Liên hiệp các hội và khoa học kỹ thuật Việt Nam
Chủ đề:
Thứ năm, 10/04/2014 21:28 (GMT+7)

Người dùng Việt Nam nên tạm ngưng các giao dịch trực tuyến

Lỗi OpenSSL Heartbleed là gì?

Anh Nguyễn Hồng Phúc cho biết, lỗi OpenSSL Heartbleed được công bố trên internet, cụ thể là trên trang diễn đàn lớn nhất thế giới Reddit và trang Heartbleed.com vào tối ngày 7/4. Trước đó chương trình thư viện mã hóa nâng cấp nền tảng OpenSSL được âm thầm vá lỗi, và các hệ điều hành nguồn mở được thực hiện vá lỗi ngay trong đêm

Mã khai thác sơ khai của lỗi OpenSSL Heartbleed được đưa lên mạng vào buổi sáng ngày 8/4. Nhiều hệ thống website và dịch vụ online lớn trên thế giới ngay lập tức bắt tay vào việc vá lỗi.

Chiều ngày 8/4 các công cụ khai thác trọn vẹn và đầy đủ được đưa lên mạng. Tình trạng khai thác diện rộng và tràn lan xảy ra, do việc nâng cấp OpenSSL trên toàn bộ các hệ thống cần có thời gian. Các nạn nhân của cuộc tấn công quy mô lớn này có yahoo.com, xda-developers.com, stackoverflow.com, adf.ly, fbi.gov, cia.gov …

Cụ thể về lỗi OpenSSL Heartbleed được anh Phúc mô tả như sau: Hiện nay các giao dịch trên Internet được bảo vệ an toàn trong quá trình trung chuyển qua internet nhờ giao thức mã hóa bảo mật kết nối SSL/TLS ( trong ứng dụng thực tế thì có giao thức truy cập web an toàn HTTPS )

Để sử dụng giao thức này trong việc lập trình, các lập trình viên có thể sử dụng thư viện lập trình mã hóa nguồn mở OpenSSL. Đây là thư viện lập trình rất phổ biến trong các sản phẩm mã nguồn mở, nhờ đặc tính an toàn cao và hiệu suất tốt

Khi trình duyệt của người dùng truy cập website thông qua HTTPS ( một ứng dụng thực tế của giao thức SSL/TLS ) như các trang thanh toán trực tuyến bằng thẻ, các trang đăng nhập an toàn, dữ liệu của người dùng sẽ được mã hóa và trung chuyển an toàn qua internet, rồi được nhận bởi máy chủ dịch vụ và được giải mã tạm vào bộ nhớ đệm (RAM) trên máy chủ để xử lý

Lỗi OpenSSL Heartbleed xảy ra do phần mềm thư viện lập trình mã hóa OpenSSL bị lập trình sai dẫn tới khả năng cho phép các hacker truy cập vào bộ nhớ đệmcủa OpenSSL, nơi chứa các dữ liệu nhạy cảm đã được giải mã như thông tin thẻ ngân hàng, thẻ tín dụng, thông tin đăng nhập như tài khoản và mật khẩu.

Tình hình lỗi tại Việt Nam

Các chuyên gia bảo mật của Việt Nam nhận được thông tin này về lỗi ngay trong đêm 7/4 và liên tục theo dõi các lỗi này để cập nhật cho cộng đồng các quản trị hệ thống. Trong sáng 8/4 một số trang dịch vụ online lớn đã được vá ngay trong buổi sáng.

Chiều ngày 8/4 khi các công cụ khai thác bắt đầu phổ biến, các báo cáo tấn công liên tục cho thấy khoảng 15 website ebanking của các ngân hàng và cổng thanh toán tại Việt Nam bị tấn công thành công. Tới rạng sáng ngày 9/4 qua kiểm tra sơ bộ, phần lớn trang chủ ebanking của các ngân hàng đều đã được vá, nhưng toàn bộ hệ thống ebanking của các ngân hàng được vá hay chưa, hiện vẫn chưa có điều kiện kiểm tra được.

Đối với các cổng thanh toán đã vá xong hầu hết ngay trong chiều 8/4. Hiện theo kiểm tra của các chuyên gia bảo mật, một số cổng thanh toán vẫn còn chưa vá lỗi.

Có vẻ như việc khắc phục lỗi được các ngân hàng và các cổng thanh toán trực tuyến tại Việt Nam làm một cách “âm thầm”, khi không thấy một thông báo nào về lỗi này được phát ra từ phía họ.

Phương pháp khắc phục

Đây là lỗi rất nghiêm trọng, nó có thể khiến cho tài khoản ngân hàng, hay các tài khoản thanh toán trực tuyến dễ dàng bị các hacker đánh cắp. Để khắc phục sự cố này, lời khuyên được các chuyên gia bảo mật mạng tại Việt Nam đưa ra như sau:

Các kỹ sư của các ngân hàng cần ngay lập tức cập nhật OpenSSL lên phiên bản mới nhất, tái khởi động ( bắt buộc ) lại các hệ thống và thay đổi các chứng chỉ số SSL ngay lập tức trên toàn bộ các hệ thống có sử dụng OpenSSL. Vì lỗi này không chỉ mở cửa khả năng khai thác trên môi trường web mà mọi môi trường có sử dụng thư viện OpenSSL đều bị ảnh hưởng.

