Muốn biết defacement là gì, hãy nghĩ đến những hình vẽ graffiti chằng chịt trên tường dọc những con đường bạn vẫn qua lại. Có thể bạn đã nghĩ: “Vẽ linh tinh, làm xấu cả con đường của người ta.” Bây giờ, thử tưởng tượng hành động “vẽ bậy” nọ được thực hiện lên website của bạn. Hacker vẫn thường xuyên làm như vậy đấy – với hình thức tấn công này, thường gọi là Defacement, hacker sẽ công bố việc website của bạn đã bị hack kèm với thông tin của hắn.
Để hiểu thêm về Defacement, mời bạn xem qua bài viết dưới đây.
DEFACEMENT LÀ GÌ
Đĩnh nghĩa
Defacement (bôi nhọ) là hành vi phá hoại hình ảnh của một ai, một thứ, một đơn vị nào đó. Trong tin học, ta có Website Defacement – là tấn công, phá hoại website, làm thay đổi giao diện hiển thị của một trang Web. Nói cách khác, khi người dùng truy cập vào địa chỉ của trang Webđó thì giao diện của một trang Webkhác sẽ được hiển thị. Thông thường nội dung hiện lên sẽ là các thông điệp mà hacker muốn truyền tải.
Ví dụ:
- Vụ website Tân Sơn Nhất vào 8/3/2017: Một hacker “lịch sự” đã đăng nội dung cảnh báo về lỗ hổng tồn tại trong website này sau khi hack thành công. Hacker này khẳng định “Tôi có thể rooted rồi hack cả server nhưng tôi không làm thế. Vui lòng nhắn tin. Và tôi không hề đụng chạm gì tới database ngoại trừ up shell và up index.” Điều thú vị ở đây là hacker này nêu lí do hack website là “Vì chúng tôi yêu bạn, và chúng tôi muốn cảnh báo bạn.”
- Vụ google.com.vn bị hack vào ngày 23/2/2015: Nhóm hacker Lizardsquad đã thay đổi nội dung trang tìm kiếm của Google Việt Nam để chỉ còn hiện một bức hình selfie kèm lời mời follow trang Twitter của nhóm @LizardCircle. Chỉ có những người sử dụng DNS của Google và truy cập vào google.com.vn mới bị ảnh hưởng bởi vụ hack. Phiên bản di động, phiên bản dành cho các quốc gia khác và các dịch vụ khác như Youtube, Gmail,… đều không bị ảnh hưởng.
Những vụ tấn công này đã gây ra thiệt hại lớn về tiền bạc cũng như là uy tín của tổ chức cùng với đó là những nguy cơ về đánh cắp dữ liệu.
Tại sao hacker lại deface website?
Các hacker có nhiều lý do để deface một trang web và dưới đây là 3 lí do chính:
- Thể hiện quan điểm chính trị hay tôn giáo là một trong các lý do. Có những hacker deface những trang Web chính phủ, Web về tôn giáo tín ngưỡng và lan truyền thông điệp chống đối của mình, những kẻ này được gọi là ‘hacktivists’.
- Vài người deface Website đơn giản là để cho vui. Có những người muốn làm việc tốt khi tìm ra lỗ hổng, có thể khai thác và deface Website sẽ báo cho quản trị viên để có thể khắc phục. Và cũng có những người muốn khẳng định, thể hiện, chứng tỏ bản thân – rất dễ bắt gặp những thông điệp kiểu như hacked by .. của những người này.
- Việc một Website bị deface sẽ chỉ gây thiệt hại tới uy tín của tổ chức, hay cá nhân sở hữu trang web đó và sẽ không gây tổn thất lớn tới hệ thống, dữ liệu của máy chủ. Tuy nhiên, đôi khi sẽ có hacker deface một Website nhằm đánh lạc hướng, che đậy cho hành vi phá hoại lên server (như là tải mã độc và thực thi nó trên server nạn nhân).
Website bị deface như thế nào?
Defacement có thể đáng sợ, nhưng không phải ai cũng sẽ trở thành nạn nhân của hình thức tấn công này. Hacker sẽ chỉ tìm đến khi website của bạn có tồn tại những lỗ hổng bảo mật nghiêm trọng để hắn lợi dụng và deface. Ngược lại, nếu bạn đã chăm chỉ cập nhật hệ thống, sử dụng tường lửa hay thường xuyên khắc phục các lỗ hổng website, khả năng cao là hắn sẽ bỏ cuộc trước khi bắt đầu.
Nhìn chung, đa số các Website bị deface vì các lỗ hổng sau:
- SQL Injections: kẻ tấn công tận dụng lỗ hổng SQL để thực thi những câu lệnh độc hại (như là đăng nhập dưới tư cách admin)
- Đặt mật khẩu cho admin quá yếu, không có cơ chế chống brute force ngăn kẻ tấn công mò ra mật khẩu admin
- Sử dụng các module, plugin, extension .. đã cũ và dính lỗi bảo mật hay không cập nhật mới khi dùng các mã nguồn mở như là Joomla hay WordPress …
Ngoài ra, nếu hacker có quyền truy cập vào một web server (máy chủ) đang host nhiều trang web, hắn sẽ có khả năng can thiệp vào các trang được host trên web server đó.
LÀM SAO ĐỂ PHÒNG CHỐNG DEFACEMENT?
