- Xâm nhập thông qua lỗ hổng website và nâng quyền chiếm đoạt toàn bộ server là xu thế tấn công đang được hacker sử dụng và khai thác ngày càng nhiều. Xu thế trên diễn ra đặc biệt mạnh khi tình trạng lơ là bảo mật cho các server ở Việt Nam đang ở mức báo động.
Chưa nắm được khái niệm cơ bản về bảo mật
Báo động tình trạng bảo mật server Thời gian gần đây, số lượng website Việt Nam bị tấn công đang có chiều hướng gia tăng, đặc biệt hình thức tấn công phổ biến thông qua hành động xâm nhập vào máy chủ (có một số máy chủ chứa hàng trăm trang web), do vậy khi máy chủ bị tấn công, các trang web ở trong đó cũng bị tấn công theo. Có thể kể đến như trường hợp ngày 6/6, một nhóm hacker có tên CmTr đã khai thác lỗ hổng trên server và tấn công vào hơn 200 website tiếng Việt hay đêm ngày 3/7/2011, gần 200 website có tên miền .vn, .com, .net nằm trên một số server đã bị tin tặc hỏi thăm, trong đó có cả website của Sở Tài chính tỉnh Bình Dương.
Theo ông Lê Minh Hiếu, Phó phòng Kỹ thuật, Công ty Viễn thông Quốc tế FPT (FTI), tình trạng lỏng lẻo về bảo mật ở các server Việt Nam rất phổ biến và chưa có chiều hướng cải thiện. Đa phần do người quản trị chưa nắm được những khái niệm căn bản về bảo mật, ví dụ như đặt mật khẩu quá dễ đoán hoặc không cập nhật các bản vá cho hệ điều hành và cài đặt chương trình anti-virus mới nhất.
“Đây là một việc rất nguy hiểm vì ngoài việc chiếm quyền điều khiển server đó, đánh cắp và thay đổi thông tin, hacker có thể dùng server đó để tấn công những server khác hoặc phát tán virus làm ảnh hưởng đến toàn bộ hệ thống mạng”, ông Hiếu cho biết thêm.
Về các lỗi bảo mật đối với server, ông Hiếu cho rằng, lỗi bảo mật phổ biến nhất là khai thác các lỗ hổng của hệ điều hành, chế độ mật khẩu yếu, phân quyền tuỳ tiện, chạy nhiều dịch vụ và tính năng thừa, mở quá nhiều cổng không cần thiết.
Ông Mai Như Thành, Phó giám đốc VDC Online cho biết, ngoài việc phân quyền không cẩn thận, lỗi thường xuyên mắc phải nhất của người quản trị hệ thống chính là không thường xuyên rà soát các bản vá. Ngoài ra, thao tác triển khai ứng dụng bằng các hệ thống nguồn mở hoặc code đã được triển khai trên cộng đồng để đưa vào khai thác cũng là một nguyên nhân. Mặc dù, điều này giúp các đơn vị phát triển ứng dụng đưa vào sử dụng rất nhanh nhưng lại tiềm ẩn rất nhiều lỗ hổng. Nếu không kiểm soát tốt, các ứng dụng này sẽ trở thành “mồi ngon” cho tin tặc. Bên cạnh đó, người quản trị hệ thống còn hay xao nhãng trong việc theo dõi hệ thống nên không theo dõi được những bất thường xảy ra.
Nguyên nhân chủ yếu dẫn đến tình trạng này, ông Hiếu cho rằng, do bảo mật là một công việc diễn ra liên tục và nhàm chán, chính vì thế, quản trị viên thường chỉ quan tâm làm sao cho cấu hình hệ thống hoạt động, để các chế độ và chính sách sao tiện cho mình nhất. “Điều đó dẫn đến việc không định kỳ kiểm tra và xem lại chính sách bảo mật, nhất là khi các lỗ hổng bảo mật mới lại xuất hiện hàng ngày, hàng giờ”, ông Hiếu nói.
