"Năm 2007, website nào sẽ bị hack?"

Đó đang là câu hỏi làm đau đầu những quản trị mạng Việt Nam sau một năm 2006 đầy bất ổn vể bảo mật. Dự báo, năm 2007, hacker mũ đen Việt Nam sẽ tập trung nhiều hơn vào các mục tiêu trục lợi bất chính.

Với một năm 2006 "bất ổn từ nhiều phía", các nguy cơ an ninh mạng đang đặt ra nhiều thách thức cho quản trị viên hàng loạt hệ thống và website Việt Nam trong năm 2007.

Thực tế đáng buồn

"Anh hãy giúp tôi" - Pink hét lên trong điện thoại - "Một bài báo vừa viết rằng, tôi và nhóm của chúng tôi toàn tấn công với ý đồ xấu vào các trang web Chính phủ. Trong khi chúng tôi là một nhóm hacker "mũ trắng" hoàn toàn thiện chí và luôn thông báo với admin các trang web khi phát hiện lỗi bảo mật..."

Tên thật của Pink là Đức Tiến - Giám đốc một công ty làm dịch vụ bảo mật tại Huế. Pink là nick của Tiến trên mạng, anh ta cũng là người đứng đầu một nhóm hacker miền trung.

Pink và nhóm của mình hoạt động khá sôi nổi trong lĩnh vực hacking, bảo mật, anh ta đưa cho tôi bằng chứng từng kiểm soát rất nhiều website có tên miền .vn. Trong đó có cả các site .gov.vn (tên miền thuộc về các website Chính phủ).

"Cách đây 2 tháng tôi đã check server của Bộ GTVT, phát hiện và báo lỗi, nhưng không thấy hồi âm và lỗi vẫn không được khắc phục. Tôi còn trẻ nhưng tôi biết làm gì đúng với pháp luật, do vậy việc tác động vào hệ thống của các site mà chúng tôi check lỗi là không xảy ra". - Pink khẳng định.

Giữa tháng 12 năm 2006, Pink gửi cho PV VietNamNet một bản dài các website mà anh ta khẳng định rằng mình từng phát hiện lỗi bảo mật, đáng kinh ngạc có cả những server lớn và website của một số bộ đầu ngành.

"Tôi khẳng định là server V.A. có lỗi từ trang vf...org.vn, cho phép hacker upload backdoor (một loại virus "cửa sau" giúp hacker xâm nhập hệ thống nhiều lần mà quản trị mạng không hay biết).

izabacn...gov.vn thì lỗi SQL injections nặng, pcw...com.vn lỗi xss có thể ăn cắp được cookies; ba...aptech.com và GD chứng khoán HN theo tôi biết cũng từng có người vào. Cả hut...edu.vn, hoidongg...gov.vn nữa... nhiều lắm, kể không hết!"

Ý thức bảo mật: Vẫn là điều "xa xỉ"?

An ninh mạng 2006: bất ổn từ nhiều phía.

"Ý thức bảo mật của nhiều đơn vị còn rất thấp" - Pink nói tiếp - "Mới đây, website của một bộ đầu ngành bị lỗi, tôi đã thông báo, và link backdoor đã được xóa, nhưng không thấy hồi âm e-mail. Nhiều site khác như Hoi...org.vn, m..st.gov.vn... chúng tôi cũng từng báo lỗi nhưng vẫn chưa sửa".

"Đáng buồn hơn là nhiều cán bộ kỹ thuật, quản trị mạng... chịu trách nhiệm quản lý hệ thống trực tiếp - rất tắc trách! Lập trình viên và quản trị viên giỏi nhất cũng có thể mắc sai lầm, nhưng nhiều người không bao giờ chịu nhận sai. Không hợp tác với hacker thiện chí thì rất nhiều, đôi khi chuyện đến tai người có trách nhiệm cao hơn thì họ lấp liếm, nói rằng chưa hề nhận được thông tin phản hồi..."

Pink khẳng định rằng anh ta hoạt động hoàn toàn tích cực. Việc tự động check lỗi các website hầu như chỉ diễn ra sau khi nhóm này thấy các thông tin về lỗi của các site trên mạng. "Nhiều site người khác đã vào rồi, tôi chỉ check lại và thông báo lỗi đến admin, tôi làm hoàn toàn miễn phí với thiện ý, một phần nữa cũng nhằm xây dựng uy tín để phát triển công ty của chúng tôi sau này!".

Chưa biết những thông tin về mục đích mà Pink khẳng định có đúng như anh ta nói hay không, nhưng việc có rất nhiều website quan trọng hiện nay có lỗi bảo mật thì là một hiện thực không thể chối cãi.

Một danh sách có kèm bằng chứng hằng trăm website .vn (tên miền Việt Nam) từng bị hacker nước ngoài xâm nhập mới đây đã được đăng tải trên Zone-H. Có lẽ không cần nói gì thêm về những con số này.

