• Thứ Tư, 21/09/2011 09:36 (GMT+7)

    Lỗi bảo mật: Có thể tự đánh giá

    Minh Chí
    Trên thị trường có khá nhiều công cụ đánh giá, kiểm tra mức độ bảo mật. Doanh nghiệp (DN) có thể đăng ký sử dụng hoặc thuê ngoài dịch vụ đánh giá bảo mật (PenTest) từ các nhà cung cấp dịch vụ.

    Tùy chọn công cụ

    Có thể sử dụng một số công cụ bảo mật mã nguồn mở (miễn phí); tính năng loại này tất nhiên là hạn chế so với các phiên bản thương mại hoá.

     

    Các công cụ bảo mật thông dụng hiện tại gồm Acunettix, Nmap, Netcat, Rational AppScan… Các sản phẩm này có khả năng quét được những lỗ hổng bảo mật thường gặp ở Việt Nam. Cách sử dụng các phần mềm (PM) này cũng khá đơn giản và nhân viên quản trị mạng có thể tự vận hành.

    Đây là các chương trình tự động kiểm tra các ứng dụng web để phát hiện các lỗ hổng bảo mật như SQL Injection, Cross-Site Scripting… Các công cụ này dễ dàng nhận diện hệ điều hành cũng như chính sách xác thực/mật khẩu đăng nhập đang sử dụng cho website cần quét lỗi.

    Có thể kể đến Acunetix WVS (Web Vulnerability Scanner) dùng cho việc kiểm tra các ứng dụng web hoặc dịch vụ web để phát hiện các lỗ hổng bảo mật. Sau khi quét xong, Acunetix sẽ liệt kê cấu trúc hiện tại của website, phiên bản web server hiện đang sử dụng, các lỗi bảo mật phát hiện... Mức độ bảo mật của website sẽ được công cụ này đánh giá từ thấp, trung bình… đến cao.

    Đồng thời, Acunetix cũng sẽ cung cấp toàn bộ thông tin về quá trình quét lỗi bảo mật để tạo ra các bản báo cáo dành cho người quản lý website (webmaster). Nhờ phát hiện lỗi sớm, nhân viên quản trị mạng hoặc webmaster kịp thời sửa lỗi, sự phòng thủ trước các đợt tấn công của hacker được tăng lên. Acunetix cũng có thể giả lập một đợt tấn công để thăm dò sức đề kháng của website; qua đó phát hiện các lỗ hổng bảo mật phát sinh khi bị tấn công.

    Quét tự động với AppScan

    Tập đoàn IBM đã cung cấp cho các DN một công cụ chuyên đánh giá các lỗi bảo mật. Đó là PM Rational AppScan có khả năng truy quét các lỗi bảo mật thường gặp trên các website, hệ thống mạng… Công cụ này có khả năng quét hàng ngàn lỗi bảo mật, phát hiện các lỗ hổng an ninh… 

    Các hacker đang chuyển sang tấn công vào ứng dụng web của DN bởi tiếp cận với các ứng dụng web có sẵn trên Internet đơn giản hơn việc mò mẫm tấn công vào hệ thống máy chủ…
    Có khá nhiều phiên bản AppScan, nhưng tại Việt Nam hiện thời có các phiên bản Standard (tiêu chuẩn) – Enterprise (DN lớn) – Source (dành cho nhà thiết kế PM) - Tester Edition (kiểm tra lỗi ứng dụng)… Phiên bản AppScan Source dành cho các công ty phát triển PM kiểm tra các ứng dụng web trước khi gửi cho khách hàng.

    Phiên bản AppScan Standard có chi phí đầu tư thấp hơn phiên bản Enterprise, nên các DN Việt Nam có thể chọn mua. Nhưng phiên bản này có giới hạn trong đánh giá bảo mật nhiều ứng dụng, nhiều website cùng lúc. Trong khi đó, phiên bản Enterprise trong chuyện này khả năng mở rộng hơn.

    AppScan cho phép quét toàn hệ thống (kể cả cấu hình máy chủ) hay chỉ quét riêng cho phần ứng dụng web. Người dùng có thể lựa chọn trong mục khởi tạo cấu hình quét với kiểu quét ứng dụng web (Web Application Scan) hoặc dịch vụ web (Web Service Scan). Đồng thời, khi tiến hành kiểm tra lỗi bảo mật có thể chọn các mẫu quét được chuẩn bị sẵn.

