Tuesday, June 7, 2011

Chiến tranh mạng

Trong hơn một tuần vừa rồi có khá nhiều website của VN bị tấn công và ngược lại cũng có khá nhiều website của TQ bị xâm nhập. Trên HVA, diễn đàn mà tôi tham gia thường xuyên, có một chủ đề bàn về "cuộc chiến" giữa hacker VN và TQ thu hút cả ngàn ý kiến. Có lẽ vì chủ đề này mà chính HVA cũng đã hai lần bị tấn công từ chối dịch vụ với cường độ lớn trong tuần vừa rồi.

Có rất nhiều câu hỏi và lời kêu gọi được đặt ra trong chủ đề trên HVA. Có bạn kêu là chúng ta phải tiếp tục tấn công. Có bạn phê phán việc tấn công với lý do TQ mạnh hơn VN rất nhiều về hacking. Có bạn hỏi nếu xảy ra chiến tranh mạng (cyber war) thì chúng ta nên làm gì, tấn công lại hay là phòng thủ ra sao. Có bạn đề nghị nên có một tài liệu hướng dẫn kiện toàn bảo mật để giảm thiểu thiệt hại khi TQ tấn công. Một số anh em trong ban quản trị HVA cũng đã soạn và công bố rộng rãi một tài liệu như thế. Cần phải nhấn mạnh rằng, dẫu ý kiến có khác nhau, hành động có khác nhau nhưng hầu hết mọi người đều "muốn làm một cái gì đó", nhất là những bạn đang học và làm việc trong lĩnh vực an toàn thông tin. Tôi nghĩ đó là điều đáng trân trọng. Bài viết này của tôi cũng xuất phát từ ý định "muốn làm một cái gì đó".

Điều đầu tiên mà tôi muốn nói là những việc hack qua hack lại như vừa qua là hoàn toàn bình thường. Mỗi ngày có hàng trăm hàng ngàn sự vụ như thế, bí mật hay công khai. Không có gì bất thường ở đây cả. Cái khác và cũng là cái làm mọi người phản ứng là lần này thì vì hack cho vui hay hack vì tiền thì ở đây là hack với động cơ chính trị. Nhưng việc đổi động cơ không làm thay đổi bản chất của hành động này là mấy: một nhóm người, đa số là trẻ, hack đơn giản vì họ có thể. Nói cách khác, nếu như trước đây chúng ta không quan tâm đến hiện tượng này, thì bây giờ tôi nghĩ cũng không có lý do gì chính đáng để quan tâm đến nó nhiều hơn trước.

Thật tế là không cần phải được nhà nước hỗ trợ, không cần phải có trang thiết bị dụng cụ hiện đại, chỉ cần một máy tính kết nối Internet và một ít thời gian, bất kỳ ai ở cả hai phía, với một chút kỹ thuật hacking, đều có thể tự phát thực hiện những vụ tấn công vừa rồi. Thế mà cả hai phía đều có những “thành công” tương đối. Điều đó nói lên rằng, những nạn nhân trong vụ tấn công vừa qua, nếu không bị tấn công bây giờ bởi TQ, thì ngày mai ngày kia sẽ bị tấn công, bởi Thổ Nhĩ Kỳ, Indonesia hay bởi bất kỳ một anh sinh viên chán học nào đó.

Các website này bị xâm nhập đơn giản vì an toàn thông tin không phải là thứ mà người quản lý quan tâm. Đôi khi họ có lý do chính đáng, đôi khi là do họ vô trách nhiệm; nhưng tựu trung lại, họ không quan tâm. Việc bị TQ phá hoại hay bị anh Tèo nào đó xâm nhập đối với họ đều như nhau. Họ không quan tâm cũng đúng. Thử nhìn xem sau một tuần, hàng ngàn website bị tấn công, có thiệt hại đáng kể nào về kinh tế hay con người hay không? Nếu tôi là chủ của một cửa hàng bán giày dép, và tôi trả cho FPT 2 triệu/tháng để duy trì một website quảng bá cửa hàng, thì tôi và cả FPT sẽ chẳng bận tâm nếu như website tự dưng bị biến dạng. Không riêng gì website quảng bá doanh nghiệp, website của các cơ quan bộ ngành mọc lên cho “bằng chị bằng em” cũng sẽ cùng chung số phận: sống chết mặc bây, tiền thầy (đã) bỏ túi! Tóm lại, việc các website này bị xâm nhập là không thể tránh khỏi, và tôi nghĩ chúng ta cũng không nên bận tâm làm gì.

