- Trong hơn một tuần đầu tháng 6/2011, hàng trăm website của VN bị tấn công và ngược lại cũng có khá nhiều website của TQ bị xâm nhập. Nếu xảy ra một “cuộc chiến trên mạng”, các website Việt Nam sẽ phải đối mặt với những nguy cơ gì?
LTS: Để giúp quý độc giả có một góc nhìn cụ thể hơn về vấn đề an ninh mạng qua những vụ tấn công mới đây,VietNamNet xin giới thiệu bài viết của chuyên gia Dương Ngọc Thái, một người nghiên cứu và làm việc lâu năm trong lĩnh vực an toàn thông tin tại Việt Nam.
Trên HVA, diễn đàn mà tôi tham gia thường xuyên, có một chủ đề bàn về "cuộc chiến" giữa hacker VN và hacker TQ thu hút cả ngàn ý kiến. Có lẽ vì chủ đề này mà chính HVA cũng đã hai lần bị tấn công từ chối dịch vụ với cường độ lớn trong tuần vừa qua.
Có rất nhiều câu hỏi và lời kêu gọi được đặt ra trong chủ đề trên HVA. Có bạn nói rằng chúng ta phải tiếp tục tấn công. Có bạn phê phán việc tấn công với lý do TQ mạnh hơn VN rất nhiều về hacking. Có bạn hỏi nếu xảy ra chiến tranh mạng (cyber war) thì chúng ta nên làm gì, tấn công lại hay là phòng thủ ra sao. Có bạn đề nghị nên có một tài liệu hướng dẫn kiện toàn bảo mật để giảm thiểu thiệt hại trong trường hợp hacker TQ tấn công.
Một số người trong ban quản trị HVA cũng đã soạn và công bố rộng rãi một tài liệu như thế. Cần phải nhấn mạnh rằng, dẫu ý kiến có khác nhau, hành động có khác nhau nhưng hầu hết mọi người đều "muốn làm một cái gì đó" để tăng cường bảo mật cho các hệ thống website VN, nhất là những bạn đang học và làm việc trong lĩnh vực an toàn thông tin. Tôi nghĩ đó là điều đáng trân trọng. Bài viết này của tôi cũng xuất phát từ ý định "muốn làm một cái gì đó".
Động cơ mới nhưng bản chất cũ
Điều đầu tiên tôi muốn nói là những việc hack qua hack lại các website như vừa qua là hoàn toàn bình thường. Mỗi ngày có hàng trăm hàng ngàn sự vụ như thế, bí mật hay công khai. Không có gì bất thường ở đây cả. Điểm khác biệt và cũng là điều làm mọi người phản ứng là thay vì hack cho vui hay hack vì tiền thì ở đây là hack với động cơ chính trị, dù chỉ là hành vi tự phát của một vài cá nhân nào đó.
Từ đầu tháng 6/2011, nhiều website Việt Nam bị hacker tấn công và để lại hình ảnh cờ Trung Quốc. Ảnh TTO |
Nhưng việc đổi động cơ không làm thay đổi bản chất của hành động này là mấy: Một nhóm người, đa số là trẻ, hack vào một số website đơn giản vì họ có thể làm điều đó. Nói cách khác, nếu như trước đây chúng ta không quan tâm đến hiện tượng này, thì bây giờ tôi nghĩ cũng không có lý do gì chính đáng để quan tâm đến nó nhiều hơn trước.
Thực tế là không cần phải được nhà nước hỗ trợ, không cần phải có trang thiết bị dụng cụ hiện đại, chỉ cần một máy tính kết nối Internet và một ít thời gian, bất kỳ ai ở cả hai phía, với một chút kỹ thuật hacking, đều có thể tự thực hiện những vụ tấn công vừa rồi. Vậy mà cả hai phía đều có những “thành công” tương đối. Điều đó nói lên rằng, những website VN trở thành nạn nhân trong vụ tấn công vừa qua, nếu không bị tấn công bây giờ bởi hacker TQ, thì ngày mai ngày kia sẽ bị tấn công, bởi hacker Thổ Nhĩ Kỳ, Indonesia hay bởi bất kỳ một anh sinh viên chán học nào đó.
Nhà mất trộm vì không dùng… khóa cửa
Các website VN này bị xâm nhập đơn giản vì an toàn thông tin không phải là thứ mà người quản lý chúng quan tâm. Đôi khi họ có lý do chính đáng, đôi khi là do họ vô trách nhiệm; nhưng tựu trung lại vẫn là họ không quan tâm tới việc bảo mật. Việc bị hacker TQ phá hoại hay bị anh Tèo nào đó xâm nhập đối với họ đều như nhau.
