Một bài viết nếu bạn chịu khó đọc . sẽ thấy rất bổ ích.
( nguồn : blog vnhacker)
Chớp mắt mà tôi đã làm việc trong lĩnh vực bảo mật máy tính được gần hai năm rồi, cứ như là một giấc mơ (đã thành sự thật). 730 ngày không dài, không ngắn, chỉ vừa vặn như một khúc dạo đầu êm ả để người ta nhìn lại, chiêm nghiệm rồi đúc kết được mất bại thành trước khi bắt đầu một hành trình mới.
Như những người lên nhận giải thưởng, điều đầu tiên tôi muốn nói là một lời cảm ơn từ tận đáy lòng. Cảm ơn dphuong đã truyển cảm hứng, đam mê và kinh nghiệm trong những ngày bắt đầu. Cảm ơn anh Nhã đã tín nhiệm em trong suốt thời gian qua, sẽ chẳng thể nào có được thaidn như ngày hôm nay nếu như anh và Ban TGĐ ngân hàng không tin tưởng mà trao cho em cả một sân chơi rộng lớn để mà thỏa sức tung hoành. Cảm ơn anh Diêu a.k.a conmale đã tận tình chỉ bảo và dìu dắt, nếu không có anh chắc em vẫn chưa tìm được hướng đi cho mình. Và cảm ơn em yêu thương đã ở bên anh, tin tưởng anh ngay cả khi anh không còn tin vào bản thân mình nữa.
Thật ra thì tôi đã bắt đầu đi làm ngay khi bắt đầu vào đại học, nghĩa là cũng đã hơn 4 năm rồi. Trong hai năm đầu, tôi làm đủ thứ nghề, từ web developer rồi viết báo đến system administrator, trợ lí giám đốc và cuối cùng quay lại web developer. Tôi thích nhất là quãng thời gian làm cộng tác viên cho báo Tuổi Trẻ. Đó chính là lúc tôi rèn luyện kĩ năng viết lách, ăn nói cũng như cách lý luận và trình bày hợp logic. Trình bày rõ ràng, rành mạch, hợp logic kể cả khi nói và viết theo tôi là một trong những kĩ năng quan trọng nhất mà mỗi người phải đạt được nếu muốn thành công trong cuộc sống. Tôi làm ở Tuổi Trẻ 6 tháng, viết được một số bài, trong đó tâm đắc nhất là bài Vietkey
Linux có phải là hệ điều hành “made in Vietnam?”. Nói không ngoa thì đây chính là “công trình nghiên cứu” đầu tiên của tôi, bởi lẽ tôi đã đọc hàng trăm trang tài liệu về Linux và
GPL, tham khảo ý kiến, phỏng vấn rất nhiều chuyên gia cũng như viết nháp cả chục lần trước khi hoàn thành phiên bản chính thức. Kết quả thật mĩ mãn. Bài báo của tôi đứng đầu trong danh sách các bài được đọc nhiều nhất của Tuổi Trẻ Online trong nhiều tuần liền. Có bạn đọc còn gọi điện thoại lên Tuổi Trẻ để cảm ơn tôi đã giúp cho anh ấy biết được sự thật về Vietkey Linux. Anh Huỳnh Sơn Phước, phó tổng biên tập Tuổi Trẻ, có lần còn gọi tôi vào phòng riêng để cùng xem các phản hồi của bạn đọc về bài báo – bấy giờ đã trở thành đề tài thảo luận rất sôi nổi ở khắp các diễn đàn trên mạng của người
Việt. Điều tôi thích nhất ở bài viết này là người không am hiểu về máy tính đọc nó vẫn có thể hiểu và nhớ được nội dung chính mà tôi muốn trình bày. Đến tận tháng 12/2004, nghĩa là 15 tháng sau khi bài báo được đăng, có một bạn đọc đã viết về nó như thế này:
Vào khoảng giữa tháng 9 năm 2003, nếu tôi nhớ không lầm có một bài viết trên 1 tờ báo
TPHCM về một hiện tượng đạo phần mềm khác (hết đạo thi, đạo văn, đạo nhạc, nay đạo mềm). Bài viết bằng giọng thâm trầm, chững chạc, vừa chuyên môn nhưng vẫn sáng nghĩa, nên tôi đã nhớ nội dung chủ đạo của bài viết khá kỹ.
Đó là phần mềm Vietkey Linux. Cho ngắn gọn, Linux là một hệ điều hành (như
Windowscủa
Microsoft, nghĩa là nó là một bệ phóng, một cái nền cơ sở trên đó tim gan phèo phổi máu me chạy được). Linux khác em Windows của Bill Gate ở chỗ nó là tình cho không biếu không. Điều này rất quan trọng vì nếu Linux mạnh như Windows, mà lại cho không thì anh Bill rất có nguy cơ bị thất thu, rất dễ dẫn đến khả năng anh gửi giấy (bill) tính tiền tới đòi nợ mà không ai trả nên phải đóng cửa (gate).
Sau đó “đồng chí” Đặng Minh Tuấn của Vietkey gửi thư phản hồi kí tên là Thiếu tá QĐNDVN, dọa kiện Tuổi Trẻ nếu như không đính chính lại nội dung bài viết. Tôi viết một giải trình dài gần 4 trang về nội dung bài báo và sau khi đọc nó thì anh Huỳnh Sơn Phước nhìn tôi và nói: “
Em an tâm, một năm Tuổi Trẻ ra tòa đến 4, 5 lần. Em cứ tiếp tục theo đuổi đến cùng đề tài này cho anh”. Thế là tôi viết tiếp một series về Vietkey Linux, quá đã haha! Sau loạt bài đó thì “đồng chí” Đặng Minh Tuấn im luôn, không thấy phản hồi hay kiện tụng gì nữa.
