Hiện nay nhiều cơ quan, tổ chức doanh nghiệp trên địa bàn tỉnh Bình Định đã có cho mình những website để quảng cáo về đơn vị lên môi trường internet. Đây là tính hiệu vui khi các doanh nghiệp đã hiểu rõ tầm quan trọng của internet trong việc phát triển của mình. Tuy nhiên đi cùng với sự phát triển ấy vẫn còn nhiều vấn đề tồn tại. Một trong những vấn đề quan trong là vấn đề liên quan đến bảo mật.
Người viết bài đã thực hiện việc kiểm tra trên một số website của Bình Định và phát hiện ra có rất nhiều website của Bình Định mắc lỗi bảo mật nghiêm trọng và có thể bị tin tặc tấn công bất cứ lúc nào.
Một trong những lỗi bảo mật có rất nhiều trang gặp phải là lỗi SQL Injection. Đây là một lỗi rất cơ bản nhưng có thể dẫn tới hậu quả nghiêm trọng. SQL Injection là một kỹ thuật cho phép kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để tiêm vào và thi hành các câu lệnh SQL bất hợp pháp.
Điểm mặt một số trang web đang mắc phải lỗi này gồm có:
- Chuyên trang tuyển sinh Đại học Quang Trung – http://tuyensinh.quangtrung.edu.vn
- Công ty TNHH Xổ số kiến thiết Bình Định – http://xosobinhdinh.com.vn
- Giáo hội Phật giáo tỉnh Bình Định – http://www.phatgiaobinhdinh.com
- Xí nghiệp xe buýt Quy Nhơn – http://www.quynhonbus.com.vn
Chỉ với một vài thao tác đơn giản tài khoản quản trị trang web lộ ra. Hacker có thể kết hợp với một số công cụ giải mã để lấy được mật khẩu và với thông tin có được hacker có thể đăng nhập vào trang quản trị là coi như nắm toàn quyền trang web.
Lại có một số trang web khác người lập trình quên xét quyền cho các tập tin quản lý hoặc tải dữ liệu lên máy chủ nên ai cũng có thể truy xuất vào hosting lưu trữ.
Trong khi đó có một số trang web sử dụng các mã nguồn mở như Joomla, WordPress để tạo trang web tuy nhiên nó thiếu đi sự cập nhật cần thiết nên nhiều trang web vẫn sử dụng những phiên bản cũ chứa lỗi bảo mật nghiêm trọng đã được công bố trước đó nên ai cũng dễ dàng khai thác.
Theo thống kê trên trang web Zone-H thì có rất nhiều trang web của tỉnh Bình Định bị tấn công trong thời gian vừa qua. Và rất nhiều trong số đó bị khai thác từ chính những lỗi bảo mật đã nêu ra ở trên. Không chỉ riêng gì các trang web của các tổ chức, cá nhân mà còn có cả các cơ quan công quyền.
Theo nhận xét khách quan thì dường như các cá nhân hay tổ chức có website đều chưa có kiến thức về bảo mật và họ giao phó toàn bộ trang website của mình cho các công ty thiết kế mà họ chọn thuê dịch vụ. Khi phát hiện ra trang web của mình bị tấn công thì họ sẽ báo để bên thiết kế sửa lại và sửa lại ở đây chỉ đơn giản là xóa bỏ các tập tin do hacker tải lên chứ không sửa lỗi hoàn toàn là chỉnh sửa lại mã nguồn để loại bỏ các lỗ hổng. Chính vì lẽ đó mà có nhiều trang web bị tấn công đi tấn công lại nhiều lần mà vẫn chưa có giải pháp khắc phục. Có một số công ty thiết kế web chọn giải pháp tự xây dựng một mã nguồn riêng rồi từ đó sử dụng cho tất cả các khách hàng. Và với những mã nguồn riêng tự xây dựng như vậy thì thường gặp phải các lỗi như SQL Injection, xét quyền các tập tin quan trọng. Vì nhiều trang web sử dụng chung một mã nguồn nên khi một trang web bị phát hiện lỗ hổng thì rất nhiều trang web khác cùng dùng chung mã nguồn cũng bị rơi vào tình trạng nguy hiểm.
Trên đây chỉ là những lỗi bảo mật phát sinh từ chính trang web ngoài ra còn có những lỗi bảo mật phát sinh từ hệ thống máy chủ lưu trữ hoặc từ website khác nằm cùng hệ thống. Từ đây các website cũng có thể bị tấn công thông qua các lỗi nằm ngoài kiểm soát này. Ngoài những lỗi bảo mật thì các website cũng có khả năng bị tấn công từ chối dịch vụ (DDoS).
Ngày nay internet đang trở thành một môi trường kinh doanh đầy hứa hẹn. Rất nhiều doanh nghiệp của Bình Định đã biết được sự quan trọng trong việc xây dựng thương hiệu của mình trên internet thông qua các website. Sự phát triển đó kéo theo nhiều vấn đề bảo mật mà các tổ chức, doanh nghiệp phải chú ý. Các tổ chức doanh nghiệp nên nâng cao sự hiểu biết của mình về vấn đề bảo mật. Ngay từ lúc bắt tay vào xây dựng hệ thống website nên lựa chọn các đơn vị thiết kế web cũng như nhà cung cấp dịch vụ uy tín và có đủ trình độ để hỗ trợ khách hàng các vấn đề phát sinh.
Huỳnh Mai Anh Kiệt
