• Thứ Tư, 02/06/2010 09:06 (GMT+7)

    An toàn cho Internet banking

    Vũ Nga
    Để khắc phục triệt để những lỗ hổng kém an toàn có thể tồn tại trong hệ thống thông tin, ngân hàng nên áp dụng một giải pháp tổng thể ngay từ khi xây dựng hệ thống.

    Nguy cơ từ các lỗ hổng

    Dịch vụ ngân hàng (NH) điện tử trong đó có dịch vụ NH qua Internet (Internet banking) là một xu hướng ứng dụng công nghệ ngân hàng hiện đại đang được các NH Việt Nam quan tâm. Tuy nhiên, tội phạm mạng đã và đang lợi dụng các lỗ hổng để tấn công vào hệ thống. Đây là lý do khiến nhiều ngân hàng chưa thực sự mạnh dạn đầu tư cho dịch vụ nhiều tiện ích này.

    Chữ ký số được áp dụng nhiều trong Internet banking bởi nó đảm bảo đủ 4 yếu tố của an toàn thông tin là bí mật, toàn vẹn, xác thực và đặc biệt là tính không chối bỏ. Tính không chối bỏ là yếu tố quan trọng, giúp xác định chính xác người thực hiện các giao dịch, chống tấn công fishing (lừa đảo) trên mạng.

    Theo ông Nguyễn Minh Đức, Giám đốc bộ phận An ninh Mạng của Bkis, các nguy cơ cho Internet banking có thể đến từ chính những lỗ hổng tồn tại trong quá trình xử lý dữ liệu đầu vào, xử lý logic hay trong quá trình vận hành hệ thống. Lỗ hổng trong chức năng “chuyển tiền” có thể khiến người sử dụng bị lừa chuyển tiền cho kẻ xấu; Chức năng “Khôi phục mật khẩu” bị lợi dụng để đổi mật khẩu của chủ tài khoản; Sử dụng tính năng “Thắc mắc khiếu nại” để cài mã độc (backdoor) vào máy chủ, kiểm soát toàn bộ hệ thống... (xem bảng). Thật bất ngờ, kết quả qua một khảo sát của Bkis đối với 20 hệ thống Internet banking tại Việt Nam cho thấy 100% các hệ thống này tồn tại các lỗ hổng.

    Cũng theo ông Đức, sở dĩ các ngân hàng tại Việt Nam bỏ sót các lỗ hổng này do thiếu quy trình đánh giá độc lập về an ninh khi triển khai các hệ thống Internet banking, không áp dụng các tiêu chuẩn về an ninh thông tin. Chẳng hạn, trong quá trình cấu hình hệ thống, nếu không đồng bộ các tiến trình (chẳng hạn khi chạy web server và database server, phải có vài chức năng của web server hoạt động được thì data base server mới hoạt động được), sẽ có rất nhiều chức năng thừa tồn tại trên hệ thống. Giải pháp cho các quản trị mạng để khắc phục sự cố này là phải có danh sách công việc cần thực hiện (checklist) về an ninh thông tin, loại bỏ các chức năng thừa. Tuy nhiên, đây chỉ là giải pháp tạm thời. Để khắc phục một cách triệt để những nguy cơ có thể tồn tại trong hệ thống, NH nên áp dụng một giải pháp tổng thể ngay từ khi xây dựng hệ thống.

    Giải pháp an toàn cho “Inernet banking”

    Theo các chuyên gia Bkis, gói giải pháp tổng thể giúp xóa bỏ các lỗ hổng trên hệ thống Internet banking phải là một quy trình gồm: Đánh giá độc lập để chỉ ra các khiếm khuyết của hệ thống; Áp dụng chuẩn về an ninh thông tin ISO 27001; Áp dụng các giải pháp phòng chống virus; Ứng dụng chữ ký số.