Tôi không cổ vũ việc xâm nhập và phá hoại các website TQ của nhiều bạn như thời gian vừa rồi. Giới lãnh đạo TQ đã thể hiện rõ họ sẵn sàng “đổi trắng thay đen”, chà đạp lên sự thật và công lý để đạt được mục tiêu. Do đó hành động xâm nhập website TQ, dẫu chỉ là tự phát, manh mún và cũng chẳng đem đến thiệt hại gì đáng kể cho TQ, có thể sẽ được “nhào nặn” thành một cái cớ có lợi cho TQ hơn là VN, nhất là khi VN là phía khơi mào cho “cuộc chiến” trên mạng hiện nay. Việc này khó có thể xảy ra, nhưng cái “lưỡi bò” vô lý đến thế mà họ còn dám đưa ra, thì tôi tin là chẳng việc gì mà họ không làm. Vả lại sự thật là TQ rất mạnh về hacking (vì họ đông đúc hơn), nên tôi e là những hành động tự phát vừa rồi nếu kéo dài có thể dẫn đến những thiệt hại nặng nề cho VN, nếu như giới hacker lành nghề của TQ bắt đầu tham gia. Đây cũng là điểm thứ hai mà tôi muốn nhấn mạnh: VN rất thiếu (người) và yếu (khoa học kỹ thuật) về an toàn thông tin.

Tôi có được biết từ vài năm nay Bộ Quốc Phòng VN có chương trình gửi người sang đào tạo tại các nước tiên tiến về an toàn thông tin như Mỹ và Nga (và có thể cả TQ). Tôi không có nhiều thông tin về chương trình này cũng như kết quả của nó, nhưng tôi hi vọng là những chương trình như thế này đã giúp quân đội VN có một đội ngũ trẻ và giỏi về chuyên môn phụ trách công tác an toàn thông tin. Sự thiếu sót có thể quan sát được là ở khối dân sự. Đây là vấn đề mà tôi nghĩ ai quan tâm đến an toàn thông tin ở VN cũng có thể thấy, dẫu vậy tôi cũng muốn đưa ra một vài ví dụ (cảm tính) để chứng minh cho ý này.

Cách đây gần một năm tôi có làm việc với VNCERT để cảnh báo về lỗ hổng trong khung phát triển ứng dụng web ASP.NET của Microsoft cho các doanh nghiệp và tổ chức ở VN. Trong thời gian đó tôi cũng có làm việc với Microsoft để đưa ra các miếng vá. Microsoft mất khoảng 11 ngày để có miếng vá và họ bắt đầu đẩy các miếng vá này xuống máy chủ của khách hàng ngay sau đó. Tôi lên danh sách một số website của các tờ báo, ISP, ngân hàng, công ty chứng khoán, công ty thanh toán điện tử... có sử dụng phiên bản bị lỗi của ASP.NET và theo dõi xem khi nào thì họ cài đặt các miếng vá. Sau một tuần, chưa có công ty nào cài đặt bảng vá. Sau hai tuần, có một ISP đã cài bảng vá. Sau một tháng, 15% số website đã được vá. Sau đó tôi không theo dõi nữa cho đến trước khi viết bài này. Tôi chọn ngẫu nhiên ba website thì hai trong số đó vẫn chưa được vá lỗi. Đó chỉ là một lỗ hổng trong số cả chục ngàn lỗ hổng đã biết và chưa được biết đến.

