Đại hội Hacker mũ trắng hướng đến giải pháp bảo mật
Các Website khác - 15/11/2005
Ông Nguyễn Thế Đông.
Hôm nay 15-11, tại Dinh Thống Nhất, dự kiến khoảng 800 người sẽ tham dự Đại hội Hacker mũ trắng do Trung tâm Tư vấn & Đào tạo Quản trị mạng Athena phối hợp với Câu lạc bộ ICT Partnership tổ chức. Ông Nguyễn Thế Đông, Giám đốc Trung tâm Tư vấn & Đào tạo Quản trị mạng Athena cho biết vài nét về đại hội này.
- Với tư cách là người đại diện Ban Tổ chức Đại hội Hacker mũ trắng (HMT), ông vui lòng cho biết thông điệp chính của đại hội này?

- Đại hội HMT là sự kiện lớn về bảo mật lần đầu tiên được tổ chức ở Việt Nam với sự tham gia của các tổ chức uy tín trong giới truyền thông và an ninh mạng.

Đại hội HMT 2005 nhằm cảnh báo những lỗ hổng bảo mật mới nhất, những kỹ thuật tấn công mới nhất của hacker, những vấn đề bảo mật căn bản dành cho doanh nghiệp, những nguy cơ tiềm tàng, các loại hình bảo mật, các phương pháp phòng vệ và chiến lược ICT phù hợp cho doanh nghiệp v.v...

Tôi nghĩ, các nhà quản lý doanh nghiệp tham gia Đại hội HMT sẽ có được một cái nhìn tổng thể về bức tranh bảo mật thông tin của TP Hồ Chí Minh nói riêng và cả nước nói chung để từ đó có những định hướng đúng, đầu tư đúng về con người, cơ sở hạ tầng và chính sách đúng cho chính doanh nghiệp của mình hoặc tìm kiếm tư vấn.

Ngoài mong muốn tạo điều kiện cho các chuyên gia về mạng máy tính giao lưu với các chuyên gia bảo mật hàng đầu tại Việt Nam và trong khu vực, Đại hội HMT cũng muốn mở ra một sân chơi lành mạnh có định hướng tốt cho giới trẻ yêu thích tin học, giúp họ có một cái nhìn đúng hướng và điều chỉnh hành vi của mình sao có đạo đức trong cộng đồng mạng và làm việc tuân thủ luật pháp.

Nếu thành công, chúng tôi sẽ đưa Đại hội HMT này trở thành một sự kiện thường niên và có những hoạt động tiếp nối cho đến hết năm 2006 để hỗ trợ cho doanh nghiệp một cách kịp thời và thực tiễn.

- Đánh giá của ông về hiện trạng bảo mật tại các doanh nghiệp Việt Nam?

Qua khảo sát hiện trạng an toàn thông tin mạng máy tính của 415 doanh nghiệp trên địa bàn TP Hồ Chí Minh, Đồng Nai và Bình Dương với 18% doanh nghiệp Nhà nước, 54% doanh nghiệp tư nhân, 28% doanh nghiệp có vốn đầu tư nước ngoài, tôi nhận thấy: tình hình bảo mật thông tin tại các doanh nghiệp chưa cao, nếu không muốn nói là rất thấp.

Nguyên nhân chính lại là do nhận thức của nhà quản lý về bảo mật thông tin chưa hoàn chỉnh và bản thân họ chưa được huấn luyện một cách bài bản về lãnh vực này.

Một số nhà quản trị hệ thống mạng cho rằng họ chỉ cần đầu tư một hệ thống lọc thư rác hiện đại, một cái firewall đắt tiền, một con server đời mới và cài đặt một phần mềm AntiVirus được cập nhật tự động là coi như hoàn toàn an tâm với hai chữ “bảo mật”. Tôi khẳng định: Điều này là hoàn toàn sai!

Một giải pháp bảo mật hoàn chỉnh cần phải có các chính sách bảo mật đi kèm với các trang thiết bị hỗ trợ. Chính sách ở đây là một tập hợp các quy tắc, nguyên tắc áp dụng cho người sử dụng tài nguyên mạng máy tính của doanh nghiệp. Các quy trình cần thiết để bảo vệ thông tin, bảo vệ hệ thống, bảo vệ việc truyền gửi thông tin và giao tiếp liên lạc, các nguyên tắc về mã hóa, các mô hình bảo mật được ứng dụng, các vấn đề liên quan đến bảo mật và vá lỗi bảo mật cho hệ điều hành mà bạn đang sử dụng, chính sách và quy trình bảo mật các hệ thống phần mềm cơ sở dữ liệu dùng chung toàn doanh nghiệp, các kế hoạch khôi phục dữ liệu khi gặp thảm họa giúp hoạt động doanh nghiệp không bị gián đoạn, các quy định luật pháp, điều tra liên quan đến an ninh thông tin.

