An ninh mạng “chảy máu”

Tin mới

12/04/2014 21:41

HeartBleed (Trái tim chảy máu) được xem là một trong những lỗi bảo mật nguy hiểm nhất từ trước đến nay, làm chao đảo mạng internet

Lỗi bảo mật HeartBleed được công bố hôm 7-4 với tầm ảnh hưởng lên các trang web và dịch vụ trên mạng internet. Trong khi các công ty, trang web bị ảnh hưởng nháo nhào tìm cách vá lỗi thì ngày 11-4, tình hình càng thêm náo loạn vì tờ Bloomberg đưa tin Cơ quan An ninh quốc gia Mỹ (NSA) đã biết về lỗi này từ 2 năm qua và có thể đã sử dụng nó để khai thác thông tin cho mục đích do thám. Dĩ nhiên, NSA bác bỏ thông tin này.

Giải mã HeartBleed

Để hiểu rõ hoạt động của HeartBleed, phải hiểu cách hoạt động của OpenSSL - bộ thư viện mã hóa (Cryptographic library) được sử dụng rộng rãi trong các loại máy chủ trên thế giới. Giao thức bảo mật của bộ thư viện này được sử dụng để mã hóa các thông tin liên lạc giữa người dùng và máy chủ.

Logo lỗi HeartBleed - thiết kế bởi một chuyên gia an ninh mạng tại Codenomicon Nguồn: WIKIMEDIA
Logo lỗi HeartBleed - thiết kế bởi một chuyên gia an ninh mạng tại Codenomicon Nguồn: WIKIMEDIA

Hiểu một cách đơn giản, SSL sử dụng 2 “chìa khóa”, một để mã hóa và một để giải mã. Khi người dùng truy cập một trang web hay dịch vụ mạng, máy chủ sẽ gửi đến họ “chìa khóa” mã hóa - vốn công khai, ai cũng có thể tiếp cận được - cùng một “chứng nhận” (certification) chứng minh danh tính của máy chủ. Tất cả thông tin người dùng gửi lại phía máy chủ sẽ được mã hóa và gửi qua mạng internet, sau đó được máy chủ sở hữu “chứng nhận” trên giải mã sử dụng “chìa khóa” của họ (“chìa khóa” này không công khai, được trữ trong máy chủ). Bằng cách này, các thông tin liên lạc giữa người dùng và máy chủ được bảo vệ bởi bất kỳ hình thức “nghe trộm” nào.

Tuy nhiên, lỗi HeartBleed lại có thể giúp kẻ tấn công ăn cắp thông tin từ máy chủ. Thông thường, phía người dùng bên ngoài có thể “hỏi” máy chủ để kiểm tra một đoạn dữ liệu, kèm theo “kích cỡ” của đoạn dữ liệu đó và máy chủ sẽ trả lời. Đây là một tính năng của Transport Layer Security (TLS) HeartBeat (Nhịp đập tim) Extension. Song, lỗi trong OpenSSL cho phép kẻ tấn công yêu cầu một đoạn dữ liệu họ muốn đánh cắp, bao gồm một “kích cỡ” sai và thế là máy chủ sẽ trả lời lại đúng dữ liệu mà kẻ tấn công muốn. Như vậy, bất kỳ thông tin nào trên máy chủ cũng có thể bị đánh cắp, kể cả “chứng nhận” của nó, cho phép kẻ tấn công tự giải mã các dữ liệu đã được mã hóa.

Tầm cỡ đáng sợ

HeartBleed được công bố mới đây bởi các nhà nghiên cứu an ninh mạng tại Google và Codenomicon. Do OpenSSL được sử dụng quá rộng rãi nên lỗi HeartBleed đã ảnh hưởng đến rất nhiều trang web và dịch vụ mạng, trong đó có cả Google, Facebook và Yahoo!.

