Thứ Ba, 2 tháng 8, 2016

SỰ CỐ AN NINH MẠNG CỦA VIETNAM AIRLINES DƯỚI GÓC NHÌN CỘNG ĐỒNG NUKEVIET

ictnews
Ban quản trị cộng đồng NukeViet nhận định, sự cố an ninh của Vietnam Airlines là vụ việc điển hình và có quá nhiều bài học đắt giá cho những người làm quản trị mạng, quản trị web, các nhà lập trình và cả các lãnh đạo CNTT.
Sân bay Nội Bài tối ngày 29/7/2016, sau vụ tấn công của hacker vào hệ thống thông tin Vietnam Airlines (Nguồn ảnh: kienthuc.net.vn)
Như ICTnews đã đưa tin, chiều ngày 29/7/2016, đã xảy ra sự cố tấn công thay đổi giao diện website và các hệ thống thông tin thuộc sự quản lý của Tổng Công ty Hàng không Việt Nam (Vietnam Airlines) cùng một số đơn vị liên quan khác bị  tấn công, xảy ra sự cố. Trong thông cáo báo chí đầu tiên được phát ra khoảng 22h cùng ngày, 6 tiếng sau thời điểm sự cố xảy ra, cùng với việc cho biết vào khoảng 16:00 ngày 29/7/2016, trang mạng chính thức của hãng đã bị chiếm quyền kiểm soát và bị chuyển sang trang mạng xấu ở nước ngoài, Vietnam Airlines cũng đã xác nhận dữ liệu của một số hội viên khách hàng thường xuyên của hãng đã bị công bố.
Sự cố an toàn, an ninh thông tin mạng xảy ra với hệ thống thông tin của Vietnam Airlines ngày 29/7 vừa qua được các chuyên gia nhận định là một “hồi chuông cảnh tỉnh” các cơ quan, đơn vị, doanh nghiệp cần phải đặc biệt quan tâm đến công tác đảm bảo an toàn thông tin cho hệ thống của cơ quan, đơn vị mình.
Tối ngày 31/7/2016, trên trang fanpage cộng đồng NukeViet, Ban quản trị cộng đồng này đã đăng tải bài viết với tiêu đề: “Sự cố an ninh của Vietnam Airlines - phân tích dưới góc nhìn của người làm nghề web” để cảnh báo các thành viên cộng đồng này, nhất là những quản trị viên website (webmasters).
Hiện có khoảng 5 vạn thành viên, cộng đồng NukeViet gồm các tổ chức và cá nhân dùng phần mềm vận hành website “made in Việt Nam” NukeViet, nhóm phát triển NukeViet, các lập trình viên tự do, các doanh nghiệp và cá nhân cung cấp sản phẩm và dịch vụ dựa trên NukeViet. Đặc biệt, đại đa số các thành viên cộng đồng NukeViet là các webmasters.
Bài viết mới đăng tải trên fanpage của Ban quản trị cộng đồng NukeViet đã đưa ra những nhận định khá sắc sảo về sự cố an ninh của Vietnam Airlines. Được sự đồng ý của tác giả, ICTnews xin lược đăng bài viết này để độc giả biết thêm được một góc nhìn đối với vụ tin tặc tấn công hệ thống  thông tin của Vietnam Airlines vừa qua:
Sự cố an ninh của Vietnam Airlines dưới góc nhìn của người làm nghề web
Như đã nhận định, khắc phục sự cố bị hacker tấn công kiểu này sẽ không chỉ trong vài ngày. Bởi vì, hệ thống bị tấn công không thể chỉ xử lý bằng cách vá lỗ hổng bảo mật, mà còn phải xử lý phá hoại và cả tá backdoor (cửa hậu) bị cài vào hệ thống. Mà “chỉ có trời mới” biết nó bị phá chỗ nào, backdoor nằm ở đâu. Nói chung, chỉ có nước thay thế hệ thống phần mềm hiện tại bằng Code sạch (không chỉ có Code phần mềm mà thậm chí là ở cấp độ hệ điều hành); và tất nhiên, phải được vá lỗi (có nhận định trên ITLC - Câu lạc bộ các lãnh đạo CNTT - rằng hệ thống màn hình sân bay bị hack từ backdoor cài vào các thiết bị mạng có xuất xứ từ Trung Quốc đang sử dụng ở sân bay - như vậy có lẽ là cần phải làm sạch từ... phần cứng).
Chuyện này không thể khắc phục trong ngày một ngày hai với một hệ thống như hệ thống thông tin của hàng không. Trong khi sự cố an ninh này được xếp vào hàng cực kỳ nghiêm trọng thì Vietnamairlines lại xử lý quá “nghiệp dư”
Nghiệp dư về mặt kỹ thuật
Rõ ràng, Vietnam Airlines không có một quy trình xử lý sự cố bảo mật tiêu chuẩn hoặc quy trình đó quá ư... sai sót. Khi bị hack cơ sở dữ liệu (CSDL) khách hàng, Vietnam Airlines lại gửi email thông báo cho khách hàng tự đổi mật khẩu và mở luôn hệ thống đã bị hack để cho khách hàng đăng nhập và đổi mật khẩu. Có đời thủa nhà nào xử lý sự cố mất CSDL người dùng như vậy không?