Quãng thời gian làm ở Tuổi Trẻ cũng là lúc mà tôi “quậy phá” nhiều nhất. Một scriptkiddy đúng nghĩa. Nghĩ lại mà buồn cười, với mớ kiến thức lỏng bỏng của một thằng sinh viên năm II ham chơi hơn ham học, vậy mà chỉ cần làm theo hướng dẫn của các tài liệu có đầy trên mạng, tôi đã có thể “ra vào như đi chợ” hầu hết, nếu không muốn nói là tất cả, các hệ thống server ở
VN. Những ai quen biết tôi chắc hẳn đều biết là tôi không quá lời. Lúc bấy giờ trên máy tính của tôi có một thư mục tên là hacking, trong đó có nhiều thư mục con với các tên kiểu như VASC, FPT, VDC, GOV, VIETCOMBANK, TECHCOMBANK…Hầu hết các major security breach xảy ra ở VN trong quãng thời gian từ 2002-2004 đều có sự tham gia của tôi một cách gián tiếp hay trực tiếp. Thế là từ giới underground cho đến báo chí, công an hay giới IT, tất cả mọi người đều cho tôi, với biệt danh mRrO, là một đại cao thủ hacking, một chuyên gia bảo mật giàu kinh nghiệm. Họ phỏng vấn, hỏi ý kiến, mời tôi trình bày tham luận tại các hội thảo bảo mật. Haha, thiệt là xấu hổ. Nếu thaidn@2006 mà gặp thaidn@2002-2004 thì chắc nó sẽ cười thằng thaidn@2002-2004 cho thúi mũi. Nói vậy chứ, sự thật sẽ chẳng thể có thaidn@2006 nếu không có thằng thaidn@2002-2004. Tôi sẽ không quen anh Giáp, từ đó được ảnh giới thiệu cho anh Nhã, nếu như không sát cánh cùng lão $$$ trong các “cuộc chiến” từ .vn đến .com dưới “màu áo” HVA. Cái thời “oanh liệt” đó giúp tôi tạo dựng được rất nhiều mối quan hệ với các anh công an, dân IT và các phóng viên, một điều cực kì cần thiết khi làm business. Thật tế thì công việc thứ hai của tôi cũng đến từ những mối quan hệ này. Tôi còn tự rèn cho mình thói quen tự học, tự tìm tòi, nghiên cứu. Sự thật là ngoài trường đại học ra, cho đến bây giờ tôi không đi học về IT ở bất kì nơi nào khác. Tất cả kiến thức mà tôi sở hữu đều do tự học mà có. Điều duy nhất tôi tiếc nuối là lúc đó tôi không đầu tư cho mình một advanced skillset kiểu như C/C++ programming, reverse engineering, exploit development hay malware analysis mà chỉ tập trung low-hanging fruit kiểu như
SQL Injection mà thôi.
Tháng 12/2003, tôi xin nghỉ ở Tuổi Trẻ để chuyển sang làm system administrator cho FPT Telecom, một trong các nạn nhân trước đây của tôi. Đây là việc làm chính thức về IT của tôi, nhưng thật sự tôi không học hỏi được gì nhiều từ nó. Công việc của tôi là quản lí khoảng 10 máy chủ hosting, trong đó có 1 máy chủ Linux, còn lại là máy chủ Windows. Thật sự tôi rất lúng túng, không biết nên bắt đầu từ đâu. Tôi chợt nhận ra là mình quá non. Kiến thức về networking, về TCP/IP hay về system administration của tôi hầu như là con số 0. Lúc bấy giờ tôi như hiểu ra ý nghĩa trong câu nói của anh conmale: xây dựng một ngôi nhà an khang, đẹp đẽ bao giờ cũng khó hơn rất nhiều với việc đục lổ chui vào căn nhà đó. Những “thành tích” mà tôi đạt được từ trước tới giờ chỉ toàn là đục lổ chui vào nhà người khác, không hơn không kém. Thế là tôi bắt đầu bước những bước đầu tiên trên con đường học để biết cách “xây nhà”.
Tháng 3/2004, tôi nghỉ ở FPT, chuyển qua làm trợ lý IT cho bác Hồ
Huy ở MaiLinh Taxi. MaiLinh Taxi là một doanh nghiệp tương đối lớn, tuy nhiên, như nhiều doanh nghiệp khác ở VN, đối với MaiLinh thì IT vẫn chỉ là một thứ đồ trang sức, khoác lên mình cho bằng chị bằng em. Đôi khi họ cũng có ý muốn áp dụng IT vào sản xuất, kinh doanh nhưng lại không chịu đầu tư. Chẳng có gì hấp dẫn để kể khi làm ở MaiLinh. Điều duy nhất còn đọng lại trong kí ức của tôi là lương cao nhưng suốt ngày ngồi không, không có gì để làm. Tôi cần một việc làm chứ không (chưa) cần tiền!
Khoảng đầu tháng 9/2004, anh Giáp giới thiệu tôi với anh Nhã, khi đó đang cần tìm người làm bảo mật cho ngân hàng. Những ấn tượng không tốt về việc áp dụng IT trong doanh nghiệp VN khi còn làm ở MaiLinh đã khiến tôi khá e dè trước lời đề nghị của anh Nhã. Tôi dự tính sẽ quay trở lại Tuổi Trẻ viết báo và dành nhiều thời gian hơn cho việc học ở trường. Rồi anh Nhã “ra đòn” quyết định: mời tôi đến Trung tâm Điện Toán, nơi tôi đang làm việc bây giờ. “IT chính là xương sống của ngân hàng, ban TGD đã quyết định lấy công nghệ để cạnh tranh và chiến thắng các ngân hàng khác. Em về đây làm thì sẽ được tạo điều kiện tối đa để phát huy hết khả năng của mình. Em sẽ được làm việc trực tiếp, quản lí hết tất cả những gì em thấy ở đây”, anh Nhã vừa nói vừa chỉ cho tôi xem hệ thống máy chủ, thiết bị và sơ đồ mạng của ngân hàng. Quá đã! Lần đầu tiên trong đời tôi mới thấy cái Cisco PIX Firewall hình dáng nó ra sao :p. Vài ngày sau, tôi gọi điện cho anh Nhã, nhận lời offer của ảnh. Nhiệm vụ còn lại của anh Nhã là thuyết phục ban TGD chấp nhận tôi, một sinh viên chưa tốt nghiệp, chẳng có bằng cấp gì hết, lại chỉ làm part-time, giữ “kho vàng” cho họ. Tháng 11/2004, tôi chính thức làm việc ở ngân hàng. Trước khi kể về công việc này, tôi nghĩ sẽ là một thiếu sót lớn nếu không nhắc đến cuộc thi Trí Tuệ Việt Nam (TTVN) năm 2004 và sự kiện iCMS cuối năm đó.
