Thứ sáu, 27/12/2024

Tìm kiếm

Giới thiệu chung
Đại hội VAIP IX
Hoạt động hội
Tin tức ICT
Môi trường - Chính sách
Doanh nghiệp - Hội viên
Sản phẩm - Công nghệ
Giao thương
Nguồn lực cho CNTT
Phần mềm nguồn mở
Xã hội ICT
Gặp gỡ ICT đầu xuân
Hội thảo HT-PT
ICT Caravan 2023
Lịch sử tin học Việt Nam
Chương trình hành động
Hội viên
ICT Tennis
Kỷ yếu 30 năm OLP
Liên hệ
  Cập nhật: 14/04/2014
Lỗ hổng “trái tim rỉ máu” Heartbleed được phát hiện như thế nào?

Khi đang thử nghiệm tính năng mới, kỹ sư của hãng bảo mật Codenomicon đã khám phá ra lỗ hổng Internet nguy hiểm có tên Heartbleed – trái tim rỉ máu.

Heartbleed (tạm dịch: trái tim rỉ máu), lỗ hổng Internet nguy hiểm nhất vừa bị phát hiện, ảnh hưởng đến giao thức bảo mật OpenSSL, nó “lừa” máy chủ chiết xuất dữ liệu từ bộ nhớ, cho phép tin tặc khai thác thông tin nhạy cảm như số thẻ tín dụng hay mật khẩu.

Antti Karjalainen cùng hai đồng nghiệp Riku Hietamäki và Matti Kamunen tại hãng bảo mật Codenomicon cũng như kỹ sư Neel Mehta của Google (hoạt động độc lập với Codenomicon) được xem là những người đầu tiên phát hiện lỗ hổng. Karajalainen cho biết anh đang cùng Hietamäki cập nhật tính năng mới cho bộ thử nghiệm giao thức của Codenomicon thì tìm ra Heartbleed.

lỗ hổng Internet, heartbleed, mật khẩu, trái tim rỉ máu

Biểu tượng Heartbleed do Codenomicon sáng tạo là hình trái tim đang rỉ máu

Tính năng này được thiết kế để nhận ra các loại lỗ hổng phần mềm mới. Ban đầu, Karjalainen nhận ra lỗi khi thêm hỗ trợ cho tính năng Heartbeat của OpenSSL. Heartbeat cho phép một máy chủ gửi dữ liệu tùy ý đến máy chủ khác. Người nhận sau đó gửi trả lại bản sao chính xác của dữ liệu tới người gửi để xác nhận kết nối an toàn và không có gì bị xâm nhập.

Codenomicon bắt đầu một số thử nghiệm mới với giao thức Heartbeat. Sau khi nhận thấy một phản hồi lớn bất thường, Karjalainen và Hietamäki thử bài kiểm tra khác. Thử nghiệm mới xác nhận lỗ hổng trong Heartbeat đang làm lộ dữ liệu ngoại lai. Ngày tiếp theo, chuyên gia bảo mật Marko Laakso của Codenomicon phát hiện phiên bản OpenSSL mà bộ giao thức thử nghiệm đang sử dụng làm lộ khóa cá nhân từ máy chủ.

“Khóa cá nhân là “báu vật đế vương” của Internet. Chúng được dùng để khẳng định bạn đích thực là bạn. Vì thế, nó có thể trở thành lỗ hổng tồi tệ nhất trong lịch sử Internet”, Karjalainen giải thích.

Codenomicon ngay lập tức vá lỗ hổng và thông báo cho các hãng khác. Công ty đặt tên cho nó là Heartbleed, mua tên miền heartbleed.com, thiết kế biểu tượng cho lỗ hổng và viết bài Hỏi – đáp chi tiết.

Heartbleed đặc biệt nguy hiểm vì nó ảnh hưởng đến OpenSSL, giao thức được phần lớn thế giới Internet sử dụng. Nó khó bị phát hiện vì cho phép kẻ tấn công thực hiện ở giao đoạn đầu của quá trình liên lạc khi dữ liệu đang được truyền tải.

Một số dịch vụ web lớn như Twitter, Google cho biết đã áp dụng các bản vá cần thiết để xử lý vấn đề. Tuy nhiên, nhiều loại thiết bị khác như hộp cáp, đèn giao thông có thể chưa được khắc phục vì hệ thống không được cập nhật thường xuyên.

Theo Ictnews.vn

  Trang trước    | Về đầu trang
Bình luận - Comment (FB):
tin hoc doi song
Công ty cổ phần Minh Việt
hanoi
Hiệp hội doanh nghiệp điện tử Việt Nam
automation
technoaid
Dự báo thời tiết
  Powered and Designed by MinhViet Technology Group
HỘI TIN HỌC VIỆT NAM
Người chịu trách nhiệm nội dung: Ông Nguyễn Long - Tổng Thư Ký - Hội Tin Học Việt Nam
Head office: 6th floor, 14 Tran Hung Dao Str., Hanoi,Vietnam - Tel:84-24-38211725 - Fax:84-24-38211708 - Email: office@vaip.vn
Copyright 2003-2006 by VAIP. All rights reserved
Designed by InteCom (MinhViet JSC) - Powered by MVC-Web CMS 2.0