Cũng giống như ông Hiếu, ông Thành cho rằng, những lỗi hay mắc phải nhất chủ yếu liên quan đến nghiệp vụ của người quản trị. Những quy định về kỹ thuật chủ yếu về giải pháp, công cụ, biện pháp tăng cường để đảm bảo an toàn thông tin nhưng nó không chỉ rõ được đầu mối chịu trách nhiệm, lịch trình thực hiện phải giải quyết trong bao lâu, mô tả hướng dẫn công việc như thế nào…
“Quy trình nghiệp vụ chính là điểm khác biệt giữa các nhà cung cấp dịch vụ. Do đó, người sử dụng nên chọn những nhà cung cấp ít gặp các thông tin liên quan đến việc bị hacker tấn công, thường là những nơi lâu đời, có truyền thống và uy tín như VDC, FPT hay Viettel…”, ông Thành cho biết thêm.
Cần có tiêu chuẩn về bảo mật cho data center
Ông Thành cho rằng, cơ quan quản lý nên đưa ra các tiêu chuẩn bảo mật cho các data center để hạn chế tình trạng lỏng lẻo hiện nay, bao gồm cả tiêu chuẩn về kỹ thuật và nghiệp vụ. Tuy nhiên, tiêu chuẩn chỉ nên dừng lại ở các kiến nghị, khuyến khích và không nên mang tính áp buộc vì khách hàng mới chính là người lựa chọn các nhà cung cấp dịch vụ áp dụng tiêu chuẩn phù hợp.
Cùng quan điểm, theo ông Hiếu, việc đưa ra văn bản, quy chuẩn cho các đơn vị data center là việc rất nên làm để hạn chế tình trạng lỏng lẻo về bảo mật hiện nay. Một số biện pháp có thể thực hiện bao gồm yêu cầu mọi server phải được cài hệ điều hành cập nhật các bản vá mới nhất, cộng thêm cài chương trình anti-virus cập nhật cơ sở dữ liệu mới nhất thì mới được triển khai và cắm vào mạng của data center. “Chúng ta nên có một tiêu chuẩn mà website phải đạt được, mới được triển khai và vận hành. Việc này có thể do các cơ quan chức năng và các tổ chức bảo mật phối hợp thực hiện”, ông Hiếu kết luận.
Chưa nắm được khái niệm cơ bản về bảo mật
Báo động tình trạng bảo mật server
Theo ông Lê Minh Hiếu, Phó phòng Kỹ thuật, Công ty Viễn thông Quốc tế FPT (FTI), tình trạng lỏng lẻo về bảo mật ở các server Việt Nam rất phổ biến và chưa có chiều hướng cải thiện. Đa phần do người quản trị chưa nắm được những khái niệm căn bản về bảo mật, ví dụ như đặt mật khẩu quá dễ đoán hoặc không cập nhật các bản vá cho hệ điều hành và cài đặt chương trình anti-virus mới nhất.
“Đây là một việc rất nguy hiểm vì ngoài việc chiếm quyền điều khiển server đó, đánh cắp và thay đổi thông tin, hacker có thể dùng server đó để tấn công những server khác hoặc phát tán virus làm ảnh hưởng đến toàn bộ hệ thống mạng”, ông Hiếu cho biết thêm.
Về các lỗi bảo mật đối với server, ông Hiếu cho rằng, lỗi bảo mật phổ biến nhất là khai thác các lỗ hổng của hệ điều hành, chế độ mật khẩu yếu, phân quyền tuỳ tiện, chạy nhiều dịch vụ và tính năng thừa, mở quá nhiều cổng không cần thiết.
Ông Mai Như Thành, Phó giám đốc VDC Online cho biết, ngoài việc phân quyền không cẩn thận, lỗi thường xuyên mắc phải nhất của người quản trị hệ thống chính là không thường xuyên rà soát các bản vá. Ngoài ra, thao tác triển khai ứng dụng bằng các hệ thống nguồn mở hoặc code đã được triển khai trên cộng đồng để đưa vào khai thác cũng là một nguyên nhân. Mặc dù, điều này giúp các đơn vị phát triển ứng dụng đưa vào sử dụng rất nhanh nhưng lại tiềm ẩn rất nhiều lỗ hổng. Nếu không kiểm soát tốt, các ứng dụng này sẽ trở thành “mồi ngon” cho tin tặc. Bên cạnh đó, người quản trị hệ thống còn hay xao nhãng trong việc theo dõi hệ thống nên không theo dõi được những bất thường xảy ra.
