GIỚI THIỆU HỎI ĐÁP HƯỚNG DẪN TỪ ĐIỂN Kiếm tiền Mua VIP

Bảo vệ mình khỏi lỗ hổng bảo mật mạng có tên "Trái tim rỉ máu"? - How to protect yourself against the 'Heartbleed' bug?

Xuất bản 10-07-2015
Bảo vệ mình khỏi lỗ hổng bảo mật mạng có tên
A major new security vulnerability dubbed Heartbleed was disclosed Monday night with severe implications for the entire Web. The bug can scrape a server's memory, where sensitive user data is stored, including private data such as usernames, passwords, and credit card numbers.
Tối hôm thứ 2, người ta phát hiện ra một lỗ hổng bảo mật mới rất lớn được đặt tên là Heartbleed (trái tim rỉ máu) với hàm ý lỗ hổng này cực kỳ nghiêm trọng đối với toàn bộ Web. Lỗi này có thể khiến kẻ xấu lần mò vào được bộ nhớ của máy chủ, nơi lưu trữ các dữ liệu nhạy cảm của người dùng, trong đó có các dữ liệu cá nhân như tên người dùng, mật khẩu, và số thẻ tín dụng.

It's an extremely serious issue, affecting some 500,000 servers, according to Netcraft, an Internet research firm. Here's what you can do to make sure your information is protected, according to security experts contacted by CNET:
Theo Netcraft, một công ty nghiên cứu Internet, lỗ hổng như vậy là vấn đề cực kỳ nghiêm trọng rồi, ảnh hưởng tới những 500 ngàn máy chủ còn gì. Các chuyên gia an ninh mạng đã cho CNET biết, bạn có thể thực hiện các biện pháp sau đây để bảo vệ thông tin của mình:

Do not log into accounts from afflicted sites until you're sure the company has patched the problem. If the company hasn't been forthcoming -- confirming a fix or keeping you up to date with progress -- reach out to its customer service teams for information, said John Miller, security research manager for TrustWave, a security and compliance firm.
Không đăng nhập vào tài khoản từ các trang bị ảnh hưởng chừng nào bạn còn chưa chắc chắn là công ty quản lý cái trang đó đã vá được lỗi này hay chưa. Nếu công ty ấy chưa chỉ dẫn - tức là chưa xác nhận là đã sửa được lỗi hoặc họ không cập nhật cho bạn tiến trình sửa lỗi - thì bạn liên lạc với bộ phận dịch vụ khách hàng để nắm thông tin - theo ông John Miller, giám đốc nghiên cứu công ty an ninh mạng Trustwave.

Some Web sites that appeared to have been affected included Yahoo and OKCupid, though the companies have said their sites are all or partly fixed (see below for details).
Một số trang web có vẻ như đã bị ảnh hưởng bao gồm cả Yahoo và OKCupid, mặc dù các công ty này tuyên bố tất cả những trang web của họ đều đã được sửa chữa hoàn toàn hoặc một phần.

The natural response might be to want to change passwords immediately, but security experts suggest waiting for confirmation of a fix because further activity on a vulnerable site could exacerbate the problem.
Phản ứng tự nhiên có lẽ là muốn đổi mật khẩu ngay tức thì, nhưng các chuyên gia an ninh mạng khuyến cáo hãy đợi xác nhận sửa xong lỗi đã, vì cứ thao tác nhiều trên cái trang bị ảnh hưởng ấy, bạn càng làm cho vấn đề trầm trọng hơn mà thôi.

Once you've got confirmation of a security patch, change passwords of sensitive accounts like banks and email first. Even if you've implemented two-factor authentication -- which, in addition to a password asks for another piece of identifying information, like a code that's been texted to you -- changing that password is recommended.
Khi người ta xác nhận là đã vá xong lỗ hổng, bạn hãy đổi mật khẩu các tài khoản nhạy cảm trước chẳng hạn tài khoản ngân hàng và thư điện tử. Ngay cả trường hợp bạn dùng dịch vụ xác minh gồm hai yếu tố - tức là ngoài mật khẩu đăng nhập còn phải cung cấp thêm thông tin nhận dạng khác, chẳng hạn mã số họ đã gửi cho bạn qua tin nhắn - thì bạn cũng cứ đổi mật khẩu đi.

