Lỗi bảo mật Heartbleed là gì?

Theo trang LifeHacker, các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng trong OpenSSL, thư viện phần mềm mã hóa nhằm bảo vệ nhiều trang web trên internet. Bài viết sẽ cung cấp một số kiến thức căn bản về lỗi bảo mật phát sinh này để bạn tham khảo và tìm hiểu.

Lỗi bảo mật Heartbleed là gì?

OpenSSL và Heartbleed là gì?

OpenSSL là việc thực thi mã nguồn mở SSL và TLS, phần lớn các giao thức bảo mật mà bạn thấy trên các trang web. Gần đây, một lỗ hổng quan trọng đã được phát hiện trên OpenSSL tồn tại trong hơn hai năm qua được gọi là Heatbleed (tạm dịch “tim nhỏ máu”). Lỗi này có thể cho phép bất cứ ai trên mạng internet nhìn ra tên, mật khẩu, và nội dung người dùng và chuyển hướng họ đến những trang web giả mạo.

Trang web và dịch vụ nào đang bị ảnh hưởng ?

Lỗi Heartbleed được biết đã gây ảnh hưởng đến bất kỳ trang web và dịch vụ nào đang chạy các phiên bản chuyên biệt của OpenSSL (1.0.1 sang 1.0.1f ). Nhiều trang web có thể chạy các phiên bản cũ hơn của OpenSSL nhưng không bị gây hại gì. Tuy nhiên, thông thường nó luôn được cập nhật phiên bản mới vì chạy ổn định hơn. Không phải tất cả các trang web đều sử dụn OpenSSL. Ví dụ, 1Password chia sẻ những thông tin của họ thông qua các phương tiện khác nhau. LastPass sử dụng OpenSSL và đến nay đã vướng lỗi nhưng nhờ mã hóa tăng cường trên thiết bị nên LastPass cho biết dữ liệu vẫn an toàn.

Ước tính có hơn 66% các trang web sử dụng OpenSSL, do đó, một phần của các trang web này có thể đã bị vướng lỗi. Theo các nhà nghiên cứu tại Netcraft, Heartbleed ảnh hưởng tới 500.000 máy chủ toàn thế giới.

Tại Việt Nam, phần lớn các trang điện tử thanh toán trực tuyến đều bị lỗi Heartbleed, do các trang này đều sử dụng công nghệ bảo mật OpenSSL. Theo tìm hiểu, một số cổng thanh toán dính lỗi Heartbleed cũng đã kịp thời khắc phục để đảm bảo an toàn.

Heartbleed thậm chí còn ảnh hưởng tới cả cookies - 1 công cụ theo dõi các hoạt động của người dùng khi họ lướt web. Điều này đồng nghĩa với việc khi bạn truy cập vào 1 webite bị ảnh hưởng bởi Heartbleed, thì ngay cả khi bạn không đăng nhập vào website đó, bạn cũng có nguy cơ bị ăn cắp thông tin.

Bạn có thể kiểm tra bằng cách sử dụng công cụ này. Tuy nhiên, công cụ sẽ không cho biết trang web đã gây ảnh hưởng đến tài khoản nào. Bạn cũng có thể xem danh sách các trang web có thể bị ảnh hưởng tại đây.  Hãy thử kiểm tra xem blog hay những trang web yêu thích của bạn có nằm trong danh sách hơn 1000 website này không? Google và Facebook không được liệt kê trong danh sách bị dính lỗi nhưng họ chưa có bất kỳ tuyên bố chính thức nào.

Yahoo cũng là một trang web bị dính lỗi bảo mật này

Người dùng cần làm gì?

Cách duy nhất để khắc phục vấn đề này là chờ các trang web dính lỗi cập nhật OpenSSL và phát hành lại chứng chỉ bảo mật của họ. Nghĩa là chờ đợi và cảnh giác. Người dùng nếu có thể hãy tránh xa khỏi Internet hoàn toàn trong ít ngày tới cho đến khi mọi lỗ hổng được khắc phục triệt để.

Hãy hạn chế dùng và tránh tất các các liên kết đế các trang web và dịch vụ chia sẻ internet bị ảnh hưởng cho đến khi nhận được thông báo đã vá lỗi. Việc thay đổi mật khẩu trong trường hợp này cũng không giúp ích gì được cho đến khi các trang web đã được sửa lỗi. Sau khi nhận được thông báo là trang web đã được sửa lỗi, hãy kiểm tra và cập nhật mật khẩu ngay lập tức và sớm nhất có thể.

Xuân Dung