Tin Tức Hàng Ngày: Khoa Học

Hiển thị các bài đăng có nhãn Khoa Học - Kỷ Thuật. Hiển thị tất cả bài đăng

08:27

Thiết bị Trung Quốc và an ninh mạng

Một hacker Trung Quốc bị cảnh sát bắt tại sân bay Tây An, Trung Quốc hôm 3/12/2006 với hai thẻ nhận dạng, 100.000 Nhân dân tệ, một số thẻ ngân hàng và một máy tính xách tay. AFP photo

Các tin khác »

Ngày 29 tháng 7, chỉ trong vài giờ đồng hồ, những màn hình và hệ thống máy tính ở sân bay Việt Nam đã bị hacker tấn công với những thông điệp phỉ báng Việt Nam và Philippines. Sau đó, hệ thống máy tính của các cơ quan và doanh nghiệp Việt Nam xuất hiện mã độc giống như thế. Nhóm hacker này được cho là nhóm 1937cn từ Trung Quốc.

Chuyên gia về an ninh mạng Hoàng Ngọc Diêu, từ Sydney, Australia có những phân tích chuyên môn về sự việc này.

“Theo đánh giá kỹ thuật thì mình không nghĩ đây là một trò chơi của nhà cầm quyền Trung Quốc. Vì trong suốt 1 lịch sử rất dài, nhà cầm quyền Trung Quốc không có chơi những trò này. Họ thường nghe lén hoặc đánh cắp thông tin. Nếu họ có tấn công thì họ tấn công coi như 1 cách chuyên nghiệp, đưa đến một kết quả tồi tệ, chứ họ không đưa trên 1 hệ thống của phi trường. Rồi dựa trên những thông tin kỹ thuật mà tôi có trong tay thì không thấy tính tinh tế, ghê gớm của cấp độ quốc gia chơi với quốc gia. Tôi nghĩ có thể một nhóm nào đó của Trung Quốc làm, vì thông tin đi từ Trung Quốc ra.”

RFA: Ý của ông muốn nói rằng nhóm hacker này có gốc Trung Quốc nhưng không phải đứng đằng sau là chính phủ Trung Quốc?

Theo đánh giá kỹ thuật thì mình không nghĩ đây là một trò chơi của nhà cầm quyền Trung Quốc...Tôi nghĩ có thể một nhóm nào đó của Trung Quốc làm, vì thông tin đi từ Trung Quốc ra.

- Hoàng Ngọc Diêu, Sydney

Hoàng Ngọc Diêu: Đúng rồi, biểu hiện của nó mang tính chất cá nhân hơn là một cấp độ quy cũ của quốc gia. Hoặc chính nhà nước Trung Quốc cũng muốn vậy. Nhưng cách dàn dựng và tấn công rõ ràng là đã có cách đây vài năm rồi chứ không phải mới đây.

RFA: Có nghĩa là họ đã thâm nhập vào hệ thống của Việt Nam và chờ ở đấy cách đây mấy năm rồi?

Hoàng Ngọc Diêu: Đúng rồi, theo những mẫu tôi nắm được trong tay, nó được tạo ra từ 2012, 2013, 2014 và 2015.

RFA: Có nghĩa là chúng ta cũng không chắc được là 2017, 2018 có diễn ra những việc này nữa hay không. Như vậy những người sử dụng máy tính ở Việt Nam, những hệ thống lớn như sân bay, các tổ chức doanh nghiệp lớn vừa nhỏ nên có những cách xử lý và phòng ngừa thế nào đối với những mã độc đó nếu xảy ra một lần nữa?

Hoàng Ngọc Diêu: Tôi thấy có hai phạm trù khác nhau, phạm trù dân sự và quân sự. khi mình nói đến quân sự là nói đến trách nhiệm của chính quyền. Mình nói đến dân sự là mình nói đến trách nhiệm của mỗi cá nhân trong xã hội.

Khi nói đến góc độ quân sự thì theo cái tôi nhìn thấy và nhận xét suốt từ 2007 đến giờ, thì nhà nước Việt Nam có vẻ không quan tâm hoặc xem trọng vấn đề bảo mật cho hệ thống mạng của Việt Nam nói chung. Cái đó biểu hiện qua suốt quá trình họ sử dụng những thiết bị của Trung Quốc, những nhà thầu Trung Quốc. Để mà cải tạo những chuyện đó, họ phải thay đổi hoàn toàn cái tư duy. Như vừa rồi có một bộ trưởng của Việt Nam cho rằng vì điều kiện lịch sử gì đó nên phải sử dụng đồ của Trung Quốc. Tôi thấy đó là một tư duy kỳ quái. Vì đối với một lợi ích quốc gia thì không có việc gì phải như vậy. Bất kỳ quốc gia nào trên thế giới đều có quyền chọn lựa loại thiết bị, sản phẩm cho thích hợp và đáng tin cậy chứ không có gì phải ràng buộc.

Khi nói đến góc độ quân sự thì theo cái tôi nhìn thấy và nhận xét suốt từ 2007 đến giờ, thì nhà nước Việt Nam có vẻ không quan tâm hoặc xem trọng vấn đề bảo mật cho hệ thống mạng của Việt Nam nói chung.

- Hoàng Ngọc Diêu, Sydney

Còn đối với người dân thì cái khổ của người dân Việt Nam hiện giờ là hàng hoá Trung Quốc tràn ngập. Những người bình thường không có tiền cho nên họ xài những đồ Trung Quốc, như mobile phone rẻ tiền, rồi những modem ở nhà. Họ không có nhiều chọn lựa. Cái duy nhất họ có thể kiện toàn phần nào chuyện bảo mật là họ nên tìm hiểu và có ý thức cho cá nhân họ.

RFA: Những công ty của Trung Quốc như công tu HOAVI cung cấp linh kiện điện tử, công nghệ thông tin và bị nghi ngờ ở nhiều nước phương Tây là làm gián điệp cho Trung Quốc. Nhưng đối với Việt Nam thì thiết bị của họ rẻ, nên có thể đặt ra vấn đề là mình chọn những thiết bị rẻ tiền mà giữ được an ninh mạng không thưa anh?

Hoàng Ngọc Diêu: Tôi nói thẳng luôn là cái khía cạnh cho là rẻ mà mua thiết bị của Trung Quốc thì tôi thấy không được hữu lý lắm. Ngân sách của Việt Nam tốn cho kỹ thuật mạng rất lớn. Họ vẫn có thể mua những thiết bi rất tốt. Họ mua cái này rẻ vì có những phần trăm trong đó. Thực tế nó đau buồn nhưng vẫn là thực tế.

RFA: Xin cảm ơn anh Hoàng Ngọc Diêu đã trả lời phỏng vấn.

Cát Linh
Theo RFA

Nhấp vào nút play (►) dưới đây để nghe

Tải xuống

08:27

Thiết bị Trung Quốc và an ninh mạng

Các tin khác »

Nhấp vào nút play (►) dưới đây để nghe

Tải xuống

05:57

Chiến tranh du kích hiện đại

Chiến tranh du kích hiện đại - Điều rất nguy hiểm và tệ hại là nhân dân đang thức tỉnh trong khi lãnh đạo vẫn ngủ mê. Ảnh minh họa

Các tin khác »

Dư luận trong và ngoài nước VN đang xôn xao bàn tán về những cuộc phá rối trên mạng Internet, làm cho các sân bay Hà Nội và Tân Sơn Nhất bị đình trệ hàng giờ, gây rối loạn trong việc điều hành của Hàng Không VN. Tất cả các thông tin điện tử đều tắt ngấm, các máy computer tê liệt mà chưa rõ nguyên nhân từ đâu. Chỉ biết thỉnh thoảng lại hiện lên những lời thô tục chửi bới VN vi phạm chủ quyền TQ trên Biển Đông.

Trước đó Bộ Ngoại giao Bắc Kinh gửi công hàm yêu cầu phía VN điều tra và trừng phạt người nào đã viết lời chửi tục trên Hộ chiếu có in hình lưỡi bò 9 đoạn khi quá cảnh qua biên giới Việt – Trung. Phải chăng sự quấy rối trên mạng ở 2 sân bay lớn nhất là sự trả đũa ngầm của bọn bành trướng bị chạm nọc, đau xót khi bị Tòa án Quốc tế ra phán quyết cắt đứt cái lưỡi bò xâm lược của họ.

Cũng vào dịp này, máy vô tuyến truyền hình ở các tỉnh Quảng trị, Thừa Thiên – Huế, Quảng Nam bị tin tặc quấy phá, bị xen vào những hình ảnh và lời bình thô bạo chống nhân dân VN theo luận điệu ngang ngược quen thuộc của họ.

Ngày 1/8 Chủ tịch nước Trần Đại Quang khi gặp các cử tri cũng nhắc đến cuộc chiến tranh mạng và nói về trách nhiệm của Cục An ninh mạng trong Bộ Công an, về sự lợi hại phức tạp của cuộc “chiến tranh ảo”, không khói súng và thuốc nổ, cuộc chiến tranh du kích hiện đại, bằng chỉ dí con chuột” trên máy computer mà hậu quả thật ghê gớm, vì thủ phạm luôn giấu mặt, âm thầm, ảo.

Báo mạng Đại Kỷ Nguyên và mạng Express vừa có bài nghiên cứu viết sâu về “cuộc chiến tranh du kích hiện đại” còn mới mẻ rất nguy hiểm này. Các bài báo cho biết ở TQ, bộ Tổng tham mưu Quân Giải Phóng Nhân dân – PLA – là cơ quan chỉ đạo của cuộc “chiến tranh mạng” đang được chuẩn bị gấp rút. Tòa nhà Bát Nhất ở Thượng Hải chính là bản doanh tối cao của cuộc chiến tranh này.

Tập Cận Bình Tổng bí thư Kiêm chủ tịch Nước, Bí thư Quân ủy TƯ, kiêm Tổng tư lệnh tối cao đích thân chuẩn bị và chỉ đạo cuộc chiến tranh hiện đại này.

Về mặt tổ chức, mới đây Bộ Tổng Tham mưu được tổ chức lại thành 3 Tổng Cục:

– Tổng Cục II, là cơ quan gián điệp do thám cao nhất, mang tên TC.

