Cập nhật lúc :3:00 PM, 18/07/2011
Trong tháng
6, hơn 450 website của các cơ quan, doanh nghiệp tại Việt Nam bị hacker
nước ngoài tấn công, trong đó có 68 tên miền gov.vn.
Hacker
đã xâm nhập chiếm quyền điều khiển, làm sai lệch thông tin trên các hệ
thống (Deface) hoặc cài virus đánh cắp dữ liệu… Đây là đợt tấn công lớn
nhất từ trước đến nay vào các website của Việt Nam, với tần suất cao gấp
4 lần so với thông thường.
Theo nghiên cứu của các chuyên gia an ninh mạng Bkav, hầu hết các cuộc
tấn công trong thời gian qua đều xuất phát từ những lỗi hết sức đơn
giản, hacker không cần trình độ cũng có thể thực hiện việc xâm nhập.
Phương thức được chúng sử dụng chủ yếu vẫn là dựa vào các lỗi cơ bản như
SQL Injection, hệ thống không cập nhật bản vá hay mật khẩu quản trị
yếu.
Các chuyên gia Bkav cũng nhận định, để xảy ra những lỗi đơn giản như vậy
là do hầu hết website của các cơ quan Chính phủ, các tổ chức và doanh
nghiệp đều không được đánh giá độc lập về mức độ an ninh trước khi đưa
vào vận hành. Hạ tầng mạng và nền tảng ứng dụng của các website này
không được thiết kế tổng thể với các giải pháp đảm bảo an ninh.
Ông Nguyễn Minh Đức, Giám đốc bộ phận an ninh mạng của Bkav phân tích:
“Một nguyên nhân sâu xa nhưng rất quan trọng lại xuất phát từ chính các
kỹ sư CNTT, đội ngũ xây dựng website. Họ vốn không được đào tạo về lập
trình an toàn (secure coding) ngay từ khi còn là sinh viên trong các
trường đại học. Thực tế, tất cả các trường đại học có chuyên ngành CNTT
tại Việt Nam đều chưa đưa môn học này vào chương trình đào tạo. Thêm vào
đó, hầu hết các công ty phần mềm cũng không bổ sung các kiến thức về
lập trình an toàn cho đội ngũ kỹ sư, lập trình viên. Do đó, các phần mềm
ứng dụng nói chung và website nói riêng đang sử dụng trong các cơ quan
Chính phủ và doanh nghiệp của Việt Nam tồn tại rất nhiều lỗ hổng”.
Chuyên gia an ninh mạng cũng khuyến cáo, để chống lại các cuộc tấn công,
nhất thiết cần áp dụng Hệ thống quản lý an ninh thông tin ISO 27001.
Quy trình ISO sẽ bắt buộc các website phải được đánh giá độc lập về an
ninh trước khi đưa vào vận hành, hạ tầng mạng phải được thiết kế tổng
thể ngay từ khi xây dựng. Ngoài ra, để bảo vệ các hệ thống website,
chống bị đánh cắp dữ liệu, việc áp dụng một giải pháp tổng thể phòng
chống virus là điều tối quan trọng. Khi thực hiện được tất cả các việc
này, hệ thống mạng mới có thể được đảm bảo ở mức cao nhất. “Về lâu dài,
vấn đề cốt lõi cần giải quyết là các trường đại học phải đưa nội dung
lập trình an toàn vào chương trình giảng dạy. Bên cạnh đó, Việt Nam cần
có thêm nhiều các cơ sở đào tạo chuyên sâu về an ninh mạng”, ông Đức nói
thêm.
datviet
Trong tháng
6, hơn 450 website của các cơ quan, doanh nghiệp tại Việt Nam bị hacker
nước ngoài tấn công, trong đó có 68 tên miền gov.vn.
Hacker
đã xâm nhập chiếm quyền điều khiển, làm sai lệch thông tin trên các hệ
thống (Deface) hoặc cài virus đánh cắp dữ liệu… Đây là đợt tấn công lớn
nhất từ trước đến nay vào các website của Việt Nam, với tần suất cao gấp
4 lần so với thông thường.
Theo nghiên cứu của các chuyên gia an ninh mạng Bkav, hầu hết các cuộc
tấn công trong thời gian qua đều xuất phát từ những lỗi hết sức đơn
giản, hacker không cần trình độ cũng có thể thực hiện việc xâm nhập.
Phương thức được chúng sử dụng chủ yếu vẫn là dựa vào các lỗi cơ bản như
SQL Injection, hệ thống không cập nhật bản vá hay mật khẩu quản trị
yếu.
Các chuyên gia Bkav cũng nhận định, để xảy ra những lỗi đơn giản như vậy
là do hầu hết website của các cơ quan Chính phủ, các tổ chức và doanh
nghiệp đều không được đánh giá độc lập về mức độ an ninh trước khi đưa
vào vận hành. Hạ tầng mạng và nền tảng ứng dụng của các website này
không được thiết kế tổng thể với các giải pháp đảm bảo an ninh.
Ông Nguyễn Minh Đức, Giám đốc bộ phận an ninh mạng của Bkav phân tích:
“Một nguyên nhân sâu xa nhưng rất quan trọng lại xuất phát từ chính các
kỹ sư CNTT, đội ngũ xây dựng website. Họ vốn không được đào tạo về lập
trình an toàn (secure coding) ngay từ khi còn là sinh viên trong các
trường đại học. Thực tế, tất cả các trường đại học có chuyên ngành CNTT
tại Việt Nam đều chưa đưa môn học này vào chương trình đào tạo. Thêm vào
đó, hầu hết các công ty phần mềm cũng không bổ sung các kiến thức về
lập trình an toàn cho đội ngũ kỹ sư, lập trình viên. Do đó, các phần mềm
ứng dụng nói chung và website nói riêng đang sử dụng trong các cơ quan
Chính phủ và doanh nghiệp của Việt Nam tồn tại rất nhiều lỗ hổng”.
Chuyên gia an ninh mạng cũng khuyến cáo, để chống lại các cuộc tấn công,
nhất thiết cần áp dụng Hệ thống quản lý an ninh thông tin ISO 27001.
Quy trình ISO sẽ bắt buộc các website phải được đánh giá độc lập về an
ninh trước khi đưa vào vận hành, hạ tầng mạng phải được thiết kế tổng
thể ngay từ khi xây dựng. Ngoài ra, để bảo vệ các hệ thống website,
chống bị đánh cắp dữ liệu, việc áp dụng một giải pháp tổng thể phòng
chống virus là điều tối quan trọng. Khi thực hiện được tất cả các việc
này, hệ thống mạng mới có thể được đảm bảo ở mức cao nhất. “Về lâu dài,
vấn đề cốt lõi cần giải quyết là các trường đại học phải đưa nội dung
lập trình an toàn vào chương trình giảng dạy. Bên cạnh đó, Việt Nam cần
có thêm nhiều các cơ sở đào tạo chuyên sâu về an ninh mạng”, ông Đức nói
thêm.
datviet