Bảo mật trang web: Tốn tiền chưa hẳn đã an toàn

Sự cố báo điện tử VietNamNet bị tấn công gióng lên hồi chuông cảnh báo về bảo mật trang web. Nhiều người cho rằng đầu tư ban đầu cho bảo mật ngay trong thiết kế là quan trọng. Nhưng thực tế cho thấy điều ấy là đúng nhưng chưa đủ.

Chưa quan tâm bảo mật

Thực tế cho thấy ngoại trừ một số ít trang web lớn, có mức đầu tư cao, phần lớn các trang web trong nước đầu tư bảo mật khá hời hợt. Vì vậy, các trang web Việt Nam đang trở thành đích nhắm đến của hacker. Theo số liệu của Hiệp hội An toàn thông tin (VNISA), chỉ tính riêng ba tháng đầu năm 2010 đã có trên 300 website có tên miền .vn bị hacker nước ngoài tấn công và thăm dò. Chỉ có 33% doanh nghiệp (DN) phát hiện sự cố tấn công an ninh mạng, 29% DN không hề biết rõ hệ thống mạng của mình có bị tấn công hay không. 63% DN không thể ước lượng được mức độ thiệt hại của các tấn công an ninh mạng và 46% DN có nhân viên bị mất/rò rỉ dữ liệu nhạy cảm. Trong số đó, 45% sự cố mất dữ liệu được đánh giá là nghiêm trọng hoặc cực kỳ nghiêm trọng.

Theo nhận định của các DN, động cơ tấn công để thu lợi bất chính tăng gấp ba lần so với năm ngoái, các cuộc tấn công gây thiệt hại ngày càng lớn. Đơn cử trường hợp Mạch Hữu Tài, (TP.HCM) đã bị Cơ quan Cảnh sát điều tra Bộ Công an khởi tố bị can về hành vi trộm tiền trong thẻ tín dụng của người nước ngoài. Từ tháng 6-2008 đến khi bị bắt, Tài đánh cắp mật khẩu thẻ tín dụng của người nước ngoài trộm1,4 tỉ đồng.

Cần đầu tư đồng bộ

Theo ông Đoàn Hữu Từ, Giám đốc Công ty Thiết kế web Trust.vn, nguyên nhân thiếu bảo mật là do thói quen xây dựng trang web của các DN Việt Nam chủ yếu là thiết kế đẹp mắt và đa tính năng, sau đó họ mới chú ý đến bảo mật.

Bảo mật trang web: Tốn tiền chưa hẳn đã an toàn ảnh 1

Trang web P.A VietNam từng bị tấn công vào máy chủ gây thiệt hại cho hàng trăm doanh nghiệp.

Ngay những web đầu tư lớn nhưng không đầu tư đúng vẫn là nạn nhân của hacker. Ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng của BKAV, phân tích yếu tố về kinh phí không phải bàn cãi, vấn đề ở đây là sự đồng bộ. Chi phí cao cho thiết kế nhưng đội ngũ duy trì yếu cũng là một lỗ hổng bảo mật. Muốn có một hệ thống bảo mật chuẩn, phải đầu tư đồng bộ từ kỹ thuật thiết kế, đội ngũ duy trì trang web. Nâng cấp dữ liệu thường xuyên, đặc biệt là các vấn đề về mật khẩu bảo mật.

Theo ông Từ, hiện nay phần lớn hacker tấn công trang web đều nhắm vào máy chủ, DN nên chọn hệ thống máy chủ lớn, có uy tín bảo mật cao. Theo ông Nguyễn Thành Nam, Giám đốc Công ty Tư vấn bảo mật Bluemoon, nếu biết cách thì DN vẫn có thể chọn thiết kế tận dụng các phần mềm miễn phí giá rẻ. Việc sử dụng các phần mềm đúng cách và có đội ngũ kỹ thuật tốt vẫn hoàn toàn đảm bảo tính bảo mật của trang web. Thực tế, những phần mềm có bản quyền giá cao, nếu không bảo mật tốt cũng không phải là bất khả xâm phạm.

Bí quyết tạo trang mạng an toàn

Để có một hệ thống an toàn cho trang mạng (website), cần giải pháp đồng bộ, tổng thể từ công nghệ đến con người.

Về công nghệ, có hai vấn đề cần quan tâm là mã nguồn (source code) và nơi lưu trữ website (hosting).

Mã nguồn cho báo điện tử hiện nay có hai hướng tiếp cận, hoặc là mua trọn gói các phần mềm quản trị nội dung của các hãng lớn như Microsoft, IBM... hoặc thuê các công ty thiết kế web viết mã nguồn. Với Microsoft có SharePoint Server, IBM có Lotus Note. Với các gói phần mềm của “đại gia”, người dùng sẽ được hỗ trợ tối đa về nâng cấp và bảo mật. Hiện nay đã có vài trang báo mạng sử dụng công nghệ SharePoint Server của “đại gia” Microsoft như báo Thanh Niên, báo Phụ Nữ TP.HCM.

Nếu đi theo hướng thuê công ty lập trình viết mã nguồn riêng thì chú ý tuyệt đối không sử dụng mã nguồn không rõ nguồn gốc như các mã nguồn mở, mã nguồn miễn phí, các mã nguồn dùng thử... Những mã nguồn này thường được cài “cửa hậu” để kẻ xấu lợi dụng. Trong thỏa thuận hợp đồng, cần thảo luận và xác định nguồn gốc rõ ràng của mã nguồn. Từ những điều khoản này trong quá trình xây dựng trang mạng sẽ rà soát xác định lỗ hổng và đưa ra biện pháp khắc phục. Thậm chí, cần thuê chuyên gia an ninh mạng để rà soát lại.

Khi đã có một trang mạng được lập trình an toàn, cần phải đặt nó ở máy chủ sạch. Để có một máy chủ sạch điều tiên quyết là quản lý và điều khiển được chúng. Với các trang mạng lớn cần có máy chủ riêng, khi có toàn quyền người quản trị máy chủ sẽ cấu hình tường lửa, hạn chế mở các cổng (port)... Không thuê host dùng chung với các trang mạng khác, điều này tránh việc trang mạng bị tấn công “hàng ngang”. Nghĩa là trang mạng đã được lập trình an toàn nhưng lưu trữ chung cùng với máy chủ có những trang mạng không an toàn xây dựng bằng các mã nguồn không rõ nguồn gốc như nêu ở trên. Tin tặc sẽ tấn công dễ dàng vào các trang mạng không an toàn rồi từ đây sẽ dễ dàng “thanh toán” những trang nằm chung trên máy chủ đó.

Quy trình vận hành cũng là yếu tố quan trọng, bảo đảm sự an toàn của website. Ở một số công ty, các quản trị mạng thường kết nối máy chủ với hệ thống mạng nội bộ (LAN) để dễ dàng truy cập quản trị hệ thống. Đây là kẽ hở để kẻ xấu trong nội bộ dễ dàng tấn công website hay vô tình tiếp tay cho tin tặc từ bên ngoài tấn công trang mạng bằng thủ đoạn lây nhiễm virus các máy trong mạng LAN rồi chiếm quyền điều khiển máy chủ. Một hệ thống an toàn cần thiết kế hệ thống mạng riêng ảo (VPN) để truy cập ngang hàng với máy chủ và cách ly hoàn toàn với người dùng. Với người sử dụng (phóng viên, biên tập viên) dùng mật khẩu không đủ mạnh (ngắn, không kết hợp chữ và số, dễ nhớ...) cũng có thể “giúp” hacker dễ dàng tấn công hệ thống.

ANH TUẤN

NHƯ VŨ