BA SÀM

Cơ quan ngôn luận của THÔNG TẤN XÃ VỈA HÈ

1817. Nếu blog của bạn bị “hắc khách” tấn công, liệu WordPress có thể giúp gì chăng?

Posted by adminbasam trên 06/06/2013

Global Voices Advocacy

Tác giả: David Brown

Người dịch: Phạm Toàn

05-06-2013

H1

Phủ Chủ tịch tại Hà Nội. Ảnh Paul Morse

Hồi tháng 3 [năm 2013], Anh Ba Sam, trang blog tin tức chính trị của Việt Nam, bị một loạt tấn công khiến nội dung của trang bị bóp méo và các chủ trang blog không thể nào vào được bên trong trang blog của mình. Bọn hắc khách chiếm trang blog, thay các bài của trang bằng bài mang nội dung của chúng và thay đổi mật khẩu để quản trị các phần của toàn trang.

Khi những người chủ trang Anh Ba Sam liên hệ với dịch vụ WordPress nhằm tìm cách vào lại trang blog của mình, thì công ty này yêu cầu chủ trang kiểm định lại các nhận dạng của họ. Nhưng điều này chẳng dễ dàng gì — vì bon hắc khách tấn công trang blog này đã thay đổi các thông tin bảo mật của trang, làm cho các chủ trang tạm thời không thể chứng minh được họ là chính chủ. Mà cứ cho rằng ngay cả khi đã chứng minh đủ nhờ có các thông tin bảo mật trên, thì cũng vẫn phải đặt ra câu hỏi về vai trò sứ mệnh căn bản của chủ dịch vụ và trách nhiệm của chủ dịch vụ khi cung cấp các biện pháp an ninh đầy đủ cho khách hàng của mình.

‘Người nói chuyện tầm phào’

Trong mấy năm gần đây, trang Anh Ba Sam (ABS) đã gây dựng được một vị trí duy nhất là người kết nối các tin tức về những sự kiện và khuynh hướng phát triển ở Việt Nam. Trang blog này có các bài báo đăng lại từ báo chí nước ngoài và những bài có nguồn gốc từ bên trong cộng đồng ABS, nhiều thành viên của cộng đồng ABS đó xác nhận mình là những nhà bất đồng chính kiến. ABS cập nhật tin tức bốn lần mỗi ngày và đều đặn đăng những bài phân tích về chính trị, kinh tế, xã hội của các nhà trí thức và các chuyên gia có uy tín. Trước khi bị hắc khách tấn công, trang này mỗi ngày có khoảng 100.000 lượt người đọc.

Trong tiếng Việt, “Anh” là đại từ chỉ người, dùng cho nam giới nhiều tuổi. “Ba Sàm” nghĩa là “người ngồi lê đôi mách”. Một quản trị trang giải thích cho báo Global Voices Advocacy chúng tôi rằng, bạn đọc đã nói về trang mạng đó như sau: “Ba sàm [đưa] thông tin chính thống, [báo] chính thống nói chuyện ba sàm,” có nghĩa là, “Người ngồi lê đôi mách chuyện tào lao thì đưa ra được những tin tức chính thống, còn các phương tiện truyền thông chính thống thì chỉ đưa những tin tầm phào”.

Cuộc tấn công

ABS là một mục tiêu có giá đối với các cơ quan an ninh nội địa của Việt Nam, cho dù không có chứng cớ rõ ràng là các hắc khách của chính phủ đã tham gia vào cuộc tấn công trang ABS. Ngày 8 tháng 3 [năm 2013], bọn hắc khách chiếm được quyền kiểm soát ABS, đuổi được các chủ nhân đích thực của trang này ra ngoài và xóa sạch nội dung trang ABS. Ngày 13 tháng 3, bọn hắc khách (có lẽ là cùng một người hoặc cùng một nhóm như lần 8 tháng 3 trước đây) cho đăng lên trang này một “bản tường trình” với giọng điệu phỉ báng và ‘phơi bày’ về Đinh Ngọc Thu, biên tập viên điều hành trang ABS (*), rút từ những tài liệu mà bà Thu nghi rằng bọn hắc khách đã ăn cắp từ máy tính của bà.

