Một chuyến đi Harvard

Vài lời phi lộ


Mỗi năm (nhưng có vài năm bị gián đoạn vì... thiếu kinh phí), trường Harvard Kennedy mời một vị lãnh đạo cấp cao của Việt Nam và bộ sậu của họ đến nghe giáo sư, chuyên gia Harvard, Fulbright giảng dạy, thảo luận về chính sách quản trị quốc gia. Khách mời năm 2019 là ông Nguyễn Văn Bình và chủ đề là “Đổi mới sáng tạo, Mở cửa và An ninh số”.

Đoàn tham dự Vietnam Executive Leadership Program 2019. Nguồn: VTV.

Không biết có phải vì những bài viết nhăng cuội sặc mùi "chống phá" trên blog này, năm nay tôi lại được mời đến trình bày. Ban tổ chức cho tôi 90 phút, muốn nói gì thì nói. Đôi khi trong cuộc sống ta phải biết đổi đề tài, chứ cứ nói mãi về thứ mình làm hàng ngày thì còn gì sáng tạo nữa, nên tôi quyết định nói về an ninh mạng.

Bài nói chuyện của tôi gồm hai phần: cung cấp thông tin về hiện trạng an ninh mạng Việt Nam và đặt ra một số câu hỏi về chính sách không gian mạng. Trong phần đầu, tôi điểm lại các sự cố an ninh mạng nghiêm trọng ở Việt Nam và đưa ra đánh giá của cá nhân tôi về thực lực an ninh mạng Việt Nam. Tôi cũng cung cấp thông tin về hoạt động của OceanLotus (tức APT32), nhóm hacker được cho là đến từ Việt Nam. Trước khi đi Boston, tôi đã nghiên cứu và liên lạc với anh em “giang hồ mạng” để cập nhật tình hình. Tôi kiểm tra chéo nhiều nguồn khác nhau, nên khá yên tâm về thông tin mà tôi có.

Trong phần thứ hai, từ đầu tôi đã biết mình muốn nói gì, nhưng tôi vẫn phân vân về cách nói. Mặc dù tôi đến đây với tư cách của một chuyên gia và ý kiến của tôi không phải là suy nghĩ nhất thời, nhưng nhiều ý kiến của tôi đi ngược lại với chính sách mà Việt Nam đang theo đuổi, tôi e nếu nói thẳng có thể người nghe sẽ khó tiếp nhận.

Đây là lần đầu tiên tôi nói chuyện trước một nhóm quan khách cao cấp như vầy. Tôi tự hỏi mình muốn gì: nói cho hả dạ hay để mưu cầu sự thay đổi tích cực cho Việt Nam? Thay vì “phán” Việt Nam nên làm thế này nên làm thế kia, tôi quyết định sẽ đặt câu hỏi. Tôi có câu trả lời của riêng tôi, nhưng tôi không muốn áp đặt, mà tôi muốn người nghe suy nghĩ, thảo luận và đi đến kết luận của riêng họ. Nếu họ đồng ý với tôi thì không còn gì để nói, nhưng nếu họ không đồng ý thì tuyệt vời, vì như vậy nghĩa là tôi đã nói cho họ nghe một ý kiến mới. Cách tiếp cận này khiến tôi tự tin hơn. Đôi khi lùi một bước lại khiến tư thế ta vững vàng hơn.

Dưới đây là bài đầu tiên trong loạt bài tôi ghi lại các ý kiến mà tôi đã trình bày ở Harvard và những gì tôi đã học được từ chuyến đi. Nhiều nội dung tôi đã chia sẻ trước đây, nhưng cũng có nhiều thông tin và ý kiến mới chưa từng công bố.

--

Cần bao nhiêu thời gian để... đánh sập hệ thống ngân hàng Việt Nam?


Vì có nhiều người trong đoàn đến từ các ngân hàng, tôi bắt đầu bằng câu hỏi trên. Kinh nghiệm cá nhân của tôi cho thấy chỉ cần 1 hacker và 2 tuần.

