Bảo vệ mình khỏi lỗ hổng bảo mật mạng có tên "Trái tim rỉ máu"? - How
to protect yourself against the 'Heartbleed' bug?
Hiện nay người ta phát hiện một lỗ hổng bảo mật cực kỳ nghiêm trọng đối với toàn bộ
web.
Lỗi có tên "trái tim rỉ máu', nó khiến kẻ xấu lần mò vào máy chủ nơi lưu trữ những
dữ liệu quan trọng và nhạy cảm của người dùng. Các bạn hãy tìm hiểu ngay và thực
hiện các biện pháp dưới đây để bảo vệ thông tin của mình nhé.
A major new security vulnerability dubbed Heartbleed was disclosed Monday night
with severe implications for the entire Web. The bug can scrape a server's memory,
where sensitive user data is stored, including private data such as usernames,
passwords, and credit card numbers.
Tối hôm thứ 2, người ta phát hiện ra một lỗ hổng bảo mật mới rất lớn được đặt tên là
Heartbleed (trái tim rỉ máu) với hàm ý lỗ hổng này cực kỳ nghiêm trọng đối với toàn bộ
Web. Lỗi này có thể khiến kẻ xấu lần mò vào được bộ nhớ của máy chủ, nơi lưu trữ
các dữ liệu nhạy cảm của người dùng, trong đó có các dữ liệu cá nhân như tên người
dùng, mật khẩu, và số thẻ tín dụng.
It's an extremely serious issue, affecting some 500,000 servers, according to
Netcraft, an Internet research firm. Here's what you can do to make sure your
information is protected, according to security experts contacted by CNET:
Theo Netcraft, một công ty nghiên cứu Internet, lỗ hổng như vậy là vấn đề cực kỳ
nghiêm trọng rồi, ảnh hưởng tới những 500 ngàn máy chủ còn gì. Các chuyên gia an
ninh mạng đã cho CNET biết, bạn có thể thực hiện các biện pháp sau đây để bảo vệ
thông tin của mình:
Do not log into accounts from afflicted sites until you're sure the company has
patched the problem. If the company hasn't been forthcoming confirming a fix or
keeping you up to date with progress reach out to its customer service teams for
information, said John Miller, security research manager for TrustWave, a security
and compliance firm.
Không đăng nhập vào tài khoản từ các trang bị ảnh hưởng chừng nào bạn còn chưa
chắc chắn là công ty quản lý cái trang đó đã vá được lỗi này hay chưa. Nếu công ty
ấy chưa chỉ dẫn - tức là chưa xác nhận là đã sửa được lỗi hoặc họ không cập nhật cho

Yahoo và Imgur thì họ biết rõ về vấn đề này rồi, nhưng những công ty nhỏ thậm chí có
thể họ còn chưa biết gì đâu đấy, chuyên gia Miller của TrustWave cảnh báo. Hãy chủ
động chắc cú là thông tin của mình an toàn.
Keep a close eye on financial statements for the next few days. Because attackers
can access a server's memory for credit card information, it wouldn't hurt to be on the
lookout for unfamiliar charges on your bank statements.
Theo dõi sát sao các sao kê tài chính trong những ngày tới đây. Vì kẻ tấn công có thể
truy cập vào bộ nhớ của máy chủ để lấy thông tin thẻ tín dụng, nên đâu có mất gì đâu
mà không để ý các khoản tiền phải trả bất thường trên bản sao kê ngân hàng nhỉ.
Even after following these guidelines, there is still some riskiness in surfing the Web
in the aftermath of the bug. Heartbleed is even said to affect browser cookies, which
track users' activity on a site, so even visiting a vulnerable site without logging in
could be risky. The Tor Project, which stresses anonymity and privacy, wrote in a
blog post that users with those needs "might want to stay away from the Internet
entirely for the next few days while things settle."
