Khắc phục lỗ hổng Heartbleed dẫn tới nhiều rắc rối

Việc khắc phục sự cố con bọ điện toán Heartbleed – lỗ hổng an ninh mạng đang tấn công nhiều hệ thống – có thể dẫn tới tình trạng nghẽn mạng kéo dài.

Cảnh báo trên do chuyên gia Johannes Ullrich đến từ Trung tâm Internet thuộc Viện Nghiên cứu SANS của Mỹ đưa ra ngày 15/4.

Theo ông Ullrich, chương trình “vá” lỗi các chứng nhận an ninh ở phần lớn các website có thể khiến các trình duyệt bị quá tải, tốc độ truy cập chậm và người dùng thường xuyên phải nhận những tin nhắn báo lỗi.

Ông Ullrich nêu rõ đối với mỗi bản vá, các trình duyệt mạng phải cập nhật danh sách những chứng nhận không đáng tin cũng như những mã khóa mà có thể sẽ bị từ chối. Để vá lỗi, các website cần tạo một mã khóa cá nhân mới và hủy bỏ mã khóa cũ.

Các trình duyệt mạng thường xuyên cập nhật hàng chục mã khóa mỗi ngày, song do lỗ hổng Heartbleed, con số này lên tới hàng chục nghìn mã.

Chuyên gia này cho biết nếu quá trình xác nhận diễn ra quá lâu, các trình duyệt sẽ tuyên bố là website không tồn tại hoặc gửi tin nhắn báo lỗi tới người dùng.

Ông cũng cảnh báo nếu người dùng phớt lờ các cảnh báo hoặc kiểm tra an ninh, các tin tặc sẽ lập tức tấn công hệ thống máy tính.

Trước đó một ngày, Cơ quan Thuế vụ Canada xác nhận các tin tặc sử dụng con bọ điện toán Heartbleed để tấn công dữ liệu thông tin cá nhân của khoảng 900 khách hàng. Đây là cơ quan đầu tiên xác nhận các vụ tấn công của Heartbleed.

Con bọ Heartbleed là một lỗ hổng an ninh nghiêm trọng trong thư viện OpenSSL, một được 2/3 website trên thế giới sử dụng để thông tin.

Các tin tặc sử dụng Heartbleed để lấy các thông tin cá nhân như số thẻ bảo hiểm xã hội, thường được dùng cho việc tuyển dụng hoặc nhận các khoản trợ cấp của chính phủ. Con bọ Heartbleed cho phép tin tặc đánh cắp thông tin mà không để lại dấu vết nào.

Trang web Mumsnet, cung cấp OpenSSL với hơn 60 triệu lượt truy cập/tháng, cho biết sau khi phát hiện ra các vụ tấn công thông qua lỗ hổng an ninh Heartbleed của OpenSSL, trang web này đã yêu cầu toàn bộ người dùng thay đổi mật khẩu.

Tuy nhiên, Mumsnet không cho biết liệu các thông tin cá nhân đã bị đánh cắp hay không.

Các nhà nghiên cứu cũng thừa nhận mặc dù Heartbleed tồn tại trong OpenSSL đã vài năm, song họ không xác định được thủ phạm đã sử dụng con bọ này để tiến hành các vụ tấn công vào hệ thống bảo mật.

Một chuyên gia an ninh mạng cảnh báo thậm chí cả những tin tặc không phải là những người thành thạo trong lĩnh vực công nghệ thông tin cũng có thể sử dụng Heartbleed để thực hiện các vụ đánh cắp thông tin nhằm vào những tài khoản có độ bảo mật thấp vì Heartbleed được công khai trên Internet./.

Theo: Vietnamplus

Bài viết liên quan