Đầu năm 2017, một ngân hàng ở Việt Nam nhờ tôi kiểm tra an ninh cho app Mobile Banking. Từ nhiều năm nay đây là công việc hàng ngày của tôi, nhưng đây cũng là lần đầu tiên tôi đánh giá một sản phẩm của VIệt Nam.

Tôi mất gần 2 tuần để tìm hiểu cách thức hoạt động của app Mobile Banking này. Tôi tìm được nhiều lỗ hổng, nhưng nghiêm trọng hơn hết là tôi tìm được cách trộm tiền từ bất kỳ tài khoản nào. Đối với một app Mobile Banking thì dân trong nghề gọi một lỗ hổng như vầy là game over, không còn gì để mà hack nữa. Sau đó tôi còn phát hiện ra khoảng 3-4 ngân hàng thuộc hàng top của Việt Nam cũng có lỗ hổng tương tự, vì họ sử dụng chung giải pháp Mobile Banking.


Hình chỉ mang tính minh họa, giúp tôi hướng dẫn quan khách cách suy nghĩ như một hacker, nhưng lỗ hổng trộm tiền là hoàn toàn có thật. Xem bài này để biết thêm chi tiết.

Thử nghĩ chuyện gì sẽ xảy ra nếu một ai đó tự động chuyển tiền và khóa tài khoản của hàng triệu người dùng trên hệ thống 4-5 ngân hàng lớn nhất cả nước? Trong phút chốc, niềm tin, vốn đã dễ bị lung lay, của người dân vào hệ thống ngân hàng sẽ sụp đổ và tôi không thể tưởng tượng được hậu quả sẽ như thế nào cho kinh tế Việt Nam.

Không phải tôi có tài năng gì đặc biệt, mà bất kỳ bạn sinh viên chán học nào cũng có thể tìm được những lỗ hổng này, chỉ cần mất một thời gian huấn luyện. Ngay cả quý vị ngồi đây, nếu muốn học, tôi nghĩ chỉ cần huấn luyện 2-3 năm.

Làm việc với các bên liên quan để sửa lỗi, tôi nhận ra rằng vấn đề không phải họ không quan tâm đến bảo mật, mà là họ không biết nên làm sao  và không có người để làm. Mặc dù rất muốn làm cho đúng, cho tốt, rất cầu thị và sẵn sàng đầu tư, nhưng họ thường làm những việc không cần và không làm những việc cần.

Đã 3 năm kể từ ngày tôi thực hiện dự án này, nhưng tôi không thấy có nhiều hy vọng tình hình đã tốt hơn. Những dữ kiện mà tôi thu thập được trong quá trình chuẩn bị bài nói chuyện này cho thấy dường như mọi chuyện vẫn như cũ.

Mạng máy tính Việt Nam thường xuyên bị tấn công


Mùa hè 2014, giữa lúc người Việt trong nước và hải ngoại đang sôi sục vì Trung Quốc đưa giàn khoan HD-981 vào Biển Đông, từ Hoa Kỳ các chuyên gia của ThreatConnectESET công bố hai bản báo cáo độc lập về những tấn công có chủ đích (targeted attacks) vào hệ thống máy tính của các cơ quan chính phủ Việt Nam.

ESET phát hiện một nhóm người không rõ từ đâu gửi mã độc đến hộp thư điện tử của các nhân viên và cán bộ Bộ Tài Nguyên Môi Trường. Họ nhúng mã độc vào một tệp văn bản Microsoft Word, chỉ cần mở ra sẽ bị lây nhiễm. Một khi đã nhiễm vào máy tính, mã độc sẽ vô hiệu hóa phần mềm chống mã độc BKAV và gửi tín hiệu xâm nhập thành công đến một máy chủ điều khiển được đặt ở Hàn Quốc. Người tạo ra mã độc này bây giờ có toàn quyền điều khiển máy tính của nạn nhân.



