Làm thế nào để giết một người và cả nền kinh tế

Dương Ngọc Thái

12-3-2023

Nếu muốn hại ai đó, chỉ cần chờ họ vào bệnh viện rồi hack vào hệ thống phần mềm để đổi bệnh, đổi thuốc là xong.

Trong hai năm qua, tôi đã cùng với các chuyên gia trong và ngoài nước nhiều lần xâm nhập hạ tầng mạng máy tính các bệnh viện, với sự đồng ý của đơn vị chủ quản.

Tôi bắt đầu chương trình này sau khi trực tiếp xử lý những vấn đề an ninh mạng nghiêm trọng ở Việt Nam.

Tháng 10/2021, chúng tôi phát hiện lỗ hổng trong hệ thống Sổ sức khỏe điện tử, có thể dẫn đến lộ thông tin tên tuổi, số điện thoại, nơi làm việc, địa chỉ nhà, thông tin gia đình, con cái, v.v. của 25 triệu người Việt.

Tôi viết thư ngỏ, đính kèm thông tin cá nhân của 5 bộ trưởng và 300 đại biểu quốc hội, gửi cho văn phòng thủ tướng và những bên liên quan. Lỗ hổng sau đó đã được sửa chữa, nhưng vấn đề lớn vẫn còn đó.

Những hệ thống như thế này là một lỗ đen, chúng hút hết những dữ liệu cực kỳ nhạy cảm của tất cả mọi người, nhưng không ai biết bên trong chúng hoạt động thế nào, có an toàn hay không, ai được quyền truy xuất dữ liệu, đã bị xâm nhập hay chưa.

Cũng trong năm 2021 tôi đã cùng với anh Trịnh Phước An điều tra xử lý một sự cố an ninh mạng có lẽ thuộc hàng nghiêm trọng nhất lịch sử Việt Nam. Vì lý do bảo mật, tôi không thể chia sẻ thêm thông tin, nhưng hai tháng chiến đấu ở Hà Nội khiến chúng tôi nhận ra an ninh mạng đang tạo ra những nguy cơ cho cả nền kinh tế Việt Nam.

Kinh tế phát triển nhanh và vị trí địa chính trị khiến Việt Nam trở thành mục tiêu của nhiều nhóm hacker trên thế giới. Không khó để hack, hack xong rồi chẳng mấy khi bị truy bắt, hacker nước ngoài nhìn Việt Nam như một miếng mồi béo bở. Đây sẽ là một cuộc chiến dai dẳng, nhưng chưa cân sức. Việt Nam sẽ còn thua dài dài, vì thiếu nhân lực.

Việt Nam không thiếu hacker đẳng cấp thế giới, nhưng đa số tập trung săn lỗ hổng kiếm tiền thưởng từ các công ty nước ngoài. Đây là công việc thú vị, kiếm tiền và thậm chí kiếm nhiều tiền bằng sức lao động sáng tạo chân chính.

Tôi muốn tạo ra cơ chế để các tài năng của Việt Nam góp sức giải quyết các vấn đề của Việt Nam. Muốn vậy họ phải được tưởng thưởng xứng đáng. Có thực mới vực được đạo, cơm áo không đùa với hacker.

Hiện tại chúng tôi đã xây dựng được một đội hình nhìn cũng được với nhiều tài năng hứa hẹn. Đối với Việt Nam, mục tiêu của đội trước nhất là tìm cách xâm nhập những tổ chức chứa hai loại dữ liệu nhạy cảm nhất của người Việt là tài chính và sức khỏe.

Với các tổ chức này, trung bình đội của tôi mất 5 ngày để xâm nhập và thêm vài tuần nữa để đánh cắp dữ liệu, tài sản. Chúng tôi chưa bao giờ thất bại trong việc đánh cắp tiền. Chúng tôi cũng dễ dàng đánh cắp thông tin giao dịch, thậm chí thay đổi, chỉnh sửa dữ liệu nhạy cảm như tình trạng bệnh tật, thuốc uống.

