"Trái tim rỉ máu" đe dọa mạng toàn cầu

* Hơn 500.000 máy chủ bị ảnh hưởng bởi lỗi

Phóng to

Lỗi Heartbleed được khám phá bởi chuyên viên phân tích bảo mật Neel Mehta từ Google cùng công ty bảo mật Codenomicon - Ảnh minh họa: Internet

Heartbleed (tạm dịch: Trái tim rỉ máu, tên mã: CVE-2014-0160), tên gọi mang hình tượng "rò rỉ dữ liệu quan trọng" được giới an ninh mạng đặt tên một lỗi trong OpenSSL (*) ở cấp độ "cực kỳ nghiêm trọng". Và bất ngờ hơn, lỗi nguy hiểm trong OpenSSL vừa được phát hiện đã hiện diện hơn hai năm qua, cho phép bất kỳ ai trên Internet có thể "chạm tay" đến tên, mật khẩu, và nội dung bạn gửi đến một website tưởng chừng bảo mật.

Lỗi tiếp tay tin tặc lần mò vào bộ nhớ máy chủ, nơi lưu trữ những dữ liệu nhạy cảm của người dùng như thông tin cá nhân, tên tài khoản, mật khẩu và có thể bao gồm cả thẻ tín dụng.

Khai thác lỗi, kẻ tấn công có thể "nghe trộm" thông tin liên lạc giữa trình duyệt Web và máy chủ Web, đánh cắp trực tiếp dữ liệu từ các dịch vụ và người dùng, đồng thời có thể mạo danh các dịch vụ và người dùng.

Những nghiên cứu ban đầu cho thấy Heartbleed chỉ ảnh hưởng đến các phiên bản OpenSSL từ 1.0.1 đến 1.0.1f và bản 1.0.2 beta. Rất nhiều website vẫn còn đang vận hành với phiên bản OpenSSL cũ sẽ bị đe dọa bởi lỗi. Hàng loạt những website lớn đang tích cực cập nhật phiên bản OpenSSL 1.0.1g vừa được phát hành.

Chưa thể kiểm tra website nào đã bị làm "tổn thương" bởi Heartbleed hay chưa, chỉ có thể kiểm tra website có nguy cơ bị tấn công qua lỗi.

Danh sách các website "mắc nạn" có Yahoo.com, mạng chia sẻ ảnh Flickr và 500px, các cổng thông tin entrepreneur.com, slate.com, dịch vụ chuyển file wetransfer.com. Tuy nhiên, Google, YouTube, Amazon, Microsoft, Twitter và Facebook không bị đe dọa bởi Heartbleed (xem đầy đủ danh sách tại đây).

Một số thử nghiệm ban đầu công bố "đã lấy được tên tài khoản và mật khẩu Yahoo! thông qua lỗi Heartbleed". Ronald Prins từ hãng bảo mật Fox-IT công bố thử nghiệm qua Twitter. Một lập trình viên tên Scott Galloway còn lấy được đến 200 tài khoản Yahoo! trong 5 phút nhờ một đoạn mã khai thác lỗi Heartbleed tự động.

Phản hồi chính thức của Yahoo! trên CNET cho biết, công ty đã khắc phục lỗi trên các website chính của mình gồm Trang chủ Yahoo!, Yahoo! Search, Yahoo! Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr, và Tumblr. Công ty cho biết sớm khắc phục toàn bộ các website của mình.

Người dùng nên tạm ngưng giao dịch trực tuyến trong thời gian này.

Theo hãng nghiên cứu mạng Netcraft, đã có hơn 500.000 máy chủ trên thế giới bị ảnh hưởng bởi lỗi Heartbleed. Điều này đồng nghĩa hơn 500.000 website, bao gồm cả những website lớn đang "phơi mình" trước lỗi. Theo đó, đây là lý do vì sao các chuyên gia an ninh mạng đồng loạt khuyến cáo mọi người dùng Internet nên hạn chế tối đa giao dịch trực tuyến như mua sắm trực tuyến, đăng nhập tài khoản ngân hàng... hay thậm chí là đăng nhập vào email trong thời gian này.

Cuộc chạy đua vá lỗi trước khi thảm họa xảy ra với website của mình đang diễn ra từng giờ. Và người dùng nên cẩn trọng khi dùng Internet trong thời gian này.

(*) OpenSSL là thư viện mã hóa nguồn mở (open-source), bảo vệ rất nhiều website trên mạng Internet, mã hóa dữ liệu nhờ bộ đôi SSL (Secure Sockets Layer) và TLS (Transport Layer Security), đồng thời cho phép tạo ra các khóa mã hóa RSA, DSA... Đặc điểm nhận dạng cơ bản SSL/TLS thể hiện qua biểu tượng "ổ khóa" màu vàng trên khung địa chỉ web trong trình duyệt, cho biết website đang bảo vệ dữ liệu truyền tải giữa bạn và nó đã được bảo vệ (địa chỉ bắt đầu bằng https:// thay vì http://).

Ngoài ra, bên trong hậu trường, TLS/SSL đóng vai trò như "người môi giới" trao đổi các khóa giải mã / mã hóa dữ liệu để trình duyệt web (từ phía người dùng) và máy chủ web "hiểu nhau", đồng thời đóng vai trò "người giám hộ", bảo vệ dữ liệu cá nhân giữa người dùng với website. OpenSSL giúp mọi người có thể nhờ cậy khả năng bảo vệ mã hóa từ SSL/TLS nhanh và dễ dàng.