Thứ Ba, 22 tháng 4, 2014

[KH-CN-Tuổi trẻ - Nhịp sống số] - Làm gì để giao dịch trên mạng an toàn trước Heartbleed

TTO - Lỗi bảo mật Heartbleed trong OpenSSL đang đe dọa hàng triệu website trên toàn cầu. Sau đây là những thông tin cần biết khi bạn muốn giao dịch trực tuyến, hay lướt web an toàn trước "Heartbleed".


Tránh giao dịch trực tuyến, đăng nhập tài khoản ngân hàng trực tuyến - Ảnh: Hardware.no

Khai thác lỗi Heartbleed, kẻ tấn công có thể "nghe trộm" thông tin liên lạc giữa trình duyệt Web và máy chủ Web, đánh cắp trực tiếp dữ liệu từ các dịch vụ và người dùng, đồng thời có thể mạo danh các dịch vụ và người dùng.

Lỗi bảo mật Heartbleed (hay "Trái tim rỉ máu") trong OpenSSL tiếp tay tin tặc lần mò vào bộ nhớ máy chủ, nơi lưu trữ những dữ liệu nhạy cảm của người dùng như thông tin cá nhân, tên tài khoản, mật khẩu và có thể bao gồm cả thẻ tín dụng, tài khoản ngân hàng.

Theo Reuters, người phát ngôn Yahoo! xác nhận Yahoo! Mail mắc phải lỗi và có nguy cơ bị tấn công, nhưng công ty đã kịp thời vá lỗi dịch vụ email, đồng thời cho Yahoo! Search, Flickr, Tumblr, Yahoo! Sport...

Theo trang ArsTechnica, công cụ khai thác lỗi Heartbleed tấn công vào các dịch vụ Yahoo! nhằm đánh cắp tài khoản đã xuất hiện trên mạng. Một chuyên viên nghiên cứu bảo mật Mark Loman đã thử nghiệm "rút" dữ liệu thành công từ máy chủ Yahoo! Mail bằng công cụ này.

Ngày 8-4, Bộ An ninh nội địa Mỹ khuyến cáo các doanh nghiệp kiểm tra lại các máy chủ (server) của mình, đặc biệt là máy chủ dùng phần mềm Apache hay Nginx, có đang dùng phiên bản OpenSSL mắc phải lỗi Heartbleed, và nâng cấp lên phiên bản OpenSSL mới nhất để khắc phục. Thông tin trước đó cho thấy phiên bản OpenSSL từ 1.0.1 đến 1.0.1f đều mắc lỗi, cần nâng cấp lên OpenSSL 1.0.1g. Riêng bản 1.0.2 beta cũng dính lỗi phải đợi bản nâng cấp 1.0.2 beta 2 sắp tới.

Đã có hơn 500.000 máy chủ bị ảnh hưởng bởi lỗi (theo Netcraft).

Đáng lưu ý, OpenSSL cũng được sử dụng trong các máy chủ email dùng giao thức SMTP, POP và IMAP, hay các server nhắn tin (chat) dùng giao thức SMPP, và hầu hết các mạng riêng ảo (VPN) đều dùng SSL để bảo vệ mạng.

Người dùng mạng cần biết

Các chuyên gia an ninh mạng khuyến cáo người dùng mạng không nên thực hiện bất kỳ giao dịch trực tuyến nào trong giai đoạn hiện tại, đặc biệt là giao dịch tài chính, ngân hàng trực tuyến... vì tin tặc có thể dễ dàng lấy cắp tài khoản, dữ liệu, mật khẩu thông qua lỗi Heartbleed.

Cần lưu ý, thay đổi mật khẩu mới cho tài khoản email hay tài khoản ngân hàng là điều nên tránh lúc này. Vì nó vô dụng, hacker vẫn có thể đánh cắp được mật khẩu mới dễ dàng nếu nhà cung cấp dịch vụ chưa cập nhật kịp thời OpenSSL mới nhất. Chỉ nên thay đổi mật khẩu email và tài khoản ngân hàng sau khi công ty cung cấp dịch vụ đã cập nhật. Ngoài ra, nên áp dụng chế độ bảo mật hai lớp.

Một số khuyến cáo sau bạn nên thực hiện:

PHONG VÂN


0 nhận xét:

Đăng nhận xét