Rạng sáng Chủ nhật 24/3, hacker kích hoạt mã độc tống tiền tấn công một công ty môi giới chứng khoán, gây sụp đổ hệ thống phục vụ nhà đầu tư.

Tôi đang ở Hà Nội. Được kết nối, tôi đến hiện trường vì tò mò, ai dè ở lại đã hơn một tuần.

Mã độc tống tiền là mã độc máy tính khi kích hoạt sẽ mã hóa toàn bộ dữ liệu. Thuật toán mã hóa khiến ta chỉ có thể giải mã nếu có khóa bí mật.

Một sự cố như vậy cần xử lý hai việc chính: Phục hồi gấp hoạt động sản xuất kinh doanh và đảm bảo an ninh để không bị tấn công nữa. Như đôi cánh, hai nhiệm vụ này cần sự cân bằng, không thể tái hồi phục hệ thống nếu chưa an toàn, nhưng cũng cần mở cửa trở lại sớm nhất có thể. Chúng tôi đùa, phải "khẩn trương một cách từ từ".

Vì sắp rời Việt Nam, chúng tôi không thể xử lý toàn bộ sự cố, tôi đề nghị thuê thêm một công ty an ninh mạng trong nước phụ trách điều tra, rà soát an toàn. Với phần việc của mình, tôi gọi hai kỹ sư nhiều năng lượng từ Sài Gòn bay ra phối hợp với đội tại Hà Nội, tất cả chúng tôi lập tức bắt tay vào khôi phục hệ thống.

Quá trình gồm ba bước: Cô lập, loại bỏ và phục hồi. Khoanh vùng để cô lập hệ thống nghi ngờ bị xâm hại bằng cách kiểm soát đường truyền mạng, đảm bảo nội bất xuất ngoại bất nhập. Tiếp theo, rà soát để loại bỏ, giảm thiểu các nguy cơ, đảm bảo hệ thống sạch sẽ, an toàn. Cuối cùng, dựng lại hệ thống phần mềm ứng dụng để phục hồi hoạt động.

Từng là kỹ sư mật mã tại Google nên giải mã là việc yêu thích của tôi, nhưng không ngờ lần này khó đến vậy. Lượng dữ liệu lớn khiến việc giải mã mất nhiều thời gian và hay lỗi. Chúng tôi tìm được một vài cải tiến nhỏ nhưng không thể nhanh như kỳ vọng.

Tệ hơn, nhiệt huyết ban đầu bị lùi bước do thiếu ngủ, chúng tôi có lúc không còn minh mẫn. Thay vì đi ngủ, đội cố gắng xây dựng các giải pháp trong tình trạng "nửa tỉnh nửa mơ". Kết quả là tiến trình giải mã vẫn chậm, nhiều lỗi, có những trường hợp không lý giải được.

Giải mã không được lo một, nhưng giải thích không được làm tôi lo mười. "Ông kỹ sư" trong tôi rất bất an, kể cả không làm được thì cũng phải hiểu tại sao. Giải pháp tôi chọn là quay lại những điều cơ bản. Nếu giải mã lúc được lúc không, trước nhất phải hiểu cách mã độc hoạt động.

Đội đã bắt đầu phân tích mã độc từ ngày đầu tiên, nhưng bị cuốn vào việc khác nên không thể tập trung. Lần này, chúng tôi tập hợp những kỹ sư kinh nghiệm nhất, quyết làm cho xong.

Từ Hà Nội, kết nối với Sài Gòn, Houston cùng chuyên gia mã độc Chương Đồng ở Atlanta, nhóm kỹ sư Việt - Mỹ xuyên biên giới cuối cùng cũng hiểu được cách mã độc hoạt động, khi nào mã hóa bị sai và cách sửa lỗi.