Bà Thu gửi yêu cầu cấp bách tới bộ phận hỗ trợ khách hàng của WordPress, đòi phục hồi việc kiểm soát trang mạng cho bà và đồng sự của bà. Câu trả lời của họ là, trước hết bà Thu phải chứng minh được rằng bà là chính chủ của trang, nhưng điều này là không thể — vì mọi dữ kiện xác định nhân thân, các tư liệu trao đổi với WordPress, các biên lai thanh toán, và các chứng cứ khác cho thấy quyền sở hữu trang đã được lưu giữ ở các tiểu mục của trang đã hoặc là bị xóa bỏ hoặc là đến lúc này các thành viên của ABS không còn truy cập được nữa.

Liệu WordPress có thể giúp gì?

Các liên lạc của bà Thu đã làm cho vấn đề gây sự chú ý của Tổng Tư vấn công ty Automattic, một công ty đồng chủ nhân của WordPress.com. Bộ phận chăm sóc khách hàng của WordPress sau đó đã tỏ ra hợp tác hơn và việc kiểm soát trang blog đã được phục hồi cho bộ máy điều hành của trang ABS. Tuy nhiên, đòi hỏi sự nỗ lực đáng kể để thúc giục WordPress gỡ đi nhiều tiểu-blog cùng những cạm bẫy mà bọn hắc khách cài lại bên trong trang ABS. Nếu như nhóm điều hành ABS không liên hệ được với nhóm điều hành có thế lực của WordPress và Automattic, thì hẳn còn lâu họ mới thu hồi lại được trang mạng của mình.

Không lâu sau vụ này, WordPress.com đã triển khai tiến trình nhận dạng gồm hai bước cho tất cả các khách hàng của họ. Vẫn chưa dám nói chắc, nhưng cũng có người tin rằng vụ tai nạn ABS đã thành chất xúc tác cho sự thay đổi này.

ABS đã trở lại và lại hoạt động với an ninh chặt chẽ hơn và một URL mới kể từ cuối tháng 3 năm 2013. Trung bình mỗi ngày số lượt người truy cập trang đã lên tới 73.000. Bộ máy điều hành ABS hy vọng sớm đưa trang blog về một server mới và dĩ nhiên là an toàn hơn.

Tăng cường an ninh cho các trang blog dễ bị tấn công hơn

Những người điều hành trang ABS và báo Global Voices Advocacy yêu cầu WordPress hãy đi theo một chính sách hỗ trợ chủ động (proactive) và ngăn chặn sớm (preemptive) đối với những người điều hành blog đang đứng trước những thách thức tương tự như ABS đã gặp. Chúng tôi tin rằng WordPress sẽ nhận trách nhiệm đến mức cao nhất trong khả năng có thể nhằm bảo đảm sao cho các trang mạng khách hàng không bị hắc khách tấn công (chẳng hạn, khuyến nghị họ theo quy trình nhận dạng hai bước, và tích cực hơn trong việc giúp đỡ để bảo đảm rằng các scripts và các plugins của WordPress đang được quản trị blog sử dụng, được cập nhật).

Công ty WordPress có thể cân nhắc xây dựng một cơ chế cho phép khách hàng của họ phục hồi kiểm soát một tài khoản đã bị hắc khách chiếm. Như trong trường hợp trang ABS, giả sử như có người tuyên bố mình là chủ trang và yêu cầu khẩn cấp đòi lại quyền kiểm soát trang. Nhân viên của WordPress có khả năng không thành thạo ngôn ngữ được dùng trên trang đó. Làm cách nào để họ có thể biết ai là người đòi hỏi quyền sở hữu chính đáng? Nếu thấy có sự thay đổi đột ngột và toàn diện mới nhất tái diễn trong việc truy cập bộ phận điều hành trang mạng, có thể coi là bằng chứng đủ để biết là đang diễn ra chuyện cưỡng chiếm trang mạng. Tới thời điểm này thì WordPress có thể khước từ truy cập điều hành trang mang của bất kỳ ai trong khi chờ xử lý các yêu cầu.

WordPress nên lấy làm vinh hạnh vì vai trò độc nhất của mình như là người tạo điều kiện cho tự do ngôn luận chính trị trên toàn thế giới. Để làm được điều đó, chúng tôi tin rằng công ty nên cung cấp tư vấn an ninh tương tác cho các blogger đi theo nhiều hướng khác nhau và các blogger bất đồng mà công ty quản trị. Một sự tham gia như vậy hẳn sẽ làm cho hình ảnh của cả WordPress và Automattic mạnh hơn trong mắt công chúng và sẽ cung cấp một dịch vụ vô giá cho cộng đồng của mình.

