(Post 17/04/2014) Khi đang thử nghiệm tính năng mới, kỹ sư của hãng bảo mật Codenomicon đã khám phá ra lỗ hổng Internet nguy hiểm có tên Heartbleed – trái tim rỉ máu…
Heartbleed (tạm dịch: trái tim rỉ máu), lỗ hổng Internet nguy hiểm nhất vừa bị phát hiện, ảnh hưởng đến giao thức bảo mật OpenSSL, nó “lừa” máy chủ chiết xuất dữ liệu từ bộ nhớ, cho phép tin tặc khai thác thông tin nhạy cảm như số thẻ tín dụng hay mật khẩu.
Antti Karjalainen cùng hai đồng nghiệp Riku Hietamäki và Matti Kamunen tại hãng bảo mật Codenomicon cũng như kỹ sư Neel Mehta của Google (hoạt động độc lập với Codenomicon) được xem là những người đầu tiên phát hiện lỗ hổng. Karajalainen cho biết anh đang cùng Hietamäki cập nhật tính năng mới cho bộ thử nghiệm giao thức của Codenomicon thì tìm ra Heartbleed.
Tính năng này được thiết kế để nhận ra các loại lỗ hổng phần mềm mới. Ban đầu, Karjalainen nhận ra lỗi khi thêm hỗ trợ cho tính năng Heartbeat của OpenSSL. Heartbeat cho phép một máy chủ gửi dữ liệu tùy ý đến máy chủ khác. Người nhận sau đó gửi trả lại bản sao chính xác của dữ liệu tới người gửi để xác nhận kết nối an toàn và không có gì bị xâm nhập.
Codenomicon bắt đầu một số thử nghiệm mới với giao thức Heartbeat. Sau khi nhận thấy một phản hồi lớn bất thường, Karjalainen và Hietamäki thử bài kiểm tra khác. Thử nghiệm mới xác nhận lỗ hổng trong Heartbeat đang làm lộ dữ liệu ngoại lai. Ngày tiếp theo, chuyên gia bảo mật Marko Laakso của Codenomicon phát hiện phiên bản OpenSSL mà bộ giao thức thử nghiệm đang sử dụng làm lộ khóa cá nhân từ máy chủ.
“Khóa cá nhân là “báu vật đế vương” của Internet. Chúng được dùng để khẳng định bạn đích thực là bạn. Vì thế, nó có thể trở thành lỗ hổng tồi tệ nhất trong lịch sử Internet”, Karjalainen giải thích.
Codenomicon ngay lập tức vá lỗ hổng và thông báo cho các hãng khác. Công ty đặt tên cho nó là Heartbleed, mua tên miền heartbleed.com, thiết kế biểu tượng cho lỗ hổng và viết bài Hỏi – đáp chi tiết.
Heartbleed đặc biệt nguy hiểm vì nó ảnh hưởng đến OpenSSL, giao thức được phần lớn thế giới Internet sử dụng. Nó khó bị phát hiện vì cho phép kẻ tấn công thực hiện ở giao đoạn đầu của quá trình liên lạc khi dữ liệu đang được truyền tải.
Một số dịch vụ web lớn như Twitter, Google cho biết đã áp dụng các bản vá cần thiết để xử lý vấn đề. Tuy nhiên, nhiều loại thiết bị khác như hộp cáp, đèn giao thông có thể chưa được khắc phục vì hệ thống không được cập nhật thường xuyên.
Du Lam (Theo BI)
(nguồn ICTnews)
FPT Aptech – Hệ Thống Đào Tạo Lập Trình Viên Quốc Tế
FPT Aptech trực thuộc Tổ chức Giáo dục FPT có hơn 25 năm kinh nghiệm đào tạo lập trình viên quốc tế tại Việt Nam, và luôn là sự lựa chọn ưu tiên của các sinh viên và nhà tuyển dụng. |