Website của bạn có thể bị tấn công? Tại sao phải lo lắng?

Các hoạt động tấn công mạng nổi bật vào khoảng giữa tháng mười hai năm 2006, những con số thống kê đáng sợ về hoạt động hacking trên ứng dụng Web.

Các cuộc tấn công gần đây hướng đến UCLA và TJX Group đã gây ra làn sóng chấn động khiến nhiều tổ chức phải suy nghĩ lại về cơ sở hạ tầng bảo mật và an ninh mạng của mình. Bài báo này nhấn mạnh đến nội dung các hoạt động hacking nổi bật vào khoảng giữa tháng mười hai năm 2006, đồng thời cung cấp nhiều con số thống kê đáng lưu tâm về hoạt động hacking trên ứng dụng Web.

Tình hình hiện nay

Có thể bạn cho rằng thông tin lưu trữ của mình đã được an toàn với đầy đủ hàng rào bảo vệ, tường lửa ngăn chặn từ xa…. Nhưng, đến một lúc nào đấy bạn sẽ phải giật mình bởi cơ sở dữ liệu chứa thông tin nhạy cảm của tổ chức đã bị sao chép, giả mạo hoặc bị làm nhái. Và, có khi số dữ liệu quan trọng ấy vẫn nằm lẩn khuất đâu đó, sẵn sàng được bán cho kẻ trả nào giá cao nhất. Đơn giản vì trong khi bạn đang kê cao gối ngủ với giấc mơ ngọt ngào thì khối kẻ vẫn đang rình mò, từng bước tìm cách xâm nhập vào hệ thống một cách trái phép. Và như bạn biết đấy, thế giới IT vẫn quen gọi họ là hacker. Tuỳ từng mục đích mà có cả hacker mũ trắng (không vụ lợi) hay hacker mũ đen (chỉ tấn công nhằm mục đích xấu), mũ xám, mũ nâu (trung gian). Hacker mũ đen bây giờ không đơn giản chỉ là phá hoại để lấy danh tiếng cho oai mà đã chuyển sang mục đích lợi nhuận. Tệ hơn, bên cạnh việc bán tin thu tiền, chúng còn bán cả các sự kiện là nguyên nhân gây nên lỗ hổng trong hệ thống cho hacker khác, gián điệp công nghiệp hoặc cả những tên khủng bố.

Nghe có vẻ còn khá mơ hồ? Vậy thì, trước khi trở thành “thiên thần của quỷ môn quan”, chúng ta hãy cùng xem nội dung cụ thể của vấn đề là gì.

Sự kiện TJX Companies

Hệ thống các công ty TJX, sở hữu bởi T.J.Maxx, Marshalls, Winners, HomeGoods, A.J. Wright, và hàng loạt cửa hàng của Bob, hôm 17 tháng giêng năm nay đưa ra công bố, thông tin chi tiết về thẻ nợ, thẻ tín dụng của 40 triệu khách hàng đã bị lấy cắp. Cùng thời gian đó, Uỷ ban thẻ tín dụng liên bang Mỹ (SEFCU) cũng đưa ra cảnh báo tương tự: thông tin cá nhân của 10 000 khách hàng do họ quản lý đã bị xâm nhập trong một cuộc tấn công mạng của hacker.

Sáu mươi ngân hàng khác, như Citizen Union Savings Bank và Bank of America dường như cũng chịu chung số phận.

Ben Cammarata, chủ tịch hội đồng quản trị đồng thời là giám đốc nhân sự của TJX Companies khẳng định rằng họ đã không nắm được bản chất của hoạt động hacking. Hiện họ đang yêu cầu hai chuyên gia bảo mật máy tính tiến hành kiểm tra tỉ mỉ vấn đề. Cảnh báo được đưa ra bởi SEFCU có vẻ khả quan hơn: “Một kẻ lừa đảo nào đó có thể nắm được quyền truy cập thông tin thẻ tín dụng, thẻ ghi nợ trong mạng thanh toán, gồm cả hệ thống buôn bán”.

Tạp chí SC Magazine ghi nhận rằng, hacker đã sử dụng dữ liệu xâm phạm được để mua bán hàng hoá từ các cửa hàng ở một số bang của Mỹ, Hồng Kông và Thuỵ Điển.

Có một số giả thiết được đưa ra về hậu quả sau cuộc tấn công, mới nhất là:

• Theo Website 3WCAX-TV, cuộc tấn công được cho là sẽ lấy đi 1,5 triệu đô la của người tiêu dùng. Bài báo này được phát hành trước khi các vụ kiện tụng bắt đầu xuất hiện.

