Ngày 11 tháng 4 năm 2014 Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) có ban hành văn bản cảnh báo nguy cơ mất an toàn thông tin cho các hệ thống sử dụng thư viện OpenSSL do lỗi ATTT có tên “ TLS heartbeat read overrun.

Lỗi này cho phép tin tặc từ xa có thể đáng cắp các dữ liệu nhạy cảm (như khoá bí mật- private keys) trong bộ nhớ khi tấn công các dịch vụ có sử dụng giao thức bảo mật tầng vận chuyển “TLS/DTLS heartbeat extension” do bộ thư viện OpenSSL cung cấp. Đây là một trong các lỗi ATTT rất nghiêm trọng, phạm vi ảnh hưởng rộng, có khả năng gây mất thông tin trong nhiều ứng dụng tài chính, ngân hàng, thư điện tử v.v…có sử dụng giao thức truyền tin siêu văn bản an toàn HTTPS sử dụng giao thức TLS của thư viện OpenSSL có lỗi để mã hoá dữ liệu trên đường truyền.

Cục công nghệ thông tin đề nghị các đơn vị trực thuộc Bộ nghiên cứu các thông tin và biện pháp kỹ thuật trong tài liệu kèm theo công văn để phổ biến và khắc phục lỗi ATTT này nhằm đảm bảo an ninh, an toàn thông tin trong bộ.

Tham khảo tài liệu kèm theo công văn tại đây:
http://www.vncert.gov.vn/tainguyen/Canh_bao_nguy_co_mat_ATTT_cho_cac_he_thong_su_dung_OpenSSL.pdf

Tham khảo bài viết :

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vừa gửi công văn tới các Sở TT&TT, các đơn vị chuyên trách CNTT của Bộ, cơ quan ngang Bộ hướng dẫn cách khắc phục lỗ hổng Heartbleed của bộ thư viện mở OpenSSL.

Trong công văn đã đưa danh sách các phiên bản thư viện OpenSSL có lỗ hổng Heartbleed là các phiên bản 1.0.1x bao gồm: 1.0.1, 1.0.1-beta1, 1.0.1-beta2, 1.0.1-beta3, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e, 1.0.1f.

VNCERT cũng dẫn công bố của hãng Codenomicon về một số phiên bản hệ điều hành Linux có sử dụng các phiên bản OpenSSL bị lỗi cần cập nhật nâng cấp để đảm bảo an toàn khi sử dụng, gồm: Debian Wheezy (bản stable), Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 và 5.4, FreeBSD 10.0, NetBSD 5.0.2, OpenSUSE 12.2.

VNCERT đánh giá đây là một trong những lỗi an toàn thông tin rất nghiêm trọng, phạm vi ảnh hưởng rộng, có khả năng gây mất thông tin trong nhiều ứng dụng tài chính, ngân hàng, thư điện tử... có sử dụng giao thức truyền tin siêu văn bản an toàn HTTPS sử dụng giao thức TLS của thư viện OpenSSL có lỗi để mã hóa dữ liệu trên đường truyền.

Theo khuyến cáo của VNCERT, muốn biết hệ thống có bị lỗi OpenSSL hay không, các cơ quan, tổ chức cần thực hiện lệnh “openssl version”, sau đó đối chiếu phiên bản OpenSSL do hệ thống trả về với danh sách phiên bản OpenSSL có lỗi.

Cách tốt nhất để khắc phục lỗi an toàn thông tin đặc biệt nghiêm trọng nêu trên là nâng cấp thư viện OpenSSL lên phiên bản mới nhất (hiện tại là phiên bản 1.0.1g). Bên cạnh đó, để ngăn chặn tin tặc lợi dụng khai thác thông tin, có thể áp dụng biện pháp cập nhật cơ sở dữ liệu của các thiết bị IPS hoặc IDS để phát hiện và ngắt truy cập tấn công khai thác điểm yếu lỗ hổng.

Lỗi bảo mật OpenSSL Heart Bleed - Nguy hiểm

Sau 3 ngày xảy ra lỗi bảo mật OpenSSL Heart Bleed (một giao thức bảo mật thông dụng cho tài khoản trực tuyến), các dịch vụ trực tuyến lớn trên thế giới đang bắt tay vá lỗi và phục hồi hệ thống. Trong khi đó, tại Việt Nam một số nguồn tin cho biết hơn chục website thanh toán trực tuyến đã bị hacker tấn công, đánh cắp một số lượng thông tin tài khoản khách hàng.


