221
2085
Sản phẩm
doanhnghiep
/cntt/doanhnghiep/
538002
Hacking: Công cụ cạnh tranh mới trong kinh doanh
1
Article
2081
CNTT - Viễn thông
cntt
/cntt/
Hacking: Công cụ cạnh tranh mới trong kinh doanh
,

Đối thủ cạnh tranh của bạn có một công cụ web cực kỳ thành công và được rất nhiều khách hàng của bạn sử dụng. Bạn sẽ: (A) Bỏ cuộc và thôi không kinh doanh nữa; (B) Lập ra một nhóm kỹ sư phát triển sản phẩm để cạnh tranh; hoặc (C) Hack vào website của đối thủ, đánh cắp mã và bằng một phương pháp khéo léo, che giấu tất cả các nhân viên của họ để phát triển một website bản sao y hệt.

Nếu câu trả lời của bạn là (C) thì xin chúc mừng và chào mừng đến với thế giới... hacking cạnh tranh mới!

Soạn: AM 180849 gửi đến 996 để nhận ảnh này qua MMS

Ngày 15/10 vừa qua, Toà án Phúc thẩm Hoa Kỳ tại Seattle đã phải xét xử vụ án hai website cạnh tranh nhau trong việc giúp đỡ các hãng vận tải đường dài nhận thêm các công hàng bên ngoài để có lãi. Một hãng là Creative Computing đã xây dựng một website thành công có tên Truckstop.com. Còn hãng thứ hai, Getloaded.com, theo toà án, đã cạnh tranh một cách không trung thực. 

Getloaded.com đã sử dụng nhiều xảo thuật để lấy dữ liệu từ website Truckstop.com. Ban đầu, họ chỉ sao chép lại những danh sách cập nhật nhất của tài xế đi lẻ và công hàng. Khi Truckstop bắt đầu sử dụng ID người dùng và mật khẩu, Getloaded cũng bắt chước. Bằng cách suy đoán chính xác là các tài xế sử dụng cả hai site sẽ tạo ra cùng một ID và mật khẩu, các quan chức của Getloaded đã truy nhập thành công vào site của Truckstop bằng ID khách hàng. Sau đó, họ lại giả danh một công ty ma để đăng ký thuê bao nhằm tìm cách tiếp cận dữ liệu thứ hai. 

Soạn: AM 180851 gửi đến 996 để nhận ảnh này qua MMS

Nhưng thế vẫn chưa đủ. Theo toà, các nhân viên của Getloaded thậm chí còn tấn công vào mã chương trình mà Creative sử dụng để điều hành website. Microsoft đã cung cấp miếng vá cho Creative nhằm ngăn chặn tấn công, song Creative Computing chưa kịp cài đặt miếng vá trên Truckstop.com. Chủ tịch và phó chủ tịch của Getloaded đã lợi dụng sơ hở này để hack vào website của Creative thông qua cửa sau mà miếng vá lẽ ra đã khoá được. 

Nghe quen đấy chứ?

Từ lâu rồi, những người làm trong ngành bảo mật đã quen với việc phải cập nhật miếng và và kiểm soát chặt chẽ website của mình. Vụ việc trên minh chứng rất rõ hậu quả của sự chủ quan và thất bại trong việc bảo vệ website. Ngày càng nhiều công ty cất giữ thông tin tuyệt mật và cạnh tranh hoặc trên cơ sở dữ liệu truy cập vào được bằng đường Web, hoặc trên cơ sở dữ liệu sơ hở trước những kẻ đột kích bên ngoài. 

Tất nhiên, một số thực tế là không thể tránh được: Để các tài xế có thể truy cập được vào website, site này cần xây dựng mở và dễ truy cập. Thường thì thông qua ID người dùng và mật khẩu, bằng vài thao tác đơn giản, kẻ có ý đồ đã dành được quyền truy cập, mà người dùng lại luôn luôn có xu hướng chọn cùng một ID và mật khẩu cho nhiều site. Hệ quả là tài khoản của bạn sẽ bị dùng trộm, bị lợi dụng và các phần mềm tự động sẽ dựa vào đó để "sao y bản chính", chiết xuất những dữ liệu cạnh tranh có giá trị từ site gốc.  