Tôi biết đến cuộc thi TTVN ngay từ lần tổ chức đầu tiên năm 2000, cũng là năm tôi có được chiếc máy tính đầu tiên cho riêng mình. Đêm trao giải năm đó tôi thật sự choáng ngợp trước những gì diễn ra trên tivi. Trời ơi quá hào nhoáng, quá vinh dự, nói chung là quá đã! Chắc hẳn rất nhiều bạn trẻ đã có chung ước mơ với tôi: tham dự và giành chiến thắng cuộc thi này. Tại sao không? Thế là ngay từ lúc đó, tôi đã quyết định sẽ học và làm việc trong ngành IT. Bill Gates trở thành thần tượng của tôi (hehe he’s not anymore!). Tôi mơ một ngày nào đó mình sẽ làm ra một phần mềm vĩ đại nào đó, chẳng cần biết nó là phần mềm gì, rồi đem dự thi TTVN, đoạt giải nhất và trở thành tỉ phú nhờ việc bán phần mềm đó haha. Có vẻ như mọi thứ đang dần trở thành sự thật khi năm 2002, tôi thi đậu vào khoa CNTT trường ĐHBK Tp.HCM, rồi bắt đầu đi làm như đã kể ở trên. Điều duy nhất mà tôi chưa làm là tham gia và chiến thắng cuộc thi TTVN. Mỗi năm trôi qua, hễ đến ngày 01/01 là tôi lại tự nhủ lòng là năm sau mình nhất định sẽ tham gia cuộc thi này. Năm này qua năm khác, đến tận cuối tháng 10/2004 tôi vẫn chưa làm ra được một phần mềm nào độc đáo khả dĩ có thể đem đi dự thi cả. Ngay thời điểm tôi nghĩ rằng mình sẽ lại bỏ lỡ cuộc thi năm đó thì ý tưởng chợt đến.
marmiro, biệt danh founder của SMSec, lần đầu tiên nghĩ ra ý tưởng về SMSec vào ngày 20/10/2004 khi đang xem trận đấu cúp C1 giữa Barcelona và AC Milan. Lúc bấy giờ bản thân marmiro rất tự hào vì nghĩ rằng mình là người đầu tiên trên thế giới nghĩ ra giải pháp định danh người dùng thông qua SMS. Tuy nhiên, sáng hôm sau khi thử tìm trên Internet với từ khóa “two-factor authentication with SMS”, marmiro mới biết rằng thật sự đã có ít nhất 3 sản phẩm thương mại thực hiện ý tưởng này.
Đó là một đoạn trích trong tài liệu giới thiệu giải pháp SMSec mà tôi đem dự thi TTVN 2004. Tôi nghĩ ra ý tưởng này vào ngày 20/10, trong khi đó hạn chót nộp bài dự thi là ngày 05/11, nghĩa là tôi chỉ có 15 ngày để hoàn thành sản phẩm. Tôi lao vào làm việc như điên. Trong nửa tháng đó, tôi lộn ngược Internet để tìm dữ liệu cho gần 100 trang tài liệu giới thiệu SMSec (và SMSoogle). Cùng với Huy, tôi tìm mua thiết bị, thiết kế kiến trúc, lập trình và kiểm tra hơn 10.000 dòng lệnh cho SMSec. Thật hạnh phúc khi được làm những việc mình thích. Khi nộp bài vào ngày cuối cùng, tôi vẫn chưa tin là mình đã làm được. I did it! Tôi nghiệm ra rằng mỗi con người đều có sức mạnh tiềm tàng mà nếu như được kích thích đúng chỗ thì họ có thể hoàn thành bất cứ việc gì! Đừng bao giờ ngừng ước mơ, đừng bao giờ tuyệt vọng! Chính ước mơ và hi vọng sẽ cho ta sức mạnh để vượt qua hết tất cả những khó khăn thấy được và không thấy được, biến không thể thành có thể!
Slogan của cuộc thi TTVN là “Chỉ cần một ý tưởng”, do đó mặc dù SMSec chỉ là bản demo nhưng tôi vẫn hi vọng BGK sẽ đánh giá cao ý tưởng cốt lõi mà tôi muốn trình bày: xác thực hai lớp bằng SMS. Tôi không hi vọng mình sẽ được giải nhất, được vào vòng chung kết là mãn nguyện lắm rồi. Hi vọng đó càng được củng cố khi một ngày giữa tháng 11/2004, BGK gọi tôi lên công ti FSoft để trình bày cho họ nghe về sản phẩm của tôi. Chưa bao giờ tôi có nhiều hi vọng như vậy. Tôi vào website
Tri tue Viet Nam hàng chục lần mỗi ngày, tôi tham gia tích cực trên diễn đàn, nơi có một topic nhan đề “Chạy giải TTVN có khó không?” của starcraft mà tôi cũng có tham gia tranh luận thời gian đầu. Càng đến gần ngày công bố những sản phẩm vào vòng chung kết, tôi càng hồi hộp. Chắc anh Việt là người biết rõ nhất điều này bởi lẽ tôi gọi điện hàng ngày cho ảnh để hỏi thăm tin tức. Rồi một buổi tối anh Việt báo cho tôi biết SMSec đã bị loại. Tôi không thể nhớ là mình đã thất vọng đến cỡ nào, chỉ nhớ là tôi chưa bao giờ buồn như vậy, may mà còn có em an ủi và chia sẻ. Tối hôm đó tôi đi ngủ sớm, không ngờ rằng lúc đó xảy ra một sự kiện động trời: website
cPanel� bị defaced với nội dung là bài viết “Chạy giải TTVN có khó không?”. Sáng thức dậy, tin nhắn tràn ngập điện thoại của tôi. Anh Việt báo cho tôi biết là BTC đang nghi ngờ tôi là thủ phạm. WTF? Chuyện khỉ gì đang xảy ra vậy trời? Những gì diễn ra tiếp theo đã trở thành một phần lịch sử không thể nào quên được của giới IT VN (tôi không nhớ chính xác ngày tháng, nên chỉ kể theo thứ tự thời gian các sự kiện xảy ra kèm theo các suy luận chủ quan của mình).
