Học viện Cơng nghệ Bưu Viễn thơng TPHCM  BÁO CÁO CUỐI KỲ Đề tài Lỗ Hổng Heartbleed MS12020 Giảng viên : Huỳnh Thanh Tâm Môn học CSDL : An tồn ứng dụng Web Lớp : D14CQAT01 Nhóm Nguyễn Phước Duy N14DCAT014 Ka Lê Anh Tài N14DCAT012 Nguyễn Hoàn Sơn N14DCAT021 Nguyễn Anh Phụng N14DCAT023 Dương Quang Khang N14DCAT008 Bùi Anh Thắng N14DCAT119 Trần Trí Nguyên N14DCAT085 MỤC LỤC LỖ HỔNG HEARTBLEED Heartbleed hay gọi "Trái tim rỉ máu" lỗ hổng bảo mật nghiêm trọng, gây ảnh hưởng đến hai phần ba thiết bị Internet toàn cầu phát vào Ngày tháng năm 2014 Nó lỗ hổng nằm phần mềm mã nguồn mở Open SSL, thư viện phần mềm Google, Facebook, Yahoo, Amazon nhiều trang web lớn giới khác sử dụng để đảm bảo việc truyền tải thông tin cá nhân người dùng Đối với nhiều người, khái niệm OpenSSL xa lạ thực tế nhìn thấy chúng hàng ngày địa bạn, biểu tượng ổ khóa nhỏ, bên cạnh HTTPS truy cập vào trang có chứng mã hóa Trước tìm hiểu lỗi Heartbleed ta tìm hiểu sơ lược số khái niệm liên quan tới lỗ hổng Khái niệm 1.1 Giao thức (Protocol) gì? Việc trao đổi thông tin dù đơn giản phải tuân theo nguyên tắc định Đơn giản hai người nói chuyện với nhau, muốn cho nói chuyện có kết hai người phải ngầm tuân thủ quy ước : Khi người nói người phải biết lắng nghe ngược lại Việc truyền thơng mạng Cần có quy tắc, quy ước truyền thông nhiều mặt : khuôn dạng cú pháp liệu, thủ tục gửi, nhận liệu, kiểm soát hiệu chất lượng truyền thông tin Tập hợp quy tắc, quy ước truyền thơng gọi giao thức mạng (protocol) Một tập hợp tiêu chuẩn để trao đổi thơng tin hai hệ thống máy tính hai thiết bị máy tính với gọi giao thức Các giao thức gọi nghi thức định ước máy tính 1.2 Giao thức HTTP HTTP (Tiếng Anh: HyperText Transfer Protocol - Giao thức truyền tải siêu văn bản) năm giao thức chuẩn mạng Internet, dùng để liên hệ thông tin Máy cung cấp dịch vụ (Web server) Máy sử dụng dịch vụ (Web client) giao thức Client/Server dùng cho World Wide Web-WWW, HTTP giao thức ứng dụng giao thức TCP/IP (các giao thức tảng cho Internet) thường sử dụng port 80 Thông điệp HTTP viết văn ASCII thơng thường, người dùng đọc Có dạng thơng điệp HTTP: thơng điệp HTTP yêu cầu thông điệp HTTP trả lời a Thông điệp HTTP yêu cầu: Cấu trúc chung thông điệp HTTP yêu cầu  Request line: dòng thông điệp HTTP yêu cầu Request line bao gồm có trường như: cách thức (method), URL, phiên (version) Trường cách thức (method) chứa giá trị khác nhau, bao gồm GET, POST, HEAD Phần lớn thông điệp HTTP yêu cầu điều sử dụng phương thức GET Các phương thức GET sử dụng trình duyệt yêu cầu đối tượng xác định trường URL Phương thức POST phương thức mà HTTP client sử dụng người dùng điền vào biểu mẫu (form) đó, chẳng hạn người dung muốn nhập từ khóa vào google.com đề tìm kiếm thơng tin Nếu phương thức POST Entity body thơng điệp u cầu chứa thông tin mà người dùng điền Phương thức HEAD tương tự GET, Khi server nhận yêu cầu phương thức HEAD, trả thơng điệp HTTP không chứa đối tượng yêu cầu  Header line: dòng  Sp: bao gồm giá trị khoảng trống  Blank line: bao gồm giá trị điều khiển trở đầu dòng, xuống hang (cr,lf)  Entity Body (nếu có): phần thân thơng điệp HTTP u cầu Sau ví dụ thơng điệp HTTP u cầu:  GET: Trong ví dụ này, trình duyệt yêu cầu đối tượng /somedir/page.html  Host www.ptithcm.edu.vn: định server mà đối tượng lưu trữ  Connection: close trình duyệt báo cho máy chủ khơng muốn sử dụng kết nối liên tục muốn máy chủ đóng kết nối sau gửi đối tượng yêu cầu  User-agent : thị loại trình duyệt gửi yêu cầu đến server, dùng trình duyệt Mozilla/5.0  Accept-language (fr): thị người dùng muốn nhận phiên tiếng Pháp đối tượng chứa server, không server gửi phiên mặc định đối tượng b Thông điệp HTTP trả lời Thông điệp HTTP trả lời có ba phần: dòng trạng thái (status line), dòng tiêu đề (header lines), thân thông điệp (entity body) Thân (Body) thành phần thơng điệp Status line có trường: phiên giao thức (version), mã trạng thái (status code), trạng thái tương ứng (phrase) giá trị khoảng trống (sp), điều khiển trở đầu dòng, xuống hàng (cr,lf) Cấu trúc chung thơng điệp HTTP trả lời Sau ví dụ thơng điệp HTTP trả lời Trong ví dụ trên, cho thấy:  Status line thể server sử dụng HTTP/1.1  Header line bao gồm:  Connection: close báo cho client server đóng kết kết TCP sau gửi thông điệp  Date: cho biết thời gian mà thông điệp HTTP trả lời tạo gửi server Đó thời gian mà server lấy đối tượng từ hệ thống tập tin nó, chèn vào thông điệp gửi cho client  Server: cho biết Apache Web server, tương tự User-agent thông điệp yêu cầu  Last-Modified: cho biết thời gian đối tượng tạo hay sửa đổi lần cuối  Content-Length: cho biết số bytes đối tượng gửi  Content-Type: cho biết đối tượng phần entity body HTML  Entity body chứa đối tượng yêu trường hợp ví dụ hình 9.6 đại diện data data data data……… c HTTP Status Code Các giá trị chữ số mã trang thái (status code) có giá trị:  1xx_Thơng tin: khơngđược sử dụng, dự phòngtrong tương lai  2xx_Thành công: hành độngđã nhận đượcthành công đươc chấp nhận  3xx_Chuyển hướng: hành động phải thực để hoàn tất yêu cầu  4xx_Clien lỗi: chứa cú pháp sai khơng thực  5xx_ Server lỗi: máy server không thực yêu cầu rõ ràng yêu cầu hợp lệ Một vài mã trạng thái thông dụng thường gặp:     200 301 400 403 OK: Yêu cầu thành công Moved Permanently: đối tượng yêu cầu chuyển Bad Request: server không hiểu thông điệp yêu cầu Forbidden: server từ chối yêu cầu.(thông thường đăng nhập không thành công máy chủ trả mã lỗi này)  404 Not Found: đối tượng u cầu khơng có server  505 HTTP Version Not Supported: server không hỗ trợ phiên giao thức HTTP 1.3 Giao thức HTTPS HTTPS, viết tắt Hypertext Transfer Protocol Secure, giao thức kết hợp giao thức HTTP giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin cách bảo mật Internet Giao thức HTTPS thường dùng giao dịch nhạy cảm cần tính bảo mật cao Giao thức HTTPS sử dụng port 443, giúp đảm bảo tính chất sau thơng tin: • Confidentiality: sử dụng phương thức mã hóa (encryption) để đảm bảo thông điệp trao đổi client server không bị kẻ thứ ba đọc Integrity: sử dụng phương thức hashing để người dùng (client) • máy chủ (server) tin tưởng thơng điệp mà chúng nhận có khơng bị mát hay chỉnh sửa Authenticity: sử dụng chứng số (digital certificate) để giúp • client tin tưởng server/website mà họ truy cập thực server/website mà họ mong muốn vào, bị giả mạo Việc nhờ đến bên thứ (thường CA) để xác thực danh tính website cộng thêm ý người dùng website có sử dụng HTTPS SSL certificate hiệu lực giúp loại bỏ hồn tồn nguy bị lừa đảo 1.4 Giao thức SSL/TLS TLS (tiếng Anh: Transport Layer Security: "Bảo mật tầng truyền tải"), với SSL (Secure Sockets Layer: "Tầng ổ bảo mật") dẫn trước, giao thức mật mã nhằm mục đích bảo mật vận chuyển Internet.