Làm thế nào để giết một người và cả nền kinh tế
Nếu muốn hại ai đó, chỉ cần chờ họ vào bệnh viện rồi hack vào hệ thống phần mềm để đổi bệnh, đổi thuốc là xong.
Trong hai năm qua, tôi đã cùng với các chuyên gia trong và ngoài nước nhiều lần xâm nhập hạ tầng mạng máy tính trọng yếu của Việt Nam, với sự đồng ý của đơn vị chủ quản.
Tôi bắt đầu chương trình này sau khi trực tiếp xử lý những vấn đề an ninh mạng nghiêm trọng ở Việt Nam.
Tháng 10/2021, chúng tôi phát hiện lỗ hổng trong hệ thống Sổ sức khỏe điện tử, có thể dẫn đến lộ thông tin tên tuổi, số điện thoại, nơi làm việc, địa chỉ nhà, thông tin gia đình, con cái, v.v. của 25 triệu người Việt.
Tôi viết thư ngỏ, đính kèm thông tin cá nhân của 5 bộ trưởng và 300 đại biểu quốc hội, gửi cho văn phòng thủ tướng và những bên liên quan. Lỗ hổng sau đó đã được sửa chữa, nhưng vấn đề lớn vẫn còn đó.
Những hệ thống như thế này là một lỗ đen, chúng hút hết những dữ liệu cực kỳ nhạy cảm của tất cả mọi người, nhưng không ai biết bên trong chúng hoạt động thế nào, có an toàn hay không, ai được quyền truy xuất dữ liệu, đã bị xâm nhập hay chưa.
Cũng trong năm 2021 tôi đã cùng với anh Trịnh Phước An điều tra xử lý một sự cố an ninh mạng có lẽ thuộc hàng nghiêm trọng nhất lịch sử Việt Nam. Vì lý do bảo mật, tôi không thể chia sẻ thêm thông tin, nhưng hai tháng chiến đấu ở Hà Nội khiến chúng tôi nhận ra an ninh mạng đang tạo ra những nguy cơ cho cả nền kinh tế Việt Nam.
Kinh tế phát triển nhanh và vị trí địa chính trị khiến Việt Nam trở thành mục tiêu của nhiều nhóm hacker trên thế giới. Không khó để hack, hack xong rồi chẳng mấy khi bị truy bắt, hacker nước ngoài nhìn Việt Nam như một miếng mồi béo bở. Đây sẽ là một cuộc chiến dai dẳng, nhưng chưa cân sức. Việt Nam sẽ còn thua dài dài, vì thiếu nhân lực.
Việt Nam không thiếu hacker đẳng cấp thế giới, nhưng đa số tập trung săn lỗ hổng kiếm tiền thưởng từ các công ty nước ngoài. Đây là công việc thú vị, kiếm tiền và thậm chí kiếm nhiều tiền bằng sức lao động sáng tạo chân chính.
Tôi muốn tạo ra cơ chế để các tài năng của Việt Nam góp sức giải quyết các vấn đề của Việt Nam. Muốn vậy họ phải được tưởng thưởng xứng đáng. Có thực mới vực được đạo, cơm áo không đùa với hacker.
Hiện tại chúng tôi đã xây dựng được một đội hình nhìn cũng được với nhiều tài năng hứa hẹn. Đối với Việt Nam, mục tiêu của đội trước nhất là tìm cách xâm nhập những tổ chức chứa hai loại dữ liệu nhạy cảm nhất của người Việt là tài chính và sức khỏe.
Với các tổ chức này, trung bình đội của tôi mất 5 ngày để xâm nhập và thêm vài tuần nữa để đánh cắp dữ liệu, tài sản. Chúng tôi chưa bao giờ thất bại trong việc đánh cắp tiền. Chúng tôi cũng dễ dàng đánh cắp thông tin giao dịch, thậm chí thay đổi, chỉnh sửa dữ liệu nhạy cảm như tình trạng bệnh tật, thuốc uống.
Nếu bạn từng chụp chiếu X-ray, CT, MRI ở các bệnh viện trong nước, nhiều khả năng hình ảnh, thông tin cá nhân, kết quả giám định đã bị lộ từ lâu. Trong năm vừa qua, đội đã phát hiện hàng chục triệu hình ảnh y khoa như thế của người Việt nằm lộ thiên trên Internet, ai muốn xem cũng được.
