Chuyên gia Nguyễn Minh Đức chỉ cách kiểm tra lỗ hổng HeartBleed

Các nhà nghiên cứu tại hãng bảo mật Codenomicon và Google Security đã tìm ra lỗi được gọi là HeartBleed (trái tim rỉ máu). HeartBleed được đánh giá là một trong các lỗ hổng bảo mật nghiêm trọng nhất từng được phát hiện.

Anh Đức cho biết, lỗ hổng nguy hiểm của OpenSSL cho phép hacker có thể từ xa đọc được bộ nhớ trên máy chủ có cài đặt OpenSSL phiên bản 1.0.1 đến 1.0.1f.

OpenSSL là một thư viện mã hóa, được sử dụng để… mã hóa, dữ liệu trao đổi giữa máy chủ và client. Có rất nhiều máy chủ nào sử dụng OpenSSL như các máy chủ e-mail, VPN, Instant Message…

Chuyên gia bảo mật Nguyễn Minh Đức chỉ cách kiểm tra lỗ hổng HeartBleed. Ảnh: S.T.

“Có 500.000 máy chủ trên thế giới bị ảnh hưởng. Bên cạnh đó mã khai thác được công bố rộng rãi trên mạng, một người hiểu biết về CNTT sẽ tải mã đó về và thực thiện các cuộc tấn công”, anh Đức chia sẻ về tính chất nguy hiểm của lỗ hổng này trên Bản tin Tài chính kinh doanh, ngày 10/4.

Khai thác lỗ hổng, hacker có thể lấy được private key của server, sử dụng để mã hóa các dữ liệu trao đổi giữa server và client. Từ đó hacker có thể đọc được toàn bộ thông tin được trao đổi giữa client và server. Đích nhắm của hacker sẽ là các site có thanh toán trực tuyến như: ngân hàng điện tử, chứng khoán điện tử, cổng thanh toán điện tử, các trang về thương mại điện tử. Ngoài ra, các mail server và một số dịch vụ khác có sử dụng OpenSSL để mã hóa cũng sẽ là mục tiêu tấn công.

Anh Đức cho biết, các ngân hàng cần phải thông báo ngay với người dùng bởi không sẽ dẫn đến tình trạng khách hàng ngừng giao dịch vì thiếu thông tin. Bên cạnh đó, người dùng có thể tìm những công cụ trên Internet để kiểm tra lỗ hổng HeartBleed. Chuyên gia bảo mật FPT cho biết người dùng có thể truy nhập trang Possible.lv/tool/hb, gõ website cần kiểm tra lỗ hổng HeartBleed. Kết quả trả màu đỏ chứng tỏ webisite này không an toàn, ngược lại là màu xanh thì người dùng có thể giao dịch được.

Triệu Mẫn