CLB PMTDNM Việt Nam (VFOSSA)


Thông cáo báo chí của VFOSSA liên quan đến lỗ hổng bảo mật HeartBleed của OpenSSL

Tác giả: BCH VFOSSA      Đăng vào: Thứ năm, 17-04-2014
Liên quan đến lỗ hổng bảo mật HeartBleed của phần mềm nguồn mở OpenSSL xuất hiện trong thời gian vừa qua, Câu lạc bộ Phần mềm Tự do Nguồn mở Việt Nam (VFOSSA) đã sớm quan tâm đến vấn đề này và đã có những thảo luận tích cực trên diễn đàn nội bộ và diễn đàn ICT-VN. VFOSSA ra thông cáo này với tư cách là đơn vị thành viên của Hội tin học Việt Nam (VAIP) và cũng là đại diện cho tập thể các doanh nghiệp, tổ chức và cá nhân làm về phần mềm nguồn mở.

Trước một số thông tin đa chiều của cộng đồng CNTT Việt Nam về lỗ hổng bảo mật HeartBleed của OpenSSL, VFOSSA cung cấp một bản tổng hợp và kết luận tạm thời nhằm làm làm rõ thêm các thông tin và nhận định chưa chính xác về OpenSSL nói riêng và phần mềm nguồn mở nói chung.

Về phần mềm nguồn mở OpenSSL [1] : Đây là thư viện quan trọng của giao thức SSL/TLS, đóng vai trò bảo vệ các thông tin được truyền qua mạng internet. Mã nguồn OpenSSL được sử dụng phổ biến nhất trong giao thức mã hóa đường truyền SSL/TLS. Các hệ thống máy chủ web của Google, Yahoo, YouTube, Facebook, cùng với nhiều cổng thanh toán trực tuyến ở các quốc gia trên toàn thế giới đều có sử dụng OpenSSL. Không chỉ có web, OpenSSL được sử dụng như một thư viện trong nhiều hệ thống từ phần mềm cho tới máy chủ, trong trình duyệt, firmware của các hệ thống bảo mật... nó cho thấy sự phổ biến của phần mềm nguồn mở vào mọi ngõ ngách của công nghệ.

Về lỗi bảo mật HeartBleed của OpenSSL: Theo [2] Lỗi này cho phép truy cập bất hợp pháp đến một vùng bộ nhớ của máy chủ lên đến 64KB một cách liên tục, không hạn chế, không qua bất kỳ giao thức nào và không để lại dấu vết. Bằng cách này, tin tặc có thể lấy và giải mã được các thông tin quan trọng cần bảo mật như khóa bí mật (Private Key), tên tài khoản (Username), từ khóa truy cập (Password)… thậm chí, giả mạo các máy chủ để gửi đi các thông tin đến người dùng.

Đoạn code bị lỗi có mặt trong OpenSSL từ tháng 12/2011 và bắt đầu lan rộng khi OpenSSL phát hành phiên bản 1.0.1 ngày 14/3/2012. Khi đó lỗi chưa được phát hiện. Vì thế, các phiên bản tiếp theo của OpenSSL (từ 1.0.1a đến 1.0.1f) đều bị mắc lỗi này. Đến tận cuối năm 2013 lỗi mới được chuyên gia của Codenomicon và Google Security phát hiện một cách độc lập và gần như đồng thời. Lỗi được chính thức công bố trong danh mục chuẩn quốc tế lỗ hổng an ninh và nguy cơ an toàn hệ thống thông tin (Common Vulnerabilities and Exposures - CVE) ngày 03/12/2013, mã số CVE-2014-0160 [3]. Trang tin chính thức và chi tiết về quá trình phát hiện lỗi này xin tham khảo tại [4].

Ngày 05/04/2014 lỗi đã được sửa trên kho mã nguồn của OpenSSL. Phiên bản OpenSSL 1.0.1g phát hành ngày 7/4/2014 đã sửa lỗi này.

Theo đánh giá chung của các chuyên gia về an ninh an toàn hệ thống thông tin trên thế giới và của VFOSSA, đây là một lỗi có độ phức tạp cao, nhưng nhờ có sự vào cuộc của các chuyên gia an ninh/bảo mật từ các doanh nghiệp công nghệ hàng đầu trên trên giới cùng với sự làm việc tích cực của các lập trình viên trong các dự án phần mềm nguồn mở khác nhau, việc vá lỗi đã được hoàn thành. Ngoài ra, nhờ sự phản ứng mau lẹ của giới phần mềm nguồn mở, từ lúc có bản vá đến lúc được đưa vào kho chính thức của các Linux distro là cực nhanh (vài giờ) với những thông tin hướng dẫn hết sức chi tiết. Như vậy, ngay cả trong sự cố, cơ chế linh hoạt và cởi mở theo tinh thần hợp tác của cộng đồng phần mềm nguồn mở đã phát huy hiệu quả.