Bài viết của starcraft đưa ra một số chứng cứ cho thấy giải nhất mà iCMS, phần mềm đang được sử dụng tại
cPanel� và
VTV | Đài truyền hình Việt Nam, đoạt được năm 2003 là do Vương Vũ Thắng, giám đốc Vinacomm, công ti chủ quản iCMS, chạy chọt mà có. Nhóm hacker vì bất bình với chuyện này mà quyết định deface website
cPanel� và
www.vinacomm.com.vn để “dằn mặt” BTC, yêu cầu BTC phải điều tra, xử lí những kiến nghị của starcraft. Nhóm hacker này cũng tuyên bố là đã tấn công vào
cPanel� bằng cách khai thác lỗi bảo mật của iCMS. Mã nguồn của iCMS sau đó được phát tán rộng rãi trên Internet và một nhóm lập trình viên đứng đầu là anh Dương Vi Khoa ở
ddth.com đang tiến hành phân tích mã nguồn này và râm ran đâu đó lời đồn đại rằng iCMS giống đến 90% mã nguồn của một phần mềm mã nguồn mở. Sở dĩ BTC nghi ngờ tôi là vì họ cho rằng tôi cay cú việc không được vào chung kết, kiểu “ăn không được, phá cho hôi”. Họ lập luận rằng trong số các sản phẩm thuộc diện vào vòng chung kết mà bị loại ra vào giờ chót, có sản phẩm của tôi, của anh kh0aimi nên họ cho rằng chắc chắn HVA đứng đằng sau vụ tấn công này. Trước đó tôi cũng có tham gia tranh luận trong topic “Chạy giải TTVN có khó không?” trên diễn đàn với lời lẽ khá gay gắt về việc chơi xấu của iCMS. E hèm, tối hôm đó con buồn quá nên lăn ra ngủ khò khò các bố ơi! Để thanh minh cho mình, tôi quyết định tìm hiểu xem chuyện gì đã xảy ra.
Việc đầu tiên cần phải làm là xác định xem đám hacker đã tấn công cái website
cPanel�bằng cách nào. Không khó để đưa ra kết luận: server của
cPanel� không hề bị xâm nhập, bọn hacker chỉ tấn công thay đổi DNS để trỏ hostname
cPanel� đến một IP khác mà thôi. Có ba luận cứ để chứng minh điều này:
* Tại VN, hình ảnh vụ tấn công chỉ được nhìn thấy khi đi qua một proxy. Nếu tấn công trực tiếp vào server thì sẽ có hiệu quả tức thời, không cần phải đi qua proxy mới thấy.
* Nếu bọn hacker thật sự tấn công bằng cách khai thác lỗi của iCMS thì ngay sau khi
cPanel� sẽ bị tấn công tiếp ngay sau khi hoạt động trở lại. Website chính thức của cuộc thi là
Tri tue Viet Nam cũng sử dụng iCMS, nếu iCMS có lỗi thì bọn hacker đã chọn tấn công
Tri tue Viet Nam hơn là
cPanel�
*
cPanel� sử dụng dịch vụ DNS của EveryDNS và theo tôi được biết thì EveryDNS có rất nhiều lổ hổng bảo mật. Tôi suy đoán là domain
cPanel� từ lâu đã nằm trong quyền kiếm soát của một vài người và chỉ hôm nay họ mới thực hiện vụ tấn công này.
Thế nhưng mã nguồn iCMS đã bị đánh cắp, bằng chứng là nó đã được phát tán trên Internet. Nếu server của
cPanel� không bị xâm nhập thì làm thế nào bọn hacker chôm được mã nguồn iCMS? Để trả lời câu hỏi đó, tôi cần phải tìm hiểu ai đứng ngoài sau vụ tấn công. Hóa ra việc này không khó như tôi nghĩ, bởi mọi ngã đường để dẫn về đám HuyRemy + MicrosoftVN + (một số nhân vật khác). “Ông bự” đứng ngoài sau vụ này chắc chắn là VASC (bự hơn một chút nữa thì phải kể đến chủ quản của VASC là VNPT). Sự kiện Chợ Điện Tử mới xảy ra vừa rồi càng khẳng định suy luận của tôi là đúng. Này nhé, mọi người hãy xem tôi suy luận xem có hợp lý không nhen.
Những ai làm việc trong ngành CNTT ở VN chắc hẳn đều biết mối thâm thù theo kiểu “con gà tức nhau tiếng gáy” giữa VASC và FPT. Nguyễn Anh Tuấn cứ tựa như Thủy Tinh mỗi năm lại kéo quân khiêu chiến trên hàng loạt mặt trận khác nhau với tên Sơn Tinh – Trương Gia Bình vì hắn đã nhanh tay giành lấy “nàng Mỵ Nương màu mỡ” của mình là thị trường ICT ở VN.
Đầu tiên phải kế đến mặt trận báo chí tuyên truyền với sự góp mặt của hai chiến sĩ VietnamNet và VnExpress. Đứng trước tình hình VnExpress độc chiếm thị trường tin tức trực tuyến, VASC quyết định đầu tư tối đa để biến VietnamNet thành một đối trọng “ngang tài ngang sức”. Cả hai cơ quan ngôn luận của hai đại gia này thi nhau lăng xê bản thân nhưng cũng không quên nhiệm vụ không kém phần quan trọng là nhục mạ và hạ thấp uy tín đối thủ, việc làm mà VietnamNet có phần thông thạo và chuyên tâm hơn. “ADSL của FPT, treo đầu dê…!?”, “Đại học FPT và Bộ GD-ĐT: Tiến 0 bước!”, “FPT có được tiếp tục kinh doanh ADSL?”, “Liệu VinaGame sẽ kiện FPT?”, “FPT Telecom: Kiện chúng tôi đâu có dễ!”…là một vài bài viết có liên quan đến FPT được đăng tải trên VietnamNet. VnExpress “hiền lành” hơn trên mặt trận này không phải vì họ chơi đẹp mà đơn giản vì trong sơ đồ tổ chức của FPT, Trương Gia Bình không tực tiếp tác động đến VnExpress như cách mà Nguyễn Anh Tuấn đã làm với VietnamNet. “Ôi trời, hơi sức đâu mà quan tâm đến mấy tờ lá cải này”, một anh bạn đồng nghiệp ở Tuổi Trẻ từng nói với tôi như thế. Lá cải hay không thì hãy để độc giả của nó đánh giá nhưng chắc chắn chúng được sinh ra chẳng phải để đưa tin khách quan phục vụ cho cộng đồng mà chỉ đưa tin theo chiều hướng có lợi cho những người chủ của mình.
