Soi kèo góc Buriram United vs Johor Darul Ta'zim, 21h00 ngày 4/3

Theo Gizmodo,Cloudflare là một trong những công ty an ninh mạng lớn nhất thế giới. Tin tốt là hãng đã hành động rất nhanh chóng khi nhà nghiên cứu bảo mật Tavis Ormandy của dự án Project Zero của Google phát hiện ra lỗ hổng gọi là Cloudbleed.

Tin xấu là các website được Cloudflare hỗ trợ đã bị rò rỉ dữ liệu nhiều tháng trời trước khi ông Ormandy phát hiện ra lỗ hổng. Cloudflare cho biết những ngày dữ liệu rò rỉ đầu tiên là từ hồi tháng Chín năm ngoái. Cho đến nay không rõ liệu các tin tặc mũ đen đã phát hiện và bí mật khai thác lỗ hổng này trước khi Cloudflare xử lý xong code lỗi chưa. Các khách hàng lớn của Cloudflare bao gồm Uber, OKCupid, 1Password (1Password đã khẳng định dữ liệu người dùng của họ an toàn) và FitBit. Điều đó có nghĩa có vô số dữ liệu nhạy cảm có khả năng đã bị thâm nhập.

Như bất kỳ lỗ hổng bảo mật lớn nào, sẽ cần phải mất một thời gian trước khi chúng ta có thể hiểu đầy đủ về mức độ thiệt hại do Cloudbleed gây ra. Hiện tại, để bảo đảm an toàn, bạn nên thay đổi mật khẩu của mình – tất cả mật khẩu – và áp dụng xác thực hai bước ở bất cứ nơi nào có thể. Bạn sẽ biết tại sao đây là cách bảo vệ tốt nhất khi đọc tiếp lỗ hổng bảo mật này tồi tệ như thế nào.

Cloudflare là gì?

Bạn có thể không biết đến Cloudflare nhưng công nghệ của hãng đang được sử dụng ở rất nhiều website phổ biến. Cloudflare mô tả bản thân là một "công ty bảo mật và hiệu suất web". Khởi điểm từ một ứng dụng theo dõi nguồn phát tán spam, hãng hiện nay cung cấp toàn bộ menu sản phẩm cho các website, bao gồm các dịch vụ dự trên hiệu quả như dịch vụ phân phối nội dung, dịch vụ cung cấp tên miền, dịch vụ an ninh mạng như bảo vệ website chống các cuộc tấn công từ chối dịch vụ DDoS.

Thực tế là Cloudflare là một công ty bảo mật và điều này làm cho việc phát hiện mã nguồn của hãng có lỗ hổng trở nên vô cùng trớ trêu. Xét cho cùng, có vô số doanh nghiệp đang trả tiền cho Cloudflare để giúp cho dữ liệu của họ an toàn. Trong khi đó, "dính" phải lỗ hổng Cloudbleed, Cloudflare lại làm ngược lại.

"Tôi đã thông báo cho Cloudflare những gì tôi phát hiện. Tôi tìm thấy nhiều tin nhắn riêng tư từ nhiều trang hẹn hò trực tuyến lớn, toàn bộ tin nhắn từ một dịch vụ chat nổi tiếng, dữ liệu quản lý mật khẩu online...",ông Tavis Ormandy cho biết."Chúng tôi đang nói đến tất cả những địa chỉ IP của khách hàng, tất cả phản hồi, cookie, mật khẩu, dữ liệu, mọi thứ". Ông cũng cho biết lỗ hổng Cloudbleed đã rò rĩ dữ liệu của 3.438 tên miền trong giai đoạn 5 ngày trong tháng Hai này.

Cloudbleed hoạt động như thế nào?

Với những người am hiểu công nghệ, Cloudbleed là đặc biệt thú vị bởi vì một ký tự duy nhất trong code của Cloudflare là nguyên nhân dẫn đến lỗ hổng này. Dường như đó là một lỗi coding đơn giản, nhưng dựa trên những gì đã được đưa tin trước đó, có lẽ Cloudbleed hoạt động hơi giống như lỗ hổng Heartbleed xét về cách nó rò rỉ thông tin trong suốt một số tiến trình nhất định. Quy mô tác động đến người dùng của Cloudbleed cũng giống như Heartbleed, vì nó ảnh hưởng đến một dịch vụ bảo mật thông thường được nhiều website sử dụng.