15 website e-banking bị tấn công

Thông tin ban đầu, lỗi OpenSSL Heart Bleed được công bố rộng rãi trên Internet thông qua các trang diễn đàn bảo mật lớn nhất thế giới là Reddit và trang Heart Bleed.com vào tối 7-4.

Trao đổi với phóng viên Báo SGGP, chuyên giao bảo mật của diễn đàn HVAOnline.net (một trong những website về hacking lớn và lâu đời nhất tại Việt Nam), cho biết ngay trong chiều 8-4, khi các công cụ khai thác trọn vẹn và đầy đủ được các hacker đưa lên mạng, tình trạng khai thác lỗi đã xảy ra trên diện rộng và tràn lan. Do các cộng cụ vá lỗi chưa được cập nhật, liên tiếp các dịch vụ trực tuyến lớn trên thế giới đã bị tấn công, như: yahoo.com, xda-developers.com, stackoverflow.com, adf.ly, fbi.gov, cia.gov…

Cùng thời gian này, các chuyên gia bảo mật Việt Nam cũng nhận được các thông tin chi tiết về lỗi và đưa ra cảnh báo cho cộng đồng các quản trị hệ thống. Theo ghi nhận sơ bộ, ngay trong sáng 8-4, trang chủ Công ty cổ phần VNG đã được vá đầu tiên. Tiếp đó, các cổng thanh toán cũng đã thực hiện vá lỗi như smartlink, 123pay, paygate, sohapay… trong khi nganluong.vn, onepay.vn cũng bắt tay vào thực hiện công việc này.

Tuy nhiên, trong quá trình theo dõi liên tục các báo cáo, cho thấy khoảng 15 website e-banking của các ngân hàng và cổng thanh toán Việt Nam đã bị tấn công. Số lượng các thông tin nhạy cảm như thông tin thẻ và thông tin đăng nhập bị đánh cắp là không thể ước lượng được.

Ông Võ Đỗ Thắng, chuyên gia bảo mật của Trung tâm Đào tạo Athena, cho biết đến 12 giờ 10-4, các ngân hàng nhìn chung đã tiến hành rà soát và fix lỗi OpenSSL Heart Bleed. Tuy nhiên, các công ty chứng khoán cho phép giao dịch trực tuyến thì vẫn còn bị lỗi này.

Cảnh báo mất an toàn

Các chuyên gia bảo mật lý giải, quá trình giao dịch trực tuyến được bảo vệ an toàn trong quá trình trung chuyển qua Internet nhờ giao thức mã hóa bảo mật kết nối SSL/TLS. Khi xảy ra lỗi, các hacker có thể truy cập vào bộ nhớ đệm của OpenSSL - nơi chứa các dữ liệu nhạy cảm đã được giải mã như thông tin thẻ ngân hàng, thẻ tín dụng; thông tin đăng nhập như username và mật khẩu.

Khi chiếm được, hacker có thể thực hiện những giao dịch trực tuyến như người sử dụng chính thức. Nếu không kịp thời vá lỗi, thì lỗi này sẽ khiến Internet trở thành một “miền tây hoang dã” để hacker khai thác.

Ông Võ Đỗ Thắng cũng cho biết, hệ thống giao dịch trực tuyến tại Việt Nam hiện được chia thành các nhóm dịch vụ. Việc mất an toàn xảy ra theo nhiều cấp độ khác nhau và không phải ai cũng bị ảnh hưởng.

Chẳng hạn, đối với các giao dịch trực tuyến thông qua thẻ ATM đăng ký dịch vụ Internet Banking, do khi thực hiện phải kết hợp cả mật khẩu và OTP (mật mã nhắn vào điện thoại di động), nên khả năng mất tiền sẽ không xảy ra. Tuy nhiên, đối với các giao dịch quốc tế sử dụng thẻ Visa, Master Card để đặt khách sạn, mua hàng hóa từ nước ngoài… nguy cơ họ bị hacker chiếm đoạt phiên đăng nhập, chiếm quyền điều khiển là rất lớn. Ngay các nhóm khách hàng công ty chứng khoán cho phép giao dịch trực tuyến cũng được xếp vào nhóm nguy hiểm do độ xác thực yếu.