Có rất nhiều cách phòng chống Website Defacement, nhưng đơn giản và hiệu quả nhất có lẽ là:
- Quét mã nguồn website: Cách hiệu quả giúp website tránh được sự tấn công của tin tặc chính là quét mã nguồn website. Nếu doanh nghiệp của bạn có nền tảng kỹ thuật hay hay các nhân viên am hiểu công nghệ thì bạn nên thường xuyên kiểm tra web và các phần mềm độc hại để loại bỏ nó.
- Giới hạn lượng truy cập: Việc có quá nhiều quản trị trên trang web đăng nhập vào web để thay đổi nội dung sẽ mở ra cơ hội xâm nhập trái phép cho các tin tặc thông qua trang đăng nhập. Chính bởi vậy mà việc giới hạn lượng truy cập chính là phương pháp hiệu quả giúp ngăn chặn Website Defacement.
- Chọn lựa plugin cẩn thận: Một website được xem là dễ bị tấn công và thu hút được sự chú ý của hacker là một website tích hợp và sử dụng quá nhiều plugin hay các tính năng bổ sung bởi nó sẽ cung cấp nhiều tiềm năng hơn cho tin tặc. Chính vì vậy, bạn cần lựa chọn các plugin thật cẩn thận và đảm bảo rằng, nó đem lại những giá trị cần thiết đối với trang web và doanh nghiệp.
- Cài đặt trình quét Web tự động: Mặc dù bạn có thể tự mình kiểm tra Web hay loại bỏ phần mềm độc hại, nhưng nó chưa phải là cách hiệu quả nhất. So với cách làm thủ công thì cài đặt trình Web tự động lại tốt hơn nhiều. Bởi nó có thể tự động theo dõi file, cơ sở dữ liệu và các lỗ hổng để có thể tự động loại bỏ phần mềm độc hại và spam khi phát hiện ra những hành vi đáng ngờ.
Có thể nói việc Website bị tấn công là không thể tránh khỏi nếu bạn chỉ chú trọng vào việc bảo vệ dữ liệu mà không tập trung đề cao cảnh giác trước những hành vi đáng ngờ.
Một khi đã biết defacement có thể bị khai thác qua lỗ hổng nào, đơn giản ta có thể “bịt” lỗ hổng đó lại để tránh defacement. Tuy nhiên, bạn nên hiểu là hàng ngày hàng giờ, các hacker luôn nghĩ ra nhiều cách thức nguy hiểm khác mà không thông qua những lỗ hổng đã được nhiều người biết đến để deface trang Web của bạn. Quản trị viên của website cần biết rằng defacement có thể đến với trang Web của mình bất cứ lúc nào nên luôn chuẩn bị một tâm thế sẵn sàng đối mặt với nó. Những việc dưới đây là khá cần thiết:
- Luôn chuẩn bị sẵn sàng một bản sao lưu cho trang Web , để có thể xóa mọi thứ và nhanh chóng đưa trang Web về đúng trạng thái thông thường.
- Đặt mật khẩu quản trị mạnh, và thường xuyên thay đổi mật khẩu tránh sự xâm nhập trái phép vào tài khoản có quyền quản trị viên
- Thường xuyên kiểm tra về sự tồn tại của các lỗ hổng trong hệ thống.
Như đã nêu, Website của bạn không thể được bảo vệ tuyệt đối do hàng ngày sẽ có những cách thức tấn công, deface website mới xuất hiện. Để cập nhật được những cách thức này cũng như nắm bắt tình hình về các trang Web bị deface, nơi mà bạn cần đến chính là Zone-H.
Zone-H – nơi các Website bị deface được ghi danh
Như đã nhắc đến ở bài viết Quy trình giám sát website bao gồm những gì?, khi nhắc tới Defacement, chúng ta không thể không nhắc tới Zone-h.
Zone-H (zone-h.org) là một kho lưu trữ các website đã bị deface, được thành lập vào ngày 3/2/2002 tại Estonia.
Dữ liệu có trên Zone-H là hacker tự đăng lên hoặc được chia sẻ từ các trang khác. Khi có website bị deface được đăng lên Zone-H, thông tin sẽ được sao lưu lại, và nhân viên tại Zone-H sẽ kiểm duyệt để xem thông tin có phải là giả hay không. Trên thực tế, có một đội ngũ chuyên update các website bị deface từ các diễn đàn về hacking trên thế giới lên Zone-H. Tuy nhiên đa số các hoạt động là do cộng đồng xây dựng – do chính các hacker tự liên hệ để được đăng bài cảnh cáo lên Zone-H.
Ngoài các thông tin về defacement ra, Zone-H còn có vô vàn các tin tức về bảo mật, an toàn thông tin, các cuộc “chiến tranh kỹ thuật số”, các thông tin về chính trị giữa các quốc gia, các bài phân tích, nghiên cứu và có cả diễn đàn để các thành viên trao đổi. Có thể nói Zone-H là một cổng thông tin về an ninh mạng.
Giám sát Website để phòng chống Defacement
Như đã nói ở trên, dù bạn có cẩn trọng tới đâu trong quá trình vận hành website, không thể tránh khỏi những lúc website của bạn bị hacker phá hoại. Các kiểu giám sát gồm có:
- Uptime/Downtime: Tính khả dụng của website
- Response time: Thời gian phản hồi website
- Performance from various locations: Hiệu năng từ các vị trí địa lý khác nhau
- Blacklist: Giám sát tình trạng danh sách đen
- DNS: Giám sát tên miền website
- SSL Certificate: Giám sát chứng chỉ SSL website
- Content changes: Giám sát nội dung website chống lại defacement
Nguồn: cystack