Nếu bạn từng chụp chiếu X-ray, CT, MRI ở các bệnh viện trong nước, nhiều khả năng hình ảnh, thông tin cá nhân, kết quả giám định đã bị lộ từ lâu. Trong năm vừa qua, đội đã phát hiện hàng chục triệu hình ảnh y khoa như thế của người Việt nằm lộ thiên trên Internet, ai muốn xem cũng được.

Chúng tôi còn phát hiện vô số lỗ hổng lộ dữ liệu trong các giải pháp phần mềm y tế được sử dụng ở vài chục bệnh viện trên cả nước. Chẳng những có thể xem được thông tin bệnh nhân, chúng tôi còn có thể sửa hồ sơ bệnh án. Nếu muốn hại ai đó, chỉ cần chờ họ vào bệnh viện rồi hack vào hệ thống phần mềm để đổi bệnh, đổi thuốc là xong.

Đây là những lỗ hổng cơ bản, không có gì cao siêu, sử dụng những kỹ thuật đã được công bố từ thế kỷ trước. Không khó để kẻ xấu lợi dụng những lỗ hổng này để chiếm đoạt thông tin danh tính, sức khỏe của vài chục triệu người Việt.

Đây là lý do khiến dữ liệu danh tính, tài chính và sức khỏe của hàng chục triệu người Việt từ lâu đã lọt vào tay các đường dây lừa đảo quốc tế. Hậu quả là hàng ngàn nạn nhân khi bị lừa qua điện thoại xong vẫn không hiểu tại sao kẻ ác lại biết đầy đủ thông tin của mình và người thân.

Chúng tôi đã và đang làm việc với các tổ chức và các nhà cung cấp giải pháp để sửa chữa, nhưng gốc rễ vấn đề vẫn còn đó.

Lãnh đạo những tổ chức tài chính ngân hàng hay than với tôi rằng tiền họ không thiếu nhưng không tìm được người. Tôi nói giải pháp chỉ có hai chữ: tăng lương. Tăng gấp đôi không được thì tăng gấp ba, gấp năm, rồi sẽ đến lúc người ta phải chú ý. Ngon bổ rẻ, chọn hai thôi. Ngon bổ thì không thể rẻ.

Thiếu người đã đành, cơ chế còn dẫn đến vừa thừa vừa thiếu. Có tổ chức có đến 100 kỹ sư an ninh mạng, nhưng không tự bảo vệ được. Thực ra họ chỉ cần 10 người thôi, nhưng họ không thể trả lương cho mỗi kỹ sư gấp 10 lần, nên đành phải tuyển 100 người. Quý hồ tinh, bất quý hồ đa, nhưng cơ chế không cho phép làm theo người xưa.

Tình hình ở các bệnh viện, cơ sở y tế còn tệ hơn. Mục tiêu lớn nhất của bệnh viện là cứu người. Khi việc khám chữa bệnh còn đang quá tải, bác sĩ còn đang phải dùng hàng “ngon bổ rẻ” thì an ninh dữ liệu chỉ là thứ yếu.

Kể cả ở những nơi quan tâm, muốn đầu tư thì cũng phải mất nhiều công sức tiền của mới dọn dẹp được nợ công nghệ (technical debt) chồng chất trong nhiều năm. Bệnh viện không thể dừng hoạt động để sửa lỗi, mà trước tiên vẫn phải cứu người, rồi muốn sửa gì thì tính sau. Đối với các tổ chức khác cũng vậy. Thị trường phát triển nóng, họ vẫn sẽ phải liên tục xây sản phẩm dịch vụ mới để cạnh tranh và tồn tại.

Câu hỏi hiển nhiên cho cả nền kinh tế: làm sao để phát triển nhanh mà vẫn an toàn? Tôi đã suy nghĩ nhiều về câu hỏi này và cũng đã trao đổichia sẻ với nhiều cá nhân, tổ chức trong và ngoài nước.

