Làm thế nào để giết một người và cả nền kinh tế

Ảnh: Computer World/ Getty Images
Share on facebook
Share on google
Share on twitter
Share on whatsapp
Share on email
Share on print
Share on facebook
Share on google
Share on twitter
Share on whatsapp
Share on email
Share on print

Nếu muốn hại ai đó, chỉ cần chờ họ vào bệnh viện rồi hack vào hệ thống phần mềm để đổi bệnh, đổi thuốc là xong.

Trong hai năm qua, tôi đã cùng với các chuyên gia trong và ngoài nước nhiều lần xâm nhập hạ tầng mạng máy tính các bệnh viện, với sự đồng ý của đơn vị chủ quản.

Tôi bắt đầu chương trình này sau khi trực tiếp xử lý những vấn đề an ninh mạng nghiêm trọng ở Việt Nam.

Tháng 10/2021, chúng tôi phát hiện lỗ hổng trong hệ thống Sổ sức khỏe điện tử, có thể dẫn đến lộ thông tin tên tuổi, số điện thoại, nơi làm việc, địa chỉ nhà, thông tin gia đình, con cái, v.v. của 25 triệu người Việt.

Tôi viết thư ngỏ, đính kèm thông tin cá nhân của 5 bộ trưởng và 300 đại biểu quốc hội, gửi cho văn phòng thủ tướng và những bên liên quan. Lỗ hổng sau đó đã được sửa chữa, nhưng vấn đề lớn vẫn còn đó.

Những hệ thống như thế này là một lỗ đen, chúng hút hết những dữ liệu cực kỳ nhạy cảm của tất cả mọi người, nhưng không ai biết bên trong chúng hoạt động thế nào, có an toàn hay không, ai được quyền truy xuất dữ liệu, đã bị xâm nhập hay chưa.

Cũng trong năm 2021 tôi đã cùng với anh Trịnh Phước An điều tra xử lý một sự cố an ninh mạng có lẽ thuộc hàng nghiêm trọng nhất lịch sử Việt Nam. Vì lý do bảo mật, tôi không thể chia sẻ thêm thông tin, nhưng hai tháng chiến đấu ở Hà Nội khiến chúng tôi nhận ra an ninh mạng đang tạo ra những nguy cơ cho cả nền kinh tế Việt Nam.

Kinh tế phát triển nhanh và vị trí địa chính trị khiến Việt Nam trở thành mục tiêu của nhiều nhóm hacker trên thế giới. Không khó để hack, hack xong rồi chẳng mấy khi bị truy bắt, hacker nước ngoài nhìn Việt Nam như một miếng mồi béo bở. Đây sẽ là một cuộc chiến dai dẳng, nhưng chưa cân sức. Việt Nam sẽ còn thua dài dài, vì thiếu nhân lực.

Việt Nam không thiếu hacker đẳng cấp thế giới, nhưng đa số tập trung săn lỗ hổng kiếm tiền thưởng từ các công ty nước ngoài. Đây là công việc thú vị, kiếm tiền và thậm chí kiếm nhiều tiền bằng sức lao động sáng tạo chân chính.

Tôi muốn tạo ra cơ chế để các tài năng của Việt Nam góp sức giải quyết các vấn đề của Việt Nam. Muốn vậy họ phải được tưởng thưởng xứng đáng. Có thực mới vực được đạo, cơm áo không đùa với hacker.

Hiện tại chúng tôi đã xây dựng được một đội hình nhìn cũng được với nhiều tài năng hứa hẹn. Đối với Việt Nam, mục tiêu của đội trước nhất là tìm cách xâm nhập những tổ chức chứa hai loại dữ liệu nhạy cảm nhất của người Việt là tài chính và sức khỏe.

Với các tổ chức này, trung bình đội của tôi mất 5 ngày để xâm nhập và thêm vài tuần nữa để đánh cắp dữ liệu, tài sản. Chúng tôi chưa bao giờ thất bại trong việc đánh cắp tiền. Chúng tôi cũng dễ dàng đánh cắp thông tin giao dịch, thậm chí thay đổi, chỉnh sửa dữ liệu nhạy cảm như tình trạng bệnh tật, thuốc uống.

Nếu bạn từng chụp chiếu X-ray, CT, MRI ở các bệnh viện trong nước, nhiều khả năng hình ảnh, thông tin cá nhân, kết quả giám định đã bị lộ từ lâu. Trong năm vừa qua, đội đã phát hiện hàng chục triệu hình ảnh y khoa như thế của người Việt nằm lộ thiên trên Internet, ai muốn xem cũng được.

Chúng tôi còn phát hiện vô số lỗ hổng lộ dữ liệu trong các giải pháp phần mềm y tế được sử dụng ở vài chục bệnh viện trên cả nước. Chẳng những có thể xem được thông tin bệnh nhân, chúng tôi còn có thể sửa hồ sơ bệnh án. Nếu muốn hại ai đó, chỉ cần chờ họ vào bệnh viện rồi hack vào hệ thống phần mềm để đổi bệnh, đổi thuốc là xong.

