Khi hàng trăm website bị tấn công một lúc, nhiều người làm công tác bảo mật ở Việt Nam cũng không khỏi sững sờ khi nhận ra rằng, dường như các máy chủ của Việt Nam là “sân tập” của các tay hacker mới…
Đến hacker còn… chán
Chỉ trong hai tuần đầu tháng 6/2011, hàng trăm website của Việt Nam đã bị hacker tấn công, trong đó có không ít các website của cơ quan nhà nước (.gov.vn). Theo website zone-H - trang web chuyên "điểm mặt" các website bị tấn công trên toàn cầu - chỉ trong ngày 2 ngày (6-7/6/2011) đã có đến gần 300 website của VN bị tấn công bởi hai nhóm hacker CmTr và brwsk007. Trong số đó, có nhiều trang web .gov.vn của các cơ quan nhà nước như Sở KHCN Tiền Giang, Hải quan Đồng Nai hay website công báo của tỉnh Sơn La... đã bị hacker đột nhập ghi điểm.
Trong khá nhiều vụ tấn công, hacker để lại thông điệp bằng tiếng Trung hoặc cả hình ảnh cờ Trung Quốc. Trên một số diễn đàn công nghệ quốc tế, rất nhiều ý kiến cho rằng đây là hành động của hacker Trung Quốc nhằm vào các website Việt Nam, sau khi một số website Trung Quốc cũng bị hacker tấn công. Tuy nhiên, trên thực tế không ít các website của Việt Nam bị tấn công bởi những hacker đến từ Thổ Nhĩ Kỳ và Italia. Trong số 300 website bị tấn công, có những website của các cơ quan, tổ chức nhà nước, có những website có lượng truy cập lớn như Cty phân phối FPT hay Viettel. Nhìn bức tranh về nguy cơ mất an toàn về an toàn an ninh mạng Việt Nam, ông Nguyễn Quang Huy – Trưởng phòng nghiên cứu, Trung tâm ứng cứu máy tính Việt Nam (VNCert) thuộc Bộ Thông tin và Truyền thông, cho rằng, dù hàng trăm trang web bị tấn công cùng một thời gian, nhưng theo đánh giá của VNCert thì những cuộc tấn công đó chưa thể hiện được trình độ cao của hacker, thậm chí có thể nói là khá sơ khai, bởi chủ yếu là tấn công từ chối dịch vụ (DDos).
Là chuyên gia về an ninh bảo mật trên Internet, ông Triệu Trần Đức – Giám đốc CMC Infosec – không giấu nổi thất vọng khi nhìn lại việc hàng loạt website Việt Nam bị tấn công: “Tất cả đều bắt nguồn từ ý thức bảo mật thông tin trên Internet. Thiết kế hệ thống chưa có ý thức bảo mật khiến cho nhiều người có cơ hội vào được hệ thống quản trị. Tôi rất ngạc nhiên khi có những mã nguồn mà theo đúng quy trình bảo mật nó phải được bảo mật, đằng này lại cứ “phơi” ra như mời chào. Mà hầu hết các website của Việt Nam gặp lỗi sơ đẳng này”.
Ông Đức cho hay, có trang web bị hack nhiều năm nay, máy chủ bị hacker nắm quyền sở hữu rồi mà cơ quan chủ quản chẳng hề quan tâm. Thậm chí, có trang web bị hacker “chán” vì bảo mật quá kém, hack quá dễ. Vì thế, nên vừa rồi tới 300 website bị hack nhưng chỉ có 3 cách hack cơ bản. “Đường dẫn lẽ ra phải giấu đi thì lại phơi ra như diễn tập, như mời chào hacker. Máy chủ Việt Nam dựng lên là trở thành “sân tập” của hacker thế giới”, ông Đức nhận định.
Quy chuẩn nào cho an toàn thông tin?
Nhiều quản trị mạng và cơ quan chủ quản quan niệm đơn giản, nếu bị hack hoặc để tránh bị hack thì tắt website đi. Nhưng, nếu đó là các trang liên quan đến dịch vụ ngân hàng hay Hải quan, thuế thì như thế nào, nên đó hoàn toàn là một giải pháp ấu trĩ. Trong khi hầu hết các website đều ‘quét là ra lỗi’, thì hầu như chẳng mấy ai quan tâm đến cập nhật bản vá lỗi do các nhà cung cấp đưa ra.
Năm 2008, Bộ Thông tin và Truyền thông đã xây dựng Quy chuẩn an toàn thông tin và được Bộ KHCN ban hành năm 2009. Dù khuyến cáo các cơ quan, tổ chức tham khảo quy chuẩn này khi xây dựng website, nhưng theo đại diện VNCert, từng ngành, từng lĩnh vực nên có quy chuẩn riêng phù hợp với hoạt ddoognj của mình, ví dụ như tài chính, ngân hàng, lưu trữ…
Ông Nguyễn Trung Chính – Tổng Giám đốc Tập đoàn CMC, bày tỏ băn khoăn khi nhận thấy chính các cơ quan quản lý nhà nước còn lúng túng, thiếu chế tài đối với các cơ quan, tổ chức chưa tuân thủ nghiêm túc an ninh bảo mật: “Thực ra, khắc phục vấn đề mất an toàn thông tin không khó, vấn đề chuyển tải nhận thức cho những ng liên quan để có biện pháp bảo mật”.
Theo thông tin từ Bộ Thông tin và Truyền thông, Bộ này đang soạn thảo và chuẩn bị ban hành hướng dẫn một số biện pháp kỹ thuật cơ bản về bảo đảm an toàn cho các cổng thông tin điện tử, website doanh nghiệp…. Ngoài ra, có thể sẽ ban hành một cẩm nang kỹ thuật để cho những người làm kỹ thuật có thể dễ dàng hơn trong việc quản trị các trang web. Trong Thông tư Quy định về điều phối, ứng cứu khẩn cấp sự cố mạng Internet đang được lấy ý kiến trên website Bộ Thông tin và Truyền thông đã nêu rõ những quy định ràng buộc nhất định với các ISP để đảm bảo các biện pháp hữu hiệu phát hiện, ứng cứu nhanh hơn khi khách hàng bị tấn công…Hoàng Thủy
