Nhiều website ngân hàng bị “hổng”

BKIS đã phát hiện thấy tám trong số 26 website ngân hàng chứa nhiều lỗ hổng nghiêm trọng:
Theo BKIS, những lỗ hổng này sẽ giúp các tin tặc lấy được toàn bộ nội dung của cơ sở dữ liệu, thay đổi, xóa nội dung website và gây ảnh hưởng tới khách hàng và uy tín của ngân hàng.

Đặc biệt nguy hiểm, nếu tin tặc kiểm soát được một server thì tin tặc có thể chiếm quyền các server khác cùng hệ thống và sẽ xảy ra những thiệt hại nghiêm trọng nếu đó là những server phụ trách giao dịch nghiệp vụ của ngân hàng.

Ngay sau khi phát hiện các lỗ hổng trên web, BKIS đã gửi công văn cảnh báo và hướng dẫn khắc phục tới tám ngân hàng nói trên.

Tôi đang làm việc ở một ngân hàng, và biết chắc rằng ngân hàng của tôi (cũng như những ngân hàng khác mà tôi biết) đều không thuê BKIS kiểm tra hệ thống của mình. Vậy có thể suy đoán rằng BKIS tự ý kiểm tra và cảnh báo (như một cách marketing chăng?). Tôi tự hỏi:
  1. Ai cấp giấy phép cho BKIS làm công việc này?
  2. Việc tự ý kiểm tra của BKIS có trái pháp luật?
  3. Các ngân hàng đã bị kiểm tra có thể kiện BKIS đã cố tình xâm nhập vào hệ thống của họ?
  4. Ai sẽ chịu trách nhiệm nếu như hành động kiểm tra của BKIS gây tác hại cho hệ thống của các ngân hàng?
Một lời khuyên dành cho bác Quảng: nếu muốn nhận được sự tôn trọng từ phía cộng đồng (ít nhất là tôi) thì đừng nên tiếp tục những hành động thiếu chuyên nghiệp như trên. Muốn quảng cáo và đánh bóng tên tuổi ư? Hãy nghiên cứu.

Comments

Anonymous said…
Theo mình thì bạn có thể kiện , nhưng phải có đủ chứng cứ về việc BKIS đã xâm nhập hệ thống của ngân hàng bạn , nhưng với hiểu biết về hacking của BKIS, theo mình khó có việc BKIS để lại dấu vết ....
Anonymous said…
Khong thieu gi cach kiem tra mot web application tu ben ngoai ma khong phai "xam nhap" vao no. Viec phat hien nay phai duoc xem la co gia tri tich cuc chu khong phai co hai cho hoat dong ngan hang.
Anonymous said…
Bài báo của Thanh Niên có nói ai đó là người có bằng Certified Ethical Hacker đầu tiên? Mình không hiểu lấy được bằng CEH thì có gì mà phải nêu ra nhỉ? Đó là 1 cái bằng cho những người làm nghề, thi là được chứ có chi khó?

Trước lại có mấy ông VN lên báo khoe có bằng tầm phào CISSP (!?) Bó tay mấy ông toàn tự hào vớ vẩn mấy cái không đâu !!!
Anonymous said…
Theo mình, về mặt tình, việc tự ý xâm nhập vào hệ thống của người khác để tìm hiểu với mục đích giúp đỡ người chủ website bảo mật không phải là tội.

Nhưng xét về pháp lý thì đó là hành vi xâm phạm trái phép. Nếu có hậu quả gì xảy ra (cho dù người đó cố ý hay vô tình) thì đứng trước pháp luật cũng như nhau, đều đáng bị xử lý cả.

Việc BKIS tự ý thâm nhập vào các hệ thống ngân hàng, rồi viết bài đưa lên báo mình thấy không hay. Nếu thực sự BKIS muốn trợ giúp các ngân hàng trong vấn đề an ninh mạng thì nên thông báo trực tiếp với các ngân hàng đó để có được sự đồng ý và sự đề nghị giúp đỡ.
Anonymous said…
Toi khong hieu cac ban co hieu ro BKIS da lam nhu the nao de kiem tra loi cua website ngan hang khong nhi?? Nguoi ta van co cach kiem tra tu phia ben ngoai ma khong phai "xam nhap" vao ma? BKIS cung biet thua "xam nhap" la bat hop phap roi!
Anonymous said…
Day la 1 paper noi ve test web application vulnerabilities bang phuong phap black-box testing. http://www2003.org/cdrom/papers/refereed/p081/FINAL_WAVES_WWW2003.htm
Anonymous said…
Theo tôi biết thì trước đây nhiều thành viên của HVA cũng "Tự ý kiểm tra" các lỗi của các website (có cả ngân hàng), và hiện nay vẫn thế ;-)

Có ít nhất 1 bài báo đã có nói đại ý: "Tại cuộc hội thảo bảo mật (hội nghị gặp gỡ thảo luận hack, đại loại vậy...), ngay cuối buổi 1 thành viên của HVA đã giao 1 phong bì chứa những thông tin nhạy cảm về lỗi bảo mật của ngân hàng XYZ cho người lãnh đạo ngân hàng này..."

