Lỗi OpenSSL Heartbleed là gì?

Anh Nguyễn Hồng Phúc cho biết, lỗi OpenSSL Heartbleed được công bố trên internet cụ thể là trên trang diễn đàn lớn nhất thế giới Reddit và trang Heartbleed.com vào tối ngày 7/4. Trước đó chương trình thư viện mã hóa nâng cấp nền tảng OpenSSL được âm thầm vá lỗi, và các hệ điều hành nguồn mở được thực hiện vá lỗi ngay trong đêm

Mã khai thác sơ khai của lỗi OpenSSL Heartbleed được đưa lên mạng vào buổi sáng ngày 8/4. Nhiều hệ thống website và dịch vụ online lớn trên thế giới ngay lập tức bắt tay vào việc vá lỗi.

Chiều ngày 8/4 các công cụ khai thác trọn vẹn và đầy đủ được đưa lên mạng. Tình trạng khai thác diện rộng và tràn lan xảy ra, do việc nâng cấp OpenSSL trên toàn bộ các hệ thống cần có thời gian. Các nạn nhân của cuộc tấn công quy mô lớn này có yahoo.com, xda-developers.com, stackoverflow.com, adf.li, fbi.gov, cia.gov …

Cụ thể về lỗi OpenSSL Heartbleed được anh Phúc mô tả như sau: Hiện nay các giao dịch trên Internet được bảo vệ an toàn trong quá trình trung chuyển qua internet nhờ giao thức mã hóa bảo mật kết nối SSL/TLS ( trong ứng dụng thực tế thì có giao thức truy cập web an toàn HTTPS).

Để sử dụng giao thức này trong việc lập trình, các lập trình viên có thể sử dụng thư viện lập trình mã hóa nguồn mở OpenSSL. Đây là thư viện lập trình rất phổ biến trong các sản phẩm mã nguồn mở, nhờ đặc tính an toàn cao và hiệu suất tốt.

Khi trình duyệt của người dùng truy cập website thông qua HTTPS ( một ứng dụng thực tế của giao thức SSL/TLS ) như các trang thanh toán trực tuyến bằng thẻ, các trang đăng nhập an toàn, dữ liệu của người dùng sẽ được mã hóa và trung chuyển an toàn qua internet, rồi được nhận bởi máy chủ dịch vụ và được giải mã tạm vào bộ nhớ đệm (RAM) trên máy chủ để xử lí.

Lỗi OpenSSL Heartbleed xảy ra do phần mềm thư viện lập trình mã hóa OpenSSL bị lập trình sai dẫn tới khả năng cho phép các hacker truy cập vào bộ nhớ đệmcủa OpenSSL, nơi chứa các dữ liệu nhạy cảm đã được giải mã như thông tin thẻ ngân hàng, thẻ tin dụng, thông tin đăng nhập như tài khoản và mật khẩu.

Tình hình lỗi tại Việt Nam

Các chuyên gia bảo mật của Việt Nam nhận được thông tin này về lỗi ngay trong đêm 7/4 và liên tục theo dõi các lỗi này để cập nhật cho cộng đồng các quản trị hệ thống. Trong sáng 8/4 một số trang dịch vụ online lớn đã được vá ngay trong buổi sáng.

Chiều ngày 8/4 khi các công cụ khai thác bắt đầu phổ biến, các báo cáo tấn công liên tục cho thấy khoảng 15 website ebanking của các ngân hàng và cổng thanh toán tại Việt Nam bị tấn công thành công. Tới rạng sáng ngày 9/4 qua kiểm tra sơ bộ, phần lớn trang chủ ebanking của các ngân hàng đều đã được vá, nhưng toàn bộ hệ thống ebanking của các ngân hàng được vá hay chưa, hiện vẫn chưa có điều kiện kiểm tra được.

Đối với các cổng thanh toán đã vá xong hầu hết ngay trong chiều 8/4. Hiện theo kiểm tra của các chuyên gia bảo mật, một số cổng thanh toán khác vẫn chưa vá lỗi.

Có vẻ như việc khắc phục lỗi được các ngân hàng và các cổng thanh toán trực tuyến tại Việt Nam làm một cách “âm thầm”, khi không thấy một thông báo nào về lỗi này được phát ra từ phía họ.

Phương pháp khắc phục

Đây là lỗi rất nghiêm trọng, nó có thể khiến cho tài khoản ngân hàng, hay các tài khoản thanh toán trực tuyến dễ dàng bị các hacker đánh cắp. Để khắc phục sự cố này, lời khuyên được các chuyên gia bảo mật mạng tại Việt Nam đưa ra như sau:

Các kĩ sư của các ngân hàng cần ngay lập tức cập nhật OpenSSL lên phiên bản mới nhất, tái khởi động ( bắt buộc ) lại các hệ thống và thay đổi các chứng chỉ số SSL ngay lập tức trên toàn bộ các hệ thống có sử dụng OpenSSL. Vì lỗi này không chỉ mở cửa khả năng khai thác trên mội trường web mà mọi môi trường có sử dụng thư viện OpenSSL đều bị ảnh hưởng.

Với người dùng và cộng đồng cần tạm ngưng mọi giao dịch trực tuyến qua các cổng thanh toán và ebanking, cho đến khi các cổng thanh toán và các cổng ebanking này có thông báo chính thức về việc họ đã vá lỗi này rồi. Vì lỗi này cực kì nghiêm trọng và cực kì dễ bị khai thác bởi các hacker.

Ngoài ra, ICTnews cũng đã liên hệ với công ty An ninh mạng Bkav để hỏi về lỗi bảo mật này, đại diện Bkav cho biết họ cũng đã biết lỗi này và đang tiến hành kiểm tra, thông tin sẽ được cung cấp sau.

Còn theo các chuyên gia bảo mật quốc tế nhận định, lỗi này khiến internet trở nên như miền tây hoang dã.

Theo ICTnews