Tấn công website công ty, 5 phút là xong!

Website của doanh nghiệp Việt Nam hiện nay, thậm chí của cơ quan nhà nước, rất dễ xâm nhập để thay đổi dữ liệu. Trao đổi với chúng tôi, anh Võ Đỗ Thắng - Giám đốc Trung tâm Athena, một công ty chuyên về đào tạo bảo mật và an ninh mạng, cho biết các website của doanh nghiệp Việt Nam hiện nay, thậm chí của cơ quan nhà nước rất dễ xâm nhập để thay đổi dữ liệu.

Rất dễ, kể cả website của công ty chứng khoán!

Tại công ty của anh Thắng, thật bất ngờ, chúng tôi gặp lại Bùi Minh Trí, học sinh lớp 12 ở Vĩnh Long từng "nổi danh" trong vụ tấn công website của Bộ Giáo dục - Đào tạo cách đây gần 1 năm. Khá rụt rè, Trí nói: "Em hiện nay theo học khóa đào tạo nâng cao về bảo mật và an ninh mạng, sau những việc làm thiếu suy nghĩ trước đây, em đã quyết tâm làm một hacker mũ trắng". Theo đề nghị của chúng tôi, Trí bắt đầu thực hiện các thao tác để phát hiện các trang web có lỗ hổng. 5 phút sau, Bùi Minh Trí đã thông báo có thể xâm nhập vào hệ thống máy chủ của một website và chỉ dẫn cho chúng tôi xem. Sau đó, Trí còn xâm nhập được vào cả hệ thống cơ sở dữ liệu của một công ty chuyên về công nghệ thông tin hàng đầu Việt Nam hiện nay và có thể thay đổi cả nội dung các bản tin trên website...

Theo Trung tâm an ninh mạng Bkis Đại học Bách khoa Hà Nội, trong tháng 10.2007, Bkis đã gửi cảnh báo tới 32 cơ quan, doanh nghiệp về các lỗ hổng ở mức độ nguy hiểm cao, hacker có thể lợi dụng để đánh cắp cơ sở dữ liệu, chiếm quyền kiểm soát website và máy chủ. Một chuyên gia về bảo mật thông tin cảnh báo: "Tôi đã thử xâm nhập vào một số website của các công ty chứng khoán hàng đầu Việt Nam và thật bất ngờ là công tác bảo mật lại rất mỏng manh. Với những lỗ hổng bảo mật, việc hacker xâm nhập vào, nắm bắt và thay đổi được thông tin của các công ty niêm yết, các nhà đầu tư hay chỉnh sửa nội dung cổng thông tin của công ty chứng khoán để tung ra các tin đồn thất thiệt gây nguy hại đến thị trường là những việc hoàn toàn có thể làm được".

Bảo mật yếu vì thiếu tiền?

Tại hội thảo về bảo mật trong công nghệ thông tin do hãng bảo mật quốc tế McAfee tổ chức ngày 13/11 tại TP.HCM, ông Ashley Wearne - Phó chủ tịch McAfee khu vực Đông Nam Á, Úc, New Zealand và Ấn Độ cho biết: Doanh nghiệp không thể kinh doanh mà không dùng web và liên lạc e-mail. Thế nhưng hầu hết các công ty đều dành ngân sách cho bảo mật công nghệ thông tin chỉ tăng trung bình 3%, quá nhỏ so với tốc độ gia tăng các cuộc tấn công của hacker, virus, spam... Rõ ràng hệ thống công nghệ thông tin cần được bảo vệ nhiều hơn.

Theo thống kê, tại Việt Nam, khoảng 90% doanh nghiệp có cài chương trình diệt virus, trong đó 10% không bao giờ cập nhật phiên bản chống virus mới. Theo các chuyên gia trong ngành bảo mật thông tin, lỗi bảo mật thường gặp ở các doanh nghiệp vừa và nhỏ là không có chương trình chống virus, không sao lưu dữ liệu định kỳ, không cập nhật các phiên bản chống virus và các bản vá lỗi; thiếu người quản trị và giữ an ninh hệ thống mạng... Chính "nhờ" những lỗ hổng như thế mà các hacker tha hồ xâm nhập và cài các đoạn mã nguy hiểm vào làm tê liệt hệ thống máy tính. Tuy nhiên, việc đầu tư một hệ thống bảo mật đồ sộ như của các nhà cung cấp dịch vụ Internet hoặc các tập đoàn lớn là điều không thể đối với các doanh nghiệp nhỏ.

Anh Võ Đỗ Thắng nhận định: "Trong thời gian qua, chúng ta chỉ lo phát triển về cơ sở hạ tầng mạng nên chưa quan tâm nhiều đến bảo mật hệ thống thông tin. Ngoài ra, đội ngũ chuyên viên bảo mật vừa thiếu về số lượng và yếu về chuyên môn, các doanh nghiệp chưa có người chuyên trách về bảo mật và lập kế hoạch cho chiến lược bảo mật doanh nghiệp. Bên cạnh đó, ý thức bảo mật thông tin của các doanh nghiệp còn chưa cao, chưa lường hết được hậu quả và thiệt hại khi rò rỉ thông tin hoặc thông tin bí mật của công ty bị nhân viên lấy cắp bán cho đối thủ cạnh tranh. Nếu như nhân viên của một ngân hàng lấy thông tin tài khoản bán cho một ngân hàng cạnh tranh với giá 5 USD/tài khoản thôi thì mức độ thiệt hại của ngân hàng đó có thể lên đến cả triệu USD. Việc đầu tư bảo mật chiếm một số tiền rất nhỏ so với mức độ thiệt hại, cho nên không thể nói vì doanh nghiệp thiếu tiền mà phải nói đến ý thức của chủ doanh nghiệp chưa cao".