Blog của Khôi !: November 2006

Sunday, November 26, 2006

Nếu tôi là Huyremy

Ấy chết, bạn đừng nghi oan cho tôi, tôi nào dám tranh giành chức vị "hacker số 1 VN" với Huyremy. Chẳng qua tôi chỉ tự hỏi, nếu ở vị trí của Huyremy, tôi sẽ làm gì để tự bảo vệ mình?

Trước khi bắt đầu, tôi nghĩ cần phải đặt ra một số giả thuyết như thế này: a) C15 rất lành nghề trong lĩnh vực computer forensic và data recovery; b) Toàn bộ hoạt động đi lại của tôi ở ngoài đời đều bị theo dõi; c) Điện thoại của tôi bị nghe lén, thư tay + SMS bị đọc trộm; d) Kênh liên lạc duy nhất của tôi với thế giới bên ngoài là Internet, tuy nhiên toàn bộ Internet traffic của tôi cũng bị C15 log lại và phân tích kĩ lưỡng. Tôi phải làm gì để đảm bảo privacy cho mình? Tôi phải làm gì để an tâm thực hiện công việc của mình? Câu trả lời là mã hóa, mã hóa và mã hóa. Mã hóa cái gì? Tất cả. Tôi nghĩ rằng không cần phải nhắc đến firewall, IDS, VPN hay anti-virus, bởi lẽ đây là điều đương nhiên cần phải thực hiện ngay cả khi bạn không phải là "hacker số 1 VN".

Trước tiên tôi sẽ torify cuộc đời mình:

Tor is a toolset for a wide range of organizations and people that want to improve their safety and security on the Internet. Using Tor can help you anonymize web browsing and publishing, instant messaging, IRC, SSH, and other applications that use the TCP protocol. Tor also provides a platform on which software developers can build new applications with built-in anonymity, safety, and privacy features.

Tor aims to defend against traffic analysis, a form of network surveillance that threatens personal anonymity and privacy, confidential business activities and relationships, and state security. Communications are bounced around a distributed network of servers called onion routers, protecting you from websites that build profiles of your interests, local eavesdroppers that read your data or learn what sites you visit, and even the onion routers themselves.

Tất cả Internet traffic của tôi, từ 21, 22, 25, 53, 80, 443, 5050, 6667...sẽ được đẩy qua Tor trước khi đi đến đích cuối cùng. Tôi sẽ trở nên vô hình.

Tor không hoàn hảo, một ngày nào đó tôi sẽ bị phát hiện, lúc đó tôi cần một cách hủy dữ liệu nhanh nhất và an toàn nhất. Cách hủy dữ liệu tốt nhất là gì? Format lại ổ cứng, cài lại hệ điều hành? Ghi đè ổ cứng vài chục lần? Không. Huyremy đã làm như thế nhưng C15 vẫn tìm thấy chứng cứ trong ổ cứng của anh ta. Wietse & Dan đã viết như thế này trong tác phẩm kinh điển Forensic Discovery:

Destroying information turns out to be surprisingly difficult [Gutmann, 1996] and [Gutmann, 2001]. Memory chips can be read even after a machine is turned off. Although designed to only read ones and zeroes, memory chips have undocumented diagnostic modes that allow access to tiny left-over fragments of bits. Data on a magnetic disk can be recovered even after it is overwritten multiple times. Although disk drives are designed to only read the ones and zeroes that were written last, traces of older magnetic patterns still exist on the physical media [Veeco, 2004].

Vậy thì tôi sẽ tháo ổ cứng ra, quăng xuống biển? Đôi khi bạn sẽ không có đủ thời gian để làm chuyện đó, nhất là khi có cái còng số 8 đang lửng lơ trước mặt. Có một cách giúp làm cho dữ liệu tự hủy mà không cần tôi phải làm gì và tôi đã chỉ cho bạn cách đó rồi. Không nhớ àh? Mã hóa. Muốn hủy dữ liệu ư? Chỉ cần quên passphrase hay keyfile là xong. "Thiết bị chuyên dụng" của C15 cũng sẽ đớ người ra như chủ nhân của nó nếu như tôi mã hóa như sau.

Đầu tiên, tôi dùng LUKS để mã hóa /home và swap bằng AES với một passphrase dài 20 kí tự và keyfile là một trong số vài ngàn tấm hình mà tôi đã chụp. Tiếp theo tôi tạo hai container trong /home bằng TrueCrypt, một cái là play và một cái là work, tất cả mã hóa bằng hai cái passphrase + keyfile khác nhau (và khác passphrase + keyfile của LUKS). Trong cái container work, tôi lại tạo thêm một cai hidden volumn, đề phòng trường hợp C15 biết tôi xài TrueCrypt và họ ép tôi phải đưa ra passphrase (lolz tôi đang nói cho họ biết tôi đang xài cái gì rồi, thế là hết dám phạm tội). Tiếp theo, tôi mã hóa tất cả các file nằm trong work và play với gnupg. Email, log của Gaim cũng được mã hóa bằng gnupg. Bash history được secure delete mỗi phút. Profile của Firefox cũng được secure delete mỗi lần sử dụng xong. Tôi sử dụng một mật khẩu khác nhau cho mỗi website mà tôi tham gia, và chúng cũng được mã hóa nốt, đề phòng trường hợp ai đó chôm được chúng.

Giả sử C15 muốn lấy dữ liệu của tôi, họ phải làm gì? Trước tiên, họ phải giải mã được cái /home và swap của tôi. Root partition sẽ được cho free để họ tha hồ mà nghiên cứu. Nếu như họ dùng cách nào đó mount được /home và swap của tôi lên (bằng "nghiệp vụ" chẳng hạn), họ sẽ lại đối diện với TrueCrypt. Muốn mount được hai cái container lên, họ phải biết được passphrase và keyfile nằm lẫn lộn trong cái USB Thumbdrive. Lại bằng "nghiệp vụ", họ vẫn mount được hai cái container đó lên. Lúc này, họ sẽ được chào đón bằng gnupg. "Nghiệp vụ" lại giúp họ decrypt hết tất cả những gì mà tôi muốn che dấu. Tuy nhiên, cho đến bước này, họ vẫn chưa tìm được bằng chứng kết tội tôi. Đơn giản vì tôi quên chưa nói là tất cả điệp vụ của tôi được thực hiện trong một cái VMware image chứa trong hidden volumn của cái container work. Dĩ nhiên, "nghiệp vụ" của họ vẫn có thể chiến thắng nhưng xác suất lần này là rất thấp. Các "thiết bị chuyên dụng" của C15 có tìm cũng thấy và chỉ thấy random data mà thôi.

Vậy tôi có thể an tâm ư? Vâng bạn có thể an tâm về sự riêng tư của mình nhưng tôi không đảm bảo được sự an toàn cho cá nhân bạn. Bởi lẽ, muốn an toàn thì tốt nhất đừng phạm tội.

(bài viết này chỉ là giả tưởng, đừng bắt chước làm theo. Bạn đã được cảnh báo!)

Vụ án Huyremy

Chắc hẳn sự kiện rùm beng nhất trong giới IT "loi choi" của VN vài ngày qua là việc Cục Phòng Chống tội phạm công nghệ cao C15 kết luận Huyremy, người được mệnh danh là "hacker số 1 VN", chính là thủ phạm đã tấn công vào Chợ Điện Tử. Tuy nhiên, Huyremy phủ nhận việc này:

Tuy nhiên, Huy remy vẫn không chịu thừa nhận các bằng chứng của cơ quan điều tra về vụ tấn công vào tên miền chodientu.com ngày 23/9 và việc truyền bá văn hoá phẩm đồi truỵ thông qua website gmetal.net. Trong biên bản làm việc, Huy cho rằng "chứng cứ mà cơ quan điều tra đưa ra là không khách quan, không rõ nét."
....

Tuy nhiên, trong buổi làm việc với các cơ quan chức năng sáng 8/11, Huyremy đã không thừa nhận mình là thủ phạm thực hiện vụ tấn công vào tên miền chodientu.com. Huy đưa ra giả thiết phủ định rằng máy tính của mình đã bị hacker xâm nhập vào thông qua đường mạng Wi-fi chia sẻ kết nối
ADSL trong nhà và điều khiển máy tính của Huy làm phương tiện tấn công chodientu.com.

Ngay lập tức trên DDTH nổ ra một cuộc tranh luận dữ dội về đề tài này. Có hai luồng ý kiến chủ đạo: a) ủng hộ Huyremy và cho rằng những chứng cứ mà C15 đưa qua không thuyết phục; b) ủng hộ C15 và tin tưởng vào những chứng cứ mà C15 đưa ra để kết tội Huyremy. Tổng kết luận cứ của bên a) do zhaowie_hn đưa ra như sau:

Tóm lại là em đưa ra 2 giả thiết ngoài cái giả thiết Huy là thủ phạm ra:

1. Một hacker nào đó xâm nhập qua mạng Wifi của nhà Huy để join vào network và hack. Sau đó đưa những chứng cớ kia qua máy của Huy. Cũng không loại trừ khả năng người đó chiếm quyền điều khiển của máy Huy ( qua LAN ) và dùng chính máy đó để tấn công, có thể là remote desktop, VNC hoặc biến máy Huy thành một proxy server và connect qua đó.

2. Máy Huy bị điều khiển từ xa, qua External IP, cái này thì cần xem độ bảo mật của router ADSL Huy dùng và của chính máy Huy. Cái này zhaowei vẫn hay nghịch thử và cũng làm được nhiều lần nên nó hoàn toàn có khả năng xảy ra.

Luận cứ của bên b) do ls_la (tự nhận là dẫn lại lời của C15) đưa ra như sau:

Thứ nhất : Theo như Huy khai nhận thì tối hôm 22 rạng sáng 23/09 Huy cùng 3 người ngồi máy tính tại công ty suốt đêm. Máy tính của Huy lại sử dụng windows xp. Mà winxp thì khi người khác remote desktop vào, người đang dùng sẽ bị logout ngay. Chả nhẽ đang dùng mà bị logout lại không biết?

Thứ 2 : Vào ngày 11/10 khi CQDT thông báo cho Huy biết về blog vbot2006 trên yahoo có 1 friend duy nhất la ritmouse thì blog này và acc yahoo đã bị xóa ngay. Tìm trong ổ cứng của Huy cũng có thông tin về vbot2006 trong khi đó Huy nói là không hề biết gì về vbot2006. Nếu thằng nào đó muốn đổ tội cho Huy thì không đời nào nó đi xóa cái vbot2006 đi. Vì vậy chắc chắn chính Huy xóa đi để xóa dấu vết.
Thứ 3 : Huy chỉ có 3 cái máy cà tàng. Do mẹ của Huy cho 10 triệu để mua, thì dùng wifi làm gì. Nếu có wifi thì đặt trên tầng 3, ngoài đường khó có ai có thể truy cập. Đây là hành động biện minh cho hành vi phạm tội của Huy.

Thứ 4 Một user đã được tạo trên máy peacesoft.net . Trong khi tìm trong HDD máy của Huy có file backdoor để nâng quyền cho chính acc này.Đường dẫn peacesoft.net/.../file backdoor + user được tạo + các lệnh để nâng quyền. Đường dẫn này được C15 tìm thấy trong ổ cứng của Huy .Các đường dẫn này nằm trong Unlocation của ổ cứng vì nó được máy tình ghi lại trong lúc Huy truy cập vào file backdoor.

Thứ 5: tên file data_backup_all_1809.rar được tìm thấy ở trong 2 trên tất cả 3 ổ cứng của Huy (mới lấy dữ liệu của 2 ổ). Tất cả các ổ cứng đều được niêm phong có sự chứng kiến và chữ ký của Huy.Nếu Huy không phải là thủ phạm thì lấy đâu ra tên file này?

Thứ 6 : Nguyên nhân tại sao sau 1 tháng C15 mới đưa ra kết luận là vì họ phải theo một việc khác quan trọng hơn . Không thể tập trung điều tra vụ việc này

Thứ 7 : Có một lần bị gọi lên CQDT làm việc , Huy đã phải xin về nhà để "Suy Nghĩ". C15 đã cho Huy về để "nghĩ " C15 có ghi âm lại buổi làm việc hôm đó. Sau buổi này thì Huy có cafe với 2 người nữa để bàn cách đối phó (C15 có chứng cứ về việc này).

Thứ 8 : Máy chủ peacesoft.net cài 2 hệ điều hành lên cả C và D, vào thời điểm bị hack , máy chủ đang chạy windows trên ổ D, nhưng Huy tưởng nhầm và xóa event log trong ổ C.

Thứ 9 : Việc ps lấy lại domain nhanh là do chat với bên support của register, tiếp theo register đã yêu cầu ps gọi điện và scan credit card gửi cho register. Việc này đã được ps thực hiện rất nhanh. và register đã khôi phục lại tên miền.

Thứ 10 : Về acc vbot2006 được addsign vào acc binhnh trên register , có một địa chỉ email trong vbot2006 là athingcn@yahoo.com mà addsign user vbot2006 thì phải vào email athingcn@yahoo.com để confirm. Huy đã không cãi được và đưa ra lý do là ai đó "hack" email của Huy trong buổi làm việc với CQDT nagyf 08/11
Thứ 11 : Và remote qua user mssql thì có lẽ zhaowei_hn đã quá rõ về cái user này rồi còn gì. Đâu cần hack gì. Như vậy C15 có thể gọi zhaowei_hn lên để thẩm vấn. zhaowei_hn đang bị nghi là tòng phạm.'