Humint (theo từ gốc Human là nhân lực), có chừng 50 ngàn người, chuyên dùng gián điệp thâm nhập khắp nơi trong và ngoài nước để theo dõi, thăm dò, thu lượm và phân tích mọi tin tức ngoài xã hội, trong đảng CS, các tổ chức xã hội cũng như khắp các nước khác,

– Tổng Cục III, chuyên về không gian mạng, mang tên TC Signit (theo từ gốc Sign, nghĩa là Chữ và Số), được coi là Tổng cục Chủ lực trong chiến tranh mạng, có 20 văn phòng ở các lĩnh vực và khu vực, bao gồm đến 300 ngàn nhân viên có tay nghề vững về xử dụng máy tính điện tử cao cấp, có mạng lưới rộng khắp trong và ngoài nước.

– Tổng Cục IV, chuyên thực hiện trực tiếp các cuộc tiến công điện tử, mang tên TC Elmit, theo từ Elect – Electronic – điện tử, cũng là TC EW – Electronic War trực tiếp điều khiển hàng ngàn vệ tinh, hàng vạn Radar, hàng chục vạn chuyên viên tình báo.

Các Tổng cục trên đây tuyển mộ nhân viên trong và ngoài nước lanh lợi thông minh, ở ngoài nước cài cắm vào số chuyên viên đại sứ quán, lãnh sự quán, các Hội sinh viên, du học sinh, các Hiệp hội đồng hương, Hội Tam hoàng, chuyên do thám, thu lượm tin tức, ăn cắp các tin mật, tài sản trí tuệ, các sáng chế phát minh mật, các quy trình khoa học công nghệ mật về quân sự, quốc phòng.

Các Tổng Cục trên đều được huấn luyện chuyên sâu về “chiến tranh thương mại, chiến tranh tài chính, chiến tranh sinh thái, chiến tranh tâm lý, chiến tranh truyền thông, chiến tranh tin đồn, chiến tranh ma túy”.

Bộ chỉ huy tối cao của cuộc chiến tranh mạng của Bộ Tổng Tham mưu PLA TQ mang bí số “Đơn Vị 61398”, với 5 con số.

Các nhà nghiên cứu cho biết, so với TQ, Hoa Kỳ đã tiến trước, vượt xa TQ về chuẩn bị cho cuộc chiến tranh mạng hàng chục năm, do đó vượt xa TQ về vũ khí nguyên tử, về tên lửa và chặn tên lửa tầm gần cũng như tầm xa, về tàu ngầm nguyên tử cũng như về khu trục hạm và Hàng không mẫu hạm.

CIA và FBI, cơ quan tình báo, an ninh, do thám Hoa Kỳ cũng có kinh nghiệm, tay nghề vượt trội TQ, nhưng luôn kín đáo, bí hiểm, có hiệu quả.

Hoa Kỳ luôn cản phá được các gián điệp ngầm của TQ, như đã bắt giam gần đây 5 sỹ quan gốc TQ chui vào bộ máy chiến tranh mạng của Hoa Kỳ khi họ chưa gây được hậu quả gì đáng kể.

Các nước Đông Nam Á đều tỏ ra cảnh giác với gián điệp bằng người và bằng máy tính rất nham hiểm của TQ, nhất là của cơ quan tình báo Hoa Nam.

Vụ phá hoại môi trường ven biển miền Trung, vụ án Formosa – Plastics , Vụ khai thác Bô xit Tây Nguyên, Vụ 2 máy bay bị hạ bí hiểm, vụ máy vô tuyến bị nhiễu ở ba tỉnh miền Trung Quảng Trị, Thừa Thiên, Quảng Nam, vụ 2 sân bay lớn bị mất tín hiệu… có nhiều khả năng là những đòn thăm dò, nắn gân thí điểm của “chiến tranh sinh thái”, “chiến tranh diện tử”, “cuộc chiến tranh du kích hiện đại” không khói, không tiếng nổ, mà ông láng giềng phương Bắc muốn gửi “tặng” cho người đồng chí CS đàn em phía Nam ngu ngơ dại dột, khôn nhà dại chợ, hèn với giặc ác với dân.

Điều rất nguy hiểm và tệ hại là nhân dân đang thức tỉnh trong khi lãnh đạo vẫn ngủ mê, cố tình lầm lẫn, coi nhân dân yêu nước kiên cường là đối tượng đàn áp, lẫn lộn thù, bạn, ta một cách mù quáng dại dột.

Bùi Tín
Ba Sàm

14:12

Được ‘dạy thêm một bài’ nhưng chưa chắc Việt Nam học được gì

Được ‘dạy thêm một bài’ nhưng chưa chắc Việt Nam học được gì - (Hình minh họa: Roslan Rahman/AFP/Getty Images)

Các tin khác »

HÀ NỘI – Chính quyền Việt Nam chưa có ý kiến chính thức về sự kiện tin tặc xâm nhập, chiếm quyền kiểm soát mạng máy tính hai hai phi trường Nội Bài và Tân Sơn Nhất.

Chiều 29 Tháng Bảy, thay vì hiển thị thông tin về các chuyến bay, các yêu cầu và hướng dẫn về an toàn hàng không thì toàn bộ màn hình ở hai phi trường lớn nhất Việt Nam là Nội Bài (Hà Nội) và Sài Gòn xuất hiện “những thông tin kích động, xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về Biển Đông.”

Thậm chí quyền kiểm soát hệ thống phát thanh cũng bị cưỡng đoạt. Trên loa phóng thanh chỉ còn những lời chỉ trích Philippines, Việt Nam và tuyên bố Biển Đông là… của Trung Quốc.

Giới hữu trách tại Việt Nam chỉ còn một lựa chọn: Tắt cả mạng máy tính lẫn hệ thống phát thanh ở Nội Bài và Tân Sơn Nhất. Việc tiếp nhận khách – kiểm tra giấy tờ tùy thân – phát thẻ lên phi cơ,… được thực hiện trên giấy và bằng tay! Chuyển các thông tin cần thiết đến hành khách bằng loa cầm tay. Tất nhiên, theo sau đó là hàng trăm chuyến bay và hành khách bị trễ chuyến bay. Có một điểm đáng chú ý là thay vì trở thành hỗn loạn, Nội Bài và Tân Sơn Nhất lại rất trật tự. Mọi người nhẫn nại chờ đợi, chịu đựng những bất tiện, không oán thán, chê trách.

Ngoài mạng máy tính điều hành hoạt động và hệ thống phát thanh của phi trường, tin tặc cưỡng đoạt luôn cả quyền kiểm soát trang web của Vietnam Airlines trên Internet. Thông tin cá nhân của khoảng 400,000 hành khách sử dụng các dịch vụ do Vietnam Airlines cung cấp được tin tặc thu thập, đóng thành “gói” để tặng không qua Internet. Đến cuối tuần, một số trang web khác của Việt Nam cũng bắt đầu mất quyền kiểm soát.

Giới hữu trách ở Việt Nam chỉ có vài thông báo liên quan đến sự kiện vừa kể: (1) Đang điều tra và (2) Tin tặc không kiểm soát được mạng máy tính liên quan tới điều hành phi cơ để thiết lập và duy trì an toàn bay.

Tuy nhiên thông báo loại (2) có mâu thuẫn: Trong khi một viên chức Cục Hàng Không Việt Nam khẳng định, mạng máy tính liên quan tới điều hành phi cơ để thiết lập và duy trì an toàn bay là hệ thống riêng biệt, được bảo vệ nghiêm ngặt, tin tặc không thể xâm nhập, cưỡng đoạt quyền kiểm soát thì một viên chức của Vietnam Airlines nói với báo giới là trước đó vài ngày, hãng này đã “chủ động đánh sập hệ thống điều hành liên quan đến an toàn bay để không bị hacker tấn công.”

1937CN, nhóm tin tặc Trung Quốc trước nay vẫn thực hiện nhiều cuộc tấn công trên Internet và được nhiều người tin là thủ phạm vụ tấn công hôm 29 Tháng Bảy, đã lên tiếng phủ nhận những cáo buộc gần đây nhắm vào mình vì cáo buộc đó “không hợp lý, thiếu tính khoa học.” Thông báo viết, đại ý là vào thời điểm nóng bức này, dân chúng Việt Nam nên uống trà, mở quạt, đưa thân nhân ra biển chơi bằng xe hai bánh gắn máy và hãy hô to: “Biển Đông là của Trung Quốc!”

Trong bối cảnh như vậy, VnExpress chọn sự kiện, Nội Bài và Tân Sơn Nhất không những không hỗn loạn mà còn rất trật tự, mọi người nhẫn nại chờ đợi, chịu đựng những bất tiện, không oán thán, chê trách như một bằng chứng cho thấy, cuộc tấn công đã thất bại vì sự đoàn kết và tinh thần dân tộc của người Việt, sẽ là sự bất hạnh cho bất kỳ kẻ nào lăm le tấn công dân tộc này. Tuy nhiên, cảm xúc và nhận định đó bị nhiều người chỉ trích kịch liệt. Tờ Một Thế Giới nhận định, trước những biến cố như vừa kể, phải xem xem nên lựa chọn việc xoa dịu đám đông bằng lập luận “nhờ có cuộc tấn công nên dân chúng Việt Nam đoàn kết với nhau” hay phải truy vấn trách nhiệm của những cá nhân, những giới được trả lương để bảo vệ cộng đồng? Không nên ru ngủ đám đông bằng tinh thần dân tộc viển vông.

Một facebooker tên là Vũ Kim Hạnh, từng là tổng biên tập tờ Tuổi Trẻ, viết rằng, tin tặc của “các bạn bốn tốt” đã “dạy cho Việt Nam một bài học” rằng chúng đã “cắm sâu và bền” trong lòng mạng máy tính điểu khiển hệ thống phi trường Việt Nam nên có thể mắng chửi, khẳng định việc làm chủ Biển Đông, có thể cười ngạo mạn trên hệ thống phát thanh phi trường. Bà Hạnh không xác định “Đó là đòn dằn mặt hay phủ đầu? Đánh lén hay tuyên chiến?” nhưng chúng đã ra tay, trịch thượng và thô lỗ!

