Bảo mật web “nội” cực lỏng lẻo

Ông Nguyễn Trung Chính –TGĐ CMC cho biết, “dưới góc độ của người dân thì rất bức xúc khi cả website của Bộ Ngoại Giao cũng bị tấn công.  Còn với tư cách là một chuyên gia thì chúng tôi cảm thấy phải có lỗi và trách nhiệm với việc các website Việt bị hacker tấn công liên tục trong thời gian gần đây”.

Theo ông Ngô Quang Huy - Trưởng phòng nghiệp vụ TT ứng cứu khẩn cấp máy tính VN - VNCert thì thực tế số lượng các website bị tấn công không nhiều nhưng đang nghi ngại là các phương pháp hacker thực hiện quá đơn giản.

Ông Triệu Trần Đức –GĐ công ty bảo mật CMC Infosec thì việc các website nội bị tấn công nguyên nhân cũng do các website quá lỏng lẻo trong việc bảo mật. Ông đưa ra ví dụ minh họa thực tế đó là website của Viettel và Tổng cục Thủy sản, chỉ cần nhấp chuột phải vào hai website này đã có thể lấy được đường dẫn đăng nhập tài khoản quản trị web. Trong khi các địa chỉ này cần phải được giấu kỹ, không nên hiển thị ra. “Các lỗi này cơ bản là do nhà cung cấp phần mềm, không quan tâm cập nhật phần mềm vá lỗi”, ông Đức nói. Ngay cả các phần mềm mua ở nước ngoài vẫn chưa an toàn do lập trình web kém.

Chưa hết, nhiều website có lỗi giống nhau và chỉ cần dùng một vài công cụ quét đơn giản là có thể phát hiện ra lỗi. Các website, máy chủ giống như một sân tập cho các hacker mới thực hành, ông Đức nói. Các lỗi cơ bản này có cả những lỗi như tràn bộ nhớ đệm cách đây cả chục năm giờ quá phổ biến.

Ông Đức cho rằng, các cuộc tấn công có mục tiêu hoặc các hacker tuyên bố trước khi tấn công khó hơn nhiều do phải tự viết công cụ.

Thông kê của CMC Infosec thì có tới 30% trong số 300 trang web lớn có máy chủ riêng có đuôi org, gov bị hack. Chưa kể có những website bị hack trong nhiều năm mà quản trị web không hề biết.

Ý thức kém mới đáng ngại

Các chuyên gia cho rằng dù các cuộc tấn công website nội gần đây sử dụng các công cụ đơn giản nhưng đáng ngại là ý thức bảo mật của các tổ chức quá kém.

“Phải thấy rằng ý thức bảo mật website của các tổ chức là quá kém. Chưa kể có quan điểm cho rằng chỉ cần tắt máy chủ đi là có thể … an toàn”, theo ông Đức. Trong khi, các đơn vị này vẫn tốn kém chi phí cho hệ thống máy chủ, phần mềm…

“Các cuộc tấn công xuất phát từ nhiều địa chỉ IP như Hàn Quốc, Trung Quốc và cả Việt Nam. Mức độ nguy hiểm là chưa cao và chưa thể hiện được trình độ của hacker. Nhưng việc cung cấp các thông tin về website bị tấn công vẫn còn bị nhiều tổ chức xem nhẹ”, ông Huy nói.

Tuy nhiên, xét ở một khía cạnh nào đó thì việc đầu tư nguồn lực bảo mật cũng là một vấn đề rất quan trọng phụ thuộc vào khả năng của mỗi tổ chức. Ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội ATTT Việt Nam (VNISA) cho biết, vấn đề an toàn thông tin còn cả yếu tố nguồn lực, hiện nay đang thiếu và yếu ngay cả những người làm. Hơn nữa là cơ chế và chính sách, chuẩn ATTT không phải tổ chức nào cũng có thể thực hiện. Tuy nhiên, ông nhận định các cuộc tấn công vừa qua mới mang tính tự phát và có những người quản trị web họ chỉ hiểu đơn giản chỉ cần sửa giao diện website vừa bị hack là xong.

Ông Lê Trung Nghĩa một chuyên gia trong lĩnh vực công nghệ đồng tình với quan điểm này cho rằng bảo mật không phải ai cũng làm được. Ông cho rằng phải tìm ra giải pháp để giải quyết triệt để vấn đề trên. Ông cho biết, nhiều thống kê cho thấy 1 giây có thể sản sinh ra tới 2 con virus máy tính trong khi mất 3h mới có công cụ để sửa lỗi do 1 con virus gây ra vậy vấn đề chúng ta là phải chọn giải pháp như thế nào.

“Công nghệ tấn công đơn giản nhưng nguy hiểm ở chỗ là hàng trăm website đã bị tin tặc “ngồi” vào trong máy chủ  mà không bị phát hiện thì nguy to. Chưa kể các cuộc tấn công mạng nội bộ không kết nối internet loại trừ kiểu cắm USB thì cũng có tới 17 phương pháp khác nhau”, ông Nghĩa nói.

Nói đến việc cung cấp thông tin thì do thông tin thiếu, một chiều đã có nhiều diễn đàn cung cấp thông tin không chính xác, gây ảnh hưởng đến cộng đồng. Cả phía VNISA và VNCert cho rằng mọi người phải bình tĩnh, tránh hùa theo các thông tin sai lệch.

Theo www.laodong.com.vn