Kết quả, những khâu trước đó mất hàng giờ hoặc thậm chí cả ngày nay chỉ còn vài phút. Đội cũng phát hiện một số cách giải mã độc đáo và còn triển khai cả giải mã tự động. Những thông tin quý giá này hữu ích cho nhiều người, chúng tôi sẽ sớm chia sẻ cho cộng đồng.

Giải mã xong, tiếp theo là phục dựng hệ thống phần mềm ứng dụng. Các chuyên gia điều tra an ninh mạng Việt Nam phối hợp với lực lượng kỹ sư của đơn vị bị ảnh hưởng đã làm việc không kể ngày đêm. Hệ thống phần mềm 17 năm được khôi phục trong 7 ngày.

Đội an ninh xây mới một vùng mạng sạch, cách ly hoàn toàn với hệ thống mạng đã có. Căn cứ vào lộ trình khôi phục đã công bố đại chúng, đội xác định từng máy chủ, từng phần mềm cần phải khôi phục theo thứ tự ưu tiên. Mỗi máy chủ được các chuyên gia rà soát cẩn thận để đảm bảo không còn mã độc. Mỗi phần mềm được đánh giá an ninh để giảm thiểu lỗ hổng bảo mật, sau khi đảm bảo an toàn nhất có thể mới chuyển vào vùng mạng sạch. Lần lượt như vậy cho đến khi từng dịch vụ hoạt động trở lại. Toàn bộ vùng mạng sạch được bọc thêm một lớp giám sát được chuyên gia theo dõi 24/7.

Không có gì đảm bảo được 100%, nhưng tôi thấy quy trình an ninh này rất bài bản và chi tiết, bám sát cách làm của thế giới.

Nhìn mọi người làm việc, tôi đã học được rất nhiều, không chỉ từ chuyên môn mà còn từ tâm huyết của họ với nghề. Điều tôi tâm đắc nhất là sự đoàn kết, đồng lòng vì lợi ích chung. Lực lượng hỗ trợ có nhiều người là nhân viên cũ của công ty môi giới. Họ cũng làm ngày làm đêm, ăn ngủ tại chỗ. Nhiều đơn vị là đối thủ cạnh tranh trên thương trường nhưng cũng cùng chung sức. Tôi chưa thấy ở đâu mà người ta có thể dễ dàng cho nhau mượn những thiết bị có giá trị hàng trăm nghìn USD để hỗ trợ xử lý sự cố.

Sau tất cả nỗ lực tưởng như không thể, công ty đã kết nối trở lại với toàn thị trường. Chưa mượt mà ngay nhưng mọi thứ đang tốt dần lên. Hệ thống phần mềm mới đã vượt qua thử thách đầu tiên.

Từ một ý tưởng hàn lâm, mã độc tống tiền đã trở thành thảm họa Internet toàn cầu, mỗi năm gây thiệt hại hàng tỷ USD. Theo một báo cáo của Nhà Trắng, chỉ riêng dòng mã độc NotPetya năm 2017 đã gây thiệt hại hơn 10 tỷ USD.

Công ty môi giới chứng khoán đang dần hồi phục sau biến cố, nhưng điều tôi lo là phần còn lại của thị trường. Từ 2021, khi bắt đầu trực tiếp đánh giá an ninh hạ tầng trọng yếu của Việt Nam, tôi đã thấy tấn công mạng là một rủi ro đe dọa nền kinh tế. Tôi rời Google một phần vì muốn tập trung vào vấn đề này của Việt Nam.

Kinh tế phát triển nhanh và vị trí địa chính trị khiến Việt Nam trở thành mục tiêu của nhiều nhóm tin tặc quốc tế. Không khó để hackhack xong dễ rửa tiền, tin tặc nước ngoài đang nhìn Việt Nam như một miếng mồi béo bở. Thay vì chỉ nhắm vào các ngân hàng, vụ tấn công lần này cho thấy ai cũng có thể trở thành nạn nhân.