Thật ra tin tặc đã tấn công Việt Nam nhiều đợt. Các đợt tấn công thường xảy ra sau khi Việt Nam tỏ thái độ bất phục tùng, không tuân thủ “16 chữ vàng” và “tinh thần bốn tốt” mà Trung Quốc đề ra như kim chỉ nam cho quan hệ Trung – Việt.

Tin tặc cho thấy một cách rất rõ ràng ràng, đánh sập, kiểm soát các trang web tại Việt Nam là chuyện rất dễ dàng. Tháng Tám năm ngoái, Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam (Vncert), thuộc Bộ Thông Tin-Truyền Thông Việt Nam, thú nhận, trong Tháng Bảy, 2015, có 1,007 máy chủ và 2,198 trang web của Việt Nam bị tấn công. Sang tuần đầu tiên của Tháng Tám, con số trang web bị tấn công là 357, trong đó có 18 trang web của hệ thống công quyền.

Hồi giữa năm ngoái, FireEye – một công ty chuyên về an ninh Internet của Hoa Kỳ – công bố một nghiên cứu, theo đó, hacker Trung Quốc đã “bám” Việt Nam suốt 10 năm

Những thông tin vừa kể chỉ minh họa thêm cho một vấn nạn vốn đã được một số chuyên gia về an ninh thông tin cho hệ thống máy tính và mạng viễn thông của Việt Nam cảnh báo trước đó hàng chục năm.

Thậm chí hồi giữa năm 2013, Hiệp Hội An Toàn Thông Tin Việt Nam đã lập lại cảnh báo về vấn nạn nan giải này đối với an ninh thông tin tại Việt Nam, bởi gần như toàn bộ thiết bị mà các công ty viễn thông Việt Nam đang sử dụng là sản phẩm do hai công ty Huawei và ZTE của Trung Quốc sản xuất.

Lúc đó, theo Hiệp Hội An Toàn Thông Tin Việt Nam, có 6/7 công ty viễn thông ở Việt Nam đang sử dụng thiết bị và công nghệ do Huawei và ZTE cung cấp. Trên toàn Việt Nam, hiện có khoảng 30,000 trạm thu phát sóng (BTS) đang sử dụng thiết bị của Huawei và ZTE. Trước nữa, chỉ tính riêng năm 2009, đã có hơn 5 triệu thiết bị như: modem, router, USB do Huawei và ZTE sản xuất đã được bán trên thị trường Việt Nam. Hiệp hội này xác nhận là chưa thống kê được số thiết bị do Huawei và ZTE sản xuất, đã được bán tại Việt Nam.

Huawei và ZTE là hai công ty hàng đầu của Trung Quốc, chuyên cung cấp thiết bị, công nghệ trong lĩnh vực viễn thông và theo Ủy Ban Tình Báo Hạ Viện Hoa Kỳ, thiết bị, công nghệ của Huawei và ZTE có thể đã được cấy những tác nhân độc hại trước khi bán cho khách hàng, gây ra mối de dọa an ninh đối với Hoa Kỳ.

Tiếc rằng tất cả những cảnh báo đó không được chính quyền Việt Nam quan tâm dẫu cho theo ước đoán của Hiệp Hội An Toàn Thông Tin Việt Nam, rất nhiều máy chủ của các cơ quan thuộc chính quyền Việt Nam đã bị hacker tấn công và kiểm soát, trong đó có khoảng 400 máy chủ bị nối với các mạng máy tính bên ngoài Việt Nam để ăn cắp những thông tin vốn phải được bảo mật.

Cho dù an ninh thông tin ở Việt Nam bị đe dọa nghiêm trọng, chính quyền Việt Nam chỉ bận tâm đến chuyện kiểm duyệt thông tin, ngăn ngừa đối lập chứ chưa làm gì để phòng chống tin tặc. (G.Đ.)

Chau Thay Co
Người Việt

02:11

Vì sao Sukhoi gặp nạn?

Vì sao Sukhoi gặp nạn? Máy bay Sukhoi

Các tin khác »

Tính đến giữa 2015 Ấn Độ đã có số chiến đấu cơ rơi nhiều kỷ lục so với các nước khác trên thế giới.

Từ tháng 4/2009 đến tháng 5/2015, có sáu chiếc Su-30 mà Nato gọi là hạng Flanker bị đâm xuống đất, đặt ra nhiều câu hỏi khác nhau cho Bộ Quốc phòng và Quốc hội Ấn Độ.

Trong những năm trước, Bộ Quốc phòng Ấn Độ cho Quốc hội biết quá nửa số phi cơ MiG mua từ Nga về (872 chiếc) bị phá hủy trong tai nạn, làm chết hơn 200 phi công và những người khác, phóng viên Andrew North viết trên BBC News.

Chỉ trong năm 2011-12, có tới 30 vụ phi cơ bị rớt.

Riêng về thế hệ Su-30 trong Không quân Ấn Độ, Rakesh Krishnan Simha có bài viết hồi tháng 6/2015 đánh giá 5 giả thuyết về vụ sáu chiếc Su-30 rơi từ giữa 2009 đến giữa năm 2015.

Sáu vụ liên tiếp

Vụ 30/04/ 2009: Tòa án Ấn Độ xác nhận chiếc Su-30MKI đâm xuống vùng Pokhran, Rajasthan vì lái trưởng tắt nhầm hệ thống bay tự động.

Vụ 30/11/2009: vật thể lạ lọt vào động cơ làm máy bay lao xuống Jaisalmer, Rajasthan sau báo động cứu hỏa.

Vụ 13/12/2011: máy bay lao xuống cách Pune 20 km vì hệ thống điều khiển điện tử có lỗi.

Vụ 19/02/2013: cánh phải máy bay bốc cháy trên bầu trời Pokhran.

Vụ 14/10/ 2013: hỏng hệ thống điều khiển điện tử.

Vụ 19/05/2015: phi công phải nhảy dù khi chiếc Su-30MKI vay từ Tezpur ở Assam gặp vấn đề kỹ thuật không xác định.

Nhưng chính vì con số tai nạn quá lớn này, các trang về quốc phòng thiên về nhận định không phải vấn đề kỹ thuật mà có thể yếu tố con người cùng cách khai thác khiến phi cơ Ấn Độ “rơi nhiều như quan tài bay”.

1: Tập luyện căng thẳng

Bài của Rakesh Krishnan Simha trích đánh giá từ ông Benjamin Lambeth thuộc tổ chức Carnegie Endowment for International Peace nói chính vì tính căng thẳng cao của chương trình tập luyện "giả định có chiến tranh ở hai mặt trận" khiến Không quân Ấn Độ gặp vấn đề.

Nói ngắn gọn thì các cuộc đánh trận giả trên không liên tiếp khiến phi công Ấn Độ lao lực.

Các chuyến bay tập 1800 km, với phi công có khi phải bay 10 giờ liên tục, phản ánh triết lý của chỉ huy Ấn Độ rằng "để mất phi công khi huấn luyện còn hơn là mất trong chiến tranh".

Điều này khiến không chỉ chính các tổ lái mà các đơn vị phục vụ mặt đất, các nhóm huấn luyện cũng mệt mỏi.

2: Môi trường bay khắc nghiệt

Nắng nóng và chim chóc bay lượn ở các khu vực gần sân bay là lý do tiếp theo gây tai nạn. Để cải thiện tình hình, Ấn Độ đã phải đặt hàng camera và dụng cụ đuổi chim gần các phi trường dân sự và quân sự.

3: Thiếu phi công huấn luyện

MiG-29 trong không lực Ấn Độ bị nạn nhiều

Cứ hai năm Ấn Độ mất 18 phi cơ (tính đến tháng 3/2013) một phần vì thiếu phi công huấn luyện. Những người chỉ tập qua loa đã được cho lên chương trình đào tạo huấn luyện viên trung cấp (IJTs) rồi cao cấp (AJTs).

Thiếu phi công khiến những người mới ra lò đã lái luôn các chiến đấu cơ như MiG-21, khiến "phi công trẻ chết rất nhiều".

4: Bảo trì máy móc kém

Tâm lý ‘chalta hai’ (chín bỏ làm mười) ở Ấn Độ là lý do khiến tiêu chuẩn bảo trì không cao. Bộ phận mặt đất còn bị xử vì gây án.

5: Quân số giảm sút

Với 34 phi độ và 600 máy bay, không quân Ấn Độ tính đến giữa 2015 đã giảm đi nhiều, từ 42 phi đội trước đó. Số phi cơ giảm đi lại phải bay trên một bầu trời rất rộng và vì thế, máy bay càng có thời gian bảo trì trong hangar.

Giải pháp

Bài báo của Rakesh Krishnan Simha cho rằng chỉ một chương trình cải cách toàn diện cùng tăng ngân sách cho không quân mới cải thiện được tình trạng tai nạn của phi cơ Ấn Độ.

BBC

02:00

Phải thận trọng trong việc cho phép trường kinh doanh đào tạo ngành y

"...Trường đại học kinh doanh và công nghệ lại mở ngành đào tạo y dược thật là một sự kiện vô tiền khoáng hậu mà gần như không thấy có ở các nước khác trên thế giới..."

Cùng tác giả

» Xem tiếp

Thời gian qua, thông tin về Trường Đại học tư thục Kinh doanh và Công nghệ Hà Nội được cấp phép đào tạo ngành y đa khoa và dược học trình độ Đại học hệ chính quy đã gây xôn xao dư luận. Đã xuất hiện rất nhiều tranh cãi gay gắt, trong đó số người không đồng ý dường như đang áp đảo.

Tại sao trường kinh doanh dạy y học?

Việc một trường đại học kinh doanh và công nghệ lại mở ngành đào tạo y dược thật là một sự kiện vô tiền khoáng hậu mà gần như không thấy có ở các nước khác trên thế giới. Ở các nước, thường thì các ngành đặc biệt như y dược, sư phạm, luật học sẽ gom thành một khối đào tạo chung.