Trước tiên, tôi nghĩ cần phải đồng ý điểm yếu an ninh mạng đang tạo ra nguy cơ mang tính hệ thống cho cả nền kinh tế, an sinh xã hội. Trong năm vừa qua, chúng tôi đã vài lần có cơ hội gây sụp đổ ngắn hạn hạ tầng tài chính ngân hàng Việt Nam. Đại diện một cơ quan hữu trách cũng cho biết mỗi năm người Việt mất hơn 1.000 tỷ đồng vì lừa đảo.

Thứ hai, chúng ta phải hiểu an toàn không cản trở phát triển, mà ngược lại. Giải quyết các điểm yếu trong hệ thống sẽ giúp Việt Nam phát triển nhanh hơn, mạnh hơn nữa. Kinh nghiệm làm việc hơn 10 năm ở Google cho tôi thấy an toàn là một lợi thế cạnh tranh.

Ferrari dám đẩy tốc độ những chiếc xe của họ lên hơn 300km/h vì họ biết mọi thứ vẫn an toàn. Những chuyên gia an toàn của Ferrari chắc chắn đã làm việc cực lực để đẩy giới hạn an toàn lên mức tối đa, nhờ đó mà xe của họ chạy nhanh hơn.

Thế thì Việt Nam tìm đâu ra những chuyên gia như vậy? Tôi nghĩ mấu chốt nằm ở nhu cầu của thị trường.

Nếu thị trường có nhu cầu cao, lương thưởng tốt, ắt sẽ có cung. Nhiều hacker Việt Nam đang đứng đầu bảng các chương trình săn lỗ hổng ở nước ngoài. Chỉ cần tưởng thưởng xứng đáng, tôi tin họ sẽ ưu tiên hỗ trợ Việt Nam.

Việc của nhà nước là đưa ra những chính sách thúc đẩy nhu cầu của thị trường. Tôi nghĩ nhà nước cần tạo ra luật yêu cầu các tổ chức phải công bố đại chúng khi gặp sự cố an ninh làm lộ thông tin cá nhân của lượng lớn khách hàng. Một bộ luật như vậy gọi là Data Breach Notification Law, nhiều nước đã làm rồi. Ngoài việc giúp người dân hiểu được nguồn lộ dữ liệu đến từ đâu, việc công bố đại chúng sẽ tạo ra áp lực thị trường buộc các tổ chức phải đầu tư tương xứng, tạo ra nhu cầu cho thị trường.

Tôi muốn kết thúc bằng một câu hỏi. Đội của tôi khá, nhưng trên thế giới phải có nhiều đội như vậy. Nếu một đội vài người đã có khả năng phá hủy hệ thống tài chính ngân hàng Việt Nam hay đánh cắp, thay đổi dữ liệu sức khỏe của hàng chục triệu người, nhiều quốc gia khác cũng có thể làm vậy. Câu hỏi là: tại sao họ chưa làm hay họ đã xâm nhập rồi mà chúng ta chưa biết?

Bình Luận từ Facebook

6 BÌNH LUẬN

  1. Rất hoan nghênh Dương Ngọc Thái

    “tôi đã cùng với anh Trịnh Phước An điều tra xử lý một sự cố an ninh mạng có lẽ thuộc hàng nghiêm trọng nhất lịch sử Việt Nam. Vì lý do bảo mật, tôi không thể chia sẻ thêm thông tin, nhưng hai tháng chiến đấu ở Hà Nội khiến chúng tôi nhận ra an ninh mạng đang tạo ra những nguy cơ cho cả nền kinh tế Việt Nam”

    Nếu tớ đoán không lầm, 1 số websites bị hacked, mất pswd, defaced, DDoS … đều có sự tham gia hoặc gián tiếp hoặc trực tiếp của Dương Ngọc Thái hoặc số người anh ta tập họp hoặc/và đào tạo . Tính khoảng thời điểm đó, chắc Dương Ngọc Thái đã có đóng góp tri/kiến thức để Bộ Công An hoàn tất luận An Ninh Mạng, mà dân mình gọi là luật ANIMAN. Chúc mừng, chúc mừng!