Để đảm bảo an toàn, ông Nguyễn Hồng Phúc cùng đội ngũ chuyên gia của diễn đàn HVAOnline.net đưa ra cảnh báo, các kỹ sư của các ngân hàng cần lập tức cập nhật OpenSSL lên phiên bản mới nhất, tái khởi động (bắt buộc) lại các hệ thống và thay đổi các chứng chỉ số SSL trên toàn bộ hệ thống có sử dụng OpenSSL. Vì lỗi này không chỉ mở cửa khả năng khai thác trên môi trường web mà mọi môi trường có sử dụng thư viện OpenSSL đều bị ảnh hưởng.

Để tránh mất tiền, người sử dụng cần ngưng ngay mọi giao dịch trực tuyến qua các cổng thanh toán và e-banking cho đến khi các cổng thanh toán và các cổng e-banking này có thông báo chính thức về việc họ đã vá lỗi, vì lỗi này cực kỳ nghiêm trọng và rất dễ bị khai thác bởi các hacker.

Ngày 10-4, Công ty An ninh mạng Bkav đã ra thông báo, hướng dẫn kiểm tra lỗ hổng OpenSSL trong giao dịch trực tuyến. Theo đó, lỗ hổng OpenSSL là rất nghiêm trọng trong hệ thống giao dịch trực tuyến toàn cầu đã đặt hàng triệu người sử dụng vào nguy cơ mất thông tin, mất tiền khi tham gia thanh toán trực tuyến. Trong khi nhiều hệ thống chưa được vá lỗi, người sử dụng tại Việt Nam có thể kiểm tra một trang web có an toàn để giao dịch hay không bằng công cụ được Bkav cung cấp tại địa chỉ Bkav.com.vn/sslScan.

Bkav cho biết, lỗ hổng nằm trong phần mềm OpenSSL, là thư viện mà các website quan trọng thường dùng để mã hóa dữ liệu, như các website ebanking, thương mại điện tử hay những dịch vụ e-mail như Yahoo, Google… Nhiều cơ quan doanh nghiệp cũng sử dụng OpenSSL để mã hóa dữ liệu, cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua internet.
Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ebanking, truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Chúng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập.

Bkav khuyến cáo, trong những ngày tới, khi các hệ thống còn chưa được vá lỗi đầy đủ, trước khi tiến hành các giao dịch trực tuyến quan trọng, người dùng cần kiểm tra xem website có lỗ hổng hay không bằng cách truy cập địa chỉ Bkav.com.vn/sslScan. Đối với quản trị viên hệ thống, cần kiểm tra website nếu sử dụng OpenSSL phiên bản từ 1.0.1 đến 1.0.1f và 1.0.2beta1 phải cập nhật ngay lên phiên bản mới nhất 1.0.1g.

Trước thông tin có khoảng 15 website e-banking của một số ngân hàng và cổng thanh toán tại Việt Nam đã bị các hacker tấn công, thông qua lỗ hổng bảo mật của thư viện OpenSSL có tên gọi Heart Bleed, ngày 10-4 nhiều ngân hàng đã lên tiếng khẳng định không bị ảnh hưởng bởi lỗ hổng bảo mật này.

Theo đại diện của VietinBank, ngay khi thông tin này được công bố, ngân hàng đã tiến hành kiểm tra đánh giá và mời chuyên gia của Bkav, công ty hàng đầu Việt Nam về an ninh bảo mật để độc lập kiểm tra, đánh giá hệ thống các website của Vietinbank đối với lỗi bảo mật trên. Trên cơ sở các kết quả kiểm tra, VietinBank khẳng định hệ thống VietinBank hoàn toàn không bị ảnh hưởng bởi lỗ hổng bảo mật OpenSSL Heart Bleed.

Trong khi đó, đại diện Vietcombank cũng cho biết sau khi rà soát và đã kiểm tra lại toàn bộ hệ thống hạ tầng mạng, Vietcombank khẳng định không gặp phải những lỗi này. Vietcombank khuyến cáo khách hàng khi sử dụng dịch vụ ngân hàng trực tuyến tuyệt đối không thực hiện gián tiếp thông qua các đường link nhận được từ email/tin nhắn hoặc trên trang web nào đó tạo ra, mà phải truy cập trực tiếp vào trang chủ của Vietcombank.

