Bài viết này mang quan điểm của cá nhân tôi. Tôi không lên tiếng vì sếp của mình hay bất kỳ ai khác.
Tháng Mười Hai năm ngoái, tôi được đến dự Ngày hội Bảo mật Thông tin Việt Nam với tư cách là nhân viên thuộc đội ngũ bảo mật của Google. Đây là sự kiện được tổ chức thường niên bởi VNISA. Phía ban tổ chức luôn chọn một chủ đề cho sự kiện, và năm nay thì chủ đề đúng là không thể nghiêm trọng hơn: Bảo mật Thông tin và Chủ quyền Lãnh thổ. Tuy nhiên, như mọi lần thì buổi hội thảo chỉ như trò trẻ con. Nội dung chẳng liên quan gì đến kỹ thuật bảo mật thông tin, tất cả những bài thuyết trình đều giống như đang rao bán sản phẩm. Nói chung sự kiện này giống như người anh em Việt Nam cùng cha khác mẹ với đứa trẻ Mỹ giàu có hư hỏng có tên là Hội thảo RSA. Có một người thuyết trình tốn đến 30 phút để đọc về lịch sử hình thành phát triển của Samsung còn ở phía dưới khán giả chẳng-thèm-quan-tâm-vì-họ-chỉ-đến-đây-để-được-ăn-trưa-miễn-phí-và-trốn-việc. Nhiều lúc tôi chỉ muốn trốn ra ngoài và tự hỏi tại sao tôi phải đến đây. Tuy nhiên, dù sao thì cũng khó để từ chối một chuyến đi miễn phí đến Việt Nam. Tôi cũng nghĩ rằng tôi có thể biến buổi hội thảo trở nên thú vị hơn.
Cuộc thảo luận chuyển sang chiến lược bảo mật thông tin cho Việt Nam. Tôi không phải chiến lược gia chuyên về an ninh mạng, tôi thậm chí còn không biết là mình đang nói về cái gì, nhưng tôi chắc chắn rằng Việt Nam cần nhiều những kỹ sư tài giỏi hơn. Tôi nói với họ rằng Coursera và Udicity có các khóa học online được dạy bởi những giáo sư đầu ngành, và Việt Nam nên công nhận chứng chỉ được cấp bởi các khóa học này càng sớm càng tốt. Họ cần biến môn bảo mật thông tin trở nên hấp dẫn hơn đối với sinh viên, có thể tổ chức cuộc thi toàn quốc với giải thưởng lớn, hoặc yêu cầu các tổ chức cá nhân hoặc tổ chức công phải thuê ít nhật một kỹ sư chuyên về bảo mật.
Trong ngày thứ hai diễn ra hội thảo, mọi thứ dường như hoành tráng và nghiêm túc hơn tôi tưởng tượng. Tập đoàn Google là một trong những nhà tài trợ vàng, và tôi được chỉ định để thuyết trình, ngay sau một vị quan chức chính phủ, người đã có bài phát biểu mang phong cách lãnh đạo khiến người nghe phải gà gật liên tục lúc 9h sáng. Từ những trải nhiệm và mối quan hệ của bản thân, tôi biết rất nhiều công ty tại Việt Nam đang dành tất cả ngân sách cho vấn đề bảo mật để mua giải pháp chìa khóa trao tay và phải trả tiền cho tư vấn viên về an ninh bảo mật thông tin (ISO 27001) hoặc các nhân viên kiểm toán của PCSI DSS. Tôi chỉ muốn nói với họ rằng cách họ đang làm hoàn toàn sai.
