Gần 70% lưu lượng truy cập trên Internet sử dụng OpenSSL để đảm bảo việc truyền dữ liệu. Điều đó chuyển thành hầu như tất cả các máy chủ chính (đọc: trang web) sử dụng OpenSSL để bảo mật dữ liệu của bạn như thông tin xác thực đăng nhập. Tuy nhiên, một người nào đó từ Google đã tìm thấy một lỗi trong OpenSSL - một lỗi lập trình nhỏ nhưng đủ lớn để cung cấp dữ liệu của bạn cho tin tặc - những người sẵn sàng sử dụng dữ liệu của bạn cho mục đích của họ. Lỗi OpenSSL này được đặt tên Heartbleed vì nó liên quan chặt chẽ đến một số lớp HeartBeat của OpenSLL.
Lỗi Heartbleed là gì
Lỗi Heartbleed là một trường hợp lo lắng cho hầu hết các trang web thương mại dựa trên Internet và một số loại khác. Lỗi lập trình này cho phép tin tặc kiểm tra vào bất kỳ máy chủ nào sử dụng OpenSSL và đọc / lưu / sử dụng dữ liệu chưa được mã hóa (dữ liệu đã giải mã). Tin tặc bây giờ không chỉ có quyền truy cập vào dữ liệu của bạn, họ có thể sao chép chứng chỉ trang web làm cho Internet, thậm chí nhiều nơi nguy hiểm hơn. Với bản sao của chứng chỉ trang web, tin tặc có thể tạo các trang web bắt chước: các trang web trông giống với các trang web gốc. Với điều đó, họ có thể tiếp tục truy cập dữ liệu của bạn như chi tiết thẻ tín dụng, thông tin cá nhân, v.v …
Âm thanh đáng sợ phải không? Đó là - thực sự - vì nó có thể truy cập thông tin của bạn và thông tin đó có thể được sử dụng cho bất kỳ kết thúc nào.
chú thích: Heartbleed cũng có một tên mã CVE-2014-0160. CVE là viết tắt của Common Vulnerabilities and Exposures. Các mã này liên quan đến lỗ hổng bảo mật, vv được đưa ra bởi MITER, một cơ quan độc lập lưu giữ các lỗi và các vấn đề tương tự.
Tôi có nên nâng cấp Anti-Virus của mình hay gì đó không
Lỗi Heartbleed trong OpenSSL không có liên quan gì đến tường lửa hoặc tường lửa của bạn. Đây không phải là một vấn đề phía khách hàng, do đó bạn có thể làm rất ít về nó. Ở phía bên kia, các máy chủ phải áp dụng một bản vá cho hệ thống OpenSSL mà họ đang sử dụng. Điều đó được thực hiện, trang web có thể được cho là an toàn hơn để tương tác.
Những gì bạn có thể làm khi người dùng là giảm số lượt truy cập vào trang web thương mại và các trang tương tự. Nó không phải là lỗi chỉ ảnh hưởng đến các trang web thương mại. Nó tương đương với tất cả các loại trang web sử dụng OpenSSL. Tôi nói tránh các trang web thương mại trong một thời gian vì chúng sẽ là mục tiêu chính cho tin tặc, những người muốn chi tiết thẻ của bạn vv. Điều đó có nghĩa là mục tiêu chính của tin tặc sẽ là các trang thương mại điện tử sử dụng OpenSSL.
Khi bạn nhận được thông báo / báo cáo rằng lỗi đã được khắc phục, bạn có thể tiếp tục như bạn đã từng làm trước khi lỗi được phát hiện. OpenSSL đã tạo bản vá và đã phát hành bản vá cho chủ sở hữu trang web để bảo mật dữ liệu của người dùng. Cho đến lúc đó, hãy cố gắng tránh các trang web mà bạn phải cung cấp dữ liệu của mình dưới mọi hình thức - ngay cả thông tin xác thực đăng nhập. Tôi chắc chắn hầu như tất cả các quản trị viên web đều phải tham gia bản vá nhưng vẫn còn một vấn đề. Một khi bạn chắc chắn rằng không có lỗ hổng hoặc lỗ hổng như vậy đã được vá, nó có thể là một ide tốt để thay đổi mật khẩu của bạn.
Trong khi đó, hãy sử dụng các tiện ích mở rộng trình duyệt này để cảnh báo bạn về các trang web bị ảnh hưởng bởi Heartbleed.
Chứng chỉ trang web được sao chép qua Heartbleed cần được giải quyết
Có nhiều khả năng các chứng chỉ bảo mật trang web có thể đã được sao chép để tạo các trang web độc hại. Vì chứng chỉ bảo mật là bản sao chung, trình duyệt của bạn có thể không cho biết sự khác biệt. Chính bạn là người phải thận trọng. Tránh nhấp vào các liên kết và thay vào đó, hãy nhập URL của trang web vào thanh địa chỉ để bạn không được chuyển hướng đến một số trang web giả mạo.
Vấn đề này có thể được giải quyết theo hai cách:
- Các trình duyệt có sẵn trên thị trường phải được thực hiện đủ thông minh để xác định các chứng chỉ được sao chép và thông báo cho bạn.
- Quản trị viên web thay đổi chứng chỉ sau khi áp dụng bản vá.
Nói cách khác, nó sẽ mất một thời gian để thực hiện ở trên mặc dù các quản trị viên web áp dụng các bản vá. Tôi muốn nhắc lại rằng không nhấp vào các liên kết trong email hoặc các trang web không có uy tín. Chỉ cần nhập URL vào thanh địa chỉ hoặc nếu có trang web gốc được đánh dấu trang, hãy sử dụng dấu trang.
Phần Tài liệu tham khảo ở cuối bài viết này chứa danh sách không đầy đủ các trang web bị ảnh hưởng. Chưa hoàn tất vì có thể có nhiều trang web bị ảnh hưởng hơn những trang web được liệt kê ở đó.
Tham khảo:
- Tim chảy máu: Trang web
- OpenSSL: Tư vấn bảo mật cho tim chảy máu
- Git Hub: Danh sách các trang web bị ảnh hưởng.