Cứ cho là máy tính của Huyremy bị người khác lợi dụng để tấn công vào máy chủ của PeaceSoft. Vậy luật pháp Việt Nam qui định như thế nào về trường hợp này? Tôi đưa ra một tình huống như thế sau để mọi người so sánh thử: A là chủ sở hữu đăng kí của một chiếc xe máy. Người ta thấy chiếc xe máy đó (biển số, màu xe, loại xe) đụng người khác rồi bỏ chạy. Cảnh sát điều tra, lần ra được A. A không thừa nhận hành vi phạm tội của mình với lý do là ai đó đã: a) mượn xe máy của A; b) đánh cắp xe máy của A. Câu trả lời của cơ quan điều tra sẽ là: chúng tôi không cần biết ai là người điều khiển chiếc xe thời điểm gây ra tai nạn. Anh là người chủ sở hữu của chiếc xe, nghĩa là anh sẽ chịu trách nhiệm trước pháp luật về những gì chiếc xe của anh gây ra. Việc chứng minh người khác sử dụng chiếc xe của anh vào lúc gây ra tai nạn là nhiệm vụ của anh, không phải của chúng tôi. Nếu anh muốn chứng minh mình vô tội, anh phải tìm ra được người đã mượn hay đánh cắp xe của anh đồng thời trình ra được chứng cứ ngoại phạm của mình. Trở lại với trường hợp của Huyremy. Huyremy là chủ sở hữu máy vi tính, đường dây ADSL kết nối đến FPT (hay là địa chỉ IP) đã tấn công vào Chợ Điện Tử. Không cần biết ai đã sử dụng chúng, Huy vẫn luôn là người phải chịu trách nhiệm chính. Muốn chứng minh mình vô tội, Huy cũng phải đưa ra chứng cứ ngoại phạm kèm với bằng chứng máy tính của mình bị tấn công rồi từ đó bị lợi dụng để làm cầu nối đến hệ thống của Peacesoft.

Đấy là bàn về khía cạnh pháp lý, nếu bàn về kĩ thuật đơn thuần thì có thể thấy rằng, trước những chứng cứ mà C15 đưa ra, Huyremy khó mà chối bỏ được hành vi phạm tội của mình. Một điều buồn cười là rất nhiều người ngạc nhiên tại sao "hacker số 1 VN" lại để lại quá nhiều chứng cứ như vậy.

Trước tiên cần phải công nhận là C15 có nghề. Qua những gì ls_la trình bày, tôi cảm nhận rằng C15 biết cách làm computer forensics. Hãy cùng nhìn lại lý do thứ 5 mà ls_la đưa ra:

tên file data_backup_all_1809.rar được tìm thấy ở trong 2 trên tất cả 3 ổ cứng của Huy (mới lấy dữ liệu của 2 ổ). Tất cả các ổ cứng đều được niêm phong có sự chứng kiến và chữ ký của Huy. Nếu Huy không phải là thủ phạm thì lấy đâu ra tên file này?

ls_la cũng nói thêm về việc niêm phong ổ cứng:

Cơ quan điều tra copy ổ cứng thu được vào một thiết bị chuyên dụng readonly (thiết bị này không làm thay đổi dữ liệu). Sau đó niêm phong tang vật lại trước sự chứng kiến và chữ ký của can phạm. Nên chuyện C15 thêm chứng cứ vào ổ cứng là không thể. Chỉ thằng nào ngu mới nói là C15 thêm chứng cứ vào....

Tuy nhiên, dẫu "thiết bị chuyên dụng" của C15 ngon lành cỡ nào, nó cũng sẽ trở nên vô dụng nếu như Huyremy thực sự là "hacker số 1 VN". Mark Burnett đã viết như sau về giới hacker trong truyện The Art of Tracking nằm trong cuốn bestseller Stealing the Network: How to Own the box:

In three years I have worked in Internet security, I have learned a lot about hackers. Hackers go through stages as they develope their skills. At first, they want to impress others and be accepted. Consequently, they do lame stuff like defacing Web sites and boasting of their hacks in public chat rooms. This is the stage where many hackers get caught, although they are usually scared enough to take some measures to conceal their real IP address. As their skills increase, they move onto more sophisticated hacks and become a little more subdued - bragging only to their close circle of friends. Yet, something strange happens at this point. They gain this superhuman ego and begin to think they'll never get caught, so they attempt bold attacks from their own IP address. Eventually, if they still haven't been arrested, they become master hackers and confide in maybe only one other person. Oddly enough, master hackers once again they care to conceal their identity, but now they do it because they're wiser, not because they fear.

Rõ ràng Huyremy "neither wise nor scared enough". Nếu bạn là Huyremy thì bạn sẽ làm gì để "conceal your identity"?

Truy tìm thủ phạm 2

Tui hoang mang vì một lẽ con đường khả dĩ nhất đi vào server, phù hợp nhất với những giả định và lập luận của tui không phải là con đường mà kẻ xâm nhập đã chọn. Điều làm tui lo lắng nhất chính là khả năng kẻ xâm nhập là một tay cao thủ và hắn đang chơi trò "mèo vờn chuột". Đối mặt với một tay có khả năng "lai vô ảnh, khứ vô hình" là một điều thú vị nhưng tui e rằng mình vẫn chưa đủ "cao tay ấn" để mà "chơi" với hắn. Khi đó điều tệ hại nhất không phải là không xác định được ai là thủ phạm mà là xác định nhầm đối tượng.

Thật sự từ khi bắt đầu điều tra, mặc dù tui luôn giả định kẻ xâm nhập là một tay mơ nhưng thú thật tui chưa bao giờ tin tưởng tuyệt đối những gì mà mình thấy trên server. Trong đầu tui tồn tại hai tư tưởng: a) cứ phân tích dựa theo những gì mình thấy để nhanh chóng tìm ra thủ phạm; b) paranoid, paranoid, paranoid, thủ phạm đang lừa mình vô tròng đó! Vì nôn nóng và hiếu thắng nhất thời, tui đã chọn cách làm thứ nhất để rồi lâm vào tình trạng bế tắc. Phải paranoid! Tui đã được "dạy dỗ" như vậy từ khi mới chân ướt chân ráo mày mò học bảo mật.

Tui bắt đầu rà soát lại điểm mấu chốt trong lập luận của mình. Nhắc lại, vì file index.html có permission mode là 0644 với owner và group là hippie/hippie mà user hippie lại không có quyền shell nên tui đã suy ra rằng chỉ có hai hướng để kẻ xâm nhập thay đổi file này: a) chiếm được quyền root trên server; b) lấy được password user hippie rồi thông qua ftp để upload file lên ghi đè file index.html. Như mọi người đã thấy ở phần 1, giả thuyết b) mà tui đưa ra (và hết sức tin tưởng) đã hoàn toàn phá sản. Như vậy chỉ còn lại khả năng kẻ xâm nhập đã chiếm được quyền root trên server.

Có thể đơn giản bằng cách nào đó (cài keylogger trên máy tính ở Thụy Du chẳng hạn), kẻ xâm nhập chôm được mật khẩu root của server, hoặc phức tạp hơn, hắn khai thác một lỗi bảo mật nào đó trong cái đám service đang chạy hoặc trong chính cái kernel mà server đang sử dụng. Bằng cách nào đi chăng nữa thì việc kẻ tấn công chiếm được quyền root là hết sức nguy hiểm. Có thể ngay lúc này đây, thông qua một con rookit -5- nào đó, hắn đang ung dung theo dõi những bước điều tra của tui từ đầu đến giờ và cười sảng khoái khi thấy tui lâm vào đường cùng. Tui thót giật mình khi nghĩ đến điều rất-có-khả-năng-là-sự-thật này :-((! Tui nhanh chóng download, cài đặt và chạy bộ công cụ chkrootkit. Chẳng có rootkit nào được phát hiện trên server. Một câu hỏi được đặt ra, liệu kết quả này có đáng tin hay không? Ai biết được kẻ cao thủ mà tui đang đối mặt đã có kế hoạch ứng phó với chkrootkit từ trước hay không? Nói như vậy không có nghĩa là chkrootkit hoàn toàn vô dụng, ít nhất nó cho tui biết khả năng mà kẻ xâm nhập là một "đại cao thủ" là cực thấp.

Có rất nhiều loại attacker, thượng vàng hạ cám đều có đủ. Loại attacker có khả năng chiếm quyền root trên server rồi cài đặt rootkit có sẵn lên đó thì nhiều, nhưng loại attacker có khả năng đánh lừa cả chkrootkit thì tui cho là rất ít. Cộng thêm yếu tố là người VN và hành động deface nữa thì chắc chẳng còn ai. "OK, cứ tạm tin tưởng vào kết quả chkrootkit đi xem sao", tui tự nhủ.Như vậy trên server không có rookit, và chkrootkit cũng thông báo cho tui biết là lastlog -6- và wtmp -7- chưa hề bị chỉnh sửa. Như vậy có thể tạm tin vào thông tin từ lệnh last mà tui đã chạy ở trên. Tui thử chạy tiếp:

# lastlog
root pts/0 223.231.66.125 Tue Mar 21 07:22:23 -0700 2006
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
news **Never logged in**
uucp **Never logged in**
operator **Never logged in**
games **Never logged in**
gopher **Never logged in**
ftp **Never logged in**
nobody **Never logged in**
dbus **Never logged in**
vcsa **Never logged in**
rpm **Never logged in**
haldaemon **Never logged in**
netdump **Never logged in**
nscd **Never logged in**
sshd **Never logged in**
ntp **Never logged in**
apache **Never logged in**
named **Never logged in**
webalizer **Never logged in**
cpanel **Never logged in**
mailman **Never logged in**
mysql **Never logged in**
yeahlap pts/0 58.186.121.22 Mon Mar 20 00:37:55 -0700 2006
hippie **Never logged in**
clamav pts/1 58.186.41.101 Thu Feb 16 20:29:59 -0700 2006

Như vậy có thể thấy chỉ có 3 user từng ssh vào server là root, yeahlap và clamav. Tui nhanh chóng kiểm tra user clamav

# cat /etc/passwd | grep clamav
clamav:x:32003:504::/usr/local/clamav:/bin/false

Chà lạ nhỉ, user clamav này chẳng có shell mà sao lastlog lại thông báo là nó đã login vào server lúc Thu Feb 16 20:29:59 -0700 2006? User clamav chắc hẳn dùng để chạy ClamAV, phần mềm GPL chống virus trên mail server rất nổi tiếng. Mail server được sử dụng trên server là Exim, chắc thằng này đi kèm với Cpanel. Tui đoán không sai, có cả SpamAssassin để chống spam nữa. Hiện tại trên server đang chạy clamd daemon, nó chẳng listen trên tcp/ip socket nào mà sử dụng unix domain socket nằm ở /var/clamd. Thằng ClamAV này được cài đặt từ source, do đó một giả thuyết được đặt ra là tay Administrator lúc tạo user clamav đã cho user này một cái shell, một cái password (vẫn còn nằm trong /etc/shadow). Sau khi đã hoàn thành việc cài đặt, tay Admin mới bỏ cái shell đó đi, và disable luôn cái account bằng lệnh passwd -l clamav (bằng chứng là field chứa password trong /etc/shadow có kí tự "!" đứng đầu). Chắc hẳn tay Administrator làm theo một cái HOWTO nào đó. Có thể tạm tin tưởng là vậy bởi thời điểm 16/02/2006, bạn tui vẫn chưa tiếp nhận server này. Bạn tui cho hay anh ấy order server này hồi đầu tháng 02/2006 và đến khoảng 20/02/2006 thì bên công ti hosting mới setup xong và giao server lại cho anh.

Như vậy chỉ còn 2 user là root và yeahlap đã từng truy cập vào server. Thông tin output của lastlog cũng rất phù hợp với output của last. Shell của yeahlap:

# cat /etc/passwd | grep yeahlap
lapyeah:x:32004:505::/home/yeahlap:/usr/local/cpanel/bin/jailshell

Jailshell hưh? Search một vòng trên Google thì thấy như vầy:

Jailshell is a very limited shell that allows clients to logon to your server via SSH. It limits them to their home directories, keeping the rest of your files on your server from being viewed. Use caution when giving users shell accounts on your server, as it's likely possible to breakout of the jailshell.

Đọc cái dòng "it's likely possible to breakout of the jailshell" nghe thấy ớn quá. Như vậy cũng có khả năng kẻ xâm nhập chôm được mật khẩu yeahlap từ cafe Thụy Du, login vào server qua ssh, rồi "breakout of the jailshell", tiếp theo là get root, và deface.

Tui tổng kết lại các khả năng có thể xảy ra:

a) chôm mật khẩu root, login vào server rồi deface

b) chôm mật khẩu yeahlap, login vào server, break out of jailshell, get root rồi deface.

c) khai thác một lỗi nào đó trong các service chạy trên server hoặc ngay chính cái kernel đang được sử dụng, get root rồi deface

Còn gì nữa không ta? Tui chợt nhớ đến scp và sftp -8-. Số là tui không có cảm tình với ftp, nên mặc dù trên server có ftp service nhưng do thói quen, tui sử dụng scp để chép một số file log về desktop để tiện tìm hiểu và chợt nhật ra một thiếu sót là kẻ tấn công vẫn còn một hướng khác:

d) chôm mật khẩu root, sử dụng scp ghi đè lên file index.html để deface.

Đây chỉ là 4 trong số rất nhiều khả năng khác có thể xảy ra, tui tự nhủ.