Dựa trên thống kê của Netcraft [5], trên Internet có tới 17.5% website sử dụng SSL, tương đương với nửa triệu chứng chỉ số bị ảnh hưởng bởi lỗ hổng HeartBleed, và lỗ hổng này không chỉ ảnh hưởng đến website mà còn ảnh hưởng đến nhiều hệ thống khác có liên quan, trong đó có trình duyệt, hệ điều hành và các hệ thống có chứa thư viện OpenSSL. Như vậy phạm vi ảnh hưởng của lỗ hổng HeartBleed đã lan tới hầu như mọi ngõ ngách mà lĩnh vực công nghệ thông tin đang phục vụ.

Khuyến cáo của VFOSSA : Nguy cơ mất an ninh vẫn chưa hết cho dù lỗi đã được loại bỏ, bởi vì một khi lỗi đã được khai thác, đồng nghĩa với việc thông tin trên hệ thống có nguy cơ đã bị bại lộ. Việc sửa lỗ hổng sẽ hạn chế được khả năng tiếp tục bị đánh cắp thông tin, song những thông tin đã bị đánh cắp thì không thể lấy lại được. Đặc biệt, trong trường hợp khóa bảo mật và thông tin người dùng đã bị bại lộ, nếu không được thay đổi, hệ thống vẫn gặp nguy hiểm kể cả sau khi đã được sửa lỗi. Với người dùng, bật thêm các chức năng như xác thực 2 lần sẽ giúp tăng tính an toàn, tuy nhiên nó vẫn không giải quyết được triệt để nguy cơ bị lộ thông tin. Việc này phải được làm từ phía quản trị hệ thống. Việc thay đổi mật khẩu người dùng chỉ có tác dụng khi hệ thống đã được vá lỗi (bao gồm cả việc thay khóa bảo mật và các biện pháp an ninh phù hợp với chính sách giải quyết sự cố trong sau khủng hoảng an ninh thông tin).

Lỗ hổng HeartBleed là một lỗi lập trình, có thể xảy ra trong mọi dự án phát triển phần mềm, không liên quan đến việc vì OpenSSL là dự án PMNM mà nó mới xảy ra hoặc vì thê thành ra nghiêm trọng hơn. Ngược lại qua sự việc này, chúng ta càng thấy rõ hơn tính minh bạch, sự đồng tâm hiệp lực của cộng đồng PMNM trong việc phát hiện và khắc phục sự cố đã đem lại kết quả rất nhanh chóng và ngoạn mục, điều mà chỉ có mô hình phát triển PMNM mới có được. Thời gian và thực tế sẽ chứng minh những sự cố như HeartBleed, không phải ví dụ đầu tiên và chắc chắn sẽ không phải lỗi cuối cùng của OpenSSL và rộng hơn của PMNM, sẽ làm cho OpenSSL mạnh mẽ hơn, an toàn hơn, sẽ càng khẳng định tính ưu việt và khả năng tiềm tàng của mô hình phát triển và hệ sinh thái PMNM nói chung.

Là tổ chức đại diện cho cộng đồng phần mềm nguồn mở ở Việt Nam, VFOSSA sẵn sàng tiếp nhận những yêu cầu và trong khả năng của mình sẽ hỗ trợ hết sức các tổ chức, cá nhân về vấn đề này. Chúng tôi đã lập chuyên mục riêng về HeartBleed [6] trên cổng thông tin vfossa.vn [6] trong đó có mục hỏi đáp cũng như đầu mối liên lạc với các chuyên gia của VFOSSA về vấn đề này.

Ban truyền thông CLB PMTDNM Việt Nam (VFOSSA)

Tài liệu tham khảo:
[1] OpenSSL, https://www.openssl.org/
[2] HeartBleed trên Wikipedia, http://en.wikipedia.org/wiki/Heartbleed#Discovery
[3] CVE-2014-0160, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
[4] Trang HeartBleed của Codenomicon, http://heartbleed.com/
[5] Thống kê của Netcraft về ảnh hưởng của HeartBleed, http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
[6] Chuyên mục HeartBleed của VFOSSA, http://vfossa.vn/vi/news/topic/HeartBleed/

Các bản tin cùng thể loại

Mới nhất

Cũ hơn

 

Tin mới


Thống kê truy cập

  • Đang truy cập: 41
  • Khách viếng thăm: 40
  • Máy chủ tìm kiếm: 1
  • Hôm nay: 2100
  • Tháng hiện tại: 69735
  • Tổng lượt truy cập: 12491925