Lỗi OpenSSL Heartbleed là gì và tại sao bạn nên quan tâm?
Là người dùng Internet thông thường, bạn mong đợi nền của Internet chỉ hoạt động . Mọi thứ diễn ra đằng sau hậu trường, mọi mã hóa, tất cả các giao diện bắt tay, và mọi giao dịch nhỏ đều có thể cung cấp cho bạn một cách an toàn để giao tiếp và kinh doanh trực tuyến mà không phải lo lắng về tin tặc. Thật không may đó không phải là cách Internet hoạt động, và lỗi "Heartbleed" OpenSSL là bằng chứng dứt khoát về điều này. Có một số điều bạn nên biết về lỗi này bởi vì, trong mọi khả năng, nó liên quan đến bạn nhiều hơn bạn nghĩ.
OpenSSL là gì ?!
OK, vì vậy tôi đã đề cập OpenSSL hai lần và thậm chí không giải thích cho bạn. Bạn có thấy biểu tượng khóa nhỏ bên cạnh “ https: // ” trên trình duyệt của mình khi bạn nhập các trang web “an toàn” không? Nó trông giống như thế này trên trình duyệt web Chrome của Google:
Khi bạn thấy điều đó, bạn đang sử dụng một dạng mã hóa đặc biệt được gọi là lớp cổng bảo mật (SSL) hoặc bảo mật lớp truyền tải (TLS). Để cung cấp các dịch vụ với mã hóa này, bạn cần một thuật toán sẽ cung cấp mã hóa / giải mã cho các gói mà bạn trao đổi với máy chủ. Điều này có nghĩa rằng họ cần phải có một cách để dịch văn bản của bạn thành vô nghĩa không đọc được và sau đó dịch nó trở lại từ đó thành dạng có thể đọc được trên đầu của riêng họ. Sử dụng công nghệ này, nếu một hacker bằng cách nào đó quản lý để can thiệp vào kết nối của bạn với máy chủ, tất cả những gì anh ta sẽ đọc là một chuỗi dài của lảm nhảm.
Bây giờ, chúng ta sẽ đến phần (cuối cùng), nơi chúng ta giải thích OpenSSL là gì: Đó là một giao thức SSL / TLS miễn phí và mã nguồn mở. Với công nghệ này, bất kỳ ai cũng có thể cung cấp dịch vụ được mã hóa cho bạn. Nhiều công ty bạn có tài khoản có thể sử dụng OpenSSL để mã hóa dữ liệu của bạn.
Nhưng nếu OpenSSL có một lỗi hoàn toàn đánh bại mục đích mã hóa thì sao?
Giải thích về lỗi
Vào ngày 10 tháng 4 năm 2014, những người ở PerfectCloud, một công ty bảo mật danh tính, đã báo cáo về một lỗ hổng lớn trong mã hóa OpenSSL được gọi là lỗi “Heartbleed”. Trong hai năm, chúng tôi đã không nhìn thấy một phiên bản mới của OpenSSL, và trong thời gian đó nó đã có một vấn đề trong mã của nó mà tiếp xúc với một chút bộ nhớ máy chủ. Bộ nhớ này có thể chứa các khóa riêng được sử dụng để mã hóa / giải mã dữ liệu. Ouch!
Điều này có nghĩa là hacker có thể khám phá các khóa mật mã của máy chủ và giải mã mọi thứ bạn gửi cho nó, bao gồm tên người dùng, mật khẩu và mọi thứ khác quan trọng và thân thiết với bạn.
Lỗi này đã được sửa vào ngày 7 tháng 4 năm 2014, nhưng điều đó không có nghĩa là mọi người đã theo dõi bằng bản cập nhật cho việc triển khai OpenSSL của họ. Các công ty Internet lớn như Amazon và Yahoo đã quan tâm đến vấn đề này, nhưng điều đó vẫn không có nghĩa là bạn đang ở trong tình trạng rõ ràng! Một hacker có thể có tên người dùng và mật khẩu của bạn trong danh sách ngay bây giờ đã sẵn sàng để được sử dụng để thử truy cập vào bất kỳ tài khoản nào khác mà bạn có thể có ở nơi khác.
Những gì bạn nên làm?
Vì vậy, ngay cả khi một công ty nâng cấp lên bản triển khai OpenSSL mới nhất, bạn vẫn có nguy cơ bị phơi nhiễm trước đó . Tuy nhiên, nếu có bất kỳ nỗ lực hacking nữa, họ sẽ không thành công. Những gì bạn có thể làm trong tình huống này là thay đổi mật khẩu của bạn ở khắp mọi nơi. Đừng để nó đợi. Chỉ cần thay đổi mọi thứ để bạn chuẩn bị nếu một hacker từng quyết định thử tài khoản của bạn.
Còn suy nghĩ gì nữa không?
Lỗi này chỉ đơn giản cho thấy cách tinh tế và đan xen Internet là. Mặc dù nhận thức bảo mật đang bùng nổ và sự khiếp sợ không được kiểm soát, Internet vẫn là internet, và nó sẽ luôn bị bao vây. Bạn có những khuyến nghị nào cho các công ty sử dụng OpenSSL? Sự hiểu biết của bạn về các hệ sinh thái bảo mật thay đổi như thế nào? Bạn có nhầm lẫn về một cái gì đó? Đăng suy nghĩ của bạn về bất kỳ điều gì liên quan đến OpenSSL trong khu vực nhận xét bên dưới!