Lỗi bảo mật Heartbleed là sai sót của lập trình viên?

Lỗi bảo mật Heartbleed được xem là gây ảnh hướng lớn nhất cho đến thời điểm này thật ra đã được phát hiện vào đêm giao thừa tháng 12/2011. Một trong những người tham gia và làm việc với nó là lập trình viên Robin Seggelmann đã chia sẻ sự thật đằng sau câu chuyện gây rúng động này.

Lỗi bảo mật Heartbleed là sai sót của lập trình viên

Theo Mashable, ông Robin Seggelmann cho biết mình đã viết một phần mã của OpenSSL mà nó gây ra lỗi bảo mật Heartbleed. Nhưng đây chỉ là một sai sót ngoài ý muốn. Ông đã gửi mã cho dự án OpenSSL và các thành viên cùng xem xét. Sau đó, Seggelmann có thêm một đoạn mã quy định tính năng mới cho phép các thành viên dự án có thể thêm mã vào đó. Đây được xem là nguyên nhân gây ra lỗi.

Trả lời phỏng vấn của tờ Sydney Morning Herald, Seggelmann cho biết không ngờ một lỗi tưởng chừng “tầm thường” như vậy mà tác động lại hết sức nghiêm trọng. Ông và các nhà nghiên cứu đã bỏ qua lỗ hổng này từ 31/12/2011, theo tài liệu đã lưu.

Heartbleed là một lỗ hổng về mã hóa cho phép nhiều trang web sử dụng phương thức này vận hành thông tin liên lạc của người dùng mà không bị chặn. Về mặt lý thuyết, gần 2/3 lưu lượng truy cập internet đã tiếp xúc với lỗ hổng này trong hơn 2 năm qua. Các kĩ sư của hãng bảo mật Codenomicon đã phát hiện Heartbleed tuần trước, và nó đã được công bố công khai vào ngày 7/4/2014.

Robin Seggelmann - người đầu tiên bên trái - nhận trách nhiệm về lỗi bảo mật Heartbleed

OpenSSL là mã nguồn mở và cũng là một công cụ bảo mật dễ thực hiện, thân thiện với nhiều dịch vụ lớn nhỏ khác. Ai cũng có thể đóng góp mã hoặc xem xét OpenSSL và sẽ phát hiện ra lỗ hổng bảo mật như Heartbleed nhưng thực tế, có rất ít người quan tâm.

Theo email của Seggelmann gửi cho trang tin công nghệ Mashable, ông cho biết những người hưởng lợi từ mã nguồn mở này hoàn toàn có thể góp sức vào việc phát triển nó nhưng họ chỉ sử dụng và nghĩ rằng sẽ có người khác chăm sóc nó. Thật sự, nếu có nhiều người cùng chung tay thì một lỗi bảo mật như thế này ít có khả năng xảy ra. Bởi vì tiêu chuẩn để xem xét mã nguồn mở và cải thiện OpenSSL cần phải có nhiều lập trình viên tham gia và cung cấp các đánh giá độc lập.

Hiện tại, hầu hết các trang web bị ảnh hưởng đã được vá lỗi. Nhưng sự xuất hiện của Heartbleed đã cho thấy rõ ràng hơn ai là người phải chịu trách nhiệm về phần mềm mã nguồn mở. Khi một công cụ như OpenSSL phổ biến, nó có thể dẫn đến sự mất cân bằng giữa số lượng các dịch vụ sử dụng phương thức này và mức độ đóng góp để phát triển nó. Có thể nói Heartbleed đã khẳng định một sự thật hiển nhiên: không có cái gì là thật sự miễn phí.

Xuân Dung