Nhiều website ngân hàng bị “hổng”
BKIS đã phát hiện thấy tám trong số 26 website ngân hàng chứa nhiều lỗ hổng nghiêm trọng:
Theo BKIS, những lỗ hổng này sẽ giúp các tin tặc lấy được toàn bộ nội dung của cơ sở dữ liệu, thay đổi, xóa nội dung website và gây ảnh hưởng tới khách hàng và uy tín của ngân hàng.Tôi đang làm việc ở một ngân hàng, và biết chắc rằng ngân hàng của tôi (cũng như những ngân hàng khác mà tôi biết) đều không thuê BKIS kiểm tra hệ thống của mình. Vậy có thể suy đoán rằng BKIS tự ý kiểm tra và cảnh báo (như một cách marketing chăng?). Tôi tự hỏi:
Đặc biệt nguy hiểm, nếu tin tặc kiểm soát được một server thì tin tặc có thể chiếm quyền các server khác cùng hệ thống và sẽ xảy ra những thiệt hại nghiêm trọng nếu đó là những server phụ trách giao dịch nghiệp vụ của ngân hàng.Ngay sau khi phát hiện các lỗ hổng trên web, BKIS đã gửi công văn cảnh báo và hướng dẫn khắc phục tới tám ngân hàng nói trên.
- Ai cấp giấy phép cho BKIS làm công việc này?
- Việc tự ý kiểm tra của BKIS có trái pháp luật?
- Các ngân hàng đã bị kiểm tra có thể kiện BKIS đã cố tình xâm nhập vào hệ thống của họ?
- Ai sẽ chịu trách nhiệm nếu như hành động kiểm tra của BKIS gây tác hại cho hệ thống của các ngân hàng?
Comments
Trước lại có mấy ông VN lên báo khoe có bằng tầm phào CISSP (!?) Bó tay mấy ông toàn tự hào vớ vẩn mấy cái không đâu !!!
Nhưng xét về pháp lý thì đó là hành vi xâm phạm trái phép. Nếu có hậu quả gì xảy ra (cho dù người đó cố ý hay vô tình) thì đứng trước pháp luật cũng như nhau, đều đáng bị xử lý cả.
Việc BKIS tự ý thâm nhập vào các hệ thống ngân hàng, rồi viết bài đưa lên báo mình thấy không hay. Nếu thực sự BKIS muốn trợ giúp các ngân hàng trong vấn đề an ninh mạng thì nên thông báo trực tiếp với các ngân hàng đó để có được sự đồng ý và sự đề nghị giúp đỡ.
Có ít nhất 1 bài báo đã có nói đại ý: "Tại cuộc hội thảo bảo mật (hội nghị gặp gỡ thảo luận hack, đại loại vậy...), ngay cuối buổi 1 thành viên của HVA đã giao 1 phong bì chứa những thông tin nhạy cảm về lỗi bảo mật của ngân hàng XYZ cho người lãnh đạo ngân hàng này..."
So với cái này thì có gì khác: "Ngay sau khi phát hiện các lỗ hổng trên web, BKIS đã gửi công văn cảnh báo và hướng dẫn khắc phục tới tám ngân hàng nói trên."
Riêng về Thái, ngay bài viết trước đây "Vàng hay Bạc" , Thái cũng đã có nêu : "Sau khi nghe mấy nhân viên của công ty bảo mật đó thuyết trình thì tối về tôi đã Poke Around website của họ và phát hiện ra một số lỗi..." !!!
Thiết nghĩ Thái nên bớt thành kiến với tổ chức BKIS thì hơn (tôi là người không liên quan đến BKIS). Hoặc ít ra, trước khi đặt 4 câu hỏi như trên, Thái nên nhìn lại mình (và những người bạn của mình), có phải cũng có lúc như vậy không ?
Để có sự tôn trọng của người khác, trước hết phải tôn trọng họ và tôn trọng lời nói của chính mình.
vài góp ý,
Vậy có thể suy đoán rằng BKIS tự ý kiểm tra và cảnh báo (như một cách marketing chăng?). Tôi tự hỏi:
1. Ai cấp giấy phép cho BKIS làm công việc này?
2. Việc tự ý kiểm tra của BKIS có trái pháp luật?
3. Các ngân hàng đã bị kiểm tra có thể kiện BKIS đã cố tình xâm nhập vào hệ thống của họ?
4. Ai sẽ chịu trách nhiệm nếu như hành động kiểm tra của BKIS gây tác hại cho hệ thống của các ngân hàng?
Một lời khuyên dành cho bác Quảng: nếu muốn nhận được sự tôn trọng từ phía cộng đồng (ít nhất là tôi) thì đừng nên tiếp tục những hành động thiếu chuyên nghiệp như trên. Muốn quảng cáo và đánh bóng tên tuổi ư? Hãy nghiên cứu.
[/quote]
Trong cái bài ở link trên lại có:
[quote=thaidn]
Tôi bỏ dở cuộc họp giữa chừng. Buổi tối về nhà, tôi thử truy cập vào website của họ để xem như thế nào. Poke around một hồi tôi thấy họ xài dịch vụ share hosting với một vài lổ hổng nho nhỏ trong cái phần mềm CMS mà họ sử dụng. Ôi trời, vàng hay bạc nhái?
[/quote]
||
\/
Bài bữa nay "chỏi" bài bữa trước ^o^
Hãy cố gắng!
Nhưng mà trưóc khi chửi BKIS thì nên coi lại chứ cái vụ "kiểm tra bảo mật" rồi lên báo này HVA nhờ nó mà nổi tiếng mà. Ngay bản thân mrro cũng nổi tiếng với mấy bài viết tự sự "kiểm tra" lỗi khá lôi cuốn rồi ;)
Nói về chuyện tôi "poke around" website của công ti mà tôi đề cập trong bài viết "Vàng hay bạc nhái", sự thật là hành động của tôi chỉ dừng lại ở mức xem thông tin về hosting và các phần mềm được sử dụng trên website đó rồi kiểm tra BugTraq và CVE xem thêm thông tin về các lỗ hổng hiện có của các phần mềm này. Chấm hết. Tôi muốn kiểm chứng xem công ti đến chào hàng ở chỗ tôi làm có thật sự serious về security ngay trong chính hệ thống của họ, mà điều dễ thấy nhất là họ có cập nhật phần mềm mà họ sử dụng thường xuyên hay không. Tôi nghĩ đây cũng là một phần công việc của tôi, giúp cho sếp tôi một phần nào đó đánh giá về chất lượng của các partner.
Về những việc làm của tôi trước đây, tôi xin thừa nhận là mình đã có một quãng thời gian dài thực hiện những hành động kiểu như BKIS bây giờ. Tôi chưa bao giờ chối bỏ những việc làm sai, thiếu ý thức hay thiếu chuyên nghiệp mà tôi đã làm trước đây và tôi luôn cảm thấy xấu hổ vì những chuyện đó. Việc tự ý "kiểm tra" hệ thống của người khác là một hành động không thể chấp nhận được cả về nghiệp vụ lẫn đạo đức. Tôi hiểu điều đó và bản thân tôi luôn tự cố gắng hoàn thiện mình để tránh những sai lầm tương tự. Điều tôi ngạc nhiên là tại sao một cơ quan kiểu như BKIS lại lập lại những hành động mà một thằng như tôi cũng biết là sai và đã không còn làm từ hơn 3 năm nay?
Một vấn đề nữa là tôi cũng xin thông báo là blog này chẳng liên quan gì đến HVA và các thành viên ở đó cả, do đó xin các bạn đừng lôi chuyện của HVA vào những lời góp ý của mình.
Tôi quan niệm rằng, những lời góp ý chân thành dù đôi khi có hơi khó nghe nhưng nó vẫn đáng trân trọng hơn là những lời ngợi khen sáo rỗng. Bản thân tôi không hề có thành kiến với BKIS (và cả công ti trong bài Vàng hay bạc nhái), những gì tôi viết chỉ là góc nhìn của tôi về việc làm của họ, như là một cách góp ý mà thôi.