Đầu tiên, về mặt lý mà nói, anh làm mất dữ liệu cá nhân của người ta thì anh phải có trách nhiệm khắc phục trước. Đằng này anh hoàn toàn không có bất cứ động thái nào khắc phục mà đổ ngay trách nhiệm cho người dùng phải tự đổi mật khẩu thì thật là... vô trách nhiệm.
Thứ nữa, về mặt kỹ thuật và quy trình bảo mật thì đáng ra anh phải reset lại toàn bộ mật khẩu của người dùng để tránh bị (những người có được dữ liệu hacker công bố) lợi dụng đăng nhập (việc này chỉ cần làm "trong một nốt nhạc") sau đó mới mở lại hệ thống và thông báo cho người dùng sử dụng chức năng "quên mật khẩu" để đăng nhập và tạo mật khẩu mới. Các hệ thống CMS hiện đại như NukeViet CMS, Joomla, Drupal, Wordpress... đều có, không lý gì mà website của Vietnam Airlines lại không có chức năng này?
Chỉ có thể có một lý do duy nhất: Kỹ thuật viên của Vietnam Airlines quá ngờ nghệch về quy trình xử lý sự cố thông tin. Ngoài ra, động thái “khắc phục nhanh chóng” này của Vietnam Airlines tạo ra quá nhiều rủi ro:
Thứ nhất, không biết hệ thống của Vietnam Airlines đã kịp vá lỗ hổng bảo mật và quét sạch hệ thống chưa mà đã mở lại hệ thống đăng nhập cho người dùng.
Giả sử tôi là hacker, tôi sẽ để lại một mớ backdoor, shell, bao gồm cả vài đoạn mã đánh cắp mật khẩu của người dùng và người quản trị "Ngay khi họ đăng nhập lại vào hệ thống" (rất nhiều trường hợp tôi hỗ trợ người dùng NukeViet bị rơi vào trường hợp này).
Bởi vì mật khẩu mà hacker có được khi hack CSDL người dùng là CSDL đã được mã hoá (các CMS tiêu chuẩn đều áp dụng việc này), thậm chí là mã hoá vài lần kèm theo khoá mã riêng cho từng site (như trường hợp của NukeViet và Wordpress) cho nên dù có bị hack mất thì giá trị sử dụng của chúng rất thấp. Cho nên lúc Vietnam Airlines hớ hênh mở lại hệ thống mới là lúc hacker có được mật khẩu thật sự của người dùng.
Thông báo của Vietnam Airlines cộng với sự giúp đỡ của truyền thông sẽ khiến hàng loạt khách hàng nhảy vào đổi mật khẩu, vô tình giúp hacker nhanh chóng có được toàn bộ mật khẩu thật sự của khách hàng. Mà mật khẩu thật sự của khách hàng chắc sẽ làm được nhiều thứ. Có khi đấy chính là mật khẩu login email, mật khẩu dùng chung của vô số dịch vụ khác.
Thứ hai, nếu trường hợp CSDL người dùng mà hacker đã có được là dạng plaintext (không bị mã hoá - điều này thường khó xảy ra), thì việc Vietnamairlines mở lại hệ thống giúp cho không chỉ hacker mà... tất cả những ai có được CSDL đó có thể login vào hệ thống. Nói thẳng ra, dữ liệu này từ mấy ông Spammer cho đến dân bán hàng đều quá thèm thuồng vì giới đi Vietnam Airlines toàn khách VIP, trong khi dữ liệu lại quá chính xác từ họ tên, email, nơi ở, ngày sinh, điện thoại, giới tính...
Nghiệp dư về truyền thông
Khỏi phải nói sự cố này nghiêm trọng như thế nào. Website bị hack mất CSDL, domain bị chiếm quyền điều khiển, màn hình hiển thị thông tin bị chiếm quyền điều khiển, đến cả hệ thống phát thanh cũng bị chiếm... trong khi các hệ thống này về mặt nguyên tắc thì chẳng hề (và không được phép) liên quan đến nhau.
Tình huống này hoàn toàn có thể suy đoán rằng toàn bộ hệ thống thông tin của Vietnam Airlines đã bị chiếm quyền điều khiển (ngoài các hệ thống đã được công bố, còn nhiều hệ thống khác có thể đã bị hack nhưng chưa được phát hiện và công bố).
Vậy mà Vietnam Airlines phản ứng quá yếu ớt và đưa ra những tuyên bố đầy chủ quan rằng dữ liệu thanh toán của người dùng vẫn... an toàn. Và phản ứng một cách yếu ớt trước những tin dồn dập mang tính phỏng đoán về sự cố (bao gồm cả các phỏng đoán rất ỡm ờ của những người tự nhận là chuyên gia về bảo mật tràn ngập trên các phương tiện truyền thông).