Theo một bài đăng trên blog của Cloudflare, vấn đề này xuất phát từ quyết định của hãng sử dụng một cú pháp HTML mới, gọi là cf-html. Một cú pháp HTML là một ứng dụng quét mã nguồn để lọc ra những thông tin liên quan như tag khởi đầu và tag kết thúc. Điều này giúp cho việc điều chỉnh mã nguồn đó dễ dàng hơn.

Cloudflare rơi vào rắc rối khi định dạng (formatting) mã nguồn cf-html và cú pháp cũ Ragel để chạy với phần mềm của mình. Mỗi lỗi trong code đã tạo ra thứ gì đó gọi là lỗ hổng tràn bộ đệm (lỗi liên quan đến đoạn "= =" trong code mà lẽ ra nó phải là "> =". Điều này có nghĩa là khi phần mềm đang viết dữ liệu cho một bộ đệm - một lượng không gian lưu trữ giới hạn cho dữ liệu tạm thời - nó sẽ điền đầy bộ nhớ đệm và sau đó tiếp tục viết code ở chỗ khác.

Nói một cách đơn giản hơn, phần mềm của Cloudflare cố lưu dữ liệu người dùng ở đúng chỗ nhưng chỗ đó lại đầy quá nên phần mềm của Cloudflare cuối cùng cất dữ liệu đó ở nơi khác , như trên một website hoàn toàn khác. Thêm nữa, dữ liệu đó bao gồm mọi thứ, từ mã API cho đến tin nhắn riêng tư. Những dữ liệu này cũng được các website khác và Google lưu lại, có nghĩa là bây giờ Cloudflare phải săn tất cả dữ liệu này trước khi các hacker phát hiện ra.

Bạn có bị ảnh hưởng?

Vẫn chưa rõ chính xác đối tượng người dùng nào bị ảnh hưởng bởi lỗ hổng Cloudbleed. Cloudlfare tuyên bố chỉ một lượng rất nhỏ yêu cầu dẫn đến dữ liệu bị rò rỉ nhưng do lỗ hổng đã có từ gần 6 tháng rồi nên ai dám chắc có bao nhiêu thông tin đã bị rò rỉ? Hơn nữa, thực tế là có quá nhiều dữ liệu như vậy đã được lưu (cache) ở khắp các website khác nhau nên một mặt vá lỗi để ngăn chặn rò rỉ, Cloudflare cần phải làm rất nhiều để đảm bảo tất cả những thông tin đã rò rỉ không bị lợi dụng. Và thậm chí tệ hơn là ngay cả những website không sử dụng dịch vụ của Cloudflare, nhưng có nhiều người dùng Cloudflare cũng có thể bị liên luỵ.

Chuyên gia bảo mật Ryan Lackey đã đưa ra một số lời khuyên hữu ích, bởi công ty CryptoSeal của ông được Cloudflare mua lại năm 2014.

"Cloudflare đứng sau nhiều dịch vụ web như Uber, Fitbit, OKCupid … nên thay vì cố xác định dịch vụ nào đang dùng Cloudflare, có lẽ bạn nên nhân cơ hội này thay đổi tất cả mật khẩu trên tất cả các website bạn đăng nhập. Người dùng cũng nên đăng nhập và đăng thoát trên các ứng dụng di động sau cập nhật này. Nếu có thể, bạn nên sử dụng xác thực bảo mật 2 lớp với những trang bạn cho là quan trọng".

Trên thực tế, việc bùng nổ smartphone chỉ nhằm phục vụ khoảng 53% thị phần người dùng điện thoại di động trên thế giới, vẫn còn có tới 47% người dùng chỉ sử dụng điện thoại để nghe gọi và nhắn tin, ngoài ra không sử dụng thêm bất kỳ chức năng nào mà các nhà sản xuất smartphone phát triển. 

Đây là con số được trích từ nghiên cứu GSMA Intelligent của Hiệp hội các nhà cung cấp dịch vụ GSM, khảo sát trên 56 thị trường khắp thế giới, chiếm khoảng 80% số lượng người dùng toàn cầu.

