NukeViet

https://nukeviet.vn


Sự cố an ninh của Vietnamairlines - phân tích dưới góc nhìn của người làm nghề web

Những sai sót trong quy trình xử lý sự cố an ninh của Vietnam airlines và bài học kinh nghiệm cho người quản trị web

Khắc phục sự cố bị hacker tấn công kiểu này sẽ không chỉ trong vài ngày. Bởi vì hệ thống bị tấn công không thể chỉ xử lý bằng cách vá lỗ hổng bảo mật, mà còn phải xử lý phá hoại và cả tá backdoor bị cài vào hệ thống.

Việc rà soát xem hệ thống bị phá chỗ nào, backdoor nằm ở đâu để sửa chữa hoặc loại bỏ là việc không tưởng. Nói chung là phương án đảm bảo nhất sẽ là thay thế hệ thống phần mềm hiện tại bằng Code sạch (không chỉ có Code phần mềm mà thậm chí là ở cấp độ hệ điều hành), và tất nhiên, phải được vá lỗi (có nhận định trên ITLC - Câu lạc bộ các lãnh đạo CNTT - rằng hệ thống màn hình sân bay bị hack từ backdoor cài vào các thiết bị mạng có xuất xứ từ TQ đang sử dụng ở sân bay - như vậy là phải làm sạch từ... phần cứng). Chuyện này không thể khắc phục trong ngày một ngày hai với một hệ thống như hệ thống thông tin của hàng không.

Trong khi sự cố an ninh này được xếp vào hàng cực kỳ nghiêm trọng thì các webmaster lại xử lý có nhiều thiếu sót.

THIẾU SÓT VỀ MẶT KỸ THUẬT

Với các hệ thống công nghệ thông tin (mà cụ thể như trường hợp ở đây là website) cần có một quy trình xử lý sự cố bảo mật tiêu chuẩn để xử lý trong các trường hợp xảy ra sự cố. Trường hợp như của Vietnam airlines, có thể họ chưa có quy trình này hoặc quy trình chưa được tuân thủ khi đơn vị này ngay lập tức gửi email thông báo cho khách hàng tự đổi mật khẩu và mở luôn hệ thống đã bị hack để cho khách hàng đăng nhập và đổi mật khẩu.

Đầu tiên, về mặt lý mà nói, chúng ta làm mất dữ liệu cá nhân của khách hàng thì chúng ta phải có trách nhiệm khắc phục trước, không thể đổ trách nhiệm cho người dùng phải tự đổi mật khẩu và tự chịu mọi rủi ro.

Thứ nữa, về mặt kỹ thuật và quy trình bảo mật thì đáng ra anh phải reset lại toàn bộ mật khẩu của người dùng để tránh bị (những người có được dữ liệu hacker công bố) lợi dụng đăng nhập (việc này chỉ cần làm "trong một nốt nhạc") sau đó mới mở lại hệ thống và thông báo cho người dùng sử dụng chức năng "quên mật khẩu" để đăng nhập và tạo mật khẩu mới. Các hệ thống CMS hiện đại như NukeViet CMS, Joomla, Drupal, Wordpress... đều có chức năng này. Nếu webiste của bạn chưa có, bạn nên cân nhắc việc chuyển đổi sang một hệ thống tốt hơn.

Những rủi ro có thể xảy ra trong trường hợp này:

1. Cần vá lỗ hổng bảo mật và quét sạch hệ thống trước khi mở lại hệ thống đăng nhập cho người dùng. Việc mở qua sớm sẽ gia tăng nhiều rủi ro.

Thông thường hacker sẽ để lại một mớ backdoor, shell, bao gồm cả vài đoạn mã đánh cắp mật khẩu của người dùng và người quản trị NGAY KHI HỌ ĐĂNG NHẬP LẠI VÀO HỆ THỐNG (rất nhiều trường hợp được Ban Quản Trị NukeViet hỗ trợ đã rơi vào trường hợp này).

