VNZ-ROAD
NEXTVNZ
Đây là chia sẻ của anh Dương Ngọc Thái , kỹ sư An toàn thông tin hiện tại đang cư trú tại California và làm việc tại Google và Tesla.
Mình chỉ copy đoạn bài viết anh ấy chia sẻ trong một buổi nói chuyện về cung cấp thông tin về hiện trạng an ninh mạng Việt Nam và đặt ra một số câu hỏi về chính sách không gian mạng. Dưới đây là bài đầu tiên trong loạt bài được anh ấy trình bày ở Harvard .
Cần bao nhiêu thời gian để... đánh sập hệ thống ngân hàng Việt Nam?
Vì có nhiều người trong đoàn đến từ các ngân hàng, tôi bắt đầu bằng câu hỏi trên. Kinh nghiệm cá nhân của tôi cho thấy chỉ cần 1 hacker và 2 tuần.
Đầu năm 2017, một ngân hàng ở Việt Nam nhờ tôi kiểm tra an ninh cho app Mobile Banking. Từ nhiều năm nay đây là công việc hàng ngày của tôi, nhưng đây cũng là lần đầu tiên tôi đánh giá một sản phẩm của VIệt Nam.
Tôi mất gần 2 tuần để tìm hiểu cách thức hoạt động của app Mobile Banking này. Tôi tìm được nhiều lỗ hổng, nhưng nghiêm trọng hơn hết là tôi tìm được cách trộm tiền từ bất kỳ tài khoản nào. Đối với một app Mobile Banking thì dân trong nghề gọi một lỗ hổng như vầy là game over, không còn gì để mà hack nữa. Sau đó tôi còn phát hiện ra khoảng 3-4 ngân hàng thuộc hàng top của Việt Nam cũng có lỗ hổng tương tự, vì họ sử dụng chung giải pháp Mobile Banking.
Hình chỉ mang tính minh họa, giúp tôi hướng dẫn quan khách cách suy nghĩ như một hacker, nhưng lỗ hổng trộm tiền là hoàn toàn có thật.
Thử nghĩ chuyện gì sẽ xảy ra nếu một ai đó tự động chuyển tiền và khóa tài khoản của hàng triệu người dùng trên hệ thống 4-5 ngân hàng lớn nhất cả nước? Trong phút chốc, niềm tin, vốn đã dễ bị lung lay, của người dân vào hệ thống ngân hàng sẽ sụp đổ và tôi không thể tưởng tượng được hậu quả sẽ như thế nào cho kinh tế Việt Nam.
Không phải tôi có tài năng gì đặc biệt, mà bất kỳ bạn sinh viên chán học nào cũng có thể tìm được những lỗ hổng này, chỉ cần mất một thời gian huấn luyện. Ngay cả quý vị ngồi đây, nếu muốn học, tôi nghĩ chỉ cần huấn luyện 2-3 năm.
Làm việc với các bên liên quan để sửa lỗi, tôi nhận ra rằng vấn đề không phải họ không quan tâm đến bảo mật, mà là họ không biết nên làm sao và không có người để làm. Mặc dù rất muốn làm cho đúng, cho tốt, rất cầu thị và sẵn sàng đầu tư, nhưng họ thường làm những việc không cần và không làm những việc cần.
Đã 3 năm kể từ ngày tôi thực hiện dự án này, nhưng tôi không thấy có nhiều hy vọng tình hình đã tốt hơn. Những dữ kiện mà tôi thu thập được trong quá trình chuẩn bị bài nói chuyện này cho thấy dường như mọi chuyện vẫn như cũ.
Mạng máy tính Việt Nam thường xuyên bị tấn công
Mùa hè 2014, giữa lúc người Việt trong nước và hải ngoại đang sôi sục vì Trung Quốc đưa giàn khoan HD-981 vào Biển Đông, từ Hoa Kỳ các chuyên gia của ThreatConnect và ESET công bố hai bản báo cáo độc lập về những tấn công có chủ đích (targeted attacks) vào hệ thống máy tính của các cơ quan chính phủ Việt Nam.