Lúc bắt đầu bài thuyết trình, tôi có nói luôn rằng tôi chẳng có gì để chào bán hết, nhưng tôi muốn chia sẻ một vài kinh nghiệm về việc chúng tôi làm công tác bảo mật như thế nào ở Google. Tôi đưa ra một bức ảnh chụp taviso@ và hỏi xem mọi người có biết đây là ai không. Tôi thấy đúng một cánh tay của bạn tôi giơ lên. Tôi cũng kể với họ về Sophail, và giải thích vì sao mua nhiều thiết bị hoặc “giải pháp APT” lại không cần thiết cho công tác bảo mật. Tôi kể với họ về các lỗ hổng bảo mật mới được tiết lộ gần đây của Cisco ASA, và tôi đảm bảo với họ rằng chúng tôi tìm thấy rất nhiều lỗ hổng tại bất cứ chỗ nào chúng tôi kiểm tra. Tôi nhấn mạnh rằng phần mềm luôn luôn có lỗ hổng, và phần mềm bảo mật cũng là phần mềm. Có điều, phần mềm bảo mật phức tạp hơn, và đương nhiên sẽ có nhiều lỗ hổng hơn.
Kể chuyện này ra thật không khác gì cái tát vào mặt các nhà tài trợ khác có mặt hôm đó, nhưng đó chính xác là những gì tôi muốn nói. Tôi chẳng muốn kết bạn gì hết, chỉ muốn nạp thêm nhiều kẻ thù. Tôi trích dẫn lời một giám đốc bảo mật của Sony trong một bài phỏng vấn năm 2007 với tạp chí CIO rằng ông sẽ không đầu tư “10 triệu USD chỉ để ngăn ngừa việc mất 1 triệu USD”, và giải thích rằng vì sao kiểu quản lý liều lĩnh bằng các con số như vậy lại không hiệu quả, và vì sao mọi người không nên bận tâm đến mấy thứ kiểu như ITIL hay ISO 27001 trừ khi họ cần đến họ để giành hợp đồng làm ăn. Nó cũng giống như việc bạn không cần đến CISSP để trờ thành kỹ sư chuyên về bảo mật, trừ khi công việc của bạn đòi hỏi điều đó. Tôi nói lại với họ những gì tôi đã nói trong buổi gặp gỡ lần trước, rằng: họ cần dành tiền để đào tạo và tuyển các kỹ sư, nếu đó là giải pháp vốn có cho những vấn đề bảo mật chúng ta đang đối mặt.
Ai trong ngành này cũng đều hiểu rằng phá vỡ một hệ thống luôn dễ hơn là bảo vệ nó. Tôi đã chỉ ra một điều bất cân xứng mà rất nhiều người không biết: những người làm công tác bảo mật hiểu rõ hệ thống của họ hơn bất kỳ kẻ tấn công nào. Một khi những kẻ tấn công đã lọt được vào bên trong, chúng có thể kích hoạt một vài cái bẫy mà những người quản trị hệ thống đã mất nhiều năm xây dựng và thường xuyên hiệu chỉnh. Không có bất cứ một giải pháp sẵn có nào có thể làm được chuyện này, và việc có một đội ngũ gồm những kỹ sư bảo mật chuyên nghiệp là cách duy nhất để thực hiện nó. Phần lớn các doanh nghiệp cỡ nhỏ và cỡ trung nên đứng trên vai của gã khổng lỗ như Google hoặc Amazon, sử dụng dịch vụ điện toán đám mây vừa rẻ vừa an toàn hơn. Đối với những dữ liệu cực kỳ nhạy cảm, họ muốn sử dụng loại mã hóa từ-đầu-đến-cuối để tránh rò rỉ dữ liệu cho bên thứ ba.
Tôi đoán rằng bài nói chuyện của tôi đã được đón nhận nhiệt tình. Trừ việc một đại diện bán hàng của Trend Micro cáo buộc rằng tôi đã nói dối để bán được dịch vụ điện toán đám mây cho Google, thì rất nhiều người đã chào hỏi tôi sau đó và nói rằng bài thuyết trình của tôi đã giúp họ được mở mắt. Sau đó tôi được mời đến gặp đội ngũ bảo mật của Viettel, tập đoàn truyền thông lớn nhất thuộc Bộ Quốc phòng. Khi tôi đang nói chuyện với bên Viettel, thì một người đàn ông mặc sắc phục cắt ngang chúng tôi, và yêu cầu được nói chuyện riêng với tôi. Chúng tôi đi ra phía ngoài phòng chính, người đàn ông đó giới thiệu anh là nhân viên của Cơ quan An ninh thuộc Bộ Quốc phòng. Tôi cứ nghĩ là mình sẽ gặp rắc rối vì những gì đã chia sẻ trên blog.