So với cái này thì có gì khác: "Ngay sau khi phát hiện các lỗ hổng trên web, BKIS đã gửi công văn cảnh báo và hướng dẫn khắc phục tới tám ngân hàng nói trên."


Riêng về Thái, ngay bài viết trước đây "Vàng hay Bạc" , Thái cũng đã có nêu : "Sau khi nghe mấy nhân viên của công ty bảo mật đó thuyết trình thì tối về tôi đã Poke Around website của họ và phát hiện ra một số lỗi..." !!!


Thiết nghĩ Thái nên bớt thành kiến với tổ chức BKIS thì hơn (tôi là người không liên quan đến BKIS). Hoặc ít ra, trước khi đặt 4 câu hỏi như trên, Thái nên nhìn lại mình (và những người bạn của mình), có phải cũng có lúc như vậy không ?


Để có sự tôn trọng của người khác, trước hết phải tôn trọng họ và tôn trọng lời nói của chính mình.

vài góp ý,
Anonymous said…
[quote=thaidn]
Vậy có thể suy đoán rằng BKIS tự ý kiểm tra và cảnh báo (như một cách marketing chăng?). Tôi tự hỏi:

1. Ai cấp giấy phép cho BKIS làm công việc này?
2. Việc tự ý kiểm tra của BKIS có trái pháp luật?
3. Các ngân hàng đã bị kiểm tra có thể kiện BKIS đã cố tình xâm nhập vào hệ thống của họ?
4. Ai sẽ chịu trách nhiệm nếu như hành động kiểm tra của BKIS gây tác hại cho hệ thống của các ngân hàng?

Một lời khuyên dành cho bác Quảng: nếu muốn nhận được sự tôn trọng từ phía cộng đồng (ít nhất là tôi) thì đừng nên tiếp tục những hành động thiếu chuyên nghiệp như trên. Muốn quảng cáo và đánh bóng tên tuổi ư? Hãy nghiên cứu.
[/quote]

Trong cái bài ở link trên lại có:

[quote=thaidn]
Tôi bỏ dở cuộc họp giữa chừng. Buổi tối về nhà, tôi thử truy cập vào website của họ để xem như thế nào. Poke around một hồi tôi thấy họ xài dịch vụ share hosting với một vài lổ hổng nho nhỏ trong cái phần mềm CMS mà họ sử dụng. Ôi trời, vàng hay bạc nhái?
[/quote]

||
\/

Bài bữa nay "chỏi" bài bữa trước ^o^
Anonymous said…
Chàng trai trẻ này nhiều nhiệt huyết nhưng vẫn hơi thiếu kinh nghiệm.

Hãy cố gắng!
Anonymous said…
Nếu BKIS kiểm tra mà không có sự cho phép của ngân hàng thì rõ ràng là sai rồi.

Nhưng mà trưóc khi chửi BKIS thì nên coi lại chứ cái vụ "kiểm tra bảo mật" rồi lên báo này HVA nhờ nó mà nổi tiếng mà. Ngay bản thân mrro cũng nổi tiếng với mấy bài viết tự sự "kiểm tra" lỗi khá lôi cuốn rồi ;)
Thai Duong said…
Trước hết xin chân thành cảm ơn những lời góp ý của các bạn (cho tôi được phép gọi như thế cho nó...thân mật :p).

Nói về chuyện tôi "poke around" website của công ti mà tôi đề cập trong bài viết "Vàng hay bạc nhái", sự thật là hành động của tôi chỉ dừng lại ở mức xem thông tin về hosting và các phần mềm được sử dụng trên website đó rồi kiểm tra BugTraq và CVE xem thêm thông tin về các lỗ hổng hiện có của các phần mềm này. Chấm hết. Tôi muốn kiểm chứng xem công ti đến chào hàng ở chỗ tôi làm có thật sự serious về security ngay trong chính hệ thống của họ, mà điều dễ thấy nhất là họ có cập nhật phần mềm mà họ sử dụng thường xuyên hay không. Tôi nghĩ đây cũng là một phần công việc của tôi, giúp cho sếp tôi một phần nào đó đánh giá về chất lượng của các partner.

