Diễn đàn Secure Enterprise 2.0 Forum (SE2F) mới đây đã công bố bản báo cáo 2009 của mình với chủ đề Những hiểm họa bảo mật hàng đầu với Web 2.0. Được phác thảo như một bản hướng dẫn định mức rủi ro xung quanh việc sử dụng các công cụ Web 2.0 trong công việc, tài liệu này phù hợp với bất kỳ ai đang cân nhắc việc đưa công nghệ Web 2.0 vào trong công việc của mình. Tài liệu không đưa ra cụ thể tên một công nghệ hay một công ty nào đang phải đối mặt với rủi ro, thay vào đó là những loại hiểm họa mà Web 2.0 có thể đưa vào môi trường kinh doanh. SE2F là một nhóm tổ chức và cá nhân bao gồm người điều hành tại các công ty Fortune 500 đã ứng dụng công cụ và dịch vụ Web 2.0 vào doanh nghiệp của mình. Thay vì sợ hãi một sự dịch chuyển đang âm thầm diễn ra, họ chấp nhận nó. Hơn ai hết, họ hiểu rằng việc ứng dụng lệch lạc công nghệ mới có thể dẫn tới cơn ác mộng đối với sự phát triển của công ty, chính vì thế họ nghiên cứu nhằm tìm ra những thách thức bảo mật có thể gây ra bởi công nghệ Web 2.0. Diễn đàn khích lệ nhận thức, các tiêu chuẩn ngành, hành động tốt nhất và các vấn đề hoạt động trao đổi liên quan đến việc sử dụng công cụ mới tại nơi làm việc.

Trong báo cáo mới nhất của mình, Forum đã chỉ ra những hiểm họa bảo mật hàng đầu với Web 2.0 bao gồm:

1. Insufficient Authentication Controls (Kiểm soát xác nhận không đầy đủ)
Trong rất nhiều ứng dụng Web 2.0, nội dung được đặt dưới quyền của rất nhiều người chứ không phải chỉ một nhóm có thẩm quyền được chọn lựa. Điều đó có nghĩa là một người sử dụng thiếu kinh nghiệm rất có thể sẽ gây ra sự thay đổi làm ảnh hưởng tiêu cực đến toàn bộ hệ thống.
Sự thay đổi trong thiết kế của hệ thống có thể bị khai thác bởi hacker, nay đã có thể tiếp cận nhiều tài khoản "quản trị" hơn do mật khẩu có thể dễ dàng bị đánh cắp nếu không có những kiểm soát bảo mật đúng đắn. Hệ thống cũng có thể không có những kiểm soát cưỡng chế đầy đủ, cho phép đăng nhập với mật khẩu trống, hoặc bị gắn với nhau bởi môi trường đăng nhập một lần (single-sign-on environment), khiến cho việc tấn công trở nên dễ dàng hơn rất nhiều.

2. Cross Site Scripting (XSS)
Trong một lỗi XSS lưu giữ, input (dữ liệu nhập vào) độc hại được gửi bởi kẻ tấn công được lưu giữ trong hệ thống sau đó hiển thị với những người sử dụng khác. Những hệ thống cho phép người sử dụng nhập nội dung có định dạng như HTML (điển hình là log, mạng xã hội và wiki) đặc biệt nhạy cảm với tấn công dạng này. Một ví dụ của tấn công dạng này là vụ khai thác lỗi XSS của Yahoo HotJobs năm ngoái, khi hacker lợi dụng JavaScript để đánh cắp session cookie của nạn nhân. Năm ngoái và trong những năm trước nữa, sâu XSS bị buộc tội là nguyên nhân tấn công Orkut, MySpace, Justin.tv,…

3. Cross Site Request Forgery (Giả mạo Request Cross Site - CSRF)
Trong các lỗi CSRF, nạn nhân ghé thăm những trang có vẻ như rất an toàn nhưng thực chất chứa mã độc có thể sinh ra request đến một trang khác. Do sử dụng quá nhiều AJAX, các ứng dụng Web 2.0 dễ bị tấn công bởi hình thức này. Trong các ứng dụng kế thừa, hầu hết các request bởi người sử dụng tạo ra một hiệu ứng trực giác trên màn hình, khiến CSRF dễ dàng triển khai hơn. Với những hệ thống Web 2.0 thiếu phản hồi trực giác, dạng tấn công này cũng khó nhận ra hơn. Một ví dụ gần đây của CSRF liên quan đến lỗi của Twitter cho phép chủ trang web có thể lấy thông tin profile Twitter khách đến thăm trang của mình.