Ngay cả khi đã làm theo các chỉ dẫn này, máy bạn vẫn có nguy cơ bị virus tấn công
trong quá trình lướt Web vì hậu quả của lỗi bảo mật ấy vẫn còn. Lỗi bảo mật 'Trái tim
rỉ máu' thậm chí còn được cho là có ảnh hưởng đến các cookies trình duyệt, những cái
này theo dõi hoạt động của người dùng trên một trang nào đó, cho nên khi vào một
trang web có khả năng bị ảnh hưởng thậm chí không đăng nhập vào thì có thể vẫn rất
là nguy hiểm. Dự án Tor, dự án nhấn mạnh sự nặc danh và quyền riêng tư, nói trên
một blog rằng những người dùng có các nhu cầu như vậy "có lẽ cần tránh xa Internet
hoàn toàn trong vài ngày tới cho đến khi giải quyết xong mọi chuyện."
Yahoo seems to be the most major Web to site have been vulnerable to the bug
(preliminary tests for Facebook, Google, and Twitter's Web sites said they appear to
be safe). The company said that it has "successfully made appropriate corrections" to
the main Yahoo properties: Yahoo Homepage, Search, Mail, Finance, Sports, Food,
Tech, Flickr and Tumblr. Still, a Yahoo spokesperson said the company is still
working to make the fix across the rest of the Yahoo sites.
Yahoo có lẽ là trang web có nguy cơ bị lỗi này cao nhất (các kiểm tra sơ bộ đối với

khẩu của một số người dùng thư điện tử sau một vụ tấn công có chủ đích nhắm vào
cơ sở dữ liệu của bên thứ ba. Phản ứng lại lỗi bảo mật 'Trái tim rỉ máu', một số người
dùng đã bày tỏ sự giận dữ của mình trên Twitter. Brandon Oxford ở Royal, Ark., viết:
"Sau vụ này tôi chính thức cạch Yahoo email. Giờ tôi đã tạo một tài khoản Gmail. Có
vẻ đỡ cùi bắp hơn Yahoo."
Other companies that were said to be affected chimed in as well. Imgur, the photo-
sharing site popular with Reddit users, said: "[We] invalidated sensitive data such as
cookies and session IDs, just to be on the safe side. We're proceeding with caution,
since the nature of the attack makes it hard to detect, but we have no reason to
believe it has been used against Imgur." OKCupid said, "The fix is now fully live on
OKCupid."
Các công ty khác được cho là bị ảnh hưởng cũng phụ hoạ theo. Imgur, trang chia sẻ
ảnh nổi tiếng với những người sử dụng Reddit, thông báo: "Cho chắc ăn, (chúng tôi)
làm mất hiệu lực các dữ liệu nhạy cảm chẳng hạn các cookies và session IDs. Chúng
tôi đang tiến hành một cách thận trọng, vì cuộc tấn công vốn khó bị phát hiện, nhưng
chúng tôi không có lý do gì mà phải tin nó được dùng để chống lại Imgur." OKCupid
thì: "Hiện việc vá lỗi hoàn toàn được thực hiện ngay trên OKCupid."
The question in the aftermath of something like this is whether Web companies will
reform their security practices. There has been a move toward Perfect Forward
Secrecy (PFS) by many of the major Web companies, but not all of them have
implemented the practice. PFS means essentially that encryption keys get a very
short shelf life, and are not used forever. "People should want their communications
to be secure as possible. PFS is one thing they can push for in the future," said
Miller.
Sau vụ lỗi bảo mật này vấn đề đặt ra là liệu các công ty web sẽ đổi mới phương thức
bảo mật của mình hay không. Nhiều công ty web lớn đã chuyển qua dùng công nghệ
Perfect Forward Secrecy (bí mật chuyển tiếp hoàn hảo - PFS), nhưng không phải mọi
công ty đều đã áp dụng công nghệ này. PFS thực chất có nghĩa là các khoá mã hoá
có thời hạn sử dụng rất ngắn, và không dùng được mãi mãi. Miller cho biết: "Mọi
người đều muốn các thông tin liên lạc của mình càng được bảo mật càng tốt. PFS có