Về những việc làm của tôi trước đây, tôi xin thừa nhận là mình đã có một quãng thời gian dài thực hiện những hành động kiểu như BKIS bây giờ. Tôi chưa bao giờ chối bỏ những việc làm sai, thiếu ý thức hay thiếu chuyên nghiệp mà tôi đã làm trước đây và tôi luôn cảm thấy xấu hổ vì những chuyện đó. Việc tự ý "kiểm tra" hệ thống của người khác là một hành động không thể chấp nhận được cả về nghiệp vụ lẫn đạo đức. Tôi hiểu điều đó và bản thân tôi luôn tự cố gắng hoàn thiện mình để tránh những sai lầm tương tự. Điều tôi ngạc nhiên là tại sao một cơ quan kiểu như BKIS lại lập lại những hành động mà một thằng như tôi cũng biết là sai và đã không còn làm từ hơn 3 năm nay?

Một vấn đề nữa là tôi cũng xin thông báo là blog này chẳng liên quan gì đến HVA và các thành viên ở đó cả, do đó xin các bạn đừng lôi chuyện của HVA vào những lời góp ý của mình.

Tôi quan niệm rằng, những lời góp ý chân thành dù đôi khi có hơi khó nghe nhưng nó vẫn đáng trân trọng hơn là những lời ngợi khen sáo rỗng. Bản thân tôi không hề có thành kiến với BKIS (và cả công ti trong bài Vàng hay bạc nhái), những gì tôi viết chỉ là góc nhìn của tôi về việc làm của họ, như là một cách góp ý mà thôi.

Xin chân thành cảm ơn đã lắng nghe,

-Thái
Anonymous said…
"TTO - Kết quả kiểm tra mức độ an ninh của các website tại Việt Nam do Trung tâm An ninh mạng BKIS (ĐH Bách khoa Hà Nội) tiến hành trong tháng 11 đã phát hiện thấy tám trong số 26 website ngân hàng... "

Cuộc kiểm tra này có thể do cơ quan nhà nước (như C15 chẳng hạn) ủy quyền cho BKIS? hoặc BKIS đã chủ động trao đổi (điện thoại/email) với lãnh đạo ngân hàng?... Nếu vậy thì hợp lệ chứ nhỉ ^^
(thường thì lãnh đạo ngân hàng sẽ không nói với người chịu trách nhiệm bảo mật như thaidn vì để khách quan, và vì BKIS cũng là đơn vị có tên tuổi)


Ngoài ra cũng có nhiều hình thức kiểm tra, nói chung là không chắc được BKIS đã dùng phương pháp gì nên chưa thể kết luận là BKIS vi phạm pháp luật.

Nói chung tôi cho rằng việc chỉ ra lỗi và cách hướng dẫn cho ban quản trị các ngân hàng là hành động thiện ý. Còn việc báo cáo số liệu 8/26 đó mang tính thống kê, và nhằm nâng cao ý thức bảo mật là chính. Qua báo chí thì dễ bị sao lạc thông tin (tùy người viết và người biên tập) nên có thể trở thành PR hay Marketing, chưa hẳn là bác Quảng hám danh kiểu Vi Khoa...

Dù sao đi nữa thời gian sẽ cho câu trả lời xác đáng nhất. Let's see.
Anonymous said…
"TTO - Kết quả kiểm tra mức độ an ninh của các website tại Việt Nam do Trung tâm An ninh mạng BKIS (ĐH Bách khoa Hà Nội) tiến hành trong tháng 11 đã phát hiện thấy tám trong số 26 website ngân hàng... "

Cuộc kiểm tra này có thể do cơ quan nhà nước (như C15 chẳng hạn) ủy quyền cho BKIS? hoặc BKIS đã chủ động trao đổi (điện thoại/email) với lãnh đạo ngân hàng?... Nếu vậy thì hợp lệ chứ nhỉ ^^
(thường thì lãnh đạo ngân hàng sẽ không nói với người chịu trách nhiệm bảo mật như thaidn vì để khách quan, và vì BKIS cũng là đơn vị có tên tuổi)


Ngoài ra cũng có nhiều hình thức kiểm tra, nói chung là không chắc được BKIS đã dùng phương pháp gì nên chưa thể kết luận là BKIS vi phạm pháp luật.

Nói chung tôi cho rằng việc chỉ ra lỗi và cách hướng dẫn cho ban quản trị các ngân hàng là hành động thiện ý. Còn việc báo cáo số liệu 8/26 đó mang tính thống kê, và nhằm nâng cao ý thức bảo mật là chính. Qua báo chí thì dễ bị sao lạc thông tin (tùy người viết và người biên tập) nên có thể trở thành PR hay Marketing, chưa hẳn là bác Quảng hám danh kiểu Vi Khoa...

Dù sao thời gian sẽ cho câu trả lời xác đáng nhất.
Anonymous said…
Bạn đi ngang qua nhà người ta, thấy cái xe máy đang dựng ở cổng đang cắm nguyên chìa khóa, bạn không hề bước chân vào nhà cũng nhìn thấy nhé, vì xe máy ở ngoài cổng, tức là phạm vi được đi lại của bạn.Bạn bấm chuông gọi chủ nhà ra và thông báo để chủ nhà đề phòng mất xe, phạm tội chăng ?

Website cũng thế, trưng lên trên mạng có nghĩa là mọi link của nó, ai cũng có quyền vào xem. Tôi nhắc lại là quyền xem.

Một đơn vị chuyên đi bắt tội phạm trên mạng như BKIS chắc chắn rành hơn ai hết về thế nào là "xâm nhập trái phép". Bạn càng nói càng thấy bạn non lắm.

PS: Tôi không chả thích gì BKIS, nhưng nghe bạn nói tôi đã thấy sự cay cú trong đấy rồi.
Anonymous said…
CEH hay CISSP đúng là mấy cái bằng nhảm, bên các nước phát triển làm nghề ai cũng có. Có mấy cái đó chỉ chứng tỏ là đã qua được cấp độ ABC mà thôi. Tính trên toàn thế giới số người có mấy cái bằng này chắc lên tới cả vài triệu, hic.

Cũng đúng là chỉ có Việt Nam mới có mấy ông tự hào vì cái bằng CEH với CISSP, hài thật!
Anonymous said…
Lỡ off-topic rồi, nói tí về vụ CEH của N.H.G luôn vậy.

Tôi thấy vài bác có vẻ chấp nhặt quá, câu "người đầu tiên có chứng chỉ CEH ở VN" vốn là phóng viên viết chứ không phải anh ta tự nói, sao lại kết luận là anh ta "tự hào" ?

Khoan bàn về chuyên môn hoặc đạo đức nghề nghiệp của người viết báo, tôi nghĩ việc có được chứng chỉ CEH sớm như vậy cũng nói lên được vài điều nhất định, ít nhất khi đó NHG cũng hơn được khá nhiều bạn đang cho rằng anh ta "show off" hay "tự hào vớ vẩn" ;)

Đúng là nhà báo VN, và độc giả VN !

btw, FYI cả 2 người NHG và người bạn hùn vốn lập công ty XFrog đều từng là thành viên của ban quản trị HVA...
Anonymous said…
May ong nay hay that, vao day ma tranh luan CEH voi ca CISSP. Co gioi thi ra ngoai ma tranh tai. May ong hacker VN toan chi gioi cai nhau va tinh tuong may cai certificate vo van. Ra ngoai bien gioi Viet Nam cha ai biet HVA cung nhu ban quan tri HVA, hay VNISS hay VHS la ai, ai cung vo danh tieu tot nhu ai het. Gap mat cac hacker the gioi thi biet ai gioi ai kem. Luc do co CEH voi CISSP thi cung xep lep nhu con gian, chan!

Dung la Viet Nam la xu mu, co may thang chot lam vua. Botay.com
Anonymous said…
Theo dung luat thi BKIS truoc khi test security cua bat cu mot he thong ben ngoai, deu phai co su thong bao den nguoi quan ly, va phai co su dong y, cung nhu nhung thoa thuan giua hai ben. Neu BKIS chua lam nhung dieu nay thi hanh dong cua BKIS la trai phap luat, PR cho minh.
Anonymous said…
Tôi là một member lâu năm, đã từng tham gia quản lý diễn đàn HVA. Hôm nay mới được biết blog này, rất vui được tranh luận cùng anh em nhân topic này.