ESET phát hiện một nhóm người không rõ từ đâu gửi mã độc đến hộp thư điện tử của các nhân viên và cán bộ Bộ Tài Nguyên Môi Trường. Họ nhúng mã độc vào một tệp văn bản Microsoft Word, chỉ cần mở ra sẽ bị lây nhiễm. Một khi đã nhiễm vào máy tính, mã độc sẽ vô hiệu hóa phần mềm chống mã độc BKAV và gửi tín hiệu xâm nhập thành công đến một máy chủ điều khiển được đặt ở Hàn Quốc. Người tạo ra mã độc này bây giờ có toàn quyền điều khiển máy tính của nạn nhân.
Tại sao lại là Bộ Tài Nguyên Môi Trường? Vì đây là cơ quan nhà nước sở hữu nhiều thông tin quan trọng về bản đồ, sơ đồ, hành trình, lịch trình, báo cáo… của các chuyến thăm dò dầu khí, khai thác ngư sản cũng như các hoạt động tuần tra bảo vệ của Việt Nam trên Biển Đông. Khó có thể biết được chắc chắn ai đứng đằng sau những tấn công này, nhưng dẫu họ là ai đi chăng nữa, có thể thấy rằng họ rất muốn biết Việt Nam đang và sẽ làm gì trên Biển Đông.
Các chuyên gia ThreatConnect cũng phát hiện Bộ Tài Nguyên Môi Trường bị một nhóm người tấn công từ cuối năm 2012. Ngoài Bộ Tài Nguyên Môi Trường, nhóm này còn tấn công vào Tập Đoàn Dầu Khí, Thông Tấn Xã và Tập Đoàn Bưu Chính Viễn Thông Việt Nam. Khác với ESET, ThreatConnect có bằng chứng để tin rằng những đối tượng đứng đằng sau các vụ tấn công này đến từ Trung Quốc. Ngoài ThreatConnect hãng an ninh mạng CrowdStrike cũng có nhận xét tương tự.
Liên tục trong hai năm 2014 và 2015 “Báo Cáo về Các Mối Đe Dọa Toàn cầu” (2014, 2015) của CrowdStrike chỉ ra rằng Việt Nam đã trở thành mục tiêu số một của các nhóm hacker thuộc chính phủ và quân đội Trung Quốc. Báo cáo này viết rằng ngay khi lúc tình hình Biển Đông trở nên căng thẳng vì giàn khoan HD-981 nhóm hacker Yêu Tinh Gấu Trúc (Goblin Panda) đã liên tục thực hiện các vụ tấn công nhằm vào lợi ích của Việt Nam. Phương thức tấn công cũng tương tự như vụ tấn công Bộ Tài Nguyên Môi Trường. Kẻ tấn công nhúng mã độc vào các tài liệu tiếng Việt và gửi chúng đến hộp thư điện tử của cán bộ nhân viên các tổ chức và cơ quan Chính phủ Việt Nam. Nội dung của các tài liệu này thường là bản sao của các tài liệu do chính phủ Việt Nam phát hành, điều này chứng tỏ nhiều khả năng nhóm Yêu Tinh Gấu Trúc đã xâm nhập thành công vào hệ thống máy tính của Chính phủ Việt Nam và sử dụng các tài liệu đánh cắp làm mồi nhử cho các cuộc tấn công tiếp theo.
Gần đây hơn, nhiều sự cố an ninh mạng cũng liên tục xảy ra:
Đây là các sự cố đã được phát hiện và là phần nổi của tảng băng. Từ năm 2016 tôi đã đánh giá phần lớn hệ thống trọng yếu ở Việt Nam đã bị xâm nhập từ rất lâu và cho đến nay tôi chưa thấy lý do để thay đổi nhận định này. Các nhóm hacker “lạ" này không ồn ào, không tạo tiếng vang, không có nhu cầu trộm tiền, rất khó phát hiện, nhất là khi chúng đã chui sâu vào hệ thống. Họ xâm nhập để thu thập thông tin, kiểm soát các hệ thống quan trọng, nhằm tạo ra và duy trì lợi thế quân sự khi có xung đột lợi ích với Việt Nam.
