• Thứ Tư, 07/05/2014 11:26 (GMT+7)

    Heartbleed đe dọa cả thế giới

    Kỳ Hà
    Lỗ hổng bảo mật được cho là nguy hiểm nhất trong nhiều năm qua đã được lôi ra ánh sáng, phương án khắc phục đã có nhưng vẫn còn tiềm ẩn mối đe dọa người dùng trực tuyến trên toàn thế giới.

     

     

    Một lỗ hổng nghiêm trọng trong hệ thống giao dịch trực tuyến được công bố hôm 7/4, đe dọa người dùng trên toàn thế giới đối mặt với nguy cơ mất thông tin, mất tiền khi tham gia thanh toán trực tuyến.

    Lỗ hổng mang tên Heartbleed (Trái tim rỉ máu) nằm trong phần mềm OpenSSL, là thư viện mà hiện có tới hai phần ba số website trên thế giới đang dùng để mã hóa dữ liệu trong giao thức bảo mật HTTPS (HTTP + SSL – Secure Socket Layer), trong đó có rất nhiều website quan trọng như các website ebanking, thương mại điện tử và thường dùng như những dịch vụ Gmail, Yahoo Mail, Facebook… Nhiều cơ quan doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên làm việc từ xa qua Internet, truy cập vào các ứng dụng nội bộ.

    SSL là một chuẩn được sử dụng để bảo vệ an toàn cho các giao dịch trực tuyến, thông qua việc mã hóa dữ liệu trao đổi giữa máy chủ web và trình duyệt trên máy khách. Theo phân tích của các chuyên gia bảo mật, tin tặc có thể viết và chạy các đoạn mã khai thác lỗ hổng bảo mật này để truy cập vào bộ nhớ đệm của máy chủ, lấy cắp những dữ liệu nhạy cảm như thông tin thẻ, tài khoản ngân hàng và các giao dịch trực tuyến khác của người dùng được trình duyệt gửi lên thông qua kết nối mã hóa SSL. Từ đó tin tặc có thể rút tiền khỏi tài khoản hoặc sử dụng những thông tin cá nhân của người dùng để khai thác về sau cho mục đích xấu. 

    Người dùng có thể tự nhận biết đang ở trên một website sử dụng phần mềm OpenSSL thông qua dấu hiệu khóa móc trong thanh địa chỉ web hoặc nếu nó bắt đầu với ‘https’. Hiện tại, hầu hết các website phổ biến sử dụng Open SSL đã khắc phục lỗi Heartbleed, nhưng mối nguy hiểm không phải là đã hết.

    Theo Symantec, lỗ hổng Heartbleed ảnh hưởng không chỉ máy chủ web mà còn cả các máy chủ Proxy, máy chủ media, máy chủ game, máy chủ cơ sở dữ liệu, máy chủ chat và máy chủ FTP. Chẳng những thế, Heartbleed còn đe dọa gây ảnh hưởng cả các thiết bị phần cứng như các bộ định tuyến (router), các hệ thống điện thoại doanh nghiệp (FBX) và vô số thiết bị khác trong kỷ nguyên “Internet kết nối vạn vật”.

    Các máy chủ web không sử dụng OpenSSL, chẳng hạn như IIS (Internet Information Services) chạy trên nền Windows, không bị ảnh hưởng bởi lỗ hổng bảo mật này. Tuy nhiên, do Heartbleed ảnh hưởng tới phần mềm trên máy khách, nên khi dùng các dòng lệnh sử dụng OpenSSL (như wget và curl) người dùng có thể bị kẻ xấu khai thác lỗ hổng điều hướng tới một máy chủ SSL/TLS độc hại.

    Ứng dụng di động cũng đối mặt với nguy cơ từ lỗ hổng Heartbleed, nhưng một trong những “thiệt thòi” của người dùng Android là  quy trình cập nhật phần mềm cho nền tảng này hơi tốn thời gian. Đó là do một bản cập nhật sửa lỗi trước hết phải được nhà sản xuất thiết bị (như Samsung, HTC, LG, Sony…) thông qua sau đó mới đến được tay người dùng.

    Hôm 12/4, công ty an ninh mạng Bkav cho biết, người dùng đã có thể an tâm khi thực hiện các giao dịch thanh toán trực tuyến tại Việt Nam. Công ty đã tiến hành kiểm tra website ebanking của toàn bộ 62 ngân hàng và hơn 30 cổng thanh toán trực tuyến phổ biến tại Việt Nam. Kết quả cho thấy hiện các website này đều đã an toàn trước lỗ hổng nguy hiểm của OpenSSL.

    Cho dù sự kiện đã qua, nhưng người dùng luôn bị rình rập trong một thế giới online luôn tồn tại những lỗ hổng bảo mật. Các chuyên gia bảo mật thường khuyên người dùng nâng cao cảnh giác, tự bảo vệ mình bằng các biện pháp như: đặt mật khẩu mạnh và khác nhau trên những trang khác nhau; thay đổi mật khẩu trên mọi website sau khi lỗ hổng bảo mật bị phát giác và nhà cung cấp dịch vụ đã cập nhật bản sửa lỗi như vụ “Trái tim rỉ máu” vừa qua.

    PC World VN, 05/2014

    ID: A1405_13