(còn tiếp)

Bật mí kì cuối: chu choa ơi, thằng attacker nó chẳng sử dụng cái cách nào trong 4 cách trên hết. Ai đó thử đoán xem nó làm thế nào để deface mà: không có quyền root và user hippie không có shell?

---chú thích---

-5-: rootkit là thuật ngữ dùng để chỉ những phần mềm giúp kẻ xâm nhập che dấu tung tích của hắn khi "ẩn mình" trong một hệ thống máy tính nào đó. Tham khảo thêm http://en.wikipedia.org/wiki/Rootkit

-6-: tham khảo "man lastlog"

-7-: tham khảo "man last"

-8-: sftp là một phần của bộ giao thức ssh, giúp truyền file một cách an toàn bằng cách mã hoá dữ liệu truyền đi trên mạng. Tham khảo "man scp"

Truy tìm thủ phạm 1

Hello bà con,

Mấy tháng nay công việc bù đầu, rồi thêm HVAOnline up/down liên tục thành ra thaidn tui chẳng viết được một bài nào cho "ra đầu ra đũa" cả. Cách đây 2h đồng hồ, một người bạn gọi điện cho hay là website của anh ấy vừa bị deface, nhờ tui tìm hiểu thử xem sự thể như thế nào. Sẵn máu forensic đã có trong người từ rất lâu, tui hâm hở nhận lời. Vầ dưới đây là toàn bộ câu chuyện -0-...

Trước khi bắt đầu, xin cho tui được "tâm sự" vài lời. Mặc dầu rất mê cái món forensic nhưng mà đây là lần đầu tiên tui có cơ hội phân tích, điều tra một vụ xâm nhập (chẳng biết hên hay xui nữa :D). Tui đã đọc qua một số cuốn sách nói về computer forensic và tự thấy rằng phương pháp mà tui áp dụng ở dưới đây là rất thiếu bài bản và sự chuyên nghiệp cần có trong công tác điều tra, do đó rất mong nhận được sự đóng góp, chỉ bảo từ các anh chị có nhiều kinh nghiệm trong lĩnh vực này. Vấn đề thứ hai mà tui muốn đề cập là đạo đức trong việc kinh doanh. Mong là những người đứng ngoài sau phá phách này ngộ ra được và chấm dứt những hành động bẩn thỉu của mình trước khi quá muộn. Ok, dài dòng xong rồi, giờ chúng ta bắt đầu.

Ngay khi nhận được tin báo, việc đầu tiên tui yêu cầu bạn tui phải làm là đổi hết tất cả các mật khẩu, từ mật khẩu email cá nhân, mật khẩu tài khoản quản trị diễn đàn cho đến mật khẩu root trên server cũng như các tài khoản khác; đồng thời giữ nguyên hiện trạng server -1- cho đến khi tui truy cập vào nó để điều tra. Đây là hai phản ứng cơ bản mà tui đọc được trong các cuốn sách nói về incident response. Tui nhanh chóng hoàn thành các bài tập gym rồi chạy về nhà và truy cập vào server liền. Tui cho là trong những trường hợp như thế này, thời gian giữ một vai trò rất quan trọng, càng sớm tiếp cận được hiện trường vụ án thì cơ hội thu thập được nhiều thông tin giá trị càng cao.

Đó là một dedicated server chạy LAMP -2-, đặt tại Mỹ, bạn tui thuê của một công ti Việt Nam để host một diễn đàn khá lớn về âm nhạc. Trao đổi với anh bạn, tôi được biết là vụ tấn công xảy ra lúc khoảng 4h-5h chiều. Bình thường khi user truy cập vào trang chủ, họ sẽ tự động được chuyển sang diễn đàn, nhưng chiều nay file index.html của anh đã bị thay đổi với nội dung như sau:

hacked by cana_ximuoi

chiu kho update thuong xuyen may loi bao mat moi cua webserver, ftp nhe admin, lan sau la mat sach data day

Có một cái gì đó bất thường, tui chợt nghĩ. Nếu như kẻ xâm nhập đã có nhã ý muốn nhắc nhở bạn tôi cần phải quan tâm hơn đến vấn đề bảo mật thì tui nghĩ họ đã không chọn cách làm thiếu văn hóa như thế này. Còn nếu như kẻ xâm nhập có dụng ý phá hoại thì chắc hẳn họ đã phô trương bản thân và chửi bới nhiều hơn, điều thường gặp ở những người nghĩ là họ thông minh hơn người khác. Dẫu là ai đi chăng nữa, với hành động deface như vầy, có vẻ kẻ xâm nhập không phải là một tay cừ khôi, âu cũng là một điều đáng mừng ;-).

Vừa login vào server, tui liền chạy lệnh:

# date
Tue Mar 21 12:02:57 GMT+7 2006

# last
root pts/0 223.231.66.125 Tue Mar 21 07:22 - still logged in
yeahlap pts/0 58.186.121.22 Mon Mar 20 00:37 - 00:40 (00:02)
root pts/0 222.253.137.62 Thu Mar 16 05:41 - 05:46 (00:04)
root pts/0 220.231.71.115 Sun Mar 12 10:13 - 10:38 (00:24)
root pts/0 222.253.151.186 Sat Mar 11 22:52 - 22:55 (00:02)
root pts/0 222.253.151.186 Sat Mar 11 22:17 - 22:17 (00:00)
root pts/1 222.253.144.24 Fri Mar 10 13:02 - 13:04 (00:01)
root pts/1 222.253.144.24 Fri Mar 10 12:48 - 12:55 (00:06)
root pts/1 222.253.144.24 Fri Mar 10 12:46 - 12:48 (00:02)
root pts/0 220.231.79.201 Fri Mar 10 12:29 - 13:54 (01:24)
root pts/0 222.253.150.142 Thu Mar 9 21:58 - 21:59 (00:00)
root pts/0 220.231.64.90 Thu Mar 9 10:25 - 10:29 (00:04)
root pts/0 222.253.127.115 Thu Mar 9 10:18 - 10:25 (00:06)
root pts/0 222.253.127.115 Thu Mar 9 10:13 - 10:17 (00:04)
root pts/0 222.253.127.115 Thu Mar 9 10:08 - 10:12 (00:04)
root pts/0 222.253.132.70 Thu Mar 9 04:28 - 04:29 (00:00)
root pts/1 221.133.4.5 Thu Mar 9 00:52 - 02:56 (02:04)
root pts/0 222.253.128.195 Thu Mar 9 00:48 - 00:57 (00:08)
root pts/0 222.253.146.9 Thu Mar 9 00:26 - 00:33 (00:06)
root pts/1 220.231.94.18 Wed Mar 8 12:24 - 15:10 (02:46)
root pts/0 222.253.146.9 Thu Mar 9 00:26 - 00:33 (00:06)
root pts/1 220.231.94.18 Wed Mar 8 12:24 - 15:10 (02:46)
root pts/0 222.253.120.248 Wed Mar 8 11:51 - 12:25 (00:33)
reboot system boot 2.6.9-22.0.2.EL Wed Mar 8 06:42 (13+05:14)
reboot system boot 2.6.9-22.0.2.EL Wed Mar 8 06:35 (00:06)
root pts/0 222.253.90.239 Sat Mar 4 21:12 - 21:41 (00:29)
root pts/0 222.253.120.248 Wed Mar 8 11:51 - 12:25 (00:33)
reboot system boot 2.6.9-22.0.2.EL Wed Mar 8 06:42 (13+05:14)
reboot system boot 2.6.9-22.0.2.EL Wed Mar 8 06:35 (00:06)
root pts/0 222.253.90.239 Sat Mar 4 21:12 - 21:41 (00:29)
root pts/0 222.253.90.239 Sat Mar 4 21:01 - 21:08 (00:07)
root pts/0 222.253.90.239 Sat Mar 4 20:38 - 21:01 (00:22)
reboot system boot 2.6.9-22.0.2.EL Fri Mar 3 22:28 (4+08:05)
reboot system boot 2.6.9-22.0.2.EL Fri Mar 3 22:08 (00:19)
reboot system boot 2.6.9-22.0.2.EL Fri Mar 3 21:58 (00:08)
reboot system boot 2.6.9-22.0.2.EL Fri Mar 3 21:50 (00:07)
reboot system boot 2.6.9-22.0.2.EL Fri Mar 3 21:40 (00:09)
reboot system boot 2.6.9-22.0.2.EL Fri Mar 3 11:03 (10:35)
wtmp begins Fri Mar 3 11:02:19 2006

Lệnh thứ nhất cho tui biết ngày giờ trên server, từ đó tui sẽ tính ra được độ chênh lệch giữa múi giờ trên server và múi giờ ở Việt Nam, trong trường hợp này là 14 giờ, nghĩa là server được đặt ở vùng GMT -7. Đây là một yếu tố cực kì quan trọng, nó sẽ giúp ích rất nhiều trong công tác event correlation -3-. Như vậy, nếu tính theo giờ server, chắc hẳn website của bạn tui đã bị deface trong khoảng Mar 21 02:00:00 GMT -7 đến Mar 21 03:00:00 GMT -7. Lệnh thứ hai cho tui biết ai đã truy cập vào máy chủ kể từ Fri Mar 3 11:02:19 2006. Dòng đầu tiên cho thấy một người truy cập vào lúc Tue Mar 21 07:22 và vẫn còn đang ở trong server. Kẻ đó chính là...tui. Chà, ngoài tui ra, chẳng có ma nào ssh vào server trong ngày Mar 21 cả. Như vậy có vẻ kẻ xâm nhập không vào server (và từ đó thay đổi nội dung file index.html) qua đường ssh. Một câu hỏi tự nhiên được đặt ra: ngoài ssh, còn có con đường nào khác đi vào server này?

Trước đây, tui đã có vài lần giúp giải quyết sự cố trên server này thành ra nó cũng tương đối quen thuộc với tui. Ngoài ssh ra, server này còn chạy các dịch vụ: cpanel, ftp (sử dụng pureftpd), smtp/pop3 (sử dụng exim) và http (sử dụng apache). Đó là nói về dịch vụ, về phía user thì ngoài root và yeahlap như đã thấy ở trên, server này còn một user là hippie. Có hai website được host trên server này, mỗi website tương ứng với hippie và yeahlap. Website bị deface chính là website của hippie. Ngó nghiêng qua /etc/passwd thì tui thấy:

yeahlap:x:32004:505::/home/yeahlap:/usr/local/cpanel/bin/jailshell
hippie:x:32007:508::/home/hippie:/usr/local/cpanel/bin/noshell

Chà, user hippie không có shell -4-! Phản xạ tự nhiên, tui chạy:

# ls -l /home/hippie/public_html/index.html
-rw-r--r-- 1 hippie hippie 702 Mar 21 04:18 /home/hippie/public_html/index.html

Chà, file index.html này có permission là 644 với owner là hippie, mà thằng hippie lại chẳng có shell, vậy muốn thay đổi nó thì thằng attacker phải hoặc a) chiếm được quyền root trên server hoặc b) lấy được password user hippie rồi thông qua ftp để upload file lên. Đó là hai hướng tấn công mà tui nghĩ đến đầu tiên. Tui nghiêng về hướng thứ hai hơn, đơn giản vì như tui đã nói, tui không nghĩ kẻ xâm nhập là một tay lành nghề đủ khả năng chiếm được quyền root trên server. Nếu hắn chôm được password root thì hằn cũng chẳng thể ftp vào được server bởi vì mặc định các ftp daemon đều không cho phép account root đăng nhập. Mà như đã thấy ở trên, chẳng có ma nào ssh vào server trong ngày 21/03/2006 trừ tui ra. Dĩ nhiên khi có quyền root thì kẻ xâm nhập có thể xóa sạch tất cả những dấu vết mà hắn để lại trên server, nhưng chẳng ai dày công làm như vậy chỉ để hăm dọa một người không rành về máy tính như bạn của tui.

Bạn tui cho biết ngày 20/03/2006, anh có ra chơi ở tiệm cafe Thụy Du trên đường Lý Chính Thắng, chỗ đó nổi tiếng là có nhiều "hacker", cho nên khả năng bị ai đó chôm mật khẩu là rất lớn. Một tay rỗi hơi nào đó cài vài ba con keylogger lên các máy tính ở Thụy Du và rồi vô tình vớ được mật khẩu của hippie khi bạn tui upload file lên server. Là một Google "hacker", hắn chẳng biết làm gì với một cái account của một server Linux, hắn bèn "mua vui" bằng cách deface cho bỏ công chôm chia. Nghe cũng hợp lý chứ nhỉ?

Tui có sử dụng pure-ftpd từ trước nên biết rõ là thằng này nó lưu thông tin log vào thẳng syslog /var/log/messages. Tui vớ lấy cái đám /var/log/messages* "nóng hổi", rồi chạy các lệnh sau:

# cat /var/log/messages | grep index.html | grep "Mar 21"
Mar 21 04:17:45 server pure-ftpd: (hippie@222.253.127.219) [NOTICE] /home/hippie//public_html/index.html downloaded (206 byte, 3801.33KB/sec)
Mar 21 04:18:13 server pure-ftpd: (hippie@222.253.127.219) [NOTICE] /home/hippie//public_html/media/index.html downloaded (702 byte, 15570.32KB/sec)
Mar 21 04:18:35 server pure-ftpd: (hippie@222.253.127.219) [NOTICE] /home/hippie//public_html/index.html uploaded (702 byte, 2.14KB/sec)

Lệnh trên giúp tui lấy ra tất cả những dòng thông báo của pure-ftpd có liên quan đến file index.html trong ngày 21/03/2006. Kết quả như mọi người đã thấy, đầu tiên vào lúc Mar 21 04:17:45 (nghĩa là khoảng 6h chiều giờ VN) file index.html được download xuống, rồi sau đó nó được upload lên liên tục hai lần vào lúc Mar 21 04:18:13 và Mar 21 04:18:35.