Don't be shy about reaching out to small businesses that have your data to make sure they are secure. While the high-profile companies like Yahoo and Imgur certainly know about the problem, small businesses might not even be aware of it, said TrustWave's Miller. Be proactive about making sure your information is safe.
Để bảo đảm các dữ liệu của mình an toàn, bạn đừng ngại khi phải liên lạc với những công ty nhỏ đang nắm giữ các dữ liệu của bạn. Mặc dù các công ty nổi tiếng như Yahoo và Imgur thì họ biết rõ về vấn đề này rồi, nhưng những công ty nhỏ thậm chí có thể họ còn chưa biết gì đâu đấy, chuyên gia Miller của TrustWave cảnh báo. Hãy chủ động chắc cú là thông tin của mình an toàn.

Keep a close eye on financial statements for the next few days. Because attackers can access a server's memory for credit card information, it wouldn't hurt to be on the lookout for unfamiliar charges on your bank statements.
Theo dõi sát sao các sao kê tài chính trong những ngày tới đây. Vì kẻ tấn công có thể truy cập vào bộ nhớ của máy chủ để lấy thông tin thẻ tín dụng, nên đâu có mất gì đâu mà không để ý các khoản tiền phải trả bất thường trên bản sao kê ngân hàng nhỉ.

Even after following these guidelines, there is still some riskiness in surfing the Web in the aftermath of the bug. Heartbleed is even said to affect browser cookies, which track users' activity on a site, so even visiting a vulnerable site without logging in could be risky. The Tor Project, which stresses anonymity and privacy, wrote in a blog post that users with those needs "might want to stay away from the Internet entirely for the next few days while things settle."
Ngay cả khi đã làm theo các chỉ dẫn này, máy bạn vẫn có nguy cơ bị virus tấn công trong quá trình lướt Web vì hậu quả của lỗi bảo mật ấy vẫn còn. Lỗi bảo mật 'Trái tim rỉ máu' thậm chí còn được cho là có ảnh hưởng đến các cookies trình duyệt, những cái này theo dõi hoạt động của người dùng trên một trang nào đó, cho nên khi vào một trang web có khả năng bị ảnh hưởng thậm chí không đăng nhập vào thì có thể vẫn rất là nguy hiểm. Dự án Tor, dự án nhấn mạnh sự nặc danh và quyền riêng tư, nói trên một blog rằng những người dùng có các nhu cầu như vậy "có lẽ cần tránh xa Internet hoàn toàn trong vài ngày tới cho đến khi giải quyết xong mọi chuyện."

Yahoo seems to be the most major Web to site have been vulnerable to the bug (preliminary tests for Facebook, Google, and Twitter's Web sites said they appear to be safe). The company said that it has "successfully made appropriate corrections" to the main Yahoo properties: Yahoo Homepage, Search, Mail, Finance, Sports, Food, Tech, Flickr and Tumblr. Still, a Yahoo spokesperson said the company is still working to make the fix across the rest of the Yahoo sites.
Yahoo có lẽ là trang web có nguy cơ bị lỗi này cao nhất (các kiểm tra sơ bộ đối với những trang Facebook, Google, và Twitter đều cho thấy chúng có vẻ an toàn). Công ty Yahoo thông báo họ đã "tiến hành chỉnh sửa thích hợp và thành công" đối với các trang của Yahoo như: Trang chủ Yahoo, Search, Mail, Finance, Sports, Food, Tech, Flickr và Tumblr. Nhưng một người phát ngôn của Yahoo cho biết công ty này vẫn đang tiếp tục sửa lỗi cho các trang còn lại của hãng.

"I encourage users to not log in into [Yahoo] and other services that are affected since the credentials could have been leaked if they used the service," said Jaime Blasco, director of AlienVault Labs, a security research firm. "As soon as Yahoo solves the issue, it will be helpful if users change their password just in case."
Jaime Blasco, Giám đốc hãng nghiên cứu an ninh mạng AlienVault Labs, nói: "Tôi khuyến khích người dùng không đăng nhập vào Yahoo và các dịch vụ khác bị ảnh hưởng vì các dữ liệu quan trọng có thể bị rò rỉ nếu họ sử dụng dịch vụ. Ngay sau khi Yahoo xử lý triệt để vấn đề này, người dùng nên đổi mật khẩu của mình mặc dù chỉ là để đề phòng mà thôi."

