Một loạt báo điện tử lớn khó truy cập vì bị tấn công DDoS: Cần xây dựng trung tâm phòng chống tầm quốc gia

 thời gian gần đây một loạt các báo điện tử lớn ở Việt Nam bị hacker tấn công khước từ dịch vụ (DDoS), khiến người đọc không thể truy cập và máy chủ có nguy cơ “bị sập”. Phóng viên Báo SGGP đã có cuộc bàn thảo với ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng Bkav để tìm hiểu hiện tượng này. 

Ông Nguyễn Minh Đức - PV:   Ông đánh giá thế nào về một loạt báo điện tử bị tấn công DDoS trong thời gian gần đây? So với vụ báo điện tử Vietnamnet bị tấn công DDoS hơn 1 tháng liền năm 2011 thì như thế nào?   >> Ông NGUYỄN MINH ĐỨC:  giờ Bkav vẫn đang theo dõi và thấy rằng so với tuần trước thì cường độ cũng như quy mô các đợt tấn công đã giảm đi rõ rệt. Tuy nhiên, cần phải có thông tin hoặc sự cộng tác từ những những đơn vị bị tấn công chúng tôi mới có thể kết luận chuẩn xác được. Theo tôi được biết, những tờ báo điện tử bị tấn công DDoS vừa qua đều chưa công bố chính thức các con số liên can cũng như mời cơ quan chức năng cộng tác điều tra. thành thử, chưa có số liệu cụ thể để so sánh. Tuy nhiên qua theo dõi của Bkav, số lượng máy tính được huy động và quy mô tấn công DDoS đợt vừa rồi tương đương như vụ tiến công Vietnamnet năm 2011. Nhưng do việc tiến công phân tán nhiều hướng khác nhau, nên không có tờ báo điện tử nào bị thiệt hại lớn như Vietnamnet năm đó.  - Làm sao để có thể nhận biết một cuộc tiến công DDoS đang hướng vào một trang mạng nào đó, thưa ông?  Đặc điểm dễ thấy nhất của tiến công DDoS là chẳng thể truy cập vào website trong một khoảng thời kì nhất thiết mà không rõ căn do. Tuy nhiên, để vững chắc, người quản trị của website có thể thẩm tra trên hệ thống log của máy chủ, tường lửa... nhằm phát hiện các dấu hiệu thất thường. Qua đó, chúng ta mới có thể khẳng định vững chắc website của mình có bị tiến công DDoS hay không, tiến công với quy mô như thế nào, cách thức ra sao... DDoS là kiểu tiến công làm “ngập lụt” băng thông, tạo ra các kết nối ảo từ hệ thống máy tính đã bị nhiễm virus được điều khiển từ xa (mạng bootnet) khiến website bị “sập” chẳng thể truy cập được. Trong trường hợp này, đơn vị bị tiến công cần liên quan với các doanh nghiệp cung cấp dịch vụ Internet để tăng băng thông.  - Theo ông, những trang mạng nào dễ bị tiến công nhất?  DDoS là một kiểu tiến công mạng đã có từ lâu, nhưng rất khó để ứng phó. Theo thống kê của Bkav, ở Việt Nam mỗi tuần có 1-2 cuộc tiến công DDoS và thường nhắm vào các website có nhiều người truy cập, như báo điện tử, trang thương nghiệp điện tử, các website chính phủ. Tuy nhiên, không phải người quản trị website, hệ thống nào cũng phát hiện ra trang web của mình đang bị tiến công DDoS. Trên thực tiễn, bất cứ trang mạng nào cũng có thể bị tiến công DDoS, vấn đề là quy mô cuộc tiến công đó như thế nào sẽ dẫn đến hậu quả ứng. Một trong số những căn do khiến máy tính ở Việt Nam dễ trở nên các máy tính “ma” của mạng bootnet là do lề thói không cài phần mềm diệt virus trên máy tính, nhất là ở các máy tính công cộng và việc tải những phần mềm vận dụng từ những website không đáng tin tưởng.