Theo thông tin từ một chuyên gia an ninh mạng, chiều ngày 8/4, các báo cáo tấn công liên tục cho thấy khoảng 15 website ebanking của các ngân hàng và cổng thanh toán tại Việt Nam bị tấn công thành công. Những hệ thống này bị dính lỗi OpenSSL Heartbleed.
Phóng viên VTC News đã có cuộc phỏng vấn trực tiếp với ông Nguyễn Minh Đức, chuyên gia bảo mật, ban Công nghệ, Tập đoàn FPT.
- 15 website ebanking của các ngân hàng và cổng thanh toán tại Việt Nam bị tấn công thành công vì dính lỗi OpenSSL. Lỗi OpenSSL là gì, thưa ông?
Ông Nguyễn Minh Đức: OpenSS là thư viện dùng để mã hóa kết nối giữa máy tính với máy chủ. Những trang sử dụng giao dịch điện tử hay thương mại điện tử đều dùng mã hóa đó để đảm bảo an toàn. Tuy nhiên, chính thư viện mã hóa đó lại bị lỗi.
Người ta tưởng rằng dữ liệu gửi đến máy chủ đấy được mã hóa thành công nhưng trên thực tế hacker có thể đọc được mà không cần có sự tác động của người dùng.
Chỉ cần kết nối với máy chủ, hacker sẽ đọc được toàn bộ mật khẩu hay thông tin người ta trao đổi máy chủ. Nên là các trang về giao dịch điện tử, ngân hàng điện tử, các trang thương mại điện tử, chứng khoán điện tử là đích mà hacker nhắm tới.
Ông Nguyễn Minh Đức, chuyên gia bảo mật. |
Nó nguy hiểm ở chỗ hầu hết các máy chủ có cung cấp dịch vụ mã hóa đều dùng OpenSSL nên nhiều nơi có bị hack. Nguy hiểm nữa là hacker có thể dễ dàng đọc được dữ liệu trao đổi trên máy chủ mà không cần có sự tác động của người dùng, không cần lừa thêm người dùng.
- Các hacker có gặp nhiều khó khăn khi tấn công vào hệ thống theo cách này không thưa ông?
Về mặt cơ bản nếu nói là khó không hoàn toàn đúng mà nếu nó là dễ cũng không hẳn. Không phải ai cũng khai thác được. Nhưng những người làm việc trong lĩnh vực công nghệ thông tin hoặc có chút hiểu biết về công nghệ thông tin hoàn toàn có thể khai thác được lỗ hổng đó.
- Những công cụ này được cung cấp miễn phí trên mạng phải không?
- Giao dịch qua Internet Banking, nhiều ngân hàng ngoài cung cấp mật khẩu còn cung cấp tầng bảo mật khác. Ví dụ Techcombank có Token. Hacker có thể tấn công vào máy chủ nhưng làm sao lấy được Token vì người sử dụng luôn mang theo Token bên mình. Như vậy, giao dịch Internet Banking an toàn phải không thưa ông?
Thực tế nhiều ngân hàng khác cũng có công cụ tương tự như Token. Hacker có thể lấy được thông tin Token tại một thời điểm cụ thể. Nhưng nguy hiểm ở chỗ trong các giao dịch qua mạng, thứ nhất, hacker có thể giả mạo được giao dịch, thứ hai, hacker có thể giả mạo được dữ liệu của máy chủ, tức là chữ ký số của để bắt được toàn bộ dữ liệu được trao đổi trên máy chủ đấy.
Lấy ví dụ, tài khoản đăng nhập vào máy chủ của admin thường chỉ có mật khẩu không có Token. Khi đăng nhập vào hệ điều hành, hacket có thể bắt được mật khẩu đó và kiểm soát luôn máy chủ chứ không chỉ bắt được mật khẩu của một vài người dùng. Vì vậy, hacker kiểm soát, lấy tất cả dữ liệu trên máy chủ.
- Như vậy có nghĩa tất cả các giao dịch online đều không an toàn?
- Điều đó có nghĩa, các ngân hàng chưa vá xong thì giao dịch online là không an toàn?
Ông Nguyễn Minh Đức: Tất nhiên rồi! Thực tế còn vấn đề nữa cần phải quan tâm. Các hãng cung cấp dịch vụ nước ngoài, ví dụ Yahoo bị tấn công đầu tiên. Mật khẩu mail của người dùng Yaoo bị lộ. Ngay lập tức Yahoo tìm cách vá lỗ hổng. Và họ vá thành công.
Nhưng quan trọng hơn là Yahoo công bố họ đã vá nên người dùng biết được hiện trạng. Còn ở Việt Nam, tôi nghĩ rằng người ta sẽ vá nhưng chưa chắc người ta thông báo đã vá hay chưa nên người dùng rất băn khoăn. Khi giao dịch online tại bất cứ ngân hàng nào, họ chưa biết lỗ hổng đã vá hay chưa.
- Với lỗ hổng này, Internet banking không an toàn, giao dịch trên nhiều website khác còn không an toàn phải không thưa ông?
Đấy là về website. Ngoài website, các máy chủ email cũng có thể bị dính lỗi. Hacker không những lấy mật khẩu mà còn lấy nội dung email trao đổi với người khác. Các email đó đều được gửi tới máy chủ. Hacker đọc dữ liệu trên máy chủ rồi sử dụng các dữ liệu này.
Ngoài ra còn dịch vụ chat. Các hãng cung cấp dịch vụ chat hơi ít nhưng cũng nằm trong tầm ngắm của hacker. Các dịch vụ VPN mã hóa kênh riêng đều có thể bị hack. Tôi nghĩ lỗi này ảnh hưởng tương đối rộng vì thư viện OpenSSL được rất nhiều hãng sử dụng.
- Bảo mật rất quan trọng nhưng hình như bảo mật không được các công ty trong nước chú trọng?
Ông Nguyễn Minh Đức: Thực tế ở Việt Nam, các công ty, cơ quan nhà nước hay tổ chức hầu hết đều không để ý đến vấn đề an toàn qua mạng. Theo đánh giá của tôi, trừ một vài lĩnh vực như ngân hàng, các lĩnh vực còn lại hầu như không để ý an ninh mạng vì họ nghĩ máy chủ hay email bị tấn công thì họ cài lại, chẳng sao cả. Hệ thống ngân hàng quan tâm tới bảo mật vì ít nhiều liên quan đến giao dịch tiền. Họ có đội ngũ riêng làm về an toàn thông tin của họ.