Người nhân viên này nói rằng bài phát biểu của tôi rất thú vị, nhưng ngay lập tức đi thẳng vào vấn đề và hỏi liệu tôi có thể giúp anh xác định các bloggers ẩn danh đằng sau vài blog trên trang blogspot.com được không (!?). “Họ chỉ đăng vài thứ lên rồi sau đó biến mất luôn. Chúng tôi cố gắng theo dõi họ nhưng chẳng có kết quả gì. Liệu anh có thể tìm ra địa chỉ IP hoặc địa chỉ email của họ cho chúng tôi được không?” Tôi giải thích rằng tôi không có thẩm quyền để trả lời câu hỏi này, nhưng nếu anh gửi email cho tôi thì tôi sẽ chuyển câu hỏi đến đúng người. Tôi nói rằng Google sẽ không làm gì đâu vì “văn hóa của họ khác với văn hóa của chúng ta.” Tôi không biết tại sao, nhưng tôi vẫn muốn giả vờ rằng ngay cả khi tôi không thể làm gì thì tôi vẫn đứng về phía họ. May mắn thay, anh ta chỉ hỏi tôi đúng một câu duy nhất. Tôi trở lại hội trường chính, nhưng không được 5 phút thì lại có một người mặc sắc phục khác đến yêu cầu được nói chuyện riêng với tôi. Anh ta cũng là người bên Bộ Quốc Phòng và hỏi tôi chính xác câu hỏi nêu trên. Tôi vẫn diễn trò tương tự và cuối cùng anh ta cũng để tôi đi sau khi giải thích rằng đây là vấn đề an ninh quốc gia, và với tư cách là người Việt Nam thì tôi phải có nghĩa vụ giúp anh ta. Đây không phải lần cuối cùng trong chuyến đi này tôi được yêu cầu phải thực hiện nghĩa vụ công dân bằng việc tố cáo chính đồng bào của mình.
Một cuộc gặp gỡ ít nghiêm trọng nhưng hài hước hơn là với một nữ kỹ sư, đang công tác tại Cục An Toàn Thông Tin của một-bộ-rất-quan-trọng mà tôi không muốn nhắc đến để bảo toàn danh tính của cô. Do bản chất nhạy cảm của hệ thống cô đang quản lý, thì việc cô phụ thuộc toàn bộ vào một người bạn của tôi, người không hề làm trong bộ đó, là một thông tin tuyệt mật. “Tôi đã trải qua rất nhiều buổi hướng dẫn từ các cơ quan bảo mật thông tin từ các bộ ngành khác, nhưng tôi không tin họ vì họ đề cao bản thân quá. Mọi thứ họ gửi đến đều dán mác “tuyệt mật”, ngay cả khi đó chỉ là một bản copy một thông báo của Microsoft viết rằng phiên bản Windows XP này không còn được hỗ trợ nữa.” Cô kể với tôi rằng cơ quan của cô mua mọi loại máy quét lỗ hổng, nhưng cô chẳng hiểu phải làm gì với nó. “Sếp tôi lúc nào cũng muốn mua những thứ cụ thể. Thuyết phục quản lý rằng chúng tôi dùng tiền mua máy móc còn dễ hơn là bảo huấn luyện nhân viên, nhưng quan trọng hơn cả, đấy là cách tốt nhất để kiếm chút tiền lại quả.”
