Chống tấn công mạng: Trong nhà khó bảo nhau
Trong vụ tấn công DDoS vào các báo điện tử vừa qua, các ISP đã không đồng loạt chặn IP theo đề nghị của cơ quan quản lý
Trong vụ tấn công từ chối dịch vụ (DDoS) các báo điện tử vừa qua, các các nhà cung cấp dịch vụ Internet (ISP) đã không thực hiện đồng loạt chặn IP theo đề nghị của cơ quan quản lý.
Thông tin đáng chú ý trên được ông Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho biết tại cuộc họp giao ban quản lý nhà nước tháng 7/2013 của Bộ Thông tin và Truyền thông, ngày 5/8.
Theo ông Khánh, khi phát hiện một số cuộc tấn công DDoS vào các báo điện tử như Tuổi Trẻ, Dân Trí, Vietnamnet,… kéo dài từ cuối tháng 6 đến gần hết tháng 7/2013, VNCERT đã gửi công văn đề nghị các ISP cùng đồng loạt chặn IP của các mạng lưới phát tán mã độc để chống tái tấn công, thế nhưng các ISP Việt Nam không thực hiện đồng loạt.
Không những thế, ông Khánh cho biết, thậm chí có ISP không làm việc vào cuối tuần và đến thứ Hai mới triển khai chặn IP.
Ngoài ra, cũng trong vụ tấn công DDoS kể trên còn một bất cập nữa là, khi phát hiện tấn công DDoS, VNCERT đã chủ động liên lạc với các báo, tuy nhiên, hầu hết các báo trong đợt tấn công đầu tiên lại không thừa nhận bị tấn công mà cho rằng lưu lượng hơi tăng lên, hơi bất thường một chút, có thể tự khắc phục.
Theo ông Khánh, do không có sự hợp tác chặt chẽ từ các đơn vị bị tấn công nên VNCERT không có điều kiện để sớm lấy được các mẫu mã độc.
Mãi đến tuần thứ hai sau khi bị tấn công, khi báo Tuổi Trẻ chính thức mời VNCERT vào cuộc, VNCERT mới có điều kiện lấy được mẫu để sớm phân tích các hành vi tiếp theo mà tin tặc chuẩn bị cho các đợt tấn công sau đó và cố gắng ngăn chặn trước.
Sau đó, Bộ Thông tin và Truyền thông cũng đã phối hợp chặt với cơ quan của Bộ Công an để theo dõi phân tích các hoạt động tấn công, phối hợp các doanh nghiệp về chống mã độc, cập nhật nhanh các mẫu mới cho doanh nghiệp đưa vào sản phẩm chống mã độc để giảm số lượng máy tính lây mã độc.
Liên quan đến các vụ tấn công DDoS, ông Khánh cho biết, kẻ chủ trì tấn công đã huy động máy chủ các nước khác nhau để tạo các mạng lưới botnet tấn công từ nước khác vào Việt Nam. Sau đợt tấn công đầu tiên, tin tặc đã liên tục chuyển từ Đức qua Hà Lan rồi Ucraina để thực hiện 3 đợt tấn công còn lại, thậm chí còn dự trữ cả tên miền để sử dụng cho các cuộc tấn công.
Tuy nhiên, khi VNCERT phối hợp với một số CERT (trung tâm ứng cứu máy tính - PV) nước ngoài như Đức, Hà Lan để bóc gỡ máy chủ thực hiện tấn công thì khá thuận lợi. Còn phối hợp với các đơn vị trong nước để ngăn chặn thì lại gặp những bất cập như trên.
Ông Khánh cho biết, VNCERT tiếp tục yêu cầu các cơ quan, tổ chức, đơn vị trong nước chú trọng hơn về phòng chống mã độc, hoạt động phản ứng của các hệ thống cần đi trước một bước để giảm thiệu hậu quả có thể xảy ra.
Hiện VNCERT đang có báo cáo đề nghị Bộ ban hành văn bản yêu cầu các đơn vị liên quan phải báo cáo, phối hợp cung cấp thông tin cho VNCERT và phải thực hiện các lệnh điều phối của VNCERT khi có sự cố khẩn cấp xảy ra.
“Cần có chế tài cao hơn để việc thực thi các cuộc tấn công DDoS nói riêng và các sự cố mạng máy tính nói chung đạt hiệu quả cao hơn”, ông Khánh nói.