Heartbleed là gì và tại sao nó nguy hiểm ?

Heartbleed là một lỗ hổng nằm trong phần mềm mã nguồn mở OpenSSL - một thư viện phần mềm của Google, Facebook, Yahoo, Amazon và rất nhiều trang web khác sử dụng để đảm bảo việc truyền tải thông tin cá nhân của người dùng. Thực tế, phần mềm này không xa lạ đối với chúng ta, khi bạn truy cập vào các trang web có chứng chỉ mã hóa, nó chính là biểu tượng của một ổ khóa nhỏ nằm cạnh chữ https trên thanh địa chỉ.

Trong điều kiện bình thường, nếu kẽ hở này bị phát hiện, tin tặc có thể đánh cắp các thông tin được bảo vệ bởi các mã hóa SSL/TLS dùng để bảo đảm Internet. SSL/TLS là các lớp bảo mật thông tin và bảo mật trên Internet cho các ứng dụng như web, email, tin nhắn tức thời (IM) và một số mạng riêng ảo (VPN).

Lỗi Heartbleed cho phép bất cứ ai trên Internet cũng có thể đọc bộ nhớ của hệ thống được bảo vệ bởi các phiên bản của phần mềm OpenSSL. Điều này làm tổn hại đến các khóa bí mật được sử dụng để xác định các nhà cung cấp dịch vụ và mã hóa lưu lượng, tên đăng nhập, mật khẩu cũng như nội dung thực tế của người sử dụng. Nó cho phép tin tặc trực tiếp nghe trộm các thông tin liên lạc, đánh cắp dữ liệu của người sử dụng hoặc có thể mạo danh dịch vụ và người dùng.

Nghe có vẻ xấu? Nhưng có lẽ bạn sẽ ngạc nhiên khi nhận ra rằng có tới 2/3 các website sử dụng SSL (Secure Sockets Layer) trong phiên bản bị lỗi của phần mềm OpenSSL. Chúng ta không nói các trang web nhỏ, như các diễn đàn hoặc các trang web trao đổi trò chơi bằng thẻ… Chúng ta đang nói các ngân hàng, các công ty phát hành thẻ tín dụng, các nhà cung cấp dịch vụ e-mail và bán lẻ trực tuyến. Tệ hại hơn, lỗ hổng này thực tế đã tồn tại hai năm nay. Hai năm với một người có kiến thức và kỹ năng phù hợp có thể khai thác rất nhiều thông tin đăng nhập và thông tin cá nhân mà không hề để lại dấu vết là điều khiến chúng ta phải giật mình.

Bạn cần làm gì ?

Bất kỳ hành vi vi phạm an ninh nào cũng đòi hỏi bạn phải đánh giá thực tế việc quản lý mật khẩu đăng nhập các tài khoản của bạn. Đây có lẽ là cơ hội để bạn thiết lập và quản lý mật khẩu tốt hơn.

Nhưng trước khi thay đổi mật khẩu, bạn cần kiểm tra trang web (dịch vụ) mà bạn đang sử dụng, xem nó có bị "dính" Heartbleed hay không. Người dùng có thể kiểm tra lỗi Heartbleed của trang web thông qua công cụ http://sslscan.bkav.com.vn/ (của BKAV) hoặc http://filippo.io/Heartbleed/ (của Filippo Valsorda). Nếu trang web bị lỗi Heartbleed, bạn cần thông báo cho cơ quan chủ quản để họ khắc phục. Nếu họ chưa khắc phục, bạn không nhất thiết phải đổi mật khẩu lúc này.

Khi thay đổi mật khẩu, bạn nên sử dụng các chương trình quản lý như LastPass hay KeePass để ghi nhớ mật khẩu. Khi tạo mật khẩu bạn không đơn giản chỉ là đặt mật khẩu cho dễ nhớ, mà nên theo các nguyên tắc sau:

• Mật khẩu nên luôn luôn dài hơn mức tối thiểu các dịch vụ cho phép. Nếu dịch vụ cho phép mật khẩu từ 6-20 ký tự, bạn chọn các mật khẩu dài nhất bạn có thể nhớ.

• Không sử dụng các từ đơn thuần có trong từ điển làm mật khẩu. Mật khẩu của bạn không được đặt như vậy, vì đơn giản một máy quét lướt qua với một tập tin từ điển sẽ tiết lộ nó. Bạn cũng không nên lấy tên của mình làm một phần của tên đăng nhập, hoặc các thứ dễ nhận biết khác như tên công ty hoặc tên đường phố... Cũng tránh sử dụng sự kết hợp các phím gần nhau, ví dụ "qwerty" hoặc "asdf" như một phần trong mật khẩu của bạn.

• Sử dụng cụm mật khẩu thay vì mật khẩu. Nếu bạn không sử dụng một phần mềm quản lý mật khẩu để ghi nhớ mật khẩu ngẫu nhiên, bạn vẫn có thể tạo mật khẩu "mạnh" bằng cách chuyển chúng vào cụm mật khẩu. Ví dụ, đối với tài khoản Amazon của bạn, có thể tạo một mật khẩu dễ nhớ với cụm từ "I love to read books" và sau đó "thắt chặt" chúng lại thành một mật khẩu như "!Luv2ReadBkz". Thật dễ dàng để nhớ và nó cũng khá mạnh mẽ.

Một số trang web (ví dụ Gmail) yêu cầu "xác minh hai bước" khi đăng nhập từ máy tính mới. Việc xác minh hai bước không chỉ đòi hỏi tên đăng nhập, mật khẩu mà còn phải có mã tin nhắn để nhập vào máy tính thông qua số điện thoại di động. Cho nên, nếu dịch vụ cho phép, bạn cần thiết lập đầy đủ thông tin "xác minh hai bước" – cung cấp số điện thoại cho dịch vụ để họ tạo một khóa thứ hai cho tài khoản của bạn.

Hoàng Thy