Lỗ hổng Internet rất hiểm trong OpenSSL vừa bị phát hiện

 Hôm vài ngày qua, các nhà nghiên cứu của google vừa phát hiện lỗ hổng bảo mật nghiêm trọng trong phần mềm bảo mật web OpenSSL, khiến mọi dịch vụ trực tuyến lớn đều phải “gồng mình” khắc phục vấn đề.

Dưới đây là một số thông tin người dùng Internet cần biết về Heartbleed, lỗ hổng nguy hiểm vừa bị phát hiện. Theo Hufftington Post, khoảng 66% thế giới web đã bị ảnh hưởng bởi Heartbleed.

SSL là gì?

SSL là công nghệ mã hóa phổ biến, cho phép người dùng bảo vệ dữ liệu mà họ truyền tải qua Internet. Ví dụ, khi ghé thăm Gmail.com, bạn sẽ thấy biểu tượng cái khóa nằm kế bên đường dẫn (URL), ám chỉ hoạt động của bạn trên website được mã hóa.

Đây là dấu hiệu cho thấy bên thứ ba không thể đọc được thông tin bạn gửi/nhận. SSL thực hiện điều này bằng cách chuyển dữ liệu vào thông điệp mã hóa mà chỉ người nhận giải mã được. Nếu bên thứ ba theo dõi cuộc hội thoại, họ chỉ xem được một dãy các ký tự bất kỳ mà không phải là nội dung email, bài đăng Facebook, thẻ tín dụng hay thông tin cá nhân khác.

SSL được công ty Netscape giới thiệu lần đầu năm 1994 và được dùng bởi mọi trình duyệt kể từ những năm 1990. Vài năm gần đây, nó trở thành một xu hướng trong các dịch vụ trực tuyến. Ngày nay, Google, Yahoo, Facebook đều mặc định sử dụng mã hóa SSL cho website và dịch vụ của mình.

Lỗ hổng Internet rất hiểm trong OpenSSL vừa bị phát hiện

Heartbleed là gì?

Phần lớn website mã hóa SSL đều dựa theo gói phần mềm nguồn mở có tên OpenSSL. Hôm 7/4, các nhà nghiên cứu thông báo tìm ra lỗ hổng nghiêm trọng trong phần mềm này cho phép công khai liên lạc của người dùng. Đáng chú ý, nó đã tồn tại được khoảng 2 năm.

Nó hoạt động như sau: chuẩn SSL có một tùy chọn cho phép máy tính ở điểm cuối của kết nối SSL gửi một tin nhắn ngắn nhằm xác minh máy tính khác vẫn đang trực tuyến và nhận phản hồi trở lại. Các chuyên gia phát hiện có thể gửi đi thông điệp giả mạo để lừa máy tính đó tiết lộ thông tin quan trọng. Cụ thể hơn, máy tính nhiễm độc sẽ bị lợi dụng để gửi đi nội dụng trong bộ nhớ máy chủ hay RAM.

Tình hình tệ đến mức nào?

Nhiều thông tin riêng tư được lưu trong bộ nhớ máy chủ. Ed Felton, nhà khoa học máy tính, cho biết kẻ tấn công sử dụng kỹ thuật “sắp xếp thông tin bằng cách đối chiếu mẫu để tìm ra chìa khóa, mật khẩu, thông tin quan trọng như số thẻ tín dụng”. “Chìa khóa” là thông tin trọng yếu, chính là thứ mà máy chủ cần để phục hồi thông tin mã hóa nhận được. Nếu kẻ tấn công có được nó, chúng có khả năng đọc bất kỳ thông tin nào gửi đến, thậm chí “đóng vai” máy chủ, lừa người dùng tiết lộ mật khẩu và dữ liệu nhạy cảm khác.

Ai là người phát hiện ra sâu Heartbleed?

Các nhà nghiên cứu của Codenomicon và Google Security đã tìm ra nó. Để giảm thiểu thiệt hại, họ đã làm việc cùng đội phát triển OpenSSL và các bên hữu quan để tìm ra giải pháp trước khi thông báo ra công chúng.

Ai có thể khai thác “sâu” Heartbleed?

Theo ông Felton, lỗ hổng này không khó để khai thác. Phần mềm dùng để lợi dụng lỗ hổng có tràn lan trên mạng, bất kỳ ai có kỹ năng lập trình cơ bản đều có thể biết cách dùng. Heartbleed có thể đặc biệt giá trị đối với các tổ chức tình báo, vốn sở hữu cơ sở hạ tầng để theo dõi lưu lượng người dùng trên quy mô lớn.

Đã có bao nhiêu website bị ảnh hưởng?

Đến nay chưa có thống kê cụ thể, tuy nhiên, các chuyên gia lưu ý 2 máy chủ web phổ biến nhất là Apache và nginx đang sử dụng OpenSSL. Chỉ riêng hai máy chủ đã đại diện cho khoảng 2/3 website. SSL cũng được dùng bởi các phần mềm Internet khác như phần mềm chat hay email.

Phát ngôn viên Yahoo cho hay đã khắc phục thành công trên các trang lớn của Yahoo như Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr và Tumblr. Trong khi đó, Google cũng đã vá lỗi cho các dịch vụ quan trọng. Facebook giải quyết xong vào thời điểm Heartbleed được công khai. Microsoft đang theo dõi cá báo cáo về OpenSSL và sẽ thực hiện các bước cần thiết để bảo vệ khách hàng.

Người dùng có thể làm gì?

Không may, người dùng Internet không thể làm gì để bảo vệ bản thân nếu trót truy cập website bị khai thác. Quản trị các website phải nâng cấp hệ thống để bảo vệ người dùng (sử dụng cơ chế update trong hệ điều hành). Tuy nhiên, khi nhận được thông báo về việc website khắc phục được sự cố, người dùng nên thay đổi mật khẩu ngay.

Nguồn: ICTNews

Bình luận

Từ khóa: