S
Có rất nhiều vấn đề liên quan đến bảo mật hệ thống của MisaSME. Mình chỉ là người dùng (không về IT) nên các vấn đề đó mình chỉ là cảm nhận lơ mơ , không mô tả chi tiết cho mọi người như mình hiểu được (nhưng các anh lập trình chắc biết).
Tuy nhiên, có 1 cái (không phải lỗi) mà mình thấy rằng (đối với mình và hầu hết người dùng Misa) là rất nghiêm trọng:
1. Khi cài đặt Misa ở máy chủ. Misa sẽ cài đặt 1 máy chủ SQL. SQL server này dùng SQL Desktop Engine - cấp đơn giản nhất của SQL server 2000 và là phiên bản rất cũ, nguy cơ lỗi là có.
2. SQL server này do Misa install đã mặc định open port 1433 TCP và 1434 UDP. Máy chủ Misa cần phải open 2 port này để các máy con truy cập. 2 port này thường xuyên bị các hacker dòm ngó (1 ngày mình bị riêng ip Việt Nam quét port 1433 cả mấy trăm lần với gần 100 ip khác nhau). Người dùng không thể đổi port mặc định này. Nếu ai biết nhiều hơn thì có thể sử dụng các soft quản lý SQL server để đổi nhưng các máy con Misa sẽ "có thể" không truy cập được do trong Misa không có mục chỉnh port truy cập máy chủ.
3. 2 lỗi trên tương đối còn nhẹ. Kế tiếp, khi cài đặt máy chủ Misa - máy chủ SQL server, Misa đã mặc định password của user admin "sa" (user có quyền cao nhất trong SQL server - có quuyền có thể nói tương đương user admin của hệ thống PC đó nếu được khai thác tốt) là "sa" . Tương tự trên, người dùng thông thường không thể thay đổi mật khẩu của user "sa". Như vậy, bất kỳ ai truy cập (từ xa, Lan, trực tiếp) đều dễ dàng chui vào với pass "sa" . Tương tự mục 2, người dùng biết IT cao hơn có thể thay đổi pass của "sa" vì "sa" chỉ cần thiết khi cài đặt Misa máy chủ và tạo database lần đầu tiên.
4. Đây mới chính là lỗi mà mình sợ nhất. User "sa" chỉ cần để tạo user "MISASME79" , pass thì mặc định và mình không biết. Khi Misa tạo ra MISASME79, user này được gán quyền còn "lớn" hơn user admin "sa" (cái này thì hơi tức cười vì với quyền sysadmin thì coi như có tất cả, MISASME79 thì được gán tất cả các quyền mà nó thấy trong list phân quyền , kể cả sysadmin !!! sao mà thma thế !). Và pass của MISASME79 thì mình không biết. Mình không thể thay đổi pass của user này do nó được khóa cứng trong soft Misa. Cố ý đổi thì chắc chắn không chạy được Misa.
Tương tự với user "sa" , bất kỳ ai biết pass của MISASME79 (mà nhân viên của MISA thì chắc chắn phải biết, ít nhất bộ phận lập trình) có thể truy cập vào và làm mọi thứ với dữ liệu của mình và điều khiển cả hệ thống PC của mình (xóa dữ liệu chỉ là chuyện nhỏ nhỏ rất nhỏ)
4 ý trên chỉ là 4 điều cơ bản của 1 vấn đề trong các vấn đề về bảo mật dữ liệu và hệ thống mà thôi.
@ bạn nào làm ở Misa: mình ở công ty Hưng Phát. Các ý mà mình tìm hiểu được đều có báo với nhân viên kinh doanh của Misa nhưng cảm giác phản hồi rất chậm và trả lời không thỏa đáng. Tuy giá trị bản quyền nhỏ (chỉ 3tr) nhưng dữ liệu kế toán là vấn đề rất lớn.
Tuy nhiên, có 1 cái (không phải lỗi) mà mình thấy rằng (đối với mình và hầu hết người dùng Misa) là rất nghiêm trọng:
1. Khi cài đặt Misa ở máy chủ. Misa sẽ cài đặt 1 máy chủ SQL. SQL server này dùng SQL Desktop Engine - cấp đơn giản nhất của SQL server 2000 và là phiên bản rất cũ, nguy cơ lỗi là có.
2. SQL server này do Misa install đã mặc định open port 1433 TCP và 1434 UDP. Máy chủ Misa cần phải open 2 port này để các máy con truy cập. 2 port này thường xuyên bị các hacker dòm ngó (1 ngày mình bị riêng ip Việt Nam quét port 1433 cả mấy trăm lần với gần 100 ip khác nhau). Người dùng không thể đổi port mặc định này. Nếu ai biết nhiều hơn thì có thể sử dụng các soft quản lý SQL server để đổi nhưng các máy con Misa sẽ "có thể" không truy cập được do trong Misa không có mục chỉnh port truy cập máy chủ.
3. 2 lỗi trên tương đối còn nhẹ. Kế tiếp, khi cài đặt máy chủ Misa - máy chủ SQL server, Misa đã mặc định password của user admin "sa" (user có quyền cao nhất trong SQL server - có quuyền có thể nói tương đương user admin của hệ thống PC đó nếu được khai thác tốt) là "sa" . Tương tự trên, người dùng thông thường không thể thay đổi mật khẩu của user "sa". Như vậy, bất kỳ ai truy cập (từ xa, Lan, trực tiếp) đều dễ dàng chui vào với pass "sa" . Tương tự mục 2, người dùng biết IT cao hơn có thể thay đổi pass của "sa" vì "sa" chỉ cần thiết khi cài đặt Misa máy chủ và tạo database lần đầu tiên.
4. Đây mới chính là lỗi mà mình sợ nhất. User "sa" chỉ cần để tạo user "MISASME79" , pass thì mặc định và mình không biết. Khi Misa tạo ra MISASME79, user này được gán quyền còn "lớn" hơn user admin "sa" (cái này thì hơi tức cười vì với quyền sysadmin thì coi như có tất cả, MISASME79 thì được gán tất cả các quyền mà nó thấy trong list phân quyền , kể cả sysadmin !!! sao mà thma thế !). Và pass của MISASME79 thì mình không biết. Mình không thể thay đổi pass của user này do nó được khóa cứng trong soft Misa. Cố ý đổi thì chắc chắn không chạy được Misa.
Tương tự với user "sa" , bất kỳ ai biết pass của MISASME79 (mà nhân viên của MISA thì chắc chắn phải biết, ít nhất bộ phận lập trình) có thể truy cập vào và làm mọi thứ với dữ liệu của mình và điều khiển cả hệ thống PC của mình (xóa dữ liệu chỉ là chuyện nhỏ nhỏ rất nhỏ)
4 ý trên chỉ là 4 điều cơ bản của 1 vấn đề trong các vấn đề về bảo mật dữ liệu và hệ thống mà thôi.
@ bạn nào làm ở Misa: mình ở công ty Hưng Phát. Các ý mà mình tìm hiểu được đều có báo với nhân viên kinh doanh của Misa nhưng cảm giác phản hồi rất chậm và trả lời không thỏa đáng. Tuy giá trị bản quyền nhỏ (chỉ 3tr) nhưng dữ liệu kế toán là vấn đề rất lớn.