'vi-vn'
Về CMCSản phẩm - Dịch vụTin tứcTuyển dụngDành cho Cổ đôngQuỹ đầu tư CMCCộng đồng CMCTải tài liệu
Tin tức
Tin CMCĐiểm báoGóc báo chí

CMC InfoSec cung cấp miễn phí dịch vụ kiểm tra lỗi Heartbleed

04.14.2014

Ngày 7/4 vừa qua, cả thế giới mạng chao đảo khi nhóm chuyên gia bảo mật từ Codenomicon và Google công bố phát hiện ra một trong những lỗ hổng bảo mật nghiêm trọng nhất trong lịch sử Internet, có thể gây ảnh hưởng lên 2/3 hạ tầng mạng trên toàn thế giới và khiến cho không chỉ các dịch vụ trực tuyến quốc tế lớn nhất mà cả các hãng thiết bị mang tầm cỡ như Cisco, Juniper đều phải “gồng mình” khắc phục. 

Heartbleed là gì và tại sao nó lại nguy hiểm đến vậy?

Đây là một lỗ hổng nằm trong phần mềm mã nguồn mở Open SSL, liên quan tới logic xử lý của OpenSSL đối với cơ chế hearbeat của giao thức TLS. Bug này xuất hiện trên OpenSSL phiên bản 1.0.1 tới 1.0.1f . Các phiên bản khác của SSL không mắc phải lỗi này. 

Heartbleed cho phép tin tặc gửi request tới TLS server làm Server xử lý tràn qua vùng nhớ riêng (lên tới 64KB) mà OpenSSL dùng để lưu trữ các dữ liệu đặc biệt như PRIVATE KEY, qua đó kẻ tấn công có thể lấy được các thông tin như Server private keys, TLS Session keys, Session ticket keys… của máy chủ hoặc máy trạm, từ đó đọc bất kỳ thông tin nào gửi đến máy chủ như username/password, nội dung email, chat… thậm chí “đóng vai” máy chủ, lừa người dùng tiết lộ mật khẩu và dữ liệu nhạy cảm. 

OpenSSL là 1 thư viện rất quan trọng, đảm bảo sự vận hành của giao thức SSL/TLS là giao thức suy trì an toàn cho dữ liệu trong thương mại điện tử. Có thể khi nghe đến Open SSL người dùng cảm thấy khá mông lung. Tuy nhiên, khi đưa ra con số hơn 66% lượng website trên toàn thế giới phụ thuộc vào SSL, trong đó có cả Google, Facebook, Yahoo Mail, Google, Facebook, Yahoo Mail, Lastpass và các website thuộc quản lý của FBI, CIA…chúng ta sẽ hình dung được tại sao Heartbleed lại trở thành tâm bão trong những ngày qua.

Điểm khác biệt giữa Heartbleed và các lỗi bug trước đây là thông thường chúng được phát hiện, được sửa chữa và mọi chuyễn lại đi vào trật tự, tuy nhiên, đối với Heartbleed, nó tung ra lượng lớn private key và các thông tin quan trọng trôi nổi trên internet. Điều này thực sự mới là mối lo ngại.  Một khi đã nắm được các thông tin máy chủ này, mục tiêu “có lời” nhất của tin tặc không gì khác chính là các dịch vụ trực tuyến, ngân hàng điện tử, cổng thanh toán trực tuyến và các dịch vụ thương mại điện tử khác.

Mức độ “càn quét” của Heartbleed cho đến thời điểm hiện tại?

Các chuyên gia đã thực hiện scan trên tổng số 28 triệu máy chủ trên toàn thế giới và bước đầu phát hiện ra hơn 600.000 máy trong số này dính lỗi Heartbleed trong đó có cả máy đã bị khai thác từ cách đây gần nửa năm, với các dấu vết để lại từ tháng 11/2013.