Nguyên nhân chủ yếu dẫn đến tình trạng này, ông Hiếu cho rằng, do bảo mật là một công việc diễn ra liên tục và nhàm chán, chính vì thế, quản trị viên thường chỉ quan tâm làm sao cho cấu hình hệ thống hoạt động, để các chế độ và chính sách sao tiện cho mình nhất. “Điều đó dẫn đến việc không định kỳ kiểm tra và xem lại chính sách bảo mật, nhất là khi các lỗ hổng bảo mật mới lại xuất hiện hàng ngày, hàng giờ”, ông Hiếu nói.
Cũng giống như ông Hiếu, ông Thành cho rằng, những lỗi hay mắc phải nhất chủ yếu liên quan đến nghiệp vụ của người quản trị. Những quy định về kỹ thuật chủ yếu về giải pháp, công cụ, biện pháp tăng cường để đảm bảo an toàn thông tin nhưng nó không chỉ rõ được đầu mối chịu trách nhiệm, lịch trình thực hiện phải giải quyết trong bao lâu, mô tả hướng dẫn công việc như thế nào…
“Quy trình nghiệp vụ chính là điểm khác biệt giữa các nhà cung cấp dịch vụ. Do đó, người sử dụng nên chọn những nhà cung cấp ít gặp các thông tin liên quan đến việc bị hacker tấn công, thường là những nơi lâu đời, có truyền thống và uy tín như VDC, FPT hay Viettel…”, ông Thành cho biết thêm.
Cần có tiêu chuẩn về bảo mật cho data center
Ông Thành cho rằng, cơ quan quản lý nên đưa ra các tiêu chuẩn bảo mật cho các data center để hạn chế tình trạng lỏng lẻo hiện nay, bao gồm cả tiêu chuẩn về kỹ thuật và nghiệp vụ. Tuy nhiên, tiêu chuẩn chỉ nên dừng lại ở các kiến nghị, khuyến khích và không nên mang tính áp buộc vì khách hàng mới chính là người lựa chọn các nhà cung cấp dịch vụ áp dụng tiêu chuẩn phù hợp.
Cùng quan điểm, theo ông Hiếu, việc đưa ra văn bản, quy chuẩn cho các đơn vị data center là việc rất nên làm để hạn chế tình trạng lỏng lẻo về bảo mật hiện nay. Một số biện pháp có thể thực hiện bao gồm yêu cầu mọi server phải được cài hệ điều hành cập nhật các bản vá mới nhất, cộng thêm cài chương trình anti-virus cập nhật cơ sở dữ liệu mới nhất thì mới được triển khai và cắm vào mạng của data center. “Chúng ta nên có một tiêu chuẩn mà website phải đạt được, mới được triển khai và vận hành. Việc này có thể do các cơ quan chức năng và các tổ chức bảo mật phối hợp thực hiện”, ông Hiếu kết luận.
Một số khuyến cáo hạn chế hacker tấn công đối với quản trị server
- Sử dụng chế độ mật khẩu mạnh;
- Phân quyền hợp lý cho các account và thư mục, hạn chế việc thi hành các tính năng và dịch vụ không cần thiết;
- Thường xuyên update hệ điều hành và chương trình anti-virus;
- Kiểm tra và sửa chữa các lỗ hổng của website, ví dụ một số lỗi cơ bản như lỗi SQL Injection, kiểm tra file khi upload;
- Sử dụng tường lửa để hạn chế các cổng được hoạt động và lọc các tiến trình độc hại;
- Thường xuyên rà soát server, đọc logfile xem có tiến trình lạ, account lạ, hay file lạ nào không.
- Sử dụng chế độ mật khẩu mạnh;
- Phân quyền hợp lý cho các account và thư mục, hạn chế việc thi hành các tính năng và dịch vụ không cần thiết;
- Thường xuyên update hệ điều hành và chương trình anti-virus;
- Kiểm tra và sửa chữa các lỗ hổng của website, ví dụ một số lỗi cơ bản như lỗi SQL Injection, kiểm tra file khi upload;
- Sử dụng tường lửa để hạn chế các cổng được hoạt động và lọc các tiến trình độc hại;
- Thường xuyên rà soát server, đọc logfile xem có tiến trình lạ, account lạ, hay file lạ nào không.