• Brian Fraga, Standard-Times ghi nhận rằng một đơn kiện TJX đã được đưa lên Văn phòng công tố quận (Boston) trong tuần này. Con số tổng thiệt hại chưa được công bố. Theo SC Magazine, ngày hôm qua, một bác sĩ nội trú ở Tây Virginia cũng đã kiện TJX ra toà đòi bồi thường 5 triệu đô la.

• Theo thông tin từ Boston Globe, U.S. Rep. Ed Markey, D-Mass, chủ tịch hội đồng quản trị của House Subcommittee, tổ chức phát triển và cung ứng các dịch vụ viễn thông, Internet đã yêu cầu Uỷ ban Thương mại liên bang Mỹ điều tra về vụ tấn công này.

• Cách đây mấy hôm, Chính phủ Canada ra tuyên bố rằng, họ đang tiến hành điều tra với TJX và vụ việc xâm phạm dữ liệu

• Có một điểm đáng lưu ý là, vụ tấn công có thể được bắt đầu từ tháng 5 năm 2006, nhưng chỉ được phát hiện vào tháng 12 năm 2006 (và được công bố rộng rãi vào tháng riêng năm 2007).

Các trường đại học

Tình hình bất ổn của các website trong nước hiện nay (Ảnh: VNN)
Hệ thống các trường đại học thường rất phân tán và khó có thể đảm bảo được mức bảo mật chặt chẽ. Thêm vào đó có những hệ thống bố trí cơ sở hạ tầng rất mạnh ở một khối văn phòng, nhưng các phòng ban xung quanh lại hết sức lỏng lẻo, khiến toàn bộ hệ thống bị yếu.

Dưới đây là một số trường đại học ở Mỹ mới bị tấn công qua các lỗ hổng ứng dụng Web:

• Tháng trước, một hacker đã thâm nhập vào cơ sở dữ liệu lớn của Đại học California, Los Angeles, chứa thông tin cá nhân (số chứng minh thư, ngày tháng năm sinh, địa chỉ nhà, thông tin liên hệ) của 800 000 người. Đây được đánh giá là vụ xâm nhập máy tính bất hợp pháp trường đại học ở Mỹ tồi tệ nhất từ trước đến nay.

• Trong tháng giêng, trường Đại học Arizona thông báo rằng một vụ xâm nhập bất hợp pháp đã diễn ra hồi tháng 11 và 12 năm ngoái, ảnh hưởng tới một số dịch vụ. Số lượng bản ghi dữ liệu bị xâm phạm chưa được công bố.

• Trong tháng 12 năm 2006, trường Đại học Colorado, Boulder đã trải qua một vụ tấn công mạng với kết quả hàng nghìn tên, số chứng thư nhân dân, mã thẻ sinh viên bị mất trộm. Tổng cộng 17 500 thông tin dữ liệu bị đánh cắp.

• Trường Đại học Texas, Dallas thông báo rằng trong tháng 12 năm 2006, dữ liệu cá nhân của 35 000 người (gồm cả sinh viên hiện tại và cựu sinh viên) đã bị xâm phạm. Mã số bảo mật xã hội (chứng minh thư, thẻ sinh viên) bị lấy cắp, theo số liệu thống kê được đưa ra từ Privacy Clearing House.

Xu hướng động cơ tấn công của hacker thay đổi

Theo Zone-H, 50 hacker hàng đầu đã tấn công tổng cộng gần 2,5 triệu website trên thế giới. Theo CSL/FBI Computer Crime và Security Survey 2005, một trong các phát hiện đáng sợ nhất mới được công bố gần đây là số lượng website bị tấn công tăng lên theo cấp số nhân: năm 2004 có 5%, trong khi năm 2005 lên đến 95%. Xu hướng gần đây, nhất là sau 12 tháng của năm ngoái cho thấy có một sự chuyển dịch từ mục đích phá hoại lấy danh tiếng sang phá hoại để chuộc lợi. Nhiều báo cáo của năm 2006 vẫn đang tiếp tục được công bố.

Số liệu thống kê

Từ sau khi nhiều tổ chức không giám sát hoạt động trực tuyến mức ứng dụng Web, hacker có cả một giang sơn để hoạt động. Ngay cả với những lỗ hổng vòng lặp hẹp nhất trong mã ứng dụng của một công ty, một hacker kinh nghiệm cũng có thể lợi dung và phá hoại mà chỉ cần dùng trình duyệt Web với một chút sáng tạo và quyết tâm. Dường như các hoạt động hacking chỉ được phát hiện ra sau khi những phá hoại đầu tiên đã được thực hiện. Đơn giản vì những kẻ tấn công không muốn và không để lại bất kỳ thử nghiệm có tính toán nào làm dấu vết. Hàng tháng người ta đều phát hiện được vô số vụ hacker thâm nhập vào hệ thống của các tổ chức. Trong các cuộc tấn công ứng dụng web, chứng cứ vật lý (như một cơ sở dữ liệu bị mất mát) dường như không tồn tại. Vì hacker thường thích thú với việc trộm dữ liệu theo kiểu sao chép và để lại dữ liệu gốc nguyên vẹn.

