[04/2014] Heartbleed - Lỗ hổng bảo mật đe dọa thanh toán trực tuyến toàn cầu

Các chuyên gia bảo mật thế giới đã ra khuyến cáo người dùng internet không nên thực hiện giao dịch trực tuyến vào lúc này sau khi một lỗ hổng trong OpenSSL, giao thức mã hóa rất phổ biến trên mạng internet, vừa phát hiện đe dọa các trang web trên toàn thế giới, Reuters đưa tin ngày 9.4.

Các chuyên gia nhận định đây là một trong những lỗi bảo mật nghiêm trọng nhất từng được phát hiện trong vài năm gần đây. Lỗi bảo mật này được đặt tên là “Heartbleed” (tạm dịch: Trái tim rỉ máu) bởi các nhà nghiên cứu thuộc tập đoàn Google và hãng bảo mật Codenomicon (Phần Lan). Sau khi Heartbleed được phát hiện, Bộ an ninh Nội địa Mỹ vào ngày 9.4 đã phải lên tiếng khuyến cáo các doanh nghiệp trong nước rà soát lại hệ thống máy chủ để kiểm tra xem chúng có bị dính lỗi bảo mật này hay không. Các chuyên gia cho biết tin tặc có thể lợi dụng Heartbleed để truy cập vào các dữ liệu quan trọng, chẳng hạn như các mật mã lưu trữ trên mạng internet.

“Chúng tôi đã thử vào vai tin tặc để kiểm tra khả năng bảo mật của một số dịch vụ trực tuyến của chúng tôi. Chúng tôi đã thâm nhập được vào hệ thống của chính mình từ bên ngoài mà không hề để lại dấu vết gì”, Codenomicon thông báo. Các chuyên gia bảo mật máy tính cảnh báo thông tin mà Codenomicon đưa ra đồng nghĩa với việc các nạn nhân có thể đã không biết được liệu dữ liệu của họ có bị thâm nhập hay chưa vì lỗi bảo mật này đã tồn tại khoảng 2 năm. “Nếu một trang web bị lỗi bảo mật, thì tôi có thể biết được các dữ liệu của bạn, chẳng hạn như mật mã, thông tin tài khoản ngân hàng và các thông tin cá nhân, khi bạn gửi chúng cho trang web này”, ông Michael Coates, Giám đốc về bảo mật sản phẩm của Công ty bảo mật Shape Security (Mỹ), lý giải. Ông Chris Eng, Phó giám đốc phụ trách nghiên cứu của hãng bảo mật phần mềm Veracode, ước tính rằng có đến hàng trăm ngàn trang web và hệ thống máy chủ của các nhà cung cấp dịch vụ email trên toàn thế giới đang cần được “vá” lỗ hổng bảo mật càng sớm càng tốt trong giai đoạn tin tặc sẽ gấp rút tìm cách khai thác Heartbleed sau khi nó được công bố công khai. Trang tin công nghệ Ars Technica (Mỹ) đã đưa tin cho biết Mark Loman một nhà nghiên cứu bảo mật đang sống tại Hà Lan, tuyên bố đã dùng một công cụ hack tải miễn phí trên mạng internet để lấy dữ liệu từ máy chủ Yahoo Mail. Một phát ngôn viên của Yahoo thừa nhận dịch vụ email trực tuyến của tập đoàn này dễ bị tấn công, nhưng vị này cũng nói thêm rằng Yahoo đã cho vá lỗi bảo mật trực tuyến.

Liệu chúng ta có an toàn trước lỗi bảo mật nghiêm trọng Heartbleed trong OpenSSL

OpenSSL là một công nghệ mã hóa được sử dụng rất phổ biến trên hàng triệu website để mã hóa việc truyền tin và bảo vệ các dữ liệu nhạy cảm như email, mật khẩu ngân hàng. Nhưng một kẽ hở nghiêm trọng gọi là “Heartbleed” (Trái tim rỉ máu) trong OpenSSL đã tạo lỗ hổng để tội phạm mạng có thể lấy được những thông tin nhạy cảm từ bộ nhớ của hệ thống.

Heartbleed là gì?

SSL và TLS là các giao thức cung cấp tính năng bảo vệ tính bí mật và riêng tư cho các ứng dụng như website, email, tin nhắn instant message (IM) và cả mạng riêng ảo VPN. Heartbleed là một lỗi rất nghiêm trọng (CVE-2014-0160) của thư viện mã hóa OpenSSL, xảy ra khi triển khai thêm tính năng mở rộng TLS và DTLS heartbeat của OpenSSL. Lỗi bảo mật này được độc lập tìm ra bởi nhóm các chuyên gia bảo mật (Riku, Antti và Matti) tại công ty Codenomicon, trong quá trình nâng cấp tính năng SafeGuard của công ty quét lỗi bảo mật Defensics. Chuyên gia Neel Mehta thuộc bộ phận bảo mật của Google – người đầu tiên thông báo lỗi đến nhóm OpenSSL. Lỗi Heartbleed là cực kỳ nghiêm trọng do nó phơi bày một số lượng lớn các khóa cá nhân và các thông tin bí mật khác lên internet do để lộ nội dung trên bộ nhớ của máy chủ, nơi lưu trữ các thông tin nhạy cảm nhất, bao gồm thông tin cá nhân như tên truy cập, mật khẩu, số thẻ tín dụng. Điều này cho phép những kẻ tấn công có thể lấy được mã cá nhân và giải mã các thông tin đã được mã hóa trên máy chủ, và thậm chí giả mạo máy chủ. Lỗi Heartbleed cho phép mọi người trên Internet có thể đọc được bộ nhớ của các hệ thống được bảo vệ bởi phiên bản lỗi của phần mềm OpenSSL. Kẻ tấn công có thể lấy được mã bí mật – mã được sử dụng để định danh máy chủ dịch vụ và để mã hóa thông tin được chuyển đi, mã hóa tên mà mật khẩu người dùng và cả bản thân thông tin. Từ đó, kẻ tấn công có thể lấy trộm được thông tin, dữ liệu.

Heart Bleed yahoo

Yahoo với 800 triệu người dùng cũng dính lỗ hổng Heartbleed

Tác động của Heartbleed trên phạm vi toàn cầu

OpenSSL là thư viện mã hóa phổ biến nhất được sử dụng trên máy chủ web Apache và Nginx, sử dụng dịch vụ bảo mật lớp Transport (TLS) tên là Heartbeat - một phần mở rộng được thêm vào TLS vào năm 2012. Theo nghiên cứu của Netcraft năm 2014 thì Apache và Nginx chiếm 66% dịch vụ máy chủ sử dụng trên các trang web đang hoạt động trên Internet. Ngoài ra, OpenSSL còn được sử dụng để bảo vệ máy chủ email (giao thức SMTP, POP và IMAP), máy chủ tin nhắn (giao thức XMPP), các mạng riêng ảo (SSL VPN), các thiết bị mạng và rất nhiều các phần mềm người dùng khác. Nhà nghiên cứu bảo mật Robert Graham đã thực hiện việc “quét Internet” và phát hiện ra có hơn 600.000 máy chủ bị lỗi Heartbleed, bao gồm cả yahoo.com, mgur.com, flickr.com, hidemyass.com. Do lỗi Heartbleed mà Cơ quan Thuế Canada phải tạm dừng dịch vụ thu thuế điện tử và dịch vụ Soundcloud cũng phải đăng xuất tất cả người dùng để sửa lỗi bảo mật này.