4 tháng 8, 2016

Hội chứng Bất ngờ & lỗi hệ thống

Nguyễn Quang Dy 
Hình như nhiều người mắc phải “hội chứng bất ngờ”. Không biết họ bất ngờ thật hay giả, nhưng chuyện gì cũng “bất ngờ” và “ngạc nhiên”. Không biết vì họ vô cảm hay muốn vô can, nhưng hầu như đều vô tội nếu biết đổ lỗi cho người khác (hay cho hệ thống). Công chúng bức xúc tranh cãi ồn ào, nhưng bất lực nên rồi đâu lại vào đấy. Người ta chỉ để ý đến hiện tượng, chứ ít quan tâm đến bản chất và nguyên nhân thực sự (“lỗi hệ thống”). 
Ví dụ: người ta “ngạc nhiên” vì bội chi ngân sách và nợ quá nhiều, vì các quan tham “ăn không chừa cái gì”, vì Formosa gây ra thảm họa môi trường làm cá chết, vì người dân biểu tình đòi minh bạch, vì dòng người và dòng tiền lũ lượt ra đi, vì máy bay Su 30MK và CASA 212 bị rơi tại Biển Đông, vì hackers tấn công mạng sân bay, v.v. Nhưng cũng “ngạc nhiên” khi có người khuyên “không nên khiêu khích, thách thức hacker ngước ngoài”! 
Vậy đâu là nguyên nhân? Phải chăng do ta khiêu khích, thách thức hacker nước ngoài? Hay do ta ủng hộ phán quyết của PCA nên “hacker lạ” tấn công? Muốn biết thủ phạm là ai không khó (không cần đến 3 tháng mới tìm ra Formosa). Đấy không phải là “suy diễn” mà là nhìn thẳng vào sự thật. Nhưng ai muốn “đeo chuông vào cổ mèo”? Nếu nhầm lẫn (do vô tình hay cố ý) thì không biết hoặc không muốn thừa nhận thực tế (tức vô minh hoặc bất minh). Vì vậy, “hội chứng bất ngờ” là do “lỗi hệ thống”, hay do cái “bẫy ý thức hệ” (là nguyên nhân của mọi nguyên nhân) làm người ta lẫn lộn (hoặc sợ hãi) nên “ngạc nhiên” (hay giả bộ). Vô cảm thường do cực đoan, và cực đoan làm người ta vô cảm (và vô minh). 
Huawei & ZTE: Con ngựa thành Troy? 
Thực ra, các sự kiện trên không thực sự bất ngờ. Đằng sau các sự kiện đó đều có bóng dáng ông bạn vàng bốn tốt. “Hội chứng bất ngờ” là do “lỗi hệ thống”, làm người ta lẫn lộn nên chủ quan mất cảnh giác (do vô tình hay cố ý). Lỗ hổng an ninh là do hệ tư tưởng. Tại sao người ta để nhà thầu Trung Quốc xây trụ sở mới của Bộ Công An rồi không dám sử dụng (vì sợ rủi ro)? Tại sao người ta để nhà thầu Trung Quốc xây đường sắt trên cao Hà Nội-Hà Đông rồi bỏ dở? (vì không đảm bảo an toàn chất lượng, tuy giá tăng gấp đôi).  Vấn đề là biết hay không biết. Nếu không biết là vô minh (khó lý giải). Nếu biết mà vẫn để xảy ra là bất minh (càng khó lý giải). Hãy lấy sự kiện hackers tấn công mạng sân bay vừa rồi làm “case study” để minh họa “hội chứng bất ngờ” vì lỗ hổng an ninh là do “cái bẫy ý thức hệ”. “Thoát Trung” không phải một khẩu hiệu. “Con ngựa thành Troy” không phải là huyền thoại hay thuyết âm mưu, mà là sự thật hiện hữu tại Việt Nam. 
Người Việt không lạ gì tập đoàn Hoa Vi (Huawei) và Trung Hưng Thông Tấn (ZTE). Hai tập đoàn này đã được chính quyền Mỹ và nhiều nước khác cảnh báo vì các hoạt động gián điệp công nghệ cao. Ngày 8/12/2012, Ủy Ban Tình Báo Hạ Viện Mỹ đã công bố một báo cáo đưa ra bằng chứng “Huawei và ZTE là hiểm họa an ninh” đối với Mỹ. Hạ nghị sỹ Mike Rogers (Chủ tịch Ủy Ban Tình Báo) đã kêu gọi các công ty Mỹ tẩy chay hai tập đoàn này. Mỹ cho rằng Huawei là công cụ của Bắc Kinh trong cuộc chiến tình báo. Người sáng lập Huawei (ông Nhậm Chính Phi) là một cựu sĩ quan của quân đội Trung Quốc (PLA). 
