• Thứ Tư, 03/08/2011 16:00 (GMT+7)

    Điểm yếu bảo mật của website nội địa

    Minh Chí
    Các công ty chuyên ngành bảo mật đã liên tục cảnh báo nhiều website trong nước về nguy cơ bị tấn công, bị chiếm quyền điều khiển bởi các lỗ hổng bảo mật nghiêm trọng. Hầu hết các website trên dễ dàng trở thành nạn nhân của kỹ thuật tấn công SQL Injection.

    Liên tục bị tấn công

    Theo báo cáo của Cục Tin học Nghiệp vụ - Tổng cục Hậu cần (Bộ Công An) tại sự kiện Security World 2011, trong năm 2010 có hơn 1.000 website bị tấn công xuất phát từ các lỗ hổng bảo mật đang tồn tại trên website và các máy chủ hệ thống. Đặc biệt là các website của các tổ chức tài chính, ngân hàng, chứng khoán thì lại vẫn tồn tại nhiều lỗ hổng.

     
    Theo số liệu khảo sát trong năm 2010 của Chi hội An toàn thông tin (VNISA) phía Nam, trong 3 tháng đầu năm 2010 đã có hơn 300 website có tên miền .vn bị hacker nước ngoài tấn công và thăm dò. Các website này chủ yếu thuộc sở hữu của các đơn vị cung cấp dịch vụ thanh toán trực tuyến, ngân hàng… Trong số website bị tấn công này chỉ có 33% doanh nghiệp (DN) phát hiện cuộc tấn công; 29% DN không biết rõ hệ thống mạng có bị tấn công hay không.

    Các website sử dụng tên miền .vn cũng bị đánh giá có nhiều nguy cơ bị tấn công hơn so với các tên miền khác. Các website cung cấp dịch vụ trực tuyến đang trở thành mục tiêu hàng đầu của hacker. Sau khi chiếm quyền điều khiển website, tội phạm mạng sẽ bắt đầu cài đặt mã độc vào máy tính người dùng dịch vụ.

    Thiếu tướng Nguyễn Viết Thế, Cục trưởng Cục Tin học Nghiệp vụ - Tổng cục Hậu cần (Bộ Công An) cho biết, ở Việt Nam có nhiều website có lỗ hổng bảo mật và có thể bị chiếm quyền điều khiển. Phần lớn các website này vẫn sử dụng ngôn ngữ lập trình ASP.net và sử dụng phần mềm web server IIS (Internet Information Server) 6.0. Các công cụ này vẫn tiềm ẩn nguy cơ bảo mật.

    Theo một số chuyên gia về bảo mật, lỗ hổng bảo mật thường gặp ở các website hiện nay là SQL Injection. Đây là một kỹ thuật tấn công website khá phổ biến được áp dụng trên những máy chủ không được cấu hình tốt, không có hệ thống lọc áp dụng cho những đoạn văn bản gửi đến từ những ứng dụng trực tuyến (web application), hoặc có thiếu sót về lập trình web.

    Các hacker có thể tận dụng lỗi này để chiếm quyền điều khiển, xoá dữ liệu trên website, chèn vào đó các đường link dẫn đến những trang web của chúng… Hiện thời, các phần mềm web server đã có phân hệ phòng chống lỗi SQL Injection và các chuyên viên quản trị mạng cần kích hoạt tính năng này.

    Thiếu quan tâm đến bảo mật website

    Có thể nói, hiện nay vẫn chưa có nhiều DN quan tâm sâu sắc đến yếu tố bảo mật khi thiết lập website để quảng bá thương hiệu, kinh doanh dịch vụ… Chủ yếu, các DN quan tâm nhiều đến hình thức bên ngoài, giao diện dễ sử dụng, website vận hành tốt… Nếu có yêu cầu về bảo mật thì vẫn không có sự đồng bộ giữa đơn vị thiết kế website, dịch vụ đặt máy chủ, đội ngũ an ninh mạng…

    Trung tâm An ninh mạng BKIS đã liên tục cảnh báo về lỗ hổng bảo mật của các trường đại học, ngân hàng, công ty chứng khoán… Những thông tin cảnh báo này cũng được BKIS gửi đến các tổ chức, doanh nghiệp và trường học. Tuy nhiên số DN trong nước hiện nay đầu tư về bảo mật khi thiết kế website không nhiều, chưa lưu ý đến mức độ chuyên nghiệp của đơn vị cung cấp dịch vụ hosting (nơi đặt máy chủ) và hệ điều hành máy chủ quản lý website.