Tôi làm nghề này cho đến nay là được gần chín năm. Tôi tham gia HVA cũng chừng đó thời gian. Số thành viên của HVA lên đến cả trăm ngàn người. Các khóa học để trở thành hacker được quảng bá rầm rộ. Dẫu vậy sự thật là số người cùng bắt đầu với tôi ở HVA, cho đến nay vẫn còn làm an toàn thông tin và muốn tiếp tục làm, tôi nghĩ đếm không hết một bàn tay. Hầu hết bỏ ngang, chuyển sang làm một việc khác không liên quan đến chuyên môn. Tôi thấy không riêng gì ngành này, mà hầu hết các ngành khoa học kỹ thuật ở VN đều bị tình trạng tương tự: áp lực xã hội buộc con người ta bỏ nghề, làm một việc khác dễ kiếm tiền hơn.

An toàn thông tin là một ngành học cần sự đầu tư dài hơi, bởi nó đòi hỏi kiến thức chuyên sâu trong hầu hết các phân ngành của khoa học máy tính cũng như các lĩnh vực khó nhai như mật mã học, xác suất thống kê. Đó là chưa kể kiến thức cơ bản về luật pháp, thiết kế, quản trị, tâm lý và thậm chí kinh tế học hành vi. Sự thật là cho đến bây giờ tôi vẫn luôn là người mới và vẫn học đều đặn mỗi ngày mới hi vọng là sau vài năm nữa mới đủ kiến thức và kinh nghiệm để làm việc cho tốt. Đó cũng là điều thứ ba mà tôi muốn nói đến: cách duy nhất để có thể chiến thắng, hoặc ít nhất là tự vệ là xây dựng và duy trì một đội ngũ kỹ thuật chuyên sâu tại chỗ. Dẫu vậy, tôi sẽ không nói về việc chủ động tấn công bởi nó không áp dụng được cho các doanh nghiệp dân sự, đối tượng mà tôi muốn hỗ trợ ở đây, nên tôi chỉ tập trung vào việc làm sao để phòng thủ.

Cần phải nhận ra rằng, đối với một doanh nghiệp, một vụ tấn công có chủ đích (targeted attack) do hacker TQ thực hiện dưới sự chỉ đạo của nhà nước TQ thật ra không khác gì mấy với một vụ tấn công do hacker được thuê bởi một đối thủ kinh doanh nào đó. Vả lại, như đã nói ở trên, bất kỳ một anh sinh viên chán học nào cũng có thể tấn công và xâm nhập vào mạng máy tính của các doanh nghiệp, chỉ vì anh ấy tò mò và không có gì để làm. Đó là còn chưa kể đến hàng ngàn anh học trò khác luôn rình mò lấp ló hễ thấy chỗ nào chui vào được là chui vào. Tôi cho rằng các hacker tham gia vào các vụ tấn công từ cả hai phía trong thời gian vừa qua là thuộc nhóm này. Đây cũng là nhóm ít nguy hiểm nhất, bởi lẽ chúng không phải là dạng tấn công có chủ đích như các nhóm kể trên.

Một sự thật là đa số doanh nghiệp VN tập trung vào các giải pháp “sản xuất hàng loạt” để hòng ngăn chặn nhóm đối tượng tấn công không có chủ đích. Họ mua tường lửa, phần mềm chống virus, thiết bị phát hiện và phòng chống xâm nhập. Họ dành nhiều tiền để đạt các chứng chỉ PCI DSS, ISO 27001. Đã có rất rất nhiều vụ tấn công trong quá khứ và trong một năm vừa qua nhắm vào các công ty đã đầu tư hàng triệu đô la thậm chí là nhà sáng chế của các giải pháp này. Rất nhiều công ty công nghệ lớn của thế giới đã gục ngã khi bị chọn làm đích ngắm. Một khi kẻ tấn công đã chọn bạn làm mục tiêu, thì tất cả những giải pháp “sản xuất hàng loạt” kể trên đều dễ dàng bị vô hiệu hóa. Một phương thức phòng thủ hiệu quả phải là một phương thức có thể phát hiện và ngăn chặn được nhóm đối tượng tấn công có chủ đích. Chỉ có một cách duy nhất là đầu tư vào con người, xây dựng hệ thống chuyên biệt giám sát tất cả các hoạt động của hệ thống thông tin. Tôi có bàn một hướng triển khai một hệ thống như thế ở đây.

(bài này được báo VietnamNet đăng lại ở đây).