Dương Ngọc Thái trên đường phố Argentina

Một lỗ hổng bảo mật rất nghiêm trọng có thể ảnh hưởng đến hàng triệu website trên thế giới vừa được một người VN, anh Dương Ngọc Thái - trưởng phòng an toàn thông tin Ngân hàng Đông Á - cùng đồng nghiệp phát hiện.

Với phát hiện đặc biệt này, Dương Ngọc Thái đã được chọn thuyết trình tại hội thảo chuyên đề hacking lớn nhất và uy tín nhất khu vực Nam Mĩ, nơi hội tụ những chuyên gia giỏi nhất trong lĩnh vực nghiên cứu an toàn thông tin - Ekoparty.

Dương Ngọc Thái cho biết:

Chúng tôi (Thái và một đồng nghiệp người Argentina) đã phát hiện một lỗ hổng nghiêm trọng trong công nghệ ASP.NET, công nghệ web chủ đạo của Hãng Microsoft. Khai thác lỗ hổng này, kẻ tấn công có thể chiếm trọn quyền điều khiển bất kì website nào sử dụng ASP.NET và thậm chí nghiêm trọng hơn, chiếm quyền điều khiển hoàn toàn các máy chủ Windows chứa các website này.

Đây là một phát hiện thú vị về nhiều mặt. Về học thuật, phát hiện này là kết quả thừa hưởng từ nghiên cứu mà tôi và đồng nghiệp từng trình bày ở hội thảo Black Hat, tại Barcelona vào trung tuần tháng 4/2010. Sau Black Hat, chúng tôi bắt đầu tìm kiếm những lỗ hổng khác nghiêm trọng hơn và kết quả chúng tôi phát hiện lỗ hổng trong ASP.NET. Điều đặc biệt là lỗ hổng này rất nghiêm trọng, bởi lẽ nó có thể phá hủy hoàn toàn cơ chế an toàn thông tin của ASP.NET.

Về mặt ảnh hưởng thì các thống kê cho thấy khoảng 25% số website trên Internet sử dụng công nghệ ASP.NET. Đó là chưa kể một số lượng rất lớn các ứng dụng nội bộ của các doanh nghiệp.

Ở VN, theo quan sát của tôi, mức độ ảnh hưởng còn nghiêm trọng hơn. Rất nhiều ngân hàng và tổ chức tài chính lớn sử dụng ASP.NET để phát triển các website quan trọng như Internet Banking hay giao dịch chứng khoán. Khai thác lỗ hổng này, kẻ tấn công có thể “chôm” tài khoản của khách hàng hoặc thậm chí xâm nhập vào máy chủ của các tổ chức này.

Các anh đã phối hợp thế nào khi hai người ở hai quốc gia khác nhau?

Chẳng những ở xa hàng chục ngàn cây số mà thời gian còn lệch nhau mười giờ. Đây là một trở ngại nhưng thật ra nó chẳng là gì so với những trở ngại chính trong việc thực hiện nghiên cứu. Tôi đã làm việc với anh bạn này được hơn một năm nên việc phối hợp tương đối ăn ý. Lợi thế lớn của việc có một người làm chung là khi tôi bận hoặc mất động lực thì đồng nghiệp vẫn có thể tiếp tục đẩy nghiên cứu đi tiếp và ngược lại.

Thật ra chúng tôi đã thấy vấn đề tiềm tàng trong ASP.NET từ lúc chuẩn bị cho hội thảo ở Barcelona. Sau khi về VN tôi bắt đầu tìm hiểu vấn đề của ASP.NET và phát hiện có lỗ hổng. Nhưng đó là một tấn công không quá nghiêm trọng nên chúng tôi quyết định để nó sang một bên.

Cách đây khoảng một tháng đồng nghiệp của tôi gợi ý tôi nên gửi đề tài đến hội thảo Ekoparty để có cơ hội đến thăm đất nước Argentina của anh ấy. Thật ra vẫn có thể gửi đề tài đã trình bày tại hội thảo Black Hat ở Barcelona, nhưng chúng tôi vẫn mong muốn có một cái gì đó mới mẻ hơn nên đem vấn đề của ASP.NET ra mổ xẻ lại. Cuối cùng tôi phát hiện lỗ hổng nghiêm trọng như đã nói ở trên của ASP.NET và đồng nghiệp của tôi tối ưu hóa cho nhanh và hiệu quả hơn.

Việc được trình diễn phát hiện của mình ở đây có ý nghĩa thế nào, đặc biệt khi anh là người VN?

Tôi tự hào là người VN, nhưng tôi cố gắng không đưa yếu tố VN vào việc đánh giá các thành quả làm việc của tôi. Tôi nghĩ điều quan trọng là những kết quả nghiên cứu của tôi đóng góp gì cho cộng đồng chung chứ không phải tôi thực hiện những nghiên cứu đó với tư cách gì.

