Lý do lỗ hổng đe đọa giao dịch online có tên 'trái tim rỉ máu'
Dù nhà cung cấp đã nhanh chóng đưa ra bản vá chính thức, ông Nguyễn Minh Đức, Chuyên gia bảo mật thuộc Ban Công nghệ - Tập đoàn FPT, cho rằng thực tế đã có một nhóm người phát hiện ra lỗ hổng này trước đó và có thể từ lâu họ đã âm thầm khai thác lấy thông tin mà người sử dụng không hề hay biết.
Lỗ hổng OpenSSL Heartbleed là gì?
Ông Nguyễn Minh Đức: Như đã biết, một lỗ hổng nguy hiểm của OpenSSL mới được công bố cho phép hacker có thể đọc được từ xa bộ nhớ trên máy chủ có cài đặt OpenSSL phiên bản 1.0.1 đến 1.0.1f.
Khai thác lỗ hổng, hacker có thể lấy được private key (khóa cá nhân) của máy chủ, sử dụng để mã hóa các dữ liệu trao đổi giữa server và người dùng. Từ đó hacker có thể đọc được toàn bộ thông tin được trao đổi giữa người dùng và server như chưa hề được mã hóa. Dễ hiểu hơn là hacker có thể đọc được tên đăng nhập/ mật khẩu, nội dung thư điện tử, chat…
Đích nhắm của hacker sẽ là các trang web có thanh toán trực tuyến như ngân hàng điện tử, chứng khoán điện tử, cổng thanh toán điện tử, các trang về thương mại điện tử. Ngoài ra, các máy chủ e-mail và một số dịch vụ khác có sử dụng OpenSSL để mã hóa cũng sẽ là mục tiêu tấn công.
Tại sao lại gọi lỗ hổng là Trái tim rỉ máu (HeartBleed)?
Vì lỗi nằm trong việc xử lý TLS Heartbeat extension (RFC6520) của OpenSSL. Nguyên lý hoạt động của RFC này là để người dùng /máy chủ kiểm tra xem bạn của mình có còn sống hay không (kiểm tra nhịp tim - Heartbeat). Do lỗi ở tính năng kiểm tra heartbeat, nên người ta gọi lỗ hổng là Heartbleed.
Cụ thể, khi người dùng gửi 1 tin nhắn heartbeat đến máy chủ với 1 kích thước nào đó (ví dụ 1KB), máy chủ sẽ phản hồi chính tin nhắn đó lại cho người dùng. Tạm hiểu là nếu tôi ném cho ông một quả táo để xem ông có còn sống hay không, ông sẽ ném lại tôi đúng quả táo đó để báo là ông còn sống.
Nhưng lợi dụng việc xử lý không tốt trong OpenSSL, hacker sẽ gửi một tin nhắn có kích thước thật là 1 KB, nhưng lại lừa rằng nó có kích thước 64 KB. Do không kiểm tra cẩn thận, nên máy chủ sẽ trả lời bằng 1 gói tin có kích thước là 64 KB (bao gồm 1 KB là tin nhắn thật và 63 KB trong bộ nhớ của máy chủ). Với lỗ hổng này, hacker sẽ tự nhiên nhận được 63KB dữ liệu trên RAM của máy chủ để tiếp tục khai thác.
 |
| Lỗ hổng HeartBleed có thể đã được các dịch vụ trực tuyến khắc phục, nhưng dữ liệu của người dùng có thể đã nằm trong tay hacker. Do đó, người dùng nên nhanh chóng đổi mật khẩu trên các dịch vụ. |
Trên thế giới và tại Việt Nam, lỗ hổng này đã có tác động như thế nào?
Chúng ta hình dung lỗ hổng này nằm trong thư viện được mã hóa. Điều đó có nghĩa là các dịch vụ mà chúng ta muốn an toàn, như các ngân hàng điện tử, trang thương mại điện tử, kể các máy chủ có cài giao thức SSL này đều có thể trở thành đối tượng cho hacker tấn công. Theo thống kê không chính thức, trên giới có khoảng trên 500,000 máy chủ nằm trong diện này.