    Rất đồng ý với tác giả, An ninh mạng là rất quan trọng, nhứt là đv Việt Nam, khi số lượng những trang phản động & phản bội nhiều đến độ không còn phân biệt được thế nào là phản biện & thế nào là những phản khác, ví dụ phé . Có thể & đã gây ra những tình huống bất ổn cả trên mạng cũng như ngoài đời thật . Vụ biểu tình đặc khu là điển hình, phát xuất từ trên mạng rùi lan xuống xã hội

    Mong Dương Ngọc Thái sẽ cống hiến nhiều hơn nữa trong chuyện bảo vệ An Ninh cả trên mạng lẫn ngoài đời . Có vẻ từ ngày Dương Ngọc Thái bắt đầu đóng góp, và cả Hiếu PC nữa, những vụ việc phức tạp ngày càng giảm . Công đầu đấy!

    Chợt có khoảnh khắc Đông La, nước mắt nước mũi giàn giụa “Tớ hổng yêu Đảng bằng Dương Ngọc Thái!”

    Nên phát triển ngành hacking, hợp với tạng & tư duy dân Xã hội chủ nghĩa

  2. Một tấm lòng tốt được phô bày một cách khiêm tốn trên báo mạng lề dân, thật tội!
    Thật tế chẳng cần giới hacker ra tay thì đám dân đen cũng đã, đang và sẽ tiêu đời trong chế độ cs qua những gì mà xã hội đang diễn ra: bọn chóp bu đấu đá giành quyền và lợi ích để được độc quyền ăn trên xương máu người dân đến không chừa một thứ gì thì người dân xem như đã chết lâm sàng; đâu còn gì để hacker thế giới mắc công mò vào mà kiếm chác!

  3. Cha chung không ai khóc !
    Thằng quan đỏ nào cũng nghĩ trong đầu là mình gởi tiền bên ngân hàng Thụy Sỹ, bệnh thì qua Singapore, qua Nhật, Hàn, khi hạ cánh an toàn thì dông qua bên xứ đế quốc vì đã mua nhà bên ấy..nhưng chúng nó lại là những đứa chết trước vì hồ sơ bệnh lý đã bị sửa. Dân đen có gì để mất ? Bọn hacker nhắm vào đám quan đỏ, tư bản đỏ và đám tỷ phú lưu manh chứ chúng đâu rảnh lo chuyện dân nghèo. Riêng về chánh trị thì miễn bàn vì đồ đạc xài trong đảng của anh Chọng là hàng được Thiên Triều tặng và đội ngũ hacker của Trung Nam Hải lớn nhất địa cầu, ông Dương Quốc Thái có lòng cũng chẳng lo được, hơn nữa nhân tài việt làm sao đông hơn nhân tài hán ? Ai-ti việt trong nước đứa thì giúp bà này phanh phui chuyện riêng tư bà kia, có đứa chỉ giúp an ninh truy tìm hoạt động người yêu nước tranh đấu cho tự do nhân quyền còn chuyện quốc gia đại sự thì để đám anh em môi hở răng lạnh của anh Bí Trọng lo.

  4. Chỉ riêng chuyện bài này (của tác giả Dương Ngọc Thái) không có chỗ đăng xứng đáng cũng đủ nói lên nhiều điều. Chế độ này làm sao sử dụng nổi nhân tài? Làm sao dám cho nhân tài phát biểu?
    Xin mọi người lưu ý: Chúng đang rùm beng chuyện “tuyển chọn và sử dụng nhân tài”.
    Khi chưa thống nhất định nghĩa “nhân tài”, xin mọi người chớ tham gia thảo luận mà mắc bẫy Tuyên Giáo. Tham gia, tức là công nhận “đảng ta” đủ tầm sử dụng nhân tài.

    Mong Tiếng Dân cần có chiến lược dần dần trở thành TIẾNG DÂN (nối tiếp cụ Huỳnh) là nơi trí thức đúng nghĩa sẽ thay mặt dân lên tiếng một cách chững chạc, nghiêm nghị, vì quyền dân, Tự khắc bọn phi nghĩa lộ mặt. Chuyện dài lắm

Comments are closed.