Ngày 29 tháng 3, tại Khách sạn Hilton - Hà Nội, Công ty NetContinuum của Mỹ phối hợp với Công ty Misoft - nhà cung cấp các giải pháp an toàn bảo mật hàng đầu tại Việt Nam, Công ty Hệ thống thông tin FPT và Công ty VietShield đã tổ chức buổi Hội thảo với chủ đề: "Bảo mật ứng dụng Web, trận chiến mới chống lại 75% các cuộc tấn công của Hacker".
Tại cuộc Hội thảo, ông Vijay Sarathy, Giám đốc Dịch vụ hỗ trợ khách hàng của Công ty NetContinuum cho biết: "Theo đánh giá của Công ty IDG, có tới 75% các cuộc tấn công thành công của Hacker trên Internet dựa vào việc khai thác các lỗ hổng, lỗi an toàn bảo mật trong các ứng dụng web".
Để giúp những người tham gia Hội thảo biết rõ hơn về các cách thức tấn công cơ bản của Hacker, ông Vijay Sarathy đã lần lượt trình diễn một số phương thức tấn công phổ biến hiện nay như SQL Injection - khai thác thông tin từ máy chủ của nhà cung cấp dịch vụ, công nghệ sửa đổi cookie thông qua máy chủ Proxy (Cookie Poisoning), từ chối dịch vụ truy nhập (DDos)…
Ứng dụng web ngày càng phổ biến tại Việt Nam và trên thế giới. Chính phủ đã phê duyệt Đề án Tin học hóa quản lý hành chính Nhà nước giai đoạn 2001-2005 (gọi tắt là Đề án 112) nhằm thúc đẩy mạnh mẽ việc hiện đại hóa công nghệ hành chính, thực hiện tin học hóa các quy trình phục vụ nhân dân trong các lĩnh vực dịch vụ công, nâng cao năng lực của các cơ quan hành chính Nhà nước trong việc cung cấp các dịch vụ công cho nhân dân và doanh nghiệp được thuận tiện, nhanh gọn và chất lượng cao. Chỉ cần một chương trình duyệt web, mọi người dân cũng như các tổ chức đều có thể làm việc, mua sắm, tra cứu thông tin... một cách dễ dàng thông qua các ứng dụng web.
Tuy nhiên, chính sự phổ biến và tiện lợi này của các ứng dụng Web là điểm thu hút sự chú ý của các tin tặc. Các hacker tập trung khai thác các lỗ hổng bảo mật trên các website nhằm mục đích phá hoại hoặc trục lợi. Nguy cơ này càng trở nên nghiêm trọng hơn đối với những tổ chức có các ứng dụng web quan trọng như Web Portal, e-Banking, e-Commerce. Rất nhiều các trang Web của Việt Nam, trong đó có nhiều trang đuôi miền gov.vn đã trở thành nạn nhân của các cuộc tấn công này.
Để đối phó với nguy cơ này đòi hỏi nhiều thời gian, công sức và việc ngăn chặn hoàn toàn việc các hacker tấn công là một điều rất khó. Vài năm trở lai đây, trong lĩnh vực an toàn bảo mật thông tin xuất hiện một khái niệm mới "Tường lửa ứng dụng Web - Web Application Firewall" bên cạnh những ứng dụng đã có như Network Firewall (Tường lửa), Intrusion Prevention System (Hệ thống ngăn chặn xâm nhập).
Theo ông Sarathy, CNTT tại Việt Nam đang có những bước phát triển mạnh mẽ và hiện là một thị trường tiềm năng trong khu vực, do đó, Công ty NetContinuum đã quyết định đầu tư vào thị trường Việt Nam và trước mắt là phân phối các sản phẩm của mình thông qua Misoft - Công ty Cổ phần phát triển phần mềm và hỗ trợ công nghệ - Bộ Quốc phòng.
Tuy nhiên, các chuyên gia về an ninh mạng cho rằng không thể tin tưởng vào bất kỳ một giải pháp hay thiết bị nào để chống lại các cuộc xâm nhập trái phép của các Hacker. Bất kỳ một trang Web nào cũng có rất nhiều lỗi về bảo mật. Tuy nhiên, theo thống kê của tổ chức OWASP (Open Web Application Security Project), đại đa số các lỗ hổng bảo mật nghiêm trọng có thể xếp vào 10 loại cơ bản. Do đó, nắm được phương thức hoạt động của 10 loại điểm yếu này là bước quan trọng đầu tiên trong việc xây dựng giải pháp bảo mật ứng dụng Web. Bên cạnh đó, cần áp dụng phối hợp cùng một lúc các công nghệ bảo mật truyền thống như Network Firewall (Tường lửa), Intrusion Prevention System (Hệ thống ngăn chặn xâm nhập)... với công nghệ Web Application Firewall (Tưởng lửa bảo vệ ứng dụng Web) mới có thể hạn chế được ở mức cao nhất những rủi ro trước sự xâm nhập và phá hoại của các Hacker.
Bài, ảnh: T.Dương