Thị trường game online là mặt trận thứ hai mà FPT và VASC đang “cày bừa” dữ dội. Việc FPT bỏ ra vài triệu USD để độc quyền kinh doanh game MUOnline tại VN chính là đòn chí mạng giáng vào dự án “MUOnline – Thế giới diệu kì” mà VASC đã dày công đầu tư thử nghiệm hơn 1 năm trời tại địa chỉ
http://mu.vietnamnet.vn. VASC liền đáp trả bằng cách tung ra RYL còn FPT cũng nhanh chân tung thêm PTV. Như hai con thú ngu ngốc say đòn, cả hai nhào vào cắn xé lẫn nhau, vô tình những công ti khác như VinaGame được dịp “tọa sơn quan hổ đấu” để rồi nhanh chóng chiếm lấy thị phần với VLTK.
Chuyện gì xảy ra trước đó khiến cho FPT sẵn sàng bỏ ra 2,9 triệu USD để trả đũa VASC? Câu trả lời chính là bàn tay của VASC trong sự kiện iCMS. Trước năm 2004, Trí Tuệ Việt Nam được xem là “con gà đẻ trứng vàng” của FPT. Ấy, đừng vội nghĩ “trứng vàng” ở đây là các nhân tài đã được phát hiện từ cuộc thi này, các bác FPT không tốt đến thế đâu. Mang danh là cuộc thi tìm kiếm nhân tài nhưng bản chất của Trí Tuệ Việt Nam là nơi để FPT và đồng bọn, thông qua uy tín và tầm ảnh hưởng của cuộc thi, lăng xê những người “biết điều” hay là “con cháu các cụ cả” bất kể những người này có thực tài hay không. Sau khi được lăng xê, các phần mềm mà những “ngôi sao” này làm ra hay chôm về sẽ được nâng giá lên cho đúng tầm “Trí Tuệ Việt Nam” rồi đem bán với giá “cắt tiết”. Bạn và tôi, những người đã đầu tư chất xám và tuổi trẻ của mình cho cuộc thi này, chỉ đơn giản là những con tốt trên một bàn cơ mà người ta đã bày ra từ trước khi chúng ta có mặt. Dẫu có giết được nhiều quân địch, tốt cũng sẽ chẳng bao giờ được “vinh qui bái tổ” bởi lẽ từ ngàn xưa, chỉ có “trạng” mới được vinh danh mà thôi. Danh tiếng chỉ là phù du, điều chúng ta thật sự cần là một sự công bằng nhưng rất tiếc hai từ này chưa có trong qui chế của cuộc thi Trí Tuệ Việt Nam. Ơn trời, nhờ có “đại ca” Nguyễn Anh Tuấn mà sự thật về Trí Tuệ Việt Nam đã được phơi bày.
Chắc hẳn các bạn còn nhớ, khi Chợ Điện Tử bị tấn công, Nguyễn Hòa Bình, giám đốc PeaceSoft, đã bị chỉ đích danh là starcraft, người đã khơi mào sự kiện iCMS. Tôi chắc chắn rằng người tấn công Peacesoft, cũng là kẻ đã tấn công
cPanel� ngày nào, chính là Nguyễn Quang Huy a.k.a HuyRemy. Có 3 luận cứ để chứng minh điều này:
* Như đã phân tích ở bài trước,
cPanel� bị tấn công vào hệ thống tên miền. HuyRemy, người được mệnh danh là “chuyên gia domain học”, thời điểm năm 2004 đang làm thuê cho Nguyễn Hòa Bình, chắc chắn đã được Nguyễn Hòa Bình nhờ thực hiện phi vụ đó, bởi lẽ trong tay Nguyễn Hòa Bình, ngoài HuyRemy ra, người biết rõ các lổ hổng của EveryDNS, không ai thích hợp hơn.
* Trong vụ tấn công vào Chợ Điện Tử, kẻ tấn công cho thấy mình là người hiểu rất rõ và rất căm ghét Nguyễn Hòa Bình. HuyRemy đã từng thú nhận mình hoàn toàn có khả năng tấn công vào Chợ Điện Tử (điều này cũng không có gì lạ, bởi lẽ HuyRemy tham gia phát triển Chợ Điện Tử từ những ngày đầu). HuyRemy cũng đã từng bị Nguyễn Hòa Bình, chơi chiêu “qua cầu rút ván”, rồi còn vu cáo HuyRemy trộm đồ ở Peacesoft.
* Chỉ có HuyRemy, người được Nguyễn Hòa Bình thuê thực hiện vụ tấn công năm xưa, mới biết rõ Nguyễn Hòa Bình chính là starcraft.
Như vậy đã rõ, Nguyễn Hòa Bình chính là nhân vật khơi mào vụ iCMS, còn HuyRemy là người thực hiện vụ tấn công
cPanel� để gây dư luận. Nhưng như thế là chưa đủ, Không thể buộc tội Vương Vũ Thắng và đồng bọn chỉ bằng một bài viết của starcraft! Vả lại, “chạy giải” là một cái tội khó tìm được bằng chứng, ban tổ chức sẽ sẵn sàng bao che cho Vương Vũ Thắng để bảo vệ uy tín của mình. Nguyễn Hòa Bình biết rõ điều này nên đã kêu thêm chi viện và chắc hẳn đến thời điểm này các bạn đều đã rõ quân chi viện là ai: VASC do Nguyễn Anh Tuấn dẫn đầu. Nguyễn Hòa Bình đã tìm đúng người. Hạ gục Vương Vũ Thắng là một mũi tên trúng nhiều đích mà Nguyễn Anh Tuấn đã muốn bắn từ lâu:
* Giảm uy tín cuộc thi Trí Tuệ Việt Nam, nghĩa là giảm uy tín của FPT, đối thủ không đội trời chung của VASC. Đưa Nhân tài đất Việt, cuộc thi cho công ti mẹ của VASC là VNPT tổ chức thay thế vào vị trí của Trí Tuệ Việt Nam để từ đó dễ bề thao túng thị trường “nhân tài”.
* VASC, viết tắt của Vietnam Advanced Software Company, là một công ti làm phần mềm, do đó nếu Vinacomm của Vương Vũ Thắng mất uy tín và thương hiệu thì VASC sẽ có cơ hội nhảy vào “cắn” miếng bánh béo bở mà họ Vương để lại.