Những con số được tô màu chính là kích thước của file index.html tại từng thời điểm. Như vậy đã rõ, cả 3 lần upload/download này đều là do bạn tui thực hiện sau khi website bị deface. Lần đầu anh download file index.html đã bị sửa đổi, file này có kích thước là 206 byte. Lần hai và ba anh upload lại file nguyên mẫu ban đầu, có kích thước là 702 byte. Chà, sao chẳng thấy ai upload file index.html có kích thước 206 byte lên hết nhỉ? Để chắc ăn, tui kiểm tra mớ log file lại một vài lần nữa nhưng vẫn không tìm thấy bất cứ thông tin gì liên quan đến file index.html ngoài 3 lần ở trên. Tui bắt đầu hoang man, phải chăng tui đã đánh giá quá thấp đối thủ của mình?

(còn tiếp)

---
Ghi chú
-0-: Thật ra tôi đã cố tình chỉnh sửa, thêm thắt, làm cho câu chuyện hấp dẫn và dài thêm một chút để tiện trình bày những điều tôi muốn gửi đến người đọc.

-1-: Lẽ ra lời khuyên phải là tắt server đó ngay. Những chứng cứ trên server sẽ trở nên vô nghĩa trước pháp luật nếu như server vẫn tiếp tục hoạt động ngay sau khi bị phát hiện tấn công. Tuy nhiên trong trường hợp này, do anh bạn tôi chỉ có một server duy nhất và anh ấy cũng không có ý định kiện tụng ai cả, nên tôi chỉ yêu cầu anh ta không được thay đổi gì trên server.

-2-: LAMP là thuật ngữ dùng để chỉ các server chạy hệ điều hành Linux, website Apache, máy chủ database MySQL và sử dụng PHP để làm web-application.

-3-: event correlation là quá trình chỉ ra sự tương quan giữa ra các sự kiện khác nhau trên các thành phần khác nhau trong cùng một hệ thống hoặc trên các hệ thống khác nhau. Sự tương quan này sẽ giúp cho điều tra viên có được cái nhìn toàn cảnh về những gì đã diễn ra trên toàn hệ thống trước, trong và sau vụ tấn công. Có được thông tin về múi giờ chính xác là điều kiện tiên quyết để có thể tiến hành công tác event correlation.

-4-: shell tương ứng với khả năng đăng nhập và làm việc (thông qua rsh hoặc ssh) trên một server *nix. Có shell trên một server nghĩa là có khả năng đăng nhập và làm việc trên server đó và ngược lại.

Tăng Minh Phụng 2

2. Đầu tư bất động sản đầy sóng gió

Như đã nói ở trên, tổng số BĐS của Minh Phụng có tới trên 400 danh mục gồm các loại biệt thự, nhà ở, văn phòng, hệ thống nhà xưởng, kho tàng, đất chuyên dùng, máy móc, phương tiện... phân bố khắp địa bàn TP.HCM và các tỉnh Bà Rịa-Vũng Tàu, Bình Dương, Lâm Đồng v.v.. Có thể nói không ngoa rằng, có thời kỳ hầu như các két sắt trong các ngân hàng lớn của VN đã hoàn tòan trống rỗng, bởi số tiền khổng lồ đó đã được Minh Phụng ném hết xuống các cánh đồng hoang vu tại Chí Linh thành phố Vũng Tàu, vùng sình lầy ở Thủ Đức và trong các nhà kho bỏ hoang trên Sông Bé cũ!

Tuy nhiên, dù bị coi là rất nóng vội, phiêu lưu, nhưng không thể phủ nhận tầm nhìn khá xa, định hướng mang tính chiến lược của Minh Phụng khi đầu tư vào các BĐS trên. Thực tế khi xử lý tài sản thế chấp sau này cho thấy, các danh mục tài sản thế chấp là nhà xưởng, kho tàng tại các khu công nghiệp đều có giá khá cao, với thời gian thuê khoảng 40-50 năm, chỉ tiếng riêng tiền khai thác có ngân hàng đã thu được hàng trăm tỷ đồng. Đối với số tài sản là biệt thự, văn phòng, nhà xưởng tại khu vực TP.HCM, phần lớn giá bán đấu giá cũng đều cao hơn rất nhiều so với giá Tòa án định khi xét xử. Riêng đối với các lô đất triển khai dự án tại khu vực Thủ Đức trước đây (nay thuộc quận 2), theo quy hoạch của TP.HCM, hầu hết số này nằm ở các vị trí rất đắc địa, nếu được triển khai đầy đủ theo các dự án khả thi thì lợi nhuận từ các vùng đất này sẽ rất lớn. Chẳng thế mà có ngân hàng được tòa án giao cho một số lô đất tại khu vực quận 2 (TP.HCM), chẳng cần phải triển khai xây dựng dự án, cũng không cần đầu tư hạ tầng, qua 1 phiên đấu giá 1 lô thôi đã thu đủ toàn bộ số nợ trên 15 triệu USD, ngoài ra đơn vị này còn dư ra được số tiền và giá trị các tài sản trị giá cả chục triệu USD! (*)

Nếu số BĐS Minh Phụng đầu tư tại khu vực TP.HCM và tỉnh Bình Dương được coi là rất thành công, thì ngược lại, việc đầu tư vào vùng Bà Rịa-Vũng Tàu thực sự trở thành thảm họa.

Khi xét xử vụ án, để đảm bảo thu hồi số nợ của Minh Phụng, Tòa án đã giao cho các ngân hàng hàng trăm đơn vị tài sản gồm các khu biệt thự, nhà ở, văn phòng, một số kho tàng và trên 2,6 triệu m2 đất chuyên dùng... Quá trình xử lý tài sản thế chấp khu vực này của các ngân hàng đều rất chật vật, ngoài số danh mục là nhà ở, văn phòng, biệt thự đã bán được, số đất chuyên dùng bán rất chậm, thậm chí có ngân hàng qua 6 năm nay phải ôm hơn 1 triệu m2 đất chuyên dùng mà không sao "tiêu hóa" nổi. Nhiều báo chí đưa tin cho rằng các lô đất của Minh Phụng tại khu vực thành phố Vũng Tàu trị giá mấy ngàn tỷ bán rẻ như cho (?). Nhưng thực tế, rất nhiều lô đất được định giá xong thông báo không có người mua, hơn nữa, với diện tích quá lớn như vậy, việc sử dụng phải theo đúng quy hoạch của địa phương, cần có sự đầu tư rất lớn về cơ sở hạ tầng, không thể đơn giản hóa việc chuyển nhượng theo kiểu chia lô bán nền như các đầu nậu đất vẫn làm xưa nay. Để trút gánh nặng cho các ngân hàng, cuối năm 2005, Thủ tướng CP đã phải quyết định cho UBND tỉnh Bà Rịa-Vũng Tàu và ngân hàng nhận thế chấp thỏa thuận việc chuyển giao cho địa phương quản lý, sử dụng trên 1,3 triệu m2 đất và thanh toán lại cho ngân hàng để thu hồi nợ. Thống kê cho thấy, số tài sản thế chấp của Minh Phụng tại khu vực Bà Rịa-Vũng Tàu giá bán được cao hơn từ 1,3 đến 2 lần so với giá tòa án đã định khi xét xử, tuy nhiên so với giá thẩm định cho vay thì giá bán được chỉ xấp xỉ bằng 25 đến 43%. Như vậy, dù bán hết số này cũng không thể nào thu hồi được khoản vay, nên có thể khẳng định hầu như các dự án của Minh Phụng tại khu vực Bà Rịa-Vũng Tàu đều thất bại.

Vậy, tại sao Minh Phụng lại dốc gần như hết tâm lực vào vùng đất này đến như vậy?

Không phải ngẫu nhiên khi Minh Phụng lại chọn Bà Rịa-Vũng Tàu là miền đất hứa để đổ tiền đổ của và rồi ôm hận. Nếu ta nhớ lại đầu những năm 90, Bà Rịa-Vũng Tàu được chọn là vùng trọng điểm về kinh tế phía Nam, với định hướng phát triển ngành dầu khí, khi đó, theo quy hoạch thành phố Vũng Tàu sẽ là trung tâm của ngành công nghiệp hóa dầu (theo quy hoạch sẽ xây dựng nhà máy lọc dầu tại khu vực xã Long Sơn). Như vậy, sẽ phải có hàng ngàn doanh nghiệp, hàng vạn con người tập trung ở đây, kéo theo các dịch vụ về ngân hàng, tín dụng, nhà ở, văn phòng, biệt thự v.v và v.v.. Đón bắt được hướng phát triển này, bằng tất cả khả năng của mình cũng như bằng mọi phương cách như chúng tôi đã đề cập ở trên, Minh Phụng lao vào đầu cơ đất đai. Không chỉ những vị trí đẹp nhất trong thành phố, mà cả những vùng đất sình lầy, cỏ hoang chưa có người ở cũng đều nằm trong kế hoạch phát triển đầy tham vọng này của con người.

Nói một cách khách quan, thực sự Minh Phụng đã in dấu khá đậm nét trong quá trình đô thị hóa ở đây. Nhưng năm 1993-1996, nếu ai đến khu vực thành phố Vũng Tàu, hẳn dễ dàng nhận thấy sự khởi sắc từng ngày về kiến trúc đô thị. Đã có thời kỳ, người ta nói "ở đâu có ngói đỏ, ở đó có Minh Phụng" (!). Hàng loạt khu biệt thự to đẹp, đầy đủ tiện nghi nhanh chóng mọc lên tại thành phố Vũng Tàu. Không những thế, cả vùng "cánh đồng hoang" khu vực Chí Linh, những địa danh Đồng Sát, Hải Đăng, Long Hải, Phước Tỉnh... một ngày kia đều được gắn với tên Minh Phụng với những dự án hoành tráng.

Tuy nhiên, sự sụp đổ có thể thấy ngay khi quy hoạch có sự thay đổi, khu công nghiệp hóa dầu được chuyển ra Dung Quất (Quảng Ngãi), kế hoạch xây dựng nhà máy lọc dầu tại thành phố Vũng Tàu chưa biết bao giờ mới thực hiện, khả năng đón bắt cơ hội đã qua, các dự án không thể chờ đợi. Kết cục cũng giống như một số đại gia khác đã lao vào đất Vũng Tàu như Ba Vinh, Phạm Huy Phước..., Minh Phụng cũng đã phải bỏ mình tại miền đất này. Có ý kiến cho rằng, Minh Phụng sụp đổ do sai lầm quá nóng vội, đi trước thời cuộc, nhưng những gì cho ta thấy ở trên, có thể sẽ khách quan hơn, nếu ta nhận xét thất bại của Minh Phụng một phần rất lớn từ rủi ro.

3. Những bài học kinh nghiệm

Sẽ là vũ đoán nếu như những gì chúng tôi nếu dưới đây là những bài học cho các nhà đầu tư, nhà quản lý và những ai đã và đang tham gia thương trường. Tuy nhiên, thời gian 10 năm đã đủ không chỉ để đánh giá một cách khách quan nhất về sự việc và qua đó, có thể đúc rút một vài điều bổ ích.

Thứ nhất, có thể nói, sự nóng vội của Minh Phụng cũng là trạng thái tâm lý của một số người trong xã hội ta, không chỉ trước đây mà hiện nay cũng vẫn vậy. Chính điều này đã tạo ra kiểu kinh doanh theo phong trào, bất chấp mọi quy luật thị trường. Theo dõi trên thị trường chứng khoán gần đây cho thấy, có những thời điểm giá cổ phiếu cũng sốt, cũng vẫn tình trạng tranh mua, tranh bán. Nhưng đáng ngạc nhiên là các cổ phiếu giá càng cao càng được các nhà đầu tư tập trung mua nhiều, khi giá xuống thấp thì lại đua nhau bán đổ bán tháo. Như vậy, bước vào thương trường, chỉ có tham vọng thì chưa đủ, cần phải có sự hiểu biết nhất định, không thể thành công với kiểu làm ăn nghiệp dư như lâu nay, và lại càng không thể làm giàu theo lối "ăn xổi ở thì" đặc biệt trong lĩnh vực kinh doanh BĐS.

Thứ hai, đối với các NHTM, kinh doanh ngân hàng là loại kinh doanh chứa đựng rất nhiều yếu tố rủi ro, nâng cao năng lực quản trị rủi ro được coi là vấn đề cốt lõi. Trong giai đoạn kinh tế bùng nổ hiện nay, nhu cầu vốn vay của DN rất lớn, tuy nhiên, nhiều NHTM vẫn chưa rút ra được bài học từ Minh Phụng-Epco. Việc đánh giá năng lực của DN không sát thực tế, thẩm định tài sản thế chấp, quản lý khoản nợ vay có thể nói còn quá nhiều sơ hở. Chẳng hạn tại tỉnh Phú Thọ (nơi tập trung nhiều doanh nghiệp Hàn Quốc), theo dự báo của cơ quan công an, một số ngân hàng có thể mất hàng chục triệu USD vì DN vay nợ gần như đã phá sản. Chỉ tính riêng Ngân hàng Nông nghiệp & Phát triển Nông thôn-chi nhánh Phú Thọ đã ưu ái cho 5 doanh nghiệp thuộc "tập đoàn" TASCO vay đến 16 triệu USD, nhưng gần 3 năm nay, "tập đoàn" này hầu như không sản xuất được gì, thậm chí trụ sở tại Hà Nội cũng phải đóng cửa do không trả tiền thuê (?) (**)

Với tư cách là nhà đầu tư, nếu các ngân hàng thiếu sự định hướng chiến lược, không nâng cao khả năng dự báo, mà chỉ tập trung vào việc thẩm định tài sản thế chấp để cho vay, thì e rằng, tương lai sẽ còn nhiều Minh Phụng và còn nhiều trường hợp như đã nêu trên. Bài học từ Minh Phụng cũng cho thấy, nếu kinh doanh ngân hàng mà chỉ quẩn quanh: thế chấp- cho vay- kê biên- phát mại thu hồi nợ, thì vô hình chung, ngân hàng đã biến mình thành hiệu cầm đồ, đồng thời, nếu chỉ coi tài sản thế chấp là phương thức bảo đảm chắc chắn cho khoản vay, thì dù có thu giữ dược cả trăm nhà cửa, đất đai như Minh Phụng, thì vẫn thiệt hại cả ngàn tỷ đồng.

