Bảo mật rất tệ
Q.U., một sinh viĂŞn ĐH Kinh tế TP.HCM, cho biết vẫn thường vĂ o cĂĄc website cĂ´ng, để khai thĂĄc thĂ´ng tin. Theo lời Q.U., ở phần lớn cĂĄc website nĂ y những người nắm quyền quản trị dường như quĂĄ lơ lĂ về bảo mật.
Trong quĂĄ trĂŹnh tĂŹm kiếm thĂ´ng tin trĂŞn Internet, V.T.HĂšng - giảng viĂŞn một trường đại học ở TP.HCM - tĂŹnh cờ phĂĄt hiện cĂł rất nhiều website của cĂĄc cơ quan nhĂ nước bị lỗi SQL Injection, cho phĂŠp hacker toĂ n quyền vĂ o cơ sở dữ liệu. Từ hai năm trước khi phĂĄt hiện ra lỗi, anh đĂŁ gửi thư thĂ´ng bĂĄo cho người quản trị vĂ chỉ nhận được thư trả lời tự động rằng người nhận đĂŁ nhận được email. KhĂ´ng nản, anh lại gửi thư một lần nữa thĂŹ chỉ nhận được sự im lặng. Đến ngĂ y 26-12-2006, khi trao đổi với Tuổi Trẻ về vấn đề nĂ y, anh thử vĂ o lại website của sở xây dựng ở một tỉnh ĐBSCL vẫn thấy hệ thống khĂ´ng cĂł gĂŹ thay đổi.
Còn ở website của một tổng cĂ´ng ty thĂŹ một người trĂŹnh độ tin học thấp cũng cĂł thể vĂ o thẳng phần quản trị thĂŞm mục mới mĂ khĂ´ng cần username vĂ password.
Anh HĂšng đĂŁ liệt kĂŞ danh sĂĄch hơn 10 website của UBND vĂ một số sở địa phương mĂ anh đĂŁ từng âthăm viếngâ, rồi cho rằng dĂš khĂ´ng giỏi về bảo mật anh vẫn cĂł thể dễ dĂ ng âdạo chơiâ trong hệ thống những trang nĂ y. Với Ă˝ thức của một cĂ´ng dân, mỗi lần phĂĄt hiện ra lỗi anh vẫn đều thĂ´ng bĂĄo cho người quản trị, nhưng anh âbuồn cho mĂŹnh vĂ cho họâ khi những lời cảnh bĂĄo dường như cứ rơi vĂ o khoảng khĂ´ng.
Khoảng giữa năm 2004, khi vừa thĂ nh lập, một trung tâm an ninh mạng đĂŁ cảnh bĂĄo cho một ngân hĂ ng thuộc loại lớn nhất VN về một lỗi bảo mật nghiĂŞm trọng cĂł thể giĂşp hacker kiểm soĂĄt được hệ thống cơ sở dữ liệu. Với lỗi nĂ y, thĂ´ng tin cụ thể của cĂĄc tĂ i khoản, chi tiết cĂĄc giao dịch đều cĂł thể bị đĂĄnh cắp. Ngay lập tức, trung tâm nĂ y đĂŁ gửi thư cho ngân hĂ ng, tự giới thiệu vĂ đề nghị sẽ hỗ trợ khắc phục lỗi miễn phĂ. Tuy nhiĂŞn chỉ đến khi sự việc đến tai Ngân hĂ ng NhĂ nước vĂ cơ quan cĂ´ng an đến lĂ m việc đề nghị truy tố giĂĄm đốc trung tâm tin học ngân hĂ ng nĂ y về tội thiếu trĂĄch nhiệm thĂŹ vị giĂĄm đốc mới liĂŞn lạc chĂnh thức với trung tâm an ninh mạng nĂłi trĂŞn nhờ khắc phục sự cố vĂ sự việc được giữ kĂn.
Lỗ hổng tầm nhĂŹn
|
Ăng Đỗ Ngọc Duy TrĂĄc (trưởng phòng nghiệp vụ Trung tâm Ứng cứu khẩn cấp mĂĄy tĂnh VN):
âBất cứ hệ thống nĂ o trĂŞn thế giới đều cĂł thể gặp cĂĄc sự cố về an toĂ n thĂ´ng tin, vĂŹ vậy khi được cảnh bĂĄo âthân thiệnâ cĂĄc đơn vị nĂŞn cĂł thĂĄi độ cầu thị vĂ liĂŞn hệ với đối tượng cảnh bĂĄo để cĂł thể xĂĄc định chĂnh xĂĄc vĂ giải quyết vấn đề cĂ ng sớm cĂ ng tốt. Khi thấy vấn đề vượt quĂĄ khả năng tự giải quyết của đơn vị, nĂŞn nhờ sự hỗ trợ của cĂĄc trung tâm an ninh mạng. Về lâu dĂ i, cĂĄc đơn vị nĂŞn cử đầu mối tiếp nhận thĂ´ng tin cảnh bĂĄo vĂ đề ra qui trĂŹnh xử lĂ˝ thĂ´ng tin cảnh bĂĄo thật rĂľ rĂ ng để trĂĄnh cĂĄc sai lầm khĂ´ng cần thiếtâ. |
H.B., giĂĄm đốc cĂ´ng ty phần mềm P., nhận xĂŠt cĂł quĂĄ nhiều website cĂ´ng được lập ra rồi bỏ đấy, khi kết thĂşc dự ĂĄn thĂŹ khĂ´ng ai quan tâm đến nữa. Phần lớn cĂĄc website cĂ´ng được phĂĄt triển trĂŞn cĂĄc phần mềm nền tảng của nước ngoĂ i như Window Server, SQL Server, ASP.NET, PHP, MySQL... Thậm chĂ nhiều website còn sử dụng hoĂ n toĂ n mĂŁ nguồn mở như Mambo, Plone, Rainbow... mĂ bản thân những phần mềm nền tảng nĂłi trĂŞn đĂŁ cĂł rất nhiều lỗi. CĂĄc hacker hoặc cĂĄc chuyĂŞn gia bảo mật cĂ´ng bố trĂŞn thế giới hằng ngĂ y vĂ cĂĄc nhĂ cung cấp sản phẩm thường xuyĂŞn đưa ra cĂĄc bản vĂĄ lỗi (patch, fix...) nhưng cĂĄc website cĂ´ng lại khĂ´ng được quan tâm chăm sĂłc.
Trong khi đĂł, đội ngũ chuyĂŞn gia bảo mật của VN Ăt, Ă˝ thức của người sử dụng chưa cao nĂŞn khĂ´ng cĂł thị trường. Bản thân cĂĄc cĂ´ng ty thiết kế website phần nhiều cũng chỉ biết lập trĂŹnh, số đĂ´ng cũng Ăt kiến thức vĂ Ă˝ thức về bảo mật. Hơn nữa cơ chế hợp đồng giữa hai bĂŞn cũng khĂ´ng chặt chẽ, sản phẩm nghiệm thu xong coi như chấm dứt, chưa cĂł những điều khoản về duy trĂŹ, bảo mật. Trong khi phần lớn những người quản trị phĂa cơ quan nhĂ nước đơn thuần chỉ lĂ nhập tin, họ khĂ´ng vĂ o thư mục, xem code... để biết hacker cĂł để lại dấu vết hay khĂ´ng.
Theo Tuoitre.com.vn
