HIỆP HỘI AN TOÀN THÔNG TIN VIỆT NAM

Lỗ hổng bảo mật Heartbleed vẫn có thể đe dọa người dùng

Hầu hết các trang web phổ biến sử dụng Open SSL đều đã khắc phục được lỗi Heartbleed. Nhưng Symantec vừa đưa ra một góc độ phân tích mới về mức độ ảnh hưởng của Heartbleed đối với người dùng cá nhân và doanh nghiệp trong tương lai gần.

Theo Symantec, mối đe dọa bảo mật Heartbleed thực sự gây hậu quả lớn hơn rất nhiều. Mặc dù hầu hết các trang web phổ biến đã khắc phục được lỗi, điều này không có nghĩa là người dùng có thể lơ là cảnh giác.

Heartbleed ảnh hưởng tới không chỉ máy chủ web mà cả máy chủ proxies, máy chủ media, máy chủ game, máy chủ cơ sở dữ liệu, máy chủ chat và máy chủ FTP.

Bên cạnh đó, Heartbleed làm ảnh hưởng tới các phần mềm trình khách (client software) tương tác thông qua các giao thức bảo mật SSL/TLS sử dụng phiên bản OpenSSL chứa lỗ hổng bảo mật, gồm cả các ứng dụng di động, các chương trình cập nhật phần mềm,…

Các thiết bị phần cứng cũng không miễn nhiễm với mối đe dọa bảo mật này. Nó có thể ảnh hưởng tới các bộ định tuyến routers, các hệ thống điện thoại doanh nghiệp (FBXes) và nhiều nhiều thiết bị khác nữa trong kỷ nguyên “mọi thứ kết nối Internet”.

Hầu hết các trang web phổ biến không sử dụng OpenSSL, và các thư viện dịch vụ bảo mật mạng (NSS libraries) là không có lỗ hổng bảo mật để Heartbleed có thể khai thác được. Tuy nhiên, nhiều dòng lệnh trên trình khách web có sử dụng OpenSSL (giả dụ dòng lệnh wget và curl). Đây chính là các lỗ hổng có thể bị tận dụng.

Một điểm đáng lưu ý khác, trong các mạng chia sẻ mở như các mạng Wi-Fi công cộng, lưu lượng mạng có thể được xem và điều chỉnh bởi những người lạ, điều này cho phép các kẻ tấn công can thiệp. Thông thường, các công nghệ bảo mật SSL/TLS (giả dụ HTTPS, duyệt web mã hóa) là một trong những giải pháp cho vấn đề này, bởi vì việc mã hóa có thể ngăn chặn nguy cơ bị xem lén và chuyển hướng. Tuy nhiên, một kẻ tấn công có thể gửi nhiều thông điệp Heartbleed độc hại trước khi các phiên SSL/TLS được thiết lập hoàn chỉnh.

Một kẻ tấn công có thể tham gia vào một mạng công cộng và xem lén các nạn nhân tiềm năng. Khi một nạn nhân tiềm năng sử dụng một trình khách có chứa lỗ hổng để thiết lập một kết nối SSL/TLS tới một máy chủ chính thống, kẻ tấn công sẽ chuyển hướng kết nối tới một máy chủ độc hại. Trước khi kết nối SSL/TLS được thiết lập hoàn chỉnh và có khả năng ngăn chặn mọi sự chuyển hướng, kẻ tấn công đã có thể gửi nhiều thông điệp Heartbleed độc hại để trích xuất những nội dung nằm trong bộ nhớ máy tính của nạn nhân. Những nội dung này có thể bao gồm dữ liệu cá nhân như thông tin chi tiết của người dùng.

Symantec khuyến cáo các doanh nghiệp đang sử dụng các phiên bản OpenSSL 1.0.1 tới 1.0.1f nên cập nhật phiên bản vá mới nhất của phần mềm (1.0.1g) hoặc thiết lập lại OpenSSL loại bỏ phần Heartbleed. Sau khi nâng cấp lên phiên bản OpenSSL vá lỗi, nếu nghi ngờ rằng chứng nhận trên máy chủ web có thể đã bị lộ, lấy cắp hoặc bị khai thác, hãy liên hệ với đơn vị cấp chứng nhận để thay thế. Cuối cùng, các doanh nghiệp cũng nên cân nhắc thiết lập lại mật khẩu của người dùng cuối (có thể đã bị lộ trên bộ nhớ máy chủ) và cập nhật phần cứng, phần mềm ngay khi nhà sản xuất công bố bản vá.

Còn đối với người dùng cuối, Symantec khuyên nên thường xuyên theo dõi các thông báo từ nhà cung cấp dịch vụ. Khi nhà cung cấp dịch vụ liên hệ và thông báo rằng nên thay mật khẩu thì người dùng nên làm theo. Đặc biệt, cần tránh mở những email lừa đảo từ những kẻ tấn công yêu cầu cập nhật mật khẩu, tránh truy nhập vào những website lạ, chỉ nên truy nhập vào những tên miền chính thống…