Thứ ba, không chỉ các ngân hàng mới phải coi trọng vấn đề rủi ro, trong môi trường kinh doanh của VN, điều này càng phải được các nhà đầu tư tính đến khi hoạch định chiến lược kinh doanh, mà trước hết việc hoạch định chiến lược phải phù hợp với xu thế phát triển, với chính sách phát triển lâu dài. Kinh nghiệm từ Minh Phụng cho thấy, chỉ cần Nhà nước có sự thay đổi về quy hoạch xây dựng nhà máy lọc dầu, thì không chỉ các dự án của Minh Phụng-Epco mà hàng loạt các nhà đầu tư khác tại khu vực Bà Rịa-Vũng Tàu rơi ngay vào tình trạng tê liệt, phá sản (phải chăng đây được coi là rủi ro chính sách). Những thất bại của nhiều dự án gần đây cũng minh chứng rõ điều này. Chẳng hạn, dự án Khu kinh tế cửa khẩu Cầu Treo (Hà Tĩnh), trong điều kiện VN chuẩn bị hội nhập sâu vào nền KT thế giới, hàng rào thuế quan sẽ bị cắt giảm triệt để trong thời gian không lâu, tuy nhiên các nhà đầu tư tại đây vẫn quyết định cho xây dựng khu kinh tế cửa khẩu dựa trên ưu thế hàng miễn thuế. Hệ quả là vốn đầu tư đã bỏ ra 450 tỷ đồng, nhưng hàng tháng tỉnh Hà Tĩnh chỉ thu được trên dưới 30 triệu đồng (?). Có lẽ những bài học từ Minh Phụng vẫn còn chưa hết tính thời sự./.

(*) Số tiền đơn vị này thu dư đã được cơ quan thi hành án thu lại để thanh toán cho ngân hàng khác mà Minh Phụng còn thiếu. Tính chung thì Minh Phụng vẫn thiếu nợ một số ngân hàng.

(**) Nguồn: báo Công an nhân dân ngày 25/6/2006.

Tăng Minh Phụng 1

Tăng Minh Phụng: Hôm nọ ngồi uống trà đá ở cà phê Phố với mấy bác làm tín dụng đem tiền chính phủ cho bản làng vay đủ, có nghe các bác ấy nói về Tăng Minh Phụng.

Có bác nói rằng Tăng lão gia là 1 tay chí thú làm ăn, quyết tâm vượt khó, 1 anh hùng kinh tế của VN đã ngã xuống trên thương trường. Tăng lão gia rõ ràng có tài, xuất thân tay trắng mà trở nên 1 đại gia lẫy lừng từng tháp tùng bác Sáu đi công du ngoại quốc. Tăng lão gia rõ ràng có công, đã giải quyết công ăn việc làm cho hàng ngàn lao động, đã góp phần làm tăng GDP, đóng thuế nhà nước, là điển hình sự thành đạt của thành phần kinh tế tư nhân trong giai đoạn chuyển đổi, là minh chứng khẳng định tính đúng đắn của chính sách đổi mới của Đảng ta.

Các bác thừa nhận Tăng lão gia đã vi phạm pháp luật, cứ gọi là lừa đảo đi, nhưng mục đích lừa đảo không phải là ăn cắp tiền nhà nước đem đi cá cược bóng đá, đánh bạc Ma Cao hay bao gái chân dài, Tăng lão gia 1 vợ 1 chồng không sợ SIDA, không có Việt Trinh nào sất. Cái gọi là lừa đảo của Tăng lão gia chỉ nhằm mục đích được VAY tiền, với hy vọng sẽ trả sòng phẳng được, dựa trên những tính toán về phương án kinh doanh BĐS, đầu tư cơ sở hạ tầng. Éo le thay, những biến động thị trường, có cả những nguyên nhân từ thay đổi chính sách của Nhà nước (như cắt cầu Vũng Tàu, đem lọc dầu ra Dung Quất) đã khiến cho những bài tính của Tăng lão gia trở nên trật lất, để cuối cùng phải ôm hận ngàn thu.

Các bác còn nói, thị trường BĐS đóng băng rồi tan băng, nguội rồi lại nóng. Khối tài sản của Tăng lão gia đem thế chấp ở các ngân hàng lẽ ra sẽ trả được nợ ngon lành cành đào nếu Tăng lão gia còn sống, còn quản lý được nó.

Cavenui là kẻ hậu sinh, nghe thế biết thế, không có ý kiến gì. Nhưng hôm nay đọc được 1 bài viết, tuy không ca ngợi kẻ bị xử tử Tăng Minh Phụng như mấy bác kia, có những chỗ nói ngược lại, nhưng rải rác cũng thấy có những ý trùng. Xem ra những ý kiến trái chiều kia cũng không hẳn là do các bác say trà đá mà nói nhảm. Nên post lên đây để các bác đọc chơi. Bài viết này là của bác Nguyễn Công Long, em không biết bác Long đang làm gì ở đâu, nhưng bài viết đăng trên số chuyên đề về Bất động sản của Tạp chí Dân chủ và Pháp luật- Bộ Tư pháp.

Kinh doanh bất động sản bằng vốn vay ngân hàng- Kinh nghiệm từ vụ án Minh Phụng-Epco

Nguyễn Công Long

Thực trạng thị trường bất động sản trầm lắng gần đây đã và đang gây nhiều lo lắng cho giới đầu tư và các nhà quản lý, nhất là trong điều kiện phần lớn các nhà đầu tư vào BĐS đều từ nguồn vốn vay ngân hàng. Theo các thông tin chính thức, tổng khoản vay BĐS trên cả nước hiện nay trên 50 ngàn tỷ đồng, chiếm 10% tổng dư nợ tín dụng và chiếm 24% số nợ trung và dài hạn. Trong tổng số nợ trên có đến 70% đang tạm thời "chôn" tại 5 thành phố lớn. Nhiều ý kiến lạc quan cho rằng tình trạng này vẫn hoàn toàn nằm trong tầm kiểm soát, các khoản cho vay BĐS của các ngân hàng không có gì đáng ngại, hơn nữa, thị trường BĐS đang có những dấu hiệu "tan băng", nếu mô hình hóa diễn biến thị trường BĐS bằng đồ thị hình sin, thì có vẻ như nó đã thoát ra khỏi điểm cực tiểu. Tuy nhiên, vẫn rất nhiều ý kiến thận trọng cho rằng bức tranh thị trường BĐS hiện vẫn chưa hết ảm đạm, những tác động tiêu cực của nó tới nền KT là không nhỏ và những nguy cơ hiểm họa từ thị trường này không thể xem thường.

Con số thống kê cho thấy, năm 2003, giao dịch địa ốc thành công giảm 28%, năm 2004 giảm 56% và năm 2005 giảm tới 78%! Thậm chí, có cơ quan còn đưa ra những lời cảnh báo đáng quan ngại. Theo nhận định của Hiệp hội kinh doanh BĐS TP.HCM, nếu cứ kéo dài tình trạng này sẽ có ít nhất hơn 30% doanh nghiệp bị phá sản, hiện tại TP.HCM đã có tới 50% các doanh nghiệp kinh doanh địa ốc trên địa bàn phải đóng cửa, 30% hoạt động cầm chừng, chỉ còn 20% tiếp tục đầu tư kinh doanh. Việc hàng loạt các doanh nghiệp kinh doanh BĐS đổ bể sẽ đẩy các ngân hàng đối diện trở lại với tình trạng nợ xấu chồng chất, điều mà mất cả chục năm, các NHTM hàng đầu của VN phải "vùng vẫy" bằng mọi phương cách mới thoát ra được. Có thể những số liệu trên chưa phải là quá lớn so với tổng cho vay toàn nền KT, nhưng cuộc khủng hoảng KT khu vực Đông Nam Á năm 1997 xuất phát từ Thái Lan đã cho một ví dụ sinh động, người ta đã ví thị trường BĐS tại đó đã vỡ tan như bong bóng xà phòng, hệ quả là sự đổ vỡ hàng loạt của các ngân hàng, kéo cả nền KT lún sâu vào khủng hoảng. Tất nhiên, VN cũng không nằm ngoài tầm ảnh hưởng của cơn địa chấn này. Hẳn rất nhiều người còn nhớ trong thời gian trên, hàng loạt NHTM hàng đầu của nước ta gần như đã đứng trên bờ vực bởi sự sụp đổ của 2 nhóm Minh Phụng và Epco. Vụ án này là 1 minh chứng rất điển hình cho sự sụp đổ của 1 DN kinh doanh BĐS trên quy mô lớn.

Trong bài viết này, xin không nêu lại những tình tiết của vụ án, bởi các hành vi phạm tội của Tăng Minh Phụng và các bị cáo đã được tòa án phán xử, các bị án cũng đã phải chịu những hình phạt nghiêm khắc nhất, vả lại, toàn bộ diễn biến cũng như nội tình vụ án đã được báo chí phân tích, mổ xẻ rất kỹ lưỡng trong thời gian dài. Điều mà chúng tôi mong muốn chia sẻ là liệu qua gần 10 năm, bài học từ vụ án Minh Phụng-Epco có giúp gì cho các nhà quản lý, các nhà đầu tư và hệ thống ngân hàng kinh nghiệm để tháo gỡ ngòi nổ cho "quả bom BĐS" đang treo lơ lửng trên thị trường nước ta hiện nay hay không?

1.Thất bại đến từ sự nóng vội

Vào thời gian năm 1993-1995, qua các phương tiện thông tin đại chúng, người ta có thể thấy Công ty Minh Phụng nổi lên như là 1 "tập đoàn" kinh tế năng động và rất thế lực. Mức độ tăng trưởng và sự bành trướng các lĩnh vực kinh doanh của DN này thể hiện qua số liệu các trang quảng cáo của rất nhiều tờ báo, tạp chí làm cho không ít người kinh ngạc. Thực tế, thì sự cả tin vào tiềm lực của Minh Phụng không phải là không có căn cứ. Hình thành từ những năm đầu thập kỷ 80 của thế kỷ trước, với chức năng chủ yếu là SX, gia công hàng may mặc, giày dép xuất khẩu, giai đoạn đầu Công ty Minh Phụng có những bước phát triển rất ổn định, doanh số có năm lên tới nhiều triệu USD. Tính đến trước khi xảy ra vụ án, Minh Phụng có tới 15 phân xưởng SX gồm 10 phân xưởng may mặc, 1 phân xưởng chuyên ngành nhựa, 1 phân xưởng dệt gòn, 1 phân xưởng bao bì PP, 1 phân xưởng thiết kế mỹ thuật cho hàng hóa ngành may và 1 phân xưởng thiết kế vi tính. Quy mô SX thời điểm cao nhất có trên 9000 lao động. Vào thời gian đó, Minh Phụng không chỉ khẳng định được uy tín trên thị trường mà cả ngoài nước, điều mà ở thời điểm những năm đầu chuyển sang nền KT thị trường, khó tưởng tượng có thể có ở 1 doanh nghiệp tư nhân.

Nếu chỉ có vậy, hẳn người ta sẽ vẫn thấy một Minh Phụng thành đạt trên thương trường. Mọi chuyện bắt đầu kể từ khi Minh Phụng nhảy vào cuộc phiêu lưu kinh doanh địa ốc (khoảng từ 1992 trở đi), cho dù khi đó, hoạt động kinh doanh địa ốc của Minh Phụng bị coi là hoàn toàn bất hợp pháp, vì doanh nghiệp không có chức năng này. Cuộc chơi vô tiền khoáng hậu này thực sự biến Minh Phụng trở thành con bạc lớn, càng chơi càng say, càng say càng thua và càng khát...

