Bảo vệ mình khỏi lỗ hổng bảo mật mạng có tên "Trái tim rỉ máu"? - How
to protect yourself against the 'Heartbleed' bug?
Hiện nay người ta phát hiện một lỗ hổng bảo mật cực kỳ nghiêm trọng đối với toàn bộ
web.
Lỗi có tên "trái tim rỉ máu', nó khiến kẻ xấu lần mò vào máy chủ nơi lưu trữ những
dữ liệu quan trọng và nhạy cảm của người dùng. Các bạn hãy tìm hiểu ngay và thực
hiện các biện pháp dưới đây để bảo vệ thông tin của mình nhé.
A major new security vulnerability dubbed Heartbleed was disclosed Monday night
with severe implications for the entire Web. The bug can scrape a server's memory,
where sensitive user data is stored, including private data such as usernames,
passwords, and credit card numbers.
Tối hôm thứ 2, người ta phát hiện ra một lỗ hổng bảo mật mới rất lớn được đặt tên là
Heartbleed (trái tim rỉ máu) với hàm ý lỗ hổng này cực kỳ nghiêm trọng đối với toàn bộ
Web. Lỗi này có thể khiến kẻ xấu lần mò vào được bộ nhớ của máy chủ, nơi lưu trữ
các dữ liệu nhạy cảm của người dùng, trong đó có các dữ liệu cá nhân như tên người
dùng, mật khẩu, và số thẻ tín dụng.
It's an extremely serious issue, affecting some 500,000 servers, according to
Netcraft, an Internet research firm. Here's what you can do to make sure your
information is protected, according to security experts contacted by CNET:
Theo Netcraft, một công ty nghiên cứu Internet, lỗ hổng như vậy là vấn đề cực kỳ
nghiêm trọng rồi, ảnh hưởng tới những 500 ngàn máy chủ còn gì. Các chuyên gia an
ninh mạng đã cho CNET biết, bạn có thể thực hiện các biện pháp sau đây để bảo vệ
thông tin của mình:
Do not log into accounts from afflicted sites until you're sure the company has
patched the problem. If the company hasn't been forthcoming confirming a fix or
keeping you up to date with progress reach out to its customer service teams for
information, said John Miller, security research manager for TrustWave, a security
and compliance firm.
Không đăng nhập vào tài khoản từ các trang bị ảnh hưởng chừng nào bạn còn chưa
chắc chắn là công ty quản lý cái trang đó đã vá được lỗi này hay chưa. Nếu công ty
ấy chưa chỉ dẫn - tức là chưa xác nhận là đã sửa được lỗi hoặc họ không cập nhật cho
bạn tiến trình sửa lỗi - thì bạn liên lạc với bộ phận dịch vụ khách hàng để nắm thông
tin - theo ông John Miller, giám đốc nghiên cứu công ty an ninh mạng Trustwave.
Some Web sites that appeared to have been affected included Yahoo and OKCupid,
though the companies have said their sites are all or partly fixed (see below for
details).
Một số trang web có vẻ như đã bị ảnh hưởng bao gồm cả Yahoo và OKCupid, mặc dù
các công ty này tuyên bố tất cả những trang web của họ đều đã được sửa chữa hoàn
toàn hoặc một phần.
The natural response might be to want to change passwords immediately, but
security experts suggest waiting for confirmation of a fix because further activity on a
vulnerable site could exacerbate the problem.
Phản ứng tự nhiên có lẽ là muốn đổi mật khẩu ngay tức thì, nhưng các chuyên gia an
ninh mạng khuyến cáo hãy đợi xác nhận sửa xong lỗi đã, vì cứ thao tác nhiều trên cái
trang bị ảnh hưởng ấy, bạn càng làm cho vấn đề trầm trọng hơn mà thôi.
Once you've got confirmation of a security patch, change passwords of sensitive
accounts like banks and email first. Even if you've implemented two-factor
authentication which, in addition to a password asks for another piece of identifying
information, like a code that's been texted to you changing that password is
recommended.
Khi người ta xác nhận là đã vá xong lỗ hổng, bạn hãy đổi mật khẩu các tài khoản
nhạy cảm trước chẳng hạn tài khoản ngân hàng và thư điện tử. Ngay cả trường hợp
bạn dùng dịch vụ xác minh gồm hai yếu tố - tức là ngoài mật khẩu đăng nhập còn
phải cung cấp thêm thông tin nhận dạng khác, chẳng hạn mã số họ đã gửi cho bạn
qua tin nhắn - thì bạn cũng cứ đổi mật khẩu đi.
