Share Code Web - Chia sẻ niềm đam mê bất tận > Lập trình > Tìm hiểu và cách phòng tránh lỗi bảo mật Heartbleed
Tìm hiểu và cách phòng tránh lỗi bảo mật Heartbleed
Nguyễn Trung Hiếu
Share Code Web Company 2014

Tìm hiểu và cách phòng tránh lỗi bảo mật Heartbleed

Gần đây, cộng đồng lập trình mạng đang rộn lên lỗi bảo mật mang tên Heartbleed, vậy heartbleed là gì? cách phòng tránh như thế nào? trong bài viết này được lấy từ trang của hãng bảo mật lớn nhất thế giới – Kaspersky – sẽ chia sẻ cho các bạn một chút kiến thức về nó.

Lỗi bảo mật Heartbleed là gì?

Theo trang LifeHacker, các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng trong OpenSSL, thư viện phần mềm mã hóa nhằm bảo vệ nhiều trang web trên internet. Bài viết sẽ cung cấp một số kiến thức căn bản về lỗi bảo mật phát sinh này để bạn tham khảo và tìm hiểu.

OpenSSL và Heartbleed là gì?

OpenSSL là việc thực thi mã nguồn mở SSL và TLS, phần lớn các giao thức bảo mật mà bạn thấy trên các trang web. Gần đây, một lỗ hổng quan trọng đã được phát hiện trên OpenSSL tồn tại trong hơn hai năm qua được gọi là Heatbleed (tạm dịch “tim nhỏ máu”). Lỗi này có thể cho phép bất cứ ai trên mạng internet nhìn ra tên, mật khẩu, và nội dung người dùng và chuyển hướng họ đến những trang web giả mạo.

Trang web và dịch vụ nào đang bị ảnh hưởng ?

Lỗi Heartbleed được biết đã gây ảnh hưởng đến bất kỳ trang web và dịch vụ nào đang chạy các phiên bản chuyên biệt của OpenSSL (1.0.1 sang 1.0.1f ). Nhiều trang web có thể chạy các phiên bản cũ hơn của OpenSSL nhưng không bị gây hại gì. Tuy nhiên, thông thường nó luôn được cập nhật phiên bản mới vì chạy ổn định hơn. Không phải tất cả các trang web đều sử dụn OpenSSL. Ví dụ, 1Password chia sẻ những thông tin của họ thông qua các phương tiện khác nhau. LastPass sử dụng OpenSSL và đến nay đã vướng lỗi nhưng nhờ mã hóa tăng cường trên thiết bị nên LastPass cho biết dữ liệu vẫn an toàn.

Ước tính có hơn 66% các trang web sử dụng OpenSSL, do đó, một phần của các trang web này có thể đã bị vướng lỗi. Theo các nhà nghiên cứu tại Netcraft, Heartbleed ảnh hưởng tới 500.000 máy chủ toàn thế giới.

Tại Việt Nam, phần lớn các trang điện tử thanh toán trực tuyến đều bị lỗi Heartbleed, do các trang này đều sử dụng công nghệ bảo mật OpenSSL. Theo tìm hiểu, một số cổng thanh toán dính lỗi Heartbleed cũng đã kịp thời khắc phục để đảm bảo an toàn.

Heartbleed thậm chí còn ảnh hưởng tới cả cookies – 1 công cụ theo dõi các hoạt động của người dùng khi họ lướt web. Điều này đồng nghĩa với việc khi bạn truy cập vào 1 webite bị ảnh hưởng bởi Heartbleed, thì ngay cả khi bạn không đăng nhập vào website đó, bạn cũng có nguy cơ bị ăn cắp thông tin.
openssl heartbleed
Bạn có thể kiểm tra bằng cách sử dụng công cụ này. Tuy nhiên, công cụ sẽ không cho biết trang web đã gây ảnh hưởng đến tài khoản nào. Bạn cũng có thể xem danh sách các trang web có thể bị ảnh hưởng tại đây. Hãy thử kiểm tra xem blog hay những trang web yêu thích của bạn có nằm trong danh sách hơn 1000 website này không? Google và Facebook không được liệt kê trong danh sách bị dính lỗi nhưng họ chưa có bất kỳ tuyên bố chính thức nào.
heartbleed

Cách phòng tránh ảnh hưởng từ lỗ hổng bảo mật Heartbleed

“Trái tim rỉ máu” – Heartbleed là một lỗ hổng mã hóa nghiêm trọng trong OpenSSL, thư viện mã hóa được triển khai rộng nhất trên Internet, có thể gây tổn hại sự bảo mật của hàng ngàn trang web. Kaspersky Lab đã phát hiện bằng chứng hôm thứ Hai rằng một vài nhóm tin tặc được cho là có liên quan đến hoạt động gián điệp mạng do nhà nước tài trợ đã chạy các đợt quét (scan) ngay sau khi tin tức về lỗi đầu tiên nổi lên vào thứ Hai tuần này. Đồng thời, Kaspersky Lab cũng đưa ra kế hoạch hành động cho người dùng nhằm tránh sự ảnh hưởng của cuộc tấn công.
Khi người dùng thiết lập một kết nối được mã hóa đến một trang web, dù đó là Google, Facebook hay ngân hàng trực tuyến, dữ liệu sẽ được mã hóa bằng giao thức SSL/TLS. Nhiều máy chủ web phổ biến sử dụng thư viện OpenSSL có mã nguồn mở để thực hiện công việc này. Vào đầu tuần, những nhà bảo trì OpenSSL đưa ra bản vá cho một lỗi nghiêm trọng trong việc thực thi tính năng TLS gọi là Heartbleed, có khả năng tiết lộ lên đến 64kB bộ nhớ của máy chủ cho kẻ tấn công.

