Hướng dẫn kiểm tra lỗ hổng OpenSSL trong giao dịch trực tuyến
Vài ngày nay, một lỗ hổng nghiêm trọng trong hệ thống giao dịch trực tuyến toàn cầu đã đặt hàng triệu người dùng vào nguy cơ mất thông tin, mất tiền khi tham gia thanh toán online. Trong khi nhiều hệ thống chưa được vá lỗi, người sử dụng tại Việt Nam có thể kiểm tra một trang web có an toàn để giao ...
Vài ngày nay, một lỗ hổng nghiêm trọng trong hệ thống giao dịch trực tuyến toàn cầu đã đặt hàng triệu người dùng vào nguy cơ mất thông tin, mất tiền khi tham gia thanh toán online. Trong khi nhiều hệ thống chưa được vá lỗi, người sử dụng tại Việt Nam có thể kiểm tra một trang web có an toàn để giao dịch hay không bằng công cụ được Công ty an ninh mạng Bkav cung cấp tại địa chỉ Bkav.com.vn/sslScan
Lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, như các website ebanking, thương mại điện tử hay những dịch vụ e-mail như Yahoo, Google… Nhiều cơ quan doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua Internet. Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ebanking, truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Chúng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập.
Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav, cho biết: “Lỗ hổng OpenSSL đang ảnh hưởng đến các website trên toàn thế giới, kể cả những trang uy tín như Yahoo hay Flickr. Tất cả các website sử dụng giao thức HTTPS và OpenSSL đều có nguy cơ bị tấn công trong khi nhiều cổng giao dịch trực tuyến, website ebanking tại Việt Nam sử dụng thư viện này”.
Bkav khuyến cáo trong vài ba ngày tới, khi các hệ thống còn chưa được vá lỗi đầy đủ, trước khi tiến hành các giao dịch trực tuyến quan trọng, người dùng cần kiểm tra xem website có lỗ hổng hay không bằng cách truy cập địa chỉ Bkav.com.vn/sslScan. Đối với quản trị viên hệ thống, cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g.
Ngoài ra bạn cũng có thể sử dụng một chương trình khác để kiểm tra do filippo cung cấp tại đây: http://filippo.io/Heartbleed/
Nguồn: Công ty ANM Bkav