Sáng nay, 18/4/2014, VFOSSA vừa gửi ICTnews công bố chính thức về những vấn đề liên quan tới lỗ hổng Heartbleed (thường gọi là "trái tim rỉ máu") của phần mềm nguồn mở Open SSL.

Theo VFOSSA, hiện nguy cơ mất an ninh bởi lỗ hổng Heartbleed vẫn chưa hết cho dù lỗi đã được loại bỏ. Bởi vì một khi lỗi đã được khai thác, đồng nghĩa với việc thông tin trên hệ thống có nguy cơ đã bị bại lộ. Việc sửa lỗ hổng sẽ hạn chế được khả năng tiếp tục bị đánh cắp thông tin, song những thông tin đã bị đánh cắp thì không thể lấy lại được. Đặc biệt, trong trường hợp khóa bảo mật và thông tin người dùng đã bị bại lộ, nếu không được thay đổi, hệ thống vẫn gặp nguy hiểm kể cả sau khi đã được sửa lỗi. Với người dùng, việc bật thêm các chức năng như xác thực 2 lần sẽ giúp tăng tính an toàn, tuy nhiên nó vẫn không giải quyết được triệt để nguy cơ bị lộ thông tin. Việc này phải được làm từ phía quản trị hệ thống. Việc thay đổi mật khẩu người dùng chỉ có tác dụng khi hệ thống đã được vá lỗi (bao gồm cả việc thay khóa bảo mật và các biện pháp an ninh phù hợp với chính sách giải quyết sự cố trong sau khủng hoảng an ninh thông tin).

Heartbleed

Để tránh những nghi ngờ, đồn đoán thiếu căn cứ trong dư luận về lỗ hổng "trái tim rỉ máu", VFOSSA cũng đã chính thức lên tiếng phân tích về sự hình thành, phát triển cũng như phương thức gây hại của lỗ hổng này với góc nhìn của các chuyên gia phần mềm nguồn mở.

Cụ thể, lỗi bảo mật HeartBleed của phần mềm nguồn mở OpenSSL cho phép truy cập bất hợp pháp đến một vùng bộ nhớ của máy chủ lên đến 64KB một cách liên tục, không hạn chế, không qua bất kỳ giao thức nào và không để lại dấu vết. Bằng cách này, tin tặc có thể lấy và giải mã được các thông tin quan trọng cần bảo mật như khóa bí mật (Private Key), tên tài khoản (Username), từ khóa truy cập (Password)… thậm chí, giả mạo các máy chủ để gửi đi các thông tin đến người dùng.

Đoạn code bị lỗi có mặt trong OpenSSL từ tháng 12/2011 và bắt đầu lan rộng khi OpenSSL phát hành phiên bản 1.0.1 ngày 14/3/2012. Khi đó lỗi chưa được phát hiện. Vì thế, các phiên bản tiếp theo của OpenSSL (từ 1.0.1a đến 1.0.1f) đều bị mắc lỗi này. Đến tận cuối năm 2013 lỗi mới được chuyên gia của Codenomicon và Google Security phát hiện một cách độc lập và gần như đồng thời. Lỗi được chính thức công bố trong danh mục chuẩn quốc tế lỗ hổng an ninh và nguy cơ an toàn hệ thống thông tin (Common Vulnerabilities and Exposures - CVE) ngày 3/12/2013.

Ngày 5/4/2014 lỗi đã được sửa trên kho mã nguồn của OpenSSL. Phiên bản OpenSSL 1.0.1g phát hành ngày 7/4/2014 đã sửa lỗi này.

Thống kê của Netcraft cho thấy trên Internet có tới 17,5% website sử dụng SSL, tương đương với nửa triệu chứng chỉ số bị ảnh hưởng bởi lỗ hổng HeartBleed. Lỗ hổng này không chỉ ảnh hưởng đến website mà còn ảnh hưởng đến nhiều hệ thống khác có liên quan, trong đó có trình duyệt, hệ điều hành và các hệ thống có chứa thư viện OpenSSL.

Theo đánh giá chung của các chuyên gia về an ninh an toàn hệ thống thông tin trên thế giới và của VFOSSA, Heartbleed là một lỗi có độ phức tạp cao. Tuy nhiên, nhờ có sự vào cuộc của các chuyên gia an ninh/bảo mật từ các doanh nghiệp công nghệ hàng đầu trên trên giới cùng với sự làm việc tích cực của các lập trình viên trong các dự án phần mềm nguồn mở khác nhau, việc vá lỗi đã được hoàn thành. Chỉ vài giờ sau khi có bản vá thì bản vá này đã được đưa vào kho chính thức của các bản phân phối Linux (Linux distro) với những thông tin hướng dẫn chi tiết. Điều này cho thấy trong sự cố, cơ chế linh hoạt và cởi mở theo tinh thần hợp tác của cộng đồng phần mềm nguồn mở đã phát huy hiệu quả.

Phần mềm nguồn mở OpenSSL là thư viện quan trọng của giao thức SSL/TLS, đóng vai trò bảo vệ các thông tin được truyền qua mạng Internet. Mã nguồn OpenSSL được sử dụng phổ biến nhất trong giao thức mã hóa đường truyền SSL/TLS. Các hệ thống máy chủ web của Google, Yahoo, YouTube, Facebook, cùng với nhiều cổng thanh toán trực tuyến ở các quốc gia trên toàn thế giới đều có sử dụng OpenSSL. Không chỉ có web, OpenSSL được sử dụng như một thư viện trong nhiều hệ thống từ phần mềm cho tới máy chủ, trong trình duyệt, firmware của các hệ thống bảo mật...