Header Ads

  • Breaking News

    Một chuyến đi Harvard


    Mỗi năm (nhưng có vài năm bị gián đoạn vì... thiếu kinh phí), trường Harvard Kennedy mời một vị lãnh đạo cấp cao của Việt Nam và bộ sậu của họ đến nghe giáo sư, chuyên gia Harvard, Fulbright giảng dạy, thảo luận về chính sách quản trị quốc gia. Khách mời năm 2019 là ông Nguyễn Văn Bình và chủ đề là “Đổi mới sáng tạo, Mở cửa và An ninh số”.

    Đoàn tham dự Vietnam Executive Leadership Program 2019. Nguồn: VTV.

    Không biết có phải vì những bài viết nhăng cuội sặc mùi "chống phá" trên blog này, năm nay tôi lại được mời đến trình bày. Ban tổ chức cho tôi 90 phút, muốn nói gì thì nói. Đôi khi trong cuộc sống ta phải biết đổi đề tài, chứ cứ nói mãi về thứ mình làm hàng ngày thì còn gì sáng tạo nữa, nên tôi quyết định nói về an ninh mạng.

    Bài nói chuyện của tôi gồm hai phần: cung cấp thông tin về hiện trạng an ninh mạng Việt Nam và đặt ra một số câu hỏi về chính sách không gian mạng. Trong phần đầu, tôi điểm lại các sự cố an ninh mạng nghiêm trọng ở Việt Nam và đưa ra đánh giá của cá nhân tôi về thực lực an ninh mạng Việt Nam. Tôi cũng cung cấp thông tin về hoạt động của OceanLotus (tức APT32), nhóm hacker được cho là đến từ Việt Nam. Trước khi đi Boston, tôi đã nghiên cứu và liên lạc với anh em “giang hồ mạng” để cập nhật tình hình. Tôi kiểm tra chéo nhiều nguồn khác nhau, nên khá yên tâm về thông tin mà tôi có.

    Trong phần thứ hai, từ đầu tôi đã biết mình muốn nói gì, nhưng tôi vẫn phân vân về cách nói. Mặc dù tôi đến đây với tư cách của một chuyên gia và ý kiến của tôi không phải là suy nghĩ nhất thời, nhưng nhiều ý kiến của tôi đi ngược lại với chính sách mà Việt Nam đang theo đuổi, tôi e nếu nói thẳng có thể người nghe sẽ khó tiếp nhận.

    Đây là lần đầu tiên tôi nói chuyện trước một nhóm quan khách cao cấp như vầy. Tôi tự hỏi mình muốn gì: nói cho hả dạ hay để mưu cầu sự thay đổi tích cực cho Việt Nam? Thay vì “phán” Việt Nam nên làm thế này nên làm thế kia, tôi quyết định sẽ đặt câu hỏi. Tôi có câu trả lời của riêng tôi, nhưng tôi không muốn áp đặt, mà tôi muốn người nghe suy nghĩ, thảo luận và đi đến kết luận của riêng họ. Nếu họ đồng ý với tôi thì không còn gì để nói, nhưng nếu họ không đồng ý thì tuyệt vời, vì như vậy nghĩa là tôi đã nói cho họ nghe một ý kiến mới. Cách tiếp cận này khiến tôi tự tin hơn. Đôi khi lùi một bước lại khiến tư thế ta vững vàng hơn.

    Dưới đây là bài đầu tiên trong loạt bài tôi ghi lại các ý kiến mà tôi đã trình bày ở Harvard và những gì tôi đã học được từ chuyến đi. Nhiều nội dung tôi đã chia sẻ trước đây, nhưng cũng có nhiều thông tin và ý kiến mới chưa từng công bố.

    --

    Cần bao nhiêu thời gian để... đánh sập hệ thống ngân hàng Việt Nam?

    Vì có nhiều người trong đoàn đến từ các ngân hàng, tôi bắt đầu bằng câu hỏi trên. Kinh nghiệm cá nhân của tôi cho thấy chỉ cần 1 hacker và 2 tuần.

    Đầu năm 2017, một ngân hàng ở Việt Nam nhờ tôi kiểm tra an ninh cho app Mobile Banking. Từ nhiều năm nay đây là công việc hàng ngày của tôi, nhưng đây cũng là lần đầu tiên tôi đánh giá một sản phẩm của VIệt Nam.