#.  - Có cách nào để gian được các cuộc tiến công DDoS không, thưa ông?  Việc gian phải phụ thuộc vào quy mô, cường độ của cuộc tiến công cũng như hạ tầng của đơn vị đang bị tiến công. vì chưng, thực chất của tiến công DDoS là hacker sẽ huy động càng nhiều máy tính tham dự càng tốt để cùng truy cập vào một website. Nếu hạ tầng đơn vị bị tiến công yếu do ít được đầu tư thì khả năng chống đỡ sẽ kém hơn những hạ tầng mạnh và được đầu tư tốt. Do đó, chúng ta phải tăng cường thêm số lượng cũng như cấu hình máy chủ để giúp thăng bằng tải, mở thêm băng thông, nhờ đó việc truy cập các website sẽ nhanh hơn khi bị tiến công DDoS. Các thiết bị khác như tường lửa đóng vai trò quan yếu trong việc xử lý tiến công DDoS vì nó sẽ giúp phân biệt được nguồn tiến công và những truy cập thường ngày nhằm giảm thiểu hậu quả các cuộc tiến công DDoS. Tuy nhiên đó là việc gian “thụ động”. Chúng ta phải có các biện pháp chủ động gian DDoS ưng chuẩn sự kết hợp với các cơ quan điều phối như tại Việt Nam là trọng tâm tiếp ứng nguy cấp máy tính Việt Nam (VNCERT) hay các nhà cung cấp dịch vụ Internet, an ninh mạng để tìm ra được nguồn cội của mạng bootnet. ưng chuẩn đó, sẽ tìm được các máy chủ điều khiển ra lệnh tiến công. Tiếp đó, các đơn vị liên hệ sẽ chặn được địa chỉ IP của các máy chủ này, khống chế khiến mạng bootnet không cho tiếp chuyện kết nối, nhận lệnh tiến công được. Bên cạnh đó, các nhà cung cấp phần mềm diệt virus sẽ cập nhật các mẫu virus nhận mặt xuống các máy tính và xoá sổ được mạng bootnet. Cách này tuy hiệu quả nhưng mất nhiều thời kì thực hành.  - Như vậy, xét về thực chất các vụ tiến công DDoS đều chẳng thể ngăn chặn triệt để được và chúng ta chỉ có thể gian và hạn chế thiệt hại thôi, thưa ông?  căn bản là như vậy. Việc gian mang tính “thụ động” cũng rất khó bởi liên hệ tới sự đầu tư hạ tầng. Không phải đơn vị nào cũng có điều kiện đầu tư hạ tầng phục vụ 1.000 khách hàng, nhưng sẵn sàng đủ mạnh để tranh đấu vài cuộc tiến công DDoS mỗi năm với quy mô tương đương “phục vụ” 100.000 hoặc hàng triệu khách hàng một lúc. Đó là một sự vung phí rất lớn mà chẳng thể kết thúc được các cuộc tiến công kiểu này. Theo tôi, các cơ quan chức năng nên nghiên cứu đầu tư xây dựng một trọng tâm gian DDoS mang tính nhà nước đủ mạnh về cả băng thông, tường lửa, hạ tầng, máy chủ... Khi có các cuộc công DDoS diễn ra, trọng tâm này sẽ mở băng thông, hạ tầng để xử lý vụ việc trên quy mô rộng, giảm thiểu những rủi ro và thiệt hại. Một trọng tâm như vậy, nếu khi có chiến tranh mạng diễn ra cũng sẽ xử lý được các cảnh huống cấp thiết rất hiệu quả.  Giám đốc Bộ phận An ninh mạng Bkav Nguyễn Minh Đức  "Chúng ta cần phải chủ động hơn trong sự hiệp tác giữa các cơ quan chức năng, như: VNCERT, các nhà cung cấp Internet, cơ quan quản lý tên miền, công ty an ninh mạng, đơn vị bị tiến công... Bởi chỉ khi có sự kết hợp, kết liên chặt đẹp giữa những cơ quan này thì mới có thể hiệp tác, xử lý hiệu quả những cuộc tiến công DDoS nói riêng và tiến công mạng nói chung"  TRẦN LƯU   (thực hành)