4. Phishing
Mặc dù phishing không chỉ là nguy cơ đối với công nghệ Web 2.0, việc có quá nhiều phần mềm ứng dụng cùng tồn tại khiến cho khách hàng rất khó để phân biệt đâu là thật đâu là giả. Điều đó khiến cho lừa đảo phishing trở nên hiệu quả hơn.

5. Information Leakage (Rò rỉ thông tin)
Web 2.0 cùng với lối sống "làm việc từ bất cứ nơi nào" đã bắt đầu làm mờ khoảng cách giữa công việc và cuộc sống riêng tư. Chính bởi sự chuyển đổi tâm lý này, chúng ta có thể vô tình chia sẻ những thông tin mà nhà tuyển dụng cho là nhạy cảm. Ngay cả khi các cá nhân không để lộ những tin tương đương với "bí mật kinh doanh" thì nhiều tin tức "không nhạy cảm" cũng có thể cho phép các đối thủ cạnh tranh hiểu được phần nào những gì đang diễn ra ở công ty bạn.

6. Injection Flaws (Các khe hở dễ bị xâm nhập)
Công nghệ Web 2.0 có xu hướng dễ bị xâm hại bởi các cuộc tấn công xâm nhập bao gồm XML Injection, XPath Injection, JavaScript Injection, và JSON Injection không vì lý do nào khác ngoài sự thật là các ứng dụng Web 2.0 thường sử dụng và phụ thuộc vào những công nghệ này. Càng được sử dụng nhiều, lỗi này càng trở nên nguy hiểm. Thêm vào đó, do các ứng dụng Web 2.0 thường phụ thuộc vào client-side code, chúng thường xuyên thực hiện quá trình xác nhận dữ liệu nhập vào mà kẻ tấn công có thể vượt qua.

7. Information Integrity (Tính nguyên vẹn thông tin)
Tính nguyên vẹn của dữ liệu là mộ trong những thành phần chính của việc bảo mật dữ liệu. Tuy vậy một cuộc tấn công có thể phá hủy tính nguyên vẹn này cũng như vô tình khiến thông tin bị hiểu sai. Ví dụ điển hình trong trường hợp này là một lỗi sai trong Wikipedia nhưng lại được chấp nhận là đúng bởi rất nhiều khách đến thăm trang. Trong môi trường kinh doanh, hệ thống mở đối với nhiều người sử dụng có thể khiến những thông tin lệch lạc được đưa lên vô tình hay cố ý bởi một vài người sử dụng, phá hủy tính nguyên vẹn của dữ liệu.

8. Insufficient Anti-automation (Chống tự động hóa không đầy đủ)
Giao diện theo quy trình của các ứng dụng Web 2.0 cho phép hacker tự động hóa các cuộc tấn công dễ dàng hơn. Cùng với tấn công CSRF và tấn công cưỡng chế, các ví dụ khác bao gồm việc tự động thu hồi khối lượng lớn thông tin và tự động tạo tài khoản. Hệ thống chống tự động hóa như Captchas có thể giúp làm chậm lại hoặc cản trở tấn công dạng này.

Khi giới thiệu Web 2.0 vào môi trường làm việc, việc hết sức quan trọng là phải hiểu rõ những hình thức rủi ro có thể xảy ra. Và những công nghệ Web 2.0 có thể mang đến cho kinh doanh khiến cho việc nỗ lực vượt qua những nguy hiểm tiềm tàng trở nên có giá trị.

Theo ReadWriteWeb

Xem tiếp