Don't be shy about reaching out to small businesses that have your data to make
sure they are secure. While the high-profile companies like Yahoo and Imgur
certainly know about the problem, small businesses might not even be aware of it,
said TrustWave's Miller. Be proactive about making sure your information is safe.
Để bảo đảm các dữ liệu của mình an toàn, bạn đừng ngại khi phải liên lạc với những
công ty nhỏ đang nắm giữ các dữ liệu của bạn. Mặc dù các công ty nổi tiếng như
Yahoo và Imgur thì họ biết rõ về vấn đề này rồi, nhưng những công ty nhỏ thậm chí có
thể họ còn chưa biết gì đâu đấy, chuyên gia Miller của TrustWave cảnh báo. Hãy chủ
động chắc cú là thông tin của mình an toàn.
Keep a close eye on financial statements for the next few days. Because attackers
can access a server's memory for credit card information, it wouldn't hurt to be on the
lookout for unfamiliar charges on your bank statements.
Theo dõi sát sao các sao kê tài chính trong những ngày tới đây. Vì kẻ tấn công có thể
truy cập vào bộ nhớ của máy chủ để lấy thông tin thẻ tín dụng, nên đâu có mất gì đâu
mà không để ý các khoản tiền phải trả bất thường trên bản sao kê ngân hàng nhỉ.
Even after following these guidelines, there is still some riskiness in surfing the Web
in the aftermath of the bug. Heartbleed is even said to affect browser cookies, which
track users' activity on a site, so even visiting a vulnerable site without logging in
could be risky. The Tor Project, which stresses anonymity and privacy, wrote in a
blog post that users with those needs "might want to stay away from the Internet
entirely for the next few days while things settle."
Ngay cả khi đã làm theo các chỉ dẫn này, máy bạn vẫn có nguy cơ bị virus tấn công
trong quá trình lướt Web vì hậu quả của lỗi bảo mật ấy vẫn còn. Lỗi bảo mật 'Trái tim
rỉ máu' thậm chí còn được cho là có ảnh hưởng đến các cookies trình duyệt, những cái
này theo dõi hoạt động của người dùng trên một trang nào đó, cho nên khi vào một
trang web có khả năng bị ảnh hưởng thậm chí không đăng nhập vào thì có thể vẫn rất
là nguy hiểm. Dự án Tor, dự án nhấn mạnh sự nặc danh và quyền riêng tư, nói trên
một blog rằng những người dùng có các nhu cầu như vậy "có lẽ cần tránh xa Internet
hoàn toàn trong vài ngày tới cho đến khi giải quyết xong mọi chuyện."
Yahoo seems to be the most major Web to site have been vulnerable to the bug
(preliminary tests for Facebook, Google, and Twitter's Web sites said they appear to
be safe). The company said that it has "successfully made appropriate corrections" to
the main Yahoo properties: Yahoo Homepage, Search, Mail, Finance, Sports, Food,
Tech, Flickr and Tumblr. Still, a Yahoo spokesperson said the company is still
working to make the fix across the rest of the Yahoo sites.
Yahoo có lẽ là trang web có nguy cơ bị lỗi này cao nhất (các kiểm tra sơ bộ đối với
những trang Facebook, Google, và Twitter đều cho thấy chúng có vẻ an toàn). Công
ty Yahoo thông báo họ đã "tiến hành chỉnh sửa thích hợp và thành công" đối với các
trang của Yahoo như: Trang chủ Yahoo, Search, Mail, Finance, Sports, Food, Tech,
Flickr và Tumblr. Nhưng một người phát ngôn của Yahoo cho biết công ty này vẫn
đang tiếp tục sửa lỗi cho các trang còn lại của hãng.
"I encourage users to not log in into [Yahoo] and other services that are affected
since the credentials could have been leaked if they used the service," said Jaime
Blasco, director of AlienVault Labs, a security research firm. "As soon as Yahoo
solves the issue, it will be helpful if users change their password just in case."
