Vụ giao nhầm mật khẩu modem: "Một cách đổ lỗi điển hình"

Gần 1 tuần nay, thông tin về việc nhân viên VNPT giao nhầm 1000 modem do hãng Huawei (Trung Quốc) sản xuất cho khách hàng, khiến cho 1000 modem này không đổi được mật khẩu đã làm nóng dư luận.

Trả lời với báo chí về vụ “nhầm lẫn” này, ông Đặng Anh Sơn, Phó giám đốc VNPT Hà Nội cho biết, việc không đổi use/password này không hề ảnh hưởng đến dữ liệu cá nhân của khách hàng.

Trái ngược với ý kiến ông Sơn đưa ra, ông Ngô Tuấn Anh, Phó Chủ tịch an ninh mạng Bkav cho biết, “VNPT cũng như Huawei có thể can thiệp từ xa vào thiết bị modem của khách hàng.

Nếu việc quản lý này không tốt, nó sẽ dẫn đến sẽ bị kẻ xấu lợi dụng theo dõi”.

Liên quan đến vấn đề này, chuyên gia mạng ĐàoTrung Thành, người đã có hơn 20 năm kinh nghiệm làm việc trong lĩnh vực viễn thông, đã đưa ra 4 vấn đề cần được xem xét trong vụ việc trên.

Chúng tôi xin đăng tải nguyên văn quan điểm của ông Đào Trung Thành về việc 1000 Modem Huawei không đổi được mật khẩu quản trị .

“Vụ lùm xùm 1000 modem Huawei tiếp ngay sau vụ lộ thông tin hàng chục ngàn tài khoản khách hàng của VNPT ở chi nhánh Sóc Trăng.

Chưa bao giờ tần suất về an ninh bảo mật của VNPT lại nổi lên ồn ào như gần đây.

Tuy nhiên, có thể khẳng định rằng VNPT cũng có quan tâm nhiều đến công tác này bằng việc thông qua Quy chế bảo mật, an toàn thông tin,  nghiên cứu về ISO 17799 hay 27000, cử người đi đào tạo ở nước ngoài về bảo mật, thành lập Tổ phản ứng nhanh về an ninh mạng mà tác giả note từng là thành viên.

Tuy nhiên, có lẽ cách phát biểu trên báo chí của vài lãnh đạo VNPT Hà Nội và các vấn đề xử lý khủng hoảng và nhất là cách xử lý vấn đề cần được xem xét trong trường hợp này.

1. Phát biểu của Ông Đặng Anh Sơn, Phó giám đốc VNPT Hà Nội về nguyên nhân sự cố sau khi lắp đặt xong Internet cáp quang, nhân viên kỹ thuật đã bàn giao nhầm mật khẩu modem chỉ để hỗ trợ khách hàng từ xa khiến cho 1000 modem này không đổi được mật khẩu “là một cách đổ lỗi điển hình cho “thằng kỹ thuật” không phản ánh thực chất vấn đề”.

Mỗi một thiết bị đầu cuối (Modem, Switch, Router, CPE,…) khi xuất xưởng đều có một tài khoản để cấu hình, tài khoản này thường là admin, superuser, superadmin, root,…

Và trong trường hợp của thiết bị Huawei HG8045A là telecomadmin và mật khẩu cũng thường được cung cấp cho khách hàng.

Vấn đề ở đây là sau khi setup thì khách hàng có thể đổi được mật khẩu, còn với thiết bị Huawei thì không.

Và không cần nhân viên kỹ thuật “vô tình” bàn giao thì khách hàng cũng biết.

2. Phát biểu tiếp theo của người đại diện VNPT Hà Nội: “Ông Đặng Anh Sơn khẳng định, việc không đổi user/password này không hề ảnh hưởng đến dữ liệu cá nhân của khách hàng như truyền thông có phản ánh gần đây” cũng không đánh giá được mức độ trầm trọng của vấn đề.

Khi kẻ tấn công hay đơn giản chỉ là nghịch phá biết được user/pass quản trị hệ thống, anh (cô) ta có thể thiết lập máy chủ tên miền DNS trỏ vào một DNS do anh ta chỉ định và khi đó các website mà người dùng truy cập  như Google, Facebook,…sẽ được chuyển hướng sang một website giả mạo, các thông tin đăng nhập vào các website này sẽ bị đánh cắp.

Hay đơn giản, chỉ cần reset thiết bị hay đổi mật khẩu Wifi chẳng hạn là người chủ thiết bị không thể truy cập Internet được. Các bạn có thể mường tượng các tác hại của nó.

3. Đại diện Tập đoàn Huawei Trung Quốc tại Việt Nam cho biết, tập đoàn này đã “cung cấp modem hai mật khẩu cho một số khách hàng viễn thông nhằm giúp nhà mạng tiện lợi trong việc kiểm tra, sửa chữa kết nối mạng”.

Ý đại diện Huawei nói cung cấp hai loại tài khoản và mật khẩu có phân quyền hạn khác nhau.

Đây cũng không phải tính năng mới mẻ gì. Các modem trên thị trường và các hãng đều làm như vậy.

Ví dụ vài modem thông dụng như Vigor 2920 series có admin mode và user mode hay thậm chí FirstMile còn có admin, operator hay Guest  nữa.

Do đó, đây cũng không phải là một biện minh thuyết phục.

4. Cách xử lý của VNPT  là xóa (hay tắt disable, đổi mật khẩu) tài khoản telecomadmin (tài khoản  không đổi được mật khẩu), chỉ để lại tài khoản root (đổi được mật khẩu) cũng là cách làm không hay.

Thay vì yêu cầu nhà cung cấp thiết bị Huawei nâng cấp firmware (phần mềm của thiết bị) cho phép khách hàng đổi được mật khẩu tài khoản telecomadmin, cách làm này khiến mọi người và nhất là các chuyên gia bảo mật không đồng tình.

Mặt khác, tài khoản root mất đi một số các tính năng quản trị khác chỉ có khi dùng tài khoản telecomadmin.

Hay nói nôm na như một khách hàng: “Bạn cứ tưởng tượng là trước đây tài khoản telecomadmin có quyền thay đổi các tham số a, b, c thì nay tài khoản root chỉ thay đổi được tham số a, không thay đổi được tham số b, c”".

Trao đổi với chúng tôi, ông Thành nhấn mạnh thêm: "Đây là lỗi không đổi được mật khẩu của các thiết bị Huawei GPON 8045A.

VNPT đã sửa chữa lỗi theo cách xóa (khóa) quyền truy cập tài khoản quản trị telecomadmin thay vì cho người dùng đổi được mật khẩu.

Vì vậy, nếu dùng thiết bị này, người dùng chỉ có thể hy vọng và phó thác an toàn dữ liệu vào nhà mạng".