    Các chuyên gia đánh giá độc lập (được thuê từ bên ngoài) sẽ kiểm tra giúp tìm ra và loại bỏ những lỗ hổng trong quá trình xử lý dữ liệu và xử lý logic. Thậm chí trong quá trình vận hành, các chuyên gia cũng thường xuyên giám sát và có những cảnh báo tức thì nếu có nguy cơ. Song song đó, việc áp dụng bộ tiêu chuẩn ISO 27001 sẽ giúp NH có sự giám sát tổng thể từ chính sách an ninh thông tin, sự tuân thủ, quản lý tài sản, quản lý trao đổi và vận hành, an ninh nguồn nhân lực, an ninh vật lý và môi trường, quản lý sự cố an ninh, kiểm soát truy cập…

    Giải pháp diệt virus tổng thể dành cho doanh nghiệp sẽ giúp ngân hàng loại bỏ các mã độc được cài vào hệ thống. Ngoài ra, một số giải pháp làm tăng tính xác thực của mật khẩu như ma trận mật khẩu, hard token, chữ ký số… Nhiều ngân hàng nước ngoài đều chọn ứng dụng chữ ký số cho các giao dịch trên Internet banking như MayBank, CIMB(Malaisia). Trong 18 triệu chứng thư số của Hàn Quốc, có 84% chứng thư số được cấp phát cho dịch vụ Internet Banking (theo số liệu tháng 3/2009 của Trung tâm Chứng thực Chữ ký Số - Ủy ban An ninh thông tin Hàn Quốc KISA).

    7 lỗ hổng phổ biến trên các hệ thống Internet banking ở Việt Nam do các chuyên gia của Bkis phát hiện
    Nguy cơ/lỗ hổng
    Rủi ro
    Biện pháp khắc phục
     
    Xử lý dữ liệu đầu vào

    SQL InjectionLợi dụng lỗ hổng, hacker có thể lấy được tên, mật khẩu của khách hàng chỉ bằng một số chuỗi thao tác đơn giản. Lỗi này thường xảy ra ở những mô-dun tự phát triển của ngân hàng. * Kiểm soát tốt dữ liệu đầu vào của hệ thống Internet Banking
    * Chọn sử dụng Store Procedure
    Cross Site Scripting (XSS) Hacker có thể thực thi được một đoạn mã độc trong chức năng chuyển khoản của hệ thống, từ đó, chiếm quyền sử dụng của nạn nhân sau khi ăn trộm được giá trị cookie của nạn nhân* Kiểm soát tốt dữ liệu đầu vào
    * Sử dụng thêm các hàm encode, HTML_entities…
    Malicious File Uploading Hacker có thể tấn công trực tiếp vào hệ thống hosting nhờ lợi dụng tính năng “Góp ý/khiếu nại” trên giao diện Internet banking. * Kiểm tra kỹ phần tên file và định dạng của file
    * Phân quyền chặt chẽ trên hosting
    Xử lý logic Authentication Hacker thường nhằm vào những người sử dụng khác trên cùng hệ thống và có thể mạo danh chiếm quyền sử dụng tài khoản của nạn nhân. * Truyền các thông tin nhạy cảm qua session thay vì parameters
    * Kiểm tra session và tài khoản tương ứng
    CrossSite Request Forgery (CSRF)Hacker lừa người sử dụng để chuyển tiền cho chúng bằng cách vô tình click vào một đường link có chứa đoạn mã thực hiện lệnh chuyển tiền * Các tác vụ nhạy cảm phải sử dụng CAPTCHA
    * Sử dụng thêm hard token, PKI
    Môi trường và hệ điều hành
    Bản vá phần mềm Các bản vá không được cập nhật kịp thời chính là lỗ hổng để hacker có thể khai thác từ đây * Thường xuyên cập nhật bản vá * Nắm bắt tình hình an ninh mạng thường xuyên để có thể phòng tránh các lỗ hổng ZeroDay
    Cấu hình hệ thống chưa tốtDo không đồng bộ các tiến trình nên có thể có những chức năng thừa vẫn được kích hoạt và hacker có thể lợi dụng * Phải kiểm tra thường xuyên và liệt kê (checklist) về an ninh thông tin, loại bỏ các chức năng không cần thiết
    Quy trình, vận hành Hacker thường lợi dụng sự thiếu chặt chẽ về quy trình vận hành, chính sách an ninh thông tin để lừa đảo lấy thông tin dẫn đến các nguy cơ: lộ số tài khoản, lộ thông tin cá nhân, vô hiệu hóa tài khoản…* Thực thi theo tiêu chuẩn về ATTT ISO 27001

    Từ khóa: Vũ Nga
    ID: B1005_63