BUG SEARCH: Thi là một cách kiểm nghiệm giải pháp

MẠC THỦY

Một hội thảo hẹp (có sự chọn lọc về khách mời) về “Hỗ trợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam” vừa được Nhóm tổ chức cuộc thi Bug Search tổ chức vào ngày 22-11 tại TPHCM, với sự tham dự của những doanh nghiệp hoạt động trong lĩnh vực CNTT - viễn thông, Vietnam Airlines, một số trường đại học để cùng bàn về tình trạng bảo mật hệ thống thông tin tại Việt Nam hiện nay.

Bảo mật mạng: Quan trọng nhưng chưa được quan tâm đúng mức

Theo hãng Symantec, phát hiện chậm hoặc khắc phục chậm một sơ hở có thể gây thiệt hại cả tỷ USD. Vì vậy, Bộ Tư pháp Mỹ đã quyết định tài trợ cho Đại học Iowa 500.000 USD để xây dựng Hệ thống phát hiện lỗ hổng Internet và giả lập các cuộc tấn công trên mạng, gọi tắt là ISEAGE.

Riêng tại Việt Nam, theo thống kê của Trung tâm An ninh mạng BKIS, trong năm 2003, có hơn 90% máy tính ở Việt Nam bị nhiễm virus, thiệt hại cũng lên tới cả chục tỷ đồng. Để hạn chế thiệt hại, Việt Nam sẽ thành lập Trung tâm An ninh mạng và Cứu hộ các sự cố máy tính quốc gia (VietCERT) vào năm tới. Đây cũng là lý do để đề tài nghiên cứu Bug Search được chọn triển khai, nhằm góp phần nâng cao mức độ an toàn của các mạng tin học Việt Nam.

Tuy là một hội thảo hẹp nhưng trong số khách được mời vẫn có đại diện của một số nhóm hacker. Những hacker ở Hà Nội đã khai thác lỗi SQL Injection để tấn công Website của Techcombank nhưng không thành công và chuyển qua tấn công một số Website khác...Đại diện nhóm PTV5 giới thiệu một số Website bị lỗi và một thành viên của nhóm Bug Search giới thiệu 16 trang Web mà họ phát hiện có lỗi chỉ trong một tuần. Đáng lưu ý là tất cả Website được xác định là có lỗi đều bị lỗi về SQL Injection, được lập trình bằng ngôn ngữ ASP, chạy cơ sở dữ liệu là SQL Server 7.0 và 2000. Nói cách khác, phần lớn các lỗi này là do người lập trình sơ hở, không chủ động ngăn chặn hết các tình huống xấu nhất có thể xảy ra cho Website.

Một số đại biểu cho rằng đa số hacker chỉ phá cho vui, không có ý định phá hệ thống. Thế nhưng không thể loại trừ các thế hệ hacker sau này sẽ hack để kiếm tiền, hack có chiều sâu. Theo một đại diện của HVA: Quản trị hệ thống hiện nay thường đi sau hacker, khi hệ thống bị hack mới lo sửa. Muốn chuyên nghiệp hóa bảo mật cần quan tâm về cả chuyên gia kỹ thuật lẫn chuyên gia quản trị bảo mật. Ngoài ra cần xây dựng các diễn đàn về bảo mật để mọi người có thể trao đổi thông tin, hỗ trợ nhau.

Không thể tự hài lòng

Cuộc thi Bug Search đã kết thúc và chỉ có một giải thưởng (trị giá một triệu đồng) được trao cho Quang Huy (Huyremy). Do tính chất cuộc thi (thi cả đánh lẫn đỡ) nên các giải còn lại đã được chuyển cho những thành viên tham gia nghiên cứu đề tài Bug Search. Đến nay, Ban tổ chức vẫn chờ xem có ai cài được backdoor trên máy chủ. Họ vẫn muốn xác định “người hack giỏi hay nhóm bảo mật tốt”.

Theo ông Trịnh Ngọc Minh – Trưởng ban Tổ chức: “Cuộc thi nhằm đánh giá khả năng của hacker tại thời điểm này. Đồng thời để kiểm tra tính an toàn của một cấu hình hệ thống”. Trong đó có phần quan trọng của thiết bị IDS - giúp ghi nhận toàn bộ quá trình máy chủ phản ứng các cuộc tấn công. Không có IDS sẽ khó phát hiện sớm, lượng giá được mức “quan tâm” của cracker/ hacker đối với hệ thống. Từ đó khó có đủ sự quan tâm, đầu tư đúng mức. Mặt khác, kinh nghiệm của người phân tích các log (file ghi chép quá trình hoạt động) của IDS cũng là một yếu tố quan trọng. Tuy nhiên, khó có sự an toàn tuyệt đối cho máy chủ, hôm nay có thể an toàn nhưng ngày mai thì chưa chắc. Độ an toàn của một máy chủ cần được đánh giá thông qua số lượng những đợt tấn công thử nghiệm với các phương thức tấn công khác nhau.

Ở vị trí Phó giám đốc Sở Khoa học Công nghệ, ông Hoàng Lê Minh đề nghị: “Các doanh nghiệp có hoạt động liên quan đến bảo mật mạng nên quan tâm nhiều hơn đến vấn đề này. Chuẩn bị những giải pháp, công nghệ về bảo mật để phục vụ nhu cầu khách hàng”. Dự kiến, đầu năm 2004, Sở KHCN sẽ tổ chức đấu thầu một đề tài về bảo mật, trị giá khoảng 600 triệu đồng.

Chung quanh công tác quản trị và giải pháp bảo mật, một số đại biểu phàn nàn: “Hội thảo nào về bảo mật cũng lệch hướng. Khi kết thúc, không đề ra được giải pháp nào cụ thể, chủ yếu chỉ là phơi bày những lỗi thường thấy trên các Website. Lỗi SQL Injection không hoàn toàn là trách nhiệm của lập trình viên. Vì khi học lập trình, không ai dạy lập trình để bảo mật”. Đại biểu khác trả lời: “Hãy lập trình cẩn thận hơn, luôn kiểm tra kỹ các dữ liệu đầu vào”. Ông Trịnh Ngọc Minh bổ sung: “Lập trình an toàn phụ thuộc vào quá trình đào tạo ở các trường đại học, các viện nghiên cứu và trung tâm đào tạo”.

Một vấn đề khác được người tham dự quan tâm là: “Chưa thấy Ban tổ chức Bug Search đề cập đến các vấn đề kỹ thuật. Làm sao để xây dựng một máy chủ bảo mật như Bug Search ?” Ông Trịnh Ngọc Minh cho biết: “Cấu hình bảo mật máy Bug Search sẽ được công bố sau khi hoàn thành đề tài nghiên cứu và nhóm sẽ tổ chức những khóa huấn luyện cho đối tượng làm công tác quản trị mạng”. Ông Minh cho rằng: “Khi lựa chọn giải pháp bảo mật, có một vấn đề không thể không quan tâm là tính hiệu quả và chỉ phải mất công sức vừa phải. Để phát triển một sản phẩm bảo đảm, ngay từ đầu cần tích hợp yêu cầu bảo mật vào quy trình làm sản phẩm. Phải có những quy trình về con người (đầu tư đủ về kỹ năng làm việc, môi trường làm việc), quy trình về công nghệ đã được thế giới kiểm nhận.