Chúng tôi còn phát hiện vô số lỗ hổng lộ dữ liệu trong các giải pháp phần mềm y tế được sử dụng ở vài chục bệnh viện trên cả nước. Chẳng những có thể xem được thông tin bệnh nhân, chúng tôi còn có thể sửa hồ sơ bệnh án. Nếu muốn hại ai đó, chỉ cần chờ họ vào bệnh viện rồi hack vào hệ thống phần mềm để đổi bệnh, đổi thuốc là xong.
Đây là những lỗ hổng cơ bản, không có gì cao siêu, sử dụng những kỹ thuật đã được công bố từ thế kỷ trước. Không khó để kẻ xấu lợi dụng những lỗ hổng này để chiếm đoạt thông tin danh tính, sức khỏe của vài chục triệu người Việt.
Đây là lý do khiến dữ liệu danh tính, tài chính và sức khỏe của hàng chục triệu người Việt từ lâu đã lọt vào tay các đường dây lừa đảo quốc tế. Hậu quả là hàng ngàn nạn nhân khi bị lừa qua điện thoại xong vẫn không hiểu tại sao kẻ ác lại biết đầy đủ thông tin của mình và người thân.
Chúng tôi đã và đang làm việc với các tổ chức và các nhà cung cấp giải pháp để sửa chữa, nhưng gốc rễ vấn đề vẫn còn đó.
Lãnh đạo những tổ chức tài chính ngân hàng hay than với tôi rằng tiền họ không thiếu nhưng không tìm được người. Tôi nói giải pháp chỉ có hai chữ: tăng lương. Tăng gấp đôi không được thì tăng gấp ba, gấp năm, rồi sẽ đến lúc người ta phải chú ý. Ngon bổ rẻ, chọn hai thôi. Ngon bổ thì không thể rẻ.
Thiếu người đã đành, cơ chế còn dẫn đến vừa thừa vừa thiếu. Có tổ chức có đến 100 kỹ sư an ninh mạng, nhưng không tự bảo vệ được. Thực ra họ chỉ cần 10 người thôi, nhưng họ không thể trả lương cho mỗi kỹ sư gấp 10 lần, nên đành phải tuyển 100 người. Quý hồ tinh, bất quý hồ đa, nhưng cơ chế không cho phép làm theo người xưa.
Tình hình ở các bệnh viện, cơ sở y tế còn tệ hơn. Mục tiêu lớn nhất của bệnh viện là cứu người. Khi việc khám chữa bệnh còn đang quá tải, bác sĩ còn đang phải dùng hàng “ngon bổ rẻ” thì an ninh dữ liệu chỉ là thứ yếu.
Kể cả ở những nơi quan tâm, muốn đầu tư thì cũng phải mất nhiều công sức tiền của mới dọn dẹp được nợ công nghệ (technical debt) chồng chất trong nhiều năm. Bệnh viện không thể dừng hoạt động để sửa lỗi, mà trước tiên vẫn phải cứu người, rồi muốn sửa gì thì tính sau. Đối với các tổ chức khác cũng vậy. Thị trường phát triển nóng, họ vẫn sẽ phải liên tục xây sản phẩm dịch vụ mới để cạnh tranh và tồn tại.
Câu hỏi hiển nhiên cho cả nền kinh tế: làm sao để phát triển nhanh mà vẫn an toàn? Tôi đã suy nghĩ nhiều về câu hỏi này và cũng đã trao đổi, chia sẻ với nhiều cá nhân, tổ chức trong và ngoài nước.
Trước tiên, tôi nghĩ cần phải đồng ý điểm yếu an ninh mạng đang tạo ra nguy cơ mang tính hệ thống cho cả nền kinh tế, an sinh xã hội. Trong năm vừa qua, chúng tôi đã vài lần có cơ hội gây sụp đổ ngắn hạn hạ tầng tài chính ngân hàng Việt Nam. Đại diện một cơ quan hữu trách cũng cho biết mỗi năm người Việt mất hơn 1.000 tỷ đồng vì lừa đảo.
Thứ hai, chúng ta phải hiểu an toàn không cản trở phát triển, mà ngược lại. Giải quyết các điểm yếu trong hệ thống sẽ giúp Việt Nam phát triển nhanh hơn, mạnh hơn nữa. Kinh nghiệm làm việc hơn 10 năm ở Google cho tôi thấy an toàn là một lợi thế cạnh tranh.
Ferrari dám đẩy tốc độ những chiếc xe của họ lên hơn 300km/h vì họ biết mọi thứ vẫn an toàn. Những chuyên gia an toàn của Ferrari chắc chắn đã làm việc cực lực để đẩy giới hạn an toàn lên mức tối đa, nhờ đó mà xe của họ chạy nhanh hơn.
Thế thì Việt Nam tìm đâu ra những chuyên gia như vậy? Tôi nghĩ mấu chốt nằm ở nhu cầu của thị trường.
