“Miếng mồi ngon” của hacker

E-mail | Bản in | Lưu xem sau

Trung tâm nghiên cứu phát triển an ninh X-Force của IBM vừa tổng kết tình hình an ninh thông tin năm 2008. Theo đó, X-Force cảnh báo sự gia tăng đáng báo động việc hacker sử dụng các trang web thương mại chính thống làm bàn đạp để tấn công và lấy cắp các dữ liệu cá nhân, khách hàng của các công ty/tổ chức.

Báo cáo của X-Force cho biết, Hacker có xu hướng tấn công vào các ứng dụng Web, do chúng có khả năng gây ảnh hưởng tới các máy tính của người dùng cuối. Trong khi đó, các công ty lại hay sử dụng các ứng dụng đã được đóng gói - vốn thường được coi là khó cập nhật các bản vá lỗi, tệ hơn là lại chứa vô số điểm yếu không thể vá. Ngoài ra, hacker còn tập trung khai thác các tấn công bằng các đoạn phim (như Flash) và tài liệu (như PDF) có chứa mã độc hại.

X-Force khuyên rằng ngành công nghiệp an toàn thông tin nên ưu tiên việc phân loại và có kế hoạch đáp trả khi các điểm yếu này được phát hiện. Hiện tại việc phân loại điểm yếu đã được thực hiện thông qua hệ thống tiêu chuẩn Common Vulnerability Scoring System (CVSS). Tuy nhiên tiêu chuẩn này chỉ tập trung vào khía cạnh kỹ thuật quan trọng của các điểm yếu an ninh như tính nghiêm trọng và khả năng điểm yếu bị khai thác, mà bỏ qua động cơ chính thúc đẩy tội phạm máy tính là cơ hội kinh tế. Các nhà phân phối sản phẩm an ninh, cũng như chính khách hàng cần được biết làm thế nào hacker cân bằng giữa cơ hội kiếm tiền từ một điểm yếu an ninh và cái giá phải trả để thực hiện việc khai thác và lợi dụng được điểm yếu này. Khi đó họ sẽ xác định được trách nhiệm của mình: có cần phát hành/cài đặt các bản vá khẩn cấp hay không, việc bùng phát các khai thác nhằm vào điểm yếu đó có mất thời gian hay không, hay là hacker sẽ không tập trung khai thác điểm yếu đó.

(Theo Vân Du - Diễn đàn doanh nghiệp )