Tại Việt Nam, trong hệ thống ngân hàng điện tử cũng có một số ngân hàng đã bị lỗ hổng và họ đã được cảnh báo từ ngày 9/4. Tính đến hết ngày 10/4, các lỗ hổng này hầu như đã được xử lý triệt để.
Ông có tư vấn nào cho những người trực tiếp sử dụng giao dịch điện tử tại để tránh gặp rủi ro do lỗi OpenSSL Heartbleed?
Để tránh rủi ro, những người thực hiện giao dịch điện tử từ ngày 8/4 đến ngày 10/4, nên thực hiện việc đổi mật khẩu. Bởi trong những ngày vừa rồi, có thể trong quá trình giao dịch, mật khẩu khi lưu vào bộ nhớ đã bị hacker lấy được và lưu trữ nhằm thực hiện hành vi tấn công sau này. Ngoài ra, trên mạng cũng có một số công cụ nhằm kiểm tra website có bị lỗ hổng hay không. Do vậy, trước khi giao dịch, người dùng có thể kiểm tra trước để đảm bảo an toàn.
Trong thời gian tới, các doanh nghiệp, nhất là các ngân hàng cần làm gì để tránh rơi vào những trường hợp tương tự?
Lần này lỗi là ở nhà phát triển OpenSSL. Cả thế giới này dùng nó thì sẽ bị. Tuy nhiên tôi nghĩ các doanh nghiệp để chủ động tránh bị tính huống lạc hậu này thì cần phải có cơ chế thường xuyên theo dõi các bản vá mới và có lịch cập nhật các bản vá này một cách thường xuyên. Nếu không tự bố trí nhân lực được thì có thể thuê các đơn vị cung cấp dịch vụ chuyên nghiệp.
Các công nghệ mã nguồn, dù là nguồn mở hay các mã nguồn của các doanh nghiệp CNTTphát triển đều có khả năng bị lỗ hổng cho tin tặc khai thác? Theo ông, trong tương lai gần, công nghệ nào có thể khắc phục được điều này?
Về bản chất thì phần mềm là tiềm tàng lỗi và cả lỗ hổng nữa. Chẳng hạn Microsoft có một đội chuyên nghiệp về đảm bảo phần mềm an toàn 20 năm nay, nhưng định kỳ hàng tháng vẫn phải có bản cập nhật cho các lỗ hổng được phát hiện.
Về các biện pháp công nghệ để hạn chế các lỗ hổng này cũng có nhiều dạng. Từ việc đào tạo các lập trình viên về lập trình an toàn, cho đến việc thiết kế, phát triển các công cụ rà soát mã nguồn, kiểm thử phần mềm… các hãng lớn như Microsoft, Google đều áp dụng. Tuy nhiên bản chất là phần mềm do con người tạo ra và luôn tiềm tàng lỗi nên người ta chỉ hạn chế tối đa việc có lỗ hổng, chứ không thể ngăn chặn một cách tuyệt đối. Ngoài ra, các hãng lớn gần đây cũng còn có các chương trình trao thưởng hậu hĩnh cho những ai phát hiện ra lỗ hổng. Việc này cũng là một trong những biện pháp huy động nguồn lực to lớn từ bên ngoài.
Big Data có thể ứng dụng được trong lĩnh vực về an toàn thông tin. Đặc biệt, công nghệ này có thể được sử dụng để phát hiện các bất thường trong mã nguồn, hoặc trong các giao dịch của hệ thống mạng. Qua đó ứng dụng trong các công ty phát triển phần mềm, nhà cung cấp dịch vụ máy chủ và cả các doanh nghiệp, ngân hàng, tổ chức tài chính…
http://dantri.com.vn/suc-manh-so/cac-trang-web-hang-dau-the-gioi-da-phan-ung-the-nao-voi-heartbleed-860920.htm
Các trang web hàng đầu thế giới đã phản ứng thế nào với Heartbleed?
