(Lao Động) - Hiện đã có bốn mạng (Vinaphone, Mobifone, Viettel và EVN Telecom) khai trương dịch vụ 3G. Số lượng thuê bao 3G tuy chưa phổ biến lắm nhưng cũng đã lên tới con số vài triệu. Thế nhưng, bảo mật cho 3G chỉ mới được nói tới chứ người sử dụng chưa thể mường tượng rõ nó như thế nào.

Mất tiền trong tích tắc

Ngày 29.6, Chi hội An toàn thông tin phía Nam và Bkis đã phối hợp tổ chức hội thảo "An toàn thông tin trên môi trường di động 3G Việt Nam" tại TP HCM. Chuyên gia Bkis, ông Bùi Quang Minh (Trưởng phòng Nghiên cứu lỗ hổng Bkis) đã thực hiện một cuộc xâm nhập thử nghiệm lấy cắp tài khoản của chính mình. Ông dùng chiếc smartphone HTC Smart chạy trên nền Android kết nối 3G của Viettel, sau đó dùng máy tính truy cập vào số IP của thuê bao kết nối 3G và gửi đi một gói tin 10MB. Tài khoản của thuê bao kết nối 3G lúc này được tổng đài cho biết còn 33.400 đồng. Kết nối nhưng không sử dụng, và để ngỏ cho sự xâm nhập.

Chuyên gia Bkis đang trình diễn thử nghiệm sự xâm nhập tại hội thảo.

Chỉ sau khoảng 3 phút, tổng đài báo tài khoản của thuê bao kết nối 3G chỉ còn 12.610 đồng, mất tới 20.790 đồng. Theo ông Minh, sự xâm nhập và đánh cắp tài khoản có thể thực hiện được đối với tất cả thuê bao của các mạng đang kết nối 3G dù không sử dụng dịch vụ. Ông Minh kết luận: "Trong trường hợp này tôi chỉ gửi gói tin tốc độ 10MB tới một thiết bị. Nếu tin tặc gửi đi gói tin lớn hơn, tới nhiều thiết bị hơn, thì các thuê bao 3G bị mất tiền còn nhiều hơn".

Theo thống kê, lượng thuê bao 3G của các mạng hiện nay hơn 7 triệu (Mobifone khoảng 4 triệu thuê bao, Vinaphone và Viettel mỗi mạng khoảng 1,5 triệu thuê bao). Trong thử nghiệm trên, chuyên gia Bkis đã bỏ qua công đoạn truy tìm địa chỉ IP. Song trên thực tế, tin tặc có thể dùng nhiều cách để lấy được IP của các thuê bao sử dụng 3G, để từ đó hành sự.

Lỗ hổng ở đâu?

Theo chuyên gia Bkis, nguy cơ an ninh của mạng 3G giống như các nguy cơ của mạng LAN. "Mạng ADSL có ISP quản lý, tin tặc tấn công còn phải qua modem ít nhiều hạn chế được sự xâm nhập. Còn mạng 3G tại Việt Nam hiện nay, cơ chế kết nối giống như một mạng LAN. Nhưng mạng LAN có thể còn có sự phân quyền, cài đặt cấu hình ngăn chặn được phần nào sự xâm nhập. Còn mạng 3G thì gần như còn để trống việc này", ông Minh nói. Có nghĩa là, tất cả các thuê bao 3G ở bất cứ đâu kết nối vào mạng tính chất ngang bằng. Đơn cử mạng Vinaphone, máy chủ của hệ thống xếp ngang hàng với thuê bao 3G, vì thế khi tin tặc kết nối 3G thì rất dễ dàng xâm nhập vào hệ thống máy chủ.

Giám đốc bộ phận An ninh mạng của Bkis, ông Nguyễn Minh Đức, cho biết thực trạng chung hiện nay của các mạng 3G tại Việt Nam là chưa có những cài đặt cấu hình, thiết kế phân quyền phân vùng... để hạn chế nguy cơ an ninh đối với mạng 3G. "Chúng tôi không biết đã xảy ra sự cố nào về vấn đề này chưa vì chưa thấy các nhà mạng công bố. Nhưng cũng có thể, sự xâm nhập diễn ra âm thầm gây thiệt hại cho các thuê bao 3G song không được phát hiện", ông Đức nói.

Theo ông Minh, trên thực tế, có những thuê bao kết nối 3G để sử dụng nhưng sau đó không ngắt, tin tặc có điều kiện xâm nhập; hoặc thuê bao 3G được mở nhiều cổng dịch vụ mà không hề hay biết... Theo khảo sát của Bkis, cổng dịch vụ 135 có tỉ lệ nguy cơ an ninh mạng 3G cao nhất, tới 45%; xếp thứ hai là dịch vụ 445 chia sẻ file với 35,91%; cổng 80 (10,91%)... Tin tặc xâm nhập để đánh cắp thông tin, dữ liệu, mật khẩu, nhưng cũng có thể chỉ thuần túy là phá hoại. Song dù với mục đích gì thì các cuộc xâm nhập cũng gây tiền mất tật mang đối với người sử dụng, thậm chí cả nhà mạng.

Tham khảo bài gốc tại đây

Theo Lao Động