Hacker có thể xâm nhập vào mạng VinaPhone? - Chợ thông tin điện thoại di động Việt Nam

bavico · #1 22-06-2012, 09:34 PM

“Tôi biết hacker có thể đột nhập được vào máy chủ Vinaphone và kiểm soát hệ thống tính cước thông tin di động của khách hàng” – Phùng Anh Tuấn, GĐ Trung tâm Tư vấn, Đào tạo và Dịch vụ chuyên nghiệp trong lĩnh vực an toàn thông tin mạng (VSEC) tiết lộ với tôi một thông tin giật mình.
Nếu đúng như lời Tuấn nói, quả thật không ai có thể chắc chắn rằng một ngày nào đó hoá đơn tính cước của mình không bị thay đổi so với dữ liệu gốc.
Phùng Anh Tuấn cho biết: Việc quản lý các dịch vụ, chẳng hạn giá cước, các cuộc đàm thoại… được quản lý bằng một máy chủ chạy bằng hệ điều hành Sun, Linux, Window. Việc giao tiếp của các quản trị server (máy chủ) đặt tại nội bộ chỉ cho phép hệ thống trong mạng nội bộ (mạng LAN) chứ không thông qua mạng Internet. Khi truy cập vào mạng này nhất thiết phải có mật khẩu (password).
Để dễ quản lý hoặc dễ configure (thiết đặt cấu hình), một số chuyên gia mạng ĐTDĐ configure từ xa tạo ra những kết nối cho mạng VPN hoặc dial-up (quay số) cho phép chuyên gia bên ngoài có thể truy nhập vào để quản trị hệ thống. Đây chính là con đường duy nhất giúp các hacker truy nhập được vào mạng.
Việc thực hiện các cuộc tấn công trên đòi hỏi hacker phải đầu tư rất nhiều thời gian để tìm ra được số dial-up. Sự chủ quan của những người quản lý mạng ĐTDĐ nằm ở chỗ họ không ngờ hacker lại tìm ra những đường kết nối riêng vốn được coi là tuyệt đối bí mật, chỉ những người trong nội bộ mới biết mà thôi.
Khi nối được, coi như là hacker đã vào được một mạng Internet nhỏ, có thể tiếp xúc được với máy chủ. Máy chủ này có những lỗi mặc định (default) ở hệ điều hành Sun, Linux hay Window, nhưng nhà cung cấp dịch vụ thông tin di động đã không bỏ đi khi cài đặt. Điều nguy hiểm là những lỗi này đã được công bố trên thế giới.
Với những lỗi này, chỉ cần một hacker trình độ trung bình khi tiếp xúc được vào “mạng Internet nhỏ” này có thể truy cập được vào hệ thống máy chủ với quyền admin, đồng nghĩa với việc khống chế toàn server.
Trong trường hợp hệ thống máy chủ có hệ thống an ninh mạnh, nhưng hệ thống phần mềm quản lý không tốt, bị những lỗi cơ bản, chằng hạn mạng Vinaphone lại dùng phần mềm Foxpro để quản lý cước cuộc gọi của thuê bao cũng là điều nguy hiểm. Phần mềm này có hệ thống đăng nhập, nhưng hacker có thể vượt qua hệ thống này rất dễ dàng. Họ có thể thông qua đó sửa đổi dữ liệu.
Ông Phan Hữu Châu - Trưởng phòng KH&CN Cty GPC, nhà cung cấp dịch vụ Vinaphone:
Tôi khẳng định mạng viễn thông hiện nay được bảo vệ an toàn tuyệt đối. Mạng viễn thông có 2 phần: phần kết nối cho khách hàng và phần điều hành. 2 phần này thiết kế hoàn toàn độc lập nhau và theo giao diện cực kỳ nghiêm ngặt theo tiêu chuẩn của Liên minh Viễn thông Thế giới (ITU), đảm bảo an toàn tuyệt đối. Việc hacker chui vào điều khiển hệ thống viễn thông là hoàn toàn không thể xảy ra.
