Khi thông tin về lỗ hổng Trái tim rỉ máu lần đầu xuất hiện,ímậtphânbiệtđốixửkhikhắcphụclỗbốc thăm c1 2023 các bản tin lập tức phát đi như chuông báo cháy. Nhưng sự thật là nó không phát tán một cách đồng đều.

Một số hãng như Facebook hay tin rất sớm, hoặc từ Google hoặc từ chính OpenSSL nên khi thông tin vỡ ra ồn ào cũng là lúc họ đã vá xong hệ thống. Nhiều hãng khác như Amazon và Yahoo bị rớt lại, trầy trật trong việc tự bảo vệ mình.

Câu hỏi đặt ra là vì sao một số hãng được cảnh báo trước trong khi số còn lại đến phút chót mới biết tin? Bằng cách nào Facebook phát hiện ra còn Yahoo thì lẽo đẽo chạy sau?

Từ một góc độ nào, chuyện này giống như là đã có bàn tay chọn lựa những hãng "con cưng" vậy. Sự hoài nghi lớn đến mức Ủy ban Thương mai Mỹ FTC đã phải ra thông cáo sáng nay, khẳng định chắc chắn rằng "luật chống độc quyền không can thiệp vào việc chia sẻ thông tin hợp tác về các mối đe dọa bảo mật (giữa các doanh nghiệp với nhau). Nhưng thực tế thì trong ngành công nghệ, cơ chế chia sẻ thông tin không diễn ra đằng thẳng như vậy mà rất phức tạp, "uốn lượn" - theo một phương thức mà người ta vẫn thường gọi là "tiết lộ một cách có trách nhiệm". Ý tưởng chung là chia sẻ lỗ hổng với nhà cung cấp dịch vụ trước khi dư luận biết tới sự tồn tại của lỗ hổng đó, cũng có nghĩa là cách ly người tốt khỏi kẻ xấu. Trong một thế giới hoàn hảo, bạn sẽ phải thông báo cho tất cả "người tốt" hay tin trước khi bất cứ một kẻ xấu nào có cơ hội ra tay.

Nhưng cũng giống như bất kỳ một bí mật nào, cứ thêm một "nguồn tin nội bộ" mới là nguy cơ rò rỉ thông tin lại càng tăng lên. Kịch bản xấu nhất là Trái tim rỉ máu bị tung lên một diễn đàn toàn hacker mũ đen, nơi tin tức sẽ lan đến những kẻ tấn công đầu tiên chứ không phải các nạn nhân cần phòng vệ.

Do đó, có vẻ như các nhà nghiên cứu đã quyết định rằng nguy cơ thông tin bị rò rỉ là quá lớn, nên họ không có cách nào khác là phải ra tay trước, công khai lỗ hổng đó ra dư luận ngay và luôn.

Với HeartBleed, đó chính là những gì đã diễn ra. Đầu tuần trước, một kỹ sư bảo mật thuộc mạng CloudFlare đã nhận được tin nhắn cảnh báo từ một người bạn: Hãy gửi tôi chìa khóa mã hóa PGP ngay khi có thể. Chỉ sau khi kênh liên lạc an toàn được thiết lập và đối phương cam kết kín như bưng về những gì mình biết, người bạn này mới chấp nhận chia sẻ thông tin giật mình về Heartbleed.

Facebook đã nhận được tin nhắn tương tự nên đã kịp vá lại dịch vụ trước khi thông tin rò rỉ lên mạng. Về phần mình, dự án OpenSSL lo đến sốt vó. Theo bài báo trên Wall Street Journal, dự án này đã nhận được cảnh báo từ một cơ quan an ninh mạng của Phần Lan - không ai rõ vì sao cơ quan an ninh này lại biết tin, nên OpenSSL không còn cách nào khác là phải giả định rằng bí mật đã lộ. Bước tiếp theo, OpenSSL cần phải phát đi khuyến nghị công khai, trực tiếp cảnh báo tất cả các khách hàng bị ảnh hưởng.

Đến giai đoạn này thì những hãng như Amazon và Yahoo mới hay tin và buộc phải vắt chân lên cổ cập nhật hệ thống. Ngay cả một số dịch vụ của Google cũng bị tụt hậu bởi các kỹ sư Google không dám mạo hiểm phát tán thông tin tới mọi ngõ ngách của gã khổng lồ tìm kiếm, khi mà những dịch vụ lõi còn chưa vá xong.

Câu hỏi đặt ra là liệu có cách nào để các hãng, các đơn vị liên đới xử lý sự cố này tối ưu hơn chăng? Rõ ràng là cơ chế thông tin đã có sự phân biệt đối xử, khiến cho nhiều công ty lớn cũng trở nên cực kỳ bị động.

"Đây là một ca rất khó", Tổng giám đốc Matthew Prince của CloudFlare bình luận. "Nếu như lỗ hổng chỉ ảnh hưởng đến một công ty, việc tiết lộ thông tin theo trách nhiệm là hết sức dễ dàng. Nhưng khi nó ảnh hưởng đến tất cả mọi người thì câu chuyện trở nên phức tạp hơn nhiều". Việc tiết lộ thông tin phải đảm bảo hài hòa được với nguy cơ tiềm ẩn của việc thông tin bị rò rỉ, do đó chỉ có thể tiếp cận những nguồn đáng tin cậy mà thôi.

Và dù nhiều người dùng Yahoo không khỏi cảm thấy bức xúc vì không được biết tin sớm, nhiều chuyên gia vẫn cho rằng Google và OpenSSl đã đúng khi ưu tiên những mạng phát hành nội dung như CloudFlare và Akamai trước. Những vụ tấn công nhắm vào các máy chủ riêng lẻ sẽ khó nhận thấy hơn một đăng nhập Yahoo nhưng lại ảnh hưởng đến rất nhiều người dùng, do đó, nếu đánh chặn được những kênh này thì sẽ giảm thiểu được thiệt hại.

Nói cách khác, chưa có bất cứ một hướng dẫn hay phác đồ ứng phó chung nào cho những ca như HeartBleed, vì chưa bao giờ người ta lại chạm trán với một sự cố nghiêm trọng đến thế này. Khắc phục lỗ hổng trong bí mật có nghĩa là đặt ra những ưu tiên, lựa chọn những công ty nào "có quyền biết" và những công ty nào "phải đứng ngoài". Tất nhiên, sau khi vụ việc xảy ra sẽ luôn có những lý do để người ta thắc mắc về quyết định chọn ai loại ai, nhưng với việc Internet ngày càng rộng lớn, việc chúng ta phải đối mặt với nguy cơ tương tự là khó tránh khỏi.