13/04/2014 06:56 GMT+7

"Trái tim rỉ máu": Đổi mật khẩu chưa chắc đã an toàn

THANH TRỰC - MỸ LOAN
THANH TRỰC - MỸ LOAN

TT - Trước những nguy cơ từ lỗi bảo mật Heartbleed (tạm dịch “Trái tim rỉ máu”), người sử dụng các dịch vụ Internet được tư vấn nên đổi mật khẩu tài khoản của mình.

wcfy4rNc.jpgPhóng to
Ảnh minh họa: Kaspersky

Tuy nhiên, theo các chuyên gia, đổi mật khẩu vẫn chưa chắc an toàn nếu website đó chưa khắc phục Heartbleed.

Heartbleed đang lan nhanh hơn, không chỉ gây hại cho các trang web mà còn lan rộng đến các máy chủ thư điện tử (email server), gây tổn hại các sản phẩm an ninh như tường lửa và thậm chí có khả năng xâm nhập cả vào điện thoại di động.

Khẩn trương vá lỗi

Đã biết 2 năm trước

Hãng tin Bloomberg ngày 12-4 dẫn nguồn tin riêng cho biết Cơ quan An ninh quốc gia Mỹ (NSA) đã biết về lỗi bảo mật trong phần mềm OpenSSL ít nhất hai năm qua, nhưng giữ “làm của riêng” để theo đuổi các lợi ích an ninh quốc gia, khai thác lỗi để đánh cắp các mật khẩu và dữ liệu trong các hệ thống mục tiêu.

Bloomberg tố NSA không cảnh báo lỗi cho các lập trình viên, “bỏ rơi” nhiều triệu người dùng đối mặt những nguy cơ nguy hiểm do Heartbleed mang lại. Phía NSA từ chối phản hồi về cáo buộc trên, cho biết “chỉ biết đến lỗi bảo mật Heartbleed khi nó được công bố rộng rãi trong tuần qua”.

Lỗi Heartbleed được tìm thấy trong bản cập nhật lớn của OpenSSL đầu năm 2012, được giới an ninh mạng đánh giá là một trong những lỗi bảo mật nguy hiểm nhất trong lịch sử mạng toàn cầu, ảnh hưởng gần 2/3 website trên thế giới, bao gồm cả những website lớn. Chính phủ Canada ngày 10-4 đã phải tạm ngừng hệ thống nộp hồ sơ thuế trực tuyến vì bị ảnh hưởng bởi Heartbleed.Thanh Trực

Đại diện Công ty VDC - nhà cung cấp dịch vụ Internet lớn nhất VN - khuyến cáo các doanh nghiệp VN đang cung cấp dịch vụ trực tuyến mà hệ thống sử dụng OpenSSL cần ngay lập tức kiểm tra và đánh giá sự an toàn của hệ thống thông qua công cụ kiểm tra tại địa chỉ filippo.io/Heartbleed. Ngoài ra cũng cần có kiểm tra và đánh giá toàn diện việc sử dụng bộ phần mềm OpenSSL đối với tất cả hệ thống như phiên bản phần mềm (phiên bản bị lỗi Heartbleed là OpenSSL version 1.0.1 đến 1.0.1f, các phiên bản 0.9.8, 1.0.0 không bị lỗi), mô hình kết nối của hệ thống (hệ thống cho phép kết nối công cộng hay riêng tư...) để từ đó lên kế hoạch vá lỗi.

Các nhà cung cấp phần mềm OpenSSL đã có bản vá cho lỗ hổng này từ rất sớm. Tuy nhiên, vì lý do nào đó mà doanh nghiệp chưa thể vá lỗi ngay thì phải có kế hoạch cách ly các hệ thống bị lỗi khỏi các kết nối công cộng để tránh việc bị kẻ xấu lợi dụng đánh cắp dữ liệu.

VDC cũng cho biết những máy chủ do VDC quản lý đã được vá lỗi đầy đủ.

Thận trọng khi dùng mail Yahoo!

Trên phạm vi toàn cầu, giới chuyên gia tại Công ty dịch vụ Internet Netcraft của Anh nhận định Heartbleed có khả năng đang gây ảnh hưởng tới 500.000 máy chủ. Các chuyên gia này khuyến cáo người sử dụng Internet cần tự bảo vệ mình trước khi giới an ninh mạng tìm ra giải pháp khắc phục “lỗ hổng” Heartbleed.

Theo trang Top Tech News, các nhà phát triển dịch vụ Internet, trong đó có Amazon, Google và Yahoo!, đang lao vào tìm cách sửa chữa những máy chủ đã bị Heartbleed gây ảnh hưởng. Jaime Blasco, giám đốc phòng nghiên cứu bảo mật AlienVault Labs, khuyến cáo người dùng Internet không đăng nhập Yahoo! và các dịch vụ bị ảnh hưởng khác, vì thông tin cá nhân của họ có thể bị đánh cắp. Chuyên gia này khuyên người dùng đổi mật khẩu ngay sau khi Yahoo! khắc phục xong lỗ hổng nói trên.

Yahoo! cho biết họ đã dùng các biện pháp hợp lý khắc phục các dịch vụ như trang chủ Yahoo!, Search, Mail, Finance, Sports, Food, Tech, Flickr và Tumblr. Song vẫn còn những dịch vụ khác của Yahoo! chưa được khắc phục lỗi. Giới chuyên gia cảnh báo người dùng nên kiểm tra xem trang web mà họ đang sử dụng có an toàn không, nếu không an toàn thì nên đổi mật khẩu. Thậm chí Hãng tin CNN còn cho rằng dù có đổi mật khẩu thì người sử dụng vẫn chưa an toàn nếu lỗ hổng Heartbleed vẫn còn đang tồn tại.

Giao dịch quốc tế: cẩn trọng

* Bkav đã kiểm tra website ebanking của toàn bộ 62 ngân hàng và hơn 30 cổng thanh toán trực tuyến phổ biến tại VN. Kết quả cho thấy hiện các website này đều an toàn trước Heartbleed. Do vậy, người sử dụng có thể an tâm khi thực hiện các giao dịch thanh toán trực tuyến tại VN.

Cho dù sự kiện đã qua nhưng trong thế giới online, bất cứ lúc nào chúng ta cũng có thể gặp phải những lỗ hổng như thế này. Vì vậy, người sử dụng cần đề cao cảnh giác bằng các biện pháp như đặt mật khẩu mạnh, sử dụng phần mềm chống mã độc và thường xuyên cập nhật các bản vá phần mềm, hệ điều hành.

* Heartbleed là một lỗ hổng bảo mật ảnh hưởng đến giao tiếp với máy chủ dịch vụ nên người dùng dù sử dụng thiết bị di động hay máy tính đều có thể bị ảnh hưởng nếu dịch vụ từ máy chủ (ngân hàng, email...) chưa vá lỗ hổng. Hiện tại, người dùng nếu giao dịch qua các thẻ nội địa có xác thực OTP (xác nhận mã giao dịch qua điện thoại di động) hoàn toàn có thể yên tâm về độ an toàn tài khoản của mình. Nhưng nếu giao dịch qua các thẻ quốc tế như Visa, Master... vẫn phải rất cẩn trọng.

THANH TRỰC - MỸ LOAN
Trở thành người đầu tiên tặng sao cho bài viết 0 0 0
Bình luận (0)
thông tin tài khoản
Được quan tâm nhất Mới nhất Tặng sao cho thành viên