11 lý do khiến mã hóa (gần như) không còn an toàn
09/01/2025Lỗ hổng OpenSSL Heartbleed tồi tệ hơn bạn nghĩ
09/01/2025Lỗ hổng Heartbleed khá nghiêm trọng, nhưng bạn có thể giảm thiểu rủi ro do nó, bằng qua các phương pháp tiếp cận khác nhau đối với người dùng sử dụng, quản trị viên và lập trình viên.
Hãy đối mặt với nó: Heartbleed là một mớ hỗn độn. Tệ hơn nữa, đó là một dạng hỗn độn khác kể cả sau khi đã làm sạch. Tất cả quản trị viên, người dùng và lập trình viên sẽ phải đối mặt với các khía cạnh của Heartbleed mà mỗi bên chỉ có thể tự mình đối phó. Sau đây là những việc mà mỗi bên cần phải làm để giảm thiểu các mối đe dọa ảnh hưởng trực tiếp đến họ.
Người dùng
Một số phương pháp thực hiện đối với người dùng là khó khăn nhất do các biện pháp duy nhất mà họ có thể thực hiện là hoàn toàn phản tác dụng. Họ không thể vá lỗi các trang web thực tế mà họ sử dụng (trừ khi họ thực sự thiết kế chúng), nhưng người dùng vẫn có thể tự làm theo cách riêng của họ.
1. Kiểm tra lỗ hổng đối với các trang web mà bạn truy cập. Khi tin tức đầu tiên về Heartbleed được công bố, cách duy nhất để kiểm tra một trang web có an toàn không là đối chiếu với một số danh sách được cập nhật thủ công về các trang web không an toàn hoặc sử dụng trang web của bên thứ ba để kiểm tra. May mắn thay, bạn không cần phải làm điều đó một cách thủ công nữa bởi cả Firefox và Chrome bây giờ đều có các add-on cho phép tự kiểm tra tình trạng của một trang web.
2. Thay đổi mật khẩu, nhưng chỉ sau khi trang web đã được vá lỗi. Đây là phần khó khăn. Nhìn chung, thay đổi mật khẩu là một ý tưởng tốt đối với bất kỳ vấn đề an ninh mạng nào, nhưng chỉ sau khi vấn đề đó được giải quyết. Nếu không, điều đó sẽ giống như việc thay đổi ổ khóa trên cánh cửa không bao giờ được đóng lại. Cuối cùng, thay đổi mật khẩu trên các trang web bị ảnh hưởng, nhưng chỉ sau khi bạn biết chắc rằng Heartbleed không còn là vấn đề.
Nếu bạn chưa sử dụng một chương trình quản lý mật khẩu, thì đây là một lý do chính đáng mà bạn nên cài đặt một chương trình như vậy. Và nếu bạn truy cập các trang web hỗ trợ xác thực hai yếu tố nhưng không lo ngại với nó, thì đây cũng là một lý do chính đáng để sử dụng nó.
Người dùng của dịch vụ quản lý mật khẩu LastPass có hai — có thể là ba — lợi ích. Dịch vụ này không chỉ quản lý mật khẩu và đồng bộ chúng qua các thiết bị, mà thậm chí còn cho bạn biết nếu dịch vụ tồn tại lỗ hổng Heartbleed và dù có hay không thì thay đổi mật khẩu là ý tưởng tốt (dù trang web đã được vá lỗi hay chưa thì thay đổi mật khẩu là điều cần làm).
3. Kích hoạt tính năng kiểm tra việc thu hồi chứng chỉ trong trình duyệt. Việc thu hồi chứng chỉ là khi chứng chỉ SSL/TLS được sử dụng bởi trình duyệt đã bị thu hồi, khi nhiều trang web đang trong quá trình làm để tránh sự phụ thuộc vào khóa mà có thể đã bị xâm phạm do lỗ hổng Heartbleed. Với Google Chrome, bạn kích hoạt tính năng này như trong Settings: Advanced Settings, chọn “Check for server certificate revocation”. Với Firefox, tính năng này được kích hoạt mặc định, do đó bạn không cần phải làm bất cứ điều gì. Blog CloudFlare đưa thêm các ghi chú về cách thao tác đối với mỗi trình duyệt về vấn đề thu hồi chứng chỉ.
Quản trị viên
1. Vá lỗi những hệ thống bị ảnh hưởng. Phương pháp ở đây là phát hiện những hệ thống bị ảnh hưởng. Có thể có nhiều hệ thống bị ảnh hưởng hơn bạn nghĩ, vì OpenSSL có thể được sử dụng theo nhiều cách do không phải là ứng dụng client độc quyền. Chúng rõ ràng là những hệ thống quan trọng nhất, nhưng đừng cho rằng những hệ thống bị ảnh hưởng chỉ có thế. Ví dụ, một số sản phẩm của Cisco có thể không an toàn; cũng như của Juniper Networks.
Thậm chí còn phức tạp hơn, ví dụ: Việc triển khai TLS trong các hệ thống Windows Server không bị ảnh hưởng bởi lỗ hổng Heartbleed, nhưng điều đó không có nghĩa là tất cả các phần mềm chạy trên Windows không bị ảnh hưởng. Một số phần mềm có thể sử dụng OpenSSL theo cách riêng và cần được cập nhật một cách riêng biệt.
2. Cấp phát lại và thu hồi chứng chỉ. Đừng nao núng. Việc cấp phát lại và thu hồi giấy chứng chỉ là việc làm gây khó chịu, nhưng cần phải được thực hiện, và thậm chí đơn vị lớn như Akamai đã bắt đầu công việc khó khăn đó do chứng chỉ bị xâm phạm phải được thu hồi trong vòng 24 giờ. Hãy chắc chắn rằng chứng chỉ mới được chứng nhận hợp lệ và làm theo hướng dẫn thích hợp; đừng giống như PayPal, một số chứng chỉ mới của họ được phát hành sai tên (“PayPal, Inc \ 0a”).
Lập trình viên
1. Rà soát mã nguồn trong việc sử dụng OpenSSL. Hãy rà soát tất cả các dự án của bạn để xác định nơi đang sử dụng OpenSSL, sau đó vá lỗi hoặc cập nhật một cách thích hợp. Dự án lớn hơn, nhiều khả năng nó có thể có một số phần phụ thuộc vào OpenSSL.
2. Cập nhật sản phẩm đưa ra thị trường. Hãy chắc chắn rằng bất kỳ sản phẩm nào trong tay người dùng được cập nhật nhanh nhất có thể. Ví dụ, Android 4.1.1 bị ảnh hưởng (nhưng những phiên bản trước của Android thì không), và trong khi Google đang gửi các bản vá đến các đối tác phần cứng của họ, mà ai biết việc đó sẽ mất bao lâu trước khi những thiết bị bị ảnh hưởng thực sự được vá lỗi. Đừng làm như vậy nếu bạn có thể hỗ trợ.
3. Xem xét khả năng thay thế OpenSSL nếu khả thi. OpenSSL không phải là trò chơi duy nhất; nhiều thư viện khác đang tồn tại. Điều này không phải để nói rằng những thư viện đó là sự thay thế thích đáng hay sẽ không gặp phải vấn đề riêng, nhưng bây giờ có thể là thời gian để suy nghĩ về nơi mà chúng được sử dụng.