    Các website cung cấp dịch vụ trực tuyến đang trở thành mục tiêu hàng đầu của hacker.

    Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo Quản trị và An ninh mạng Athena: Trong trường hợp DN sử dụng dịch vụ máy chủ dùng chung (Share Hosting) mà nhà cung cấp dịch vụ không cấu hình bảo mật có thể xảy ra rủi ro. Các hacker có thể tấn công vào một website dùng chung dịch vụ hosting và sau đó từ đây tấn công vào website của DN khác. Việc sử dụng máy chủ được thuê riêng với hệ thống bảo mật sẽ đảm bảo an toàn cho website của các DN.

    An toàn thông tin là trên hết

    Theo ông Lê Văn Khoa, kỹ sư của Công ty HPT, chuyên trách bảo mật: Các doanh nghiệp cần định hướng về an toàn thông tin trước khi thiết lập website. Có thể nhờ đến đội ngũ tư vấn bảo mật của các công ty chuyên ngành để chọn hướng thiết kế website thích hợp (VD: chọn ngôn ngữ lập trình). Không nên chờ đến khi website có lỗ hổng bảo mật mới lo tìm giải pháp bảo vệ website.

    Khi website đã bộc lộ nhiều lỗ hổng bảo mật, các doanh nghiệp cần nhờ đến dịch vụ đánh giá tình hình bảo mật; xem mức độ nghiêm trọng như thế nào. Sau đó, mới tính đến việc tìm cách vá lỗi bảo mật hoặc thiết kế lại website. Nếu lỗ hổng bảo mật xuất phát từ cơ sở dữ liệu thì nên thiết kế lại website.

    Hiện nay, trên Internet cũng có một số công cụ được cung cấp miễn phí dùng để phát hiện lỗ hổng bảo mật trên các website. Tuy nhiên, theo các đơn vị cung cấp dịch vụ an ninh mạng thì việc sử dụng công cụ miễn phí phải được chọn lọc và người dùng phải thông thạo trong lĩnh vực bảo mật.

    Cuối cùng, khi thiết kế website với các điều kiện bảo mật hoàn tất, DN cũng không thể quên chi phí duy trì website với hàng rào phòng thủ trước các cuộc tấn công mạng. Đội ngũ chuyên viên quản trị mạng – điều hành website phải có kiến thức về bảo mật hệ thống mạng, luôn đánh giá tình hình bảo mật website và cấu hình phân quyền chặt chẽ nhằm hạn chế rủi ro nếu website bị tấn công. Thường xuyên cập nhật thông tin về những bản vá lỗi của các hãng phần mềm, theo dõi chặt chẽ về quyền truy cập/mật khẩu… Thiết lập chế độ nhật ký mạng (ghi tập tin log) nhằm có cơ sở giải quyết sự cố mạng và điều tra các cuộc tấn công.

    Một số lỗ hổng bảo mật thường gặp trên website
    + Dẫn đầu vẫn là SQL Injection với hình thức tấn công vào cơ sở dữ liệu sau khi vượt qua bức tường lửa (Firewall). Thông qua cách gửi các câu truy vấn SQL, các hacker sẽ tìm cách chiếm quyền điều khiển website.

    + Kế đến là Cross-Site Scripting (XSS) cũng là một kỹ thuật tấn công phổ biến hiện nay. XSS dần dần trở thành một vấn đề bảo mật quan trọng đối với các đơn vị thiết kế website và doanh nghiệp cần thiết lập website. Bằng công cụ mã độc, XSS có thể ghi nhận các phiên làm việc (Sesion) và dữ liệu lưu trữ khi sử dụng trình duyệt web (Cookie) để đánh cắp mật khẩu.

     

    ID: B1106_64