Tại sao lại là Bộ Tài Nguyên Môi Trường? Vì đây là cơ quan nhà nước sở hữu nhiều thông tin quan trọng về bản đồ, sơ đồ, hành trình, lịch trình, báo cáo… của các chuyến thăm dò dầu khí, khai thác ngư sản cũng như các hoạt động tuần tra bảo vệ của Việt Nam trên Biển Đông. Khó có thể biết được chắc chắn ai đứng đằng sau những tấn công này, nhưng dẫu họ là ai đi chăng nữa, có thể thấy rằng họ rất muốn biết Việt Nam đang và sẽ làm gì trên Biển Đông.

Các chuyên gia ThreatConnect cũng phát hiện Bộ Tài Nguyên Môi Trường bị một nhóm người tấn công từ cuối năm 2012. Ngoài Bộ Tài Nguyên Môi Trường, nhóm này còn tấn công vào Tập Đoàn Dầu Khí, Thông Tấn Xã và Tập Đoàn Bưu Chính Viễn Thông Việt Nam. Khác với ESET, ThreatConnect có bằng chứng để tin rằng những đối tượng đứng đằng sau các vụ tấn công này đến từ Trung Quốc. Ngoài ThreatConnect hãng an ninh mạng CrowdStrike cũng có nhận xét tương tự.

Trích đoạn một tài liệu được nhóm hacker Trung Quốc với biệt danh Yêu Tinh Gấu Trúc sử dụng để làm mồi nhử cho các cuộc tấn công vào các cơ quan nhà nước Việt Nam. Nguồn: CrowdStrike.

Liên tục trong hai năm 2014 và 2015 “Báo Cáo về Các Mối Đe Dọa Toàn cầu” (2014, 2015) của CrowdStrike chỉ ra rằng Việt Nam đã trở thành mục tiêu số một của các nhóm hacker thuộc chính phủ và quân đội Trung Quốc. Báo cáo này viết rằng ngay khi lúc tình hình Biển Đông trở nên căng thẳng vì giàn khoan HD-981 nhóm hacker Yêu Tinh Gấu Trúc (Goblin Panda) đã liên tục thực hiện các vụ tấn công nhằm vào lợi ích của Việt Nam. Phương thức tấn công cũng tương tự như vụ tấn công Bộ Tài Nguyên Môi Trường. Kẻ tấn công nhúng mã độc vào các tài liệu tiếng Việt và gửi chúng đến hộp thư điện tử của cán bộ nhân viên các tổ chức và cơ quan Chính phủ Việt Nam. Nội dung của các tài liệu này thường là bản sao của các tài liệu do chính phủ Việt Nam phát hành, điều này chứng tỏ nhiều khả năng nhóm Yêu Tinh Gấu Trúc đã xâm nhập thành công vào hệ thống máy tính của Chính phủ Việt Nam và sử dụng các tài liệu đánh cắp làm mồi nhử cho các cuộc tấn công tiếp theo.

Một số sự cố an ninh mạng nghiêm trọng từ năm 2016 đến nay. Màu vàng là những sự cố không thấy báo chí đưa tin.

Cập nhật 07/01/2020: trong phiên bản đầu tiên của bài viết này, tôi có liệt kê một sự kiện liên quan đến Sacombank. Mặc dù có bằng chứng cho thấy Sacombank bị nhiễm mã độc của Lazarus (được cho là một nhóm hacker đến từ Bắc Triều Tiên), nhưng do chưa kiểm chứng được thiệt hại, nên tôi tạm thời bỏ qua. Tôi thay sự kiện đó bằng sự kiện nhiều ngân hàng bị xâm nhập vào cuối năm 2018 và đầu năm 2019. Theo một nguồn tin giấu tên (và tôi cũng không cross-check được với những nguồn khác) thì khá nhiều ngân hàng bị đám Lazarus hack và mất tiền khá nhiều từ các máy ATM ở châu Phi/châu Âu, vụ này thì Eupol/Interpol có xử lý, liên quan đến supply chain thông qua payments solution của một vendor lớn.

