Website - Mục tiêu của hacker

Trung tâm nghiên cứu phát triển an ninh X-Force của IBM vừa phát hành bản báo cáo tổng kết tình hình an ninh thông tin năm 2008. Theo bản báo cáo này, X-Force cảnh báo sự gia tăng đáng báo động việc hacker sử dụng các trang web thương mại chính thống làm bàn đạp để tấn công và lấy cắp các dữ liệu cá nhân, khách hàng của các công ty/tổ chức.

Bản báo cáo của X-Force cũng chỉ ra hai xu hướng chủ đạo giải thích tại sao mục tiêu của hacker trong năm 2008 là các website:

Thứ nhất, website đã trở thành "gót chân Asin" trong hệ thống an ninh mạng của các cơ quan/tổ chức. Hacker có xu hướng tập trung tấn công vào các ứng dụng Web, do chúng có khả năng gây ảnh hưởng tới các máy tính của người dùng cuối. Trong khi đó, các công ty lại hay sử dụng các ứng dụng đã được đóng gói - vốn thường được coi là khó cập nhật các bản vá lỗi, tệ hơn là lại chứa vô số điểm yếu không thể vá. Cuối năm 2008, hơn một nửa các điểm yếu được khám phá đều có liên quan đến ứng dụng web, và trong đó hơn 74% không được vá lỗi. Như vậy các điểm yếu bị tấn công SQL injection tự động nổi lên từ đầu năm 2008 vẫn không hề giảm. Đến cuối năm 2008, số lượng các tấn công đã cao gấp 30 lần số lượng tấn công được phát hiện trong mùa hè. Báo cáo này cũng cho thấy Trung Quốc qua mặt Mỹ trở thành quốc gia số có số lượng máy chủ chứa website độc hại lớn nhất vào đầu năm 2008.

Xu hướng thứ 2 mà IBM X-Force phát hiện là ngoài việc vẫn tiếp tục tập trung tấn công và sử dụng các điểm yếu trong trình duyệt, điểm yếu trong các trình điều khiển ActiveX để tấn công máy tính người dùng cuối, hacker còn đang tập trung vào khai thác các tấn công bằng các đoạn phim (như Flash) và tài liệu (như PDF) có chứa mã độc hại. Trong riêng quý IV năm 2008, IBM X-Force đã phát hiện số lượng các URLs độc hại tăng hơn 50% so với cả năm 2007. Thậm chí những kẻ phát tán thư rác chuyển hướng, nhắm tới các trang web được biết đến nhiều để mở rộng phạm vi hoạt động. Kỹ thuật lưu các thư rác trên các blog phổ biến và các websites liên quan đến tin tức đã tăng gấp đôi trong nửa cuối năm 2008.

Một phần quan trọng trong báo cáo của X- Force là có một số điểm yếu an ninh nghiêm trọng được phát hiện trong năm 2008 lại không có các bản khai thác lỗi rộng rãi. X-Force tin rằng ngành công nghiệp an toàn thông tin nên ưu tiên việc phân loại và có kế hoạch đáp trả khi các điểm yếu này được phát hiện. Hiện tại việc phân loại điểm yếu đã được thực hiện thông qua hệ thống tiêu chuẩn Common Vulnerability Scoring System (CVSS). Tuy nhiên tiêu chuẩn này chỉ tập trung vào khía cạnh kỹ thuật quan trọng của các điểm yếu an ninh như tính nghiêm trọng và khả năng điểm yếu bị khai thác, mà bỏ qua động cơ chính thúc đẩy tội phạm máy tính là cơ hội kinh tế. Các nhà phân phối sản phẩm an ninh, cũng như chính khách hàng cần được biết làm thế nào hacker cân bằng giữa cơ hội kiếm tiền từ một điểm yếu an ninh và cái giá phải trả để thực hiện việc khai thác và lợi dụng được điểm yếu này. Khi đó họ sẽ xác định được trách nhiệm của mình: có cần phát hành/cài đặt các bản vá khẩn cấp hay không, việc bùng phát các khai thác nhằm vào điểm yếu đó có mất thời gian hay không, hay là hacker sẽ không tập trung khai thác điểm yếu đó.

Báo cáo mới của X-Force IBM cũng thể hiện năm 2008 là năm bận rộn nhất trong việc khám phá ra các điểm yếu bảo mật, tăng 13.5% so với năm 2007. Tuy nhiên, đến hết năm 2008, 53% các điểm yếu tìm ra trong năm không được các nhà cung cấp dịch vụ vá lại. Hơn nữa 46% các điểm yếu từ năm 2006 và 44% từ năm 2007 vẫn chưa có bản vá.

Đối với nhóm người dùng đặc biệt, hacker vẫn đang tận dụng Phisher (tấn công lừa đảo) để tiếp tục tấn công vào các hệ thống tài chính. Gần 90% các cuộc tấn công lừa đảo trong năm 2008 là nhằm vào các hệ thống tài chính, tập trung vào các đối tượng ở Bắc Mỹ. Trong khi đó, 46% các malware trong năm 2008 là Trojans nhằm vào người dùng của các trò chơi trực tuyến và ngân hàng trực tuyến. Theo dự đoán của X-Force, các nhóm người dùng đặc biệt trên vẫn sẽ là đối tượng bị tấn công trong năm 2009.