[1] Các giao thức mật mã hóa khóa bất đối xứng chứng thực X.509 để xác thực bên để trao đổi khóa đối xứng Sau đó, khóa phiên dùng để mã hóa liệu truyền qua lại hai bên Phương pháp cho phép bảo mật liệu thông điệp xác thực tính tồn vẹn thơng điệp qua mã xác thực thông điệp (message authentication code) Vài biến thể sử dụng rộng rãi ứng dụng duyệt Web, thư điện tử, fax qua Internet, nhắn tin nhanh, VoIP Một sách quan trọng, bí mật chuyển tiếp (forward secrecy),làm cho khơng thể tính khóa phiên ngắn hạn từ khóa bí mật bất đối xứng dài hạn.[2] Do sử dụng chứng thực X.509, giao thức cần nhà cung cấp chứng thực số hạ tầng khóa cơng khai để xác nhận mối quan hệ chứng thực chủ nó, để tạo, ký, quản lý lực chứng thực Tuy q trình tốt việc xác nhận danh tính qua mạng lưới tín nhiệm, vụ tai tiếng thám bí mật người dân 2013 báo động cơng cộng nhà cung cấp chứng thực điểm yếu bảo mật cho phép cơng xen (man-in-the-middle attack).[3][4] Trong khung nhìn mơ hình TCP/IP, TLS SSL mã hóa liệu kết nối mạng tầng phụ thấp tầng ứng dụng Theo hệ thống tầng cấp mô hình OSI, TLS/SSL khởi chạy tầng (tầng phiên) hoạt động tầng (tầng trình diễn): trước tiên tầng phiên bắt tay dùng mật mã bất đối xứng để đặt cấu hình mật mã chìa khóa chia sẻ dành cho phiên đó; sau đó, tầng trình diễn mã hóa phần lại thơng điệp dùng mật mã đối xứng khóa phiên Trong hai mơ hình, TLS SSL phục vụ tầng giao vận bên dưới, đoạn tầng chứa liệu mật mã hóa Giao thức TLS trực thuộc chương trình tiêu chuẩn IETF Nó định rõ lần năm 1999 cập nhật lần cuối RFC 5246 (tháng năm 2008) RFC 6176 (tháng năm 2011) TLS theo định rõ SSL trước (1994, 1995, 1996) Netscape Communications phát triển[5] nhằm thực giao thức HTTPS trình duyệt Navigator 1.5 OpenSSL gì? OpenSSL thư viện phần mềm cho ứng dụng bảo mật truyền thơng qua mạng máy tính chống nghe trộm cần phải xác định phe truyền thông bên đầu Nó sử dụng rộng rãi máy chủ web internet, phục vụ phần lớn tất trang web OpenSSL bao gồm phần mềm nguồn mở cho việc triển khai giao thức mạng mã hóa khác SSL TLS Thư viện gốc viết ngơn ngữ lập trình C, có sẵn phần mềm cho phép sử dụng thư viện OpenSSL nhiều ngôn ngữ, cung cấp chức mật mã tổng quát để mã hóa giải mã OpenSSL sử dụng từ dòng lệnh để yêu cầu, tạo quản lý chứng thực số Có sẵn phiên cho phần nhiều hệ điều hành tương tự Unix (bao gồm Solaris, Linux, Mac OS X, hệ điều hành BSD nguồn mở), OpenVMS, Microsoft Windows IBM cung cấp phiên tương thích với Hệ thống i (OS/400) OpenSSL dựa SSLeay Eric A Young Tim Hudson phát triển vào khoảng tháng 12 năm 1998, RSA Security bắt đầu mướn Young Hudson Heartbleed 2.1 Khái niệm Như nói giao thức SSL TLS giao thức cung cấp tính bảo vệ tính bí mật riêng tư cho ứng