Website tích hợp nhiều dịch vụ trên một máy chủ, sử dụng phần mềm cũ hoặc bản "bẻ khóa" nên không được cập nhật các bản vá bảo mật.... cách làm này lại khiến các website Việt trở nên rất "hớ hênh".
Viện Công nghệ phần mềm và nội dung số (Bộ TT&TT) đang tiến hành nghiên cứu, tìm ra những nguyên nhân chính dẫn đến tình trạng các website của Việt Nam liên tục bị các hacker “hỏi thăm” trong thời gian gần đây.
Nguy cơ từ việc tích hợp nhiều dịch vụ trên một máy chủ
Nguyên nhân chính khiến cho các website của Việt Nam dễ bị tấn công là do phần lớn các trang web có quá nhiều dịch vụ tích hợp lẫn nhau.
Ông Hoàng Lê Minh, Viện trưởng Viện Công nghệ phần mềm và nội dung số (Bộ TT&TT) cho biết, Viện đang tiến hành cuộc khảo sát về tình trạng bảo mật của các website ở Việt Nam. Kết quả cuộc khảo sát sẽ giúp cho các nhà cung cấp dịch vụ, các nhà quản lý ở Việt Nam có cái nhìn toàn diện về những vấn đề đang tồn tại trong việc triển khai, cung cấp dịch vụ trên Internet. Ví dụ trường hợp một vài trang web đã bị hack trong thời gian qua, từ cuộc khảo sát này, Viện sẽ chỉ ra được những lý do khiến trang web đó bị tấn công hay có những lỗ hổng nào để hacker có thể khai thác
Qua cuộc khảo sát mà Viện đang thực hiện, theo ông Minh, nguyên nhân chính khiến cho các website của Việt Nam dễ bị tấn công là do phần lớn các trang web có quá nhiều dịch vụ tích hợp lẫn nhau trên một máy chủ. Điều này càng trở nên nguy hiểm hơn khi phần lớn các trang web có nhiều lỗ hổng chưa được vá kịp thời nên chỉ cần từ một lỗ hổng của bất kì dịch vụ nào là cũng đủ để các hacker có thể chui vào và đánh sập website đó. Ngoài ra, việc tích hợp quá nhiều dịch vụ trên cùng một máy chủ sẽ làm chậm việc khắc phục, xử lý mỗi khi có sự cố.
Ông Minh cũng cho rằng, việc chạy quá nhiều dịch vụ trên một máy chủ đã vi phạm các quy tắc về bảo mật nhưng ở Việt Nam các trang web không bao giờ chịu tuân thủ. Bên cạnh đó, còn một số nguyên nhân khác như sử dụng phiên bản phần mềm cũ không có sự hỗ trợ về an toàn thông tin, bị tấn công từ nội bộ hay mở quá nhiều cổng không cần thiết. Ví dụ như nếu hacker chiếm được mật khẩu của admin từ một lỗ hổng nào đó nhưng nếu không có cổng để đăng nhập thì sẽ không có cách nào khai thác được. Tuy nhiên, các trang web hiện nay đều khơi ra màn hình đăng nhập máy chủ từ Internet để các hacker truy nhập.“Đây là một lỗ hổng cực lớn của các trang web và người quản trị thường không để ý đến”, ông Minh nói.
Theo đại diện của Công ty TNHH MTV Viễn thông Quốc tế FPT (FTI), các nguyên nhân trên đa phần là do có rất ít người bỏ tiền ra mua bản “xịn” và hay dùng những phiên bản “chùa” trên mạng. Những phiên bản này thường không cập nhật, có nhiều lỗ hổng bảo mật đã được công bố trên mạng hay bị cài 1 số script độc hại vào sẵn từ người cracked khiến cho các hacker dễ dàng khai thác. Việc cài quá nhiều dịch vụ trên cùng một máy chủ cũng sẽ dẫn đến dễ bị hack vì không kiểm soát hết được các dịch vụ này. “Tuy nhiên, theo tôi được biết thì chưa có bất kì một trang web nào bị hack vì nguyên nhân này cả”, vị đại diện này cho biết thêm.
Ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh Mạng BKIS cho rằng, đúng là các trang web hiện nay tích hợp nhiều dịch vụ như database, email, ftp…trên cùng một server. Đối với các trang web nhỏ thì ở một chừng mực nào đó vẫn có thể chấp nhận được. Còn các trang web lớn thì nên phân tách ra server database riêng, server web riêng… nhưng đa phần các website lớn không thực hiện đúng quy tắc này. Nếu phân tách ra thì sẽ tốn kém hơn về mặt chi phí trong quá trình vận hành nên người quản trị thường chỉ quan tâm đến việc trang web chạy được trước đã mà bỏ qua yếu tố bảo mật. Ví dụ với website cổng thông tin điện tử của một số cơ quan quản lý, dù nguyên tắc là phải 2, 3 máy chủ nhưng để giảm chi phí đầu tư người quản lý chỉ sử dụng một máy chủ cho hầu hết các dịch vụ. Ngoài ra, việc không cập nhật các bản vá lỗ hổng kịp thời sẽ khiến cho các hacker có thể khai thác, nâng quyền từ một tài khoản thông thường để từ đó xâm nhập và chiếm đoạt quyền kiểm soát toàn bộ máy chủ.
Sẽ có chuẩn an toàn thông tin
Theo ông Minh, sở dĩ tình trạng những trang web thường lơ là trong việc bảo mật là do chúng ta vẫn chưa có chuẩn, chưa có các yêu cầu cụ thể về mặt kỹ thuật. Các trang web hiện giờ cứ đưa lên mạng là hoạt động và không được bất kì một cơ quan nào khuyến cáo, kiểm tra, đánh giá về mức độ bảo mật. “Đây là một thiếu sót về mặt quản lý của các cơ quan nhà nước”, ông Minh khẳng định.
Chính vì thế, sau cuộc khảo sát này Viện sẽ hợp tác, phối hợp với Cục Quản lý Phát thanh Truyền hình và Thông tin điện tử (Bộ TT&TT) đề ra các tiêu chuẩn về bảo mật. Nếu trang web nào đáp ứng được đầy đủ các yêu cầu đó thì mới chính thức cấp giấy phép hoạt động. Trong quá trình triển khai, nếu trang web xuất hiện những điểm yếu hay lỗ hổng bảo mật thì sẽ được cảnh báo và cho đóng cửa website đó lại. “Tất nhiên, không phải cứ đáp ứng đủ các yêu cầu thì trang web sẽ không bị các hacker tấn công và chiếm quyền kiểm soát nhưng nó sẽ hạn chế được phần nào”, ông Minh đánh giá.
Dự kiến cuối tháng 12, Viện Công nghệ phần mềm và nội dung số sẽ công bố những thông tin chung về cuộc khảo sát. Những thông tin riêng mang tính chất nhạy cảm, nếu trang web nào cần thì Viện sẽ gửi kết quả về tình trạng bảo mật của website đó.
Viện Công nghệ phần mềm và nội dung số (Bộ TT&TT) đang tiến hành nghiên cứu, tìm ra những nguyên nhân chính dẫn đến tình trạng các website của Việt Nam liên tục bị các hacker “hỏi thăm” trong thời gian gần đây.
Nguy cơ từ việc tích hợp nhiều dịch vụ trên một máy chủ
Nguyên nhân chính khiến cho các website của Việt Nam dễ bị tấn công là do phần lớn các trang web có quá nhiều dịch vụ tích hợp lẫn nhau.
Qua cuộc khảo sát mà Viện đang thực hiện, theo ông Minh, nguyên nhân chính khiến cho các website của Việt Nam dễ bị tấn công là do phần lớn các trang web có quá nhiều dịch vụ tích hợp lẫn nhau trên một máy chủ. Điều này càng trở nên nguy hiểm hơn khi phần lớn các trang web có nhiều lỗ hổng chưa được vá kịp thời nên chỉ cần từ một lỗ hổng của bất kì dịch vụ nào là cũng đủ để các hacker có thể chui vào và đánh sập website đó. Ngoài ra, việc tích hợp quá nhiều dịch vụ trên cùng một máy chủ sẽ làm chậm việc khắc phục, xử lý mỗi khi có sự cố.
