Lơi lỏng bảo mật website

Số vụ hacker tấn công vào các website tại Việt Nam ngày càng tăng, trong đó những website có tên miền cơ quan, tổ chức nhà nước (gov.vn) chiếm tỉ lệ không ít.

Tiếng chuông cảnh báo

Vừa qua, Trung tâm Ứng cứu khẩn cấp sự cố máy tính Việt Nam (VNCERT) đã có báo cáo sơ bộ với Bộ Thông tin và Truyền thông về tình hình an toàn thông tin (ATTT) trong 6 tháng qua. Theo VNCERT, đối với hoạt động ứng cứu sự cố, trong thời gian từ ngày 30-12-2013 đến 10-6-2014, trung tâm này đã ghi nhận 405 sự cố Phishing (tấn công giả mạo), trong đó xử lý được 250 sự cố; 648 sự cố Deface (tấn công thay đổi nội dung website), trong đó 72 sự cố liên quan đến các website tên miền cơ quan, tổ chức cấp quốc gia. VNCERT đã xử lý được 34 sự cố liên quan đến các tên miền gov.vn và 281 tên miền khác. Ngoài ra, có 345 sự cố malware (tấn công mã độc) và xử lý được 147 sự cố; cảnh báo, xử lý 2.117 lượt địa chỉ IP của các website cơ quan nhà nước bị nhiễm mã độc botnet. Báo cáo từ VNCERT cũng cho biết trong tháng 5-2014, có 989 vụ hacker nước ngoài tấn công các website tại Việt Nam, trong đó 541 vụ được thực hiện bởi tin tặc Trung Quốc và 16 website bị hại là của cơ quan nhà nước.

Vừa qua, website của Bộ Tài nguyên và Môi trường đã bị hacker tấn công

Sự việc mới nhất là vào ngày 20-6, Công ty Bảo mật quốc tế (ESET) đã đưa ra báo cáo cụ thể về những bước tin tặc thực hiện thâm nhập hệ thống website Bộ Tài nguyên và Môi trường (www.monre.gov.vn), các hoạt động của mã độc khi đã ở trong hệ thống và cách tin tặc dựa vào đó đánh cắp dữ liệu. Vụ tấn công này, ESET nhận định có thể hacker muốn đánh cắp những dữ liệu liên quan về biển Đông như các bản đồ, tư liệu nghiên cứu, báo cáo... Theo đó, hacker đã tấn công bằng “spear-phishing”, một hình thức lừa đảo qua email nhưng hướng tới những đối tượng có chủ đích. Trong email, kẻ tấn công đính kèm một tập tin Word và hacker biết rõ các nhân viên Bộ Tài nguyên và Môi trường thường sử dụng webmail để kiểm tra email và họ không thể xem trực tiếp ngay file Word đính kèm mà phải tải về máy. Khi các nhân viên mở tập tin Word đã tải về trong email giả mạo của hacker gửi đến, một mã nhúng sẽ khai thác lỗi bảo mật để “thả” tập tin mã độc tên “payload.exe” vào hệ thống công nghệ thông tin của Bộ Tài nguyên và Môi trường. Đáng chú ý, mã độc này có khả năng “qua mặt” được lớp bảo mật chống virus trên máy tính của các nhân viên Bộ Tài nguyên và Môi trường. Rất may mắn, các dữ liệu của cơ quan này đã không bị lấy cắp nhưng đây tiếp tục là tiếng chuông cảnh báo về nguy cơ hacker sử dụng mã độc tấn công các website của cơ quan nhà nước.

Các chuyên gia cảnh báo hiện có rất nhiều cơ quan nhà nước không nhận thức đúng mức về giá trị và tầm quan trọng của những thông tin, dữ liệu đang có trên hệ thống công nghệ thông tin của mình.

Phải thường xuyên vá lỗi hệ thống

Ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội ATTT Việt Nam (VNISA), cho biết hiện nay tại nước ta, cơ quan nhà nước, tổ chức, doanh nghiệp và người dùng cá nhân đang phải đối mặt với nhiều nguy cơ về ATTT. Website của khối cơ quan nhà nước có lỗ hổng bảo mật chiếm tỉ lệ tương đối. Theo khảo sát của VNISA trong năm 2013, 78% website cơ quan nhà nước tham gia khảo sát chứa điểm yếu bảo mật ở mức cao (thực hiện bằng cách lựa chọn ngẫu nhiên 100 webstite tên miền cơ quan nhà nước để khảo sát tình trạng an ninh bảo mật) và trung bình 1 website có 35 lỗ hổng bảo mật.

Trao đổi với phóng viên Báo Người Lao Động, ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo An ninh mạng Athena TP HCM, cho rằng có nhiều nguyên nhân dẫn đến lỗi bảo mật ở các tổ chức, cơ quan nhà nước, như lỗi ở cấp độ hệ điều hành, mã nguồn của website hoặc lỗi vận hành trong quá trình quản trị của các nhân viên quản lý web. Về yếu tố kỹ thuật, nhiều mã nguồn của các website được phát triển bằng những công nghệ cũ, nay đã lạc hậu và xuất hiện nhiều lỗ hổng bảo mật nhưng vẫn không được nâng cấp, sửa chữa. Còn về yếu tố con người, nhiều nhân viên quản trị web thiếu kiến thức ATTT, an ninh mạng nên vận hành sai quy trình như đặt password quản trị quá đơn giản, không thường xuyên cập nhật những bản vá lỗ hổng bảo mật của hệ thống...

Một yếu tố khác cũng gây nên những lỗi bảo mật là nhiều phần mềm, ứng dụng được sử dụng nhưng không có bản quyền hoặc sử dụng những bản crack (bẻ khóa) thường có nhiều mã độc kèm theo. Những lỗi này có thể cho phép bên ngoài xâm nhập và chiếm quyền điều khiển, thay đổi nội dung website hoặc cài những mã độc để từ đây làm bàn đạp lây lan ra những hệ thống máy tính khác. Theo ông Võ Đỗ Thắng, để khắc phục các lỗi bảo mật thì trước tiên cần nhân sự chuyên trách có kiến thức về an ninh mạng. Tổ chức cũng nên đào tạo bổ sung về kiến thức ATTT cho những nhân viên tham gia vận hành, khai thác hệ thống mạng. Song song đó, xây dựng một quy trình rà soát định kỳ về các lỗ hổng trên hệ thống mạng, hệ thống máy tính. “Ngoài ra, phải thường xuyên cập nhật những bản vá lỗi hệ thống do nhà sản xuất cung cấp và sử dụng các phần mềm bản quyền” - ông Thắng khuyên.