Họ không quan tâm cũng đúng. Thử nhìn xem sau một tuần, hàng ngàn website bị tấn công, có thiệt hại đáng kể nào về kinh tế hay con người hay không? Nếu tôi là chủ của một cửa hàng bán giày dép, và tôi trả cho FPT 2 triệu/tháng để duy trì một website quảng bá cửa hàng, thì tôi và cả FPT sẽ chẳng bận tâm nếu như website tự dưng bị biến dạng.
Không riêng gì website quảng bá doanh nghiệp, website của các cơ quan bộ ngành mọc lên như nấm cho “bằng chị bằng em” cũng sẽ cùng chung số phận “sống chết mặc bay, tiền thầy (đã) đút túi!”. Tóm lại, việc các website này bị xâm nhập là không thể tránh khỏi, và tôi nghĩ chúng ta cũng không nên bận tâm làm gì.
Tôi không cổ vũ việc xâm nhập và phá hoại các website TQ của một số bạn như thời gian vừa rồi. Hành động xâm nhập website TQ, dẫu chỉ là tự phát, manh mún và cũng chẳng đem đến thiệt hại gì đáng kể cho các website TQ, có thể sẽ được “nhào nặn” thành một cái cớ có lợi cho TQ hơn là VN.
An toàn thông tin Việt Nam: Vừa thiếu vừa yếu
Vả lại sự thật là TQ rất mạnh về hacking (vì dân số đông hơn, nghiên cứu về công nghệ chuyên sâu hơn), nên tôi e những hành động tự phát vừa rồi nếu kéo dài có thể dẫn đến những thiệt hại nặng nề cho VN, nếu như giới hacker lành nghề của TQ bắt đầu tham gia. Đây cũng là điểm thứ hai mà tôi muốn nhấn mạnh: VN rất thiếu (người) và yếu (khoa học kỹ thuật) về an toàn thông tin.
Tôi có được biết từ vài năm nay một số cơ quan chức năng của VN có chương trình gửi người sang đào tạo tại các nước tiên tiến về an toàn thông tin như Mỹ và Nga (và có thể cả TQ). Tôi không có nhiều thông tin về chương trình này cũng như kết quả của nó, nhưng tôi hi vọng là những chương trình như thế này đã giúp các cơ quan chức năng VN có một đội ngũ trẻ và giỏi về chuyên môn phụ trách công tác an toàn thông tin.
Sự thiếu sót về an toàn thông tin có thể quan sát được là ở khối dân sự. Đây là vấn đề mà tôi nghĩ ai quan tâm đến an toàn thông tin ở VN cũng có thể thấy, dẫu vậy tôi cũng muốn đưa ra một vài ví dụ (cảm tính chủ quan) để chứng minh cho ý này.
Cách đây gần một năm tôi có làm việc với Trung tâm ứng cứu máy tính khẩn cấp Việt nam (VNCERT) để cảnh báo về lỗ hổng trong khung phát triển ứng dụng web ASP.NET của Microsoft cho các doanh nghiệp và tổ chức ở VN. Trong thời gian đó tôi cũng có làm việc với Microsoft để đưa ra các miếng vá. Microsoft mất khoảng 11 ngày để có miếng vá và họ bắt đầu đẩy các miếng vá này xuống máy chủ của khách hàng ngay sau đó.
Tôi lên danh sách một số website của các tờ báo, ISP, ngân hàng, công ty chứng khoán, công ty thanh toán điện tử... có sử dụng phiên bản bị lỗi của ASP.NET và theo dõi xem khi nào thì họ cài đặt các miếng vá. Sau một tuần, chưa có công ty nào cài đặt bản vá. Sau hai tuần, có một ISP đã cài bản vá. Sau một tháng, 15% số website đã được vá. Sau đó tôi không theo dõi nữa. Cho đến trước khi viết bài này, tôi chọn ngẫu nhiên ba website thì hai trong số đó vẫn chưa được vá lỗi. Đó chỉ là một lỗ hổng trong số cả chục ngàn lỗ hổng đã biết và chưa được biết đến.