Năm 2010, khi Sprint Nextel nâng cấp hệ thống, Huawei đề nghị tham gia, sử dụng thiết bị SingleRAN để xử lý cùng lúc các tín hiệu 2G, 3G, WiMax, CDMA, GSM bằng một chiếc hộp (tiết kiệm được 800 triệu USD/năm). Nhưng Bộ trưởng Thương mại Gary Locke và Thượng nghĩ sỹ Jon Kyl đã trực tiếp can thiệp với với CEO của Sprint Nextel vì lý do an ninh quốc gia, nên cuối cùng họ đã chia gói thầu (5 tỷ USD) cho Ericsson, Alcatel và Samsung. Năm 2012, Chính phủ Úc không cho Huawei tham gia đấu thầu dự án mạng băng thông trị giá 37 tỷ USD, vì lý do an ninh quốc gia. Tháng 6/2016, Mỹ tiếp tục điều tra Huawei bị cáo buộc xuất khẩu thiết bị cho Syria, Iran, Sudan, Cuba, North Korea (vi phạm cấm vận). 
Nhưng tại Việt Nam, Huawei và ZTE rất thành công (như Formosa). Theo báo Nhịp cầu Đầu tư (29/4/2013) Huawei đã đánh bại Ericsson, Alcatel, Nokia, Siemens, France Telecom, Motorola để trở thành nhà thầu cung cấp hệ thống tổng đài, mạng lõi, các trạm thu phát sóng cho Viettel, MobiFone, Vinaphone, Vietnamobile, SFone, G-Tel. Họ cạnh tranh bằng phá giá, với “mức giá rẻ chưa từng có” (kèm theo quà cáp). Theo báo Thanh Niên (4/2013) có 6/7 hãng viễn thông Việt Nam sử dụng thiết bị công nghệ của Huawei và ZTE. Đặc biệt, có 30.000 trạm phát sóng (BTS) của các nhà mạng sử dụng thiết bị của hai tập đoàn này. 
Một phó Chủ tịch VNISA nhận xét “đây là mối lo về an ninh, an toàn cho hệ thống viễn thông trong cả nước”. Nhưng ta đối phó với những nguy cơ về an ninh mạng như thế nào? Có lẽ cũng như nguy cơ ô nhiễm môi trường, an toàn thực phẩm, hệ thống ngân hàng, chủ quyền biển đảo, và an ninh quốc gia. Chưa có một cơ chế liên ngành nào được lập ra để kiểm soát rủi ro về an ninh (như Huawei và ZTE). Chính phủ không hành động, Quốc Hội cũng không lên tiếng. Mạng thông tin của Quốc Hội và Chính phủ chưa chắn an toàn. Trong thế giới phẳng này, chẳng nơi nào an toàn (kể cả Mỹ). Nhưng nếu không làm gì để kiểm soát rủi ro và ngăn chặn tai họa, thì không phải chỉ sân bay mới có “Virus thành Troy”. 
Nhóm 1937CN: Thủ phạm hacking? 
Chiều tối 29/7/2016, mạng thông tin của hai sân bay quốc tế Nội Bài và Tân Sơn Nhất đã bị hackers tấn công và tê liệt trong vài giờ. Hệ thống màn hình hiển thị thông tin và phát thanh tại sân bay, và mạng chính thức của Vietnam Airlianes đã bị chiếm quyền kiểm soát, với hình ảnh và ngôn ngữ có nội dung kích động chống Việt Nam và Philippines. Hơn 100 chuyến bay đã bị chậm, và hơn 400.000 dữ liệu của hành khách đã bị hackers thu thập và tung lên mạng, với hơn 90Mb dữ liệu trong file excel (theo một Facebooker). 