Đây là những lỗ hổng cơ bản, không có gì cao siêu, sử dụng những kỹ thuật đã được công bố từ thế kỷ trước. Không khó để kẻ xấu lợi dụng những lỗ hổng này để chiếm đoạt thông tin danh tính, sức khỏe của vài chục triệu người Việt.

Đây là lý do khiến dữ liệu danh tính, tài chính và sức khỏe của hàng chục triệu người Việt từ lâu đã lọt vào tay các đường dây lừa đảo quốc tế. Hậu quả là hàng ngàn nạn nhân khi bị lừa qua điện thoại xong vẫn không hiểu tại sao kẻ ác lại biết đầy đủ thông tin của mình và người thân.

Chúng tôi đã và đang làm việc với các tổ chức và các nhà cung cấp giải pháp để sửa chữa, nhưng gốc rễ vấn đề vẫn còn đó.

Lãnh đạo những tổ chức tài chính ngân hàng hay than với tôi rằng tiền họ không thiếu nhưng không tìm được người. Tôi nói giải pháp chỉ có hai chữ: tăng lương. Tăng gấp đôi không được thì tăng gấp ba, gấp năm, rồi sẽ đến lúc người ta phải chú ý. Ngon bổ rẻ, chọn hai thôi. Ngon bổ thì không thể rẻ.

Thiếu người đã đành, cơ chế còn dẫn đến vừa thừa vừa thiếu. Có tổ chức có đến 100 kỹ sư an ninh mạng, nhưng không tự bảo vệ được. Thực ra họ chỉ cần 10 người thôi, nhưng họ không thể trả lương cho mỗi kỹ sư gấp 10 lần, nên đành phải tuyển 100 người. Quý hồ tinh, bất quý hồ đa, nhưng cơ chế không cho phép làm theo người xưa.

Tình hình ở các bệnh viện, cơ sở y tế còn tệ hơn. Mục tiêu lớn nhất của bệnh viện là cứu người. Khi việc khám chữa bệnh còn đang quá tải, bác sĩ còn đang phải dùng hàng “ngon bổ rẻ” thì an ninh dữ liệu chỉ là thứ yếu.

Kể cả ở những nơi quan tâm, muốn đầu tư thì cũng phải mất nhiều công sức tiền của mới dọn dẹp được nợ công nghệ (technical debt) chồng chất trong nhiều năm. Bệnh viện không thể dừng hoạt động để sửa lỗi, mà trước tiên vẫn phải cứu người, rồi muốn sửa gì thì tính sau. Đối với các tổ chức khác cũng vậy. Thị trường phát triển nóng, họ vẫn sẽ phải liên tục xây sản phẩm dịch vụ mới để cạnh tranh và tồn tại.

Câu hỏi hiển nhiên cho cả nền kinh tế: làm sao để phát triển nhanh mà vẫn an toàn? Tôi đã suy nghĩ nhiều về câu hỏi này và cũng đã trao đổichia sẻ với nhiều cá nhân, tổ chức trong và ngoài nước.

Trước tiên, tôi nghĩ cần phải đồng ý điểm yếu an ninh mạng đang tạo ra nguy cơ mang tính hệ thống cho cả nền kinh tế, an sinh xã hội. Trong năm vừa qua, chúng tôi đã vài lần có cơ hội gây sụp đổ ngắn hạn hạ tầng tài chính ngân hàng Việt Nam. Đại diện một cơ quan hữu trách cũng cho biết mỗi năm người Việt mất hơn 1.000 tỷ đồng vì lừa đảo.

Thứ hai, chúng ta phải hiểu an toàn không cản trở phát triển, mà ngược lại. Giải quyết các điểm yếu trong hệ thống sẽ giúp Việt Nam phát triển nhanh hơn, mạnh hơn nữa. Kinh nghiệm làm việc hơn 10 năm ở Google cho tôi thấy an toàn là một lợi thế cạnh tranh.

Ferrari dám đẩy tốc độ những chiếc xe của họ lên hơn 300km/h vì họ biết mọi thứ vẫn an toàn. Những chuyên gia an toàn của Ferrari chắc chắn đã làm việc cực lực để đẩy giới hạn an toàn lên mức tối đa, nhờ đó mà xe của họ chạy nhanh hơn.

Thế thì Việt Nam tìm đâu ra những chuyên gia như vậy? Tôi nghĩ mấu chốt nằm ở nhu cầu của thị trường.

Nếu thị trường có nhu cầu cao, lương thưởng tốt, ắt sẽ có cung. Nhiều hacker Việt Nam đang đứng đầu bảng các chương trình săn lỗ hổng ở nước ngoài. Chỉ cần tưởng thưởng xứng đáng, tôi tin họ sẽ ưu tiên hỗ trợ Việt Nam.