dụng website, email, tin nhắn instant message (IM) mạng riêng ảo VPN Heartbleed lỗi nghiêm trọng (CVE-2014-0160) thư viện mã hóa OpenSSL, xảy triển khai thêm tính mở rộng TLS DTLS heartbeat OpenSSL Lỗi bảo mật độc lập tìm nhóm chun gia bảo mật (Riku, Antti Matti) công ty Codenomicon, q trình nâng cấp tính SafeGuard cơng ty quét lỗi bảo mật Defensics Chuyên gia Neel Mehta thuộc phận bảo mật Google – người thơng báo lỗi đến nhóm OpenSSL Lỗi Heartbleed nghiêm trọng phơi bày số lượng lớn khóa cá nhân thơng tin bí mật khác lên internet để lộ nội dung nhớ máy chủ, nơi lưu trữ thông tin nhạy cảm nhất, bao gồm thông tin cá nhân tên truy cập, mật khẩu, số thẻ tín dụng Điều cho phép kẻ cơng lấy mã cá nhân giải mã thông tin mã hóa máy chủ, chí giả mạo máy chủ Lỗi Heartbleed cho phép người Internet đọc nhớ hệ thống bảo vệ phiên lỗi phần mềm OpenSSL phiên 1.0.1 đến 1.0.1f Kẻ cơng lấy mã bí mật – mã sử dụng để định danh máy chủ dịch vụ để mã hóa thơng tin chuyển đi, mã hóa tên mà mật người dùng thân thơng tin Từ đó, kẻ cơng lấy trộm thông tin, liệu Khai thác lỗ hổng, hacker lấy private key server, sử dụng để mã hóa liệu trao đổi server client Từ hacker đọc tồn thơng tin trao đổi client server chưa mã hóa :D Dễ hiểu hacker đọc username/password, nội dung email, chat vv Như vậy, đích nhắm hacker site có tốn trực tuyến như: ngân hàng điện tử, chứng khoán điện tử, cổng toán điện tử, trang thương mại điện tử Ngoài ra, mail server số dịch vụ khác có sử dụng OpenSSL để mã hóa mục tiêu công 2.2 Heartbleed hay Heartbeat? 10 Vì lỗ hổng nằm việc xử lý TLS Heartbeat extension (RFC6520) OpenSSL Nguyên lý hoạt động RFC để client/server kiểm tra xem bạn có sống hay khơng (kiểm tra nhịp tim – Heartbeat) Do lỗi tính kiểm tra heartbeat, nên người ta văn vẻ gọi lỗ hổng Heartbleed Cụ thể: Client gửi message heartbeat đến server với kích thước (ví dụ 1KB ) server phản hồi message lại cho client Tạm hiểu ném cho ông táo để xem ơng có sống hay khơng, ông ném lại táo để báo ơng sống Nhưng lợi dụng việc xử lý không tốt OpenSSL, hacker gửi message có kích thước thật 1KB, lại lừa có kích thước 64KB Do khơng kiểm tra cẩn thận, nên server trả lời gói tin có kích thước 64KB (bao gồm 1KB message thật 63 KB nhớ server) Với lỗ hổng này, hacker tự nhiên nhận 63KB liệu RAM server để tiếp tục khai thác 2.3 Heartbleed hoạt động Vấn đề lỗi nằm công nghệ TLS/SSL hay OpenSSL mà dòng lệnh Heartbeat Sử dụng phần mở rộng Heartbeat, hai máy tính truyền liệu qua lại để đảm bảo đầu bên hoạt động Máy trạm truyền mẩu tin (heartbeat) đến máy chủ (website) máy chủ hồi đáp Trong trình trao đổi, máy ngừng hoạt động máy lại biết nhờ vào chế đồng heartbeat Khi heartbeat gửi đi, phần nhớ tạm thời máy chủ (khoảng 64kbyte) chứa thông tin nhạy cảm nội dung tin, thông tin đăng nhập, khóa phiên khóa riêng máy chủ bị rò rỉ kẻ cơng bắt Bằng cách gửi yêu cầu heartbleed nhiều lần, kẻ cơng lấy nhiều thơng tin từ nhớ máy chủ Điều có nghĩa tất thông tin chứa nhớ máy chủ trở nên dễ tổn thương trước tội phạm mạng Khoảng 2/3 số lượng máy chủ web giới phụ thuộc vào OpenSSL, điều đồng nghĩa với việc thơng tin truyền hàng trăm nghìn