[VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed
Vu The Binh
binh at netnam.vn
Tue Apr 15 18:07:45 ICT 2014
17% là số liệu ở đây anh:
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
A serious overrun vulnerability in the OpenSSL cryptographic library
affects around 17% of SSL web servers which use certificates issued by
trusted certificate authorities. Already commonly known as the
Heartbleed bug, a missing bounds check in the handling of the TLS
heartbeat extension can allow remote attackers to view up to 64
kilobytes of memory on an affected server. This could allow attackers to
retrieve private keys and ultimately decrypt the server's encrypted
traffic or even impersonate the server.
Hacker nào mà nó chôm được private keys thì cũng vui phết. Nhưng kể cả
khi anh mất private keys, chưa chắc họ đã (i) tóm được content của anh;
(ii) giải mã được thông điệp của anh. Thông thường, để giải mã PGP, thì
ngoài private key còn phải có mật khẩu của người sử dụng nữa.
Cho nên, "it's really bad, but not as the sky is falling"
Bình.
On 4/15/14 6:03 PM, Vu The Binh wrote:
> Hi anh Thành,
>
> Giống như lửa có mặt từ trước khi con người biết ấy :-) Lỗi này tiềm
> tàng từ 2012 nhưng mới được một chú engineer của Google.
>
> Mới phát hiện hôm 7/4, và khắc phục ngay trong 8/4 hay 9/4 gì đó. Em đọc
> đâu đó là có 17% máy chủ web bị ảnh hưởng (thôi). Chưa tìm lại được link
> để gửi cả nhà tham khảo.
>
> Một số thông tin cụ thể hơn về kỹ thuật:
>
> http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
>
> Bình.
>
> On 4/15/14 5:53 PM, Nguyễn Hữu Thành wrote:
>> Trích thông cáo báo chí của CMC Infosec thì lỗi này mới được phát hiện?
>> Hay là mới được khắc phục rồi mới công khai, kiểu như vá lỗ thủng rồi
>> mới công bố tầu không chìm nữa sau khi có không biết bao nhiêu hành
>> khách đã tử nạn?
>>
>> Khoảng đầu tháng 4 vừa qua, nhóm chuyên gia từ Codenomicon và Google đã
>> phát hiện ra một lỗi bảo mật được đánh giá là nghiêm trọng nhất trong
>> lịch sử Internet, có thể gây ảnh hưởng lên 2/3 hạ tầng mạng trên toàn
>> thế giới và khiến cho không chỉ các dịch vụ trực tuyến quốc tế lớn nhất
>> mà cả các hãng thiết bị mạng tầm cỡ như Cisco, Juniper đều phải “gồng
>> mình” khắc phục.
>> Lỗi này cho phép tin tặc đọc được một vùng bộ nhớ của máy chủ lên đến
>> 64KB một cách liên tục, không hạn chế, không để lại dấu vết. Từ đó có
>> thể lấy được các thông tin quan trong của hệ thống như Private Key,
>> Username, password... thậm chí, giả làm máy chủ gửi thông tin giả mạo
>> đến người dùng.
>>
>> Vào 14-04-2014 20:38, "Nghĩa Lê Trung" <letrungnghia.foss at gmail.com
>> <mailto:letrungnghia.foss at gmail.com>> đã viết:
>>
>>
>>
>>
>> 2014-04-14 15:13 GMT+07:00 Nghĩa Lê Trung
>> <letrungnghia.foss at gmail.com <mailto:letrungnghia.foss at gmail.com>>:
>>
>>
>>
>>
>> 2014-04-14 15:01 GMT+07:00 Nguyễn, Thế Hùng <thehung at vinades.vn
>> <mailto:thehung at vinades.vn>>:
>>
>> Em cũng cho rằng việc này là cần thiết. Các anh cho thêm ý
>> kiến đóng góp để em tập hợp và làm bản thảo thông cáo báo
>> chí về việc này. Đặc biệt em muốn có ý kiến của anh Võ Thái
>> Lâm là đơn vị làm về lĩnh vực này.
>>
>> Việc trả lời bộ TTTT anh Quang có nhờ anh Nghĩa phụ trách từ
>> đầu, không biết các anh đã có nội dung trả lời cho bộ TTTT
>> chưa ạ? Nếu anh Nghĩa đã có nội dung trả lời anh chuyển cho
>> em tập hợp lại nhé.