Và cuối cùng các quy trình liên quan đến tính tình trạng khẩn cấp như hỏa hoạn, tòa nhà bị sập...; Các thảm họa do thiên nhiên gây ra như động đất hoặc sạt lở, bão tố, lụt lội; các vấn đề do con người gây ra như sự phá hoại ngầm, đình công v.v...

Chúng tôi hy vọng đại hội sẽ là bước khởi đầu đem đến cho nhà quản lý doanh nghiệp và các nhà quản trị công nghệ những khái niệm nêu trên để từ đó từng bước đi sâu hơn nữa vào lãnh vực quản trị bảo mật trong các chương trình hội thảo sắp tới.

- Ông có nhận xét gì về hacker Việt Nam? Ranh giới giữa hacker mũ đen, mũ trắng rất mong manh. Đại hội HMT 2005 có giúp định hướng gì cho họ không?

Tôi rất tự hào vì Việt Nam là nơi hội tụ nhiều cao thủ trong lĩnh vực bảo mật. Có thể là do người Việt mình bản chất thông minh, cần cù và sáng tạo. Học toán và các môn logic giỏi nên tin học cũng giỏi. Chỉ có một rào cản duy nhất đó chính là ngoại ngữ.

Nếu hacker nào có vốn liếng ngoại ngữ khá thì đẳng cấp chắc chắn không vừa. Càng đi sâu tìm hiểu vào thế giới bảo mật tôi càng phát hiện ra những cao thủ có gương mặt rất trẻ. Đa số thuộc thế hệ 8x trở xuống, dàn 7x được coi là đám đàn anh và đa số đã bận rộn với công việc kinh doanh hoặc quản lý và cũng không có nhiều thời gian “luyện công”.

Trình độ của hacker Việt Nam hiện nay cũng không thua kém các hacker quốc tế. Lý do là cơ sở hạ tầng mạng thông tin ở Việt Nam đã ngày càng được mở rộng, tốc độ truy cập Internet ngày càng được nâng cao, dịch vụ ADSL đã không chỉ còn giới hạn cho những doanh nghiệp cao cấp mà nó đã len lỏi đến các hộ gia đình.

Các tổ chức đào tạo về mạng cũng không ngừng cải tiến dịch vụ và mở rộng các sản phẩm đào tạo mạng giúp phổ cập kiến thức mạng cho cộng đồng ngày càng chuyên nghiệp hơn. Các tổ chức bảo mật quốc tế cũng đã đầu tư vào Việt Nam, đưa kỹ sư Việt Nam sang nước ngoài đào tạo dài hạn về thiết bị bảo mật và công nghệ tấn công phòng thủ.

Tuy nhiên, trong cộng đồng bảo mật người ta có phân loại hacker thành 3 nhóm: hacker mũ đen, hacker mũ xám, hacker mũ trắng. Thực ra ranh giới giữa mũ trắng và mũ đen là rất mong manh. Giả sử như bạn có trong tay chìa khóa vạn năng có thể mở cửa nhiều kho tàng quý giá, lại biết rất rõ cách làm thế nào để người ta không phát hiện ra mình. Vậy thì, ai dám cam đoan mình sẽ không bao giờ phạm tội? Chúng tôi muốn nhấn mạnh, chính hacker sẽ phải chịu trách nhiệm khi hành vi phạm pháp của anh ta bị phát hiện và hành vi nào là bị coi là phạm pháp.

Đã có lần một “HMT” hứa sẽ tặng tôi cả một bộ sách quý (bằng cách hack trên mạng) mà tôi đang “thèm muốn chết” nhưng không dám mua vì giá bán một cuốn là 150 USD. Chính lúc này cái “mũ trắng” đã hơi đổi màu. Vì thế người ta có khái niệm là hacker mũ xám. Đại hội HMT 2005 cũng nhằm mục đích cảnh báo các vấn đề liên quan đến cái ranh giới này.

Một số bài tham luận trong Đại hội HMT
Trình độ của hacker ngày nay và các phương pháp tấn công mới nhất - Phạm Trong Điểm, chuyên gia bảo mật Nam Trường Sơn.

- Mô hình bảo mật Point-to-point-Đào Thế Long, Giám đốc TT ATTT Misoft.

- Wireless Security-Mark N, chuyên gia bảo mật nForceSecure System AP.

- Hệ thống ATM và bảo mật cơ sở dữ liệu ngân hàng- Peter M. Stone, Trưởng đại diện Transmart Co.

- Application Security-Phùng Hải CISSP Global Cyber Soft.


Theo Theo Người lao động