website bị ảnh hưởng Lỗ hổng Heartbleed vá phiên OpenSSL v1.0.1g 11 Bộ nhớ máy chủ bị rò rỉ 2.4 Tác động Heartbleed phạm vi toàn cầu OpenSSL thư viện mã hóa phổ biến sử dụng máy chủ web Apache Nginx, sử dụng dịch vụ bảo mật lớp Transport (TLS) tên Heartbeat - phần mở rộng thêm vào TLS vào năm 2012 Theo nghiên cứu Netcraft năm 2014 Apache Nginx chiếm 66% dịch vụ máy chủ sử dụng trang web hoạt động Internet Ngoài ra, OpenSSL sử dụng để bảo vệ máy chủ email (giao thức SMTP, POP IMAP), máy chủ tin nhắn (giao thức XMPP), mạng riêng ảo (SSL VPN), thiết bị mạng nhiều phần mềm người dùng khác Nhà nghiên cứu bảo mật Robert Graham thực việc “quét Internet” phát có 600.000 máy chủ bị lỗi Heartbleed, bao gồm yahoo.com, mgur.com, flickr.com, hidemyass.com Tại Việt Nam, 10 trang Cổng Thông Tin Điện Tử, Hộp Thư Điện Tử trang ngân hàng điện tử Internet Banking tất bị ảnh hưởng lỗ hổng Do lỗi Heartbleed mà Cơ quan Thuế Canada phải tạm dừng dịch vụ thu thuế điện tử dịch vụ Soundcloud phải đăng xuất tất người dùng để sửa lỗi bảo mật 12 Trang Soundcloud bảo trì hệ thống lỗi heartbleed Tuy nhiên, sau trang web lớn Google, Youtube, Facebook, Tumblr, Yahoo Dropbox thực sửa lỗi này, có hàng nghìn website chưa thực việc Người dùng khuyên thực đổi mật website sửa lỗi 2.5 Những máy chủ có nguy bị lỗ hổng ? Phiên tồn lỗ hổng OpenSSL 1.0.1 đến 1.0.1f Các phiên trước sau khơng bị Một số hệ điều hành có cài đặt sẵn OpenSSL sau bị:      Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4 Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11 CentOS 6.5, OpenSSL 1.0.1e-15 Fedora 18, OpenSSL 1.0.1e-4 OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)  FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013  NetBSD 5.0.2 (OpenSSL 1.0.1e)  OpenSUSE 12.2 (OpenSSL 1.0.1c) 2.6 Cập nhật vá cho lỗ hổng ? Đầu tiên, cần kiểm tra phiên máy câu lệnh: openssl version – a Nếu kết ví dụ OpenSSL 1.0.1e 11 Feb 2013 (phiên 1.0.1e có lỗi) Sau tùy vào OS bạn, cập nhật với câu lệnh tương ứng Ví dụ CentOS yum update openssl Ví dụ Ubuntu apt-get upgrade openssl 2.7 Giải pháp  Update phiên OpenSSL từ 1.0.1f lên 1.0.1g để vá lỗi bảo mật 13  Sử dụng dịch vụ website uy tín  Ngừng sử dụng dịch vụ proxy chưa vá lỗi  Tránh truy cập vào tên miền lạ với phần mềm trình khách 14 LỖ HỔNG MS12-020 Năm 2012, máy tính sử dụng hệ điều hành Microsoft Windows phát lỗ hổng bảo mật nguy hiểm Lỗ hổng cho phép tin tặc từ xa kiểm sốt, ăn cắp hồn tồn liệu máy tính cách cài mã độc máy tính sử dụng hệ điều hành Microsoft Windows có mở dịch vụ Remote Desktop thông qua giao thức Remote Desktop Protocol (RDP) Đây lỗi zero day tiếng năm 2012 Microsoft xếp hạng mức cao (Critical) với số điểm 9.3 Theo thống kê nắm 2012 có tới 32% máy chủ web gov.vn mắc lỗ hổng nghiêm trọng Một số khái niệm Remote Desktop Protocol (RDP) giao thức độc quyền phát triển Microsoft, cung cấp cho người dùng giao diện đồ họa để kết nối với máy tính khác thơng qua kết nối mạng Người sử dụng sử dụng phần mềm RDP client cho mục đích này, máy tính khác phải chạy phần mềm RDP server RDP client có hầu hết phiên Microsoft Windows (bao gồm Windows