>>
>> Tôi đã có quan điểm về việc này rồi. Phần còn lại để cho những
>> người chuyên sâu kỹ thuật.
>>
>> Ngày mai sẽ có bài của chuyên gia tư vấn FOSS thế giới về HeartBleed.
>> nghialt
>>
>> nghialt
>>
>> Rất mong các anh gửi sớm để em tập hợp trong đêm nay, sau đó
>> em sẽ gửi lại để mọi người cho ý kiến.
>>
>> Nguyễn Thế Hùng
>> 0904762534 | http://fb.com/hungnuke
>> Công ty cổ phần phát triển nguồn mở Việt Nam
>> 04-85872007 | http://vinades.vn
>> Cộng đồng phần mềm nguồn mở NukeViet
>> http://nukeviet.vn | http://nukeviet.edu.vn
>>
>> Vào 14-04-2014 12:51, "Trung Nguyen The" <trung at dtt.vn
>> <mailto:trung at dtt.vn>> đã viết:
>>
>> Gửi các anh chị,
>> Việc này tôi đã có ý kiến là cần có một thông cáo báo
>> chí chính thức của VFOSSA để chúng ta có thể xây dựng
>> lòng tin với cộng đồng, xã hội. Nay chủ tịch đã có lời,
>> tôi nghĩ là việc này càng lên làm và ban truyền thông
>> nên ưu tiên. Nếu chúng ta không làm gì thì chỉ có hại,
>> nếu có thông cáo báo chí thì chỉ có lợi, ít nhất là hình
>> ảnh chúng ta cũng đàng hoàng, có trách nhiệm, tất nhiên
>> chúng ta không thể thay đổi thế giới trong 1 ngày được.
>>
>> Theo tôi, thông cáo báo chí chỉ cần thể hiện những việc sau:
>> 1. VFOSSA quan tâm và đã trao đổi về việc này và có một
>> số kết luận tạm thời
>> 2. VFOSSA nhận được một số câu hỏi thắc mắc và xin trả
>> lời chính thức như sau
>> 3. VFOSSA sẵn sàng tiếp nhận những yêu cầu và trong khả
>> năng của mình sẽ hỗ trợ hết sức các tổ chức, cá nhân về
>> vấn đề này
>>
>> Đề nghị Hùng - trưởng ban truyền thông nháp một phiên
>> bản và gửi lại để chúng ta cùng cho ý kiến để đưa ra cho
>> rộng đường dư luận.
>>
>>
>> Trân trọng
>>
>> Nguyễn Thế Trung
>> Managing Director
>>
>> DTT Technology Group
>> Add: DTT, level 4, building number 63 Lê Văn Lương street.
>> Web: www.dtt.vn <http://www.dtt.vn>
>>
>>
>> 2014-04-14 9:24 GMT+07:00 Nguyen Hong Quang
>> <nguyen.hong.quang at ifi.edu.vn
>> <mailto:nguyen.hong.quang at ifi.edu.vn>>:
>>
>> Tôi đề nghị các anh đã tham gia thảo luận vấn đề này
>> trên diễn đàn của chúng ta và ict_vn và có chính
>> kiến hãy cùng nhau thảo luận và đưa ra một bài trên
>> vfossa.vn <http://vfossa.vn> nêu quan điểm của
>> VFOSSA trong hôm nay thì tốt quá. Thanks.
>>
>> Thân ái,
>> Quang
>>
>> Le 11/04/2014 11:34, Trung Nguyen The a écrit :
>>>
>>> Các anh bên ban truyền thông cân nhắc viết và công
>>> bố một thông cáo báo chí chính thức về việc này.
>>> Sẽ giúp minh bạch hóa và nâng cao vai trò của vfossa.
>>> Trung
>>>
>>> Vào 11-04-2014 00:01, "Truong Anh. Tuan"
>>> <tuanta at iwayvietnam.com
>>> <mailto:tuanta at iwayvietnam.com>> đã viết:
>>>
>>>
>>> ----- Original Message -----
>>> > From: "Thế Hùng Nguyễn" <thehung at vinades.vn
>>> <mailto:thehung at vinades.vn>>
>>> > To: "VFOSSA Members"
>>> <members at lists.vfossa.vn
>>> <mailto:members at lists.vfossa.vn>>
>>> > Sent: Friday, April 11, 2014 10:44:28 AM
>>> > Subject: Re: [VFOSSA] Fwd: Lỗi bảo mật
>>> OpenSSL HeartBleed
>>> >
>>> > Các ngân hàng báo đã fix xong hết rùi.