Ngoài ra, điểm C, khoản 1, điều 41 Luật An ninh mạng 2018 có quy định các doanh nghiệp cung cấp dịch vụ trên không gian mạng phải có trách nhiệm thông báo đến người sử dụng trong trường hợp xảy ra hoặc có nguy cơ xảy ra sự cố lộ, lọt, tổn hại hoặc mất dữ liệu thông tin người sử dụng. Mặc dù còn hết sức sơ sài, đây vẫn là một trong những điểm sáng hiếm hoi của Luật An ninh mạng, góp phần bảo vệ thông tin cá nhân, quyền riêng tư của người dân, nhưng cho đến nay tôi chưa thấy các doanh nghiệp Việt Nam gặp sự cố tuân thủ theo điều luật này, mà họ thường chối bỏ hoặc tìm mọi cách giấu nhẹm.
Nguồn https://vnhacker.blogspot.com/2020/01/mot-chuyen-i-harvard.html
Mình chỉ copy đoạn bài viết anh ấy chia sẻ trong một buổi nói chuyện về cung cấp thông tin về hiện trạng an ninh mạng Việt Nam và đặt ra một số câu hỏi về chính sách không gian mạng. Dưới đây là bài đầu tiên trong loạt bài được anh ấy trình bày ở Harvard .
Cần bao nhiêu thời gian để... đánh sập hệ thống ngân hàng Việt Nam?
Vì có nhiều người trong đoàn đến từ các ngân hàng, tôi bắt đầu bằng câu hỏi trên. Kinh nghiệm cá nhân của tôi cho thấy chỉ cần 1 hacker và 2 tuần.
Đầu năm 2017, một ngân hàng ở Việt Nam nhờ tôi kiểm tra an ninh cho app Mobile Banking. Từ nhiều năm nay đây là công việc hàng ngày của tôi, nhưng đây cũng là lần đầu tiên tôi đánh giá một sản phẩm của VIệt Nam.
Tôi mất gần 2 tuần để tìm hiểu cách thức hoạt động của app Mobile Banking này. Tôi tìm được nhiều lỗ hổng, nhưng nghiêm trọng hơn hết là tôi tìm được cách trộm tiền từ bất kỳ tài khoản nào. Đối với một app Mobile Banking thì dân trong nghề gọi một lỗ hổng như vầy là game over, không còn gì để mà hack nữa. Sau đó tôi còn phát hiện ra khoảng 3-4 ngân hàng thuộc hàng top của Việt Nam cũng có lỗ hổng tương tự, vì họ sử dụng chung giải pháp Mobile Banking.
Hình chỉ mang tính minh họa, giúp tôi hướng dẫn quan khách cách suy nghĩ như một hacker, nhưng lỗ hổng trộm tiền là hoàn toàn có thật.
Thử nghĩ chuyện gì sẽ xảy ra nếu một ai đó tự động chuyển tiền và khóa tài khoản của hàng triệu người dùng trên hệ thống 4-5 ngân hàng lớn nhất cả nước? Trong phút chốc, niềm tin, vốn đã dễ bị lung lay, của người dân vào hệ thống ngân hàng sẽ sụp đổ và tôi không thể tưởng tượng được hậu quả sẽ như thế nào cho kinh tế Việt Nam.
Không phải tôi có tài năng gì đặc biệt, mà bất kỳ bạn sinh viên chán học nào cũng có thể tìm được những lỗ hổng này, chỉ cần mất một thời gian huấn luyện. Ngay cả quý vị ngồi đây, nếu muốn học, tôi nghĩ chỉ cần huấn luyện 2-3 năm.
Làm việc với các bên liên quan để sửa lỗi, tôi nhận ra rằng vấn đề không phải họ không quan tâm đến bảo mật, mà là họ không biết nên làm sao và không có người để làm. Mặc dù rất muốn làm cho đúng, cho tốt, rất cầu thị và sẵn sàng đầu tư, nhưng họ thường làm những việc không cần và không làm những việc cần.