Ngân hàng Techcombank cũng cho biết, hiện không sử dụng phiên bản phần mềm bị lỗi OpenSSL. Ngân hàng này cho biết, khách hàng hoàn toàn yên tâm về tính an toàn, bảo mật và tin cậy của dịch vụ ngân hàng điện tử e-banking của Techcombank. Hệ thống Internet Banking của Techcombank không sử dụng giải pháp OpenSSL do vậy không bị ảnh hưởng bởi lỗ hổng bảo mật này.

Ngân hàng ráo riết “phòng thủ” lỗ hổng thanh toán trực tuyến

Các ngân hàng đều khẳng định, hệ thống giao dịch trực tuyến vẫn an toàn, đội ngũ kỹ thuật vẫn theo dõi và xử lý, kiểm soát tấn công.

Một thông tin đang gây chấn động cộng đồng Internet khi các chuyên gia công nghệ hàng đầu thế giới đưa ra lời cảnh báo về sự xuất hiện của một lỗ hổng bảo mật đe dọa các trang web thanh toán trực tuyến toàn cầu. Theo ghi nhận, đây là một trong những sự cố nguy hiểm nhất từng được phát hiện trong vài năm gần đây. Hiểu một cách đơn giản, một trang web bị lỗi bảo mật, các hacker sẽ dễ dàng “bẻ khóa” và chiếm được toàn bộ dữ liệu, từ mật mã, thông tin tài khoản ngân hàng, sau đó nghiễm nhiên “cuỗm” tiền mà không để lại dấu vết.

Tại Việt Nam, các chuyên gia nhận định, đã có ít nhất hơn chục website e-banking của các ngân hàng và cổng thanh toán bị hacker tấn công thông qua lỗ hổng “Heartbleed” này. Phía nhà băng cũng đang ráo riết lên phương án “phòng thủ” để ngăn chặn “bàn tay vô hình” của những “kẻ cướp giấu mặt”.

“Kẻ cướp” mang tên “trái tim rỉ máu”

Đối với người dân Việt Nam, không phải ai cũng biết đến khái niệm lỗ hổng Open SSL Heartbleed (tạm dịch: “trái tim rỉ máu”). Thế nhưng, với dân công nghệ, đây là khái niệm tương đối quen thuộc. Hiểu một cách đơn giản, Open SSL là một thư viện phần mềm mã nguồn mở có tác dụng biến những thông tin giao dịch trên Internet thành mã hóa để đảm bảo tính bảo mật.
Đơn vị sử dụng sẽ mua lại từ các nhà cung cấp ở nước ngoài và dùng làm “lá chắn” cho hệ thống của mình. Gmail, yahoo và phần lớn các trang web, dịch vụ bán hàng trực tuyến trên mạng Internet đều sử dụng hệ thống bảo mật này.
Thế nên, khi thế giới phát đi lời cảnh báo, các đơn vị tại Việt Nam sử dụng “lá chắn” này đều không khỏi cảm thấy bất an. Trao đổi với PV báo Người Đưa Tin, ông Vũ Mạnh Hùng, Giám đốc công ty cổ phần Thương mại và Truyền thông VMH Việt Nam cho biết, đây là một lỗi rất nguy hiểm, bên cạnh việc ảnh hưởng đến các website lớn trên thế giới, tại Việt Nam rất nhiều ngân hàng và cổng thanh toán cũng gặp lỗi tương tự.

Theo ông Hùng, các hacker có thể lợi dụng lỗi để dùng các công cụ ăn cắp các tài khoản và thông tin cá nhân khi người dùng tiến hành các giao dịch trực tuyến. “Từ những thông tin này, chúng có thể “âm thầm” rút tiền của khách hàng mà không để lại bất kỳ dấu vết gì. Phía khách hàng thậm chí còn không biết việc mình bị ăn cắp. Mặt khác, hacker cũng sử dụng dữ liệu cá nhân của người dùng để phục vụ cho mục đích khai thác về sau. Số lượng thông tin bị đánh cắp tại Việt Nam hiện tại rất khó có thể ước lượng được”, ông Hùng nhấn mạnh.

Ông Hùng cũng cho rằng, bản thân các tập đoàn lớn như Yahoo, Gmail cũng từng bị tấn công bằng hình thức nói trên. Cách thức “ăn cắp” cũng xảy ra tương tự. “Tại Việt Nam, theo ghi nhận của tôi, trước đây chưa xuất hiện hình thức tấn công tương tự vào hệ thống ngân hàng, tuy nhiên, trong lĩnh vực viễn thông thì đã từng gặp phải. Trong lần tấn công này, hiện vẫn chưa thống kê được chính xác đã có những khách hàng nào trở thành “nạn nhân” hay chưa. Bản thân các ngân hàng cũng chưa công bố”, ông Hùng cho biết thêm.