Một cuộc nghiên cứu gần đây cho thấy 75% các cuộc tấn công được thực hiện ở mức ứng dụng web. Một nghiên cứu chưa được công bố rộng rãi tại Acunetix cũng chứng thực điều này. So sánh với kết quả của một số tổ chức bảo mật ứng dụng web khác, kết quả cũng tương tự.

Privacy Clearing House còn đưa ra thông tin thú vị hơn: hơn 100 triệu bản ghi đã bị xâm phạm trái phép từ tháng 2 năm 2005 đến nay. Tuy nhiên, con số này chưa bao gồm khoảng 40 triệu bản ghi của vụ TJX. Trong tổng số 140 triệu thông tin bị đánh cắp, khoảng 80 triệu có nguyên nhân từ các hoạt động hacking. Người ta vẫn chưa biết liệu vụ xâm nhập TJX là hoạt động phá hoại ở tầng mạng hay tầng ứng dụng web.

Cái giá phải trả khi bị hacker tấn công

Những tổn thất gặp phải khi bị hacker tấn công thông thường là gánh nặng tài chính. Nhiều tổ chức bị hậu quả nặng nề đến mức phải tuyên bố đóng cửa hoặc tuyên bố phá sản. Ngoài ra còn là:

• Mất niềm tin của khách hàng cùng với danh tiếng bao nhiêu năm gây dựng, và tất nhiên ảnh hướng tới thu nhập, lợi nhuận.

• Có thể mất khả năng chấp nhận một kiểu phương tiện thanh toán nào đó như VISA, Mastercard.

• Thu nhập và lợi nhuận giảm từ các giao dịch giả mạo và thời gian chết của nhân viên.

• Thời gian chết của website khi phải đóng cửa một trong các kênh bán hàng quan trọng trong thương mại điện tử sau vụ tấn công.

• Phải chi phí nhiều tiền của để sửa chữa các phần đã bị phá hoại và xây dựng kế hoạch đề phòng bất trắc cho website, ứng dụng web...

• Các trận chiến pháp lý và nhiều vấn đề liên quan từ vụ tấn công với mức độ bảo mật lỏng lẻo, các khoản tiền phạt và tiền bồi thường phải trả cho nạn nhân.

Hình trên thể hiện tổng số thiệt hại tính toán được từ các vụ tấn công theo báo cáo năm 2005 của CSI/FBI Annual Computer Crime and Security Survey (Chương trình khảo sát bảo mật và tội phạm máy tính thường niên của CSI kết hợp với FBI).

Ước tính tổng thiệt hại theo từng kiểu xâm phạm (chỉ tính riêng ở Mỹ) là hơn 130 triệu đô la, với hơn 639 đơn vị, cá nhân bị tác động. Thậm chí một số cuộc tấn công có thể còn gây hậu quả lâu dài cho doanh nghiệp và người tiêu dùng. Các tác giả cuộc khảo sát bổ sung thêm rằng, nhiều tổn thất hữu hình (như chi phí cài đặt lại phần mềm, cấu hình lại các hệ thống máy tính) còn có thể tính toán chính xác từ con số thống kê của những người bị hại. Trong khi đó, nhiều tổn thất vô hình (như mất bạn hàng tương lai do bị vô hiệu hoá vùng hoạt động của các phương tiện, website sau cuộc phá hoại) thật nặng nề mà không thể tính toán chính xác được.

Nghe có vẻ xa lạ tân trời Tây ư? Có khi bạn lại đang nằm trong danh sách đen của một tên hacker sừng sỏ nào đó đấy. Vấn đề này là hết sức chính đáng để lo lắng, nhất là khi hồi chuông cảnh báo đầu tiên của các hacker nội đã rung lên trong năm 2006 (tấn công website Bộ giáo dục đào tạo, Chợ điện tử, Nhacso.net, VnMedia,…).

Acunetix Web Vulnerability Scanner

Có một phương cách giúp bạn, dù không thể hoàn hảo là Acunetix Web Vulnerability Scanner. Bạn có thể dùng phần mềm này để kiểm tra thường xuyên website và các ứng dụng web của mình trước khả năng tấn công của tin tặc.
Chủ Nhật, 25/03/2007 06:55
51 👨 147
0 Bình luận
Sắp xếp theo