Nguồn: Global Voices Advocacy

Bản tiếng Việt © Ba Sàm 2013

13 phản hồi to “1817. Nếu blog của bạn bị “hắc khách” tấn công, liệu WordPress có thể giúp gì chăng?”

  1. Name said

    WordPress.com với hệ thống multisites chủ yếu để cung cấp 1 dịch vụ miễn phí cho những tiểu blogger để họ phát triển những bước đầu, đồng thời để quảng bá những tính năng ưu việt, thân thiện của WordPress (WP) Platform.
    Tác giả đơn thuần chỉ phân tích việc hỗ trợ của team WP.com một chiều, và chưa cân nhắc điều quan trọng nhất của sự kiện này: Lý do blog Ba Sàm bị hack.
    Sau hàng loạt những lần update phiên bản, vá lỗ hổng do hacker nhắm thẳng vào nền tảng WP, có thể nói hiện nay việc tấn công thẳng vào các trang thuộc WP.com là rất rất khó, đối với bất kỳ lực lượng nào.
    Blog Ba Sàm bị hack là sự việc WP.com không thể ngăn chặn hay kiểm soát được, nhưng có quá nhiều thông báo, bài hướng dẫn, thậm chí cảnh báo những việc không phải trách nhiệm của WP:

    – Cảnh báo về bảo mật cho người sử dụng: en.support.wordpress.com/security
    – Dvụ quản lý blog qua sms (nay đã ngừng và thay bằng bảo mật 2 bước): en.support.wordpress.com/text-messaging
    – Cảnh báo về nguy cơ tự làm hại bản thân và an toàn trực tuyến: en.support.wordpress.com/self-harm-and-online-safety

    Blog Ba Sàm bị hack theo tôi nên đánh giá đúng bản chất sự việc, là một loạt lỗi hệ thống từ bộ phận điều hành Blog:

    – Đầu tiên và quan trọng nhất: Để hacker cài hàng loạt virus trực tiếp vào máy làm việc trong một thời gian dài, trước và sau khi bị phá trang. Trong khi chỉ với 1 bản Kaspersky Pure (thậm chí bản Internet Security) cũng phát hiện và ngăn chặn toàn bộ những con virus này.

    – Tiếp đến là sự bất cẩn trong việc bảo mật “báu vật” hòm thư Gmail: Mặc dù google trang bị đầy đủ những tính năng bảo mật hòm thư tốt nhất hiện nay, nhưng người điều hành blog không sử dụng bất cứ cái nào ngoài 1 password.

    – Ngoài ra còn phải kể đến sự bất cẩn trong việc lưu trữ thông tin, dẫn đến việc hacker khai thác được quá nhiều dữ liệu cá nhân bất lợi cho toàn bộ êkip cộng tác với BS.

    Bộ phận hỗ trợ của WP.com theo tôi đã làm đúng trình tự xác minh, thậm chí nhận ra đây là trường hợp phải “linh động” nên đã tích cực hỗ trợ hết sức những ngày sau. 19 con người, hàng ngàn yêu cầu hỗ trợ mỗi ngày, nhưng vẫn trả lời gần hết trong thời gian quy định 24h.

    Chỉ xin góp vài ý theo quan điểm, góc nhìn khác, hy vọng Blog Ba Sàm và các Blogger khác nên thực sự coi trọng và nghiêm túc việc bảo mật những gì mình đang kiểm soát, chỉ cần như vậy, đa số những kẻ như Sinh Tử Lệnh, đội lốt hacker “mũ trắng”, dán mác này nọ đều chào thua hết.

    BS: Cám ơn những trao đổi chi tiết của bác. Có 2 điều cần bàn thêm:

    1- Nếu WP ngay từ đầu có một chọn lựa bảo mật 2 bước cho những ai thấy cần (tương tự Gmail) thì tốt quá, đỡ sinh chuyện. 2- Cái gì cũng có 2 mặt của nó, một khi khối lượng công việc quá lớn, nhân sự, điều kiện làm việc thiếu, thì khả năng tự bảo vệ sẽ bị hạn chế rất nhiều. Phải chấp nhận một giải pháp thôi! Đó là những gì đã diễn ra trong mấy năm qua …

    • Name said

      PS: Mạn phép trả lời ngắn gọn đầu đề bài báo: WordPress.com sẽ giúp đỡ hết sức theo đúng tôn chỉ của họ, vấn đề phụ thuộc vào “các bạn” có gì, còn gì, muốn gì, phù hợp với quy định của WordPress.com hay không thôi.