Vì vậy vấn đề không phải là chúng tôi không có tiền, mà vấn đề thực sự chính là chuyện: lãnh đạo tham nhũng. Lấy lý do tình hình căng thẳng với Trung Quốc đang leo thang, nên những người chịu trách nhiệm bảo việc hạ tầng thông tin của quốc gia đã tận dụng cơ hội để kiếm tiền đút túi. Đáng buồn ở chỗ những kẻ thông đồng lại đến từ Mỹ. Một nguồn tin kể với tôi rằng tỉ lệ lại quả tiêu chuẩn là vào khoảng 30% chưa bao gồm các bữa tiệc xa hoa và việc hối lộ tình dục. Tôi rất muốn giúp đỡ để bảo vệ đất nước mình, và tôi biết rằng tôi có khả năng đóng góp những điều ý nghĩa, nhưng chỉ riêng cái suy nghĩ rằng tôi phải đối phó với những người này cũng đủ khiến tôi phát bệnh. Không phải tất cả mọi người đều hỏi tôi, tôi nghĩ rằng họ chỉ chưa quan tâm đủ, hoặc có thể, họ không tin tôi.
Chuyện thú vị cuối cùng mà tôi biết chính là việc VCCorp đã bị hack như thế nào. Công ty này vận hàng mạng lưới quảng cáo lớn nhất cả nước, và có một danh mục đầu tư hấp dẫn về các sản phẩm và dịch vụ Internet. Họ bị hack nặng nề đến mức trong vài tuần của tháng Mười và tháng Mười Một phần lớn các trang web đều bị đánh sập. Một vài nguồn tin đáng tin cậy cho biết những kẻ tấn công đã chiếm quyền điều khiển một web cache proxy của một nhà cung cấp dịch vụ internet quốc doanh lớn nhất nước, và thay vào đó những đoạn cache của Adobe Flash trên thiết bị của Windows và Mac OS X với một vài phiên bản có chứa trojan. Hàng loạt máy tính xách tay và các máy chủ quản trị hệ thống của VCCorp đều bị nhiễm virus, và từ đó mọi thứ khác đều bị hack. Điều thú vị là cơ quan A68, thuộc Bộ Công an, đã nói với nạn nhân và các bên liên quan rằng sự việc lần này là vấn đề liên quan đến an ninh quốc gia. Họ nắm trong tay hàng loạt chứng cứ, và cấm mọi hành vi tiết lộ thông tin, ngay cả khi hàng triệu người đã bị nhiễm virus. Vì sao ư? Tôi nghĩ rằng họ muốn che giấu điều gì đó. Có điều này cần phải nói, nếu bạn đến Việt Nam, thì đừng bao giờ cài đặt bất cứ thứ gì.
Trong hai tuần cuối cùng của chuyến đi, tôi dành phần lớn thời gian để tổ chức TetCon Saigon 2015. Buổi hội thảo đúng là một thành công lớn vì đã thu hút được 400 người tham gia và rất nhiều diễn giả thú vị. Tổ chức một buổi hội thảo đúng là rất mệt vì phải đi gây quỹ, chọn chủ đề, đàm phán với đối tác, sắp xếp chi tiết… Tất cả đều chiếm phần lớn thời gian quý báu mà tôi muốn dành cho gia đình. Dù sao thì những điều nên làm thì đã hoàn thành, và hy vọng điều tốt đẹp sẽ đến. Tôi là một người may mắn trong công việc. Tôi đã có rất nhiều cơ hội được thấy và được làm những điều tuyệt vời, và tôi cho rằng nhiệm vụ của tôi là giúp những người đồng chí của mình có được các cơ hội như tôi từng có. Không phải để tố cáo họ, không bao giờ!
- See more at: https://www.danluan.org/tin-tuc/20150525/thai-tu-viet-nam-cau-chuyen-cua-mot-hacker#sthash.Z3y1eSN7.dpuf
Disclaimer: this post contains solely my personal opinions. I do not speak for my employer or anyone else.