Mục tiêu của việc này là các chuyên ngành (cùng nằm trong trường y) có thể hỗ trợ nhau về cơ sở vật chất, hạ tầng, giảng viên, tư liệu,… Điều này vừa giúp sinh viên có thể học trong môi trường có điều kiện tốt, vừa không gây lãng phí đầu tư hạ tầng.

Việc để trường kinh doanh, công nghệ dạy y dược không những lãng phí về mặt đầu tư vì các ngành không hỗ trợ được cho nhau, mà còn tạo ra một môi trường hỗn tạp không có lợi cho việc đào tạo ngành y, vốn cần có một văn hóa sư phạm riêng để tạo ra những bác sĩ, dược sĩ vừa có tài, vừa có tâm. Mặt khác, dù lãnh đạo Đại học Kinh doanh và Công nghệ Hà Nội và lãnh đạo Bộ Giáo dục cho biết trường này đủ điều kiện đào tạo ngành y, các phản ánh của báo chí và giới chuyên gia vẫn đặt ra quá nhiều nghi vấn cần được làm rõ về hạ tầng, năng lực chuyên môn và cam kết chất lượng đào tạo của trường khi mở ngành y dược.

Xin hãy thử tưởng tượng rằng, việc đầu tư hạ tầng 80 tỉ cùng liên kết với một số bệnh viện, vài chục giảng viên là có thể mở ngành y – một ngành học được xem là danh giá tại Việt Nam mà nhu cầu vào học chưa bao giờ thiếu nhưng đầu ra chưa thật sự đáp ứng hết nhu cầu xã hội – thì quyết định cho Trường Đại học Kinh doanh và Công nghệ mở ngành y sẽ là một khởi đầu màu mỡ cho hàng loạt những người mong muốn kinh doanh từ ngành học này. Thử tưởng tượng rồi hàng loạt các trường kinh doanh khác cũng mở ngành y, như sư phạm, luật, thậm chí là bách khoa, công nghệ thông tin…hễ có đủ tiền để đầu tư là được mở ngành y thì rõ ràng là bất ổn.

Phải cân nhắc hệ lụy

Có rất nhiều hệ lụy có thể xảy ra, đòi hỏi nhà chức trách phải cân nhắc tối đa trước khi chính thức cho Trường Đại học Kinh doanh và Công nghệ tuyển sinh ngành y. Thứ nhất, đó là chất lượng đào tạo. Một nguyên tắc tối thiểu trong việc đầu tư là kinh phí mở dự án/mở ngành đào tạo thì không khó, nhưng để duy trì các hoạt động đảm bảo hoạt động cho ngành không phải dễ, thậm chí khó gấp hai, gấp ba lần.

Con số vài chục tỷ để đầu tư hạ tầng chỉ là khởi đầu. Làm sao bảo đảm khi tiến hành hoạt động, số tiền bảo trì và phát triển hệ thống hạ tầng có thể đủ để ngành đào tạo một cách tốt nhất. Hay như việc ghi tên vài chục giảng viên vào danh sách giảng viên của trường thì không khó, nhưng làm sao cam đoan các giảng viên sẽ làm việc toàn tâm toàn ý cho trường này, nhất là khi số lượng giảng viên cam kết làm việc lâu dài tại trường (ngành y đòi hỏi 6 năm đào tạo) hiện vẫn chưa chắc chắn. Đó là chưa nói đến việc số lượng giảng viên cơ hữu, có uy tín, kinh nghiệm và vững chuyên môn có thể giảng dạy hiện vẫn là một vấn đề nan giải của ngành y nói chung. Nói một cách dễ hiểu, tạo ra thì dễ nhưng việc duy trì vận hành để có sản phẩm tốt thì không dễ và cần phải xem xét.

Mặt khác, việc trường kinh doanh đào tạo ngành y liệu có mang lại sự an tâm cho người dân, những người sẽ trực tiếp sử dụng dịch vụ y tế. Một tâm lý chung, sinh viên y của trường y chắc chắn sẽ giỏi hơn, hay ít nhất có đầy đủ điều kiện hơn để có thể trở thành một bác sĩ hoàn thiện hơn so với sinh viên y của trường kinh doanh. Có vẻ vô lý, nhưng ngay cả cái tên “kinh doanh” và “y dược” cũng là hai từ không có ý nghĩa làm tăng giá trị cho nhau, mà trái lại chính thương hiệu “kinh doanh” làm giảm đi đáng kể uy tín của ngành y dược. Không ít người lo ngại rằng thế hệ bác sĩ tốt nhiệp từ trường kinh doanh sẽ khó xin được việc nơi xuất thân của mình; nhất là hiện nay dư luận không có dấu hiệu ủng hộ, thậm chí còn phản ứng trước chủ trương trường kinh doanh đào tạo ngành y.

Nhất nghệ tinh nhất thân vinh

Ông bà xưa có câu “nhất nghệ tinh nhất thân vinh”, có nghĩa là nên tập trung vào một lĩnh vực hơn là việc lấn sân qua những ngành vốn không phải thế mạnh bản thân. Trong kinh tế học, người ta chứng minh rằng nếu giữa các thực thể có thể bù đắp và hỗ trợ cho nhau về lợi thế so sánh thì hiệu quả sẽ tốt nhất. Khi hợp tác hay liên kết với nhau, người ta cũng chỉ chọn lĩnh vực mình mạnh nhất để phát huy sức mạnh và hiệu quả.

Đó là lý do nhà nước nên có sự cân nhắc trong quản lý đào tạo. Một trường đại học chỉ nên tập trung vào một nhóm ngành nhất định, hạn chế sự lấn sân không cần thiết như kiểu kinh doanh lại đào tạo ngành y, nhất là trong bối cảnh ở Việt Nam, tuy vẫn thiếu y bác sĩ nhưng sẽ cần hơn những bác sĩ giỏi tay nghề, chứ không phải cứ hễ là bác sĩ thì đều có thể làm việc và cống hiến.

Việc phân ngành trước nay ở Việt Nam vốn cũng đang theo xu hướng của nhiều nước trên thế giới, gồm khối ngành khoa học tự nhiên, khoa học xã hội, nhóm ngành kỹ thuật-công nghệ, y dược. Vậy nên đừng phá vỡ cấu trúc này một cách tùy tiện để tạo nên một xu hướng đào tạo ngành y tại nhiều trường đại học. Điều đó sẽ không chỉ làm mất niềm tin của nhiều người về hình ảnh bác sĩ, mà còn tạo ra những rủi ro không cần thiết trong ngành y vì khó có thể kiểm soát và đảm bảo chất lượng đào tạo.

Cao Huy Huân
Theo blog VOA

Cao Huy Huân

Sinh trưởng ở Việt Nam và học tập tại Hoa Kỳ. Là một đại diện cho thế hệ sinh ra và lớn lên sau bước ngoặt lịch sử 1975. Luôn theo dõi sao sát những diễn biến xảy ra trong nước và nêu lên cảm nghĩ của một thế hệ hậu bối thông qua blog dưới một lăng kính trong vắt và đa chiều.

21:00

Khoa học Việt Nam và công bố quốc tế 2010 - 2014

Biểu đồ công bố khoa học ra quốc tế của VN so với các nước khác, 2010 - 2014

Một trong những môn "thể thao" mà tôi hay chơi là theo dõi công bố quốc tế trong nghiên cứu khoa học của Việt Nam. Lần này, tôi thu thập dữ liệu về số bài báo khoa học từ VN công bố trên các tập san trong danh mục ISI, và so sánh với các nước khác trong vùng. Kết quả cho thấy tình hình vẫn chưa khá mấy so với 5 năm trước đây.

Mức độ công bố khoa học của VN ra Quốc Tế trong 2010 - 2014

Tính từ 2010 đến 2014, VN đã công bố được 9313 bài báo khoa học trên các tập san ISI. Đó là một thành tích đáng khuyến khích, vì số lượng có tăng nhanh trong vài năm gần đây. Chẳng hạn như chỉ riêng năm 2014, số bài báo công bố là 2493, cao gần gầp 2 lần so với năng suất năm 2010 (1331 bài). Tính trong thời gian 2010-2014, số bài báo khoa học VN tăng khoảng 18%/năm.

Tuy nhiên, so với các nước trong vùng thì VN vẫn còn kém hơn Thái Lan, Mã Lai và Singapore. Điều đáng khích lệ là VN đã vượt qua Nam Dương và Phi Luật Tân, nên tôi không cần đưa hai quốc gia này vào bảng so sánh (mình không cần phấn đấu để bằng họ). Trong thời gian 2010-2014, Thái Lan công bố được 31231 bài, cao gấp 3.4 lần so với VN. Trong cùng thời gian, Mã Lai công bố được 42464 bài, cao hơn VN 4.4 lần. Còn Singapore thì cao hơn VN gần 6 lần. Trong tương lai gần, tôi nghĩ Mã Lai sẽ vượt qua Singapore, nhưng vẫn còn khá xa so với các "cường quốc" khoa học trong vùng như Đài Loan, Hàn Quốc, và Úc.

uy nhiên, tốc độ tăng trưởng của các nước như Thái Lan và Mã Lai thì thấp hơn VN. Trong thời gian 2010-2014, tỉ lệ tăng trưởng về công bố quốc tế của Thái Lan chỉ ~6%/năm, và Mã Lai là 13%/năm. Lí do Thái Lan có vẻ chậm lại là vì do bất ổn về chính trị trong thời gian qua. Còn Mã Lai thì có chính sách khuyến khích nghiên cứu khoa học và công bố quốc tế, nên tỉ lệ tăng trưởng của họ rất đáng nể. Nhưng vì các nước vừa đề cập xuất phát từ cái nền cao hơn VN, nên cho dù họ có tỉ lệ tăng trưởng thấp, về lượng họ vẫn cao hơn VN.

Dự đoán mức độ tăng trưởng về số lượng công bố khoa học của VN

Nếu VN duy trì tốc độ tăng trưởng như hiện nay, thì đến năm 2020, số công bố quốc tế của VN chỉ bằng Mã Lai của năm 2005 và Thái Lan của năm 2007. Nói cách khác, về lượng chúng ta chậm hơn hai nước vừa kể trên dưới 10 năm.

