Sự nguy hiểm tiềm ẩn: HeartBleed vẫn lợi dụng được nhiều công cụ phát hiện lỗi

#LỗHổngHeartbleed #CôngCụPhátHiệnLỗi #AnNinhMạng #NguyCơMấtMậtKhẩu #HạnChếNguyCơBảoMật #Hut3 #SSL #TLS #BiệnPhápBảoMật #Internet #PhátHiệnLỗiBảoMật

Chuyển tới nội dung chính trong bài[xem]

Lỗ hổng nghiêm trọng số một hiện nay vẫn tiếp tục từ chối mọi nỗ lực của hàng triệu lập trình viên trên thế giới trong việc phát hiện và ngăn chặn nó.

Tools designed to tackle high-profile Heartbleed bug have their own problematic bugs.

Đã một tuần kể từ khi lỗ hổng bảo mật nghiêm trọng với tên gọi quốc tế là Heartbleed được phát hiện, thế nhưng đến nay vẫn chưa có giải pháp nào thực sự phát hiện và ngăn chặn được nó. Điều đáng thất vọng hơn đó là một loạt các ứng dụng, công cụ miễn phí trực tuyến trên Internet hiện nay được lập trình với mục đích chống lại nó đều bị chính lỗi bảo mật khét tiếng này qua mặt.

Nhắc lại về lỗ hổng bảo mậtHeartbleed, nó dựa trên cơ sở làm suy yếu các phần mềm bảo mật trên OpenSSL, từ đócho phép hacker dễ dàng đánh cắp dữ liệu được bảo vệ bởi biện pháp mã hóa SSL/TLS.Heartbleedđã gây ra một cơn hoảng loạn thực sự trên toàn cầu trước những hậu quả mà nó mang lại, rất nhiều người đã để lộ thông tin, dữ liệu cá nhân quan trọng mà không hề hay biết.

Vài ngày gần đây, một loạt các công cụ đáng tin cậy nhanh chóng xuất hiện trên Internet hứa hẹn sẽ giúp người dùng xác định xem các dịch vụ website mà họ sử dụng, bao gồm cả Windows và Android có nằm trong tầm ảnh hưởng củaHeartbleedhay không. Tuy nhiên Cục tư vấn an ninh mạng có trụ sở tại London mới đây sau nghiên cứu đã đưa ra kết luận gây “sốc”: Hơn 95% các công cụ phát hiện lỗi bảo mậtHeartbleed cho kết quả không chính xác như mong đợi.

“Rất nhiều công ty tin rằng họ đã an toàn sau khi sử dụng các công cụ miễn phí trên Internet, và giờ đây khi biết rằng những gì họ tin tưởng thật ra vô tác dụng, nhiều tập đoàn lớn đã thực sự hoảng loạn”, ông Edd Hardy đại diện choHut3 – một websitechuyên phân tích an ninh mạng chia sẻ.

Được biết hầu hết các công cụ kiểm tra của Hut3 dựa vào mã nguồn được thiết kế để chuyên tìm ra các lỗi an ninh mạng cứng đầu do được tích hợp những công nghệ mới nhất hiện nay đến từ McAfee, và công ty quản lý cung cấp mật khẩu LastPass.

Theo chuyên viên nghiên cứu dự án này là ông Adrian Hayer, có tới 3 vấn đề đối với những công cụ kiểm tra lỗi bảo mậtHeartbleed, và quan trọng nhất trong số đó chính là khả năng tương thích với các phiên bản SSL ( Secure Sockets Layer ) khác nhau của người dùng.

Hãy hình dung là các công cụ nói trên được thiết kế để làm việc với một cấu hình mặc định, hay cấu hình nguyên bản. Thế nhưng trên thực tế mỗi người dùng lại có khả năng sở hữu và cấu hình những phiên bản SSL riêng biệt. Điều này dẫn tới một sự không chính xác nhất định khi đưa công cụ áp dụng vào thực tiễn.

Xung quanh vấn đề hoảng loạn trước lỗ hổng bảo mật này, người dùng được khuyến cáo đổi mật khẩu trên toàn bộ website đã truy cập trong khoảng 1 tuần qua trước khi có bất kỳ thông tin nào chắc chắn việc phát hiện và khống chế kẻ ngoài vòng pháp luật mang tênHeartbleed. Cho đến nay có thể nói rằng biện pháp ấy vẫn là cách duy nhất giúp người dùng hạn chế được nguy cơ mà lỗ hổng bảo mật này mang lại.

Tuy những nghiên cứu mới nhất của tổ chức Hut3 không làm giảm bớt đi chút đau thương nào từ phía người dùng, nhưng họ cũng hứa hẹn sẽ sớm hoàn thiện công cụ chuyên nghiệp của mình để có thể sớm thực sự phát hiện, cũng như ngăn cản được cái có khả năng sẽ trở một trong những đại dịch lớn nhất của Internet từ trước đến nay.

Nguyễn Nguyễn

Theo TheGuardian


Leave a Reply

Your email address will not be published. Required fields are marked *