Đáng ra, ngay lập tức Vietnam Airlines phải cử đại diện truyền thông cung cấp các thông tin đầy đủ và chính xác về tình hình sự cố trên một kênh tin công cộng đủ ăn toàn và dễ tiếp cận. Khoanh vùng phạm vì ảnh hưởng và đưa ra những giải pháp phòng ngừa cần thiết giúp đối tác, khách hàng phòng tránh rủi ro giá tăng, đồng thời giúp chính bản thân mình phòng tránh rủi ro về mặt truyền thông. Nhưng không hề có!.
Những suy đoán được đưa ra
Đơn cử như: “Một khi tên miền bị chiếm dụng, hoàn toàn có thể tin rằng hệ thống email của VietnamAirline đã bị kiểm soát ở mức độ nào đó. Và vì thế email gửi đến và đi cho VietnamAirline hoàn toàn có thể bị chiếm dụng, thậm chí làm giả, mạo danh... Nếu tôi là khách hàng và đối tác của Vietnam Airlines, tôi sẽ cần kiểm chứng mọi thông tin liên lạc với email này đề phòng việc bị lợi dụng”.
Hay “CSDL khách hàng bị hack như vậy thì nguy cơ cao là máy chủ web của VietnamAirline bị kiểm soát. Một khi máy chủ của VietnamAirline bị kiểm soát, mọi thông tin kể cả thông tin thẻ tín dụng của khách hàng đều có thể bị đánh cắp, cho dù Vietnam Airlines không lưu trữ các thông tin này như phỏng đoán của một số chuyên gia CNTT”.
Sự thực là, không cần suy đoán, chỉ cần đọc tuyên bố về chính sách về sự riêng tư trong phần điều khoản và điều kiện sử dụng website và các dịch vụ của Vietnam Airlines, có thể thấy rằng Vietnam Airlines tuyên bố rõ "có lưu trữ thông tin thẻ tín dụng của khách hàng nếu khách hàng có thanh toán online".
Điều 2. Loại thông tin thu thập:
Đối với hội viên chương trình Bông Sen Vàng
Thông tin cá nhân như họ và tên, giới tính, ngày sinh, số hộ chiếu hoặc giấy tờ xác minh nhân thân khác (ngày cấp, nơi cấp), quốc tịch, ngôn ngữ;
Thông tin liên lạc như số điện thoại, địa chỉ gửi thư, địa chỉ email, số fax, địa chỉ nhà, sở thích và các thông tin khác liên quan đến yêu cầu đặc biệt của hội viên;
Thông tin về thanh toán nếu thanh toán bằng thẻ tín dụng hoặc thẻ ghi nợ như tên chủ thẻ, số thẻ, ngày hết hạn, mã xác thực;
Thông tin cá nhân được tự động tạo ra khi hội viên sử dụng website như: thông tin IP, cookies, đăng nhập website.
Đối với thành viên sử dụng website.
Thông tin cá nhân như họ và tên, giới tính, ngày sinh, số hộ chiếu hoặc giấy tờ xác minh nhân thân khác (ngày cấp, nơi cấp), quốc tịch, ngôn ngữ;
Thông tin liên lạc như số điện thoại, địa chỉ gửi thư, địa chỉ email, số fax;
Thông tin về thanh toán nếu thanh toán bằng thẻ tín dụng hoặc thẻ ghi nợ như tên chủ thẻ, số thẻ, ngày hết hạn, mã xác thực;
Thông tin cá nhân được tự động tạo ra khi thành viên sử dụng website như: thông tin IP, cookies, đăng nhập website.
Đối với các thành viên sử dụng Trung tâm Hỗ trợ khách hàng và đại lý phòng vé.
Thông tin cá nhân như họ và tên, giới tính, ngày sinh, số hộ chiếu hoặc giấy tờ xác minh nhân thân khác (ngày cấp, nơi cấp);
Thông tin liên lạc như số điện thoại, địa chỉ gửi thư, địa chỉ email;
Thông tin về thanh toán nếu thanh toán bằng thẻ tín dụng hoặc thẻ ghi nợ như tên chủ thẻ, số thẻ, ngày hết hạn, mã xác thực;
Như vậy, tên chủ thẻ, số thẻ, ngày hết hạn, mã xác thực đều được VietnamAirline lưu trữ. Và có đủ lý do để tin rằng chúng đã bị lộ. Chúng ta biết rằng chỉ cần những thông tin đó của thẻ tín dụng và thẻ ghi nợ là bất cứ ai cũng có thể rút tiền khỏi tài khoản của nạn nhân. Thế mà, Vietnam Airlines tuyên bố dữ liệu này an toàn và không có bất cứ cảnh báo nào để người dùng và các ngân hàng khoá chức năng thành toán online của các thẻ này lại. Dù là chủ quan hay khách quan thì hành động này không thể chấp nhận.
Vụ việc này của Vietnam Airlines là vụ việc điển hình và có quá nhiều bài học đắt giá cho những người làm quản trị mạng, quản trị web, các nhà lập trình và cả các lãnh đạo CNTT.
Ban Quản trị cộng đồng NukeViet