Với người dùng và cộng đồng cần tạm ngưng mọi giao dịch trực tuyến qua các cổng thanh toán và ebanking, cho đến khi các cổng thanh toán và các cổng ebanking này có thông báo chính thức về việc họ đã vá lỗi này. Vì lỗi này cực kỳ nghiêm trọng và cực kỳ dễ bị khai thác bởi các hacker.

Ngoài ra, ICTnews cũng đã liên hệ với công ty An ninh mạng Bkav để hỏi về lỗi bảo mật này, đại diện Bkav cho biết họ cũng đã biết lỗi này và đang tiến hành kiểm tra, thông tin sẽ được cung cấp sau.

Còn theo các chuyên gia bảo mật quốc tế nhận định, lỗi này khiến internet trở nên như miền tây hoang dã.

Xem Thêm

Yên Bái: Nghiên cứu di tích Lịch sử - Văn hóa vùng hồ Thác Bà

Yên Bái: Nghiên cứu di tích Lịch sử - Văn hóa vùng hồ Thác Bà

Ngày 29/10, tại huyện Lục Yên, Liên hiệp hội tỉnh phối hợp với Sở Văn hóa – Thể thao và Du lịch, UBND huyện Lục Yên và Hội Khoa học Lịch sử tỉnh đã tổ chức hội thảo Nghiên cứu di tích Lịch sử - Văn hóa vùng hồ Thác Bà phục vụ nhiệm vụ bảo tồn, phát huy giá trị và phát triển khu du lịch quốc gia hồ Thác Bà.
Hướng tới một ngành chăn nuôi an toàn, hiệu quả và bền vững

Hướng tới một ngành chăn nuôi an toàn, hiệu quả và bền vững

Ngày 18/10 tại thành phố Huế, Liên hiệp các Hội Khoa học và Kỹ thuật Việt Nam phối hợp với Hội Chăn nuôi Việt Nam và Liên hiệp các Hội Khoa học và Kỹ thuật tỉnh Thừa Thiên Huế tổ chức hội thảo khoa học với chủ đề: Áp dụng quy trình chăn nuôi an toàn sinh học và tuần hoàn nâng cao hiệu quả sản suất trong chăn nuôi trang trại nhỏ và hộ gia đình.

Tin mới

Phú Thọ: Đề xuất xây dựng dự thảo Văn kiện Đại hội Đảng tỉnh nhiệm kỳ 2025 - 2030

Phú Thọ: Đề xuất xây dựng dự thảo Văn kiện Đại hội Đảng tỉnh nhiệm kỳ 2025 - 2030

Tư vấn - Phản biện - 28/11 08:11
Sáng 26/11, Liên hiệp hội tỉnh đã tổ chức hội thảo “Nghiên cứu, đánh giá kết quả thực hiện Nghị quyết Đại hội Đảng bộ tỉnh lần thứ XIX, nhiệm kỳ 2020 - 2025; đề xuất khâu đột phá và một số nhiệm vụ trọng tâm phục vụ xây dựng dự thảo Văn kiện ĐH Đảng bộ tỉnh Phú Thọ lần thứ XX, nhiệm kỳ 2025 - 2030” đối với đội ngũ trí thức, chuyên gia, nhà KH thuộc các trường Đại học, Cao đẳng trên địa bàn tỉnh.
Bộ TT&TT làm việc với LHHVN khảo sát sơ kết việc thực hiện Quyết định số 362/QĐ-TTG

Bộ TT&TT làm việc với LHHVN khảo sát sơ kết việc thực hiện Quyết định số 362/QĐ-TTG

Cơ quan TW - 28/11 08:02
Chiều ngày 27/11, tại trụ sở LHHVN, Đoàn công tác của Bộ TT&TT đã có buổi làm việc với LHHVN khảo sát sơ kết Quyết định số 362/QĐ-TTG ngày 03/4/2019 của Thủ tướng Chính phủ về quy hoạch phát triển và quản lý báo chí toàn quốc đến năm 2025. Thứ trưởng Bộ TT&TT Bùi Hoàng Phương và Phó Chủ tịch LHHVN Phạm Ngọc Linh chủ trì buổi làm việc.
Góp ý Dự thảo Kế hoạch của Vutsa thực hiện Nghị quyết 107-NQ/CP

Góp ý Dự thảo Kế hoạch của Vutsa thực hiện Nghị quyết 107-NQ/CP

Tư vấn - Phản biện - 26/11 14:13
Mới đây, Vusta tổ chức Hội thảo Góp ý Dự thảo Kế hoạch của Liên hiệp Hội Việt Nam thực hiện Nghị quyết 107-NQ/CP ngày 09/7/2024 nhằm thực hiện Nghị quyết số 45-NQ/TW về công tác trí thức. Ông Phạm Ngọc Linh – Phó chủ tịch Vusta và ông Nguyễn Quyết Chiến – Tổng Thư ký Vusta chủ trì hội thảo.
Liên hiệp các Hội Khoa học và Kỹ thuật Việt Nam

Trang tin điện tử Liên hiệp các Hội Khoa học và Kỹ thuật Việt Nam

Chịu trách nhiệm nội dung:
Lê Thanh Tùng

Giấy phép số: 18/GP-TTĐT, Bộ Thông tin và Truyền thông cấp ngày 09/03/2022

   Lô D20, Ngõ 19 Phố Duy Tân, Dịch Vọng Hậu, Cầu Giấy, Hà Nội.

  024.3.9432206 - 0243 9438108

  banbientapvusta@gmail.com

Copyright © 2014 - VUSTA. All rights reserved