Bởi vì mật khẩu mà hacker có được khi hack CSDL người dùng là CSDL đã được mã hoá (các CMS tiêu chuẩn đều áp dụng việc này), thậm chí là mã hoá vài lần kèm theo khoá mã riêng cho từng site (như trường hợp của NukeViet và Wordpress) cho nên dù có bị hack mất thì giá trị sử dụng của chúng rất thấp. Cho nên lúc mà Vietnam Airlines hớ hênh mở lại hệ thống mới là lúc hacker có được mật khẩu thật sự của người dùng.

Thông báo của VietnamAirline cộng với sự giúp đỡ của truyền thông sẽ khiến hàng loạt khách hàng nhảy vào đổi mật khẩu, vô tình giúp hacker nhanh chóng có được toàn bộ mật khẩu thật sự của khách hàng.

Mà mật khẩu thật sự của khách hàng chắc sẽ làm được nhiều thứ. Có khi đấy chính là mật khẩu login email, mật khẩu dùng chung của vô số dịch vụ khác.

2. Nếu trường hợp CSDL người dùng mà hacker đã có được là dạng plaintext (không bị mã hoá - điều này thường khó xảy ra). Thì việc Vietnamairlines mở lại hệ thống giúp cho không chỉ hacker mà... tất cả những ai có được CSDL đó có thể login vào hệ thống. Dữ liệu này đối với mấy ông Spammer hay dân bán hàng đều là những thứ vô giá vì giới đi Vietnamairlines toàn khách VIP, trong khi dữ liệu lại quá chính xác từ họ tên, email, nơi ở, ngày sinh, điện thoại, giới tính...

VỀ TRUYỀN THÔNG

Khỏi phải nói sự cố này khiến mọi người có cảm giác nó nghiêm trọng như thế nào: Website bị hack mất CSDL, domain bị chiếm quyền điều khiển, màn hình hiển thị thông tin bị chiếm quyền điều khiển, đến cả hệ thống phát thanh cũng bị chiếm nốt... trong khi các hệ thống này về mặt nguyên tắc thì chẳng hề (và không được phép) liên quan đến nhau. Tình huống này hoàn toàn có thể khiến công chúng suy đoán rằng toàn bộ hệ thống thông tin có thể đã bị chiếm quyền điều khiển (ngoài các hệ thống đã được công bố, còn nhiều hệ thống khác có thể đã bị hack nhưng chưa được phát hiện và công bố).

Trong tình huống này, chúng ta không thể phản ứng yếu ớt và đưa ra những tuyên bố chủ quan rằng dữ liệu thanh toán của người dùng vẫn... an toàn. Đặc biệt không thể phản ứng một cách yếu ớt trước những tin dồn dập mang tính phỏng đoán về sự cố (bao gồm cả các phỏng đoán rất ỡm ờ của những người tự nhận là chuyên gia về bảo mật tràn ngập trên các phương tiện truyền thông).

Nếu doanh nghiệp bạn gặp tình huống như của VietnamAirline, ngay lập tức phải cử đại diện truyền thông cung cấp các thông tin đầy đủ và chính xác về tình hình sự cố trên một kênh tin công cộng đủ, an toàn và dễ tiếp cận. Khoanh vùng phạm vì ảnh hưởng và đưa ra những giải pháp phòng ngừa cần thiết giúp đối tác, khách hàng phòng tránh rủi ro giá tăng, đồng thời giúp chính bản thân mình phòng tránh rủi ro về mặt truyền thông.

Vụ việc này của VietnamAirline là vụ việc điển hình và có quá nhiều bài học đắt giá cho những người làm quản trị mạng, quản trị web, các nhà lập trình và cả các lãnh đạo CNTT.

Xem thêm:
Bài viết trên Fanpage NukeViet: https://www.facebook.com/nukeviet/posts/1068432159905672:0
Bài viết đăng trên ICTNEWS: http://ictnews.vn/cntt/bao-mat/su-co-an-ninh-mang-cua-vietnam-airlines-duoi-goc-nhin-cong-dong-nukeviet-141304.ict
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây