Hàng trăm website .vn đã bị
hacker hỏi thăm trong hơn 1 tháng gần đây. Tuy nhiên, các chuyên gia bảo mật
cảnh báo cuộc tấn công âm thầm còn đáng sợ và gây hậu quả lớn nhiều.
Mối nguy hiểm tiềm ẩn
Từ đầu tháng 6 đến nay đã có
hàng trăm website của Việt Nam bị tấn công thông qua 2 hình thức chính bao gồm:
Tấn công deface thay đổi giao diện ban đầu của các trang web nhỏ bảo mật kém và
tấn công từ chối dịch vụ DDoS đối với các trang web quan trọng, trang thông tin,
báo điện tử mà tin tặc không thể khai thác. Theo các chuyên gia trong lĩnh vực
bảo mật, các cuộc tấn công này chủ yếu là những hành động đơn lẻ, mang tính chất
tự phát và mức độ nguy hiểm của các cuộc tấn công chưa cao. Do đó, chỉ đến
khoảng giữa tháng 6, chiều hướng các cuộc tấn công đã giảm đi rõ rệt.
Tuy nhiên, ông Nguyễn Phố
Sơn, Giám đốc CisLab thuộc Công ty cổ phần An ninh An toàn thông tin CMC (CMC
Infosec) cho rằng, điều đáng lo ngại nhất hiện nay chính là những cuộc tấn công
tiềm ẩn chưa để lộ ra bên ngoài và vào sâu bên trong của hệ thống để xoá hay ăn
cắp dữ liệu, thông tin nhạy cảm...
Cùng quan điểm với ông Sơn,
theo ông Nguyễn Minh Đức, Giám đốc Bộ phận an ninh mạng BKAV, những cuộc tấn
công nhiều người biết đến trong thời gian qua không gây ra thiệt hại lớn, chúng
ta cần phải đề phòng cuộc tấn công âm thầm, thậm chí đã xảy ra nhưng vẫn chưa
được biết đến. Đó là các cuộc tấn công với mục đích khác chứ không đơn thuần
“ghi điểm” như xâm nhập vào hệ thống của cơ quan quan trọng để ăn cắp dữ liệu
trên đó hay dùng máy chủ website đó làm bàn đạp để chiếm đoạt máy chủ email, máy
chủ DNS... “Vì thế, các đơn vị phải luôn luôn đề cao cảnh giác và thường xuyên
rà soát, kiểm tra lại hệ thống của mình”, ông Đức cho biết thêm.
Tại buổi hội thảo “An toàn
an ninh mạng tại Việt Nam - Nguy cơ và giải pháp” được tổ chức chiều ngày 20/6
vừa qua, ông Lê Trung Nghĩa, Trưởng Ban Thúc đẩy ứng dụng CNTT, Bộ KH&CN cho
biết, cách thức tấn công “deface” rất nguy hiểm do không loại trừ khả năng tin
tặc có thể “ngồi” trong máy chủ và có thể quản lý điều hành ảo thay vì chỉ đơn
thuần thay đổi giao diện trang web. Mặt khác, còn có một mối nguy khác lớn hơn
đó là rất nhiều website dù không bị đánh nhưng thực chất đã bị kẻ lạ lọt vào.
Thờ ơ với việc bảo đảm an
ninh mạng
Tại buổi hội thảo, chỉ bằng
những thao tác đơn giản, ông Triệu Trần Đức, Tổng giám đốc CMC InfoSec đã khiến
mã nguồn của một số trang tin điện tử của cơ quan nhà nước, công ty viễn thông…
xuất lộ những thông tin nhạy cảm như đường dẫn của quản trị, đăng nhập của phần
xuất bản nội dung... Với những lỗi cơ bản này, chỉ cần tin tặc trình độ bình
thường cũng có thể dễ dàng khai thác và thay đổi nội dung website. Điều này cho
thấy ý thức về đảm bảo an ninh mạng trong việc xây dựng và thiết kế hệ thống đã
không được quan tâm và không khác gì việc mở cửa mời các tin tặc tấn công vào hệ
thống. “Chính vì thế, máy chủ của Việt Nam cứ dựng lên là trở thành “sân tập”
cho hacker thế giới”, ông Đức nói.
Điều đáng nói là tình trạng
thờ ơ với công tác đảm bảo an ninh mạng của các cơ quan tổ chức ở Việt Nam đã
diễn ra trong một thời gian dài mà hầu như không có sự thay đổi, bởi vì cách
thức tấn công thông qua lỗi SQL Conjection, lỗi tràn bộ đệm… đã có từ năm 2002 –
2003, nhất là khi ngày càng có nhiều công cụ hỗ trợ được tự động hoá.
Cần có chuẩn an toàn
thông tin
Khi được hỏi về việc cơ quan
quản lý Nhà nước có thể đưa ra chuẩn về an toàn thông tin (ATTT), trong đó đưa
ra cấp độ cụ thể đòi hỏi hệ thống cơ sở hạ tầng và trang bị quy chuẩn tương đối
khi cấp phép xây dựng, ông Ngô Quang Huy, Trưởng phòng hệ thống Trung âm Ứng cứu
khẩn cấp máy tính VNCERT (Bộ TT&TT) cho biết, năm 2008, đơn vị này đã xây dựng
xong hệ thống tiêu chuẩn ATTT phù hợp tiêu chuẩn ISO 27001 và được Bộ KHCN ban
hành năm 2009. Hiện VNCERT đang xây dựng một loạt tiêu chuẩn khác để các cơ quan
bắt buộc phải áp dụng. Đối với từng ngành cũng cần có tiêu chuẩn riêng, đặc biệt
trong lĩnh vực tài chính ngân hàng, lưu trữ... VNCERT khuyến khích các ngành sớm
có tiêu chuẩn về ATTT.
Còn theo ông Vũ Quốc Thành,
Tổng Thư ký Hiệp hội An toàn thông tin Việt Nam, trong khi chưa có chuẩn ATTT,
các doanh nghiệp có thể áp dụng tiêu chuẩn xuất phát từ thực tế đã được công
nhận trên thế giới hoặc trong ngành hay áp các khuyến cáo nếu chưa có chuẩn, ví
dụ ngành tài chính ngân hàng tuân theo khuyến cáo ATTT của ngành.
Theo ICTnews