Rõ ràng cho đến thời điểm hiện tại, Nguyễn Anh Tuấn đã đạt được mục tiêu của mình. Vậy VASC đã chi viện cho Nguyễn Hòa Bình bằng cách nào? Tôi sẽ không nói cho các bạn nghe mà để cho các bạn tự suy luận với một vài gợi ý như sau:
* Cách duy nhất để hạ gục Vương Vũ Thắng là phải đạt được sự đồng lòng từ phía cộng đồng, sử dụng cộng đồng như là một công cụ để gây ra một sức ép kinh khủng buộc ban tổ chức phải xử lí rốt ráo vụ iCMS.
* Để tạo sự đồng lòng từ cộng đồng, phải chứng minh được iCMS là đồ ăn cắp.
* Muốn chứng minh iCMS là đồ ăn cắp, phải có được mã nguồn của nó.
Sao rồi, bạn đã nghiệm ra chưa?
Chắc hẳn những ai quen biết tôi đều biết rằng Linux là hệ điều hành duy nhất mà tôi sử dụng để học và làm trong suốt hai năm qua. Và hôm nay tôi muốn kể cho bạn nghe về cuộc phiêu lưu của tôi với chú chim cánh cụt.
Lần đầu tiên tôi thấy chữ Linux là vào khoảng năm 2001-2002, trên một cái đĩa phần mềm của Lê Hoàng. Tôi nhớ loáng thoáng hình như bài viết giới thiệu Linux như là một “món ăn chơi” mới cho những ai đam mê ngành khoa học máy tính. Lúc bấy giờ tôi mới làm quen với máy tính, việc cài đặt Windows đối với tôi đã rất khó nên lẽ dĩ nhiên Linux sớm trôi vào quên lãng. Bẵng đi chừng vài tháng, tôi không nhớ chính xác là khi nào, chỉ nhớ lúc đó tôi vẫn còn học phổ thông, trên báo đài đồng loạt xuất hiện các bài viết về những chàng trai trong dự án Linux VN (những người muôn năm cũ, hồn ở đâu bây giờ?). Lúc này kiến thức về máy tính của tôi đã khá hơn một tí, tôi đã biết Linux là một hệ điều hành, và giờ đây người ta đang cố gắng xây dựng một hệ điều hành Việt Nam dựa trên nó. “Chúng tôi phải mở tung hàng ngàn gói phần mềm để chỉnh sửa và Việt hóa”, tôi nhớ mãi câu nói rất ấn tượng này của một thành viên trong nhóm Linux VN, nghe rất cao siêu và vĩ đại. Huy, thằng bạn mập chí cốt của tôi, ngay lập tức chạy ra Thúy Vy mua cái đĩa Linux VN về. “Tao chẳng biết cài, nó cứ hỏi mount point gì gì đó”, tôi nhớ nó nói như vậy. Linux lại trôi về một nơi xa lắm…
Rồi cơ may giúp tôi quen được dphuong, một người bạn lớn. Tuy bây giờ vì vài chuyện tế nhị nên tôi và dphuong không còn giữ liên lạc nhưng đối với tôi thì dphuong chính là người đã dẫn lối đưa đường, truyền cảm hứng cho tôi đến với Linux, bảo mật và khoa học máy tính. dphuong lúc đó đã là một “đại cao thủ” với quá trời chứng chỉ thứ dữ trong tay mà nội việc thuộc tên chúng thôi cũng đã khó. dphuong rất giỏi về bảo mật và tôi đã học hỏi được rất nhiều kinh nghiệm vô giá trong những lần trò chuyện với người bạn này. Sự thật là cho đến tận bây giờ, mỗi lần trò chuyện với dphuong là mỗi lần tôi học được rất nhiều điều mới. Một trong những “tuyệt chiêu” mà dphuong truyền cho tôi chính là Linux. Thực tế dphuong chưa bao giờ dạy cho tôi về Linux một phút nào mà chủ yếu dphuong chỉ nói cho tôi biết, Linux chính là môi trường để học tập và nghiên cứu bảo mật máy tính tốt nhất. Đây là những chỉ dẫn vô giá, là kim chỉ nam giúp tôi xác định được con đường đi tới của mình.
Thế là tôi bắt đầu tìm hiểu Linux. Vấn đề đầu tiên là chọn distro nào để sử dụng đây? dphuong nói nên sử dụng Slackware bởi “xài slackware mới biết hệ điều hành nói chung và Linux nói riêng hoạt động ra sao”. Lúc đó ở Sài Gòn làm gì có Slackware nhưng cũng còn may mắn là ở Thúy Vy có đĩa Red Hat 8.1. Đem về cài, trầy trật mất lần rốt cuộc cũng xong, tôi hăm hở lao vào Linux với hi vọng một ngày không xa nào đó tôi sẽ bắt kịp dphuong. Hi vọng càng cao thì thất vọng càng lớn. Tôi chẳng biết làm gì với Linux. Boot nó lên xong rồi ngồi ngó, họa may thì quay sang xài Mozilla để duyệt web hoặc dùng Yahoo! Messenger for Linux để chat. Chấm hết. Tôi bỏ hẳn Linux sau hơn 2 tuần chiến đấu. Từ cuối năm 2002 cho đến trước cuối năm 2004, tôi đã hơn chục lần cố gắng xài Linux rồi lại bỏ dỡ nửa chừng với vô vàn lý do, mà lý do lớn nhất là “xài Windows tiện hơn”. Nhưng cuối cùng thần may mắn cũng mỉm cười, tôi nảy ra ý tưởng về SMSec và chính nó đã giúp tôi gắn chặt với chú chim cánh cụt (cũng như phần mềm mã nguồn mở) đến tận bây giờ.
SMSec là giải pháp xác thực two factor authentication thông qua dịch vụ tin nhắn SMS với something you know là mã PIN và something you have là số điện thoại di động của bạn. Ngay khi có ý tưởng về sản phẩm này, tôi đã lao vào nghiên cứu tìm cách làm sao gửi tin nhắn từ máy tính đến điện thoại di động. Giải pháp khả thi nhất là sử dụng GSM modem, gắn vào máy tính, rồi từ đó lập trình điều khiển nó bằng tập lệnh AT&T để gửi và nhận tin nhắn. May mắn là đã có rất nhiều phần mềm có thể giao tiếp với GSM modem và một trong số đó là SMS Server Tools, phần mềm do một kĩ sư người Đức của hãng Vodafone viết. SMS Server Tools cung cấp đúng y chang những gì tôi muốn, chỉ có một trở ngại duy nhất là nó chỉ chạy được trên Linux. Cuối cùng cũng đã tìm được một lý do khiến tôi bắt buộc phải sử dụng Linux! Thế là tôi chính thức csử dụng Linux trên desktop vào một ngày cuối tháng 10 năm 2004. Sau đó không lâu, tôi quyết định “rm -rf /mnt/windows” luôn, bởi tôi nghiệm ra rằng muốn học Linux mà vẫn còn vương vấn chú Bill thì sẽ không bao giờ chuyên tâm được.