    Tôi mất gần 2 tuần để tìm hiểu cách thức hoạt động của app Mobile Banking này. Tôi tìm được nhiều lỗ hổng, nhưng nghiêm trọng hơn hết là tôi tìm được cách trộm tiền từ bất kỳ tài khoản nào. Đối với một app Mobile Banking thì dân trong nghề gọi một lỗ hổng như vầy là game over, không còn gì để mà hack nữa. Sau đó tôi còn phát hiện ra khoảng 3-4 ngân hàng thuộc hàng top của Việt Nam cũng có lỗ hổng tương tự, vì họ sử dụng chung giải pháp Mobile Banking.
     
    Hình chỉ mang tính minh họa, giúp tôi hướng dẫn quan khách cách suy nghĩ như một hacker, nhưng lỗ hổng trộm tiền là hoàn toàn có thật. Xem bài này để biết thêm chi tiết.

    Thử nghĩ chuyện gì sẽ xảy ra nếu một ai đó tự động chuyển tiền và khóa tài khoản của hàng triệu người dùng trên hệ thống 4-5 ngân hàng lớn nhất cả nước? Trong phút chốc, niềm tin, vốn đã dễ bị lung lay, của người dân vào hệ thống ngân hàng sẽ sụp đổ và tôi không thể tưởng tượng được hậu quả sẽ như thế nào cho kinh tế Việt Nam.

    Không phải tôi có tài năng gì đặc biệt, mà bất kỳ bạn sinh viên chán học nào cũng có thể tìm được những lỗ hổng này, chỉ cần mất một thời gian huấn luyện. Ngay cả quý vị ngồi đây, nếu muốn học, tôi nghĩ chỉ cần huấn luyện 2-3 năm.

    Làm việc với các bên liên quan để sửa lỗi, tôi nhận ra rằng vấn đề không phải họ không quan tâm đến bảo mật, mà là họ không biết nên làm sao và không có người để làm. Mặc dù rất muốn làm cho đúng, cho tốt, rất cầu thị và sẵn sàng đầu tư, nhưng họ thường làm những việc không cần và không làm những việc cần.

    Đã 3 năm kể từ ngày tôi thực hiện dự án này, nhưng tôi không thấy có nhiều hy vọng tình hình đã tốt hơn. Những dữ kiện mà tôi thu thập được trong quá trình chuẩn bị bài nói chuyện này cho thấy dường như mọi chuyện vẫn như cũ.

    Mạng máy tính Việt Nam thường xuyên bị tấn công

    Mùa hè 2014, giữa lúc người Việt trong nước và hải ngoại đang sôi sục vì Trung Quốc đưa giàn khoan HD-981 vào Biển Đông, từ Hoa Kỳ các chuyên gia của ThreatConnect và ESET công bố hai bản báo cáo độc lập về những tấn công có chủ đích (targeted attacks) vào hệ thống máy tính của các cơ quan chính phủ Việt Nam.

    ESET phát hiện một nhóm người không rõ từ đâu gửi mã độc đến hộp thư điện tử của các nhân viên và cán bộ Bộ Tài Nguyên Môi Trường. Họ nhúng mã độc vào một tệp văn bản Microsoft Word, chỉ cần mở ra sẽ bị lây nhiễm. Một khi đã nhiễm vào máy tính, mã độc sẽ vô hiệu hóa phần mềm chống mã độc BKAV và gửi tín hiệu xâm nhập thành công đến một máy chủ điều khiển được đặt ở Hàn Quốc. Người tạo ra mã độc này bây giờ có toàn quyền điều khiển máy tính của nạn nhân.

    Tại sao lại là Bộ Tài Nguyên Môi Trường? Vì đây là cơ quan nhà nước sở hữu nhiều thông tin quan trọng về bản đồ, sơ đồ, hành trình, lịch trình, báo cáo… của các chuyến thăm dò dầu khí, khai thác ngư sản cũng như các hoạt động tuần tra bảo vệ của Việt Nam trên Biển Đông. Khó có thể biết được chắc chắn ai đứng đằng sau những tấn công này, nhưng dẫu họ là ai đi chăng nữa, có thể thấy rằng họ rất muốn biết Việt Nam đang và sẽ làm gì trên Biển Đông.