(Dân trí) - Các trang web lớn và hàng đầu thế giới đã ứng phó thế nào với lỗi Heartbleed đang gây xôn xao giới công nghệ toàn cầu? Dưới đây là tình trạng hiện nay của 100 trang web hàng đầu với lỗi Heartbleed vừa phát hiện ra.
| Website | Tình trạng xác nhận từ trang web |
| | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| YouTube | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Yahoo! | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Amazon | Không bị dính lỗ hổng Heartbleed |
| Wikipedia | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| | Không bị dính lỗ hổng Heartbleed |
| eBay | Không bị dính lỗ hổng Heartbleed |
| | Không bị dính lỗ hổng Heartbleed |
| Craigslist | Chờ phản hồi |
| Bing | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Blogspot | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| CNN | Chờ phản hồi |
| Live | Không bị dính lỗ hổng Heartbleed |
| PayPal | Không bị dính lỗ hổng Heartbleed |
| | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Tumblr | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Espn.go.com | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Wordpress | Chờ phản hồi |
| Imgur | Chờ phản hồi |
| Huffington Post | Chờ phản hồi |
| | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| MSN | Không bị dính lỗ hổng Heartbleed |
| Netflix | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Weather.com | Chờ phản hồi |
| IMDb | Chờ phản hồi |
| Yelp | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Apple | Không bị dính lỗ hổng Heartbleed |
| AOL | Chờ phản hồi |
| Microsoft | Không bị dính lỗ hổng Heartbleed |
| NYTimes | Chờ phản hồi |
| Bank of America | Không bị dính lỗ hổng Heartbleed |
| Ask | Chờ phản hồi |
| Fox News | Không bị dính lỗ hổng Heartbleed |
| Chase | Không bị dính lỗ hổng Heartbleed |
| GoDaddy | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| About | Không bị dính lỗ hổng Heartbleed |
| BuzzFeed | Chờ phản hồi |
| Zillow | Không bị dính lỗ hổng Heartbleed |
| Wells Fargo | Không bị dính lỗ hổng Heartbleed |
| Etsy | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| XVideos | Chờ phản hồi |
| Walmart | Không bị dính lỗ hổng Heartbleed |
| CNET | Không bị dính lỗ hổng Heartbleed |
| Pandora | Không bị dính lỗ hổng Heartbleed |
| xHamster | Chờ phản hồi |
| PornHub | Chờ phản hồi |
| Comcast | Chờ phản hồi |
| Stack Overflow | Chờ phản hồi |
| Salesforce | Không bị dính lỗ hổng Heartbleed |
| Daily Mail | Chờ phản hồi |
| Vimeo | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Conduit | Chờ phản hồi |
| Flickr | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Zedo | Không bị dính lỗ hổng Heartbleed |
| Forbes | Chờ phản hồi |
| LiveJasmin | Chờ phản hồi |
| USPS | Chờ phản hồi |
| Indeed | Chờ phản hồi |
| Hulu | Không bị dính lỗ hổng Heartbleed |
| Answers | Không bị dính lỗ hổng Heartbleed |
| HootSuite | Không bị dính lỗ hổng Heartbleed |
| Amazon Web Services | Chờ phản hồi |
| Adobe | Chờ phản hồi |
| Blogger | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Dropbox | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Reference.com | Không bị dính lỗ hổng Heartbleed |
| AWeber | Không bị dính lỗ hổng Heartbleed |
| UPS | Không bị dính lỗ hổng Heartbleed |
| Intuit | Chờ phản hồi |
| NBC News | Chờ phản hồi |
| USA Today | Chờ phản hồi |
| Outbrain | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| The Pirate Bay | Chờ phản hồi |
| The Wall Street Journal | Chờ phản hồi |
| Bleacher Report | Chờ phản hồi |
| Constant Contact | Chờ phản hồi |
| Wikia | Chờ phản hồi |
| CBSSports | Không bị dính lỗ hổng Heartbleed |
| Publishers Clearing House | Chờ phản hồi |
| Googleusercontent.com | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Groupon | Không bị dính lỗ hổng Heartbleed |
| Best Buy | Chờ phản hồi |
| Feedbin | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| Pinboard | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| GetPocket | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| IFTTT | Đã vá lỗ hổng. Người dùng nên thay đổi mật khẩu |
| PayScale | Không bị dính lỗ hổng Heartbleed |
Không có nhận xét nào:
Đăng nhận xét