Mặc dù vậy, Nokia – ông vua của điện thoại di động trước thời smartphone, đã rơi vào khủng hoàng trầm trọng, bởi người dùng tuy không có nhu cầu sử dụng các dịch vụ hay ứng dụng thông minh, nhưng vẫn muốn trải nghiệm dịch vụ nghe gọi nhắn tin phổ thông trên những chiếc smartphone thời thượng có màn hình cảm ứng. 

Nokia sẽ trở lại trong cuối tháng này, với 1 mẫu điện thoại phổ thông được làm lại, rõ ràng nó có cơ hội để sống nếu như phục vụ được 47% người dùng trên thế giới.

Tại hội nghị RSA 2017, nhiều tuyên bố đã được đưa ra khiến các chuyên gia bảo mật phân vân về tương lai của ngành này. Với nhiều chuyên gia, mắt xích yếu nhất trong chuỗi bảo mật chính là “mật khẩu”, và nhu cầu thay thế mật khẩu bằng một công nghệ bảo mật hơn chưa bao giờ cầu bức thiết đến thế.

Mật khẩu đã trở thành một “tội ác” và nhiều người sử dụng phàn nàn về những vấn đề xuất hiện khi sử dụng những mật khẩu rắc rối, và khó khăn lớn nhất là làm thế nào để nhớ được mật khẩu. Chính điều này tự nó đã tạo ra một số vấn đề về bảo mật khác khi người sử dụng phải dùng giấy nhớ, công cụ quản lý mật khẩu và các phương pháp khác để lưu lại mật khẩu. Tất cả những phương pháp nói trên đều để lại dấu vết, giúp các hacker dễ dàng tìm đường hack tài khoản và truy cập vào hệ thống đã được bảo mật của bạn.

Ngoài ra, mật khẩu có thể là một trở ngại đắt đỏ đối với một số doanh nghiệp. Theo Gartner Group, từ 20 – 50% những cuộc gọi đến nhân viên hỗ trợ đều là để yêu cầu thiết lập lại mật khẩu. Hãng nghiên cứu Forrester Research tuyên bố giá nhân công trung bình cho một lần thiết lập lại mật khẩu là 70 USD. Mặc dù những kết quả thống kê có khác nhau tùy theo từng doanh nghiệp, nhưng có một thực tế chung đó là: các chính sách bảo mật liên quan đến quản lý mật khẩu càng chặt chẽ thì số cuộc gọi yêu cầu thiết lập mật khẩu càng nhiều.  

Đối với người sử dụng, quên mật khẩu là một việc gây bực bội. Tuy nhiên, bộ phận IT lại cho rằng nhiệm vụ khôi phục lại mật khẩu quá tầm thường, tốn thời gian và có thể coi là nguyên nhân hàng đầu giúp nhân viên bộ phận hỗ trợ kỹ thuật có mức lương cao.

Cả ngành bảo mật đã cố gắng để giảm thiểu những câu hỏi mật khẩu hóc búa bằng xác thực hai yêu tố, sinh trắc học và các phương pháp khác để làm tăng độ mạnh của mật khẩu những vẫn dễ dàng truy cập. Vấn đề duy nhất là những công nghệ này làm việc quản lý phức tạp hơn và thường yêu cầu xây dựng lại các giải pháp IT để thực sự hiệu quả.

Theo Cổng thông tin điện tử Bắc Ninh, báo cáo với Thủ tướng Nguyễn Xuân Phúc trong buổi làm việc tại Tổ hợp Samsung (Khu Công nghiệp Yên Phong) ngày 12/2/2017, lãnh đạo Samsung Việt Nam cho biết Tập đoàn hiện có 6 nhà máy tại Việt Nam chuyên sản xuất các sản phẩm điện tử, thiết bị điện tử thông minh, điện gia dụng, nghiên cứu phát triển và chuyển giao công nghệ với tổng vốn đầu tư 15 tỷ USD, trong đó, tỉnh Bắc Ninh có 3 nhà máy.

Đến nay, Samsung Việt Nam đã xuất khẩu sản phẩm tới 52 quốc gia và vùng lãnh thổ, kim ngạch năm 2016 đạt khoảng 40 tỷ USD, tạo việc làm cho gần 137.000 lao động.

Riêng Công ty TNHH Samsung Display Việt Nam (Khu Công nghiệp Yên Phong), đang đề nghị tăng vốn thêm 2,5 tỷ USD nâng tổng vốn đầu tư của doanh nghiệp này lên 6,5 tỷ USD.