Mục tiêu trục lợi: Nguy cơ lơ lửng trên đầu

Một chuyên gia bảo mật cảnh báo: "2007, các cuộc tấn công vì mục đích nổi tiếng sẽ giảm đi do sự trấn áp của cơ quan quản lý, nhưng hack vì mục đích trục lợi, thương mại sẽ tăng lên!".

Nhiều người làm việc tại các trung tâm An ninh mạng và các quản trị viên website khi được hỏi cũng cho rằng, giống như quá trình từng diễn ra trên thế giới, sau giai đoạn "nổi đình nổi đám" của "đám newbie" (hacker tập sự), hacker Việt Nam sẽ rút vào hoạt động "êm" hơn, nhưng sẽ hướng đến các mục tiêu trục lợi.

"Mục tiêu" dễ thấy nhất có lẽ là các hệ thống dự đoán trúng thưởng online, hoặc các hệ thống máy tính quản lý dịch vụ và cước phí dịch vụ nội dung cho điện thoại di động.

Các cuộc tấn công nhằm vào các hệ thống này để lấy thông tin, thậm chí thay đổi nội dung các cuộc thi, trò chơi hoặc khuyến mãi khách hàng để giành giải thưởng - rất có thể sẽ được tổ chức bài bản... Tiếp đó, GameOnline cũng có thể trở thành đối tượng "kiếm chác" của các hacker mũ đen.

Vào dịp cuối năm 2006, PV từng được chứng kiến một nhóm học sinh cấp ba lợi dụng lỗ hổng trong hệ thống tính cước của nhà cung cấp dịch vụ viễn thông, sử dụng các sim trả trước sắp hết tiền nhắn tin liên tục vào giờ cao điểm để nạp tiền "khống" cho tài khoản GameOnline, sau đó quy đổi ra đơn vị tiền tệ trên game và rao bán lấy tiền mặt rầm rộ trên mạng...

Sau những mánh khoé kiểu đó, nếu đủ trình độ, các hacker rất có thể sẽ tấn công thẳng vào các hệ thống quản lý GameOnline, thậm chí gian lận hoặc làm tạo ra kết quả chơi thiếu công bằng để trục lợi.

Nhìn từ khía cạnh của các quản trị viên website và hệ thống trực tuyến, nếu như năm 2006, hàng chục vụ tấn công website "nổi đình nổi đám" khiến cho bức tranh an ninh mạng mang nhiều nét bất ổn thì sợ rằng cục diện an ninh mạng năm 2007 còn đáng lo ngại hơn thế.

"Muộn còn hơn không"!

An ninh mạng không phải chỉ là những biện pháp kỹ thuật sửa lỗi và bảo vệ hệ thống sau khi nó đã được dựng lên và từng bị xâm nhập, tấn công, cài đặt virus, backdoor. An ninh mạng vốn là một quy trình cần phải được tính đến ngay từ đầu.

Hình dung về vấn đề này, một chuyên gia bảo mật từng nói, các hệ thống website, nhất là website của cơ quan nhà nước ở Việt Nam được dựng nên giống như những ngôi nhà không có hàng rào và khoá cửa.

Chỉ đến khi họ thấy những ngôi nhà bên cạnh bị kẻ xấu vào vẽ bậy lên tường, người ta mới kiếm cách đi xây hàng rào, mà không kiểm soát được nền nhà đã bị đào hầm bí mật thông vào hay chưa!?

"Rất nhiều website hiện tại đã bị các hacker cài backdoor từ trước, có những trang còn bị nhiều người âm thầm kiểm soát cùng lúc" - Pink nói.

Trong khi ý thức bảo mật còn yếu, một số website đã bị hacker có trình độ "viếng thăm" từ trước và cho đến hiện tại kẻ xâm nhập vẫn có khả năng kiểm soát hệ thống, đây là chuyện vô cùng phổ biến.

Trước giờ những trang này chưa bị tấn công là do hacker không có động cơ mà thôi. Nếu một lúc nào đó động cơ xuất hiện, hacker chỉ cần thực hiện vài động tác đơn giản... Nghĩa là các trang này không phải đến lúc đó mới bị hack mà đã bị kiểm soát ngầm từ trước rất lâu!

Tuy nhiên, cho dù những nguy cơ trên có xảy ra hay không, thì một điều luôn đúng là ngay khi chúng ta nhìn nhận một cách nghiêm túc về an ninh thông tin, chúng ta đã có một bước tiến rõ rệt.

Vì vậy mà nhiều chuyên gia nói vui rằng, vẫn còn rất may mắn khi năm 2006, các vụ tấn công trên mạng xảy ra nhiều, nhưng chưa thực sự gây ra những thiệt hại đáng sợ.

May mắn nữa là nhờ nó mà đang diễn ra một sự thay đổi to lớn trong nhìn nhận, cũng như làm xuất hiện hàng loạt nhu cầu thực tế về vấn đề bảo mật hệ thống.

Mới đây nhất, hai trong số các bộ ngành ở Việt Nam đã có buổi làm việc nghiêm túc với chuyên gia từ các trung tâm an ninh mạng và Bộ BCVT, để bàn về vấn đề nâng cao tính bảo mật cho hệ thống website của mình...

Thế Phong