Thứ Ba, 26 tháng 7, 2011

Web 2.0: Nguoi dung canh giac cung cap thong tin!

Số lượt xem: 521
Gửi lúc 10:21' 06/05/2009

Web 2.0: Người dùng cảnh giác cung cấp thông tin!

Trong thời kì bùng nổ công nghệ, bùng nổ thương mại điện tử, bùng nổ ứng dụng trên Internet, ứng dụng công nghệ Web 2.0 ngày càng được nhiều doanh nghiệp, người dùng đón nhận vì tính hiệu quả tương tác và nhu cầu tiện dụng. Tuy nhiên, công nghệ Web 2.0 cũng tiềm ẩn nhiều rủi ro trong bảo mật. Nhân dịp, chi hội ATTT (ATTT) phía Nam (VNISA phía Nam) triển khai kế hoạch 2009, tạp chí TGVT đã phỏng vấn ông Phùng Hải, giám đốc kinh doanh công ty Phát Triển Phần Mềm và Hỗ Trợ Công Nghệ - Misoft TPHCM, trưởng ban An Toàn Mạng và Hệ Thống chi hội VNISA.

Web 2.0 được xem như là cuộc cách mạng lớn về công nghệ và cũng có nhiều rủi ro trong bảo mật... Nguyên nhân gây sự mất an toàn trong Web 2.0 là gì?

Nguyên nhân lớn nhất gây ra sự mất an toàn trong Web 2.0 chính là các lỗ hổng trong lập trình Web. Những lỗ hổng này thường xuất phát từ nhận thức kém của người lập trình viên về vấn đề bảo mật. Một ví dụ điển hình là người lập trình viên "quên" không kiểm tra các giá trị thông tin đầu vào từ người dùng. Những giá trị đầu vào không kiểm định này có thể sẽ có chứa các đoạn mã tấn công (trong trường hợp của tấn công chèn mã độc code injection), hoặc phá vỡ các tính năng logic của ứng dụng, gây ra các hậu quả không lường trước được.

Thực tế thì nguyên nhân kể trên đã tồn tại trong Web 1.0, tuy nhiên đối với Web 2.0, hiểm họa này được nhân lên gấp nhiều lần do đặc thù của Web 2.0 là nội dung mở, cho phép người dùng chèn vào nội dung tùy biến.

Khi các đoạn mã độc được chèn vào nội dung trên một trang web hợp lệ, những trang web hợp lệ này sẽ trở thành môi trường lây lan mã độc đến các máy người dùng viếng thăm. Cái khó của người lập trình hiện nay là làm sao thiết kế được bộ lọc để có thể đảm bảo tất cả các đoạn mã độc được lọc (loại trừ)  trước khi đăng tải trên trang web.

Một trong những nguyên nhân chính nữa cần phải kể đến là sự phong phú của các đoạn mã nguồn mở, module thứ ba mà người lập trình viên thường sử dụng để rút ngắn thời gian phát triển ứng dụng. Độ an toàn của những đoạn mã này nằm ngoài tầm kiểm soát của lập trình viên và dẫn đến khả năng hàng loạt ứng dụng web có dùng chung module thứ ba bị mắc lỗi bảo mật.

Thưa ông, việc cân bằng giữa an toàn và tiện dụng trong sử dụng Web 2.0 có ý nghĩa như thế nào?

Tam giác bảo mật C.I.A (Confidentiality – Integrity – Availability, tính riêng tư - toàn vẹn - sẵn sàng) là mô hình đặc tính chung về ATTT. Do đó, Web 2.0 cũng cần được đảm bảo an toàn theo mô hình này. Điểm ưu việt của Web 2.0 là hàm chứa một cơ sở hạ tầng cung cấp thông tin mang tính mở (nội dung cộng đồng), dễ sử dụng và tính sẵn sàng cao. Chính những điểm ưu việt này của Web 2.0 là miếng đất màu mỡ cho hacker khai thác. Nói một cách chính xác, bất cứ hệ thống bảo mật nào cũng phải cân đo đong đếm giữa tính dễ sử dụng (usability) và độ ATTT (security). Nếu một hệ thống có cán cân nghiêng về tính dễ sử dụng cao (như trường hợp của Web 2.0) thì phía cân độ ATTT sẽ yếu đi.

Ở khía cạnh nội dung, thông tin trong môi trường Web 2.0 còn có 3 đặc tính quan trọng cần được quan tâm, đó là: Mức độ đóng góp cộng đồng (Community involvement), Tính kiểm soát (Control) và tính mở (Openess). Ba đặc tính này có thể được xây dựng thành tam giác dưới đây để đánh giá mức độ tương quan. Nếu người quản trị muốn trang web của họ được kiểm soát tốt (đảm bảo tính ATTT tốt hơn), thì hai tính năng còn lại sẽ yếu đi và làm giảm tính hấp dẫn về mặt nội dung. Một kiến trúc sư cho giải pháp Web 2.0 sẽ rất cần cân bằng giữa 3 đặc tính này!

Đối tượng chịu sự tấn công của Web2.0 là những ai? Và cách khắc phục như thế nào?

Ở nước ngoài, các doanh nghiệp nổi tiếng sử dụng công nghệ Web 2.0 đều đã là mục tiêu của Web 2.0, ví dụ bao gồm các công ty cung cấp dịch vụ Blog (MySpace, FaceBook, BlogSpot, Wordpress ...), dịch vụ Video Broadcast (Youtube ,Google Video ...), dịch vụ E-Commerce (Amazone, Ebay ...),  hay các dịch vụ mới đây là Twitter.

