Khoảng đầu tháng 9/2004, anh Giáp giới thiệu tôi với anh Nhã, khi đó đang cần tìm người làm bảo mật cho ngân hàng. Những ấn tượng không tốt về việc áp dụng IT trong doanh nghiệp VN khi còn làm ở MaiLinh đã khiến tôi khá e dè trước lời đề nghị của anh Nhã. Tôi dự tính sẽ quay trở lại Tuổi Trẻ viết báo và dành nhiều thời gian hơn cho việc học ở trường. Rồi anh Nhã “ra đòn” quyết định: mời tôi đến Trung tâm Điện Toán, nơi tôi đang làm việc bây giờ. “IT chính là xương sống của ngân hàng, ban TGD đã quyết định lấy công nghệ để cạnh tranh và chiến thắng các ngân hàng khác. Em về đây làm thì sẽ được tạo điều kiện tối đa để phát huy hết khả năng của mình. Em sẽ được làm việc trực tiếp, quản lí hết tất cả những gì em thấy ở đây”, anh Nhã vừa nói vừa chỉ cho tôi xem hệ thống máy chủ, thiết bị và sơ đồ mạng của ngân hàng. Quá đã! Lần đầu tiên trong đời tôi mới thấy cái Cisco PIX Firewall hình dáng nó ra sao :p. Vài ngày sau, tôi gọi điện cho anh Nhã, nhận lời offer của ảnh. Nhiệm vụ còn lại của anh Nhã là thuyết phục ban TGD chấp nhận tôi, một sinh viên chưa tốt nghiệp, chẳng có bằng cấp gì hết, lại chỉ làm part-time, giữ “kho vàng” cho họ. Tháng 11/2004, tôi chính thức làm việc ở ngân hàng. Trước khi kể về công việc này, tôi nghĩ sẽ là một thiếu sót lớn nếu không nhắc đến cuộc thi Trí Tuệ Việt Nam (TTVN) năm 2004 và sự kiện iCMS cuối năm đó.
Tôi biết đến cuộc thi TTVN ngay từ lần tổ chức đầu tiên năm 2000, cũng là năm tôi có được chiếc máy tính đầu tiên cho riêng mình. Đêm trao giải năm đó tôi thật sự choáng ngợp trước những gì diễn ra trên tivi. Trời ơi quá hào nhoáng, quá vinh dự, nói chung là quá đã! Chắc hẳn rất nhiều bạn trẻ đã có chung ước mơ với tôi: tham dự và giành chiến thắng cuộc thi này. Tại sao không? Thế là ngay từ lúc đó, tôi đã quyết định sẽ học và làm việc trong ngành IT. Bill Gates trở thành thần tượng của tôi (hehe he's not anymore!). Tôi mơ một ngày nào đó mình sẽ làm ra một phần mềm vĩ đại nào đó, chẳng cần biết nó là phần mềm gì, rồi đem dự thi TTVN, đoạt giải nhất và trở thành tỉ phú nhờ việc bán phần mềm đó haha. Có vẻ như mọi thứ đang dần trở thành sự thật khi năm 2002, tôi thi đậu vào khoa CNTT trường ĐHBK Tp.HCM, rồi bắt đầu đi làm như đã kể ở trên. Điều duy nhất mà tôi chưa làm là tham gia và chiến thắng cuộc thi TTVN. Mỗi năm trôi qua, hễ đến ngày 01/01 là tôi lại tự nhủ lòng là năm sau mình nhất định sẽ tham gia cuộc thi này. Năm này qua năm khác, đến tận cuối tháng 10/2004 tôi vẫn chưa làm ra được một phần mềm nào độc đáo khả dĩ có thể đem đi dự thi cả. Ngay thời điểm tôi nghĩ rằng mình sẽ lại bỏ lỡ cuộc thi năm đó thì ý tưởng chợt đến.
marmiro, biệt danh founder của SMSec, lần đầu tiên nghĩ ra ý tưởng về SMSec vào ngày 20/10/2004 khi đang xem trận đấu cúp C1 giữa Barcelona và AC Milan. Lúc bấy giờ bản thân marmiro rất tự hào vì nghĩ rằng mình là người đầu tiên trên thế giới nghĩ ra giải pháp định danh người dùng thông qua SMS. Tuy nhiên, sáng hôm sau khi thử tìm trên Internet với từ khóa “two-factor authentication with SMS”, marmiro mới biết rằng thật sự đã có ít nhất 3 sản phẩm thương mại thực hiện ý tưởng này.
Đó là một đoạn trích trong tài liệu giới thiệu giải pháp SMSec mà tôi đem dự thi TTVN 2004. Tôi nghĩ ra ý tưởng này vào ngày 20/10, trong khi đó hạn chót nộp bài dự thi là ngày 05/11, nghĩa là tôi chỉ có 15 ngày để hoàn thành sản phẩm. Tôi lao vào làm việc như điên. Trong nửa tháng đó, tôi lộn ngược Internet để tìm dữ liệu cho gần 100 trang tài liệu giới thiệu SMSec (và SMSoogle). Cùng với Huy, tôi tìm mua thiết bị, thiết kế kiến trúc, lập trình và kiểm tra hơn 10.000 dòng lệnh cho SMSec. Thật hạnh phúc khi được làm những việc mình thích. Khi nộp bài vào ngày cuối cùng, tôi vẫn chưa tin là mình đã làm được. I did it! Tôi nghiệm ra rằng mỗi con người đều có sức mạnh tiềm tàng mà nếu như được kích thích đúng chỗ thì họ có thể hoàn thành bất cứ việc gì! Đừng bao giờ ngừng ước mơ, đừng bao giờ tuyệt vọng! Chính ước mơ và hi vọng sẽ cho ta sức mạnh để vượt qua hết tất cả những khó khăn thấy được và không thấy được, biến không thể thành có thể!
Slogan của cuộc thi TTVN là “Chỉ cần một ý tưởng”, do đó mặc dù SMSec chỉ là bản demo nhưng tôi vẫn hi vọng BGK sẽ đánh giá cao ý tưởng cốt lõi mà tôi muốn trình bày: xác thực hai lớp bằng SMS. Tôi không hi vọng mình sẽ được giải nhất, được vào vòng chung kết là mãn nguyện lắm rồi. Hi vọng đó càng được củng cố khi một ngày giữa tháng 11/2004, BGK gọi tôi lên công ti FSoft để trình bày cho họ nghe về sản phẩm của tôi. Chưa bao giờ tôi có nhiều hi vọng như vậy. Tôi vào website http://www.ttvn.com.vn hàng chục lần mỗi ngày, tôi tham gia tích cực trên diễn đàn, nơi có một topic nhan đề “Chạy giải TTVN có khó không?” của starcraft mà tôi cũng có tham gia tranh luận thời gian đầu. Càng đến gần ngày công bố những sản phẩm vào vòng chung kết, tôi càng hồi hộp. Chắc anh Việt là người biết rõ nhất điều này bởi lẽ tôi gọi điện hàng ngày cho ảnh để hỏi thăm tin tức. Rồi một buổi tối anh Việt báo cho tôi biết SMSec đã bị loại. Tôi không thể nhớ là mình đã thất vọng đến cỡ nào, chỉ nhớ là tôi chưa bao giờ buồn như vậy, may mà còn có em an ủi và chia sẻ. Tối hôm đó tôi đi ngủ sớm, không ngờ rằng lúc đó xảy ra một sự kiện động trời: website www.tintucvietnam.com bị defaced với nội dung là bài viết “Chạy giải TTVN có khó không?”. Sáng thức dậy, tin nhắn tràn ngập điện thoại của tôi. Anh Việt báo cho tôi biết là BTC đang nghi ngờ tôi là thủ phạm. WTF? Chuyện khỉ gì đang xảy ra vậy trời? Những gì diễn ra tiếp theo đã trở thành một phần lịch sử không thể nào quên được của giới IT VN (tôi không nhớ chính xác ngày tháng, nên chỉ kể theo thứ tự thời gian các sự kiện xảy ra kèm theo các suy luận chủ quan của mình).