Chuyên gia bảo mật Bruce Schneiner đã gọi lỗ hổng Heartbleed là "nguy hiểm ngoại hạng” và được chấm hẳn 11 điểm trên thang điểm từ 1 đến 10.

“Nó có khả năng ảnh hưởng đến hai phần ba cơ sở hạ tầng của Internet", Wayne Jackson, chuyên gia bảo mật và Giám đốc điều hành của Sonatype cho biết với Fast Company.

Tình hình tại Việt Nam

Theo thống kê của CMC INFOSEC, trong ngày ngày 12/4, số lượng các website bị lây nhiễm như sau:

Loại web

Site quét

Site lỗi

Gov.vn

735

13 (1,76%)

Ngân hàng

93

0 (0%)

Cổng thanh toán TT

48

1 (2,8%)

Khác

63

4  (6,34%)

Như vậy, tính đến hết ngày 12/04, sau 5 ngày kể từ khi Heartbleed được công bố rộng rãi, hầu hết các website ngân hàng, e-banking và các cổng thanh toán trực tuyến đều đã được vá lỗ hổng.

Khuyến cáo từ CMC Infosec

Câu chuyện về Heartbleed tính đến thời điểm này, đối với người dùng cá nhân, đã có thể tạm yên tâm để thực hiện các giao dịch online thông thường. Tuy nhiên, đối với khối cơ quan chính phủ, ngân hàng và các doanh nghiêp, CMC InfoSec khuyến cáo vẫn nên thận trọng rà soát và thực hiện các biện pháp kiểm tra, củng cố lại hệ thống sớm nhất có thể.

Điều thực sự nguy hiểm ở đây là: Nếu như hệ thống đã từng bị ảnh hưởng, không có cách nào biết được là hệ thống của mình đã bị mất private key hay chưa. Cách tối ưu và an toàn nhất để khắc phục lỗi này trên các hệ thống đã từng bị ảnh hưởng đó là:

1. Update lên phiên bản 1.0.1g

2. Thay đổi cặp khóa private/public key

3. SAU KHI THAY ĐỔI key, hãy đổi Certificate cho dịch vụ của mình.

Hiện nay CMC InfoSec đang cung cấp dịch vụ kiểm tra lỗi Heartbleed miễn phí cho các khách hàng

Mọi nhu cầu kiểm tra lỗi và tư vấn khắc phục lỗi, xin vui lòng liên hệ:

Hotline: 19000 571244.

Email: dvmb@cmcinfosec.com

Theo CMC Infosec

Affiliates TitleUpdated
Tin CMC Game thủ hài lòng với Mainboard Foxconn H9A-i Plus04.11.2014
Tin CMC CMC – Sáng tạo để phát triển bền vững trong nền kinh tế tri thức04.07.2014
Tin CMC Người CMC sôi nổi cùng lễ phát động "Sáng tạo vì tương lai CMC"04.07.2014
Tin CMC CMC lần đầu tiên tổ chức cuộc thi sáng tạo toàn Tập đoàn03.31.2014
Tin CMC CMC Telecom được vinh danh “Thương hiệu mạnh Việt Nam” 201303.19.2014
Tin CMC CMC Telecom đảm bảo băng thông trong kì bảo dưỡng AAG tháng 3/201403.01.2014
Tin CMC Bộ trưởng Nguyễn Bắc Son đến thăm và làm việc tại Tập đoàn Công nghệ CMC02.25.2014
Tin CMC CMC Telecom tổ chức tiệc tri ân khách hàng hai miền01.15.2014
total of 186 posts Page [1/24] 
1 2 3 4 5 ...    
 
Điểm báo
Google lập trang web tìm người thân sau siêu bão ...
Smartphone đe dọa thị phần truyền hình trả tiền
Ngành ICT Việt Nam hấp dẫn doanh nghiệp Anh
Mới có 3/10 DN lớn nhất Việt Nam công bố ứng dụng ...
©2011 CMC Corporation