Người gửi: Pham Trung Hieu
Gửi tới: Ban Vi tính
Tiêu đề: Không nên thổi phồng nguy cơ
Đồng ý rằng việc cảnh báo người dùng nhận thức được bảo mật là cần thiết nhưng tôi nhận thấy phía BKIS có vẻ hơi thổi phồng sự việc. Bản thân tôi là một người làm việc trong ngành IT và cũng có 1 số kinh nghiệm về vấn đề này.
Trên thực tế, đối với những loại modem ADSL hiện có bán trên thị trường cũng như các loại modem do nhà cung cấp dịch vụ đưa đến khách hàng như: ASUS, Planet, SpeedTouch, Siemens, SpeedCom, Micronet, SureCom, Zyxel, Linksys....đều mặc định đã tắt chế độ remote admin và/hoặc telnet server.
Chỉ có 1 số ngoại lệ là các thiết bị tích hợp Wireless Access Point+Modem+Router là có khả năng bị hack cao nhất nếu không đổi mật khẩu. Nhưng đó lại là vấn đề về bảo mật đối với mạng không dây. Một vấn đề hoàn toàn khác mà tôi không định trình bày trong khuôn khổ bài viết này.
Nếu là người dùng thông thường thì họ sẽ gần như không bao giờ bật chế độ này lên. Còn đối với các kỹ thuật viên IT thì nếu muốn bật, họ sẽ đổi password truy cập ngay sau đó. Vì vậy, cho dù người dùng có để chế độ mật khẩu mặc định thì việc hack vào modem cũng không hề dễ dàng.
Việc hack được vào modem và máy tính đứng sau modem đó là 2 việc hoàn toàn khác nhau. Khi chiếm được quyền điều khiển modem thì nhiều lắm là hacker chỉ có thể tạo được 1 kết nối tới modem, thay đổi mật khẩu truy cập Internet hoặc phá hỏng modem đó chứ chưa thể ngay lập tức chiếm được quyền điều khiển hệ thống vì bản thân các máy tính có cài đặt WindowsXP Service Pack2 (Hiện tại đại đa số người dùng đều đang sử dụng sản phẩm này) đã được mặc định cài đặt Firewall. Vì vậy, việc hack vào hệ thống phần mềm cũng hoàn toàn không đơn giản.
Việc ông Nguyễn Tử Quảng cho rằng "thông số mặc định trên modem của một số nhà sản xuất lại cho phép tất cả các máy tính trên Internet (bao gồm cả những máy tính từ mạng ngoài) có thể truy cập vào modem để thực hiện việc này" là hoàn toàn không chính xác.
Ngoài ra tôi cũng vẫn băn khoăn đối với con số do BKIS đưa ra: 14% trên 10.000 thuê bao ADSL của các ISP. Phía BKIS dựa trên số liệu nào? Do ISP đưa ra hay BKIS đã khảo sát? (Liệu BKIS có đủ năng lực để làm việc này không nhỉ?) Họ dựa trên tiêu chí đánh giá nào để liệt các thuê bao đó vào dạng nhiều nguy cơ?