Gần đây hơn, nhiều sự cố an ninh mạng cũng liên tục xảy ra:
  • Tháng 5/2016, ngân hàng Tiên Phong Bank bị hacker xâm nhập, đánh cắp 1,1 triệu đôla Mỹ (đại diện Tiên Phong Bank nói rằng họ phát hiện và chặn được tấn công đúng lúc).
  • Tháng 7/2016, mạng máy tính sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines bị hacker Trung Quốc phá hoại.
  • Tháng 5/2017, ngay trong lúc Thủ tướng Nguyễn Xuân Phúc đang sang thăm Mỹ, hệ thống máy chủ email của Bộ Ngoại giao lại bị hacker “lạ" xâm nhập.
  • Từ nhiều năm nay, các công ty công nghệ Việt Nam đã nằm trong tầm ngắm của những nhóm hacker “lạ". Tháng 4/2018, một người ẩn danh đã tung lên mạng thông tin cá nhân bao gồm tên, ngày sinh, chứng minh nhân dân, số điện thoại, email và mật khẩu của gần 75 triệu tài khoản người dùng của VNG, công ty game và Internet lớn nhất Việt Nam. Đến tháng 11/2018 đến lượt Thế Giới Di Động bị lộ thông tin 5 triệu khách hàng.
  • Từ cuối 2018 cho đến nay, hàng loạt ngân hàng Việt Nam gặp sự cố. Các vụ xâm nhập này có vẻ là do các nhóm tội phạm trong và ngoài nước (có thể đến từ Bắc Triều Tiên) thực hiện nhằm mục đích trộm tiền chứ không phải do thám, phá hoại.
Đây là các sự cố đã được phát hiện và là phần nổi của tảng băng. Từ năm 2016 tôi đã đánh giá phần lớn hệ thống trọng yếu ở Việt Nam đã bị xâm nhập từ rất lâu và cho đến nay tôi chưa thấy lý do để thay đổi nhận định này. Các nhóm hacker “lạ" này không ồn ào, không tạo tiếng vang, không có nhu cầu trộm tiền, rất khó phát hiện, nhất là khi chúng đã chui sâu vào hệ thống. Họ xâm nhập để thu thập thông tin, kiểm soát các hệ thống quan trọng, nhằm tạo ra và duy trì lợi thế quân sự khi có xung đột lợi ích với Việt Nam.

Ngoài ra, điểm C, khoản 1, điều 41 Luật An ninh mạng 2018 có quy định các doanh nghiệp cung cấp dịch vụ trên không gian mạng phải có trách nhiệm thông báo đến người sử dụng trong trường hợp xảy ra hoặc có nguy cơ xảy ra sự cố lộ, lọt, tổn hại hoặc mất dữ liệu thông tin người sử dụng. Mặc dù còn hết sức sơ sài, đây vẫn là một trong những điểm sáng hiếm hoi của Luật An ninh mạng, góp phần bảo vệ thông tin cá nhân, quyền riêng tư của người dân, nhưng cho đến nay tôi chưa thấy các doanh nghiệp Việt Nam gặp sự cố tuân thủ theo điều luật này, mà họ thường chối bỏ hoặc tìm mọi cách giấu nhẹm.


Xem thêm:

Comments

admin said…
quá hay bạn ơi, cứ cáo bạch những gì thuộc về truth có luận cứ sắt thép rõ ràng là ok hết chẳng gì phải ngại. Cái đám oceanlotus hoạt động nằm vùng hãm hại rất nhiều người có tiếng nói bất lợi cho TQ như vụ Hong Kong chẳng hạn cần phải công khai . Người dùng ở VN nhất là dùng mobile banking cần phải biết rõ mà đề phòng vì đã quá nhiều trường bị mất tiền .
HaDzuong said…
Bài viết rất hay Thái ơi. Em có thể chia sẻ thêm suy nghĩ về tác phong, trình độ, và thái độ của đoàn đại biểu VN lần này không?
RacTun said…
"Màu vàng là những sự cố không thấy báo chí đưa tin." , chắc thiếu nhiều cái màu vàng nữa.
Một bài viết giàu thông tin và quan trọng là nó trung thực. Rất cảm ơn tác giả!
hi anh Thái, em có thắc mắc, ngân hàng sao lại dùng cái google form như vậy ạ, hay chỉ alf ví dụ của anh cho dễ hiểu.