Về chuyện bằng cấp, một số bạn anonymous nói cũng có phần đúng. Đối với người ngoài, bằng CEH và CISSP là nghê rồi, nhưng với những người trong giới thì nó chẳng nói lên điều gì. Tôi có may mắn được quen một người khá nổi tiếng trong giới ở nước ngoài (không phải người VN - tôi quen anh này cũng tình cờ nhân một lần submit code cho một cái tool khá nổi tiếng của anh ta). Có dịp trò chuyện (tất nhiên là qua email) về các certificate, anh ta nói nguyên văn thế này "I have seen many stupid guys having CEH or CISSP, so I don't give them a sh!t". Xin lỗi vì đã trích nguyên văn, nhưng điều đó nói lên rằng bằng cấp cũng chỉ là cần câu cơm mà thôi, chứ cũng không có ý nghĩa gì nhiều.

Nhân một dịp khác thăm dò ý kiến của anh ta về trình độ IT Việt Nam, anh ta nói chưa từng nghe tới HVA hay bất kỳ một nhóm hacking nào của VN. Số người VN trong giới anh ta biết cũng chỉ đếm trong vài ngón tay, và không có ai trong đó là thành viên HVA hết. Điều đó nói lên rằng HVA hay những tổ chức khác chỉ nổi trong biên giới VN, và không hề có chút ảnh hưởng nào tới thế giới . Tôi cũng hơi chạnh lòng, nhưng đó là sự thật. Ngay cả các thành viên trong ban quản trị HVA, những người tôi biết rất rõ, cũng hầu hết chỉ có kiến thức, kỹ năng ở mức độ trung bình tới khá mà thôi. Nhìn lại những tiêu chí đánh giá trình độ một hacker, quan trọng nhất là khả năng sáng tạo về kỹ thuật thì ở HVA hầu như không có một ai (hoặc có nhưng những người đó không lộ mặt, nên tôi không biết?). Vì thế thành thực mà nói tuy tôi thấy rất hữu ích khi tham gia HVA, nhưng tự hào thì hoàn toàn không (mặc dù tôi là một người trong ban quản trị HVA)

Rất mong HVA tiếp tục phát triển hơn nữa, tiến những bước tiến mạnh hơn nữa trong tương lai để anh em ta có thể thấy VN xuất hiện rực rỡ trên bản đồ CNTT thế giới. Thế hệ chúng tôi hiện nay coi như đã done rồi, khó mà hy vọng sánh vai cùng bạn bè năm châu. Tôi rất hy vọng vào thế hệ kế tiếp, những người được đào tạo bài bản hơn, có background tốt hơn sẽ đạt được điều này.

Thân.
H
Anonymous said…
NGan hang bi lo hong cua web app thoi ma, dau co sao dau, ma chua Ngan hang nao fix ca, HY van vao duoc binh thuong
Anonymous said…
Nhìn chung là cãi nhau nhìu quá hihi. Thôi đoàn kết vì một Cộng đồng VN ICT đi các bác.
Anonymous said…
chuyện này cũng bình thường thôi, khi mà đầu tư còn chưa đúng chư đủ, đâu những app lỗi mà cả db cũng lỗi, kể cả vấn đề đồng bộ dữ liệu cũng chưa an toàn.
+ bác quảng scan là không sai, hiện trên thế giới người ta scan nhằm mục đích cảnh báo đầy
+ chuyện nếu là quản trị bác phải chủ động xem coi của bác có vấn đề hay không, nếu có cũng nên học hỏi anh em một chút về vá nó , chứ chửi bác quảng là sai.
+ bác quảng để lại vết ư, theo tớ hù thôi, chả dại gì ngu vậy, như nếu bạn nhận được mail của bác ấy bạn cũng nên quan tâm báo xếp đển xin tiền (mua bán là it có ăn rồi heheheh)
Anonymous said…
hix có cái CEH với CISSP mà mấy bác lại cãi nhau. Mấy cái bằng này tui thấy đầy trên mạng đó chứ http://floweroflove.net/ceh.jpg
.... còn mấy cái nữa, tui ko nhớ lắm..

Tui thấy bác $$$ nói cung đúng đó
Ngay cả trong giới hacker hàng đầu thế giới , người giỏi hack Unix thì shit trong tìm lỗi của Windows, người giỏi hack IE thì chẵng biết gì về hack network v.v. Ai dám vỗ ngực tự xưng mình là giỏi nhất??? Những người mà tôi thấy giỏi thật là những người chuyên về mật mã học (ít ra về mặt toán học cũng quá giỏi). Cái giỏi trong giới bảo mật cũng mơ hồ lắm.

phải công nhận 1 điều là VN mình chưa chú trọng nhiều lắm đến bảo mật. :( điều này làm mấy chú doanh nghiệp, nhà nước chết nhu rạ...