Nói tóm lại, số lượng công bố quốc tế của khoa học VN trong 5 năm qua có tiến độ đáng kể, nhưng vẫn còn kém hơn hai nước Thái Lan và Mã Lai khá xa. Điều đáng mừng là VN đã vượt qua Nam Dương và Phi Luật Tân (và 2 nước này không còn là "đối thủ" của VN nữa). Tôi từng nói rằng VN phải duy trì tốc độ tăng trưởng 30, thậm chí 50% mỗi năm, thì may ra mới có cơ hội sánh bằng với Thái Lan và Mã Lai trong tương lai, chứ với tốc độ hiện nay thì VN khó bắt kịp họ. Để làm việc đó (bắt kịp họ), VN cần phải triển khai nhiều biện pháp, kể cả mô hình tổ chức mới về nghiên cứu khoa học, và cải cách hệ thống phân bố ngân sách cho nghiên cứu khoa học từ cấp cơ sở đến trung ương, và phải mạnh tay dứt khoát loại bỏ tất cả những giáo sư và tiến sĩ dỏm

Nguyễn Văn Tuấn
Theo FB Nguyễn Tuấn

22:00

Tự do trong học thuật

Những cố gắng cải cách mô hình quản trị và tài chính của đại học hướng đến mục tiêu chính là nâng cao chất lượng nghiên cứu khoa học và giảng dạy. Đó là một trong nhiều nội dung mà nhóm Đối thoại và giáo dục (VED) đưa ra khuyến nghị về đại học VN.

Nghiên cứu khoa học và giảng dạy ở ĐH là một trong những vấn đề cần cải cách trong lĩnh vực giáo dục ĐH ở VN - Ảnh: Đào Ngọc Thạch

Lấy trình độ nghiên cứu khoa học làm ưu tiên

Sẽ rất khó có thể cải tổ về cơ bản chế độ tuyển dụng nhân lực khoa học, nhất là trong việc thiết lập các vị trí giáo sư đặc biệt nếu không có cải tổ về quản trị và tài chính ĐH

» Khuyến nghị của VED

Nghiên cứu khoa học và giảng dạy ở đại học (ĐH) là một trong 5 đề mục cần phải cải cách trong lĩnh vực giáo dục ĐH ở VN mà nhóm Đối thoại và giáo dục (VED) đề xuất trong bản khuyến nghị.

Theo VED, vấn đề nổi cộm nhất trong nghiên cứu khoa học và giảng dạy ĐH ở VN là đã dành sự ưu tiên hàng đầu cho số lượng thay vì chất lượng. Điều này thể hiện ở nhiều bình diện khác nhau, gồm khả năng nghiên cứu khoa học, tài trợ nghiên cứu khoa học của nhà nước, môi trường trao đổi và hợp tác, số môn học và số giờ lên lớp.

Sau khi phân tích hiện trạng, trong đó có đề cập khả năng nghiên cứu khoa học yếu kém của giảng viên ĐH ở VN như một “vấn đề lớn”, nhóm VED kiến nghị các trường ĐH khi tuyển chọn giảng viên cần lấy trình độ nghiên cứu khoa học làm ưu tiên hàng đầu, thiết lập một số vị trí với điều kiện làm việc và đãi ngộ đặc biệt để tạo ra những đầu tàu trong nghiên cứu khoa học cơ bản và ứng dụng, đồng thời thiết lập cơ chế tài chính để hỗ trợ chi phí cho các nhà khoa học nước ngoài sang VN làm việc. Về vấn đề giảng dạy, nhóm VED cho rằng cần phải giảm số môn bắt buộc, giảm số giờ lên lớp; tăng số giờ thực tập, thực hành, làm đề tài và làm bài tập; khuyến khích việc sử dụng trực tiếp học liệu do các trường ĐH tiên tiến cung cấp.

Nhóm cũng khuyến nghị nhà nước cần tập trung tài trợ nghiên cứu khoa học của nhà nước về các quỹ hoạt động theo mô hình Nafosted, lấy thành tích khoa học và mức độ công nhận quốc tế làm chỉ tiêu hàng đầu trong việc xét duyệt đề tài, tăng cường sự tham vấn của các nhà khoa học quốc tế trong việc xét duyệt đề tài. Nhà nước cũng cần phải có các giải pháp tạo môi trường trao đổi và hợp tác như làm thông thoáng thị trường lao động khoa học, khuyến khích việc luân chuyển từ trường này sang trường khác, từ trường ĐH sang khối công nghiệp và ngược lại; hỗ trợ những đề tài có khả năng làm tiền đề cho việc hình thành các mạng lưới trong nghiên cứu khoa học; thể chế hóa sự liên kết giữa ĐH và doanh nghiệp.

Tuy nhiên, bản khuyến nghị viết: “Chúng tôi cho rằng sẽ rất khó có thể cải tổ về cơ bản chế độ tuyển dụng nhân lực khoa học, nhất là trong việc thiết lập các vị trí giáo sư đặc biệt nếu không có cải tổ về quản trị và tài chính ĐH”.

Công khai thông tin chất lượng giáo dục

Theo nhóm VED, dù VN hiện đã triển khai đủ 4 công cụ cơ bản mà thế giới đã sử dụng nhằm đảm bảo chất lượng ĐH (gồm kiểm định chất lượng, công khai thông tin chất lượng, xếp hạng, đối sánh) nhưng vẫn còn tồn tại một số vấn đề cần được cải cách.

Chẳng hạn như về việc công khai chất lượng, VN đã có chương trình “3 công khai” nhưng chất lượng thông tin công khai chưa đạt độ tin cậy khả dĩ khi mà trường tự do và tự công bố báo cáo của mình. “Giao cho một tổ chức độc lập tiến hành việc thu thập thông tin chất lượng giáo dục ĐH và công bố hằng năm trong các phương tiện thông tin đại chúng. Các trường ĐH, CĐ có nghĩa vụ phối hợp với tổ chức nói trên trong quá trình thu thập dữ liệu”, nhóm VED khuyến nghị.

Tuy nhiên, theo nhóm VED, trong điều kiện nguồn lực hữu hạn, nhà nước nên tập trung vào 2 công cụ kiểm định chất lượng và công khai thông tin chất lượng hơn và nên xem là hoạt động bắt buộc, định kỳ đối với tất cả các trường ĐH, CĐ trong cả nước. Kết quả kiểm định chất lượng độc lập cần được xem như tiêu chí trong việc phân bổ ngân sách, quyết định mở, đóng hay tạm ngừng các chương trình đào tạo, bổ nhiệm/tái bổ nhiệm các nhân sự cấp cao trong ĐH. Còn việc xếp hạng và đối sánh thì chỉ nên ở mức độ khuyến khích và có chính sách hỗ trợ các trường ĐH tham gia các bảng xếp hạng và đối sánh quốc tế.

Tạo không gian biểu đạt ý kiến

Lĩnh vực cuối cùng mà bản khuyến nghị đề cập là dân chủ nội bộ và tự do học thuật. Theo nhóm VED, uy tín của các trường ĐH trong xã hội không chỉ phụ thuộc vào tiềm năng tài chính và chất lượng nghiên cứu khoa học, giảng dạy mà còn phụ thuộc vào các định chế dân chủ nội bộ, cũng như khả năng duy trì đạo đức và tự do trong học thuật. Bản thân chất lượng nghiên cứu khoa học và giảng dạy cũng bị chi phối bởi khả năng duy trì đạo đức và tự do trong học thuật. Môi trường học tập và nghiên cứu khoa học trong các trường ĐH có lành mạnh hay không phụ thuộc vào tính minh bạch của các định chế dân chủ nội bộ.

Nhóm đề xuất trong các trường ĐH, CĐ nên có các thiết chế như nghị trường giảng viên, nghị trường sinh viên, tạo không gian cho giảng viên - sinh viên biểu đạt ý kiến, quan điểm về các vấn đề giảng dạy, nghiên cứu, đào tạo... của trường mình. Chẳng hạn, nghị trường giảng viên có thể đưa ra tiếng nói chung của giảng viên đối với hiện tượng vi phạm đạo đức khoa học hoặc tự do học thuật...

Theo nhóm VED, trường ĐH thiết lập các ủy ban như ủy ban kế hoạch, tuyển dụng, đề bạt, đánh giá thường niên... Thông qua đó, giảng viên có thể tham vấn trực tiếp cho ban giám hiệu.

Quý Hiên
Theo Thanh Niên

22:30

Vấn đề bảo mật và an ninh mạng ở Việt Nam

Internet đã trở thành một hình thức truyền thông không thể thiếu trong cuộc sống, từ các cơ sở kinh doanh, giải trí, cho đến các tổ chức giáo dục, xã hội, chính trị. Tìm kiếm thông tin trên mạng xã hội là một nhu cầu ngày càng lớn cho mọi hoạt động. Và sau đó, lưu trữ những thông tin đó lại càng quan trọng hơn. Cho nên, việc bảo mật an ninh mạng là một yêu cầu rất lớn đối với một công ty hay một tổ chức. thế nhưng, các cơ quan nhà nước Việt Nam đã thật sự xem trọng và đầu tư đúng cho việc này chưa?

Sự quan tâm về an ninh mạng

Theo ông Đỗ Quang Vỹ, một chuyên viên mạng của công ty KTC, ở Tp Hồ Chí Minh cho biết, những công ty nước ngoài có kinh doanh, hoạt động về lĩnh vực rất quan trọng thì họ luôn đầu tư mạnh về những thiết bị firewall. Còn công ty nhỏ và vừa thì phần nhiều là không để ý về bảo vệ an ninh mạng.

Còn đối với công ty nhà nước, theo ông Vỹ thì có vẻ như việc bảo mật an ninh mạng không được quan tâm nhiều lắm.

Giải thích về việc vì sao họ không quan tâm, ông nói rằng:

“Đôi khi nó đánh sập những mảng đó rồi thì cũng trở lại bình thường. Thật sự về những thông tin thất thoát thì đôi khi đối với họ cũng không cần thiết. Họ nghĩ là nó không có liên kết ra nước ngoài bằng cái này cái kia nhiều, chỉ dùng trong mạng nội bộ nên cũng không sợ mất. Nước ngoài thì bỏ hết lên server, còn cái này thì ít bỏ lên.”

