Chỉ cần chút kiến thức công nghệ có thể khai thác lỗ hổng bảo mật NH

11/04/2014 14:45
Theo VTC News
Theo chuyên gia bảo mật Nguyễn Minh Đức, một số người có chút kiến thức công nghệ thông tin có thể khai thác lỗ hổng của các website ngân hàng.

Theo thông tin từ một chuyên gia an ninh mạng, chiều ngày 8/4, các báo cáo tấn công liên tục cho thấy khoảng 15 website ebanking của các ngân hàng và cổng thanh toán tại Việt Nam bị tấn công thành công. Những hệ thống này bị dính lỗi OpenSSL Heartbleed. 

Phóng viên VTC News đã có cuộc phỏng vấn trực tiếp với ông Nguyễn Minh Đức, chuyên gia bảo mật, ban Công nghệ, Tập đoàn FPT.

- 15 website ebanking của các ngân hàng và cổng thanh toán tại Việt Nam bị tấn công thành công vì dính lỗi OpenSSL. Lỗi OpenSSL là gì, thưa ông?

Ông Nguyễn Minh Đức: OpenSS là thư viện dùng để mã hóa kết nối giữa máy tính với máy chủ. Những trang sử dụng giao dịch điện tử hay thương mại điện tử đều dùng mã hóa đó để đảm bảo an toàn. Tuy nhiên, chính thư viện mã hóa đó lại bị lỗi. 

Người ta tưởng rằng dữ liệu gửi đến máy chủ đấy được mã hóa thành công nhưng trên thực tế hacker có thể đọc được mà không cần có sự tác động của người dùng.

Chỉ cần kết nối với máy chủ, hacker sẽ đọc được toàn bộ mật khẩu hay thông tin người ta trao đổi máy chủ. Nên là các trang về giao dịch điện tử, ngân hàng điện tử, các trang thương mại điện tử, chứng khoán điện tử là đích mà hacker nhắm tới. 

Ông Nguyễn Minh Đức, chuyên gia bảo mật.
Ông Nguyễn Minh Đức, chuyên gia bảo mật.

Nó nguy hiểm ở chỗ hầu hết các máy chủ có cung cấp dịch vụ mã hóa đều dùng OpenSSL nên nhiều nơi có bị hack. Nguy hiểm nữa là hacker có thể dễ dàng đọc được dữ liệu trao đổi trên máy chủ mà không cần có sự tác động của người dùng, không cần lừa thêm người dùng.

- Các hacker có gặp nhiều khó khăn khi tấn công vào hệ thống theo cách này không thưa ông?

Ông Nguyễn Minh Đức: Tìm ra lỗi đó thì khó nhưng trên mạng, người ta cung cấp tràn lan những công cụ kiểm tra xem website có lỗi hay không. Phát hiện ra lỗi rồi, họ còn cung cấp thêm công cụ khai thác lỗ hổng. Vì vậy, một số người có chút kiến thức công nghệ thông tin có thể dùng những công cụ đó để khai thác lỗ hổng của các website.

Về mặt cơ bản nếu nói là khó không hoàn toàn đúng mà nếu nó là dễ cũng không hẳn. Không phải ai cũng khai thác được. Nhưng những người làm việc trong lĩnh vực công nghệ thông tin hoặc có chút hiểu biết về công nghệ thông tin hoàn toàn có thể khai thác được lỗ hổng đó.

- Những công cụ này được cung cấp miễn phí trên mạng phải không?

Ông Nguyễn Minh Đức: Những công cụ này được cung cấp hoàn toàn miễn phí. Nếu người ta biết và tìm kiếm thì họ có thể khai thác được lỗ hổng kể trên.

- Giao dịch qua Internet Banking, nhiều ngân hàng ngoài cung cấp mật khẩu còn cung cấp tầng bảo mật khác. Ví dụ Techcombank có Token. Hacker có thể tấn công vào máy chủ nhưng làm sao lấy được Token vì người sử dụng luôn mang theo Token bên mình. Như vậy, giao dịch Internet Banking an toàn phải không thưa ông?

Ông Nguyễn Minh Đức: Một số người có chút kiến thức công nghệ thông tin có thể dùng những công cụ đó để khai thác lỗ hổng của các website.