Microsoft đã có liên hệ nào với anh về phát hiện này chưa?

Họ đã liên hệ cả tuần nay. Thậm chí họ cũng gửi người đến Ekoparty để gặp chúng tôi. Chúng tôi đang thương lượng với họ để đưa ra một hướng giải quyết tốt nhất về kĩ thuật lẫn tài chính cho vấn đề này.

Công việc này hẳn làm mất nhiều thời gian, vậy động lực nào khiến anh làm công việc nghiên cứu này?

Tôi có thể trả lời ngắn gọn chỉ trong hai chữ: đam mê. Khi bắt đầu một nghiên cứu nào đó, thú thật tôi cũng sẽ không biết nó dẫn đến đâu nên làm sao đặt các mục tiêu về vật chất khi làm nghiên cứu được, bởi lẽ đâu phải cứ làm, hết ngày hết tháng là sẽ xong việc và ra tiền (cười).

Bản thân tôi quan niệm cố gắng làm tốt việc của tôi và nếu làm thật tốt, những lợi ích khác sẽ là tất yếu, không sớm thì muộn.

Anh có thể giới thiệu một chút về bản thân mình?

Tôi trẻ, trung thực, thích học và chưa bao giờ thôi mơ ước “sánh vai cùng bè bạn năm châu”. Nếu không làm an toàn thông tin có lẽ tôi sẽ viết truyện ngắn. Sau phát hiện này, tôi đã có thêm sự tự tin để triển khai các dự án nghiên cứu nhằm vào sản phẩm của các hãng công nghệ lớn trên thế giới.

Ảnh
Ngọc Thái cùng đồng nghiệp Juliano Rizzo trình bày báo cáo tại hội thảo Ekoparty

Hội thảo Ekoparty diễn ra trong hai ngày 16 và 17/9/2010 là hội thảo thường niên, đã được tổ chức đến lần thứ sáu. Trước khi hội thảo diễn ra vài tháng, hội đồng kĩ thuật của Ekoparty sẽ gửi một lá thư kêu gọi cộng đồng nộp các báo cáo nghiên cứu mới nhất.

Sau khi tập hợp đầy đủ các báo cáo, hội đồng kĩ thuật sẽ lựa chọn ra những nghiên cứu hay nhất và gửi thư mời tác giả đến Buenos Aires để trình bày.

Theo Tuổi trẻ



Bình luận

  • TTCN (3)
Lê Đại Hoàng  498

Anh Dương Ngọc Thái hay Thái DN là một trong những hacker mũ trắng rất nổi danh trong giới nghiên cứu bảo mật cũng như CNTT Việt Nam. Mình thực sự rất ấn tượng với những gì mà anh Thái đã làm. Anh Thái có thể coi là một trong những tấm gương để nhiều bạn trẻ đam mê công nghệ noi theo. Smile

Thiện Lô Đề

Sẽ có ngày thế giới nghĩ tới hacker là nghĩ tới VN

Lê Đại Hoàng  498

Thiếu nhân lực làm bảo mật ở VN

Khác với việc phát triển phần mềm nhỏ lẻ ở Việt Nam khi mà một lập trình viên trung bình có trong tay 1 trong 3 Big Three về lập trình là PHP, ASP.NET, Java là có thể kiếm cơm trong nghề thì công việc của một chuyên viên bảo mật dường như khó khăn hơn rất nhiều, đòi hỏi hiểu biết sâu và rộng hơn. Ngoài hiểu biết về các hệ điều hành, mạng, các công cụ và môi trường lập trình thì người làm bảo mật còn phải có đầu óc phân tích, phán đoán nhạy bén tình huống, vấn đề và rõ ràng là một niềm đam mê cháy bỏng. Có lẽ vì yêu cầu khá cao như vậy mà ngành này có khá ít người có thể theo được và thành công.

Trong khi nhu cầu về nhân lực có hiểu biết về bảo mật ở VN cũng rất lớn. Theo thông tin mình có được thì phần lớn nhân lực chuyên nghiệp về bảo mật của VN hiện đều làm ở Bkis. Số còn lại nằm rải rác trong cộng đồng hoặc làm việc cho các doanh nghiệp nước ngoài. Cũng chính vì sự khó khăn và kén người dẫn đến số lượng các đơn vị giảng dạy chuyên ngành này chưa lớn và tất yếu là số lượng đầu ra làm bảo mật lại càng hiếm hơn. Mình cũng hi vọng vào những thành công bước đầu của Bkis và viễn cảnh một ngày nào đó VN sẽ sánh vai với các cường quốc năm châu về lĩnh vực bảo mật. Smile