Tính về mức độ tăng trưởng, khó có DN nào có thể so sánh được với Minh Phụng. Tính đến đầu năm 1997, ngoài các nhà xưởng SX về ngành may mặc, giày dép, các dây chuyền SX hoàn chỉnh có tới hàng ngàn bộ máy may, tổng danh mục BĐS của Minh Phụng có tới 169 biệt thự, nhà ở, văn phòng các loại; hệ thống nhà xưởng tập trung, kho tàng tại các khu công nghiệp có 78 đơn vị với diện tích trên 1,2 triệu m2; đất chuyên dùng có trên 2,6 triệu m2. Các tài sản trên phân bố khắp địa bàn TP.HCM và các tỉnh Bà Rịa-Vũng Tàu, Bình Dương, Lâm Đồng... Xét ở khía cạnh nào đó, người ta có thể phải thừa nhận Minh Phụng khi đó thực sự là 1 đại gia về địa ốc. Chỉ có điều, khối tài sản khổng lồ này có được không phải nhờ sự thành công của chiến lược kinh doanh, không phải nhờ tiềm lực tự thân của DN này, mà hoàn toàn từ vốn vay ngân hàng. Thực chất, toàn bộ khối tài sản đồ sộ đứng tên Minh Phụng chỉ tồn tại như 1 thứ "con tin", ngay khi ra đời, "giấy khai sinh" của nó (tức là toàn bộ giấy chứng nhận quyền sử dụng, quyền sở hữu) đều lập tức quay trở lại "nhà hộ sinh" (tức các ngân hàng cho vay vốn để Minh Phụng tạo dựng tài sản)! Do sự tăng trưởng quá nóng, đến giai đoạn 1993-1996, có thể nói Minh Phụng đã ở vào thế cưỡi trên lưng cọp. Không khó để hình dung sự khó khăn của Minh Phụng khi phải duy trì, phát triển khối tài sản khổng lồ trên. Trong khi vốn đầu tư cho kinh doanh địa ốc thì "càng nhiều càng ít", nợ vay ngân hàng chồng chất, khả năng sinh lời từ tài sản không thể có được trong ngày một ngày hai. Lẽ dĩ nhiên khi không còn cách nào khác, Tăng Minh Phụng phải lựa chọn phương thức lừa đảo các ngân hàng để có thể tạo vốn. Theo quy định của Ngân hàng Nhà nước vào thời điểm đó, 1 DN chỉ được vay vốn không quá 10% vốn tự có, để có thể có vốn Minh Phụng đã thành lập hàng loạt công ty con, cấu kết với các quan chức ngân hàng sử dụng trên 40 pháp nhân để vay vốn. Tính đến khi xảy ra vụ án, Minh Phụng đã thực hiện trên 60 hợp đồng tín dụng với 7 ngân hàng, trong đó tại 4 ngân hàng lớn: Incombank tổng dư nợ trên 4200 tỷ đồng; Vietcombank (trung ương và chi nhánh TP.HCM) trên 6 triệu USD và hơn 219 tỷ đồng; Eximbank trên 15 triệu USD; Sài Gòn công thương trên 100 tỷ đồng... Với số nợ lớn như vậy, không phải ai khác, chính các con nợ này đã tự ký cho mình bản án tử hình.

Nếu xét về những dấu hiệu tội phạm thông thường, hành vi lừa đảo của Minh Phụng nhằm chiếm đoạt tiền vay của các ngân hàng là không thể bào chữa, nhưng có điều khác biệt ở vị án Minh Phụng-Epco, có vẻ như mục đích của sự chiếm đoạt không phải nhằm cất giấu, nhằm thỏa mãn các nhu cầu của bản thân kẻ lừa đảo. Cho đến nay, hầu như vẫn không ai nói Minh Phụng lừa đảo các ngân hàng nhằm lấy tiền ăn chơi trác táng, đánh bạc, bao gái hay thậm chí mua sắm cho cá nhân. Điều này có vẻ rất khác với những Nguyễn Văn Mười Hai ôm hàng đống tiền lừa đảo và cho những người gửi nhẹ dạ cả tin ngửi mùi khét của "Nước hoa Thanh Hương", khác với Phạm Huy Phước đem cả Tamexco mà thực chất toàn bộ là tài sản nhà nước để ném vào các sòng bài Hồng Kông, Ma Cao v.v và v.v. Hầu như mọi thủ đoạn, mọi phương cách mà Minh Phụng áp dụng dể moi tiền từ các ngân hàng không có mục đích gì khác ngoài việc tiếp tục ném ngay vào cuộc chơi BĐS 5 ăn 5 thua.

Có lẽ chính vì sự khác biệt này mà cho đến nay, hầu hết các nhà phân tích vẫn cho rằng sự sụp đổ của Minh Phụng chủ yếu do các nguyên nhân:

(1) Quá nóng vội muốn trở thành 1 nhà "đại tư sản dân tộc", không muốn mãi chỉ làm 1 anh thợ gia công may mặc, sản xuất giày dép (vốn đang rất ăn nên làm ra);

(2) Sai lầm lớn trong chiến lược kinh doanh, bất chấp sự cấm đoán, ràng buộc về pháp lý, bất chấp nguồn vốn hạn hẹp, lao vào lĩnh vực kinh doanh BĐS- xây dựng trên quy mô lớn với chiêu thức "bóc ngắn cắn dài".

Phải chăng bi kịch lớn nhất của Minh Phụng đó là sự đổ vỡ của những tham vọng hoang tưởng. Như vậy sẽ công bằng hơn nếu có sự đánh giá thật khách quan những yếu tố góp phần làm tan rã "tập đoàn Minh Phụng".

Nhiều người đặt ra câu hỏi vì sao lựa chọn kinh doanh BĐS bằng toàn bộ vốn vay ngân hàng mà Minh Phụng lại tăng trưởng nóng trong thời gian ngắn đến như vậy? Và tại sao, vay đầu tư BĐS mà hầu hết là vay ngắn hạn, vay "nóng"?

Thứ nhất, khoảng thời gian đầu thập kỷ 90 của thế kỷ trước, đã có 1 đợt sốt đất kéo khá dài. Trong khi thị trường BĐS chưa hình thành rõ nét, cơ chế, chính sách về đất đai chưa đồng bộ, tình trạng tranh mua, tranh bán rất phổ biến. Trong bối cảnh đó, cũng giống nhiều DN khác, Minh Phụng mong muốn nhanh chóng chớp thời cơ, tích lũy được càng nhiều đất càng tốt, chờ cơ hội sẽ bán ra được với giá cao hơn. Tuy nhiên, sự tăng trưởng quá nóng vô hình chung đã biến Minh Phụng trở thành 1 "bà hàng xén" về đất đai, la liệt nhà đất khắp nơi mà không biết xoay trở thế nào với nó. Hơn nữa, thời điểm nhận chuyển nhượng là đỉnh điểm của cơn sốt, khi qua cơn sốt thì bán không có người mua. Cha ông ta đã đúc kết "buôn tài không bằng dài vốn", nếu thực sự có khả năng đầu cơ đất đai chờ đến cơn sốt tiếp theo, hẳn là Minh Phụng đã phát tài. Song toàn bộ khối tài sản là từ vốn vay, giả sử có chờ được cơn sốt tiếp theo, thì khoản lợi nhuận thu được cũng khó có thể bù đắp cho số lãi mẹ đẻ lãi con, bi kịch cũng bắt đầu từ đây.

Cũng có ý kiến cho rằng, nếu lựa chọn phương thức xử lý phần tài sản trong vụ án Minh Phụng theo cách khác như bản án đã tuyên là giao hết tài sản cho các ngân hàng quản lý, khai thác, phát mại để thu hồi nợ, có thể kết quả sẽ khác. Thậm chí, có người còn nói nếu cứ để Minh Phụng quản lý số tài sản và tiếp tục triển khai các dự án, thì biết đâu có thể trả đủ được số nợ ngân hàng. Tuy nhiên, nhiều ý kiến vẫn cho rằng, dù có tài ba đến mấy, thì 1 bộ máy như Minh Phụng khó có thể quản lý hết được hàng triệu mét vuông đất chuyên dùng, không thể cùng một lúc triển khai hàng trăm dự án về hạ tầng khắp các tỉnh thành! Thực tế cho thấy, trong hàng chục công ty con của Minh Phụng thực chất là các doanh nghiệp ma không hề có thực, toàn bộ số vốn đều là ảo, giám đốc, kế tóan đều là những người làm thuê, thậm chí đó là những người vốn là bảo vệ, lái xe, lao công. Các công ty này có nhiệm vụ duy nhất được đẻ ra để vay vốn ngân hàng, mọi hoạt động vẫn hoàn toàn do Tăng Minh Phụng điều hành. Như vậy, viễn tưởng về sự thành công của mô hình Minh Phụng là điều không tưởng. Có lẽ, điều có ý nghĩa nhất trong cách thức điều hành, tổ chức hệ thống kinh doanh của Minh Phụng là đã cung cấp trong thực tế mô hình khá hoàn chỉnh về "công ty mẹ-công ty con"- mô hình mà hiện nay nước ta dã áp dụng.

Thứ hai, về hình thức huy động vốn, có người cho Minh Phụng thật điên khùng khi vay ngân hàng để đầu tư vào BĐS mà chủ yếu là vay ngắn hạn với lãi suất cao. Tuy nhiên, vào thời điểm trên, những cơ chế, các quy định về bảo đảm tiền vay rất bó buộc. Để có thể được chấp nhận vay vốn, DN phải có dự án khả thi, có phương án kinh doanh và nhiều yêu cầu nhiêu khê khác. Nếu đáp ứng đủ các yêu cầu này thì thời cơ đầu tư vào BĐS đã qua đi (do sự hỗn loạn mua bán trên thị trường). Do vậy, để chớp thời cơ, Minh Phụng buộc phải chọn giải pháp cố đấm ăn xôi như ở trên. Ngoài ra, để thỏa cơn khát vốn, Minh Phụng còn cấu kết với cán bộ ngân hàng nâng khống giá trị tài sản thế chấp lên nhiều lần. Đến khi xét xử vụ án, Tòa án đã xác định giá trị tài sản thế chấp thấp hơn hàng ngàn tỷ đồng. Minh Phụng đã phải trả giá đắt cho điều này, tuy nhiên, qua đây, các nhà quản lý cũng đã đúc rút được những kinh nghiệm quý, có thể từ đây đã hình thành cơ chế thỏa thuận về giá trị tài sản thế chấp giữa tổ chức tín dụng và bên thế chấp, trao quyền tự chủ, tự chịu trách nhiệm của tổ chức tín dụng mà hiện ta đang áp dụng.

Tuesday, November 21, 2006

Cuộc chiến trên thị trường phân phối

“Cuộc chiến” giành thị phần của các đại gia

TP - Việc Hapro (Tổng Cty Thương mại Hà Nội) khai trương hệ thống gần 40 siêu thị, cửa hàng tiện ích tại Thủ đô ngay sau khi VN gia nhập WTO cho thấy “cuộc chiến” giành thị trường bán lẻ đầy tiềm năng tại Hà Nội của các đại gia đã bắt đầu.

“Cuộc chiến” giành thị trường bán lẻ tại Hà Nội ngày càng gay gắt.

“Cuộc chiến” không cân sức

Hiện tỷ trọng hàng hóa lưu thông qua các kênh phân phối hiện đại tại Hà Nội chiếm trên 10% tổng lượng hàng hóa lưu thông trên địa bàn thành phố. Tỷ lệ này sẽ nhanh chóng thay đổi khi chúng ta đã gia nhập WTO.

Theo ông Vũ Vinh Phú - Chủ tịch Hiệp hội siêu thị Hà Nội, hiện trên địa bàn có khoảng 70 siêu thị, trung tâm thương mại, song hơn 1/3 trong số này chưa đáp ứng được chuẩn mà Bộ Thương mại ban hành.

Đa số các trung tâm thương mại, siêu thị (TTTM, ST) đều có quy mô nhỏ. Hapro- một “đại gia” đầy kinh nghiệm trong hoạt động thương mại hiện có đến 400 điểm bán lẻ nhưng tổng diện tích chỉ đạt 120.000m2, thậm chí có cửa hàng chỉ rộng 8m2.

Ông Nguyễn Hữu Thắng -Tổng Giám đốc Hapro - nêu 4 khó khăn của hệ thống thương mại Hà Nội: Mặt bằng manh mún; vốn ít, thương hiệu chưa mạnh, hạ tầng thương mại yếu kém; tính chuyên nghiệp chưa cao, công nghệ lạc hậu; đặc biệt là tư duy “cửa hàng bách hóa” của thời bao cấp vẫn ăn sâu trong một số cán bộ nhân viên ngành thương mại.

“Nếu chúng ta không có sự liên kết, nhanh chóng đổi mới phù hợp sẽ có thể bị loại khỏi “cuộc chơi” ngay trên sân nhà. Bởi với ưu thế vượt trội về nguồn lực tài chính, kinh nghiệm quản lý…, ngay sau khi đổ bộ vào thị trường Việt Nam, các tập đoàn phân phối lớn nước ngoài sẽ thiết lập các mạng lưới phân phối hiện đại và giành quyền kiểm soát thị trường bán lẻ” - Ông Phú cảnh báo.

Điều cảnh báo của ông Phú là có cơ sở, Hà Nội hiện chỉ có một vài “đại gia” quốc tế song đã làm “chao đảo” thị trường bán lẻ mấy năm lại đây. Chỉ với hai tập đoàn Metro và Bourbon đã chiếm gần 100.000 m2 sàn kinh doanh.

Với số vốn 30.000.000 USD trong thời gian tới, Bourbon sẽ tiếp tục triển khai mở 4-5 đại siêu thị trong chuỗi siêu thị Big C và khoảng 10 siêu thị có diện tích nhỏ hơn tại địa bàn Hà Nội.

Không chỉ “mạnh vì gạo, bạo vì tiền”, các trung tâm thương mại, siêu thị lớn như: Big C; Metro Thăng Long còn có hệ thống hàng hóa đa dạng, các chương trình khuyến mãi lớn, hệ thống quản lý chuyên nghiệp…, đang là những đối thủ cạnh tranh đáng gờm của các siêu thị và hệ thống bán lẻ trên thị trường Hà Nội.

“Trứng” không ngại chọi với “đá”!