Gián điệp kinh tế

Giải pháp cho vấn đề này phải chia đều cho xử lý kỹ thuật và khung hình pháp lý. Đứng từ góc độ kỹ thuật mà nói, các công ty cần cẩn trọng hơn trong việc lựa chọn phương pháp quản lý truy cập và ngăn chặn những truy cập trái phép tiềm ẩn. Nếu đột nhiên bạn thấy hàng ngàn ID cố gắng truy cập vào site từ một nhóm địa chỉ IP nhỏ (nhất là những địa chỉ có quan hệ với đối thủ của bạn), rất có khả năng một trò lừa lọc đang diễn ra ở đây.

Phát hiện đột nhập, giám sát đăng nhập và tất nhiên, cả cập nhật miếng vá nữa, tất cả đều là những phần thiết yếu của bảo mật tổng thể cho website cùng thông tin trong đó. Chỉ vá thôi không đủ, bạn còn phải ứng dụng những công nghệ mới với khả năng báo dộng lỗ hổng bảo mật, những cổng mới mở, kiểm tra và chứng thực rằng miếng vá đã được cài đặt đúng cách

Soạn: AM 180853 gửi đến 996 để nhận ảnh này qua MMS

Còn nếu nhìn từ góc độ luật pháp, ngăn chặn đối thủ là một công việc "lắt léo". Bạn phải thiết lập một không gian "công cộng", nhưng vẫn phải đề ra các điều kiện và giới hạn đối với người sử dụng. Cũng giống như trên các site khiêu dâm vẫn luôn đề ra điều kiện truy cập là: bạn không phải cảnh sát, bạn không thấy bị xúc phạm với những hình ảnh trên đó, bạn trên 18 tuổi, v.v... Nếu bạn nói dối để giành quyền truy cập, bạn sẽ vi phạm luật pháp. Do đó, một phần trong công việc phòng hộ website là phải xây dựng các điều kiện và giới hạn chặt chẽ, có hiệu quả trong việc ngăn cấm dữ liệu của bạn bị đối thủ khai thác... chống lại chính bạn. Chẳng hạn như không được sử dụng dữ liệu trên site vì mục đích thương mại, không được sao chép, v.v... nói tóm lại là không được làm bất cứ việc gì mà bạn muốn cấm. Nhưng tất nhiên là những điều kiện đó phải hợp lý và không có chỗ hổng để bị đối phương kiện ngược trở lại bạn độc quyền. 

Trở lại vụ vận tải ở đầu bài, cảm thấy hack vẫn chưa đủ, Getloaded còn nẫng luôn một nhân viên trong Creative Computing để có thể "dạo" một vòng, tất nhiên là trái phép, khắp mọi ngõ ngách bên trong website Truckstop.com. Nhân viên này, trong khi vẫn đang làm cho Creative, đã truy cập vào những thông tin tối mật liên quan đến hàng ngàn khách hàng của Creative. Anh ta tải xuống, gửi về tài khoản email tại nhà địa chỉ mật của máy chủ Truckstop.com để có thể truy cập vào máy chủ từ đây, lôi ra danh sách khách hàng. 

Vụ kiện Getloaded đã phản ánh một xu hướng đang gia tăng trong thế giới hacking: Đột nhập để có được lợi thế cạnh tranh. Nhưng không nên quên rằng, chủ quan với những phương pháp bảo mật lỗi thời. Mất cảnh giác trước hoạt động gián điệp kinh tế cũng chính là một hành động tự đâm dao vào chính mình.

Cầm Thi (Tổng hợp)

,
Ý kiến của bạn
Ý kiến bạn đọc
,
,
,
,