Một điều đáng thất vọng trước nỗ lực của hàng triệu lập trình viên trên thế giới nhằm phát hiện và ngăn chặn lỗ hổng nghiêm trọng số một hiện nay.

{keywords}

Đã một tuần kể từ khi lỗ hổng bảo mật "Trái tim rỉ máu" -Heartbleed được phát hiện, thế nhưng đến nay vẫn chưa có giải pháp nào thực sự phát hiện và ngăn chặn được nó. Điều đáng thất vọng hơn đó là một loạt các ứng dụng, công cụ miễn phí trực tuyến trên Internet hiện nay được lập trình với mục đích chống lại nó đều bị chính lỗi bảo mật khét tiếng này qua mặt.

Nhắc lại về lỗ hổng bảo mật "Trái tim rỉ máu", nó dựa trên cơ sở làm suy yếu các phần mềm bảo mật trên OpenSSL, từ đó cho phép hacker dễ dàng đánh cắp dữ liệu được bảo vệ bởi biện pháp mã hóa SSL/TLS. "Trái tim rỉ máu" đã gây ra một cơn hoảng loạn thực sự trên toàn cầu trước những hậu quả mà nó mang lại, rất nhiều người đã để lộ thông tin, dữ liệu cá nhân quan trọng mà không hề hay biết.

Vài ngày gần đây, một loạt các công cụ đáng tin cậy nhanh chóng xuất hiện trên Internet hứa hẹn sẽ giúp người dùng xác định xem các dịch vụ website mà họ sử dụng, bao gồm cả Windows và Android có nằm trong tầm ảnh hưởng của "Trái tim rỉ máu" hay không. Tuy nhiên Cục tư vấn an ninh mạng có trụ sở tại London ngày hôm nay sau khi thực hiện nhiều nghiên cứu đã đưa ra kết luận gây "sốc": Tới hơn 95% trong số đó là không đáng tin cậy!

"Rất nhiều công ty tin rằng họ đã an toàn sau khi sử dụng các công cụ miễn phí trên Internet, và giờ đây khi biết rằng chúng vô hiệu, họ đã thực sự bị hoảng loạn", ông Edd Hardy đại diện cho Hut3 - một website chuyên phân tích an ninh mạng chia sẻ.

Được biết hầu hết các công cụ kiểm tra của Hut3 dựa vào mã nguồn được thiết kế để chuyên tìm ra các lỗi an ninh mạng cứng đầu do được tích hợp những công nghệ mới nhất hiện nay đến từ McAfee, và công ty quản lý cung cấp mật khẩu LastPass.

{keywords} 

Theo chuyên viên nghiên cứu dự án này là ông Adrian Hayer, có tới 3 vấn đề đối với những công cụ kiểm tra lỗi bảo mật "Trái tim rỉ máu", và quan trọng nhất trong số đó chính là khả năng tương thích với các phiên bản SSL (Secure Sockets Layer) khác nhau của người dùng.

Hãy hình dung là các công cụ nói trên được thiết kế để làm việc với một cấu hình mặc định, hay cấu hình nguyên bản. Thế nhưng trên thực tế mỗi người dùng lại có khả năng sở hữu và cấu hình những phiên bản SSL riêng biệt. Điều này dẫn tới một sự không chính xác nhất định khi đưa công cụ áp dụng vào thực tiễn.

Xung quanh vấn đề hoảng loạn trước lỗ hổng bảo mật này, người dùng được khuyến cáo chủ động đổi mật khẩu trên toàn bộ website đã truy cập trong khoảng 1 tuần qua trước khi có bất kỳ thông tin nào chắc chắn việc phát hiện và khống chế kẻ ngoài vòng pháp luật mang tên "Trái tim đẫm máu". Cho đến nay có thể nói rằng biện pháp ấy vẫn là cách duy nhất giúp người dùng hạn chế được nguy cơ mà lỗ hổng bảo mật này mang lại.

Tuy những nghiên cứu mới nhất của tổ chức Hut3 không làm giảm bớt đi chút đau thương nào từ phía người dùng, nhưng họ cũng hứa hẹn sẽ sớm hoàn thiện công cụ chuyên nghiệp của mình để có thể sớm thực sự phát hiện, cũng như ngăn cản được cái có khả năng sẽ trở thành một trong những đại dịch lớn nhất trên Internet từ trước đến nay.

Nguyễn Nguyễn (Theo TheGuardian)