Nói về điều này, ông Định, một kỹ sư IT theo dạng “freelancer” giải thích rằng những công ty có quy mô vừa và nhỏ thì không có nhiều dữ liệu để cần bảo mật. Nếu bị tin tặc, theo từ chuyên môn là “đánh sập trang web’ thì các công ty đó xây dựng lại trang web mới. Và đó không phải là một trở ngại lớn cho họ.

Và ông cũng nói về sự quan tâm của các công ty đối với việc an ninh mạng rất khác nhau:

Thật sự về những thông tin thất thoát thì đôi khi đối với họ cũng không cần thiết. Họ nghĩ là nó không có liên kết ra nước ngoài bằng cái này cái kia nhiều, chỉ dùng trong mạng nội bộ nên cũng không sợ mất. Nước ngoài thì bỏ hết lên server, còn cái này thì ít bỏ lên

ông Đỗ Quang Vỹ

"Những công ty dạng doanh nghiệp nhỏ và vừa thì ít quan tâm. Chỉ những tập đoàn và những công ty mua bán hàng trực tuyến thì có quan tâm.”

Điều này phù hợp với lời chia sẻ của Thuỳ Trang, giám đốc lĩnh vực chăm sóc khách hàng của một công ty thiết kế quảnh cáo do nước ngoài đầu tư cho biết:

“Tất cả nhân viên trong công ty đều bắt buộc phải hoàn tất khoá học online về an ninh mạng. Nội dung rất chi tiết vì công ty, nhất là công ty mẹ rất quan trọng về internet security. Toàn bộ email, dự liệu của nhân viên đều do vùng quản lý.”

Chưa đầu tư mạnh

Internet Hacker (minh họa)

Mặc dù cho rằng an ninh mạng ở Việt Nam không được quan tâm đầu tư mạnh. Tuy vậy, không quan tâm không có nghĩa là không cài đặt chương trình bảo mật. Ông Vỹ cho biết các công ty này vẫn có an ninh mạng nhưng không mạnh, không đầu tư nhiều.

Nhưng riêng đối với những cơ quan nhà nước có tính chất lưu trữ dữ liệu cá nhân và tài khoản mật cá nhân, chẳng hạn như với ngân hàng thì ông Vỹ cho biết rằng:

Những công ty lớn có sẵn đội ngũ của họ, bộ phận đó gọi là IT. Còn những công ty nhỏ quá không đủ tiền để thuê nhóm IT quản lý công việc không cần thiết thì họ sẽ thuê dịch vụ bên ngoài vô làm

ông Đỗ Quang Vỹ

Bắt buộc những công ty nhà nước như ngân hàng phải có firewall mạnh, bắt buộc phải đầu tư.”

Cách thức đầu tư của các công ty cũng rất khác nhau. Tuỳ theo sự quan tâm nhiều hay ít mà họ thiết lập đội ngũ nhân viên và hệ thống an ninh mạng cho công ty của mình. Bằng kinh nghiệm của mình, ông Vỹ cho biết:

“Những công ty lớn có sẵn đội ngũ của họ, bộ phận đó gọi là IT. Còn những công ty nhỏ quá không đủ tiền để thuê nhóm IT quản lý công việc không cần thiết thì họ sẽ thuê dịch vụ bên ngoài vô làm”

Một cách khác nữa mà theo ông Định, là cách mà các công ty vừa và nhỏ ở Việt Nam không đầu tư nhiều đến việc bảo vệ an ninh mạng thường hay dùng là:

“Họ tự lập ra trang web rồi đưa nhân viên của họ tổ chức. Trường hợp này thì an ninh rất giới hạn. Còn có những công ty lập ra trang web rồi thuê một công ty chuyên nghiệp để giám sát tường lửa khi bị tấn công.”

Vừa qua, báo giới trong nước nói rằng theo một diễn đàn của công ty an ninh mạng Bkav cho biết khoảng 1 ngàn trang mạng Việt Nam bị tấn công. Nói về điều này, ông Vỹ cho biết đó là do server của các công ty này quá yếu. ông nói:

Có hai loại security, một security về phần cứng, một về phần mềm. Đa phần security của VN thì những công ty làm về phần mềm nhiều hơn là về phần cứng. Phần cứng thì bảo mật cao hơn. Phần mềm thì bảo vệ thấp hơn, yếu hơn nên dễ bị tấn công hơn

ông Đỗ Quang Vỹ

“Có hai loại security, một security về phần cứng, một về phần mềm. Đa phần security của Việt Nam thì những công ty làm về phần mềm nhiều hơn là về phần cứng. Phần cứng thì bảo mật cao hơn. Phần mềm thì bảo vệ thấp hơn, yếu hơn nên dễ bị tấn công hơn.”

Theo ông Vỹ, hình thức đơn giản nhất để các tin tặc tấn công vào trang web là viết đến những dòng lệnh virus gửi đến, người nhận được vô tình mở ra xem thì những virus đó sẽ phát tán và hacker có thể thâm nhập vào các dữ liệu cá nhân cũng như toàn công ty.

Nói về phần mềm quản trị mạng ở Việt Nam, ông Vỹ nhắc đến phần mềm Bkav, phần mềm quản trị chống virus của công ty quản trị mạng Bkav. Mặc dù nói rằng phần lớn các công ty nhà nước hiện nay sử dụng Bkav cho việc an ninh mạng nhưng thực tế theo ông Vỹ thì “phần mềm này rất yếu.”

Chính vì thế, theo ông, các công ty nước ngoài hoặc những tập đoàn lớn không dùng phần mềm của Bkav để thực hiện an ninh mạng cho công ty của mình.

“Việt Nam đa phần xài free. Ít xài trả tiền. Nhưng khi trả tiền thì lại không chọn Bkav để xài mà chọn những cái khác như Symantex, những phần mềm của nước ngoài mạnh hơn để diệt virus. Cái nào mạnh người ta mới xài.”

Có lẽ chúng ta ai cũng thấy rằng cuộc sống ngày nay nếu càng lệ thuộc vào bộ nhớ máy tính bao nhiêu thì hệ thống an ninh mạng đóng vai trò quan trọng bấy nhiêu trong việc bảo mật dữ liệu của một công ty, tổ chức và lớn hơn nữa là một quốc gia.

Cát Linh
phóng viên RFA
Theo RFA

21:00

Từ Việt Nam: Câu chuyện của một hacker

TIẾNG VIỆT
ENGLISH

Bài viết này mang quan điểm của cá nhân tôi. Tôi không lên tiếng vì sếp của mình hay bất kỳ ai khác.

Tháng Mười Hai năm ngoái, tôi được đến dự Ngày hội Bảo mật Thông tin Việt Nam với tư cách là nhân viên thuộc đội ngũ bảo mật của Google. Đây là sự kiện được tổ chức thường niên bởi VNISA. Phía ban tổ chức luôn chọn một chủ đề cho sự kiện, và năm nay thì chủ đề đúng là không thể nghiêm trọng hơn: Bảo mật Thông tin và Chủ quyền Lãnh thổ. Tuy nhiên, như mọi lần thì buổi hội thảo chỉ như trò trẻ con. Nội dung chẳng liên quan gì đến kỹ thuật bảo mật thông tin, tất cả những bài thuyết trình đều giống như đang rao bán sản phẩm. Nói chung sự kiện này giống như người anh em Việt Nam cùng cha khác mẹ với đứa trẻ Mỹ giàu có hư hỏng có tên là Hội thảo RSA. Có một người thuyết trình tốn đến 30 phút để đọc về lịch sử hình thành phát triển của Samsung còn ở phía dưới khán giả chẳng-thèm-quan-tâm-vì-họ-chỉ-đến-đây-để-được-ăn-trưa-miễn-phí-và-trốn-việc. Nhiều lúc tôi chỉ muốn trốn ra ngoài và tự hỏi tại sao tôi phải đến đây. Tuy nhiên, dù sao thì cũng khó để từ chối một chuyến đi miễn phí đến Việt Nam. Tôi cũng nghĩ rằng tôi có thể biến buổi hội thảo trở nên thú vị hơn.

Cuộc thảo luận chuyển sang chiến lược bảo mật thông tin cho Việt Nam. Tôi không phải chiến lược gia chuyên về an ninh mạng, tôi thậm chí còn không biết là mình đang nói về cái gì, nhưng tôi chắc chắn rằng Việt Nam cần nhiều những kỹ sư tài giỏi hơn. Tôi nói với họ rằng Coursera và Udicity có các khóa học online được dạy bởi những giáo sư đầu ngành, và Việt Nam nên công nhận chứng chỉ được cấp bởi các khóa học này càng sớm càng tốt. Họ cần biến môn bảo mật thông tin trở nên hấp dẫn hơn đối với sinh viên, có thể tổ chức cuộc thi toàn quốc với giải thưởng lớn, hoặc yêu cầu các tổ chức cá nhân hoặc tổ chức công phải thuê ít nhật một kỹ sư chuyên về bảo mật.

Trong ngày thứ hai diễn ra hội thảo, mọi thứ dường như hoành tráng và nghiêm túc hơn tôi tưởng tượng. Tập đoàn Google là một trong những nhà tài trợ vàng, và tôi được chỉ định để thuyết trình, ngay sau một vị quan chức chính phủ, người đã có bài phát biểu mang phong cách lãnh đạo khiến người nghe phải gà gật liên tục lúc 9h sáng. Từ những trải nhiệm và mối quan hệ của bản thân, tôi biết rất nhiều công ty tại Việt Nam đang dành tất cả ngân sách cho vấn đề bảo mật để mua giải pháp chìa khóa trao tay và phải trả tiền cho tư vấn viên về an ninh bảo mật thông tin (ISO 27001) hoặc các nhân viên kiểm toán của PCSI DSS. Tôi chỉ muốn nói với họ rằng cách họ đang làm hoàn toàn sai.