Theo Sở Thương mại Hà Nội, tổng mức lưu chuyển hàng hóa (LCHH) và doanh thu dịch vụ trong 10 tháng đầu năm 2006, ước đạt 227.728 tỷ đồng (tăng 20,9% so với cùng kỳ 2005). Trong đó tổng mức LCHH bán lẻ đạt 45.504 tỷ đồng (tăng 21,9% so với cùng kỳ năm 2005).

Riêng chỉ trong tháng 10 vừa qua, tổng mức LCHH và doanh thu dịch vụ trên địa bàn đạt 24.794 tỷ đồng (tăng 2,4% so với tháng 9/2006).

Nhiều doanh nghiệp thương mại Hà Nội đang bước vào cuộc chạy đua nước rút với việc đa dạng mô hình và phương thức kinh doanh như: Hợp tác xã, Cty TNHH, cổ phần, liên doanh - liên kết, nhượng quyền thương mại....

Cty TNHH Phú Thái (Hà Nội), là một nhà phân phối bán buôn tổng hợp do tư nhân đầu tư. Hiện Phú Thái có 6 Cty thành viên, 12 trung tâm phân phối chính và các trung tâm kho vận.

Ngoài ra, Phú Thái còn có 100 nhà phân phối phụ, hàng nghìn đại lý bán sỉ, đại lý bán lẻ; hệ thống các cửa hàng trọng điểm...

Lãnh đạo Phú Thái tin tưởng rằng, với lợi thế kinh doanh trên sân nhà, am hiểu thị hiếu tập quán mua sắm của người dân, trong thời gian tới họ sẽ đẩy mạnh hệ thống phân phối bán lẻ trong toàn quốc.

Hapro cũng đang “lột xác”. Ngày 11/11 vừa qua Tổng Cty này đã đồng loạt khai trương gần 40 siêu thị, cửa hàng tiện ích, cửa hàng chuyên doanh. Đây được xem là bước đột phá trong công nghệ kinh doanh của Cty này. Ông Thắng tự tin: Chúng tôi có thế mạnh mà các đại gia quốc tế không có. Ví như, mặt bằng kinh doanh, đặc biệt là thói quen và tâm lý tiêu dùng.

Trên thực tế, cho dù phát triển rất mạnh nhưng hệ thống phân phối đại siêu thị cũng chỉ đạt xấp xỉ 20%-25% tổng lượng hàng hóa luân chuyển. Vì vậy cánh cửa cho hệ thống bán lẻ còn khá rộng.

Hiện Hapro đang gấp rút đầu tư hàng loạt các trung tâm thương mại với số vốn đầu tư lên đến hàng ngàn tỷ đồng như: Trung tâm thương mại Cát Linh; trung tâm thương mại tại 173 Xuân Thủy; 102 Thái Thịnh và 172 Ngọc Khánh, dự kiến cuối năm nay sẽ hoàn thành, đưa vào sử dụng.

Monday, November 20, 2006

Apec - Gala Dinner ở Văn Miếu

Ga la đin nờ
Nói nôm na là đãi tiệc

Bè lũ doanh nhân
Tiếng tây bồi gọi là xi ì âu
Đúng ngày đúng giờ như lũ ruồi bâu
Văn Miếu

Ngày xưa vua to quan bự đến đâu
Đến bia "Hạ mã" là xuống đi bộ
Ngày nay vì nguy cơ khủng bố
Xe chống đạn nếu không sợ xước sơn
Chắc cũng rúc vào tận
Đại Trung Môn

Thực đơn có món tôm
bao mía và tẩm bột
độn hàng tấn phụ gia
mà vẫn còi như con tép
Mỗi xi ì âu một bát phở gà
bé như bát ăn trứng lộn

Giấy mời phát ra bừa bộn
Khách đến nhiều gấp đôi số suất ăn
Bát phở gà phải chia
Mỗi xi ì âu đâu như được một thìa
húp vội

Cũng may từ ngay chiều tối
người ta đã lùa dân vào nhà đóng cửa lại cả rồi
nên không mấy ai được mục kích cảnh các ông tây bà đầm bị đói
để mà cười mà khóc mà vỗ tay

Khuê Văn Các, ngẩng, cao thay
Thiên Quang Tỉnh, cúi, thấy đầy giấy ăn

(Nhất Thân Tầm)

Thursday, November 16, 2006

Tâm sự dân bảo mật - 3

Những ai làm việc trong ngành CNTT ở VN chắc hẳn đều biết mối thâm thù theo kiểu “con gà tức nhau tiếng gáy” giữa VASC và FPT. Nguyễn Anh Tuấn cứ tựa như Thủy Tinh mỗi năm lại kéo quân khiêu chiến trên hàng loạt mặt trận khác nhau với tên Sơn Tinh - Trương Gia Bình vì hắn đã nhanh tay giành lấy “nàng Mỵ Nương màu mỡ” của mình là thị trường ICT ở VN.

Đầu tiên phải kế đến mặt trận báo chí tuyên truyền với sự góp mặt của hai chiến sĩ VietnamNet và VnExpress. Đứng trước tình hình VnExpress độc chiếm thị trường tin tức trực tuyến, VASC quyết định đầu tư tối đa để biến VietnamNet thành một đối trọng “ngang tài ngang sức”. Cả hai cơ quan ngôn luận của hai đại gia này thi nhau lăng xê bản thân nhưng cũng không quên nhiệm vụ không kém phần quan trọng là nhục mạ và hạ thấp uy tín đối thủ, việc làm mà VietnamNet có phần thông thạo và chuyên tâm hơn. “ADSL của FPT, treo đầu dê...!?”, “Đại học FPT và Bộ GD-ĐT: Tiến 0 bước!”, “FPT có được tiếp tục kinh doanh ADSL?”, “Liệu VinaGame sẽ kiện FPT?”, “FPT Telecom: Kiện chúng tôi đâu có dễ!”...là một vài bài viết có liên quan đến FPT được đăng tải trên VietnamNet. VnExpress “hiền lành” hơn trên mặt trận này không phải vì họ chơi đẹp mà đơn giản vì trong sơ đồ tổ chức của FPT, Trương Gia Bình không tực tiếp tác động đến VnExpress như cách mà Nguyễn Anh Tuấn đã làm với VietnamNet. “Ôi trời, hơi sức đâu mà quan tâm đến mấy tờ lá cải này”, một anh bạn đồng nghiệp ở Tuổi Trẻ từng nói với tôi như thế. Lá cải hay không thì hãy để độc giả của nó đánh giá nhưng chắc chắn chúng được sinh ra chẳng phải để đưa tin khách quan phục vụ cho cộng đồng mà chỉ đưa tin theo chiều hướng có lợi cho những người chủ của mình.

Thị trường game online là mặt trận thứ hai mà FPT và VASC đang “cày bừa” dữ dội. Việc FPT bỏ ra vài triệu USD để độc quyền kinh doanh game MUOnline tại VN chính là đòn chí mạng giáng vào dự án “MUOnline – Thế giới diệu kì” mà VASC đã dày công đầu tư thử nghiệm hơn 1 năm trời tại địa chỉ http://mu.vietnamnet.vn. VASC liền đáp trả bằng cách tung ra RYL còn FPT cũng nhanh chân tung thêm PTV. Như hai con thú ngu ngốc say đòn, cả hai nhào vào cắn xé lẫn nhau, vô tình những công ti khác như VinaGame được dịp “tọa sơn quan hổ đấu” để rồi nhanh chóng chiếm lấy thị phần với VLTK.

Chuyện gì xảy ra trước đó khiến cho FPT sẵn sàng bỏ ra 2,9 triệu USD để trả đũa VASC? Câu trả lời chính là bàn tay của VASC trong sự kiện iCMS. Trước năm 2004, Trí Tuệ Việt Nam được xem là “con gà đẻ trứng vàng” của FPT. Ấy, đừng vội nghĩ “trứng vàng” ở đây là các nhân tài đã được phát hiện từ cuộc thi này, các bác FPT không tốt đến thế đâu. Mang danh là cuộc thi tìm kiếm nhân tài nhưng bản chất của Trí Tuệ Việt Nam là nơi để FPT và đồng bọn, thông qua uy tín và tầm ảnh hưởng của cuộc thi, lăng xê những người “biết điều” hay là “con cháu các cụ cả” bất kể những người này có thực tài hay không. Sau khi được lăng xê, các phần mềm mà những “ngôi sao” này làm ra hay chôm về sẽ được nâng giá lên cho đúng tầm “Trí Tuệ Việt Nam” rồi đem bán với giá “cắt tiết”. Bạn và tôi, những người đã đầu tư chất xám và tuổi trẻ của mình cho cuộc thi này, chỉ đơn giản là những con tốt trên một bàn cơ mà người ta đã bày ra từ trước khi chúng ta có mặt. Dẫu có giết được nhiều quân địch, tốt cũng sẽ chẳng bao giờ được “vinh qui bái tổ” bởi lẽ từ ngàn xưa, chỉ có “trạng” mới được vinh danh mà thôi. Danh tiếng chỉ là phù du, điều chúng ta thật sự cần là một sự công bằng nhưng rất tiếc hai từ này chưa có trong qui chế của cuộc thi Trí Tuệ Việt Nam. Ơn trời, nhờ có “đại ca” Nguyễn Anh Tuấn mà sự thật về Trí Tuệ Việt Nam đã được phơi bày.

Chắc hẳn các bạn còn nhớ, khi Chợ Điện Tử bị tấn công, Nguyễn Hòa Bình, giám đốc PeaceSoft, đã bị chỉ đích danh là starcraft, người đã khơi mào sự kiện iCMS. Tôi chắc chắn rằng người tấn công Peacesoft, cũng là kẻ đã tấn công www.tintucvietnam.com ngày nào, chính là Nguyễn Quang Huy a.k.a HuyRemy. Có 3 luận cứ để chứng minh điều này:

Như đã phân tích ở bài trước, www.tintucvietnam.com bị tấn công vào hệ thống tên miền. HuyRemy, người được mệnh danh là “chuyên gia domain học”, thời điểm năm 2004 đang làm thuê cho Nguyễn Hòa Bình, chắc chắn đã được Nguyễn Hòa Bình nhờ thực hiện phi vụ đó, bởi lẽ trong tay Nguyễn Hòa Bình, ngoài HuyRemy ra, người biết rõ các lổ hổng của EveryDNS, không ai thích hợp hơn.

Trong vụ tấn công vào Chợ Điện Tử, kẻ tấn công cho thấy mình là người hiểu rất rõ và rất căm ghét Nguyễn Hòa Bình. HuyRemy đã từng thú nhận mình hoàn toàn có khả năng tấn công vào Chợ Điện Tử (điều này cũng không có gì lạ, bởi lẽ HuyRemy tham gia phát triển Chợ Điện Tử từ những ngày đầu). HuyRemy cũng đã từng bị Nguyễn Hòa Bình, chơi chiêu “qua cầu rút ván”, rồi còn vu cáo HuyRemy trộm đồ ở Peacesoft.

Chỉ có HuyRemy, người được Nguyễn Hòa Bình thuê thực hiện vụ tấn công năm xưa, mới biết rõ Nguyễn Hòa Bình chính là starcraft.

Như vậy đã rõ, Nguyễn Hòa Bình chính là nhân vật khơi mào vụ iCMS, còn HuyRemy là người thực hiện vụ tấn công www.tintucvietnam.com để gây dư luận. Nhưng như thế là chưa đủ, Không thể buộc tội Vương Vũ Thắng và đồng bọn chỉ bằng một bài viết của starcraft! Vả lại, “chạy giải” là một cái tội khó tìm được bằng chứng, ban tổ chức sẽ sẵn sàng bao che cho Vương Vũ Thắng để bảo vệ uy tín của mình. Nguyễn Hòa Bình biết rõ điều này nên đã kêu thêm chi viện và chắc hẳn đến thời điểm này các bạn đều đã rõ quân chi viện là ai: VASC do Nguyễn Anh Tuấn dẫn đầu. Nguyễn Hòa Bình đã tìm đúng người. Hạ gục Vương Vũ Thắng là một mũi tên trúng nhiều đích mà Nguyễn Anh Tuấn đã muốn bắn từ lâu:

Giảm uy tín cuộc thi Trí Tuệ Việt Nam, nghĩa là giảm uy tín của FPT, đối thủ không đội trời chung của VASC. Đưa Nhân tài đất Việt, cuộc thi cho công ti mẹ của VASC là VNPT tổ chức thay thế vào vị trí của Trí Tuệ Việt Nam để từ đó dễ bề thao túng thị trường “nhân tài”.

VASC, viết tắt của Vietnam Advanced Software Company, là một công ti làm phần mềm, do đó nếu Vinacomm của Vương Vũ Thắng mất uy tín và thương hiệu thì VASC sẽ có cơ hội nhảy vào “cắn” miếng bánh béo bở mà họ Vương để lại.

Rõ ràng cho đến thời điểm hiện tại, Nguyễn Anh Tuấn đã đạt được mục tiêu của mình. Vậy VASC đã chi viện cho Nguyễn Hòa Bình bằng cách nào? Tôi sẽ không nói cho các bạn nghe mà để cho các bạn tự suy luận với một vài gợi ý như sau:

Cách duy nhất để hạ gục Vương Vũ Thắng là phải đạt được sự đồng lòng từ phía cộng đồng, sử dụng cộng đồng như là một công cụ để gây ra một sức ép kinh khủng buộc ban tổ chức phải xử lí rốt ráo vụ iCMS.