Xin chân thành cảm ơn đã lắng nghe,
-Thái
Cuộc kiểm tra này có thể do cơ quan nhà nước (như C15 chẳng hạn) ủy quyền cho BKIS? hoặc BKIS đã chủ động trao đổi (điện thoại/email) với lãnh đạo ngân hàng?... Nếu vậy thì hợp lệ chứ nhỉ ^^
(thường thì lãnh đạo ngân hàng sẽ không nói với người chịu trách nhiệm bảo mật như thaidn vì để khách quan, và vì BKIS cũng là đơn vị có tên tuổi)
Ngoài ra cũng có nhiều hình thức kiểm tra, nói chung là không chắc được BKIS đã dùng phương pháp gì nên chưa thể kết luận là BKIS vi phạm pháp luật.
Nói chung tôi cho rằng việc chỉ ra lỗi và cách hướng dẫn cho ban quản trị các ngân hàng là hành động thiện ý. Còn việc báo cáo số liệu 8/26 đó mang tính thống kê, và nhằm nâng cao ý thức bảo mật là chính. Qua báo chí thì dễ bị sao lạc thông tin (tùy người viết và người biên tập) nên có thể trở thành PR hay Marketing, chưa hẳn là bác Quảng hám danh kiểu Vi Khoa...
Dù sao đi nữa thời gian sẽ cho câu trả lời xác đáng nhất. Let's see.
Cuộc kiểm tra này có thể do cơ quan nhà nước (như C15 chẳng hạn) ủy quyền cho BKIS? hoặc BKIS đã chủ động trao đổi (điện thoại/email) với lãnh đạo ngân hàng?... Nếu vậy thì hợp lệ chứ nhỉ ^^
(thường thì lãnh đạo ngân hàng sẽ không nói với người chịu trách nhiệm bảo mật như thaidn vì để khách quan, và vì BKIS cũng là đơn vị có tên tuổi)
Ngoài ra cũng có nhiều hình thức kiểm tra, nói chung là không chắc được BKIS đã dùng phương pháp gì nên chưa thể kết luận là BKIS vi phạm pháp luật.
Nói chung tôi cho rằng việc chỉ ra lỗi và cách hướng dẫn cho ban quản trị các ngân hàng là hành động thiện ý. Còn việc báo cáo số liệu 8/26 đó mang tính thống kê, và nhằm nâng cao ý thức bảo mật là chính. Qua báo chí thì dễ bị sao lạc thông tin (tùy người viết và người biên tập) nên có thể trở thành PR hay Marketing, chưa hẳn là bác Quảng hám danh kiểu Vi Khoa...
Dù sao thời gian sẽ cho câu trả lời xác đáng nhất.
Website cũng thế, trưng lên trên mạng có nghĩa là mọi link của nó, ai cũng có quyền vào xem. Tôi nhắc lại là quyền xem.
Một đơn vị chuyên đi bắt tội phạm trên mạng như BKIS chắc chắn rành hơn ai hết về thế nào là "xâm nhập trái phép". Bạn càng nói càng thấy bạn non lắm.
PS: Tôi không chả thích gì BKIS, nhưng nghe bạn nói tôi đã thấy sự cay cú trong đấy rồi.
Cũng đúng là chỉ có Việt Nam mới có mấy ông tự hào vì cái bằng CEH với CISSP, hài thật!
Tôi thấy vài bác có vẻ chấp nhặt quá, câu "người đầu tiên có chứng chỉ CEH ở VN" vốn là phóng viên viết chứ không phải anh ta tự nói, sao lại kết luận là anh ta "tự hào" ?
Khoan bàn về chuyên môn hoặc đạo đức nghề nghiệp của người viết báo, tôi nghĩ việc có được chứng chỉ CEH sớm như vậy cũng nói lên được vài điều nhất định, ít nhất khi đó NHG cũng hơn được khá nhiều bạn đang cho rằng anh ta "show off" hay "tự hào vớ vẩn" ;)
Đúng là nhà báo VN, và độc giả VN !
btw, FYI cả 2 người NHG và người bạn hùn vốn lập công ty XFrog đều từng là thành viên của ban quản trị HVA...