Lúc bắt đầu bài thuyết trình, tôi có nói luôn rằng tôi chẳng có gì để chào bán hết, nhưng tôi muốn chia sẻ một vài kinh nghiệm về việc chúng tôi làm công tác bảo mật như thế nào ở Google. Tôi đưa ra một bức ảnh chụp taviso@ và hỏi xem mọi người có biết đây là ai không. Tôi thấy đúng một cánh tay của bạn tôi giơ lên. Tôi cũng kể với họ về Sophail, và giải thích vì sao mua nhiều thiết bị hoặc “giải pháp APT” lại không cần thiết cho công tác bảo mật. Tôi kể với họ về các lỗ hổng bảo mật mới được tiết lộ gần đây của Cisco ASA, và tôi đảm bảo với họ rằng chúng tôi tìm thấy rất nhiều lỗ hổng tại bất cứ chỗ nào chúng tôi kiểm tra. Tôi nhấn mạnh rằng phần mềm luôn luôn có lỗ hổng, và phần mềm bảo mật cũng là phần mềm. Có điều, phần mềm bảo mật phức tạp hơn, và đương nhiên sẽ có nhiều lỗ hổng hơn.

Kể chuyện này ra thật không khác gì cái tát vào mặt các nhà tài trợ khác có mặt hôm đó, nhưng đó chính xác là những gì tôi muốn nói. Tôi chẳng muốn kết bạn gì hết, chỉ muốn nạp thêm nhiều kẻ thù. Tôi trích dẫn lời một giám đốc bảo mật của Sony trong một bài phỏng vấn năm 2007 với tạp chí CIO rằng ông sẽ không đầu tư “10 triệu USD chỉ để ngăn ngừa việc mất 1 triệu USD”, và giải thích rằng vì sao kiểu quản lý liều lĩnh bằng các con số như vậy lại không hiệu quả, và vì sao mọi người không nên bận tâm đến mấy thứ kiểu như ITIL hay ISO 27001 trừ khi họ cần đến họ để giành hợp đồng làm ăn. Nó cũng giống như việc bạn không cần đến CISSP để trờ thành kỹ sư chuyên về bảo mật, trừ khi công việc của bạn đòi hỏi điều đó. Tôi nói lại với họ những gì tôi đã nói trong buổi gặp gỡ lần trước, rằng: họ cần dành tiền để đào tạo và tuyển các kỹ sư, nếu đó là giải pháp vốn có cho những vấn đề bảo mật chúng ta đang đối mặt.

Ai trong ngành này cũng đều hiểu rằng phá vỡ một hệ thống luôn dễ hơn là bảo vệ nó. Tôi đã chỉ ra một điều bất cân xứng mà rất nhiều người không biết: những người làm công tác bảo mật hiểu rõ hệ thống của họ hơn bất kỳ kẻ tấn công nào. Một khi những kẻ tấn công đã lọt được vào bên trong, chúng có thể kích hoạt một vài cái bẫy mà những người quản trị hệ thống đã mất nhiều năm xây dựng và thường xuyên hiệu chỉnh. Không có bất cứ một giải pháp sẵn có nào có thể làm được chuyện này, và việc có một đội ngũ gồm những kỹ sư bảo mật chuyên nghiệp là cách duy nhất để thực hiện nó. Phần lớn các doanh nghiệp cỡ nhỏ và cỡ trung nên đứng trên vai của gã khổng lỗ như Google hoặc Amazon, sử dụng dịch vụ điện toán đám mây vừa rẻ vừa an toàn hơn. Đối với những dữ liệu cực kỳ nhạy cảm, họ muốn sử dụng loại mã hóa từ-đầu-đến-cuối để tránh rò rỉ dữ liệu cho bên thứ ba.

Tôi đoán rằng bài nói chuyện của tôi đã được đón nhận nhiệt tình. Trừ việc một đại diện bán hàng của Trend Micro cáo buộc rằng tôi đã nói dối để bán được dịch vụ điện toán đám mây cho Google, thì rất nhiều người đã chào hỏi tôi sau đó và nói rằng bài thuyết trình của tôi đã giúp họ được mở mắt. Sau đó tôi được mời đến gặp đội ngũ bảo mật của Viettel, tập đoàn truyền thông lớn nhất thuộc Bộ Quốc phòng. Khi tôi đang nói chuyện với bên Viettel, thì một người đàn ông mặc sắc phục cắt ngang chúng tôi, và yêu cầu được nói chuyện riêng với tôi. Chúng tôi đi ra phía ngoài phòng chính, người đàn ông đó giới thiệu anh là nhân viên của Cơ quan An ninh thuộc Bộ Quốc phòng. Tôi cứ nghĩ là mình sẽ gặp rắc rối vì những gì đã chia sẻ trên blog.

Người nhân viên này nói rằng bài phát biểu của tôi rất thú vị, nhưng ngay lập tức đi thẳng vào vấn đề và hỏi liệu tôi có thể giúp anh xác định các bloggers ẩn danh đằng sau vài blog trên trang blogspot.com được không (!?). “Họ chỉ đăng vài thứ lên rồi sau đó biến mất luôn. Chúng tôi cố gắng theo dõi họ nhưng chẳng có kết quả gì. Liệu anh có thể tìm ra địa chỉ IP hoặc địa chỉ email của họ cho chúng tôi được không?” Tôi giải thích rằng tôi không có thẩm quyền để trả lời câu hỏi này, nhưng nếu anh gửi email cho tôi thì tôi sẽ chuyển câu hỏi đến đúng người. Tôi nói rằng Google sẽ không làm gì đâu vì “văn hóa của họ khác với văn hóa của chúng ta.” Tôi không biết tại sao, nhưng tôi vẫn muốn giả vờ rằng ngay cả khi tôi không thể làm gì thì tôi vẫn đứng về phía họ. May mắn thay, anh ta chỉ hỏi tôi đúng một câu duy nhất. Tôi trở lại hội trường chính, nhưng không được 5 phút thì lại có một người mặc sắc phục khác đến yêu cầu được nói chuyện riêng với tôi. Anh ta cũng là người bên Bộ Quốc Phòng và hỏi tôi chính xác câu hỏi nêu trên. Tôi vẫn diễn trò tương tự và cuối cùng anh ta cũng để tôi đi sau khi giải thích rằng đây là vấn đề an ninh quốc gia, và với tư cách là người Việt Nam thì tôi phải có nghĩa vụ giúp anh ta. Đây không phải lần cuối cùng trong chuyến đi này tôi được yêu cầu phải thực hiện nghĩa vụ công dân bằng việc tố cáo chính đồng bào của mình.

Một cuộc gặp gỡ ít nghiêm trọng nhưng hài hước hơn là với một nữ kỹ sư, đang công tác tại Cục An Toàn Thông Tin của một-bộ-rất-quan-trọng mà tôi không muốn nhắc đến để bảo toàn danh tính của cô. Do bản chất nhạy cảm của hệ thống cô đang quản lý, thì việc cô phụ thuộc toàn bộ vào một người bạn của tôi, người không hề làm trong bộ đó, là một thông tin tuyệt mật. “Tôi đã trải qua rất nhiều buổi hướng dẫn từ các cơ quan bảo mật thông tin từ các bộ ngành khác, nhưng tôi không tin họ vì họ đề cao bản thân quá. Mọi thứ họ gửi đến đều dán mác “tuyệt mật”, ngay cả khi đó chỉ là một bản copy một thông báo của Microsoft viết rằng phiên bản Windows XP này không còn được hỗ trợ nữa.” Cô kể với tôi rằng cơ quan của cô mua mọi loại máy quét lỗ hổng, nhưng cô chẳng hiểu phải làm gì với nó. “Sếp tôi lúc nào cũng muốn mua những thứ cụ thể. Thuyết phục quản lý rằng chúng tôi dùng tiền mua máy móc còn dễ hơn là bảo huấn luyện nhân viên, nhưng quan trọng hơn cả, đấy là cách tốt nhất để kiếm chút tiền lại quả.”

Vì vậy vấn đề không phải là chúng tôi không có tiền, mà vấn đề thực sự chính là chuyện: lãnh đạo tham nhũng. Lấy lý do tình hình căng thẳng với Trung Quốc đang leo thang, nên những người chịu trách nhiệm bảo việc hạ tầng thông tin của quốc gia đã tận dụng cơ hội để kiếm tiền đút túi. Đáng buồn ở chỗ những kẻ thông đồng lại đến từ Mỹ. Một nguồn tin kể với tôi rằng tỉ lệ lại quả tiêu chuẩn là vào khoảng 30% chưa bao gồm các bữa tiệc xa hoa và việc hối lộ tình dục. Tôi rất muốn giúp đỡ để bảo vệ đất nước mình, và tôi biết rằng tôi có khả năng đóng góp những điều ý nghĩa, nhưng chỉ riêng cái suy nghĩ rằng tôi phải đối phó với những người này cũng đủ khiến tôi phát bệnh. Không phải tất cả mọi người đều hỏi tôi, tôi nghĩ rằng họ chỉ chưa quan tâm đủ, hoặc có thể, họ không tin tôi.

Chuyện thú vị cuối cùng mà tôi biết chính là việc VCCorp đã bị hack như thế nào. Công ty này vận hàng mạng lưới quảng cáo lớn nhất cả nước, và có một danh mục đầu tư hấp dẫn về các sản phẩm và dịch vụ Internet. Họ bị hack nặng nề đến mức trong vài tuần của tháng Mười và tháng Mười Một phần lớn các trang web đều bị đánh sập. Một vài nguồn tin đáng tin cậy cho biết những kẻ tấn công đã chiếm quyền điều khiển một web cache proxy của một nhà cung cấp dịch vụ internet quốc doanh lớn nhất nước, và thay vào đó những đoạn cache của Adobe Flash trên thiết bị của Windows và Mac OS X với một vài phiên bản có chứa trojan. Hàng loạt máy tính xách tay và các máy chủ quản trị hệ thống của VCCorp đều bị nhiễm virus, và từ đó mọi thứ khác đều bị hack. Điều thú vị là cơ quan A68, thuộc Bộ Công an, đã nói với nạn nhân và các bên liên quan rằng sự việc lần này là vấn đề liên quan đến an ninh quốc gia. Họ nắm trong tay hàng loạt chứng cứ, và cấm mọi hành vi tiết lộ thông tin, ngay cả khi hàng triệu người đã bị nhiễm virus. Vì sao ư? Tôi nghĩ rằng họ muốn che giấu điều gì đó. Có điều này cần phải nói, nếu bạn đến Việt Nam, thì đừng bao giờ cài đặt bất cứ thứ gì.