Last December I was invited to present on behalf of Google Security Team at Vietnam Information Security Day Conference, a national security event held annually by VNISA. The organizers always pick a theme for the event, and this year can’t be more serious: Information Security and National Sovereignty. The conference has always been, however, a bad joke. It has zero technical content, all presentations are sponsors sales pitches. It's like a lost poor Vietnamese half-brother of the rich spoiled American kid named RSA Conference. One presenter spent 30' literally reading out loud the history of Samsung from his slide deck to an audience that don't-care-just-come-here-to-have-free-lunch-and-to-escape-work. At some point I zoned out and wondered why I was even there. Anyway it’s difficult to reject a free trip to Vietnam, and impossible once I’d told my SO. I also thought I might make the conference a bit more interesting.
The discussion changed to information security strategy for Vietnam. I’m no cybersecurity strategist, I didn't really know what I was talking about, but I know that the country needs more and better engineers. I told them Coursera and Udacity and their online courses taught by top professors, and that Vietnam should recognize their certificates as valid credentials as soon as possible. They need to make information security more appealing to students, perhaps by holding a nationwide capture the flag competition with big prizes, or by requiring private and public organizations at certain sizes or in certain sectors to hire at least one full-time security engineer. We chat a bit more, but I don’t remember what it was about.
The next day was the conference, which was bigger and more formal than I expected. Google was one of the gold sponsors, and I was assigned to give the second presentation, right after a government VIP who gave a leadership keynote, and successfully made most of the attendees asleep at 9 in the morning. From my experience and contacts, I know a lot of companies in Vietnam are spending all of their security budget buying turn-key solutions and paying ISO 27001 consultants or PCI DSS auditors, and I want to tell them that they’re doing it wrong.
I started the presentation saying that I had nothing to sell, but I just wanted to share some experiences of how we do security at Google. I showed a photo of taviso@ and asked if anyone knows him. I saw one hand, and it was a friend of mine. I told them about Sophail, and explained why buying more devices or “APT solutions” does not necessarily result in better security. I told them about the recent disclosed vulnerabilities in Cisco ASA, F5 load balancers, and assured them that we've found vulnerabilities in anything that we've ever looked at. I emphasized that software always has vulnerabilities, and security software is just another type of software. If anything, security software is often more complex, and thus has more vulnerabilities.
This would for sure piss off the other sponsors, but it’s exactly what I wanted to do. I wanted to make enemies not friends. I quoted the CISO of Sony in a 2007 interview with CIO Magazine that he would not invest "$10 million to avoid a possible $1 million loss”, and explained why risk management by the numbers alone does not work, and why people should not bother with things like ITIL or ISO 27001 unless they need them to win contracts. It's like you don't need a CISSP to become a security engineer, unless your job requires it. I told them essentially what I told the gentlemen in the earlier meeting: they need to spend all of their money on training and recruiting engineers, and they need to do that now. Google won’t hire an army of full-time security engineers, if there’s a off-the-shelf solution for the security problems we’re facing. Of course not every one is Google, but more on that just in a moment.
Every one in the industry understands that breaking in a system is way easier than safeguarding it. I pointed out another asymmetry that many people are unaware of: the defenders understand their systems better than any adversaries. Once the attackers get in, they might trigger a custom trap or trigger a signal that the defenders have spent years building and tuning. No off-the-shelf solutions can do this, and having a team of competent security engineers is the only way to do it. Most small and medium businesses should stand on the shoulder of giants like Google or Amazon, and consider instead of building their own systems leveraging ready-to-use, usually cheaper and safer cloud services. For extremely sensitive data, they might want to use end-to-end encryption to avoid leaking data to third parties.
I thought the talk was well received. Aside from one sales representative from Trend Micro accusing me of lying to sell Google cloud services, many people greeted me afterward and said the presentation was eye-opening for them. I was invited to meet with the security team at Viettel, the largest communications corporation owned by the Ministry of Defense. While I was talking to Viettel, a uniformed man interrupted us, and asked me to have a private conversation with him. We walked outside the main conference room, the man introduced himself as an officer at the Information Security Agency at the Ministry of Defense. I thought I was in trouble, because of things that I wrote on this blog.
