Dear các anh/chị
Hôm
qua xem chương trình thời sự trên TV lúc 19h tôi thấy có thông báo lỗ hổng bảo
mật Heartbleed (nói nguyên gốc tiếng Anh), nên cũng tò mò Google để xem
đó là gì. Xin báo cáo với anh/chị kết quả "tìm hiểu":
1.
Trang cảnh báo về lỗ hổng bảo mật này là http://heartbleed.com/
2.
Lỗ hổng này liên quan đến module trong thư viện OpenSSL, đến các web servers
Apache và Nginx (chiếm đến 66% trên Interrnet) và đến giao thức web https://
(chữ "s" thêm đằng sau http là viết tắt của "Secure" -
nghĩa là bảo mật). Người ta cảnh báo đến các ngân hàng vì các giao dịch trực
tuyến liên quan đến ngân hàng đều sử dụng giao thức này.
3.
Nhiều người chỉ trích việc thông báo này vì lúc đưa ra thông báo hôm thứ Hai,
7/4/2014, là lúc chưa có miếng vá (hiện nay thì có rồi).
4.
Tôi xin diễn nôm một chút cho người nào không thật sự thạo SSL/TLS hiểu
qua:
4.1.
Trong http, việc gửi thông tin giữa Server và Client là "có sao gửi
vậy", không mã hóa gì cả.
4.2.
Trong https, việc gửi thông tin này được mã hóa trước khi gửi đi và giải mã sau
khi nhận được. Người gửi phải báo cho người nhận biết chìa khóa để giải mã.
4.3.
Lỗi Heartbleed là "nguy cơ có thể bị lộ khóa giải mã".
4.4.
Khi hacker biết khóa giải mã thì hacker có thể giả danh người dùng để thao tác
vì trong thông tin gửi trên đường truyền có cả username và mật khẩu.
4.5.
Điểm nguy hiểm nằm ở chỗ là mặc dù có sự can thiệp, giả danh nhưng hệ thống
tưởng "vẫn ngon lành" và các báo cáo vẫn xanh rờn, OK, OK, "Good
night!" :-)
5.
Xin chia sẻ với các FOSSers, đây là lỗi liên quan đến các web servers nguồn mở
và các hệ điều hành nguồn mở :(
6.
Cuối cùng, nhiều nhà bình luận nhận định, "cuộc đời vẫn đẹp sao",
nghĩa là chỉ có nhóm nghiên cứu của Google và của công ty Codenomicon phát hiện ra lỗi này đầu tiên,
còn các hackers vẫn chưa biết!? :-)
Các
anh/chị nào không quantâm vuilòng bỏqua - xin cảmơn.
Trântrọng
levanloi
Không có nhận xét nào:
Đăng nhận xét