Bảo mật website
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (59.43 KB, 2 trang )
Lỗi bảo mật ở một số website Việt Nam
trang này đã được đọc lần
Trong hai năm qua, những vụ tấn công vào các website Việt Nam ngày càng trở nên trầm trọng. Điển hình
trong số đó là các vụ tấn công như:
Tháng 8/2001, 60 website có đuôi .com.vn và .saigonnet.vn bị tấn công ồ ạt, nội dung của những trang web
này đã bị kẻ xấu thay đổi hoàn toàn.
Tháng 21/11/2001, 156 website đặt tại server của Công ty VDC bị làm biến dạng chỉ trong vòng chưa đầy
một phút. Vụ tấn công này làm rất nhiều site phải ngừng hoạt động hơn mười tiếng đồng hồ vì kẻ tấn công
đã xóa hết tất cả dữ liệu sao lưu (backup data) của VDC.
Bước sang năm 2002, số vụ tấn công càng nhiều với mức độ ngày càng nghiêm trọng. Điển hình là trong
liên tiếp trong hai ngày 16/3/2002 và 18/3/2002, www.vnn.vn, website được xem là bộ mặt của Internet
Việt Nam bị “đánh sập” (deface).
Ngày 4/6/2002, website www.vietcombank.com.vn của Ngân hàng Vietcombank bị tấn công và theo như
chúng tôi biết, kẻ xấu đã đánh cắp được thông tin thẻ tín dụng hơn 30 khách hàng của Vietcombank.
Cũng trong năm 2002, nổi lên sự kiện kẻ xấu tấn công vào máy chủ của Công ty FPT và đưa ra danh sách
e-mail của hơn 28.000 khách hàng đăng ký sử dụng dịch vụ Internet của nhà cung cấp dịch vụ Internet
(ISP) này.
Đặc biệt, ngày 1/11/2002, những kẻ chuyên tấn công vào những website Việt Nam tập hợp lại với nhau để
trình diễn màn “liveshow” xâm nhập (hack) trực tiếp vào các server của các ISP như VDC, FPT, Vietel,...
Cũng trong tháng 11/2002, website www.vnn.vn lại bị tấn công, kẻ xấu tuy không đạt được mục đích là
deface song vẫn làm cho website này phải ngưng trệ hoạt động trong hơn ba ngày.
Tiếp theo sau đó, VnExpress, một trong các báo điện tử lớn nhất Việt Nam, bị deface liên tiếp nhiều lần
trong một thời gian ngắn.
Bước sang năm 2003, tâm lý chung của mọi người là số vụ tấn công sẽ tiếp tục tăng. Tuy nhiên, khá bất
ngờ là từ đầu năm 2003 đến nay, hầu như chưa có một vụ tấn công nghiêm trọng nào vào các website cũng
như server ở Việt Nam. Phải chăng các ISP, các doanh nghiệp có website/server riêng đã có ý thức hơn
trong vấn đề bảo mật?
Không! Nhận thức về vấn đề bảo mật của các ISP nói chung còn rất kém, lỗi bảo mật còn đầy rẫy ở các
website có đuôi là .vn.
Thậm chí, một người có kiến thức trung bình kém về bảo mật nói riêng và máy tính nói chung vẫn có thể
dễ dàng hạ gục một website .vn trong vòng năm phút. Nguyên nhân chính của hiện tượng các vụ tấn công
trong năm 2003 không rầm rộ như năm 2002: Nhữäng kẻ tấn công đã bắt đầu chuyển hướng, từ mục đích
tấn công để vui chơi, để chứng tỏ mình sang tấn công để trục lợi. Những kẻ tấn công âm thầm xâm nhập
vào hệ thống của các ISP, các doanh nghiệp, các ngân hàng để đánh cấp và thay đổi thông tin nhằm mục
đích đem lại “nguồn lợi” cho mình. Ví dụ như tấn công vào hệ thống lưu trữ cước phí Internet của các ISP
để sửa xóa cước phí, hoặc tấn công vào các website dự đoán trúng thưởng để sửa kết quả nhằm giành lấy
giải thưởng; thậm chí tấn công vào những website trọng yếu nhằm đánh cắp mã nguồn của những website
này. Ngoài ra, một số kẻ xấu đang âm thầm xâm nhập vào các website của một số cơ quan nhà nước nhằm
mục đích tìm kiếm thông tin nhạy cảm hoặc để bôi nhọ, làm nguy hại đến thể diện, uy tín của quốc gia.
Nhận thức được mối nguy hiểm trong hoạt động của những người này, HVA đã bí mật tìm hiểu mức độ
bảo mật và những lổ hổng của một số website/server thuộc hệ thống các ISP như VDC,FPT, Vietel,
NetNam,... cũng như những website/server thuộc các doanh nghiệp như VASC, Vietcombank, TRG
International, Công viên Phần mềm Quang Trung, Netsoft... và các website của Nhà nước như
www.seagames22.com.vn, VNPT, VNNIC...
Sau khi xem xét cẩn thận, HVA đã soạn thảo tài liệu liên quan đến từng lỗi bảo mật trong những website
trên, mức độ nghiêm trọng của chúng, cũng như cách phòng chống hiệu quả nhất và xin trao lại hoàn toàn
miễn phí cho các chủ sở hữu liên quan.