 “Người trong cuộc”  lên tiếng

Theo các chuyên gia của diễn đàn bảo mật HVA Online, chiều 8/4, các báo cáo cho thấy, một số website e-banking của các ngân hàng và cổng thanh toán của Việt Nam đã bị tấn công. Số lượng các thông tin nhạy cảm như thông tin thẻ, thông tin đăng nhập bị đánh cắp là không thể ước lượng được.

Cũng theo diễn đàn này, phần lớn trang chủ e-banking của các ngân hàng đều đã được vá nhưng chưa xác định được đã vá toàn hệ thống hay chưa. Phóng viên báo Người Đưa Tin cũng đã trao đổi qua điện thoại với đại diện một số ngân hàng được cho là “người trong cuộc” để nắm thêm diễn biến. Các ngân hàng được hỏi đều khẳng định, hệ thống giao dịch trực tuyến vẫn an toàn, đội ngũ kỹ thuật vẫn theo dõi và xử lý, kiểm soát tấn công.

Đại diện ngân hàng Thương mại cổ phần Ngoại thương Việt Nam (Vietcombank) nhận định, sẽ cho kiểm tra lại toàn bộ hệ thống để ngăn chặn hacker tấn công. Theo lời vị này, lỗ hổng trên rất nghiêm trọng nên đã khuyến cáo khách hàng cẩn trọng khi sử dụng thông tin trên các trang web giao dịch trực tuyến.

Phía ngân hàng Thương mại cổ phần Nam Á (NamABank) cũng khẳng định giao dịch trực tuyến của ngân hàng này vẫn an toàn. Các nhân viên kỹ thuật vẫn đang theo dõi chặt chẽ, nếu phát hiện ra bất cứ lỗ hổng nào sẽ có khuyến cáo khách hàng ngay lập tức. Hiện tại khách hàng có thể yên tâm sử dụng giao dịch trực tuyến.

Phản hồi với báo giới, đại diện ngân hàng Thương mại cổ phần Bưu điện Liên Việt (LienVietPostBank), ngân hàng Thương mại cổ phần Đầu tư và Phát triển Việt Nam (BIDV) và một số ngân hàng khác cũng cho biết giao dịch trực tuyến của ngân hàng vẫn an toàn, chưa thấy có dấu hiệu bị tấn công

Từ sự cố này, các chuyên gia an ninh mạng cũng đưa ra những lời cảnh báo tới khách hàng. Theo đó, để đề phòng bị tấn công, “thượng đế” cần hạn chế các giao dịch quốc tế. Trong trường hợp bị ảnh hưởng khi tiến hành các giao dịch trực tuyến, khách hàng nên đi làm lại thẻ thanh toán quốc tế như Visa hay Master card của mình. Hoặc có thể nhờ ngân hàng thay đổi số Security Code được in cố định trên thẻ để tránh các rủi ro sau này.

Đồng quan điểm, ông Nguyễn Hồng Phúc, chuyên gia của HVA Online cũng khuyến cáo, nếu bị ảnh hưởng từ lỗ hổng này và được ngân hàng thông báo, khách hàng nên đi làm lại thẻ quốc tế. Bởi với lỗi bảo mật này, bằng các công cụ khai thác, hacker sẽ lấy được toàn bộ thông tin của khách hàng từ mã thẻ, số thẻ lẫn thông tin cá nhân về họ tên, địa chỉ…        

“Nạn nhân” bị tấn công mà không hề biết

Hãng tin Reuters dẫn lời phát ngôn viên của hãng bảo mật Codenomicon: “Chúng tôi đã thử vào vai tin tặc để kiểm tra khả năng bảo mật của một số dịch vụ trực tuyến. Chúng tôi đã thâm nhập được vào hệ thống của chính mình từ bên ngoài mà không hề để lại dấu vết gì”.
Thông tin này đồng nghĩa với việc các nạn nhân có thể đã không biết được liệu dữ liệu của họ có bị thâm nhập hay chưa vì lỗi bảo mật này đã tồn tại khoảng 2 năm. ước tính có đến hàng trăm ngàn trang web và hệ thống máy chủ của các nhà cung cấp dịch vụ email trên toàn thế giới đang cần được “vá” lỗ hổng này.