Các chuyên gia bảo mật đã phát hiện dấu vết của nhóm 1937CN, và website 1937cn.net là một trang mạng hacker của Trung Quốc. 1937CN là nhóm hacker nổi tiếng và mạnh nhất Trung Quốc, xếp thứ nhất với 36.820 cuộc tấn công đã thực hiện. Website này đã thống kê 32.484 cuộc tấn công tại các nước láng giềng của TQ (trong đó có VN). Theo trang SecurityDaily, tháng 8/2013, nhóm 1937CN đã tấn công vào hệ thống máy chủ DNS của Facebook.com.vn và thegioididong.com. Tháng 5/2014, nhóm 1937CN đã tấn công hơn 200 websites của Việt Nam và để lại những lời nhắn và hình ảnh khiêu khích. 
Đây không phải lần đầu tiên hệ thống mạng của Vietnam Airlines bị tấn công. Ngày16/6/2016, đài không lưu tại sân bay Tân Sơn Nhất đã bị chiếm sóng 18 phút. Trang chủ của Vietnam Airlines đã phải thay đổi giao diện, và thông tin trên mạng ghi rõ trang này đã bị 1937CN tấn công. Nếu hackers có thể xâm nhập vào hệ thống thông tin ở sân bay thì chúng cũng có thể xâm nhập hệ thống đảm bảo an toàn bay (như đã xảy ra trước đó). Theo báo Lao Động, “Hàng không Việt Nam đã chủ động đánh sập hệ thống điều hành liên quan đến an toàn bay để không bị hacker tấn công”. Đó là một cách giải thích vụng về, chứng tỏ Vietnam Airlines bất lực, không bảo vệ được mạng điều hành trước tin tặc tấn công. 
Trong dịp tiếp xúc với cử tri sau kỳ họp Quốc Hội vừa qua, Chủ tịch Nước Trần Đại Quang nhấn mạnh tấn công mạng là “hình thái chiến tranh mới, nếu để xảy ra sẽ để lại hậu quả khôn lường … Chúng ta không thể lãnh đạo theo kiểu cũ nữa”. Theo nhận định của các chuyên gia mạng, Việt Nam là một trong những mục tiêu tấn công hàng đầu của tội phạm mạng, “nhưng ý thức phòng ngừa của chúng ta chưa đầy đủ”. 
Bộ trưởng TT&TT Trương Minh Tuấn thừa nhận trước khi tin tặc tấn công 2 giờ, VNCERT đã phát đi cảnh báo số 1 yêu cầu kiểm tra và xử lý sự cố mã độc khẩn cấp. Ông Tuấn nói các nhà mạng lớn ở Việt Nam đều sử dụng thiết bị Trung Quốc, và các thiết bị đó có thể có vấn đề (nhưng không nên suy diễn). Cựu ĐBQH Nguyễn Minh Thuyết cho rằng tin tặc tấn công làm Việt Nam “giật mình” và phải lường trước những vụ còn nghiêm trọng hơn. Ông Thuyết cũng nói việc các cơ quan nhà nước và người dân sử dụng quá nhiều phần mềm, thiết bị máy tính và hệ thống mạng do Trung Quốc sản xuất là một nguy cơ lớn. 
Nếu nhóm 1037CN thực sự là thủ phạm thì đó vẫn chưa phải là nguy cơ lớn nhất (the worst is yet to come). Có lẽ nhóm này chỉ là hackers “dân quân”, trong khi “Nhóm Thượng Hải” (đơn vị 61398) mới là lực lượng hackers “chủ lực”. Vậy đằng sau 1037CN là ai? Có liên quan đến đơn vị 61398 không? Có liên quan gì đến các thiết bị của Huawei và ZTE không? Tuy 1037CN đã lên tiếng phủ nhận, nhưng có nhiều dấu hiệu nhóm này từ lâu đã xâm nhập vào hệ thống mạng của Việt Nam, tuy chưa biết ai đứng sau nhóm này. 
Đó là một số vấn đề có liên quan mà chắc các cơ quan chức năng, đặc biệt là Cục An ninh Mạng cần quan tâm làm rõ, để có biện pháp đối phó kịp thời. Trong bối cảnh xung đột lợi ích quốc gia tại Biển Đông, bảo vệ an toàn không gian mạng quan trọng không kém bảo vệ không phận và hải phận. Sự kiện hackers tấn công mạng tại các sân bay có thể là một đòn cảnh cáo và đe dọa (sau phán quyết của PCA). Trước Đại Hội Đảng, không gian mạng và không phận Việt Nam cũng đã từng bị “máy bay lạ” và “tin tặc lạ” xâm nhập. 