Điều đáng báo động của lỗi này là nó đã tồn tại trong phiên bản 1.0.1 của OpenSSL, ra đời từ tháng 3-2012. Có nghĩa là lỗi nghiêm trọng này đã tồn tại hơn 2 năm qua mà không ai hay biết. Trong thời gian đó, các kẻ tấn công có thể đã khai thác được một lượng lớn thông tin bảo mật, bao gồm tên đăng nhập, mật mã và thông tin thẻ tín dụng. Các thông tin bị tiết lộ này có thể gây thiệt hại đến hàng tỉ USD, làm mất uy tín của nhiều dịch vụ, trang web trên thế giới.

Các chuyên gia chưa tìm ra nhiều dấu hiệu cho thấy lỗi HeartBleed này đã được tận dụng bởi hacker. Tuy nhiên, nếu thực sự có ai đó ăn cắp thông tin bằng lỗi HeartBleed thì cũng khó có thể phát hiện vì lỗi này không để lại nhiều dấu vết. Tệ hơn nữa, phần lớn người dùng phổ thông lại có thói quen sử dụng cùng tên đăng nhập và mật khẩu cho nhiều trang web, dẫn đến việc HeartBleed có thể ảnh hưởng tới cả những trang web và dịch vụ không sử dụng OpenSSL.

Trong khi đó, thông tin về khả năng NSA đã biết lỗi này trước đó là khá cao. Cơ quan này có số lượng lớn nhân lực chuyên tìm kiếm các lỗi bảo mật để bảo đảm an ninh mạng. Nếu NSA sử dụng lỗi này để khai thác thông tin mà không công bố chính thức thì họ đã đi ngược lại tiêu chí “phòng thủ trước” của mình. Đây có thể sẽ lại là một xì-căng-đan nữa gây tiếng xấu cho NSA.

Lời khuyên qua sự kiện lỗi bảo mật lần này của các chuyên gia là người dùng nên chủ động áp dụng các thói quen bảo vệ thông tin của mình, trong đó bao gồm việc thay đổi mật khẩu. Người dùng cũng nên kiểm tra liệu trang web và dịch vụ của mình có còn bị ảnh hưởng bởi lỗi HeartBleed hay không để tránh việc tiếp tục bị tiết lộ thông tin ngay sau khi thay đổi mật khẩu.

Nếu không rõ, bạn có thể sử dụng công cụ của nhà nghiên cứu an ninh mạng Filippo Valsorda trên trang http://filippo.io/Heartbleed/ để tự kiểm tra liệu trang web mình đang sử dụng có còn bị ảnh hưởng bởi lỗi HeartBleed hay không. Tổ chức Tor dù khuyên “nên tránh xa mạng internet trong tuần này” nhưng có lẽ việc đó là không thể trong thời đại ngày nay!

Câu hỏi đặt ra từ HeartBleed

OpenSSL là một dự án được thành lập vào năm 1998 với mục đích tạo ra một bộ công cụ mã hóa miễn phí. OpenSSL được ứng dụng rộng rãi trên lượng máy chủ trên mạng internet, bao gồm các trang web, dịch vụ mạng, cả lĩnh vực thương mại lẫn chính phủ. Tuy là dự án quan trọng nhưng OpenSSL chỉ có 1 thành viên chính thức và 10 thành viên tình nguyện với kinh phí hoạt động hằng năm khoảng 1 triệu USD.

Lỗi HeartBleed được tình cờ đưa vào phiên bản 1.0.1 của OpenSSL vào đầu năm 2011 bởi một tình nguyện viên người Đức - Robin Seggelmann - mà không bị phát hiện. Sự kiện HeartBleed làm dấy lên câu hỏi: Liệu mạng internet có nên dựa vào một phương thức an ninh được phát triển hạn chế và thiếu kinh phí?

 

Xuân Hạo
Bình luận

Đăng nhập với tài khoản:

Đăng nhập để ý kiến của bạn xuất bản nhanh hơn
 
 
Hoặc nhập thông tin của bạn

Mới nhất Hay nhất