ngoài ra, trên diễn đàn VOZ (chắc là anh biết), có 1 thread bàn luận về vấn đề chuyên môn anh trình bày ở đây về việc hack các hệ thống ngân hàng, thread ở đây:
https://forums.voz.vn/showthread.php?t=7693135&page=8

Theo nhiều bạn (những người phát triển app cho ngân hàng) thì hệ thống ngân hàng hiện tại ở Viêt Nam khó hack.

Anh có thể cho thêm ý kiến không ạ.
QuânĐ said…
This comment has been removed by the author.
Thai Duong said…
statistical algorithm lover: cảm ơn bạn đã thông báo. tôi có giải thích ở đây: https://vnhacker.blogspot.com/2020/01/lo-hong-chuyen-tien-hay-la-suy-nghi-nhu.html.
CyberBear said…
This comment has been removed by the author.
CyberBear said…
Da anh Thái,
Em có gửi mail riêng cho anh rồi ạ, về tính xác thực của một số thông tin.
Em cảm ơn anh, chúc anh và gia đình năm mới an khang thịnh vượng ạ.
Unknown said…
Cảm ơn bạn, bài viết giúp tôi ngộ được nhiều vấn đề mà nó đã mập mờ trong não thời gian qua
Thai Duong said…
statistical algorithm lover: Hôm nay tôi vào xem lại thread bên VOZ thì thấy đã bị xóa mất. Không hiểu có chuyện gì nhỉ?
Thai Duong: Hi anh, cái này em không rõ nữa anh, đôi khi thread trên voz căng thẳng quá, hoặc có thể nói vấn đề quá nhạy cảm thì mod họ xóa/đóng thread thôi ạ. Em nghĩ anh có thể lập 1 Thread bên F17 Voz để anh em trao đổi thêm vụ này, trên đó cũng nhiều người bên IT quan tâm ạ.
Unknown said…
"Thiết kế và xây dựng giải pháp xác thực cho một sản phẩm mobile banking là một công việc lai giữa applied security và product security. Việc này không dễ cũng không khó, nhưng tôi nghĩ ở Việt Nam chưa có mấy người làm. Đa số người làm security ở Việt Nam tập trung vào tìm kiếm lỗ hổng, hoặc network security, rất ít người có thể xây dựng giải pháp để giải quyết các vấn đề security thường gặp như identity access management bao gồm authentication, authorization và auditing, key/secret management hay data protection."

======
thú vị, vì mình và đồng nghiệp đã, đang, và sẽ làm cái này.

mình cũng biết nhóm ngân hàng sử dụng giải pháp mà bạn phát hiện ra lỗ hổng đó. Tuy nhiên, thực tế là hiện ở lĩnh vực mobile banking, ở các ngân hàng đặt bảo mật là trên hết (10% số banks) thì không như bạn mô tả nữa (tuy nhiên, đúng như bạn nói, thì 90% ngân hàng vẫn sử dụng giải pháp "obfuscation" hoạc cao hơn xíu thì dùng "whitebox crypto" để bảo mật; nhưng muốn break thì cũng ko dễ tí nào.
Unknown said…
https://webcache.googleusercontent.com/search?q=cache:LENRH3c7sscJ:https://forums.voz.vn/showthread.php%3Ft%3D7693135%26page%3D8+&cd=1&hl=en&ct=clnk&gl=vn
Ro0t said…
Anh có thể cho em xin slide buổi nói chuyện được không ạ?