    Để AppScan có thể rà quét tự động các trang đòi hỏi đăng nhập; người sử dụng cần cung cấp user name và password. Sau đó, nó sẽ tuần tự quét tất cả các trang thông tin có trên website. Cuối cùng nó sẽ tạo bản báo cáo với tất cả những lỗi bảo mật (nếu có) cùng với lời giải thích về lỗ hổng đó và đề nghị sửa lỗi.

    Tổ chức OWASP đánh giá: Trong 10 lỗi bảo mật ứng dụng web năm 2010, cho đến thời điểm này, việc chèn các dữ liệu không hợp lệ (Injection) và tấn công người dùng cuối (Cross-Site Scripting)... là phổ biến. Gần đây, các hacker đồng thời sử dụng nhiều kịch bản tấn công chiếm phiên làm việc (Broken Authentication and Session Management).

    AppScan cũng cung cấp tính năng sửa lỗi cùng với khả năng vô hiệu hoá các phiên làm việc trên website. Sau đó, sẽ khởi tạo một phiên làm việc mới sau khi người dùng tiến hành chứng thực thành công. Nó có thể tiến hành lọc các ký tự không hợp lệ nhằm ngăn chặn các đợt tấn công theo hình thức Cross-Site Scripting. Khi đó, hệ thống sẽ ngăn chặn các từ khoá có tính chất nguy hiểm và chỉ chấp nhận những từ khoá hợp lệ.

    Điểm yếu: tầng ứng dụng

    Có thể nói, hiện nay, thay vì tập trung toàn lực đánh vào hệ thống máy chủ, các hacker chủ yếu tấn công vào tầng ứng dụng, nơi đang bộc lộ nhiều lỗi bảo mật. Theo nhận định của Công ty Nghiên cứu Thị trường Gartner, có đến 90% lỗ hổng bảo mật xuất phát từ đây. Đã có hơn 2/3 số lượng website bị tấn công vào ứng dụng web trong năm 2010.

     

    Thông qua việc khai thác các lỗi lập trình ứng dụng web, hacker sẽ bỏ qua các bước đăng nhập hệ thống như thông lệ, và chiếm lấy phiên làm việc của người dùng. Điều này khiến các tường lửa truyền thống của hệ thống mạng/máy chủ web (web server) không thể ngăn chặn các đợt tấn công này.

    Để phòng ngừa, các DN sở hữu website cần thuê ngoài dịch vụ đánh giá bảo mật hoặc thường xuyên tự đánh giá mức độ bảo mật ứng dụng web. DN xem trình độ quản lý của nhân viên quản trị mạng mà chọn các PM đánh giá bảo mật thương mại hoá hoặc miễn phí.

    Hiện nay, trên Internet cũng có một số công cụ rà quét mã nguồn ứng dụng miễn phí, giúp phát hiện các lỗi bảo mật trên website. Các PM này có thể rà quét những hệ thống sử dụng phiên bản mã nguồn mở cũng như mã nguồn đóng (PM thương mại). Sau khi rà quét, chúng sẽ phát hiện các lỗ hổng bảo mật trên tầng ứng dụng (nếu có) và đề nghị giải pháp sửa lỗi.

    Các chuyên gia về bảo mật cũng khẳng định, với tường lửa thông thường, các website thương mại sẽ khó lòng chống đỡ trước những đợt tấn công. Khi hacker khai thác các lỗ hổng của tầng ứng dụng (Application Layer) thì hàng rào phòng thủ website dễ dàng bị xuyên thủng. Cần có cơ chế đánh giá bảo mật và gia tăng bảo vệ bằng các thiết bị, công cụ bảo mật riêng cho ứng dụng web.

     

    Bà Cấn Thị Thanh Hải, Phụ trách Kinh doanh dòng sản phẩm Rational thuộc Nhóm PM - IBM Việt Nam cho biết: “Các nhân viên quản trị mạng cần chú ý thường xuyên nâng cấp và tải bản vá lỗi cần thiết cho các PM/ứng dụng đang sử dụng trên website. Các nhà sản xuất PM vẫn thường xuyên cập nhật bản vá lỗi trên trang chủ của mình”.

    Đồng thời, nên sử dụng các công cụ đánh giá bảo mật tự động (như AppScan của IBM) để phát hiện sớm lỗ hổng bảo mật; kịp thời sửa lỗi. Khả năng rà quét lỗi bảo mật tự động sẽ giúp cho đội ngũ quản trị mạng nhanh chóng phát hiện ra các điểm yếu trên tầng ứng dụng web. Công cụ đánh giá bảo mật AppScan Standard thích hợp với những người phụ trách an ninh mạng (IT Security); đánh giá bảo mật (Penetration) hoặc chuyên gia kiểm định (Auditor)…
     

    ID: B1108_60