hiểm vì kẻ tấn công đánh cắp dữ liệu sẽ xuất hiện ở giữa để đánh chặn và sửa đổi các thông tin truyền tải giữa 2 máy. Dĩ nhiên, cả 2 máy sử dụng cùng những phiên bản OpenSSL sẽ có khả năng bị tấn công cao. Các cuộc tấn công OpenSSL thường xảy ra trên những máy tính hoạt động như một máy chủ cung cấp dịch vụ hoặc những client. Tuy nhiên, số lượng client bị tấn công thường ít hơn. Ngày nay, nhiều giải pháp VPN cũng sử dụng giao thức OpenSSL như OpenVPN cũng sẽ trở thành những mục tiêu có nguy cơ bị tấn công cao. May mắn là việc cập nhật phiên bản OpenSSL mới nhất trong hệ thống VPN của người dùng và restart kết nối VPN có thể ngăn chặn các cuộc tấn công đánh cắp dữ liệu này. Thậm chí nếu thiết bị đầu cuối của kết nối VPN chưa được vá lỗi, nhưng máy chủ VPN ngắt kết nối để cập nhật bản vá lỗi, kết nối VPN khởi tạo lại sau đó sẽ vẫn được bảo đảm an toàn.

    Sở dĩ lỗ hổng bảo mật OpenSSL mới hoàn toàn khác biệt và không nguy hiểm như Heartbleed là vì những cuộc tấn công OpenSSL thường đòi hỏi kết nối của cả 2 bên, trong khi kẻ tấn công đứng giữa “cuộc đàm thoại” này. Chỉ cần một trong hai đầu người dùng được cập nhật bản vá lỗi, lỗ hổng bảo mật này sẽ được giải quyết. Ngược lại, Hearbleed cho phép kẻ tấn công truy cập đến các khóa bí mật và giải mã tất cả các dữ liệu đã được mã hóa. Chính vì chìa khóa bí mật để đảm bảo an toàn không còn bảo đảm bí mật nữa, nên việc thay đổi mật khẩu thường xuyên của người dùng cũng trở nên vô hiệu.

    Có thể nói, dù không thực sự nguy hiểm, nhưng lỗ hổng bảo mật OpenSSL mới có thể sẽ trở thành một thảm họa mới nếu như không nhận được đủ sự quan tâm. Vì phần lớn những thiệt hại xảy đến là do sự thiếu quan tâm và nguồn lực thích đáng.

    Nguồn: Infoworld, Networkworld