      • Name said

        Về 2 điều bác nêu ra:
        1. WordPress.com bản chất, định hướng phát triển, cơ sở hạ tầng không giống Google. Google có máy chủ ở hầu hết các quốc gia, phát triển rất mạnh mảng dịch vụ Call, SMS service (cạnh tranh với Skype), nên việc thực hiện 2 steps đơn giản và chi phí cực thấp. WP.com để thực hiện đc 2 steps như ngày nay, họ phải tốn khá nhiều tiền trong ngân sách phát triển, tôi nghĩ họ đã cân nhắc từ lâu, nhưng quyết định giành ngân sách những năm trước cho nhiều vấn đề khác, trong đó có việc nâng cấp hệ thống máy chủ (host miễn phí cho số lượng hàng triệu website), và hoàn thiện xuất sắc nền tảng WordPress để được an toàn như bây giờ.
        2. Với những điều kiện hiện nay của Blog như bác nói, việc bỏ WordPress.com ra ngoài server riêng thực sự là bước đi quá mạo hiểm rồi, chỉ biết chúc êkip Ba Sàm gặp may mắn trong việc đương đầu với những thể loại hack nguy hiểm và phức tạp hơn khi còn ở WP.com.

  2. […] […]

  3. […] với nhiệm vụ chuyên môn, tiêu chuẩn và đạo đức đã được công nhận”. +Nếu blog của bạn bị “hắc khách” tấn công, liệu WordPress có thể giúp gì ch…: WordPress nên lấy làm vinh hạnh vì vai trò độc nhất của mình như là người […]

  4. […] […]

  5. […] Basam […]

  6. Koon said

    Vậy là ABS không chỉ giúp cho nhiều người Việt Nam có nơi để xem những tin chính thống, không nhảm nhí, tô hồng định hướng mà còn giúp WP cải tiến nữa… Một công đôi ba việc nhỉ 🙂 Hoan hô ABS

  7. […] […]

  8. An dưỡng đường said

    Chúng tôi tin rằng WordPress sẽ nhận trách nhiệm đến mức cao nhất trong khả năng có thể nhằm bảo đảm sao cho các trang mạng khách hàng không bị hắc khách tấn công.
    ———————-
    WordPress sẽ nhận trách nhiệm đến mức cao nhất trong khả năng có thể nhằm bảo đảm sao cho các trang mạng khách hàng không bị hắc khách tấn công.
    WordPress sẽ làm tất cả những gì với khả năng của mình để tạo điều kiện cho tự do ngôn luận chính trị trên toàn thế giới, nhất là đối với các nước mà tự do ngôn luận được xếp ở cuối bảng xếp hạng như ở nước cộng hòa xã hội chủ nghĩa Việt Nam.

    Tuy nhiên, cái quyết định mà WordPress không thể làm được, đó là các chủ blog bị chính quyền cho đi an dưỡng, như Điếu Cày . . .

  9. Ha Le said

    Nhiều lúc tôi cũng thắc mắc không biết WordPress nói riêng và các dịch vụ blog khác nói chung sẽ có thu nhập từ đâu để bù lại những phí tổn không nhỏ mình bỏ ra để phục vụ các thân chủ. Xin hãy nhận lòng tri ân của chúng tôi, khối người dân đông đảo trên khắp thế giới được hưởng những ích lợi từ các dịch vụ này, đặc biệt là nhân dân ở các chính thể độc tài.

    WordPress có những tính năng rất tốt để người dùng có thể tổ chức trang tin của mình như một tạp chí phong phú. Nếu sự bảo mật được chăm sóc kỹ lưỡng hơn nữa thì thật tuyệt vời.

    —-
    BTV: WordPress lấy thu nhập từ mấy tay nhà giàu để nuôi mấy nhà nghèo như trang BS này đó bác. Bác xem self-host service VIP của họ đây, loại premium của họ charge $75.000/ năm.

  10. Hung said

    Hoan hô ,WordPress và Automattic sẽ mạnh hơn trong mắt công chúng và sẽ cung cấp một dịch vụ VÔ GIÁ cho cộng đồng mạng…HOAN HÔ.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s

 
%d bloggers like this: