Bảo vệ tài khoản ngân hàng khỏi lỗ hổng bảo mật "Trái tim rỉ máu"

Thứ Sáu, ngày 11/04/2014, 10:55
Sự kiện: Phần mềm diệt virus Kaspersky

“Trái tim rỉ máu” - Heartbleed là một lỗ hổng mã hóa nghiêm trọng trong OpenSSL, thư viện mã hóa được triển khai rộng nhất trên Internet, có thể gây tổn hại sự bảo mật của hàng ngàn trang web.

Kaspersky Lab đã phát hiện bằng chứng vào hôm thứ Hai rằng, một vài nhóm tin tặc được cho là có liên quan đến hoạt động gián điệp mạng do nhà nước tài trợ đã chạy các đợt quét (scan) ngay sau khi tin tức về lỗi đầu tiên nổi lên vào thứ Hai tuần này. Đồng thời, Kaspersky Lab cũng đưa ra kế hoạch hành động cho người dùng nhằm tránh sự ảnh hưởng của cuộc tấn công.

Bảo vệ tài khoản ngân hàng khỏi lỗ hổng bảo mật "Trái tim rỉ máu" - 1

Heartbleed được cho là có khả năng ảnh hưởng tới 2/3 lượng người dùng Internet.

Khi người dùng thiết lập một kết nối được mã hóa đến một trang web, dù đó là Google, Facebook hay ngân hàng trực tuyến, dữ liệu sẽ được mã hóa bằng giao thức SSL/TLS. Nhiều máy chủ web phổ biến sử dụng thư viện OpenSSL có mã nguồn mở để thực hiện công việc này. Vào đầu tuần, những nhà bảo trì OpenSSL đưa ra bản vá cho một lỗi nghiêm trọng trong việc thực thi tính năng TLS gọi là Heartbleed, có khả năng tiết lộ lên đến 64KB bộ nhớ của máy chủ cho kẻ tấn công.

Nói cách khác, lỗ hổng này cho phép bất cứ ai trên Internet đọc bộ nhớ của thiết bị được bảo vệ bởi một phiên bản có lỗ hổng của thư viện OpenSSL. Trong trường hợp xấu nhất, một phần nhỏ của bộ nhớ chứa đựng những thông tin nhạy cảm như tên người dùng, mật khẩu hoặc thậm chí là khóa riêng tư (private key) mà máy chủ dùng để duy trì kết nối được mã hóa. Ngoài ra, lỗ hổng Heartbleed không để lại dấu vết nên không có cách nào xác định máy chủ đã bị tấn công và loại dữ liệu đã bị đánh cắp.

Tuy OpenSSL đã được sửa lỗi nhưng không có cách nào để đảm bảo rằng các trang web và những dịch vụ bị ảnh hưởng bởi Heartbleed đang thực thi các bản vá nhằm giảm nhẹ điều này. Hơn nữa, lỗi này khá dễ dàng để khai thác và có thể đã tồn tại trong hai năm qua. Như vậy có nghĩa rằng những chứng nhận bảo mật của nhiều trang phổ biến cũng như dữ liệu nhạy cảm của người dùng bao gồm cả mật khẩu có thể đã bị đánh cắp.

Kurt Baumgartner, một nhà nghiên cứu tại Kaspersky Lab, cho biết: “Kaspersky Lab đã phát hiện bằng chứng hôm thứ Hai rằng một vài nhóm tin tặc được cho là có liên quan đến hoạt động gián điệp mạng do nhà nước tài trợ đã chạy các đợt quét (scan) ngay sau khi tin tức về sự cố này nổi lên vào thứ Hai. Vào thứ Ba, Kaspersky đã xác định được các đợt quét như vậy đến từ hàng chục actor, và số lượng tăng lên vào hôm thứ Tư sau khi Rapid7 phát hành một công cụ miễn phí để thực hiện quét. Điều này thật sự mờ ám và bây giờ dường như mọi người đều có thể làm được việc này.”

Các chuyên gia Kaspersky Lab đưa ra một số lời khuyên cho người dùng nhằm tránh sự ảnh hưởng của Heartbleed như sau:

Kiểm tra các trang web ưa thích có bị lỗ hổng hay không. Người dùng có thể tìm thấy các công cụ trực tuyến kiểm tra sự hiện diện của các lỗ hổng tại đây nhưng người dùng cần phải biết nếu lỗ hổng đã xuất hiện trước đó.

Còn tại đây là danh sách các trang web phổ biến đã được kiểm chứng là có khả năng chống lại các lỗ hổng. Facebook, Google không bị ảnh hưởng nhưng Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px và nhiều trang khác có lỗ hổng. Người dùng nên sẵn sàng hành động nếu đã có tài khoản trên các trang này.

Bảo vệ tài khoản ngân hàng khỏi lỗ hổng bảo mật "Trái tim rỉ máu" - 2

Kiểm tra xem trang web có lỗ hổng hay không ngay bây giờ. Người dùng có thể sử dụng công cụ đơn giản tại đây.