Bài viết của starcraft đưa ra một số chứng cứ cho thấy giải nhất mà iCMS, phần mềm đang được sử dụng tại www.tintucvietnam.com và www.vtv.vn, đoạt được năm 2003 là do Vương Vũ Thắng, giám đốc Vinacomm, công ti chủ quản iCMS, chạy chọt mà có. Nhóm hacker vì bất bình với chuyện này mà quyết định deface website www.tintucvietnam.com và www.vinacomm.com.vn để “dằn mặt” BTC, yêu cầu BTC phải điều tra, xử lí những kiến nghị của starcraft. Nhóm hacker này cũng tuyên bố là đã tấn công vào www.tintucvietnam.com bằng cách khai thác lỗi bảo mật của iCMS. Mã nguồn của iCMS sau đó được phát tán rộng rãi trên Internet và một nhóm lập trình viên đứng đầu là anh Dương Vi Khoa ở ddth.com đang tiến hành phân tích mã nguồn này và râm ran đâu đó lời đồn đại rằng iCMS giống đến 90% mã nguồn của một phần mềm mã nguồn mở. Sở dĩ BTC nghi ngờ tôi là vì họ cho rằng tôi cay cú việc không được vào chung kết, kiểu “ăn không được, phá cho hôi”. Họ lập luận rằng trong số các sản phẩm thuộc diện vào vòng chung kết mà bị loại ra vào giờ chót, có sản phẩm của tôi, của anh kh0aimi nên họ cho rằng chắc chắn HVA đứng đằng sau vụ tấn công này. Trước đó tôi cũng có tham gia tranh luận trong topic “Chạy giải TTVN có khó không?” trên diễn đàn với lời lẽ khá gay gắt về việc chơi xấu của iCMS. E hèm, tối hôm đó con buồn quá nên lăn ra ngủ khò khò các bố ơi! Để thanh minh cho mình, tôi quyết định tìm hiểu xem chuyện gì đã xảy ra.Việc đầu tiên cần phải làm là xác định xem đám hacker đã tấn công cái website www.tintucvietnam.com bằng cách nào. Không khó để đưa ra kết luận: server của www.tintucvietnam.com không hề bị xâm nhập, bọn hacker chỉ tấn công thay đổi DNS để trỏ hostname www.tintucvietnam.com đến một IP khác mà thôi. Có ba luận cứ để chứng minh điều này:
- Tại VN, hình ảnh vụ tấn công chỉ được nhìn thấy khi đi qua một proxy. Nếu tấn công trực tiếp vào server thì sẽ có hiệu quả tức thời, không cần phải đi qua proxy mới thấy.
- Nếu bọn hacker thật sự tấn công bằng cách khai thác lỗi của iCMS thì ngay sau khi www.tintucvietnam.com sẽ bị tấn công tiếp ngay sau khi hoạt động trở lại. Website chính thức của cuộc thi là www.ttvn.com.vn cũng sử dụng iCMS, nếu iCMS có lỗi thì bọn hacker đã chọn tấn công www.ttvn.com.vn hơn là www.tintucvietnam.com
- www.tintucvietnam.com sử dụng dịch vụ DNS của EveryDNS và theo tôi được biết thì EveryDNS có rất nhiều lổ hổng bảo mật. Tôi suy đoán là domain www.tintucvietnam.com từ lâu đã nằm trong quyền kiếm soát của một vài người và chỉ hôm nay họ mới thực hiện vụ tấn công này.
(còn tiếp)
No comments:
Post a Comment