Mobile), Linux, Unix, macOS, iOS, Android hệ điều hành khác RDP server tích hợp vào hệ điều hành Windows, Unix OS X Theo mặc định, RDP server sử dụng cổng TCP 3389 cổng UDP 3389 Nguyên lý hoạt động lỗi sau: Tận dụng lỗi tràn đệm Use-After-Free để dump máy  Mỗi có kết nối tới, RDP sử dụng hàm NM_Connect(), lợi dụng điều hacker gửi nhiều kết nối RDP đến server làm cạn kiệt cổng kết nối  Sau số kết nối tới RDP đạt tối đa, RDP dùng lệnh NMAbortConnect() để ngắt kết nối tới tới RDP  Lúc hacker thực kỹ thuật tràn đệm RDP để RDP lại sử dụng tiếp hàm NMDetachUserReq() – Hàm tương tự hàm 15 NM_Connect() lại tiếp tục nhận tiếp kết nối làm server bị dump Hình ảnh server bị dump Những hệ điều hành bị lỗi  Windows XP Service Pack  Windows XP Professional x64 Edition Service Pack  Windows Server 2003 Service Pack  Windows Server 2003 x64 Edition Service Pack  Windows Server 2003 with SP2 for Itanium-based Systems  Windows Vista Service Pack  Windows Vista x64 Edition Service Pack  Windows Server 2008 32-bit Systems Service Pack 2*  Windows Server 2008 x64-based Systems Service Pack 2*  Windows Server 2008 Itanium-based Systems Service Pack  Windows 32-bit Systems Windows 32-bit Systems Service Pack  Windows 32-bit Systems Windows 32-bit Systems Service Pack  Windows x64-based Systems Windows x64-based Systems Service Pack  Windows x64-based Systems Windows x64-based Systems Service Pack 16  Windows Server 2008 R2 x64-based Systems Windows Server 2008 R2 x64-based Systems Service Pack  Windows Server 2008 R2 x64-based Systems Windows Server 2008 R2 x64-based Systems Service Pack  Windows Server 2008 R2 Itanium-based Systems Windows Server 2008 R2 Itanium-based Systems Service Pack  Windows Server 2008 R2 Itanium-based Systems Windows Server 2008 R2 Itanium-based Systems Service Pack Giải pháp khắc phục • Bước 1: Tắt dịch vụ Remote Desktop máy tính (nếu bật) a Trên hệ điều hành Windows XP Mở Control Panel từ Start\Settings Mở cửa sổ tường lửa (Windows Firewall) Trong windows Firewall chọn thẻ Exceptions bỏ chọn dấu kiểm dịch vụ Remote Desktop b Trên hệ điều hành Windows 7, Vista Nhấp chuột phải lên biểu tượng Computer từ hình desktop từ menu Start chọn Properties 17 Sau đó, nhấp lên liên kết Advanced system settings Tiếp tục chọn thẻ Remote thẻ này, lựa chọn nút radio "Don’t allow connections to this computer”, sau nhấn “OK” 18 • Bước 2: Cài đặt vá lỗi lỗ hổng MS.Windows phát hành vào ngày 13/3/2012 Thực cập nhật cách:  Dùng dịch vụ tự động cập nhật có sẵn Windows  Tải vá để cài đặt trực tiếp địa http://technet.microsoft.com/en-us/security/bulletin/ms12-020 19 chỉ: ...MỤC LỤC LỖ HỔNG HEARTBLEED Heartbleed hay gọi "Trái tim rỉ máu" lỗ hổng bảo mật nghiêm trọng, gây ảnh hưởng đến hai phần... Hudson Heartbleed 2.1 Khái niệm Như nói giao thức SSL TLS giao thức cung cấp tính bảo vệ tính bí mật riêng tư cho ứng dụng website, email, tin nhắn instant message (IM) mạng riêng ảo VPN Heartbleed. .. lỗi bảo mật Defensics Chuyên gia Neel Mehta thuộc phận bảo mật Google – người thơng báo lỗi đến nhóm OpenSSL Lỗi Heartbleed nghiêm trọng phơi bày số lượng lớn khóa cá nhân thơng tin bí mật khác