    Các chuyên gia ThreatConnect cũng phát hiện Bộ Tài Nguyên Môi Trường bị một nhóm người tấn công từ cuối năm 2012. Ngoài Bộ Tài Nguyên Môi Trường, nhóm này còn tấn công vào Tập Đoàn Dầu Khí, Thông Tấn Xã và Tập Đoàn Bưu Chính Viễn Thông Việt Nam. Khác với ESET, ThreatConnect có bằng chứng để tin rằng những đối tượng đứng đằng sau các vụ tấn công này đến từ Trung Quốc. Ngoài ThreatConnect hãng an ninh mạng CrowdStrike cũng có nhận xét tương tự.

    Trích đoạn một tài liệu được nhóm hacker Trung Quốc với biệt danh Yêu Tinh Gấu Trúc sử dụng để làm mồi nhử cho các cuộc tấn công vào các cơ quan nhà nước Việt Nam. Nguồn: CrowdStrike.

    Liên tục trong hai năm 2014 và 2015 “Báo Cáo về Các Mối Đe Dọa Toàn cầu” (2014, 2015) của CrowdStrike chỉ ra rằng Việt Nam đã trở thành mục tiêu số một của các nhóm hacker thuộc chính phủ và quân đội Trung Quốc. Báo cáo này viết rằng ngay khi lúc tình hình Biển Đông trở nên căng thẳng vì giàn khoan HD-981 nhóm hacker Yêu Tinh Gấu Trúc (Goblin Panda) đã liên tục thực hiện các vụ tấn công nhằm vào lợi ích của Việt Nam. Phương thức tấn công cũng tương tự như vụ tấn công Bộ Tài Nguyên Môi Trường. Kẻ tấn công nhúng mã độc vào các tài liệu tiếng Việt và gửi chúng đến hộp thư điện tử của cán bộ nhân viên các tổ chức và cơ quan Chính phủ Việt Nam. Nội dung của các tài liệu này thường là bản sao của các tài liệu do chính phủ Việt Nam phát hành, điều này chứng tỏ nhiều khả năng nhóm Yêu Tinh Gấu Trúc đã xâm nhập thành công vào hệ thống máy tính của Chính phủ Việt Nam và sử dụng các tài liệu đánh cắp làm mồi nhử cho các cuộc tấn công tiếp theo.

    Một số sự cố an ninh mạng nghiêm trọng từ năm 2016 đến nay. Màu vàng là những sự cố không thấy báo chí đưa tin.

    Gần đây hơn, nhiều sự cố an ninh mạng cũng liên tục xảy ra:

    Tháng 5/2016, ngân hàng Tiên Phong Bank bị hacker xâm nhập, đánh cắp 1,1 triệu đôla Mỹ (đại diện Tiên Phong Bank nói rằng họ phát hiện và chặn được tấn công đúng lúc).

    Tháng 7/2016, mạng máy tính sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines bị hacker Trung Quốc phá hoại.

    Tháng 5/2017, ngay trong lúc Thủ tướng Nguyễn Xuân Phúc đang sang thăm Mỹ, hệ thống máy chủ email của Bộ Ngoại giao lại bị hacker “lạ" xâm nhập.

    Từ nhiều năm nay, các công ty công nghệ Việt Nam đã nằm trong tầm ngắm của những nhóm hacker “lạ". Tháng 4/2018, một người ẩn danh đã tung lên mạng thông tin cá nhân bao gồm tên, ngày sinh, chứng minh nhân dân, số điện thoại, email và mật khẩu của gần 75 triệu tài khoản người dùng của VNG, công ty game và Internet lớn nhất Việt Nam. Đến tháng 11/2018 đến lượt Thế Giới Di Động bị lộ thông tin 5 triệu khách hàng.

    Từ cuối 2018 cho đến nay, hàng loạt ngân hàng Việt Nam gặp sự cố. Các vụ xâm nhập này có vẻ là do các nhóm tội phạm trong và ngoài nước (có thể đến từ Bắc Triều Tiên) thực hiện nhằm mục đích trộm tiền chứ không phải do thám, phá hoại.

