“Trái tim rỉ máu” - Heartbleed là một lỗ hổng mã hóa nghiêm trọng trong OpenSSL, thư viện mã hóa được triển khai rộng nhất trên Internet, có thể gây tổn hại sự bảo mật của hàng ngàn trang web.
Khi người dùng thiết lập một kết nối được mã hóa đến một trang web, dù đó là Google, Facebook hay ngân hàng trực tuyến, dữ liệu sẽ được mã hóa bằng giao thức SSL/TLS.
Nhiều máy chủ web phổ biến sử dụng thư viện OpenSSL có mã nguồn mở để thực hiện công việc này.
Vào đầu tuần, những nhà bảo trì OpenSSL đưa ra bản vá cho một lỗi nghiêm trọng trong việc thực thi tính năng TLS gọi là Heartbleed, có khả năng tiết lộ lên đến 64kB bộ nhớ của máy chủ cho kẻ tấn công.
Nói cách khác, lỗ hổng này cho phép bất cứ ai trên Internet đọc bộ nhớ của thiết bị được bảo vệ bởi một phiên bản có lỗ hổng của thư viện. Trong trường hợp xấu nhất, một phần nhỏ của bộ nhớ chứa đựng những thông tin nhạy cảm như tên người dùng, mật khẩu hoặc thậm chí là khóa riêng tư (private key) mà máy chủ dùng để duy trì kết nối được mã hóa. Ngoài ra, lỗ hổng Heartbleed không để lại dấu vết nên không có cách nào xác định máy chủ đã bị tấn công và loại dữ liệu đã bị đánh cắp.
Tuy OpenSSL đã được sửa lỗi nhưng không có cách nào để đảm bảo rằng các trang web và những dịch vụ bị ảnh hưởng bởi Heartbleed đang thực thi các bản vá nhằm giảm nhẹ điều này. Hơn nữa, lỗi này khá dễ dàng để khai thác và có thể đã tồn tại trong hai năm qua. Như vậy có nghĩa rằng những chứng nhận bảo mật của nhiều trang phổ biến cũng như dữ liệu nhạy cảm của người dùng bao gồm cả mật khẩu có thể đã bị đánh cắp.
Các chuyên gia Kaspersky Lab đưa ra kế hoạch hành động cho người dùng nhằm tránh sự ảnh hưởng của Heartbleed như sau:
•Kiểm tra xem trang web có lỗ hổng hay không ngay bây giờ. Người dùng có thể sử dụng công cụ đơn giản tại đây
• Khi chủ sở hữu các trang web sửa chữa các lỗi, họ cần phải xem xét việc tái cấp chứng nhận cho trang. Vì vậy, người dùng cần sẵn sàng theo dõi các chứng chỉ máy chủ và chắc chắn rằng bạn đang sử dụng một chứng chỉ mới, được cấp từ ngày 08/04 trở đi. Để thực hiện điều này, người dùng cần cho phép thu hồi chứng chỉ cũ kiểm tra trên trình duyệt của mình. Dưới đây là mẫu cài đặt trên Google Chrome:
• Điều này sẽ ngăn chặn trình duyệt của người dùng sử dụng giấy chứng nhận cũ. Để kiểm tra ngày phát hành chứng chỉ bằng tay, nhấp chuột vào khóa màu xanh lá cây trong thanh địa chỉ và nhấn vào "Thông tin" liên kết trên thẻ "Kết nối"
• Bước quan trọng nhất - khi máy chủ được vá và giấy chứng nhận được cập nhật, là người dùng phải thay đổi mật khẩu ngay lập tức. Người dùng nên xem xét lại chính sách mật khẩu của mình và có thể kiểm tra mật khẩu mới đủ tốt để sử dụng chưa bằng công cụ Password Checker.
Bkav khuyến cáo người dùng cần kiểm tra xem website có lỗ hổng hay không bằng cách truy cập địa chỉ Bkav.com.vn/sslScan. Đối với quản trị viên hệ thống, cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g.
Hải Yên