Nói cách khác, lỗ hổng này cho phép bất cứ ai trên Internet đọc bộ nhớ của thiết bị được bảo vệ bởi một phiên bản có lỗ hổng của thư viện. Trong trường hợp xấu nhất, một phần nhỏ của bộ nhớ chứa đựng những thông tin nhạy cảm như tên người dùng, mật khẩu hoặc thậm chí là khóa riêng tư (private key) mà máy chủ dùng để duy trì kết nối được mã hóa. Ngoài ra, lỗ hổng Heartbleed không để lại dấu vết nên không có cách nào xác định máy chủ đã bị tấn công và loại dữ liệu đã bị đánh cắp.

Tuy OpenSSL đã được sửa lỗi nhưng không có cách nào để đảm bảo rằng các trang web và những dịch vụ bị ảnh hưởng bởi Heartbleed đang thực thi các bản vá nhằm giảm nhẹ điều này. Hơn nữa, lỗi này khá dễ dàng để khai thác và có thể đã tồn tại trong hai năm qua. Như vậy có nghĩa rằng những chứng nhận bảo mật của nhiều trang phổ biến cũng như dữ liệu nhạy cảm của người dùng bao gồm cả mật khẩu có thể đã bị đánh cắp.

Kurt Baumgartner, một nhà nghiên cứu tại Kaspersky Lab, cho biết: “Kaspersky Lab đã phát hiện bằng chứng hôm thứ Hai rằng một vài nhóm tin tặc được cho là có liên quan đến hoạt động gián điệp mạng do nhà nước tài trợ đã chạy các đợt quét (scan) ngay sau khi tin tức về sự cố này nổi lên vào thứ Hai. Vào thứ Ba, Kaspersky đã xác định được các đợt quét như vậy đến từ hàng chục actor, và số lượng tăng lên vào hôm thứ Tư sau khi Rapid7 phát hành một công cụ miễn phí để thực hiện quét. Điều này thật sự mờ ám và bây giờ dường như mọi người đều có thể làm được việc này.”

Các chuyên gia Kaspersky Lab đưa ra kế hoạch hành động cho người dùng nhằm tránh sự ảnh hưởng của Heartbleed như sau:

– Kiểm tra các trang web ưa thích có bị lỗ hổng hay không. Người dùng có thể tìm thấy các công cụ trực tuyến kiểm tra sự hiện diện của các lỗ hổng tại đây nhưng người dùng cần phải biết nếu lỗ hổng đã xuất hiện trước đó. Tại đây cũng có danh sách các trang web phổ biến đã được kiểm tra là chống lại các lỗ hổng. Facebook, Google không bị ảnh hưởng nhưng Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px và nhiều trang khác có lỗ hổng. Người dùng nên sẵn sàng hành động nếu đã có tài khoản trên các trang này.

– Kiểm tra xem trang web có lỗ hổng hay không ngay bây giờ. Người dùng có thể sử dụng công cụ đơn giản tại đây
heartbleed
– Khi chủ sở hữu các trang web sửa chữa các lỗi, họ cần phải xem xét việc tái cấp chứng nhận cho trang. Vì vậy, người dùng cần sẵn sàng theo dõi các chứng chỉ máy chủ và chắc chắn rằng bạn đang sử dụng một chứng chỉ mới, được cấp từ ngày 08/04 trở đi. Để thực hiện điều này, người dùng cần cho phép thu hồi chứng chỉ cũ kiểm tra trên trình duyệt của mình. Dưới đây là mẫu cài đặt trên Google Chrome:
heartbleed
– Điều này sẽ ngăn chặn trình duyệt của người dùng sử dụng giấy chứng nhận cũ. Để kiểm tra ngày phát hành chứng chỉ bằng tay, nhấp chuột vào khóa màu xanh lá cây trong thanh địa chỉ và nhấn vào “Thông tin” liên kết trên thẻ “Kết nối”
heartbleed
– Bước quan trọng nhất – khi máy chủ được vá và giấy chứng nhận được cập nhật, là người dùng phải thay đổi mật khẩu ngay lập tức. Người dùng nên xem xét lại chính sách mật khẩu của mình và có thể kiểm tra mật khẩu mới đủ tốt để sử dụng chưa bằng công cụ Password Checker.

Thông tin chi tiết về cách tránh sự ảnh hưởng của Heartbleed, vui lòng truy cập https://blog.kaspersky.com/heartbleed-howto/
Theo Kaspersky Blog

Tác giả: Nguyễn Trung Hiếu

Một blogger ... cùi bắp! Đơn giản: tôi muốn ghi lại những gì xảy ra xung quanh, cả công việc lẫn cuộc sống và chia sẻ với các bạn đọc. Nếu bạn cảm thấy bài viết có nhiều điểm không chính xác, hãy comment và chia sẻ để tôi còn được học hỏi từ những góp ý của bạn. Email: hieunt.dcn@gmail.com

http://sharecodeweb.net/?s={search_term_string}