The officer said that he thought the talk was interesting, but immediately got down to business and asked if I can help him identify the bloggers behind some blogs on blogspot.com(!?) “They just posted a few things, then disappeared forever. We’ve tried to track them down, but no luck. Can you give us their IP or email addresses?” I explained that I don’t have the authority to answer this question, but if he emails me I’ll route it to the right person. I said that it’s unlikely that Google will do anything, as “their culture is different from ours.” I don’t know why, but I wanted to pretend that even though I can’t do anything I’m on their side. Luckily, it’s the only question that he had. I went back to the main hall, but it wasn’t more than 5 minutes before I was asked by another uniformed man to have a private conversation with him. He’s another officer at the Ministry of Defense, and he asked me exactly the same question. I played the same trick, and he let me go after explaining that this is a matter of national security, and as a Vietnamese it’s my responsibility to help him. It's not the last time during my trip I was asked to fulfill my citizenship duty by ratting out my own people.
A less serious but funnier encounter was with a female engineer, friend of friend, working at the Information Security Agency at the Very Important Ministry that I don't want to call out to protect her identity. Given the sensitive nature of her system, it’s a top secret that she has relied solely on a friend of mine, who is not an employee at that ministry, on everyday operations security. “I’ve got a lot of guidances from the information security agencies at other ministries, but I won’t trust them much because they take themselves too seriously. Everything they sent was stamped Top Secret, even if it was a copy of Microsoft’s announcement that Windows XP was no longer supported”. She told me that her agency has bought all the vulnerability scanners ever made, but she has no idea what she would do with them. “My boss always wants to buy concrete things. It’s easier to convince management that we’ve spent the money well by buying hardware, than doing intangible things like training the staff, but, most importantly, it’s the best way to get kick back”.
So it isn't that we don't have money, but the core of the problem is as old as humanity: people with power are corrupted. Given the raising tension against China, these people, whose one job is protect the country's information infrastructure, see nothing but an opportunity to pocket themselves a handsome share of government money. Most of the colluding vendors, sadly, are from the U.S. One source told me that the standard kick back rate is as high as 30%, not including expensive parties or sexual bribes. I very much want to help defend my motherland, and I know I'm capable of making meaningful contributions, but the mere thought that I have to deal with these people makes me feel sick. Not that had anybody asked me, I think they just don't care that much, or, perhaps, they just don't trust me.
The last interesting bit that I’ve learned was how VCCorp got hacked. The company runs the country’s largest display ad network, and has an interesting portfolio of Internet products and services. They got hacked so bad that for several weeks during October and November most of their websites were down. A few reliable sources told me that the attackers had compromised a web cache proxy at the largest, state-owned ISP, and replaced the cached copies of Adobe Flash on Windows and Mac OS X with trojaned versions. Laptops and workstations of VCCorp’s sysadmins were infected, and from there everything else was hacked. What interesting was A68, code name of the very powerful Information Security Agency at the Ministry of Public Security, told the victim and everyone involved that the incident was a matter of national security. They seized control of all evidences, and forbade any public disclosures, even if millions of people are probably still infected. Why? I think they want to hide something. At any rate, if you travel to Vietnam, never install anything.
The last two weeks in my trip I spent most of my time organizing TetCon Saigon 2015. The conference was a huge success, we attracted 400 attendees and a nice line up of speakers. Organizing a conference is tiresome, raising money, selecting talks, talking to partners, arranging speaker details, etc. all that take a lot of precious time that I'd rather spend with my family. Anyway what should be done needs to be done, and hopefully something good will come out of it. I was and am lucky with my career. I've got chances to see and work on wonderful things, and I take it as my duty to give some of my comrades the chances that I've got. Not to rat them out, hell no!
Thái
Athena chuyển ngữ
Theo Dân Luận
- Nguồn: Vietnam: A Hacker's Report - Thái
VANEWS VIDEO CHANNEL - TV 
Không có nhận xét nào:
Đăng nhận xét