Lơ là bảo mật - điểm yếu của các website VN

Thời gian gần đây, dư luận trở nên ồn ào vì một số website có tiếng bị hacker tấn công. Chủ quan, quá tin vào công nghệ và sự lơ là trong quản lý vẫn là yếu điểm lớn nhất khiến các website của VN thường không thể đứng vững khi bị hack.

Theo phân tích của một thành viên Ban Quản trị Hội hacker VN (HVA), trong cuộc tấn công vào trang tintucvietnam.com, nhóm "Liên minh hacker" đã không "đánh" trực tiếp vào hệ thống iCMS hoặc máy chủ mà thông qua một tổ chức cung cấp dịch vụ tên miền cho website. Việc phá hoại ttvn.com.vn lại nhắm thẳng vào hệ thống iCMS và máy chủ, có thể đã diễn ra theo "kịch bản" là kẻ tấn công dựa vào các lỗ hổng trong iCMS (mã nguồn đã bị phát tán rộng rãi trên mạng), mvnForum và Ngallery để xâm nhập vào hệ thống.

Ngallery và mvnForum là phần mềm mã nguồn mở, miễn phí nên ai cũng có thể download về nghiên cứu. Sau khi đã thâm nhập vào ttvn.com.vn thông qua bất cứ phần mềm nào kể trên, hacker chuyển qua tấn công cơ sở dữ liệu của iCMS, sau đó sử dụng chính công cụ quản trị của iCMS để đưa ra thông báo giả mạo của Ban tổ chức cuộc thi Trí tuệ Việt Nam.

Những cuộc xâm nhập vừa qua chỉ là phần nổi của tảng băng, trong khi phần chìm là những cuộc "ra vào" các website thường xuyên mà quản trị mạng không hề hay biết. JAL, admin của HVA, từng cảnh báo: "Đa số các site Việt Nam hiện bị xâm nhập qua kiểu hack local. Nghĩa là lợi dụng website yếu hay tìm cách sở hữu website trong cùng một host (nơi lưu trữ trang web) để 'leo thang đặc quyền' qua trang web khác thông qua các backdoor (trình gián điệp)".

Xét dưới góc độ quản trị hệ thống, nguyên nhân chính khiến các hệ thống mạng, website trong nước dễ bị xâm nhập là do các quản trị mạng, website chỉ chú trọng đến việc làm sao để mạng hay trang web ổn định mà ít chú trọng đến vấn đề bảo mật. Một phần do họ quá ỷ vào những tính năng được cho là "an toàn" của trang thiết bị nên thường không quan tâm đến việc cập nhật các lỗi bảo mật để kịp thời sửa chữa. Dưới góc độ thiết kế sản phẩm, những lập trình viên website vẫn chưa xây dựng sản phẩm có độ bảo mật cao. Theo trang web thống kê Netcraft.com, có đến gần 70% các vụ tấn công là thông qua lỗ hổng ứng dụng hay lỗi của người thảo chương trình. Những vụ xâm nhập website gần đây đều khai thác lỗi thảo chương trình của người thiết kế, đặc biệt là lỗi SQL Injection (có thể giúp các hacker vào thẳng trang admin mà không cần qua đăng nhập).

Làm sao để bảo vệ website an toàn trước "họng súng" của các hacker? Điều quan trọng nhất là từ những người trực tiếp quản lý, điều hành hệ thống đến từng nhân viên cần phải có một cái nhìn và hiểu biết đầy đủ, đúng đắn nhất về bảo mật. Nhiều tổ chức, doanh nghiệp hiện có suy nghĩ là "mua" hơn "xây dựng" một hệ thống bảo mật thông tin. Kết quả là đôi khi mang về những hệ thống công nghệ đắt tiền, vượt quá khả năng nắm bắt và vận hành hiệu quả của các quản trị viên. Điều này dẫn tới sự lãng phí và đôi lúc chính thiết bị bảo mật lại trở thành "tay trong" phá vỡ sự an toàn của hệ thống. Mọi giải pháp tốt nhất đều bắt đầu từ yếu tố con người với vai trò đi đầu của các admin quản lý hệ thống và lập trình viên thiết kế.

Thanh Niên