Nếu thị trường có nhu cầu cao, lương thưởng tốt, ắt sẽ có cung. Nhiều hacker Việt Nam đang đứng đầu bảng các chương trình săn lỗ hổng ở nước ngoài. Chỉ cần tưởng thưởng xứng đáng, tôi tin họ sẽ ưu tiên hỗ trợ Việt Nam.
Việc của nhà nước là đưa ra những chính sách thúc đẩy nhu cầu của thị trường. Tôi nghĩ nhà nước cần tạo ra luật yêu cầu các tổ chức phải công bố đại chúng khi gặp sự cố an ninh làm lộ thông tin cá nhân của lượng lớn khách hàng. Một bộ luật như vậy gọi là Data Breach Notification Law, nhiều nước đã làm rồi. Ngoài việc giúp người dân hiểu được nguồn lộ dữ liệu đến từ đâu, việc công bố đại chúng sẽ tạo ra áp lực thị trường buộc các tổ chức phải đầu tư tương xứng, tạo ra nhu cầu cho thị trường.
Tôi muốn kết thúc bằng một câu hỏi. Đội của tôi khá, nhưng trên thế giới phải có nhiều đội như vậy. Nếu một đội vài người đã có khả năng phá hủy hệ thống tài chính ngân hàng Việt Nam hay đánh cắp, thay đổi dữ liệu sức khỏe của hàng chục triệu người, nhiều quốc gia khác cũng có thể làm vậy. Câu hỏi là: tại sao họ chưa làm hay họ đã xâm nhập rồi mà chúng ta chưa biết?
Cảm ơn HV, NN, HL đã đọc và cho ý kiến bản nháp.
Trích :
Nghị định 53/2022/NĐ-CP của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng, được ban hành ngày 16-8 sẽ có hiệu lực thi hành từ ngày 1-10 tới (2022). Trong Nghị định có một chương quy định về việc lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Theo đó, các dữ liệu phải được nhà cung cấp dịch vụ lưu trữ tại Việt Nam gồm: dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam; dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra (tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu); dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam (bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác).
Nghị định 53 cũng quy định Bộ trưởng Bộ Công an ra quyết định yêu cầu lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam ....
Hết trích .
Nhân bài này của Thái, trước hết cho mình xin được cười cái nghị định của thằng cha nào ngồi trong salon máy lạnh nghĩ ra mà không biết bản thân hạ tầng công nghệ nước mình như cái dick, LoL ( Laugh out loud )
Hạ tầng thì dỏm, cáp thì đứt lên đứt xuống, thiết bị thì dùng toàn hàng của TQ. Nói không tin nhưng sự thật ngay cả các trụ sở CA cũng dùng camera của Hikvision , router của ZTE ... toàn những thiết bị được cộng đồng hacker chia sẻ exploit cái một. Muốn tây nó đặt datacenter cụ thể là user account địa phương hóa thì e là phải có thêm dịch vụ bảo hiểm data breach kakaka vậy nên chẳng ma nào dám, có đặt thì đặt hệ thống CDN các file tĩnh cho có cái gọi là đặt chứ còn lâu mà bọn Google, Facebook ... nó liều với dữ liệu của nó cho Đông Lào. Sự thật là hệ thống mạng của VN đã bị control từ rất lâu từ hạ tầng đến phần mềm này nọ, khi cần thì bọn nước lạ "nhấn nút" là xong hết, có điều là chưa đến lúc và bản thân bọn nó bây giờ cũng chẳng cần đánh đấm gì vì "cài cắm" xong cả rồi. Những đơn vị "hi-tech" như BKAV còn bị hack thì những đơn vị non-tech hành chính công, bv ... của VN thì sao ? nghĩ đến mà nổi da gà. Nếu họ muốn thật lòng cải tổ lại hệ thống thì phải có những policy triệt để minh bạch trong tuyển dụng nhân sự, lương bổng ( không phải COCC hoặc mấy thằng khựa đi lên từ phong trào đoàn viên, đảng viên học vài chứng chỉ vớ vẩn, trình độ abc ), đấu thầu dự án hạ tầng phải công khai minh bạch ... chứ không phải hoa hồng hoa huệ, sân sau sân trước. Nói chung để mong mỏi được như mr. Thái trình bày thì chắc rất khó hay nói thẳng là impossible ở xứ XHCN nửa vời này ( đúng bài XHCN thì đã tốt kakaka ) . Đành chịu thôi.
" Vài người thường ăn hải sản rồi lại chê bai mùi cá ao "😝