Cuộc chiến sẽ còn dai dẳng, bất cân sức vì Việt Nam đang thiếu hụt nghiêm trọng nhân lực an ninh mạng chất lượng cao. Sự cố lần này khiến câu hỏi sẽ dồn về nguồn cung. Nền kinh tế không thể một đêm đào tạo được lực lượng chuyên gia có kinh nghiệm chống tin tặc quốc tế.

Năm 2009, Google bị tấn công mạng. Sự cố đó tạo ra cuộc cách mạng về nhận thức ở tập đoàn. Từ đó đến nay, họ không bị xâm nhập nữa mà còn biến an ninh mạng thành lợi thế cạnh tranh.

Tôi vừa thực chứng mầm mống một cuộc cách mạng tương tự. An ninh mạng là vấn đề toàn cầu và sự cố lần này là cơ hội quý để Việt Nam tham gia giải quyết câu hỏi lớn của thế giới.

* Thông tin trong bài được sự cho phép của các bên liên quan

Dương Ngọc Thái

Nguồn: Vnexpress/Bị tin tặc tấn công (vnexpress.net)

-------------------------------------

Chân dung hacker Dương Ngọc Thái: Từ cậu bé xóm nghèo tới Kỹ sư bảo mật cấp cao của Google

Hacker Dương Ngọc Thái có lẽ là cái tên rất quen thuộc với cộng đồng mạng Việt Nam, đặc biệt là với những ai làm trong lĩnh vực an ninh mạng. Xuất thân từ một xóm nghèo tại Quận 4, TP. Hồ Chí Minh nhưng với tinh thần cầu tiến, quyết tâm và đam mê, anh Thái hiện đang là Kỹ sư bảo mật cấp cao của Google, một trong những công ty công nghệ lớn nhất thế giới.

Dương Ngọc Thái, kỹ sư bảo mật cấp cao tại Google

Từ cậu bé xóm nghèo chỉ biết dùng máy tính để chơi game…

Nơi anh Thái sinh ra và lớn lên mọi người đều có cuộc sống vất vả. “Ở đây, trộm cắp có khi cũng là một cái nghề. Bạn bè xung quanh người học được thì gia đình không có tiền cho ăn học, kẻ có tiền lại không học được”, anh Thái từng chia sẻ.

Vì thế, theo anh Thái, may mắn lớn nhất đời anh chính là được bố mẹ cho ăn học đầy đủ. Anh Thái đến với Công nghệ thông tin cũng rất tình cờ. Anh kể lại rằng năm lớp 10 thì được làm quen với máy tính. Ban đầu khái niệm về IT của anh chỉ đơn giản là Photoshop, Corel và phần lớn thời gian anh sử dụng máy tính để chơi game.

Chơi tới mức chán game thì tình cờ anh Thái tìm được cuốn sách hướng dẫn lập trình căn bản. “Lúc đó tôi như kẻ rớt xuống vực lượm được bí kíp võ công vậy. Càng đọc tôi càng bị cuốn hút vào máy tính nhưng không phải để chơi game mà là để viết các chương trình”, Dương Ngọc Thái hào hứng kể lại.

Những năm tháng theo học ngành Công nghệ thông tin tại Trường ĐH Bách khoa (ĐHQG TP.HCM) anh Thái vừa học vừa làm bởi cha mẹ chỉ cho tiền học phí còn các khoản khác anh phải tự lo. Anh ngay lập tức nghĩ ra phương án làm thêm cho những công ty nước ngoài, thù lao mà anh nhận được lên tới 10 USD/1 giờ.

Việc làm thêm mang lại cho Thái nhiều kiến thức quý báu. Năm 3 đại học, Dương Ngọc Thái bỏ học vì được nhận vào làm việc ở Ngân hàng Đông Á. Sau đó, từ năm 2007 tới năm 2010, anh đảm nhận vị trí Trưởng phòng An ninh Thông tin, phụ trách công tác bảo mật cho Ngân hàng Đông Á.