Ông Minh cũng cho rằng, việc chạy quá nhiều dịch vụ trên một máy chủ đã vi phạm các quy tắc về bảo mật nhưng ở Việt Nam các trang web không bao giờ chịu tuân thủ. Bên cạnh đó, còn một số nguyên nhân khác như sử dụng phiên bản phần mềm cũ không có sự hỗ trợ về an toàn thông tin, bị tấn công từ nội bộ hay mở quá nhiều cổng không cần thiết. Ví dụ như nếu hacker chiếm được mật khẩu của admin từ một lỗ hổng nào đó nhưng nếu không có cổng để đăng nhập thì sẽ không có cách nào khai thác được. Tuy nhiên, các trang web hiện nay đều khơi ra màn hình đăng nhập máy chủ từ Internet để các hacker truy nhập.“Đây là một lỗ hổng cực lớn của các trang web và người quản trị thường không để ý đến”, ông Minh nói.
Theo đại diện của Công ty TNHH MTV Viễn thông Quốc tế FPT (FTI), các nguyên nhân trên đa phần là do có rất ít người bỏ tiền ra mua bản “xịn” và hay dùng những phiên bản “chùa” trên mạng. Những phiên bản này thường không cập nhật, có nhiều lỗ hổng bảo mật đã được công bố trên mạng hay bị cài 1 số script độc hại vào sẵn từ người cracked khiến cho các hacker dễ dàng khai thác. Việc cài quá nhiều dịch vụ trên cùng một máy chủ cũng sẽ dẫn đến dễ bị hack vì không kiểm soát hết được các dịch vụ này. “Tuy nhiên, theo tôi được biết thì chưa có bất kì một trang web nào bị hack vì nguyên nhân này cả”, vị đại diện này cho biết thêm.
Ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh Mạng BKIS cho rằng, đúng là các trang web hiện nay tích hợp nhiều dịch vụ như database, email, ftp…trên cùng một server. Đối với các trang web nhỏ thì ở một chừng mực nào đó vẫn có thể chấp nhận được. Còn các trang web lớn thì nên phân tách ra server database riêng, server web riêng… nhưng đa phần các website lớn không thực hiện đúng quy tắc này. Nếu phân tách ra thì sẽ tốn kém hơn về mặt chi phí trong quá trình vận hành nên người quản trị thường chỉ quan tâm đến việc trang web chạy được trước đã mà bỏ qua yếu tố bảo mật. Ví dụ với website cổng thông tin điện tử của một số cơ quan quản lý, dù nguyên tắc là phải 2, 3 máy chủ nhưng để giảm chi phí đầu tư người quản lý chỉ sử dụng một máy chủ cho hầu hết các dịch vụ. Ngoài ra, việc không cập nhật các bản vá lỗ hổng kịp thời sẽ khiến cho các hacker có thể khai thác, nâng quyền từ một tài khoản thông thường để từ đó xâm nhập và chiếm đoạt quyền kiểm soát toàn bộ máy chủ.
Sẽ có chuẩn an toàn thông tin
Theo ông Minh, sở dĩ tình trạng những trang web thường lơ là trong việc bảo mật là do chúng ta vẫn chưa có chuẩn, chưa có các yêu cầu cụ thể về mặt kỹ thuật. Các trang web hiện giờ cứ đưa lên mạng là hoạt động và không được bất kì một cơ quan nào khuyến cáo, kiểm tra, đánh giá về mức độ bảo mật. “Đây là một thiếu sót về mặt quản lý của các cơ quan nhà nước”, ông Minh khẳng định.
Chính vì thế, sau cuộc khảo sát này Viện sẽ hợp tác, phối hợp với Cục Quản lý Phát thanh Truyền hình và Thông tin điện tử (Bộ TT&TT) đề ra các tiêu chuẩn về bảo mật. Nếu trang web nào đáp ứng được đầy đủ các yêu cầu đó thì mới chính thức cấp giấy phép hoạt động. Trong quá trình triển khai, nếu trang web xuất hiện những điểm yếu hay lỗ hổng bảo mật thì sẽ được cảnh báo và cho đóng cửa website đó lại. “Tất nhiên, không phải cứ đáp ứng đủ các yêu cầu thì trang web sẽ không bị các hacker tấn công và chiếm quyền kiểm soát nhưng nó sẽ hạn chế được phần nào”, ông Minh đánh giá.
Dự kiến cuối tháng 12, Viện Công nghệ phần mềm và nội dung số sẽ công bố những thông tin chung về cuộc khảo sát. Những thông tin riêng mang tính chất nhạy cảm, nếu trang web nào cần thì Viện sẽ gửi kết quả về tình trạng bảo mật của website đó.
Theo QTM