Khi chủ sở hữu các trang web sửa chữa các lỗi, họ cần phải xem xét việc tái cấp chứng nhận cho trang. Vì vậy, người dùng cần sẵn sàng theo dõi các chứng chỉ máy chủ và chắc chắn rằng bạn đang sử dụng một chứng chỉ mới, được cấp từ ngày 08/04 trở đi. Để thực hiện điều này, người dùng cần cho phép thu hồi chứng chỉ cũ kiểm tra trên trình duyệt của mình.

Dưới đây là mẫu cài đặt trên Google Chrome:

Bảo vệ tài khoản ngân hàng khỏi lỗ hổng bảo mật "Trái tim rỉ máu" - 3

Điều này sẽ ngăn chặn trình duyệt của người dùng sử dụng giấy chứng nhận cũ. Để kiểm tra ngày phát hành chứng chỉ bằng tay, nhấp chuột vào khóa màu xanh lá cây trong thanh địa chỉ và nhấn vào "Thông tin" liên kết trên thẻ "Kết nối".

Bảo vệ tài khoản ngân hàng khỏi lỗ hổng bảo mật "Trái tim rỉ máu" - 4

Bước quan trọng nhất - khi máy chủ được vá và giấy chứng nhận được cập nhật, là người dùng phải thay đổi mật khẩu ngay lập tức. Người dùng nên xem xét lại chính sách mật khẩu của mình và có thể kiểm tra mật khẩu mới đủ tốt để sử dụng chưa bằng công cụ trực tuyến Password Checker.

Và trên hết, người dùng nên hạn chế thực hiện các giao dịch trực tuyến, ít nhất là ở thời điểm hiện tại cho đến khi có thông tin chính thức về sự an toàn từ các tổ chức bảo mật uy tín trên thế giới.

Video cảnh báo mức độ nguy hiểm của Heartbleed (Nguồn: VTV):

Theo Ngọc Phạm (Theo Kaspersky Lab) (Khampha.vn)
Video cùng chuyên mục
iPhone Kinh nghiệm chọn mua sạc nhanh cho iPhone 2018 Một trong những thay đổi lớn nhất của iPhone 2018 đó là sạc không dây. Tuy nhiên, mặc dù có hệ sinh thái phụ kiện...
19/11/2017 10:21
Internet Trình duyệt UC Browser đình đám bị xóa sổ khỏi Google Play Khả năng cao nhất là do trình duyệt UC Browser bị nghi ngờ đánh cắp dữ liệu của người dùng.
19/11/2017 08:00
Tiền ảo Bitcoin Chỉ sau 4 ngày, Bitcoin lội ngược dòng lập kỷ lục mới Giá Bitcoin theo Bloomberg, đã tăng lên mức kỉ lục 8.000 USD, tương đương hơn 180 triệu đồng.
19/11/2017 07:03
Internet và những hiểm họa khôn lường 9 mối đe dọa an ninh mạng sẽ làm chao đảo internet trong năm 2018 Việc hacker cài đặt mã độc trên máy tính của nạn nhân để "đào" tiền ảo sẽ nở rộ trong năm 2018.
18/11/2017 17:00
Khám phá vũ trụ Tin thất thiệt:  " Hành tinh X "  sẽ gây tận thế vào Chủ Nhật ngày 19/11 Thông tin thất thiệt này đang lan truyền trên mạng xã hội bởi những nguồn tin không chính thống.
18/11/2017 12:00
Mạng xã hội Facebook Facebook vừa  " thẳng tay "  khóa một fanpage có 34 triệu fan Sau nhiều giờ bị khóa thì fanpage này đã được Facebook mở lại mà chưa rõ lý do.
18/11/2017 10:20
iPhone 5  " bí kíp "  cần phải nằm vững trước khi bỏ tiền sắm iPhone cũ Việc mua lại smartphone cũ, đặc biệt là iPhone vẫn là một lựa chọn phổ biến đối với một bộ phận đông đảo người dùng...
19/11/2017 12:00
iPhone Nữ sinh Việt 14 tuổi thiệt mạng khi đang pin sạc iPhone 6 Cảnh sát đã tìm thấy chiếc cáp trắng bị cháy trên giường và tin rằng một vết rách trong vỏ bọc cao su có thể gây hở...
19/11/2017 10:00
iPhone 8 iPhone 8 đang giảm mạnh trong ngày thứ 6 đen tối Sau khi ra mắt vào đầu tháng 9, giá bán của iPhone 8 đã giảm tại nhiều thị trường.
19/11/2017 08:00
Điện thoại OnePlus Top 6 tính năng nổi bật trên OnePlus 5T Đúng như mong đợi, OnePlus 5T là bản nâng cấp ngoạn mục từ OnePlus 5 với thiết kế mới, giá bán phải chăng.
19/11/2017 06:00
iPhone SE Không phải iPhone X, đây mới là chiếc iPhone đáng tiền nhất của Apple Với khoảng 7 triệu đồng, bạn đã có thể sở hữu một chiếc iPhone có cấu hình mạnh, chụp ảnh đẹp và vẫn được Apple hỗ...
18/11/2017 19:00
Samsung Samsung Galaxy A5 (2018) và A7 (2018) đạt chứng nhận Wi-Fi Hai thành viên Galaxy A-series (2018) vừa chính thức đạt chứng nhận Wi-Fi để sẵn sàng trình làng thị trường trong...
18/11/2017 15:00
   
  • Các chuyên mục khác