Đã 3 năm kể từ ngày tôi thực hiện dự án này, nhưng tôi không thấy có nhiều hy vọng tình hình đã tốt hơn. Những dữ kiện mà tôi thu thập được trong quá trình chuẩn bị bài nói chuyện này cho thấy dường như mọi chuyện vẫn như cũ.
Mạng máy tính Việt Nam thường xuyên bị tấn công
Mùa hè 2014, giữa lúc người Việt trong nước và hải ngoại đang sôi sục vì Trung Quốc đưa giàn khoan HD-981 vào Biển Đông, từ Hoa Kỳ các chuyên gia của ThreatConnect và ESET công bố hai bản báo cáo độc lập về những tấn công có chủ đích (targeted attacks) vào hệ thống máy tính của các cơ quan chính phủ Việt Nam.
ESET phát hiện một nhóm người không rõ từ đâu gửi mã độc đến hộp thư điện tử của các nhân viên và cán bộ Bộ Tài Nguyên Môi Trường. Họ nhúng mã độc vào một tệp văn bản Microsoft Word, chỉ cần mở ra sẽ bị lây nhiễm. Một khi đã nhiễm vào máy tính, mã độc sẽ vô hiệu hóa phần mềm chống mã độc BKAV và gửi tín hiệu xâm nhập thành công đến một máy chủ điều khiển được đặt ở Hàn Quốc. Người tạo ra mã độc này bây giờ có toàn quyền điều khiển máy tính của nạn nhân.
Tại sao lại là Bộ Tài Nguyên Môi Trường? Vì đây là cơ quan nhà nước sở hữu nhiều thông tin quan trọng về bản đồ, sơ đồ, hành trình, lịch trình, báo cáo… của các chuyến thăm dò dầu khí, khai thác ngư sản cũng như các hoạt động tuần tra bảo vệ của Việt Nam trên Biển Đông. Khó có thể biết được chắc chắn ai đứng đằng sau những tấn công này, nhưng dẫu họ là ai đi chăng nữa, có thể thấy rằng họ rất muốn biết Việt Nam đang và sẽ làm gì trên Biển Đông.
Các chuyên gia ThreatConnect cũng phát hiện Bộ Tài Nguyên Môi Trường bị một nhóm người tấn công từ cuối năm 2012. Ngoài Bộ Tài Nguyên Môi Trường, nhóm này còn tấn công vào Tập Đoàn Dầu Khí, Thông Tấn Xã và Tập Đoàn Bưu Chính Viễn Thông Việt Nam. Khác với ESET, ThreatConnect có bằng chứng để tin rằng những đối tượng đứng đằng sau các vụ tấn công này đến từ Trung Quốc. Ngoài ThreatConnect hãng an ninh mạng CrowdStrike cũng có nhận xét tương tự.
 |
| Trích đoạn một tài liệu được nhóm hacker Trung Quốc với biệt danh Yêu Tinh Gấu Trúc sử dụng để làm mồi nhử cho các cuộc tấn công vào các cơ quan nhà nước Việt Nam. Nguồn: CrowdStrike. |
Liên tục trong hai năm 2014 và 2015 “Báo Cáo về Các Mối Đe Dọa Toàn cầu” (2014, 2015) của CrowdStrike chỉ ra rằng Việt Nam đã trở thành mục tiêu số một của các nhóm hacker thuộc chính phủ và quân đội Trung Quốc. Báo cáo này viết rằng ngay khi lúc tình hình Biển Đông trở nên căng thẳng vì giàn khoan HD-981 nhóm hacker Yêu Tinh Gấu Trúc (Goblin Panda) đã liên tục thực hiện các vụ tấn công nhằm vào lợi ích của Việt Nam. Phương thức tấn công cũng tương tự như vụ tấn công Bộ Tài Nguyên Môi Trường. Kẻ tấn công nhúng mã độc vào các tài liệu tiếng Việt và gửi chúng đến hộp thư điện tử của cán bộ nhân viên các tổ chức và cơ quan Chính phủ Việt Nam. Nội dung của các tài liệu này thường là bản sao của các tài liệu do chính phủ Việt Nam phát hành, điều này chứng tỏ nhiều khả năng nhóm Yêu Tinh Gấu Trúc đã xâm nhập thành công vào hệ thống máy tính của Chính phủ Việt Nam và sử dụng các tài liệu đánh cắp làm mồi nhử cho các cuộc tấn công tiếp theo.