Để tạo sự đồng lòng từ cộng đồng, phải chứng minh được iCMS là đồ ăn cắp.

Muốn chứng minh iCMS là đồ ăn cắp, phải có được mã nguồn của nó.

http://www.vtv.vn, một website sử dụng iCMS, được đặt tại VASC từ năm 2004 cho đến nay.

Sao rồi, bạn đã nghiệm ra chưa?

(còn tiếp)

Tâm sự dân bảo mật - 2

Tháng 3/2004, tôi nghỉ ở FPT, chuyển qua làm trợ lý IT cho bác Hồ Huy ở MaiLinh Taxi. MaiLinh Taxi là một doanh nghiệp tương đối lớn, tuy nhiên, như nhiều doanh nghiệp khác ở VN, đối với MaiLinh thì IT vẫn chỉ là một thứ đồ trang sức, khoác lên mình cho bằng chị bằng em. Đôi khi họ cũng có ý muốn áp dụng IT vào sản xuất, kinh doanh nhưng lại không chịu đầu tư. Chẳng có gì hấp dẫn để kể khi làm ở MaiLinh. Điều duy nhất còn đọng lại trong kí ức của tôi là lương cao nhưng suốt ngày ngồi không, không có gì để làm. Tôi cần một việc làm chứ không (chưa) cần tiền!

Khoảng đầu tháng 9/2004, anh Giáp giới thiệu tôi với anh Nhã, khi đó đang cần tìm người làm bảo mật cho ngân hàng. Những ấn tượng không tốt về việc áp dụng IT trong doanh nghiệp VN khi còn làm ở MaiLinh đã khiến tôi khá e dè trước lời đề nghị của anh Nhã. Tôi dự tính sẽ quay trở lại Tuổi Trẻ viết báo và dành nhiều thời gian hơn cho việc học ở trường. Rồi anh Nhã “ra đòn” quyết định: mời tôi đến Trung tâm Điện Toán, nơi tôi đang làm việc bây giờ. “IT chính là xương sống của ngân hàng, ban TGD đã quyết định lấy công nghệ để cạnh tranh và chiến thắng các ngân hàng khác. Em về đây làm thì sẽ được tạo điều kiện tối đa để phát huy hết khả năng của mình. Em sẽ được làm việc trực tiếp, quản lí hết tất cả những gì em thấy ở đây”, anh Nhã vừa nói vừa chỉ cho tôi xem hệ thống máy chủ, thiết bị và sơ đồ mạng của ngân hàng. Quá đã! Lần đầu tiên trong đời tôi mới thấy cái Cisco PIX Firewall hình dáng nó ra sao :p. Vài ngày sau, tôi gọi điện cho anh Nhã, nhận lời offer của ảnh. Nhiệm vụ còn lại của anh Nhã là thuyết phục ban TGD chấp nhận tôi, một sinh viên chưa tốt nghiệp, chẳng có bằng cấp gì hết, lại chỉ làm part-time, giữ “kho vàng” cho họ. Tháng 11/2004, tôi chính thức làm việc ở ngân hàng. Trước khi kể về công việc này, tôi nghĩ sẽ là một thiếu sót lớn nếu không nhắc đến cuộc thi Trí Tuệ Việt Nam (TTVN) năm 2004 và sự kiện iCMS cuối năm đó.

Tôi biết đến cuộc thi TTVN ngay từ lần tổ chức đầu tiên năm 2000, cũng là năm tôi có được chiếc máy tính đầu tiên cho riêng mình. Đêm trao giải năm đó tôi thật sự choáng ngợp trước những gì diễn ra trên tivi. Trời ơi quá hào nhoáng, quá vinh dự, nói chung là quá đã! Chắc hẳn rất nhiều bạn trẻ đã có chung ước mơ với tôi: tham dự và giành chiến thắng cuộc thi này. Tại sao không? Thế là ngay từ lúc đó, tôi đã quyết định sẽ học và làm việc trong ngành IT. Bill Gates trở thành thần tượng của tôi (hehe he's not anymore!). Tôi mơ một ngày nào đó mình sẽ làm ra một phần mềm vĩ đại nào đó, chẳng cần biết nó là phần mềm gì, rồi đem dự thi TTVN, đoạt giải nhất và trở thành tỉ phú nhờ việc bán phần mềm đó haha. Có vẻ như mọi thứ đang dần trở thành sự thật khi năm 2002, tôi thi đậu vào khoa CNTT trường ĐHBK Tp.HCM, rồi bắt đầu đi làm như đã kể ở trên. Điều duy nhất mà tôi chưa làm là tham gia và chiến thắng cuộc thi TTVN. Mỗi năm trôi qua, hễ đến ngày 01/01 là tôi lại tự nhủ lòng là năm sau mình nhất định sẽ tham gia cuộc thi này. Năm này qua năm khác, đến tận cuối tháng 10/2004 tôi vẫn chưa làm ra được một phần mềm nào độc đáo khả dĩ có thể đem đi dự thi cả. Ngay thời điểm tôi nghĩ rằng mình sẽ lại bỏ lỡ cuộc thi năm đó thì ý tưởng chợt đến.

marmiro, biệt danh founder của SMSec, lần đầu tiên nghĩ ra ý tưởng về SMSec vào ngày 20/10/2004 khi đang xem trận đấu cúp C1 giữa Barcelona và AC Milan. Lúc bấy giờ bản thân marmiro rất tự hào vì nghĩ rằng mình là người đầu tiên trên thế giới nghĩ ra giải pháp định danh người dùng thông qua SMS. Tuy nhiên, sáng hôm sau khi thử tìm trên Internet với từ khóa “two-factor authentication with SMS”, marmiro mới biết rằng thật sự đã có ít nhất 3 sản phẩm thương mại thực hiện ý tưởng này.

Đó là một đoạn trích trong tài liệu giới thiệu giải pháp SMSec mà tôi đem dự thi TTVN 2004. Tôi nghĩ ra ý tưởng này vào ngày 20/10, trong khi đó hạn chót nộp bài dự thi là ngày 05/11, nghĩa là tôi chỉ có 15 ngày để hoàn thành sản phẩm. Tôi lao vào làm việc như điên. Trong nửa tháng đó, tôi lộn ngược Internet để tìm dữ liệu cho gần 100 trang tài liệu giới thiệu SMSec (và SMSoogle). Cùng với Huy, tôi tìm mua thiết bị, thiết kế kiến trúc, lập trình và kiểm tra hơn 10.000 dòng lệnh cho SMSec. Thật hạnh phúc khi được làm những việc mình thích. Khi nộp bài vào ngày cuối cùng, tôi vẫn chưa tin là mình đã làm được. I did it! Tôi nghiệm ra rằng mỗi con người đều có sức mạnh tiềm tàng mà nếu như được kích thích đúng chỗ thì họ có thể hoàn thành bất cứ việc gì! Đừng bao giờ ngừng ước mơ, đừng bao giờ tuyệt vọng! Chính ước mơ và hi vọng sẽ cho ta sức mạnh để vượt qua hết tất cả những khó khăn thấy được và không thấy được, biến không thể thành có thể!

Slogan của cuộc thi TTVN là “Chỉ cần một ý tưởng”, do đó mặc dù SMSec chỉ là bản demo nhưng tôi vẫn hi vọng BGK sẽ đánh giá cao ý tưởng cốt lõi mà tôi muốn trình bày: xác thực hai lớp bằng SMS. Tôi không hi vọng mình sẽ được giải nhất, được vào vòng chung kết là mãn nguyện lắm rồi. Hi vọng đó càng được củng cố khi một ngày giữa tháng 11/2004, BGK gọi tôi lên công ti FSoft để trình bày cho họ nghe về sản phẩm của tôi. Chưa bao giờ tôi có nhiều hi vọng như vậy. Tôi vào website http://www.ttvn.com.vn hàng chục lần mỗi ngày, tôi tham gia tích cực trên diễn đàn, nơi có một topic nhan đề “Chạy giải TTVN có khó không?” của starcraft mà tôi cũng có tham gia tranh luận thời gian đầu. Càng đến gần ngày công bố những sản phẩm vào vòng chung kết, tôi càng hồi hộp. Chắc anh Việt là người biết rõ nhất điều này bởi lẽ tôi gọi điện hàng ngày cho ảnh để hỏi thăm tin tức. Rồi một buổi tối anh Việt báo cho tôi biết SMSec đã bị loại. Tôi không thể nhớ là mình đã thất vọng đến cỡ nào, chỉ nhớ là tôi chưa bao giờ buồn như vậy, may mà còn có em an ủi và chia sẻ. Tối hôm đó tôi đi ngủ sớm, không ngờ rằng lúc đó xảy ra một sự kiện động trời: website www.tintucvietnam.com bị defaced với nội dung là bài viết “Chạy giải TTVN có khó không?”. Sáng thức dậy, tin nhắn tràn ngập điện thoại của tôi. Anh Việt báo cho tôi biết là BTC đang nghi ngờ tôi là thủ phạm. WTF? Chuyện khỉ gì đang xảy ra vậy trời? Những gì diễn ra tiếp theo đã trở thành một phần lịch sử không thể nào quên được của giới IT VN (tôi không nhớ chính xác ngày tháng, nên chỉ kể theo thứ tự thời gian các sự kiện xảy ra kèm theo các suy luận chủ quan của mình).

Bài viết của starcraft đưa ra một số chứng cứ cho thấy giải nhất mà iCMS, phần mềm đang được sử dụng tại www.tintucvietnam.com và www.vtv.vn, đoạt được năm 2003 là do Vương Vũ Thắng, giám đốc Vinacomm, công ti chủ quản iCMS, chạy chọt mà có. Nhóm hacker vì bất bình với chuyện này mà quyết định deface website www.tintucvietnam.com và www.vinacomm.com.vn để “dằn mặt” BTC, yêu cầu BTC phải điều tra, xử lí những kiến nghị của starcraft. Nhóm hacker này cũng tuyên bố là đã tấn công vào www.tintucvietnam.com bằng cách khai thác lỗi bảo mật của iCMS. Mã nguồn của iCMS sau đó được phát tán rộng rãi trên Internet và một nhóm lập trình viên đứng đầu là anh Dương Vi Khoa ở ddth.com đang tiến hành phân tích mã nguồn này và râm ran đâu đó lời đồn đại rằng iCMS giống đến 90% mã nguồn của một phần mềm mã nguồn mở. Sở dĩ BTC nghi ngờ tôi là vì họ cho rằng tôi cay cú việc không được vào chung kết, kiểu “ăn không được, phá cho hôi”. Họ lập luận rằng trong số các sản phẩm thuộc diện vào vòng chung kết mà bị loại ra vào giờ chót, có sản phẩm của tôi, của anh kh0aimi nên họ cho rằng chắc chắn HVA đứng đằng sau vụ tấn công này. Trước đó tôi cũng có tham gia tranh luận trong topic “Chạy giải TTVN có khó không?” trên diễn đàn với lời lẽ khá gay gắt về việc chơi xấu của iCMS. E hèm, tối hôm đó con buồn quá nên lăn ra ngủ khò khò các bố ơi! Để thanh minh cho mình, tôi quyết định tìm hiểu xem chuyện gì đã xảy ra.Việc đầu tiên cần phải làm là xác định xem đám hacker đã tấn công cái website www.tintucvietnam.com bằng cách nào. Không khó để đưa ra kết luận: server của www.tintucvietnam.com không hề bị xâm nhập, bọn hacker chỉ tấn công thay đổi DNS để trỏ hostname www.tintucvietnam.com đến một IP khác mà thôi. Có ba luận cứ để chứng minh điều này:

Tại VN, hình ảnh vụ tấn công chỉ được nhìn thấy khi đi qua một proxy. Nếu tấn công trực tiếp vào server thì sẽ có hiệu quả tức thời, không cần phải đi qua proxy mới thấy.

Nếu bọn hacker thật sự tấn công bằng cách khai thác lỗi của iCMS thì ngay sau khi www.tintucvietnam.com sẽ bị tấn công tiếp ngay sau khi hoạt động trở lại. Website chính thức của cuộc thi là www.ttvn.com.vn cũng sử dụng iCMS, nếu iCMS có lỗi thì bọn hacker đã chọn tấn công www.ttvn.com.vn hơn là www.tintucvietnam.com

www.tintucvietnam.com sử dụng dịch vụ DNS của EveryDNS và theo tôi được biết thì EveryDNS có rất nhiều lổ hổng bảo mật. Tôi suy đoán là domain www.tintucvietnam.com từ lâu đã nằm trong quyền kiếm soát của một vài người và chỉ hôm nay họ mới thực hiện vụ tấn công này.

Thế nhưng mã nguồn iCMS đã bị đánh cắp, bằng chứng là nó đã được phát tán trên Internet. Nếu server của www.tintucvietnam.com không bị xâm nhập thì làm thế nào bọn hacker chôm được mã nguồn iCMS? Để trả lời câu hỏi đó, tôi cần phải tìm hiểu ai đứng ngoài sau vụ tấn công. Hóa ra việc này không khó như tôi nghĩ, bởi mọi ngã đường để dẫn về đám HuyRemy + MicrosoftVN + (một số nhân vật khác). “Ông bự” đứng ngoài sau vụ này chắc chắn là VASC (bự hơn một chút nữa thì phải kể đến chủ quản của VASC là VNPT). Sự kiện Chợ Điện Tử mới xảy ra vừa rồi càng khẳng định suy luận của tôi là đúng. Này nhé, mọi người hãy xem tôi suy luận xem có hợp lý không nhen.

(còn tiếp)

Blog của Khôi !