Tình báo Mỹ đã lợi dụng “Trái tim rỉ máu” trong nhiều năm qua
Lỗ hổng bảo mật “Trái tim rỉ máu” (Heartbleed) đang gây khuynh đảo các hệ thống dịch vụ Internet khiến cho các nhà quản lý mạng phải đau đầu đối phó. Sự việc càng trở nên “sốc” hơn khi trang tin Bloomberg tiết lộ rằng Cơ quan An ninh quốc gia Mỹ (NSA) đã biết về lỗ hổng này từ 2 năm trước và lợi dụng nó để thu thập thông tin về người sử dụng Internet.
- 40% website Việt Nam “ôm” lỗ hổng nghiêm trọng?
- Lỗ hổng cực kỳ nghiêm trọng trong HĐH OS X của Apple
- Lỗ hổng nghiêm trọng trên phần mềm Samsung Knox
- Samsung vá lỗ hổng bảo mật trên Galaxy S4
- Bán lỗ hổng phần mềm – ngành kinh doanh béo bở của hacker
- Tìm lỗ hổng trên Windows 8.1 Preview, IE 11 và nhận thưởng
- Lỗ hổng Viber: "Tử huyệt" của điện thoại Android
- Tìm hiểu về một số công nghệ Pin
Tin tặc đã lợi dụng "Trái tim rỉ máu", vốn là một lỗ hổng nằm trong phần mềm mã nguồn mở Open SSL để đánh cắp mật khẩu người dùng và lừa họ truy cập vào các trang web giả mạo, nhất là các trang web tài chính và ngân hàng, để đánh cắp thông tin nhạy tài khoản có giá trị. Lỗ hổng này ảnh hưởng tới 66% trang web sử dụng phần mềm có chứa lỗ hổng, trong đó có cả các dịch vụ lớn như Facebook, Yahoo, và Gmail.
Tuy mới chỉ được phát hiện các đây ít ngày nhưng "Trái tim rỉ máu" đã gây chấn động lớn về mức độ ảnh hưởng cũng như những hậu quả to lớn mà nó có thể gây ra. Theo Bloomberg, NSA đã coi đây là công cụ cực kỳ hữu ích phục vụ cho nỗ lực thu thập dữ liệu trên khắp thế giới. Tuy nhiên, thông tin này đã bị NSA phủ nhận.
Có điều người ta vẫn nghi ngờ khẳng định này của NSA bởi chính họ đã tìm thấy lỗ hổng trên một cách nhanh chóng ngay sau khi nó được công bố. Không một ai trong cộng đồng mã nguồn mở có thể “đủ sức tưởng tượng” để tìm ra lỗ hổng này một cách nhanh chóng bởi chúng quá nhỏ và không thực sự rõ ràng để nhận biết.
Hiện tại, việc khắc phục lỗ hổng Heartbleed đang được thực hiện. Tuy nhiên, trong khoảng thời gian này không ai có thể đảm bảo nó không bị lợi dụng cho những mục đích xấu. Thêm vào đó, Bloomberg xác nhận rằng NSA còn có một cơ sở dữ liệu gồm hàng ngàn lỗ hổng như vậy và phần lớn trong số chúng vẫn chưa được ai phát hiện và nghiên cứu.
Trong một động thái liên quan, các ngân hàng Việt Nam lần lượt lên tiếng khẳng định "hệ thống vẫn an toàn" trước lỗ hổng Heartbleed. Theo báo Tuổi trẻ, Ngân hàng ACB cho biết đã cập nhật lên phiên bản OpenSSL 1.0.1g tránh lỗi trên. Trong khi đó, Ngân hàng Việt Nam Thương tín (VietBank) cũng khẳng định các giao dịch Ngân hàng điện tử vẫn an toàn, không có dấu hiệu bị tấn công.
Theo Ngân hàng Nhà nước Việt Nam, giải pháp bảo mật trong giao dịch của ngành ngân hàng là một nhóm các giải pháp tích hợp như ngoài việc sử dụng giao thức mã hóa SSL, ngân hàng còn sử dụng hạ tầng khóa công khai (PKI), thiết bị sinh khóa theo từng lần giao dịch (OTP)... Do đó, kể cả hacker có thể lợi dụng được lỗ hổng bảo mật OpenSSL Heartbleed nhưng cũng không thể chọc thủng được hệ thống an ninh của hệ thống thông tin ngân hàng.
Trong thông báo phát đi ngày 12/4, Công ty an ninh mạng BKAV cho biết đã tiến hành kiểm tra website ebanking của toàn bộ 62 ngân hàng và hơn 30 cổng thanh toán trực tuyến phổ biến tại Việt Nam. Kết quả cho thấy hiện các website này đều đã an toàn trước lỗ hổng nguy hiểm của OpenSSL. Do vậy, người sử dụng có thể an tâm khi thực hiện các giao dịch thanh toán trực tuyến tại Việt Nam. Tuy vậy, Bkav vẫn khuyến cáo người dùng cần cẩn trọng trước các giao dịch quan trọng trong những ngày tới khi các hệ thống giao dịch trực tuyến còn chưa được vá lỗi đầy đủ.
Gia Nguyễn (tổng hợp)