Thực tế nhiều ngân hàng khác cũng có công cụ tương tự như Token. Hacker có thể lấy được thông tin Token tại một thời điểm cụ thể. Nhưng nguy hiểm ở chỗ trong các giao dịch qua mạng, thứ nhất, hacker có thể giả mạo được giao dịch, thứ hai, hacker có thể giả mạo được dữ liệu của máy chủ, tức là chữ ký số của để bắt được toàn bộ dữ liệu được trao đổi trên máy chủ đấy.

Lấy ví dụ, tài khoản đăng nhập vào máy chủ của admin thường chỉ có mật khẩu không có Token. Khi đăng nhập vào hệ điều hành, hacket có thể bắt được mật khẩu đó và kiểm soát luôn máy chủ chứ không chỉ bắt được mật khẩu của một vài người dùng. Vì vậy, hacker kiểm soát, lấy tất cả dữ liệu trên máy chủ.

- Như vậy có nghĩa tất cả các giao dịch online đều không an toàn?

Ông Nguyễn Minh Đức: Thực tế cho đến thời điểm hiện nay, nếu chưa vá lỗ hổng thì các giao dịch online đều không an toàn. Nhưng theo tôi, các ngân hàng hiện nay tương đối tích cực trong việc update lỗ hổngnày. Tôi nghĩ chỉ trong hôm nay các ngân hàng sẽ vá xong. Lúc đó, giao dịch online sẽ lại an toàn.

- Điều đó có nghĩa, các ngân hàng chưa vá xong thì giao dịch online là không an toàn?

Ông Nguyễn Minh Đức: Tất nhiên rồi! Thực tế còn vấn đề nữa cần phải quan tâm. Các hãng cung cấp dịch vụ nước ngoài, ví dụ Yahoo bị tấn công đầu tiên. Mật khẩu mail của người dùng Yaoo bị lộ. Ngay lập tức Yahoo tìm cách vá lỗ hổng. Và họ vá thành công.

Nhưng quan trọng hơn là Yahoo công bố họ đã vá nên người dùng biết được hiện trạng. Còn ở Việt Nam, tôi nghĩ rằng người ta sẽ vá nhưng chưa chắc người ta thông báo đã vá hay chưa nên người dùng rất băn khoăn. Khi giao dịch online tại bất cứ ngân hàng nào, họ chưa biết lỗ hổng đã vá hay chưa.

- Với lỗ hổng này, Internet banking không an toàn, giao dịch trên nhiều website khác còn không an toàn phải không thưa ông?

Ông Nguyễn Minh Đức: Tôi cần nói thêm giao dịch điện tử không chỉ là các trang giao dịch của ngân hàng mà còn giao dịch ở các trang thương mại điện tử như mua bán có tài khoản đăng nhập đều có nguy cơ. Những trang bán vé máy bay, cung cấp vé máy bay, đặt chỗ khách sạn,... cùng là mục tiêu của hacker. Tóm lại tất cả các trang thương mại điện tử đều đối mặt với nguy cơ này.

Đấy là về website. Ngoài website, các máy chủ email cũng có thể bị dính lỗi. Hacker không những lấy mật khẩu mà còn lấy nội dung email trao đổi với người khác. Các email đó đều được gửi tới máy chủ. Hacker đọc dữ liệu trên máy chủ rồi sử dụng các dữ liệu này.

Ngoài ra còn dịch vụ chat. Các hãng cung cấp dịch vụ chat hơi ít nhưng cũng nằm trong tầm ngắm của hacker. Các dịch vụ VPN mã hóa kênh riêng đều có thể bị hack. Tôi nghĩ lỗi này ảnh hưởng tương đối rộng vì thư viện OpenSSL được rất nhiều hãng sử dụng.

- Bảo mật rất quan trọng nhưng hình như bảo mật không được các công ty trong nước chú trọng?

Ông Nguyễn Minh Đức: Thực tế ở Việt Nam, các công ty, cơ quan nhà nước hay tổ chức hầu hết đều không để ý đến vấn đề an toàn qua mạng. Theo đánh giá của tôi, trừ một vài lĩnh vực như ngân hàng, các lĩnh vực còn lại hầu như không để ý an ninh mạng vì họ nghĩ máy chủ hay email bị tấn công thì họ cài lại, chẳng sao cả. Hệ thống ngân hàng quan tâm tới bảo mật vì ít nhiều liên quan đến giao dịch tiền. Họ có đội ngũ riêng làm về an toàn thông tin của họ. 

- Xin cảm ông!
Theo VTC News