Yahoo has been stressing authentication of late, so that the company would be able to provide a more personalized experience to users, a drum CEO Marissa Mayer has been beating almost since she took over the company. Yahoo provides services like email and fantasy sports, requiring passwords to get access to the applications.
Gần đây Yahoo đã nhấn mạnh đến việc xác thực khi sử dụng dịch vụ, để công ty này có thể cung cấp nhiều dịch vụ cá nhân hơn cho người dùng, một cái trống mà Tổng giám đốc điều hành Marissa Mayer đã gõ hầu như là suốt từ khi bà đảm nhiệm công việc tại công ty này đến nay. Yahoo cung cấp các dịch vụ như email và fantasy sports, người dùng phải gõ mật khẩu trước khi sử dụng dịch vụ.

The company has already had some trouble in the security arena. In January, the company had to reset the passwords of some email users after an attempted attack on a third-party's database. In response to the Heartbleed bug, some users have already expressed their outrage on Twitter. Brandon Oxford, from Royal, Ark., wrote: "After this I'm officially done with Yahoo email. I've now set up a Gmail. They seem to be more on top of stuff than Yahoo."
Công ty này đã bị một số rắc rối về bảo mật. Hồi tháng 1, công ty phải đặt lại mật khẩu của một số người dùng thư điện tử sau một vụ tấn công có chủ đích nhắm vào cơ sở dữ liệu của bên thứ ba. Phản ứng lại lỗi bảo mật 'Trái tim rỉ máu', một số người dùng đã bày tỏ sự giận dữ của mình trên Twitter. Brandon Oxford ở Royal, Ark., viết: "Sau vụ này tôi chính thức cạch Yahoo email. Giờ tôi đã tạo một tài khoản Gmail. Có vẻ đỡ cùi bắp hơn Yahoo."

Other companies that were said to be affected chimed in as well. Imgur, the photo-sharing site popular with Reddit users, said: "[We] invalidated sensitive data such as cookies and session IDs, just to be on the safe side. We're proceeding with caution, since the nature of the attack makes it hard to detect, but we have no reason to believe it has been used against Imgur." OKCupid said, "The fix is now fully live on OKCupid."
Các công ty khác được cho là bị ảnh hưởng cũng phụ hoạ theo. Imgur, trang chia sẻ ảnh nổi tiếng với những người sử dụng Reddit, thông báo: "Cho chắc ăn, (chúng tôi) làm mất hiệu lực các dữ liệu nhạy cảm chẳng hạn các cookies và session IDs. Chúng tôi đang tiến hành một cách thận trọng, vì cuộc tấn công vốn khó bị phát hiện, nhưng chúng tôi không có lý do gì mà phải tin nó được dùng để chống lại Imgur." OKCupid thì: "Hiện việc vá lỗi hoàn toàn được thực hiện ngay trên OKCupid."

The question in the aftermath of something like this is whether Web companies will reform their security practices. There has been a move toward Perfect Forward Secrecy (PFS) by many of the major Web companies, but not all of them have implemented the practice. PFS means essentially that encryption keys get a very short shelf life, and are not used forever. "People should want their communications to be secure as possible. PFS is one thing they can push for in the future," said Miller.
Sau vụ lỗi bảo mật này vấn đề đặt ra là liệu các công ty web sẽ đổi mới phương thức bảo mật của mình hay không. Nhiều công ty web lớn đã chuyển qua dùng công nghệ Perfect Forward Secrecy (bí mật chuyển tiếp hoàn hảo - PFS), nhưng không phải mọi công ty đều đã áp dụng công nghệ này. PFS thực chất có nghĩa là các khoá mã hoá có thời hạn sử dụng rất ngắn, và không dùng được mãi mãi. Miller cho biết: "Mọi người đều muốn các thông tin liên lạc của mình càng được bảo mật càng tốt. PFS có thể là cái không thể thiếu được trong tương lai."