[VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed

[Truong Anh. Tuan]

----- Original Message -----
> From: "Thế Hùng Nguyễn" <thehung at vinades.vn>
> To: "VFOSSA Members" <members at lists.vfossa.vn>
> Sent: Friday, April 11, 2014 10:44:28 AM
> Subject: Re: [VFOSSA]	Fwd: Lỗi bảo mật OpenSSL HeartBleed
> 
> Các ngân hàng báo đã fix xong hết rùi.

Cái này còn phải xét!
Anh nghĩ mấy bố admin NH chỉ làm cho có lấy thành tích thôi.

Bản chất của lỗi này là bị leak mất private key. Nên 2 năm qua, nếu có
attacker nào đã chén private key rồi thì coi như nó đã nắm khóa trong tay.
Các bé có nâng cấp bán vá thì cũng chỉ là để không bị mất key nữa, còn nếu
không thay khóa thì chúng vẫn dùng khóa cũ mở nhà mình bình thường :D
Clear??

Check thử phát cho vui, thấy ngay ACB Online [1] vẫn dùng key cũ, issue
ngày 04/08/2013 bởi VeriSign (loại Class 3 EV [2], bảo mật "cực cao" :D)
Dự là ACB sắp kiện VeriSign được đòi tiền bảo hiểm 1.5tr USD vì có SSL rồi
mà vẫn bị phá khóa :). Trừ khi VeriSign vớ vẩn thế nào lại đã đi gửi thông
báo cho từng khách hàng về việc phải re-issue lại key mới (mà việc này thì
mình không tin là một hãng như VeriSign lại không làm - vì iWay còn làm :)

Kind regards,
Tuan

[1] https://www.acbonline.com.vn/
[2] http://www.symantec.com/verisign/ssl-certificates/secure-site-pro-ev?fid=ssl-certificates