Ở Việt Nam, tấn công điển hình Web 2.0 có thể kể đến sự cố Yahoo Việt Nam đăng tải nội dung banner từ phía khách hàng có chữa mã độc. Còn khá nhiều các tấn công Web 2.0 khác xảy ra tuy nhiên ít được biết đến vì các tấn công Web 2.0 nhắm vào người dùng chứ không nhắm vào trang Web. Thống kê gần đây của Websense cho thấy Việt Nam nằm trong top đầu những nước có nhiều trang Web chứa mã độc đã nói lên điều này.

Về giải pháp, doanh nghiệp cần kết hợp triển khai hệ thống bảo mật đa tầng, kết hợp nhiều thành phần an ninh như Firewall, IPS, Antivirus, Data Leak Protection.End Point Protection, Web Filtering cho cả hai chiều. Và quan trọng nhất là vấn đề đào tạo ý thức ATTT cho tất cả người dùng hệ thống thông tin.

Theo đánh giá của chi hội VNISA phía Nam thì có 80% các sự cố về ATTT do yếu tố con người.

Hành vi, ý thức người dùng và việc cung cấp thông tin ra ngoài (đăng ký website, diễn đàn) là điều rất quan trọng cần phải cảnh giác?

Đúng vậy! Hành vi người dùng khi click vào các trang web mà không hề biết là click này chuyển họ đến một trang web không mong muốn hoặc kích hoạt các chức năng không mong muốn chính là ví dụ điển hình của loại tấn công Click Jacking (gọi chung là "lừa đảo click"). Đây là lỗ hổng do hai chuyên gia bảo mật Robert Hansen và Jeremiah Grossman khám phá. Dựa trên lỗ hổng của flash, DHTML, hacker có thể lừa người dùng kích hoạt các chức năng trong máy tính mà họ không hề biết như tự bật và xem Webcam, lắng nghe bí mật microphone, lừa người dùng vào trang web có mã độc để cài trojan ăn cắp mật khẩu ...

Web 2.0 cho phép người dùng thoải mái đưa các thông tin lên mạng và những thông tin cá nhân này có thể giúp ích cho hacker rất nhiều trong việc dò tìm mật khẩu vì mật khẩu thường được xây dựng trên các thông tin cá nhân!

Ngoài ra, tính tương tác thông tin 2 chiều của Web 2.0 cung cấp cho hacker một cơ hội vàng để khai thác thông tin bằng cách lừa người dùng cung cấp các thông tin nhạy cảm cá nhân. Đây chính là ví dụ của tấn công "Social Engineering".

Như vậy, vai trò của nhà quản trị trong việc kiểm tra trao đổi dữ liệu, đánh giá hệ thống là gì?
Đối với nhà quản trị, kiểm định tất cả các giá trị đầu vào tức là xây dựng một bộ lọc an toàn cho tất cả các thông tin ra vào hệ thống. Đồng thời phải kiểm soát dữ liệu giữa các vùng không an toàn (Internet, từ phía người dùng) và vùng an toàn (mạng nội bộ bên trong) bằng các cách phân loại và gán chính sách cho từng loại dữ liệu. Quan trọng hơn hết là phải thường xuyên đánh giá hệ thống, dịch vụ web nhằm rà soát các lỗ hổng bảo mật phát sinh. Các dịch vụ đánh giá này nên được làm bởi một tổ chức cơ quan độc lập để đảm bảo tính khách quan. Một trong những ví dụ của dịch vụ đánh giá là dịch vụ pen test, tức là giả lập hacker bên ngoài nhằm tìm cách đột nhập, tìm lỗ hổng của hệ thống để vá lỗi trước khi hacker thật có cơ hội...

So với các Website tĩnh 1.0 về mặt kiến trúc, dịch vụ Web 2.0 thay thế sản phẩm phần mềm chạy trên các máy tính đơn lẻ kết hợp với hệ quản trị nội dung (CMS) và có xu hướng chức năng như  một platform (nền tảng) độc lập trên môi trường Web. Kiến trúc  này cho phép Web 2.0 cung cấp tất cả các chức năng tương đương như ứng dụng truyền thống, ví dụ phần mềm văn phòng (Google Apps, Zoho Writter ...), thậm chí cả hệ điều hàng web 2.0 (EyeOS, YouOS...). Về mặt nội dung, điểm đặc biệt của Web 2.0 là đề cao trí tuệ, tính tương tác cộng đồng như Google, eBay, iTunes, Blog, Wikipedia...

Một số giải pháp ATTT cho web 2.0 như sử dụng hệ thống bảo mật đa tầng kết hợp với nhiều thành phần như tường lửa (firewall), IPS, phần mềm diệt virus, End Point Protection, DLP, bộ lọc web (web filtering)… cho cả 2 chiều. Ngoài ra, người dùng có thể sử dụng Google Alerts để kiểm tra mức độ thông tin cá nhân của mình bị rò rỉ như thế nào và sớm có hướng xử lý.

Hồng Vinh
Xem tiếp

Bản gốc: Thiết kế website - Web 2.0: Người dùng cảnh giác cung cấp thông tin!

Không có nhận xét nào:

Đăng nhận xét