    Đây là các sự cố đã được phát hiện và là phần nổi của tảng băng. Từ năm 2016 tôi đã đánh giá phần lớn hệ thống trọng yếu ở Việt Nam đã bị xâm nhập từ rất lâu và cho đến nay tôi chưa thấy lý do để thay đổi nhận định này. Các nhóm hacker “lạ" này không ồn ào, không tạo tiếng vang, không có nhu cầu trộm tiền, rất khó phát hiện, nhất là khi chúng đã chui sâu vào hệ thống. Họ xâm nhập để thu thập thông tin, kiểm soát các hệ thống quan trọng, nhằm tạo ra và duy trì lợi thế quân sự khi có xung đột lợi ích với Việt Nam.


    Ngoài ra, điểm C, khoản 1, điều 41 Luật An ninh mạng 2018 có quy định các doanh nghiệp cung cấp dịch vụ trên không gian mạng phải có trách nhiệm thông báo đến người sử dụng trong trường hợp xảy ra hoặc có nguy cơ xảy ra sự cố lộ, lọt, tổn hại hoặc mất dữ liệu thông tin người sử dụng. Mặc dù còn hết sức sơ sài, đây vẫn là một trong những điểm sáng hiếm hoi của Luật An ninh mạng, góp phần bảo vệ thông tin cá nhân, quyền riêng tư của người dân, nhưng cho đến nay tôi chưa thấy các doanh nghiệp Việt Nam gặp sự cố tuân thủ theo điều luật này, mà họ thường chối bỏ hoặc tìm mọi cách giấu nhẹm.


    "Nghị quyết vẫn còn nguyên giá trị"

    Nhắc lại: hồi tháng 12/2019 tôi đến trường Harvard Kennedy để "giảng dạy" một nhóm lãnh đạo Việt Nam về an ninh mạng, trong khuôn khổ Vietnam Executive Leadership Program 2019. Đây là bài thứ 2 trong loạt bài tôi ghi lại các ý kiến mà tôi đã chia sẻ và những gì tôi đã học được từ chuyến đi.

    ---

    Một bạn đọc có hỏi suy nghĩ của tôi về tác phong, trình độ và thái độ của đoàn đại biểu Việt Nam. Thú thật lúc đầu tôi có viết khá nhiều về chuyện này, vì tôi cũng thích chuyện bên lề, nhưng đọc lại thì thấy ít thông tin nên tôi đã tự ý đục bỏ. Nay có người hỏi thì viết lại đây vài dòng vậy.

    Nhìn chung tôi có ấn tượng tốt với đoàn. Mặc dù Boston lạnh hơn nhiều so với Hà Nội và chênh nhau 12 tiếng, ngày thành đêm, đêm thành ngày, nhưng đoàn làm việc khá nghiêm túc. Tôi không chắc là họ đã học được cái gì mới, nhưng tôi thấy họ đến Harvard là để học thật, chứ không phải đi chơi. Lịch học kín mít, nên khi họ muốn đi thăm thú Harvard thì phải tận dụng thời gian nghỉ ăn trưa.

    Quan sát này khiến tôi tự hỏi không biết trong đầu mình còn có những định kiến gì khác về quan chức Việt Nam, vì trước giờ tôi vẫn nghĩ quan chức Việt Nam đi hội thảo ở nước ngoài chủ yếu là một cách đi du lịch chui bằng ngân sách. Có lẽ chuyện này vẫn diễn ra, nhưng là ở cấp thấp. Những vị ở cấp này không thiếu gì tiền để mà tự đi du lịch một mình cho khỏe, chứ sướng gì đi cùng với các "đồng chí" khác, làm gì cũng có thể bị ghi chép lại ;-). Có thể họ đến Harvard chỉ vì đây là Harvard, nhưng nếu vậy thì cũng giống tôi thôi. Nếu là chỗ khác chắc tôi cũng không đi làm gì.

    Trong lúc tôi trình bày thì tôi thấy mọi người lắng nghe chăm chú, có nhiều người chụp hình lại các slides, không có ai ngồi xem điện thoại hay ngủ gật. Giữa trưa, vừa ăn xong, lệch múi giờ, ngoài trời lạnh, trong phòng ấm, nếu là tôi tôi đã ngủ lâu rồi. Tôi nói xong thì cũng có nhiều người đặt câu hỏi chung ở hội trường hoặc hỏi riêng bên lề, chứng tỏ họ khá chú tâm. Tôi có ngồi xem một hai bài thuyết trình khác về kinh tế/tài chính, là sở trường của nhiều người trong đoàn, thì thấy cũng có nhiều người làm việc riêng, nhưng có lẽ là vì họ đã biết những thông tin đó rồi.

