Các chuyên gia bảo mật đưa ra lời khuyên giúp người dùng tự bảo vệ mình được an toàn trước lổ hổng bảo mật Heartbleed đang gieo rắc nỗi kinh hoàng cho thế giới web.
Một lỗ hổng bảo mật mới được phát hiện hồi đầu tuần có tên Heartbleed đang gieo rắc nỗi kinh hoàng cho thế giới internet. Heartbleed là một lỗi trong chuẩn bảo mật OpenSSL được rất nhiều website sử dụng, và lổ hổng trong OpenSSL mới được phát hiện này có thể giúp hacker truy cập vào bộ nhớ của các máy chủ web, nơi lưu trữ các dữ liệu của người dùng, trong đó có các dữ liệu nhạy cảm như tên tài khoản, mật khẩu, số thẻ tín dụng. Đây là một lỗi bảo mật nghiêm trọng, thậm chí được đánh giá là lỗ hổng bảo mật lớn nhất trên web.
Theo các nhà nghiên cứu tại Netcraft, Heartbleed ảnh hưởng tới 500.000 máy chủ toàn thế giới. Bởi vậy, trước khi giới bảo mật tìm được cách khắc phục được triệt để, người dùng cần tự bảo vệ mình.
Không đăng nhập vào các website bị ảnh hưởng
Đây là việc mà bạn cần tránh đầu tiên. Bạn không nên đăng nhập vào các trang web bị ảnh hưởng cho đến khi chắc chắn rằng trang web đó đã khắc phục được lỗi Heartbleed (thông qua các thông báo của website đó tới bạn). Nếu cần, bạn nên liên lạc với đội ngũ dịch vụ khách hàng của họ để cập nhật thông tin.
Hình ảnh kiểm tra website facebook.com khắc phục lỗi Heartbleed
Hình ảnh kiểm tra website yahoo.com không an toàn - chưa khắc phục lỗi Heartbleed
Hiện nay, một số website có vẻ như đã bị ảnh hưởng bởi Heartbleed bao gồm Yahoo! và trang web về dịch vụ hẹn hò OKCupid, mặc dù các công ty này cho biết họ đã khắc phục được "toàn bộ", hoặc "1 phần". Bạn cũng có thể kiểm tra tính an toàn của trang web tại đây, xem danh sách các trang bị nghi là dính lỗi Heartbleed tại đây. Tuy nhiên, ngay cả khi công cụ này báo website đã "an toàn", bạn cũng nên thận trọng; còn trong trường hợp công cụ trên báo dấu đỏ, bạn nên tránh xe site đó.
Tại Việt Nam, phần lớn các site thanh toán trực tuyến đều bị lỗi Heartbleed, do các site này đều sử dụng công nghệ bảo mật OpenSSL. Duy chỉ có cổng thanh toán Soha không bị ảnh hưởng nhờ sử dụng chuẩn bảo mật PCI DSS - chuẩn bảo mật cao nhất được Master Card bảo chứng. Theo tìm hiểu, một số cổng thanh toán dính lỗi Heartbleed cũng đã kịp thời khắc phục để đảm bảo an toàn.
Với các lỗi bảo mật, thì người dùng thường nghĩ tới việc đổi mật khẩu, tuy nhiên trong trường hợp này, các chuyên gia bảo mật khuyên bạn nên chờ webite bị ảnh hưởng sửa xong lỗi Heartbleed trước, bởi việc đổi mật khẩu lúc ngay không mang lại hiệu quả thậm chí còn làm trầm trọng thêm vấn đề.
Đổi mật khẩu
Như vừa nói ở trên, khi các website bị lỗi xác nhận rằng họ đã khắc phục được lỗ hổng bảo mật, bạn nên ngay lập tức đổi mật khẩu cũng như các thông tin cá nhân nhạy cảm khác của mình. Ngay cả khi các dịch vụ bạn sử dụng có áp dụng bảo mật 2 lớp (xác nhận giao dịch thông qua tin nhắn điện thoại), thì việc đổi mật khẩu lúc này cũng là việc nên làm.
Khi mà lỗ hổng Heartbleed cho phép hacker truy cập được vào bộ nhớ của các máy chủ, thì nguy cơ các thông tin nhạy cảm của bạn, như số thẻ tín dụng...đã nằm trong tay chúng. Bởi vậy, bạn cần theo dõi các giao dịch tài chính của mình trong thời gian gần đây để xem có điều gì bất thường xảy ra hay không.
Phòng tránh các nguy cơ khác
Ngay cả khi bạn đã làm theo các lời khuyên trên, thì điều đó cũng không đồng nghĩa với việc bạn đã được đảm bảo an toàn. Bởi theo các chuyên gia bảo mật, Heartbleed thậm chí còn ảnh hưởng tới cả cookies - 1 công cụ theo dõi các hoạt động của người dùng khi họ lướt web. Điều này đồng nghĩa với việc khi bạn truy cập vào 1 webite bị ảnh hưởng bởi Heartbleed, thì ngay cả khi bạn không đăng nhập vào website đó, bạn cũng có nguy cơ bị ăn cắp thông tin. Theo Tor Project - một hệ thống mạng phục vụ việc truy cập ẩn danh và bảo mật cao - thì người dùng nếu có thể hãy tránh xa khỏi Internet hoàn toàn trong ít ngày tới cho đến khi mọi lỗ hổng được khắc phục triệt để.
Trong số các dịch vụ web hiện nay, thì Yahoo! dường như là cái tên có nguy cơ dính lỗi cao nhất (các kiểm tra sơ bộ cho thấy phiên bản web của Facebook, Google, và Twitter, dường như đều an toàn). Yahoo! cho biết họ đã "thực hiện các biện pháp khắc phục hợp lý" cho các dịch vụ chính của mình gồm trang chủ Yahoo!, Search, Mail, Finance, Sports, Food, Tech, Flickr và Tumblr. Tuy nhiên vẫn còn nhiều site khác củaYahoo! chưa được sửa lỗi và hãng cho biết đang tích cực fix lỗi cho các site đó.
Jaime Blasco, Giám đốc của phòng nghiên cứu bảo mật AlienVault Labs, khuyến khích người dùng không đăng nhập vào Yahoo! và các dịch vụ bị ảnh hưởng khác, bởi các thông tin cá nhân nhạy cảm của họ có thể bị đánh cắp. Nhà nghiên cứu này cũng khuyên người dùng ngay lập tức thay mật khẩu ngay sau khi Yahoo! khắc phục xong lỗ hổng nói trên.
Không chỉ Yahoo! mà các công ty khác như Imgur và OKCupid cũng bị Heartbleed tấn công. Imgur, trang web chia sẻ ảnh rất phổ biến hiện nay cũng là 1 trong số đó. Tuy nhiên có vẻ như các công ty này đã nhanh chóng đưa ra các biện pháp khắc phục. Imgur cho biết họ đã "reset" các dữ liệu nhạy cảm như cookies và các session ID để đảm bảo an toàn; còn OKCupid cũng có phát biểu tương tự.
Biện pháp bảo vệ chính mình và phòng ngừa trong tương lai
Nếu trang web không bị dính lỗi hoặc đã được khắc phục lỗ hổng Heartbleed, điều tiếp theo người dùng cần làm là truy cập vào tài khoản của mình và tạo mới mật khẩu như một biện pháp phòng ngừa.
Ngoài ra, người dùng có thể phần mềm có tên gọi Safepay, một sản phẩm của hãng bảo mật danh tiếng BitDefender. Safepay là phần mềm miễn phí được xây dựng với mục đích duy nhất giúp người dùng bảo vệ quá trình giao dịch trực tuyến của mình ở mức độ an toàn nhất.
Phần mềm hoạt động như một trình duyệt web nhưng ở một môi trường độc lập để giúp các phần mềm gián điệp (nếu có) trên máy tính theo dõi và đánh cắp thông tin cá nhân của người dùng trong quá trình giao dịch trực tuyến cũng như nhận diện và thông báo kịp thời các trang web lừa đảo.
Người dùng nên sử dụng Safepay để thực hiện các giao dịch trực tuyến nhằm đảm bảo an toàn cho các thông tin cá nhân và quan trọng của mình.
Giải pháp cho tương lai
Những trường hợp như Heartbleed hiện đang diễn ra ngày một nhiều và gây ra không ít băn khoăn về khả năng bảo mật của các công ty web hiện nay. Hiện tại một số hãng công nghệ lớn đang bắt đầu chuyển sang áp dụng công nghệ bảo mật Perfect Forward Secrecy (PFS) tuy nhiên việc áp dụng nó vẫn chưa triệt để. PFS là một công nghệ mã hóa mới trong đó key mã hóa không tồn tại mãi mãi như hiện nay, khiến cho hacker dù có key mã hóa cũng không thể ăn cắp được dữ liệu.
"Người dùng luôn muốn dữ liệu của mình được an toàn nhất có thể, và PFS là công cụ mà các công ty web cần áp dụng để phục vụ yêu cầu này", John Miller, Giám đốc hãng bảo mật TrustWave cho biết.
(Tổng hợp từ internet)
