OpenSSL- Heartbleed "Trái Tim Rỉ Máu"
Trái
Tim Rỉ Máu _OPENSSL
Vừa
qua thế giới công nghệ, báo trí rùng beng về điểm yếu bảo mật “OpenSSL HeartBleed” những bài báo gây tranh
cải:
Các chuyên gia bảo mật của các tổ chức thì phân tích điểm yếu này:
Vậy trái tim rỉ máu là gi?
Trái
tim rỉ máu là gì, phương pháp tấn công, các bạn xem bài viết này sẽ rõ:
Bản
thân cũng là người làm trong giới bảo mật, và lĩnh vực Banking, qua phân tích
đánh giá hệ thống thực tế , tôi có có đánh giá sau.
Các hệ thống EBanking
của các Ngân hàng Việt Nam không ảnh hưởng bởi điểm yếu này vì khả năng dính điểm
yếu này thấp và giả sử hệ thống tồn tại Hacker không thể thực hiện tấn công
được, nguyên nhân :
1,
EBanking hiện đang sử dụng hệ điều hành không mắc điểm yếu này.
Các
hệ thống Bank đang sử dụng cho hệ thống EBank của mình 90% là AIX OS, Unix OS
hệ điều hành này không ảnh hưởng bởi điểm yếu này. Và 10 % sử dụng Redhat đa số
là phiên bản Red Hat Enterprise Linux
Server release phiên bản mặc định openssl là
0.9.8b và 1.0.0 không ảnh hưởng bởi điểm yếu này.
Phiên
bản openssl bị ảnh hưởng: 1.0.1, 1.0.1a,
1.0.1b , 1.0.1c, 1.0.1d , 1.0.1e , 1.0.1f
2,
Tất cả hệ thống EBank của Việt Nam và các Bank trên thế giới hiện tại xác thực
EBank tối thiểu hai yếu tố :
Ngoài user/password hệ thống còn xác thực qua OTP và
thập chí cả token (chữ ký số). Hacker phải có cả các yếu tố trên mới có thể
đăng nhập và thực hiện trên EBanking của Bank, điều này có thể nhưng cần phải
thực hiên nhiều bước nữa như “social engineering” nôm na là lừa đảo xã hội ,
lúc đấy Hacker phải có cả điện thoại hoặc mail của người sử dụng để nhận mã
OTP, Hacker phải có Token có khóa bí mật để sử dụng chữ ký số của người dùng và
kết điểm yếu trên tấn công thành công lấy tài khoản của người dùng. Điều này
khó (dường như không thể) và cần có thời gian.
Qua đánh giá
phân tích hệ Bản thân nhận thấy các thống Việt Nam mình đang mắc lỗ hổng này đa
số hệ thống không phải EBank mà hệ thống như: Mail, thanh toán trực tuyến,
trang nội bộ của tổ chức đa số đang sử dụng OS CentOS.