    Sáng hôm sau có một bài thuyết trình bằng tiếng Anh của David Eaves, giảng viên Harvard Kennedy (tôi đã học được nhiều điều từ bài nói chuyện này và sẽ viết một bài riêng). Tôi thấy phân nửa phòng không cần dùng tai nghe phiên dịch. Lúc ăn trưa và giờ giải lao tôi cũng thấy họ trao đổi thoải mái với những vị khách nước ngoài.

    Trình độ của từng người trong đoàn thì chỉ có thể nhận xét thế thôi, vì tôi cũng không hiểu lắm chuyên môn của họ và họ cũng ít phát biểu ý kiến, riêng ông Nguyễn Văn Bình tôi thấy khá ấn tượng. Sau các bài về tài chính/kinh tế của các diễn giả, ông Bình thường đại diện cho đoàn có một phát biểu ngắn để phản hồi và tổng kết. Tôi thấy ông Bình nắm bắt vấn đề nhanh, nói chuyện lưu loát và lập luận chắc chắn giống như người đã từng học toán.

    Ông Bình nói cách đây mấy chục năm, từ hồi ổng là nhân viên quèn ở Ngân hàng Nhà nước, ổng đã nghe người ta nói về mục tiêu công nghiệp hóa, hiện đại hóa. Rồi có một thời tỉnh nào cũng cố gắng "nhào nặn" làm sao cho công nghiệp chiếm tỉ trọng lớn trong báo cáo kinh tế gửi về TW. Nhưng bây giờ sắp sang 2020 rồi (lúc ông Bình nói câu này thì vẫn đang là tháng 12/2019), liệu có ai đủ can đảm nói rằng Việt Nam đã là nước công nghiệp phát triển? Nhưng quan trọng hơn hết, liệu có cần phải làm công nghiệp thì mới phát triển, hiện đại? Ổng nói, dịch vụ chiếm 70% tỉ trọng GDP của Thụy Sĩ hay Hà Lan và ai cũng biết đây là những nước phát triển và hiện đại nhất thế giới. Nói vậy thì nghe cũng không khác gì lắm mấy chuyên gia phản biện chính sách Facebook, nhỉ?


    Ông Bình có cái kiểu nói chuyện hài mà mặt mày rất nghiêm. Ổng nói các đồng chí biết không -- không biết mấy giáo sư Harvard nghĩ sao khi ông Bình gọi họ là đồng chí; riêng tôi tôi có thắc mắc: nếu Ủy viên Bộ Chính trị xem tôi là đồng chí như vậy tôi có được xem là có công với cách mạng hay không? Ai biết chỉ giùm, gia đình xin rất cảm ơn và hậu tạ -- rất nhiều vấn đề chúng ta bàn ở đây Đảng đã có Nghị quyết hết rồi.

    Ví dụ Bộ Chính trị đã có Nghị quyết 23 về định hướng xây dựng chính sách phát triển công nghiệp quốc gia, nhưng đến lúc giao xuống Chính phủ thì không ai làm vì Chính phủ bận nhiều việc quá. Thế thì các đồng chí mới hiểu, ổng dừng lại một chút, nhìn quoanh một lượt, rồi nói tiếp, tại sao chúng ta vẫn hay nói nghị quyết vẫn còn nguyên giá trị. Cả hội trường cười rần rần, kể cả mấy ông Tây.

    Thú thật ông Bình khiến tôi thấy hết sức lo lắng cho cái sự nghiệp phản động của tôi, vì cái thể chế này có lẽ vẫn sẽ còn tồn tại cho đến khi nào nó vẫn còn tiến cử được nhà kỹ trị như ông ấy. Mà cái miệng tôi rất xui. Lần trước tôi khen ông Chung Hà Nội xong thì ổng bị các đồng chí đánh cho lên bờ xuống sông Tô Lịch, nếu lần này ông Bình lại gặp nạn thì mọi người nghĩ tôi nên khen ai tiếp bây giờ?!


    Thái : Nhật ký cờ, mờ

    (vnhacker.blogspot.com)

    Không có nhận xét nào