Chúng ta
Công nghệ

300.000 website vẫn dính Heartbleed

Thứ tư, 25/6/2014 | 16:53 GMT+7

Hai tháng sau sự cố lỗ hổng bảo mật Heartbleed, thế giới vẫn còn 300.000 máy chủ web có thể bị "tổn thương" bởi OpenSSL.
> Chuyên gia FPT chỉ cách kiểm tra lỗ hổng HeartBleed

Theo kết quả vừa được Mashable dẫn lại từ báo cáo nghiên cứu an ninh thông tin của Errata Security thì cả thế giới còn rất nhiều máy chủ "rỉ máu". Nghiên cứu này được thực hiện bằng cách quét cổng 443 trên máy chủ web nhằm tìm kiếm lỗ hổng.

Ở lần quét này có 309.197 máy chủ vẫn còn dính lỗi kỹ thuật. Còn khi Errata chạy trình quét cùng cổng vào tháng 5 thì có 318.239 máy chủ bị dính. Điều đó có nghĩa, trong 30 ngày qua, chỉ có 9.000 máy chủ được vá. Chuyên gia Rob Graham của Errata chia sẻ: "Trong tình huống này, có vẻ chúng ta đã dừng lại mọi cố gắng vá lỗ hổng".

a

Sau gần hai tháng qua, lượng máy chủ web dính lỗi Heartbleed liên quan đến OpenSSL vẫn còn rất nhiều. Ảnh: Zdnet.

Heartbleed là tên được đặt cho sự cố nghiêm trọng về OpenSSL. Khi bị Heartbleed, kẻ tấn công có thể xâm nhập và lấy đi những thông tin quan trọng từ một máy chủ bị lỗi, gồm mã khóa để mở khóa nhằm truy cập các tài khoản người dùng, mật mã và nhiều dữ liệu khác. Lỗi này kéo dài trong suốt hai năm qua và chỉ được thông tin rộng rãi vào tháng 4 vừa rồi.

Graham cho hay, anh hy vọng những máy chủ bị lỗi sẽ giảm trong một thập niên tới như việc hệ thống cũ được thay đổi. Tuy nhiên, Graham lại mong tìm thấy được hàng nghìn hệ thống bị lỗi trong thập niên này từ bây giờ.

Quá trình quét của Graham không chính xác hoàn toàn và có thể nhiều hơn những máy chủ bị lỗi mà anh nhìn thấy. Đây cũng là điều khó để xác định máy chủ nào đang bị hổng. Trong 10 ngày Heartbleed đưa ra công luận, Top 1.000 trang web đã vá đúng cách.

Lực đẩy to lớn dành cho tháng sau là các chủ trang web cần cập nhật phần mềm và tái phát hành chứng chỉ an ninh. Tuy nhiên, có những hệ thống không bao giờ được vá. Đó không phải máy chủ web mà là vô số thiết bị nhúng - gồm một vài smartphone Android - đang bị hổng liên quan đến Heartbleed và hầu hết không bao giờ thấy bản vá.

Bạn đang lo lắng? Trong 6 đến 12 tháng tới, bạn cần cài đặt plug-in nhận diện Heartbleed trong trình duyệt web đang dùng trong trường hợp cần truy nhập vào địa chỉ máy chủ quan trọng (như dữ liệu ngân hàng). Cùng đó, người dùng cần kiểm soát được tài khoản và mật mã của mình. Bạn có thể dùng trình xác nhận mật mã kép để bảo đảm an toàn khi chỉ sử dụng một mật mã duy nhất.

Chuyên gia bảo mật Nguyễn Minh Đức, Ban Công nghệ FPT,  từng chia sẻ với Chungta.vn, người dùng truy nhập vào trang Possible.lv/tool/hb, gõ website cần kiểm tra lỗ hổng HeartBleed. Kết quả trả màu đỏ là website không an toàn, ngược lại là màu xanh thì người dùng có thể yên tâm giao dịch.

Dy Khoa

Ý kiến

()
Quan tâm nhất Mới nhất
 

×
Tags:

Tin cùng chuyên mục