>>>
>>> Cái này còn phải xét!
>>> Anh nghĩ mấy bố admin NH chỉ làm cho có lấy
>>> thành tích thôi.
>>>
>>> Bản chất của lỗi này là bị leak mất private
>>> key. Nên 2 năm qua, nếu có
>>> attacker nào đã chén private key rồi thì coi
>>> như nó đã nắm khóa trong tay.
>>> Các bé có nâng cấp bán vá thì cũng chỉ là để
>>> không bị mất key nữa, còn nếu
>>> không thay khóa thì chúng vẫn dùng khóa cũ mở
>>> nhà mình bình thường :D
>>> Clear??
>>>
>>> Check thử phát cho vui, thấy ngay ACB Online
>>> [1] vẫn dùng key cũ, issue
>>> ngày 04/08/2013 bởi VeriSign (loại Class 3 EV
>>> [2], bảo mật "cực cao" :D)
>>> Dự là ACB sắp kiện VeriSign được đòi tiền bảo
>>> hiểm 1.5tr USD vì có SSL rồi
>>> mà vẫn bị phá khóa :). Trừ khi VeriSign vớ vẩn
>>> thế nào lại đã đi gửi thông
>>> báo cho từng khách hàng về việc phải re-issue
>>> lại key mới (mà việc này thì
>>> mình không tin là một hãng như VeriSign lại
>>> không làm - vì iWay còn làm :)
>>>
>>> Kind regards,
>>> Tuan
>>>
>>> [1] https://www.acbonline.com.vn/
>>> [2]
>>> http://www.symantec.com/verisign/ssl-certificates/secure-site-pro-ev?fid=ssl-certificates
>>> _______________________________________________
>>> POST RULES:
>>> http://wiki.vfossa.vn/guidelines:mailinglist
>>> _______________________________________________
>>> Members mailing list: Members at lists.vfossa.vn
>>> <mailto:Members at lists.vfossa.vn>
>>> http://lists.vfossa.vn/mailman/listinfo/members
>>> VFOSSA website: http://vfossa.vn/
>>>
>>>
>>>
>>> _______________________________________________
>>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>>> _______________________________________________
>>> Members mailing list: Members at lists.vfossa.vn <mailto:Members at lists.vfossa.vn>
>>> http://lists.vfossa.vn/mailman/listinfo/members
>>> VFOSSA website: http://vfossa.vn/
>>
>>
>> _______________________________________________
>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>> _______________________________________________
>> Members mailing list: Members at lists.vfossa.vn
>> <mailto:Members at lists.vfossa.vn>
>> http://lists.vfossa.vn/mailman/listinfo/members
>> VFOSSA website: http://vfossa.vn/
>>
>>
>>
>> _______________________________________________
>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>> _______________________________________________
>> Members mailing list: Members at lists.vfossa.vn
>> <mailto:Members at lists.vfossa.vn>
>> http://lists.vfossa.vn/mailman/listinfo/members
>> VFOSSA website: http://vfossa.vn/
>>
>>
>>
>>
>> _______________________________________________
>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>> _______________________________________________
>> Members mailing list: Members at lists.vfossa.vn
>> <mailto:Members at lists.vfossa.vn>
>> http://lists.vfossa.vn/mailman/listinfo/members
>> VFOSSA website: http://vfossa.vn/
>>
>>
>>
>> _______________________________________________
>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>> _______________________________________________
>> Members mailing list: Members at lists.vfossa.vn
>> http://lists.vfossa.vn/mailman/listinfo/members
>> VFOSSA website: http://vfossa.vn/
>>
>
--
Vu The Binh (Mr.) | CEO
NETNAM CORPORATION
18 Hoang Quoc Viet, Cau Giay, Hanoi, Vietnam
(T)+84-4-37 564 907, (F)+84-4-37 561 888, (M)+84-(0)-9 0343 4477
(E) binh.vt at netnam.vn ; binh at netnam.vn (W) www.netnam.vn
--
NetNam - one of the best ISPs and Solution Providers in Vietnam,
specialized in Corporate networks, Managed ICT services & security
solutions.
--
Your Net, We Care!
<http://vn.linkedin.com/in/vuthebinh><http://vn.linkedin.com/in/vuthebinh>
<http://netnamonline.com/marketing/index.html>
More information about the Members
mailing list