Mặc dù đã có chút kiến thức về Linux trước đó nhưng thú thật là tôi đã gặp phải rất nhiều khó khăn trong những ngày đầu, đơn giản vì philosophy của Linux khác rất xa Windows. Chú Bill thường có khuynh hướng che dấu tất cả, còn anh Linus thì lại khuyến khích người dùng mở tung ra để tìm hiểu. Điều này thể hiện ở ngay chuyện đơn giản nhất là cài đặt phần mềm. Trên Windows, rất nhiều lần bạn chỉ cần download một file .exe về, chạy nó, click liên tục nút “Next” là coi như cài đặt xong. Bạn sẽ không thể biết được phần mềm đó tạo ra những file mới nào, nằm ở đâu, chức năng của chúng là gì. Còn muốn cài phần mềm trên Linux thì bạn phải thực hiện ít nhất là 4 thao tác: 1) download mã nguồn của phần mềm; 2) đọc README và INSTALL; 3) biên dịch; 4) cài đặt. Bạn biết rõ và có thể chủ động hoàn toàn trong việc phân bổ các file chương trình sau khi cài đặt vào những vị trí khác nhau trên hệ thống của mình. Registry của Windows là một ví dụ điển hình khác. 99% người sử dụng Windows chẳng biết Registry nó lưu gì trong đó và có chức năng gì bởi lẽ chú Bill không khuyến khích họ tìm hiểu. Chẳng có cái Registry nào trên Linux cả, cấu hình của các phần mềm tách rời nhau, do lập trình viên tự quyết định và thường có đầy đủ tài liệu để khuyến khích người sử dụng mạnh dạn thay đổi thông tin cấu hình và từ đó học được thêm được nhiều điều mới.
Chính sự khác biệt này đã khiến cho rất nhiều người thường than phiền rằng Linux khó sử dụng hơn Windows hay nói cách khác Linux chỉ phù hợp với những người học IT, không thể áp dụng đại trà cho người dùng bình thường. Bạn hãy thử đi bằng hai tay xem có khó không? Chắc chắn là rất khó bởi vì đơn giản ngay từ khi mới biết đi, bạn đã quen với việc đi bằng chân. Nhưng nếu bạn chịu khó tập luyện, chắc chắn rằng trong một thời gian rất ngắn, bạn đã có thể “trồng chuối” rồi từ từ chập chững những bước đi đầu tiên bằng đôi tay. Tất cả là do thói quen quyết định. Nếu bạn quen với việc gõ lệnh hơn là click chuột, bạn sẽ thấy Linux rất nhanh, gọn và chính xác. Nếu bạn quen sử dụng OpenOffice, bạn sẽ thấy Microsoft Office sao mà lạ lẫm quá. Nếu bạn quen xài Firefox, bạn sẽ thấy Internet Explorer sao mà lạc hậu quá. Nếu bạn quen với việc làm chủ hệ thống của mình, bạn sẽ cảm thấy rất khó chịu khi chú Bill luôn che dấu một bí mật nào đó.
Càng sử dụng Linux, tôi càng thấm thía nhận xét của dphuong khi cho rằng Linux là hệ điều hành tốt nhất để học và làm việc, nhất là khi bạn học IT. Đối với người học và làm về bảo mật như tôi, Linux là sự lựa chọn duy nhất. Muốn học lập trình ư? Có ngay đầy đủ các loại trình biên dịch và tài liệu hướng dẫn cùng với IDE. Muốn tìm hiểu TCP/IP? Còn gì hơn tcpdump với “TCP/IP Illustrated Vol I”? Muốn dựng mail, dns hay web server? Muốn biết trình tự các bước sẽ xảy ra khi nhấn nút Power khởi động máy tính? Muốn xem cách người ta thiết kế một hệ điều hành và cách nó hoạt động trong thực tế? Muốn tạo một hệ điều hành cho riêng bạn? Tất cả những ước muốn của bạn đều sẽ được đáp ứng bởi đơn giản: Linux trao quyền điều khiển chiếc máy tính lại cho bạn.
Với mớ kiến thức lủng củng về Linux, TCP/IP và lập trình web với PHP, tôi bắt đầu làm việc cho ngân hàng như là một chuyên gia bảo mật vào cuối năm 2004. Giá trị duy nhất của tôi lúc đó chính là khả năng tự học và sự thông hiểu về những nguyên tắc cơ bản của bảo mật (tôi đã tự huyễn hoặc mình như thế). Anh Nhã ở ngân hàng, sếp trực tiếp của tôi, đã phải đấu tranh rất nhiều với ban giám đốc để họ đồng ý cho một tên sinh viên chẳng có bằng cấp gì như tôi vào giữ kho tiền của họ. Nếu lúc đó ban giám đốc, vì một lý do nào đó, không nhận tôi vào làm thì có lẽ tôi đã không có cơ hội viết những dòng này. Vì một vài lý do tế nhị nên tôi không thể kể cho bạn nghe một cách chi tiết về công việc của tôi ở ngân hàng. Chỉ biết là sau hai năm làm việc ở đó, tôi đã thay đổi rất nhiều. Tôi nhìn mọi thứ dưới một con mắt khác.