Trong hai tuần cuối cùng của chuyến đi, tôi dành phần lớn thời gian để tổ chức TetCon Saigon 2015. Buổi hội thảo đúng là một thành công lớn vì đã thu hút được 400 người tham gia và rất nhiều diễn giả thú vị. Tổ chức một buổi hội thảo đúng là rất mệt vì phải đi gây quỹ, chọn chủ đề, đàm phán với đối tác, sắp xếp chi tiết… Tất cả đều chiếm phần lớn thời gian quý báu mà tôi muốn dành cho gia đình. Dù sao thì những điều nên làm thì đã hoàn thành, và hy vọng điều tốt đẹp sẽ đến. Tôi là một người may mắn trong công việc. Tôi đã có rất nhiều cơ hội được thấy và được làm những điều tuyệt vời, và tôi cho rằng nhiệm vụ của tôi là giúp những người đồng chí của mình có được các cơ hội như tôi từng có. Không phải để tố cáo họ, không bao giờ!
- See more at: https://www.danluan.org/tin-tuc/20150525/thai-tu-viet-nam-cau-chuyen-cua-mot-hacker#sthash.Z3y1eSN7.dpuf

Disclaimer: this post contains solely my personal opinions. I do not speak for my employer or anyone else.

Last December I was invited to present on behalf of Google Security Team at Vietnam Information Security Day Conference, a national security event held annually by VNISA. The organizers always pick a theme for the event, and this year can’t be more serious: Information Security and National Sovereignty. The conference has always been, however, a bad joke. It has zero technical content, all presentations are sponsors sales pitches. It's like a lost poor Vietnamese half-brother of the rich spoiled American kid named RSA Conference. One presenter spent 30' literally reading out loud the history of Samsung from his slide deck to an audience that don't-care-just-come-here-to-have-free-lunch-and-to-escape-work. At some point I zoned out and wondered why I was even there. Anyway it’s difficult to reject a free trip to Vietnam, and impossible once I’d told my SO. I also thought I might make the conference a bit more interesting.

The discussion changed to information security strategy for Vietnam. I’m no cybersecurity strategist, I didn't really know what I was talking about, but I know that the country needs more and better engineers. I told them Coursera and Udacity and their online courses taught by top professors, and that Vietnam should recognize their certificates as valid credentials as soon as possible. They need to make information security more appealing to students, perhaps by holding a nationwide capture the flag competition with big prizes, or by requiring private and public organizations at certain sizes or in certain sectors to hire at least one full-time security engineer. We chat a bit more, but I don’t remember what it was about.

The next day was the conference, which was bigger and more formal than I expected. Google was one of the gold sponsors, and I was assigned to give the second presentation, right after a government VIP who gave a leadership keynote, and successfully made most of the attendees asleep at 9 in the morning. From my experience and contacts, I know a lot of companies in Vietnam are spending all of their security budget buying turn-key solutions and paying ISO 27001 consultants or PCI DSS auditors, and I want to tell them that they’re doing it wrong.

I started the presentation saying that I had nothing to sell, but I just wanted to share some experiences of how we do security at Google. I showed a photo of taviso@ and asked if anyone knows him. I saw one hand, and it was a friend of mine. I told them about Sophail, and explained why buying more devices or “APT solutions” does not necessarily result in better security. I told them about the recent disclosed vulnerabilities in Cisco ASA, F5 load balancers, and assured them that we've found vulnerabilities in anything that we've ever looked at. I emphasized that software always has vulnerabilities, and security software is just another type of software. If anything, security software is often more complex, and thus has more vulnerabilities.

This would for sure piss off the other sponsors, but it’s exactly what I wanted to do. I wanted to make enemies not friends. I quoted the CISO of Sony in a 2007 interview with CIO Magazine that he would not invest "$10 million to avoid a possible $1 million loss”, and explained why risk management by the numbers alone does not work, and why people should not bother with things like ITIL or ISO 27001 unless they need them to win contracts. It's like you don't need a CISSP to become a security engineer, unless your job requires it. I told them essentially what I told the gentlemen in the earlier meeting: they need to spend all of their money on training and recruiting engineers, and they need to do that now. Google won’t hire an army of full-time security engineers, if there’s a off-the-shelf solution for the security problems we’re facing. Of course not every one is Google, but more on that just in a moment.

Every one in the industry understands that breaking in a system is way easier than safeguarding it. I pointed out another asymmetry that many people are unaware of: the defenders understand their systems better than any adversaries. Once the attackers get in, they might trigger a custom trap or trigger a signal that the defenders have spent years building and tuning. No off-the-shelf solutions can do this, and having a team of competent security engineers is the only way to do it. Most small and medium businesses should stand on the shoulder of giants like Google or Amazon, and consider instead of building their own systems leveraging ready-to-use, usually cheaper and safer cloud services. For extremely sensitive data, they might want to use end-to-end encryption to avoid leaking data to third parties.

I thought the talk was well received. Aside from one sales representative from Trend Micro accusing me of lying to sell Google cloud services, many people greeted me afterward and said the presentation was eye-opening for them. I was invited to meet with the security team at Viettel, the largest communications corporation owned by the Ministry of Defense. While I was talking to Viettel, a uniformed man interrupted us, and asked me to have a private conversation with him. We walked outside the main conference room, the man introduced himself as an officer at the Information Security Agency at the Ministry of Defense. I thought I was in trouble, because of things that I wrote on this blog.

The officer said that he thought the talk was interesting, but immediately got down to business and asked if I can help him identify the bloggers behind some blogs on blogspot.com(!?) “They just posted a few things, then disappeared forever. We’ve tried to track them down, but no luck. Can you give us their IP or email addresses?” I explained that I don’t have the authority to answer this question, but if he emails me I’ll route it to the right person. I said that it’s unlikely that Google will do anything, as “their culture is different from ours.” I don’t know why, but I wanted to pretend that even though I can’t do anything I’m on their side. Luckily, it’s the only question that he had. I went back to the main hall, but it wasn’t more than 5 minutes before I was asked by another uniformed man to have a private conversation with him. He’s another officer at the Ministry of Defense, and he asked me exactly the same question. I played the same trick, and he let me go after explaining that this is a matter of national security, and as a Vietnamese it’s my responsibility to help him. It's not the last time during my trip I was asked to fulfill my citizenship duty by ratting out my own people.

A less serious but funnier encounter was with a female engineer, friend of friend, working at the Information Security Agency at the Very Important Ministry that I don't want to call out to protect her identity. Given the sensitive nature of her system, it’s a top secret that she has relied solely on a friend of mine, who is not an employee at that ministry, on everyday operations security. “I’ve got a lot of guidances from the information security agencies at other ministries, but I won’t trust them much because they take themselves too seriously. Everything they sent was stamped Top Secret, even if it was a copy of Microsoft’s announcement that Windows XP was no longer supported”. She told me that her agency has bought all the vulnerability scanners ever made, but she has no idea what she would do with them. “My boss always wants to buy concrete things. It’s easier to convince management that we’ve spent the money well by buying hardware, than doing intangible things like training the staff, but, most importantly, it’s the best way to get kick back”.

So it isn't that we don't have money, but the core of the problem is as old as humanity: people with power are corrupted. Given the raising tension against China, these people, whose one job is protect the country's information infrastructure, see nothing but an opportunity to pocket themselves a handsome share of government money. Most of the colluding vendors, sadly, are from the U.S. One source told me that the standard kick back rate is as high as 30%, not including expensive parties or sexual bribes. I very much want to help defend my motherland, and I know I'm capable of making meaningful contributions, but the mere thought that I have to deal with these people makes me feel sick. Not that had anybody asked me, I think they just don't care that much, or, perhaps, they just don't trust me.

The last interesting bit that I’ve learned was how VCCorp got hacked. The company runs the country’s largest display ad network, and has an interesting portfolio of Internet products and services. They got hacked so bad that for several weeks during October and November most of their websites were down. A few reliable sources told me that the attackers had compromised a web cache proxy at the largest, state-owned ISP, and replaced the cached copies of Adobe Flash on Windows and Mac OS X with trojaned versions. Laptops and workstations of VCCorp’s sysadmins were infected, and from there everything else was hacked. What interesting was A68, code name of the very powerful Information Security Agency at the Ministry of Public Security, told the victim and everyone involved that the incident was a matter of national security. They seized control of all evidences, and forbade any public disclosures, even if millions of people are probably still infected. Why? I think they want to hide something. At any rate, if you travel to Vietnam, never install anything.

The last two weeks in my trip I spent most of my time organizing TetCon Saigon 2015. The conference was a huge success, we attracted 400 attendees and a nice line up of speakers. Organizing a conference is tiresome, raising money, selecting talks, talking to partners, arranging speaker details, etc. all that take a lot of precious time that I'd rather spend with my family. Anyway what should be done needs to be done, and hopefully something good will come out of it. I was and am lucky with my career. I've got chances to see and work on wonderful things, and I take it as my duty to give some of my comrades the chances that I've got. Not to rat them out, hell no!

Thái
Athena chuyển ngữ
Theo Dân Luận

Nguồn: Vietnam: A Hacker's Report - Thái

Tin Mới Nhất

Thiết bị Trung Quốc và an ninh mạng

Thiết bị Trung Quốc và an ninh mạng

Chiến tranh du kích hiện đại

Được ‘dạy thêm một bài’ nhưng chưa chắc Việt Nam học được gì

Vì sao Sukhoi gặp nạn?

Phải thận trọng trong việc cho phép trường kinh doanh đào tạo ngành y

Khoa học Việt Nam và công bố quốc tế 2010 - 2014

Tự do trong học thuật

Vấn đề bảo mật và an ninh mạng ở Việt Nam

Từ Việt Nam: Câu chuyện của một hacker

Website và blog tiêu biểu