Cần đầu tư nghiêm túc về con người
Tôi làm về lĩnh vực an toàn thông tin cho đến nay là được gần chín năm. Tôi tham gia HVA cũng chừng đó thời gian. Số thành viên của HVA lên đến cả trăm ngàn người. Các khóa học để trở thành hacker được quảng bá rầm rộ. Dẫu vậy sự thật là số người cùng bắt đầu với tôi ở HVA, cho đến nay vẫn còn làm an toàn thông tin và muốn tiếp tục làm, tôi nghĩ đếm không hết một bàn tay. Hầu hết bỏ ngang, chuyển sang làm một việc khác không liên quan đến chuyên môn. Tôi thấy không riêng gì ngành này, mà hầu hết các ngành khoa học kỹ thuật ở VN đều bị tình trạng tương tự: áp lực xã hội buộc con người ta bỏ nghề, làm một việc khác dễ kiếm tiền hơn.
An toàn thông tin là một ngành học cần sự đầu tư dài hơi, bởi nó đòi hỏi kiến thức chuyên sâu trong hầu hết các phân ngành của khoa học máy tính cũng như các lĩnh vực “khó nhai” như mật mã học, xác suất thống kê. Đó là chưa kể kiến thức cơ bản về luật pháp, thiết kế, quản trị, tâm lý và thậm chí kinh tế học hành vi.
Sự thật là cho đến bây giờ tôi vẫn luôn là người mới và vẫn học đều đặn mỗi ngày với hi vọng là sau vài năm nữa mới đủ kiến thức và kinh nghiệm để làm việc cho tốt. Đó cũng là điều thứ ba mà tôi muốn nói đến: cách duy nhất để có thể chiến thắng, hoặc ít nhất là tự vệ là xây dựng và duy trì một đội ngũ kỹ thuật chuyên sâu tại chỗ. Dẫu vậy, tôi sẽ không đề cập về việc chủ động tấn công bởi nó không áp dụng được cho các doanh nghiệp dân sự, đối tượng mà tôi muốn hỗ trợ ở đây, nên tôi chỉ tập trung vào việc làm sao để phòng thủ.
Nguy cơ bị tấn công có chủ đích
Cần phải nhận ra rằng, đối với một doanh nghiệp, một vụ tấn công có chủ đích (targeted attack) do hacker TQ thực hiện dưới sự chỉ đạo của một cơ quan nào đó thật ra không khác gì mấy với một vụ tấn công do hacker được thuê bởi một đối thủ kinh doanh nào đó.
Vả lại, như đã nói ở trên, nếu các doanh nghiệp không quan tâm tới bảo mật thì bất kỳ một anh sinh viên chán học nào cũng có thể tấn công và xâm nhập vào mạng máy tính của họ, chỉ vì anh ấy tò mò và không có gì để làm. Đó là còn chưa kể đến hàng ngàn anh học trò khác luôn rình mò lấp ló hễ thấy chỗ nào chui vào được là chui vào.
Tôi cho rằng các hacker tham gia vào các vụ tấn công từ cả hai phía trong thời gian vừa qua là thuộc nhóm này. Đây cũng là nhóm ít nguy hiểm nhất, bởi lẽ chúng không phải là dạng tấn công có chủ đích như các nhóm kể trên.
Một sự thật là đa số doanh nghiệp VN tập trung vào việc sử dụng các giải pháp bảo mật được “sản xuất hàng loạt” để hòng ngăn chặn nhóm đối tượng tấn công không có chủ đích. Họ mua tường lửa, phần mềm chống virus, thiết bị phát hiện và phòng chống xâm nhập. Họ dành nhiều tiền để đạt các chứng chỉ PCI DSS, ISO 27001.
Đã có rất rất nhiều vụ tấn công trong quá khứ và trong một năm vừa qua nhắm vào các công ty đã đầu tư hàng triệu đô la thậm chí là nhà sáng chế của các giải pháp này. Rất nhiều công ty công nghệ lớn của thế giới đã gục ngã khi bị chọn làm đích ngắm. Một khi kẻ tấn công đã chọn bạn làm mục tiêu, thì tất cả những giải pháp “sản xuất hàng loạt” kể trên đều dễ dàng bị vô hiệu hóa.
Một phương thức phòng thủ hiệu quả phải là một phương thức có thể phát hiện và ngăn chặn được nhóm đối tượng tấn công có chủ đích. Chỉ có một cách duy nhất là đầu tư vào con người, xây dựng hệ thống chuyên biệt giám sát tất cả các hoạt động của hệ thống thông tin liên tục 24/7. Chỉ với phương thức này, bạn mới có thể phát hiện nguy cơ bị tấn công ngay từ những dấu hiệu đầu tiên và tìm ra cách để ngăn chặn cuộc tấn công một cách hiệu quả.