Trước đây, tôi thường không quan tâm đến các vấn đề như scalability hay high-availability bởi vì tôi nghĩ rằng chúng không liên quan đến bảo mật. Còn bây giờ, trước khi bắt tay vào xây dựng bất kì hệ thống nào, tôi luôn chất vấn hai câu hỏi: hệ thống này có scalable hay không và làm thế nào để đảm bảo high-availability cho nó? Thế scalability và high-availability có liên quan thế nào đến bảo mật? Thật vui vì bạn đã hỏi. Xét đến cùng thì một trong những nhiệm vụ của người làm công tác bảo mật là đảm bảo mọi yêu cầu của người dùng đều được đáp ứng một cách nhanh chóng nhất mọi lúc mọi nơi. Hệ thống của bạn có an toàn đến đâu cũng sẽ trở nên vô ích nếu như người dùng không thể sử dụng nó. Do đó, khả năng mở rộng cũng như tính sẵn sàng cao là hai yếu tố sống còn của bất kì hệ thống nào cần được bảo vệ. Tính sẵn sàng cao giúp bạn giải quyết các tình huống bất ngờ còn khả năng mở rộng tốt giúp bạn làm chủ sự bành trướng của toàn bộ hệ thống. Vậy làm thế nào để có scalability và high-availability? Kinh nghiệm của tôi là can thiệp càng sớm càng tốt. Bạn phải hiểu cách hệ thống được thiết kế và chỉnh sửa ngay nếu kiến trúc của nó không an toàn. Bạn phải biết cách người ta xây dựng nó và điều chỉnh ngay nếu như họ không làm đúng theo bản thiết kế. Bạn phải hiểu cách nó vận hành để quản lí nó một cách an toàn. Nghĩa là, muốn làm tốt công tác bảo mật bất kì hệ thống nào, bạn phải tham gia xây dựng nó ngay từ trong trứng nước. Bạn phải thông hiểu tất cả, từ các qui trình phát triển phần mềm cho đến các kĩ thuật phân tích thiết kế hệ thống và dĩ nhiên, cả các kĩ năng quản trị và bảo vệ hệ thống. Bạn phải có kĩ năng của một lập trình viên, có kinh nghiệm của một tay quản trị mạng và sự tinh thông của một tay quản trị hệ thống lành nghề. Ngoài tiếng Anh và tiếng Việt ra, bạn phải giao tiếp tốt bằng TCP/IP hay C chẳng hạn (tôi đang bập bè những thứ này). You must “know everything about a little thing and know a little thing about everything”. Mà biết thôi vẫn chưa đủ, bạn phải hiểu được bản chất của công tác bảo mật thì mới có thể làm tốt được công việc của mình. Làm bảo mật không phải là cấu hình firewall hay thiết kế hệ thống IDS mà là thấu hiểu cách hoạt động của dòng thông tin. Thông tin đến từ đâu đến? Nó sẽ được lưu trữ ở đâu? Trong môi trường nào? Ai có quyền sử dụng nó? Nó có giá trị như thế nào? Cần phải bảo vệ nó chống lại ai? Bạn có trả lời được? Nếu câu trả lời là không thì firewall hay IDS cũng chẳng thể bảo vệ được hệ thống của bạn.
Công việc ở ngân hàng còn giúp tôi lì hơn rất nhiều. Trước đây, tôi sợ đủ thứ. Tôi sợ Linux, tôi sợ DNS, tôi sợ XML, tôi sợ SNMP, tôi sợ routing protocol, tôi sợ cryptography…Mỗi khi nghe hay đọc những tài liệu có liên quan đến những lĩnh vực này là tôi lại sợ. Sợ mình không hiểu được nó. Sợ mình không làm được nó. Cảm ơn trời, công việc bắt buộc tôi phải đối đầu trực tiếp với những nỗi sợ của mình và rồi tự nhiên chúng lại trở nên rất thân quen, chẳng có gì đáng sợ nữa. Tôi nhận ra rằng, cách duy nhất để hết sợ là đối mặt với nó. Tôi lao vào học và làm tất cả những lĩnh vực mà tôi đã từng sợ. Lúc này những kiến thức nền tảng về TCP/IP, hệ điều hành và lập trình mới phát huy hết tác dụng của chúng. Tôi không học CCNA, nhưng với sự trợ giúp của TCP/IP Illustrated Vol I, tôi vẫn có thể cấu hình hay quản lí các thiết bị của Cisco như router, switch hay firewall. Tôi chưa từng làm về Oracle, nhưng kinh nghiệm về Linux giúp tôi có thể học rồi dựng một hệ thống Oracle RAC trong một thời gian ngắn. Tôi chưa từng viết Java, nhưng kiến thức lập trình cộng với kinh nghiệm làm web service đã giúp tôi rất nhiều trong việc tham gia vào quá trình thiết kế kiến trúc hệ thống J2EE-based banking trong ngân hàng. Kinh nghiệm bồi thêm kinh nghiệm, tôi trở nên lì đòn và tự tin hơn hẳn. Tôi chẳng còn sợ những điều mới lạ mà ngược lại, tôi háo hức chinh phục chúng bằng kiến thức và kinh nghiệm của mình. Tôi quan niệm rằng, tài năng là do sự khổ luyện mà thành. Trong suốt hai năm, hầu như ngày nào tôi cũng đọc rất nhiều trang tài liệu, duyệt qua rất nhiều tin tức và liên tục tự cập nhật những công nghệ mới. Tôi học và làm không ngừng nghỉ bởi hơn ai hết, tôi biết mình còn rất kém. Tôi đã từng nghĩ rằng, người làm bảo mật thì cũng chẳng cần quan tâm nhiều đến những công tác như malware analysis, exploit development hay computer forensic. Đó là một quan niệm sai lầm mà tôi đang cố gắng khắc phục hàng ngày hàng giờ. Nói không ngoa thì hầu như tất cả sự thú vị và hấp dẫn của nghề bảo mật đều nằm ở những công tác này. Nó đòi hỏi rất nhiều kĩ năng, từ lập trình hệ thống cho đến reverse engineering. Nó yêu cầu sự thấu hiểu về hệ thống từ tầng thấp nhất cho đến tầng trên cùng. Nó bắt buộc bạn phải cẩn thận, tỉ mỉ và làm việc một cách chăm chỉ, siêng năng nhất nếu như muốn vươn lên hàng đầu. Nó rất…nghệ thuật :p.
Hai năm không dài không ngắn, vừa đủ để người ta nhìn lại và tổng kết một chặng đường. Càng đi, tôi càng nhận ra mình chỉ mới bắt đầu mà thôi. Tất cả chỉ là một khúc dạo đầu êm ả. Con đường phía trước còn dài lắm, rất dài và chắc chắn nó sẽ không đem lại cảm giác êm ả cho kẻ lữ hành. Có hề chi, hãy vững tin vào con đường của mình!
Này bạn ơi, hãy đi cùng tôi nhé…