 |
| Một số sự cố an ninh mạng nghiêm trọng từ năm 2016 đến nay. Màu vàng là những sự cố không thấy báo chí đưa tin. |
Gần đây hơn, nhiều sự cố an ninh mạng cũng liên tục xảy ra:
- Tháng 5/2016, ngân hàng Tiên Phong Bank bị hacker xâm nhập, đánh cắp 1,1 triệu đôla Mỹ (đại diện Tiên Phong Bank nói rằng họ phát hiện và chặn được tấn công đúng lúc).
- Tháng 7/2016, mạng máy tính sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines bị hacker Trung Quốc phá hoại.
- Tháng 5/2017, ngay trong lúc Thủ tướng Nguyễn Xuân Phúc đang sang thăm Mỹ, hệ thống máy chủ email của Bộ Ngoại giao lại bị hacker “lạ" xâm nhập.
- Từ nhiều năm nay, các công ty công nghệ Việt Nam đã nằm trong tầm ngắm của những nhóm hacker “lạ". Tháng 4/2018, một người ẩn danh đã tung lên mạng thông tin cá nhân bao gồm tên, ngày sinh, chứng minh nhân dân, số điện thoại, email và mật khẩu của gần 75 triệu tài khoản người dùng của VNG, công ty game và Internet lớn nhất Việt Nam. Đến tháng 11/2018 đến lượt Thế Giới Di Động bị lộ thông tin 5 triệu khách hàng.
- Từ cuối 2018 cho đến nay, hàng loạt ngân hàng Việt Nam gặp sự cố. Các vụ xâm nhập này có vẻ là do các nhóm tội phạm trong và ngoài nước (có thể đến từ Bắc Triều Tiên) thực hiện nhằm mục đích trộm tiền chứ không phải do thám, phá hoại.
Đây là các sự cố đã được phát hiện và là phần nổi của tảng băng. Từ năm 2016 tôi đã đánh giá phần lớn hệ thống trọng yếu ở Việt Nam đã bị xâm nhập từ rất lâu và cho đến nay tôi chưa thấy lý do để thay đổi nhận định này. Các nhóm hacker “lạ" này không ồn ào, không tạo tiếng vang, không có nhu cầu trộm tiền, rất khó phát hiện, nhất là khi chúng đã chui sâu vào hệ thống. Họ xâm nhập để thu thập thông tin, kiểm soát các hệ thống quan trọng, nhằm tạo ra và duy trì lợi thế quân sự khi có xung đột lợi ích với Việt Nam.
Ngoài ra, điểm C, khoản 1, điều 41 Luật An ninh mạng 2018 có quy định các doanh nghiệp cung cấp dịch vụ trên không gian mạng phải có trách nhiệm thông báo đến người sử dụng trong trường hợp xảy ra hoặc có nguy cơ xảy ra sự cố lộ, lọt, tổn hại hoặc mất dữ liệu thông tin người sử dụng. Mặc dù còn hết sức sơ sài, đây vẫn là một trong những điểm sáng hiếm hoi của Luật An ninh mạng, góp phần bảo vệ thông tin cá nhân, quyền riêng tư của người dân, nhưng cho đến nay tôi chưa thấy các doanh nghiệp Việt Nam gặp sự cố tuân thủ theo điều luật này, mà họ thường chối bỏ hoặc tìm mọi cách giấu nhẹm.
Nguồn https://vnhacker.blogspot.com/2020/01/mot-chuyen-i-harvard.html