Tấn công mạng là dấu hiệu của chiến tranh mạng, như một phần của thế trận “cờ vây” và chính sách “bên miệng hố chiến tranh” của Trung Quốc, trong bối cảnh tranh chấp Biển Đông. Trong chiến tranh hiện đại, chiến tranh mạng ngày càng quan trọng. Nó có thể diễn ra âm thầm hay ồ ạt, bất cứ lúc nào, thậm chí trước khi xảy ra xung đột. Nó có thể gây ra những tổn thất không thể lường trước, cả về tâm lý và phương tiện vật chất. 
Chiến tranh mạng có thể được định nghĩa một cách đơn giản là “một hành động thù địch trong không gian mạng (cyberspace) có thể gây tổn thất lớn hơn hoặc tương đương với hậu quả của một hành động vũ lực lớn”. Thường có 4 loại nguy cơ tấn công mạng có thể đe dọa an ninh quốc gia: Chiến tranh mạng (cyber war) và tình báo kinh tế (economic espionage) mà chủ thể là nhà nước; Tội ác mạng (cyber crimes) và khủng bố mạng (cyber terrorism) mà chủ thể thường là các tổ chức phi nhà nước (non-states). 
Theo giáo sư Joe Nye (“Cyber War and Peace”, Project Syndicate, April 10, 2012), việc phân tán quyền lực khỏi vai trò chính phủ là một trong những biến đổi về chính trị lớn nhất trong thế kỷ này, và không gian mạng là một ví dụ rõ nhất. Việc phụ thuộc vào các hệ thống mạng phức tạp để hỗ trợ các hoạt động quân sự và kinh tế đã tạo ra tình trạng dễ bị tổn thương của các nước lớn mà các nước nhỏ hay tổ chức phi nhà nước có thể lợi dụng. Chiến tranh mạng có vai trò ngày càng quan trọng trong xung đột lợi ích Trung-Mỹ. Các chuyên gia quân sự thường lo ngại về một trận tấn công “Trân Châu Cảng trên mạng”. 
Đơn vị 61398: Bất ổn Trung-Mỹ? 
Theo báo New York Times (19/2/2013), công ty an ninh mạng Mandiant của Mỹ đã công bố một báo cáo chứng minh đơn vị 61398 của quân đội Trung Quốc (PLA) đã điều hành nhóm hackers mang tên Nhóm Thượng Hải. Trong 6 năm qua, nhóm này đã tấn công mạng và đánh cắp dữ liệu của 141 tổ chức và công ty, thuộc 20 lĩnh vực trong đó có các nhà thầu quân sự, công ty khai khoáng, viễn thông, hóa chất, chủ yếu ở Mỹ và một số nước. Chính phủ Mỹ đã khởi động một chương trình phòng chống tin tặc mạnh mẽ. 
Báo cáo cho biết trụ sở của đơn vị 61398 là một tòa nhà 12 tầng ở ngoại ô Thượng Hải (trên đường Datong ở Pudong). Đây là một phần của “nhóm APT1”, một trong hơn 20 nhóm APT xuất xứ từ Trung Quốc. Đơn vị 61398 trực thuộc Cục 3 và Cục 4 chuyên về chiến tranh mạng của PLA, hoạt động theo lệnh của chính phủ Trung Quốc, có tên gọi chính thức là Văn phòng 2 của Cục 3, thuộc Bộ Tổng tham mưu PLA. 
Các chuyên gia tình báo Mỹ cho biết đơn vị 61398 là lực lượng nòng cốt của bộ máy gián điệp mạng của Bắc Kinh. Các nhóm hackers tinh vi nhất làm việc tại 61398. Theo báo New York Times, sự tồn tại của đơn vị 61398 trong quân đội TQ được xem là một bí mật quốc gia. Đơn vị 61398 không hề tồn tại trong các văn bản chính thức. 
Tuy nhiên, Hạ nghị sĩ Mike Rogers (Chủ tịch Ủy ban Tình báo Hạ viện) khẳng định những phát hiện của Mandiant “hoàn toàn nhất quán với các hoạt động mà Ủy ban đã theo dõi trong thời gian qua”. Ông cảnh báo nếu Mỹ không phản ứng mạnh, các tin tặc Trung Quốc sẽ tiếp tục tấn công. Nhóm này thường sử dụng cùng mã độc, tên miền web, địa chỉ IP và các công cụ kỹ thuật hacking để tấn công. Điểm xuất phát của các vụ tấn công là khu vực gần Phố Đông, Thượng Hải, ngay chính tại trụ sở của đơn vị 61398. 
