Nhiều website của các cá nhân, tổ chức tại VN hiện nay chưa thực sự quan tâm đến bảo mật, an toàn thông tin; còn quá nhiều lỗ hổng cơ bản… Đây thực sự là miếng mồi ngon cho các cuộc tấn công dồn dập của hacker Trung Quốc thời gian qua.
Như Thanh Niên hôm qua đã thông tin, website 1937cn.net cho biết trong 2 ngày 30 và 31.5.2015 đã có hơn 1.200 website của VN và Philippines bị tấn công, trong đó có khoảng 1.000 website của VN. Theo ông Trần Quang Chiến, Giám đốc Công ty CP VNIST (VNIST Corp), phụ trách website an ninh mạng securitydaily.net, thì 1937cn.net là trang web chính thức của nhóm hacker 1937cn nổi tiếng và mạnh nhất Trung Quốc (TQ). Đây là trang mạng được lập ra với mục đích kích động hacker TQ tấn công các website của VN và các quốc gia ở khu vực Biển Đông. “Tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách; sử dụng bản đã cũ của plugin FCKEditor và sử dụng dịch vụ WebDAV. Đây là những lỗ hổng mà chính nhóm hacker này từng sử dụng để tấn công nhiều website của VN trong năm 2014”, ông Chiến nói.
Theo dõi sát các cuộc tấn công Trao đổi với Thanh Niên chiều qua, ông Nguyễn Huy Dũng, Cục phó Cục An toàn thông tin (ATTT), Bộ Thông tin – Truyền thông (TT-TT), cho biết các đơn vị chức năng của Cục vẫn đang theo dõi sát các cuộc tấn công này. Con số chính thức các cuộc tấn công hiện nay, mỗi nơi thống kê một khác do cách tính toán. Tuy nhiên, theo ông Dũng, có thể không đến 1.000 website, nhưng điều đó vào lúc này không quá quan trọng, bởi những lỗ hổng và thiệt hại của vụ việc mới là điều đáng quan tâm. Đánh giá riêng về các vụ tấn công của 1937cn, ông Dũng cho biết mục tiêu của nhóm này đã được xác định nhằm vào website chứa nhiều thông tin quan trọng, đặc biệt các tên miền .gov.vn. Trong hệ thống tên miền này bao gồm: Một là của các bộ, ngành và UBND các tỉnh cung cấp thông tin, dịch vụ công tới người dân và doanh nghiệp. Thời gian qua mức độ bảo mật, an toàn thông tin của hệ thống webstie này được quan tâm ở mức độ nhất định nên không đáng ngại lắm. Nhưng đối với nhóm website thứ hai, vẫn mang tên miền .gov.vn của các tổ chức chính trị – xã hội, theo ông Dũng có nhiều rủi ro, đáng ngại hơn. “Phần lớn hệ thống bị tấn công vừa qua của nhóm 1973cn rơi vào các đối tượng này. Bản thân các tổ chức, đơn vị này không chuyên về công nghệ thông tin (CNTT) nên công tác bảo mật gặp nhiều khó khăn”, ông Dũng nói. Lật lại hồ sơ, theo ông Dũng, các cuộc tấn công của hacker TQ thường diễn ra vào các đợt cao điểm sự kiện chính trị lớn, đặc biệt là khi tình hình căng thẳng trên Biển Đông. Hồi đầu tháng 5.2014, thời điểm TQ hạ đặt trái phép giàn khoan HD-981 vào vùng biển VN, nhóm hacker 1937cn đã tấn công hàng trăm website của VN. Nhóm này cũng tham gia vào vụ tấn công hơn 700 website của VN trong đợt nghỉ lễ Quốc khánh 2.9.2014. Nên hạn chế các giao dịch nhạy cảm qua mạng Trước khi hacker TQ tấn công ồ ạt vào website VN, một lỗ hổng an ninh nghiêm trọng vừa được phát hiện liên quan đến thuật toán tạo khóa chia sẻ an toàn, khiến người dùng khi truy cập các trang HTTPS, thường là các dịch vụ quan trọng như giao dịch ngân hàng, chứng khoán, mua sắm trực tuyến có thể bị tấn công, nghe lén. Lỗ hổng Logjam tồn tại trong thuật toán trao đổi khóa sử dụng mã hóa Diffie-Hellman dùng để tạo khóa chia sẻ an toàn trong các giao thức bảo mật HTTPS, SSH, IPsec, SMTPS và các giao thức dựa trên TLS khác. Hacker có thể lợi dụng lỗ hổng để hạ cấp mã hóa kết nối từ 1024-bit xuống 512-bit, từ đó tấn công nghe lén Man-in-the-Middle. Ước tính có khoảng 8,4% trong số 1 triệu tên miền HTTPS phổ biến chịu ảnh hưởng từ lỗ hổng. Các trình duyệt Safari, Firefox và Google Chrome – không bao gồm Internet Explorer – hiện chưa nhận được bản vá cho lỗ hổng. Ông Nguyễn Hồng Sơn, chuyên gia phụ trách mảng an ninh hệ thống của Bkav, cảnh báo: “Cho đến khi các nhà cung cấp đưa ra bản vá, người dùng nên hạn chế các giao dịch nhạy cảm qua mạng. Quản trị server cũng cần hủy tính năng hỗ trợ mã hóa DHE_EXPORT, cho phép hạ cấp mã hóa Diffie-Hellman”. Phân tích kỹ hơn về cách thức hacker khai thác lỗ hổng thông qua FCKeditor, ông Trần Quang Chiến cho biết FCKeditor là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các website mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt internet và được sử dụng rất rộng rãi. Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKeditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thực mục, phân quyền thực thi trong các thư mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên website nhằm chiếm quyền điều khiển website. Theo ông Nguyễn Huy Dũng, trước mắt hacker chỉ tập trung vào các lỗ hổng cơ bản, do đó Cục ATTT khuyến cáo các tổ chức, cá nhân cần phải thường xuyên cập nhật phần mềm máy chủ, ứng dụng web, các bản vá của các hãng bảo mật uy tín. Bởi nếu để lỗ hổng cũ, hacker sẽ rất dễ dàng xâm nhập. Về mặt lâu dài, Bộ TT-TT đang xây dựng dự thảo luật ATTT và một số thông tư hướng dẫn phân định cấp độ ATTT.
Anh Vũ – Quang Thuần |
Theo Thanh Niên