Dung la Viet Nam la xu mu, co may thang chot lam vua. Botay.com
Về chuyện bằng cấp, một số bạn anonymous nói cũng có phần đúng. Đối với người ngoài, bằng CEH và CISSP là nghê rồi, nhưng với những người trong giới thì nó chẳng nói lên điều gì. Tôi có may mắn được quen một người khá nổi tiếng trong giới ở nước ngoài (không phải người VN - tôi quen anh này cũng tình cờ nhân một lần submit code cho một cái tool khá nổi tiếng của anh ta). Có dịp trò chuyện (tất nhiên là qua email) về các certificate, anh ta nói nguyên văn thế này "I have seen many stupid guys having CEH or CISSP, so I don't give them a sh!t". Xin lỗi vì đã trích nguyên văn, nhưng điều đó nói lên rằng bằng cấp cũng chỉ là cần câu cơm mà thôi, chứ cũng không có ý nghĩa gì nhiều.
Nhân một dịp khác thăm dò ý kiến của anh ta về trình độ IT Việt Nam, anh ta nói chưa từng nghe tới HVA hay bất kỳ một nhóm hacking nào của VN. Số người VN trong giới anh ta biết cũng chỉ đếm trong vài ngón tay, và không có ai trong đó là thành viên HVA hết. Điều đó nói lên rằng HVA hay những tổ chức khác chỉ nổi trong biên giới VN, và không hề có chút ảnh hưởng nào tới thế giới . Tôi cũng hơi chạnh lòng, nhưng đó là sự thật. Ngay cả các thành viên trong ban quản trị HVA, những người tôi biết rất rõ, cũng hầu hết chỉ có kiến thức, kỹ năng ở mức độ trung bình tới khá mà thôi. Nhìn lại những tiêu chí đánh giá trình độ một hacker, quan trọng nhất là khả năng sáng tạo về kỹ thuật thì ở HVA hầu như không có một ai (hoặc có nhưng những người đó không lộ mặt, nên tôi không biết?). Vì thế thành thực mà nói tuy tôi thấy rất hữu ích khi tham gia HVA, nhưng tự hào thì hoàn toàn không (mặc dù tôi là một người trong ban quản trị HVA)
Rất mong HVA tiếp tục phát triển hơn nữa, tiến những bước tiến mạnh hơn nữa trong tương lai để anh em ta có thể thấy VN xuất hiện rực rỡ trên bản đồ CNTT thế giới. Thế hệ chúng tôi hiện nay coi như đã done rồi, khó mà hy vọng sánh vai cùng bạn bè năm châu. Tôi rất hy vọng vào thế hệ kế tiếp, những người được đào tạo bài bản hơn, có background tốt hơn sẽ đạt được điều này.
Thân.
H
+ bác quảng scan là không sai, hiện trên thế giới người ta scan nhằm mục đích cảnh báo đầy
+ chuyện nếu là quản trị bác phải chủ động xem coi của bác có vấn đề hay không, nếu có cũng nên học hỏi anh em một chút về vá nó , chứ chửi bác quảng là sai.
+ bác quảng để lại vết ư, theo tớ hù thôi, chả dại gì ngu vậy, như nếu bạn nhận được mail của bác ấy bạn cũng nên quan tâm báo xếp đển xin tiền (mua bán là it có ăn rồi heheheh)
.... còn mấy cái nữa, tui ko nhớ lắm..
Tui thấy bác $$$ nói cung đúng đó
Ngay cả trong giới hacker hàng đầu thế giới , người giỏi hack Unix thì shit trong tìm lỗi của Windows, người giỏi hack IE thì chẵng biết gì về hack network v.v. Ai dám vỗ ngực tự xưng mình là giỏi nhất??? Những người mà tôi thấy giỏi thật là những người chuyên về mật mã học (ít ra về mặt toán học cũng quá giỏi). Cái giỏi trong giới bảo mật cũng mơ hồ lắm.
phải công nhận 1 điều là VN mình chưa chú trọng nhiều lắm đến bảo mật. :( điều này làm mấy chú doanh nghiệp, nhà nước chết nhu rạ...