Máy chủ (server) quản lý các dữ liệu, chẳng hạn số liệu khách hàng, tính cước không kết nối vào mạng Internet. Ngay cả mạng truyền số liệu cũng không kết nối Internet. Chỗ tôi cũng phải dùng đến 2 máy tính, 1 máy kết nối Internet dùng cho những công việc liên quan đến giao dịch và 1 máy sử dụng truyền số liệu.
Cụ thể việc xâm nhập vào hệ thống máy chủ của Vinaphone đã được hacker thực hiện như thế nào, thưa anh?
Để đăng nhập vào hệ thống của Vinaphone, rất ít hacker có thể thực hiện được việc này bởi không thể có đủ kiên nhẫn. Việc tấn công không thể đơn thuần thực hiện như trên Internet.
Để “hack” được, hacker đã phải điều tra kỹ càng về những người quản lý hệ thống máy chủ ngoài những vấn đề kỹ thuật. Chẳng hạn việc quản lý hệ thống máy chủ Vinaphone phải được dial-up thông qua 1 số ĐTDĐ. Sau khi kết nối phải có password. Chế độ của Vinaphone đặt ra chế độ đăng nhập cực kỳ chặt chẽ. Trong khoảng thời gian rất ngắn hệ thống tự thay đổi. Chỉ có những người quản lý chương trình đổi này mới biết password tại 1 thời điểm là gì.
Tuy nhiên, trên thế giới, đã có một số hệ thống phần mềm thay đổi password được công bố, tuy không rộng rãi. Tiếc rằng Vinaphone đã quá tin tưởng vào hệ thống này mà không để ý đến hệ thống quản lý bên trong rất lỏng lẻo. Hacker có thể kiểm soát được hệ thống quản lý giá cước.
Đối với mạng MobiFone, vấn đề là làm sao đăng nhập được vào hệ thống thông qua mạng VPN. Họ có sơ suất chết người trên là bên trong hệ thống máy chủ lại không có firewall (tường lửa).
Còn đối với hệ thống tin nhắn SMS thì sao?
Ngay cả hệ thống nhắn tin SMS cũng có những sơ hở rất lớn. Người sử dụng có thể dùng hệ thống máy chủ SMS của nước ngoài để gửi tin nhắn về Việt Nam. Máy chủ rất đơn giản, chỉ cần có SMS gateway là có thể gửi được tin nhắn về thuê bao trong nước. Khi gửi tin nhắn, người gửi có thể giả dạng số máy ĐTDĐ hoặc giả dạng tên.
Chẳng hạn, tôi có thể gửi cho anh 1 tin nhắn với số máy người gửi là 145. Anh không có nghi ngờ gì vì cứ nghĩ rằng đó là tin nhắn từ tổng đài của MobiFone. Hoặc tôi có thể giả số máy của bạn anh gửi cho anh tin nhắn giả từ nước và chắc chắn anh không nghi ngờ gì cả. Tôi cũng có thể tự đặt tên mà không cần đặt số. Điều này sẽ dẫn đến việc thuê bao tin vào những tin nhắn thất thiệt.
Anh có thể đưa ra cảnh báo gì đối với vấn đề an ninh cho hệ thống ĐTDĐ Việt Nam?
Hiện các hệ thống mạng ĐTDĐ chưa chú trọng nhiều đến hệ thống bảo mật. Một thời gian nữa, khi hacker đã tiếp xúc nhiều với kỹ thuật viễn thông quốc tế, họ hoàn toàn có thể khống chế hệ thống ĐTDĐ Việt Nam. Ngay cả việc MobiFone sử dụng website để quản lý tài khoản của người dùng cũng sẽ gây ra rất nhiều mối nguy hiểm.
Hầu hết các nhà cung cấp không có đội ngũ riêng phụ trách về an ninh mạng mà chỉ có đội ngũ kỹ thuật đồng thời làm công việc về an ninh. Các nhà cung cấp cần xây dựng một đội ngũ chuyên nghiên cứu và bảo vệ hệ thống mới có thể đối phó với loại tội phạm ngày càng tinh vi.
Xin cảm ơn anh.
(NLD)