Việc của nhà nước là đưa ra những chính sách thúc đẩy nhu cầu của thị trường. Tôi nghĩ nhà nước cần tạo ra luật yêu cầu các tổ chức phải công bố đại chúng khi gặp sự cố an ninh làm lộ thông tin cá nhân của lượng lớn khách hàng. Một bộ luật như vậy gọi là Data Breach Notification Law, nhiều nước đã làm rồi. Ngoài việc giúp người dân hiểu được nguồn lộ dữ liệu đến từ đâu, việc công bố đại chúng sẽ tạo ra áp lực thị trường buộc các tổ chức phải đầu tư tương xứng, tạo ra nhu cầu cho thị trường.

Tôi muốn kết thúc bằng một câu hỏi. Đội của tôi khá, nhưng trên thế giới phải có nhiều đội như vậy. Nếu một đội vài người đã có khả năng phá hủy hệ thống tài chính ngân hàng Việt Nam hay đánh cắp, thay đổi dữ liệu sức khỏe của hàng chục triệu người, nhiều quốc gia khác cũng có thể làm vậy. Câu hỏi là: tại sao họ chưa làm hay họ đã xâm nhập rồi mà chúng ta chưa biết?

KS Dương Ngọc Thái

Nguồn: https://vnhacker.substack.com/p/lam-the-nao-e-giet-mot-nguoi-va-ca

 

 

Share on facebook
Share on google
Share on twitter
Share on whatsapp
Share on email
Share on print

BÀI MỚI

Tổng Thống Vladimir Putin của Nga. Ảnh minh họa: Alexey Danichev/Pool/AFP via Getty Images

Hai năm chiến sự, Putin thắng hay thua?

Cuối tuần này, chiến tranh giữa Nga và Ukraine diễn ra vừa đúng hai năm. Trong lúc chiến trường đang ở thế giằng co thì câu hỏi đáng được nêu lên là ai thắng ai thua trong cuộc chiến ác liệt tàn phá một khu vực rộng lớn của Châu Âu, giết chết hàng chục ngàn binh sĩ mỗi bên, làm hàng chục triệu người mất nhà cửa và xáo trộn cả chính trị toàn cầu.

Nói cách khác, kẻ gây chiến, Tổng Thống Vladimir Putin của Nga, đã được gì và mất gì?

Ông Brad Adam, cựu giám đốc khu vực châu Á của Tổ chức Theo dõi Nhân quyền - HRW. Ảnh: RFA

Cựu giám đốc HRW châu Á phản hồi cáo buộc “báo cáo nhân quyền bịa đặt” của Hà Nội

Người phát ngôn Bộ Ngoại giao Việt Nam – Phạm Thu Hằng mới đây cho rằng báo cáo thường niên của Tổ chức Giám sát Nhân quyền (Human Rights Watch – HRW) về thành tích nhân quyền tồi tệ của Hà Nội năm 2023 là vu cáo, định kiến với ý đồ xấu nhằm vào Việt Nam, âm mưu phá hoại sự nghiệp phát triển kinh tế xã hội của Việt Nam, chia rẽ Việt Nam với cộng đồng quốc tế.

Phản hồi trước cáo buộc này, ông Brad Adam, từng là Giám đốc khu vực Châu Á của HRW trong 20 năm, từ 2002 – 2022, nói với RFA hôm 22/2, rằng mục tiêu của HRW là công bố thông tin chính xác và rằng, Chính phủ Việt Nam chưa bao giờ đưa ra một dẫn chứng cụ thể nào mà họ cho là sai.

Ảnh chụp FB Xuân Sơn Võ

Người giàu

Một đất nước có nhiều người giàu, thì đó là điều tốt, hay không tốt?

Có lần, tôi đến Đức. Vô bệnh viện, thấy bệnh viện được xây mới, hiện đại. Vị giáo sư nói, rằng họ có được bệnh viện này, là do sau khi thống nhất nước Đức, có một số hãng lớn chuyển trụ sở về thành phố đó, nên một thành phố thuộc Đông Đức cũ, mới có thể giàu có để xây được bệnh viện như vậy.

Ảnh: Diễn Đàn

Sự nguy hiểm của chiến lược thu thập dữ liệu gien trên diện rộng

Đây là một thời điểm quan trọng khi chúng ta đứng trước quyết định có thu thập dữ liệu gien (gen) trên diện rộng hay không. Bộ Công an lấy ý kiến các nhà khoa học và tôi hy vọng sẽ có nhiều nhà khoa học lên tiếng về vấn đề rất quan trọng này.

Dữ liệu nhạy cảm và quan trọng nhất của con người là dữ liệu gien. Nắm được gien là có khả năng hiểu rất nhiều về con người. Nắm được dữ liệu gien của một cộng đồng, một đất nước là hiểu rất rõ và khống chế, gây ảnh hưởng được lên cộng đồng/nước đó. Chính bởi vậy, với những vùng tự trị, Trung Quốc đã rất nhanh lấy dữ liệu gien trên diện rộng toàn dân của Tây Tạng và Tân Cương. Cá nhân hay tổ chức nào lấy được toàn bộ dữ liệu gien thì việc áp đặt hệ thống kiểm soát là dễ dàng, chỉ bằng một hai cú click trong tích tắc.