Jaime Blasco, Giám đốc hãng nghiên cứu an ninh mạng AlienVault Labs, nói: "Tôi
khuyến khích người dùng không đăng nhập vào Yahoo và các dịch vụ khác bị ảnh
hưởng vì các dữ liệu quan trọng có thể bị rò rỉ nếu họ sử dụng dịch vụ. Ngay sau khi
Yahoo xử lý triệt để vấn đề này, người dùng nên đổi mật khẩu của mình mặc dù chỉ là
để đề phòng mà thôi."
Yahoo has been stressing authentication of late, so that the company would be able
to provide a more personalized experience to users, a drum CEO Marissa Mayer has
been beating almost since she took over the company. Yahoo provides services like
email and fantasy sports, requiring passwords to get access to the applications.
Gần đây Yahoo đã nhấn mạnh đến việc xác thực khi sử dụng dịch vụ, để công ty này
có thể cung cấp nhiều dịch vụ cá nhân hơn cho người dùng, một cái trống mà Tổng
giám đốc điều hành Marissa Mayer đã gõ hầu như là suốt từ khi bà đảm nhiệm công
việc tại công ty này đến nay. Yahoo cung cấp các dịch vụ như email và fantasy
sports, người dùng phải gõ mật khẩu trước khi sử dụng dịch vụ.
The company has already had some trouble in the security arena. In January, the
company had to reset the passwords of some email users after an attempted attack
on a third-party's database. In response to the Heartbleed bug, some users have
already expressed their outrage on Twitter. Brandon Oxford, from Royal, Ark., wrote:
"After this I'm officially done with Yahoo email. I've now set up a Gmail. They seem to
be more on top of stuff than Yahoo."
Công ty này đã bị một số rắc rối về bảo mật. Hồi tháng 1, công ty phải đặt lại mật
khẩu của một số người dùng thư điện tử sau một vụ tấn công có chủ đích nhắm vào
cơ sở dữ liệu của bên thứ ba. Phản ứng lại lỗi bảo mật 'Trái tim rỉ máu', một số người
dùng đã bày tỏ sự giận dữ của mình trên Twitter. Brandon Oxford ở Royal, Ark., viết:
"Sau vụ này tôi chính thức cạch Yahoo email. Giờ tôi đã tạo một tài khoản Gmail. Có
vẻ đỡ cùi bắp hơn Yahoo."
Other companies that were said to be affected chimed in as well. Imgur, the photo-
sharing site popular with Reddit users, said: "[We] invalidated sensitive data such as
cookies and session IDs, just to be on the safe side. We're proceeding with caution,
since the nature of the attack makes it hard to detect, but we have no reason to
believe it has been used against Imgur." OKCupid said, "The fix is now fully live on
OKCupid."
Các công ty khác được cho là bị ảnh hưởng cũng phụ hoạ theo. Imgur, trang chia sẻ
ảnh nổi tiếng với những người sử dụng Reddit, thông báo: "Cho chắc ăn, (chúng tôi)
làm mất hiệu lực các dữ liệu nhạy cảm chẳng hạn các cookies và session IDs. Chúng
tôi đang tiến hành một cách thận trọng, vì cuộc tấn công vốn khó bị phát hiện, nhưng
chúng tôi không có lý do gì mà phải tin nó được dùng để chống lại Imgur." OKCupid
thì: "Hiện việc vá lỗi hoàn toàn được thực hiện ngay trên OKCupid."
The question in the aftermath of something like this is whether Web companies will
reform their security practices. There has been a move toward Perfect Forward
Secrecy (PFS) by many of the major Web companies, but not all of them have
implemented the practice. PFS means essentially that encryption keys get a very
short shelf life, and are not used forever. "People should want their communications
to be secure as possible. PFS is one thing they can push for in the future," said
Miller.
Sau vụ lỗi bảo mật này vấn đề đặt ra là liệu các công ty web sẽ đổi mới phương thức
bảo mật của mình hay không. Nhiều công ty web lớn đã chuyển qua dùng công nghệ
Perfect Forward Secrecy (bí mật chuyển tiếp hoàn hảo - PFS), nhưng không phải mọi
công ty đều đã áp dụng công nghệ này. PFS thực chất có nghĩa là các khoá mã hoá
có thời hạn sử dụng rất ngắn, và không dùng được mãi mãi. Miller cho biết: "Mọi
người đều muốn các thông tin liên lạc của mình càng được bảo mật càng tốt. PFS có
thể là cái không thể thiếu được trong tương lai."