Công việc rảnh rang, đơn giản tới nỗi anh cảm thấy nhàm chán. Anh tham gia nhiều dự án khác và thậm chí mày mò tìm lỗ hổng bảo mật. Tháng 9/2009, anh Thái nổi tiếng trên thế giới khi phát hiện ra lỗ hổng bảo mật nghiêm trọng của dịch vụ chia sẻ hình ảnh Flickr, lúc đó thuộc quyền sở hữu của Yahoo.

Cũng trong thời gian này, anh Thái lại tiếp tục được cộng đồng an ninh mạng toàn cầu chú ý khi phá hiện lỗ hổng bảo mật nguy hiểm của Microsoft, có thể ảnh hưởng tới hàng triệu trang web trên toàn cầu. Tháng 01/2011, kỹ thuật tấn công để phát hiện lỗ hổng của Microsoft mà anh Thái nghĩ ra còn được cộng đồng an ninh mạng thế giới bầu chọn là kỹ thuật tấn công hay nhất thế giới năm 2010.

Tháng 10/2010, Dương Ngọc Thái quyết định nghỉ việc tại Ngân hàng Đông Á để tìm kiếm những thử thách mới.

Anh Thái trong một ngày làm việc bình thường tại Google

… tới Kỹ sư bảo mật cấp cao của Google

Sau hơn một tháng thất nghiệp, Dương Ngọc Thái đã nghĩ tới việc ra nước ngoài tìm kiếm cơ hội cho bản thân mình. Anh Thái phỏng vấn với một ngân hàng của Anh, mọi việc diễn ra suôn sẻ nhưng cuối cùng phía ngân hàng không đề cập gì tới việc ký hợp đồng.

Ngay sau đó, Dương Ngọc Thái thấy anh bạn tại Mỹ đăng tải thông tin tuyển người trên Twitter. Anh ngay lập tức ứng tuyển và chỉ 5 phút sau đã nhận được cuộc gọi sắp xếp lịch phỏng vấn. Anh Thái không tin mình được tuyển cho tới khi nhận được thư mời nhận việc.

Giấc mơ Mỹ của anh Thái tưởng chừng đã tan biến khi mà để làm visa H1B cần có bằng đại học, thứ mà anh không hề có. Nhưng may mắn cho Thái, anh có đủ trình độ để chứng minh rằng mình có năng lực tương đương với người đã tốt nghiệp đại học. Vì thế, hồ sơ xin visa H1B của anh vẫn được chấp nhận.

Với vai trò Kỹ sư bảo mật tại Google, Dương Ngọc Thái đã có nhiều phát hiện ảnh hưởng lớn tới an toàn của internet toàn cầu. Những phát hiện của anh được trích dẫn trong nhiều báo cáo khoa học, được giảng dạy tại các trường đại học danh tiếng và đăng tải trên các tờ báo lớn trên thế giới. Trong đó, được biết đến nhiều nhất chính là bộ ba kỹ thuật tấn công nổi tiếng nhất mà anh Thái cùng cộng sự tạo ra mang tên BEAST, CRIME và POODLE.

Hiện tại, anh Thái chia sẻ mình đang là trưởng nhóm Bảo mật/Tiền mã hóa tại Google. Công việc của anh Thái là giúp người dùng an toàn hơn khi sử dụng Gmail, Google Search, Android, YouTube và các sản phẩm khác của Google…

Bên cạnh đó, Anh Thái và nhóm của mình cũng thường xuyên có những dự án đóng góp cho an toàn chung của mạng internet. Hai trong số những dự án này là Google Tink và Project Wycheproof. Google Tink là thư viện mã nguồn mở đa nền tảng được thiết kế để giúp đơn giản hóa các hoạt động mã hóa thông dụng trong khi đó Project Wycheproof là công cụ kiểm tra điểm yếu của các thư viện mật mã. Hiện mã nguồn của cả Google Tink và Project Wycheproof đều được cung cấp trên GitHub.

(theo QuanTriMang)