Năm 2011, nhóm này đã tấn công hãng RSA đang cung cấp dịch vụ bảo vệ dữ liệu mật cho nhiều doanh nghiệp và chính phủ Mỹ. Từ dữ liệu lấy cắp được của RSA, nhóm này đã xâm nhập vào mạng máy tính của Tập đoàn quốc phòng Lockheed Martin. Theo Mandiant, các nhân viên của 61398 có khả năng sử dụng tiếng Anh rất tốt vì các mục tiêu của họ đa số ở Mỹ. Nạn nhân mới đây gồm các công ty Westinghouse Electric, US Steel, Alcoa, Allegheny Technologies, SolarWorld và Công đoàn ngành thép Mỹ. 
Trong Thông điệp Liên bang (12/2/2013), Tổng thống Obama đã đề cập đến mối lo ngại bị tin tặc TQ tấn công, “Chúng ta biết các quốc gia và các công ty nước ngoài ăn cắp các bí mật doanh nghiệp của chúng ta. Giờ đây, kẻ thù của chúng ta đang tìm cách phá hoại mạng lưới điện, các tổ chức tài chính và các hệ thống kiểm soát không lưu của chúng ta. Chúng ta không thể nhìn lại những năm qua và tự hỏi tại sao chúng ta đã không làm gì cả”. 
Mandiant ước tính rằng đơn vị 61398 sở hữu hơn 1.000 máy chủ, sử dụng vài trăm đến hàng ngàn nhân viên. Đơn vị được sử dụng hạ tầng cáp quang đặc biệt do doanh nghiệp nhà nước China Telecom cung cấp cho các đơn vị quốc phòng. Mandiant tin rằng đơn vị 61398 chỉ là một trong hơn 20 nhóm hackers có nguồn gốc từ Trung Quốc. 
Hãng an ninh Dell SecureWorks cho rằng đơn vị 61398 đã thực hiện chiến dịch gián điệp máy tính mở rộng Operation Shady RAT (bị phát hiện năm 2011). Trong suốt 5 năm, các tin tặc khoác áo lính Trung Quốc này đã xâm nhập hơn 70 tổ chức, bao gồm Liên Hiệp Quốc, các cơ quan chính quyền Mỹ, Canada, Hàn Quốc, Đài Loan... 
Theo báo South China Morning Post (20/7/2015), thành viên của Đại học Jiaotong (Thượng Hải) bị phát hiện có liên hệ với đơn vị 61398. Chưa có chứng cứ là trường đại học này tham gia các hoạt động hacking của 61398, nhưng các thành viên của Khoa Kỹ sư An ninh Thông tin (SISE) thuộc trường này đã làm việc với các hackers của PLA. 
Thay lời kết 
Chiến tranh mạng (cyber warfare) là một cuộc chiến tranh phi truyền thống (unconventional), mà chủ thể là quốc gia (states) hoặc phi quốc gia (non-states). Phương tiện chiến tranh có thể là những con chip do thám nhỏ bé nhưng tinh vi, ngày đêm âm thầm ăn cắp, thay đổi các dữ liệu. Tuy nhỏ bé, nhưng nó có thể gây ra những thảm họa khủng khiếp, mà sự tàn phá của nó có thể còn lớn hơn bất cứ loại vũ khí thông thường nào khác. 
Trong chiến tranh mạng, nước lớn hay bé không quan trọng, mà yếu tố quyết định là công nghệ cao và quản trị giỏi. Nếu quốc gia nhỏ yếu không muốn bị cường quốc lớn hơn bắt nạt, thì phải liên minh với cường quốc mạnh hơn để làm đối trọng, và để hợp tác toàn diện, trong đó có công nghệ cao và an ninh mạng. Lẽ ra Việt Nam không thua kém Trung quốc về công nghệ cao và an ninh mạng. Lỗ hổng về an ninh mạng là do lỗi hệ thống về hệ tư tưởng và tầm nhìn chiến lược, nên làm cho “hội chứng bất ngờ” càng thêm trầm trọng.

Không có nhận xét nào:

Trang