Sony, vụ hack vào Play Station Network, và BKAV

BKAV là một công ty không được lòng dân công nghệ. Có nhiều việc công ty BKAV làm khiến cho những người làm an ninh mạng không coi BKAV là một công ty bảo mật thật sự mà chỉ diễu võ dương oai. Tuy thế, BKAV không phải là công ty duy nhất bị tẩy chay một cách gần như nhất quán bởi những người rành công nghệ. Mười năm trước, Sony cũng đã từng lâm vào cảnh đó và cũng đã bị hack trong quá khứ. Tuy thế, khi ta so sánh cách làm của Sony với cách làm của BKAV sẽ cho thấy BKAV đã dấn sâu vào vũng bùn và xử lý vụ lộ dữ liệu này như thế nào.

10 năm trước, tập đoàn Sony đã từng bị giới hacker kịch liệt phản đối. Việc Sony bị phản đối là một quá trình tích tụ theo thời gian, để hiểu được cần phải hiểu một chút về thế giới game. Cuối năm 2006, Sony cho ra mắt máy chơi game Play Station (PS) 3 để thay thế cho máy PS2 đời cũ - là máy chơi game bán chạy nhất thời bấy giờ. Máy PS3 có thiết kế phần cứng rất đặc biệt. Chiếc máy game này có hiệu năng trên lý thuyết bỏ xa các máy cùng thời là XBOX 360 (của Micrsoft) và đặc biệt là Wii (của Nintendo) nếu biết vận dụng đúng cách. Lý do là PS3 có một bộ xử lý đặc biệt gọi là Cell Processor gồm 1 nhân xử lý chính và 8 nhân đặc biệt để tăng tốc các phần xử lý khác nhau trong game. Bộ xử lý này là một giấc mơ cho những người làm game thế hệ tiếp theo. Lúc đó, bộ xử lý này có hiệu năng làm cho một chiếc workstation (PC chuyên dụng) đắt hơn gấp nhiều lần thời đó hít khói. Vì thế nhiều người có ý định mua về để dùng nó làm những việc đòi hỏi bộ xử lý cực mạnh như mô phỏng, tính toán khoa học. Khi ra mắt để PR cho sản phẩm PS3, Sony hứa kèm một tính năng là cho người ta chạy một hệ điều hành khác (Other OS - chủ yếu là Linux) trên chiếc máy chơi trò chơi này để biến nó thành siêu-máy-tính.

Tuy vậy, việc cho người ta chạy Linux này vướng vào hai khó khăn về phía Sony. Thứ nhất, vì bộ xử lý Cell là một kỳ quan về kỹ thuật thời bấy giờ, nhưng nó không miễn phí: kèm theo đó là chi phí nghiên cứu, phát triển, và sản xuất cao. Một chiếc máy PS3 bán ra là làm cho Sony lỗ ước tính vài trăm đô la. Sony mong rằng khi bán chiếc máy chơi trò chơi PS3 thì người ta sẽ mua thêm trò chơi để Sony lấy lại phần vốn đã lỗ. Nhưng nếu ai mà mua máy PS3 để chạy Linux mà không mua đĩa trò chơi thì Sony chắc chắn lỗ vốn. Điều thứ hai, các đĩa trò chơi là các phần mềm được Sony gắn chữ ký điện tử. Hệ điều hành của Sony trước khi chạy phần mềm trò chơi sẽ kiểm tra chữ ký điện tử này có hợp lệ không và đĩa game đó có bị copy không. Việc kiểm tra này cho phép Sony kiểm soát được ai được xuất bản trò chơi trên máy của họ (lấy tiền về cho Sony từ nhà sản xuất), và cho phép nhà sản xuất trò chơi yên tâm không sợ bị copy đĩa trò chơi lậu (lấy tiền về cho nhà sản xuất từ người chơi). Tuy vậy, khi máy PS3 chạy OtherOS thì sao? Nếu như ai đi copy y xì hệ điều hành của Sony, mà chỉ thay đổi một chút bỏ qua khâu kiểm tra chữ ký điện tử và khâu kiểm tra đĩa game có bị copy không, thì khách hàng sẽ chạy được phần mềm game lậu hoặc game chưa được Sony cho phép phát hành. Việc này sẽ làm cho không ai mua game PS3 chính hiệu nữa và không ai muốn viết game cho máy PS3. Tóm lại Sony có hai vấn đề khi dùng OtherOS để làm PR cho máy PS3: 1, Bán PS3 để khách hàng chạy OtherOS sẽ lỗ vốn 2, Nếu không khoá OtherOS lại bằng cách này hay cách khác thì khách hàng sẽ chạy được game lậu, lại càng lỗ vốn.

Tuy thế, các kỹ sư của Sony không hề tồi. Họ làm cho OtherOS chạy dưới một trình giám sát (Hypervisor). Trình giám sát này chặn một số truy cập nhất định vào phần cứng làm cho OtherOS không thể truy cập vào một bộ xử lý đặc biệt của máy PS3. Như vậy là các game viết cho PS3 sẽ không bao giờ chạy được trên OtherOS. Vậy là họ giải quyết được vấn đề số hai. Nhưng vấn đề số 1 vẫn nhức đầu, nhiều người không mua PS3 để chơi game mà để nghiên cứu. Ví dụ như vào năm 2010, Phòng thí nghiệm của Không Lực Mỹ mua gần 2000 chiếc máy PS3 để làm thành cụm siêu máy tính khổng lồ để phục vụ nghiên cứu. Vì thế vào cuối năm 2010, Sony quyết định đánh bài liều là xoá chức năng OtherOS đi trong một bản cập nhật phần mềm. Điều này làm giới rành công nghệ nổi giận vì Sony đã từng quảng cáo máy của mình có chức năng đó. Việc đó làm nảy ra hai việc khác: Thứ nhất, một số người ở Mỹ kiện Sony vì quảng cáo sai sự thật. Thứ hai, có một số hacker bực mình nên họ đi tìm các lỗ hổng bảo mật trong phần cứng và phần mềm của máy PS3 để chạy OtherOS. Và thế là Sony đã mở hộp Pandora vì xoá chức năng OtherOS và quay lưng với cộng đồng hacker.

Quả thật như vậy, không lâu sau vào đầu năm 2011, có một hacker nổi danh và có uy tín trong giới bảo mật là Geohot (giờ đang làm sáng lập viên của công ty bộ phận tự lái cho ô tô comma.ai) dựa trên một số nghiên cứu trước đó, công bố chữ ký điện tử mà có thể ký bất cứ phần mềm nào trên máy PS3. Tức là bây giờ, bất kể OtherOS hay game lậu đều có thể chạy trên PS3 không giới hạn gì. Sony thấy vậy bèn kiện Geohot ra toà. Geohot không dám theo kiện Sony, bèn dàn xếp ngoài toà. Việc này làm những người giận Sony càng giận hơn vì họ cho rằng Geohot bị một tập đoàn đi lợi dụng có tiền có luật sư để cả vú lấp miệng anh ta.

Việc này làm cho một nhóm phá hoại chủ yếu từ diễn đàn 4chan tiến hành Tấn công từ chối dịch vụ (DDoS) làm cho mạng Play Station Network (PSN) nghẽn nhiều lần. Chưa hết, đến tháng tư năm 2011, đột nhiên PSN tắc tử. Sau đó Sony công bố đã bị hacker hack vào mạng nội bộ, và lấy đi dữ liệu của khách hàng - dữ liệu gì thì không biết nhưng có thể có cả thông tin cá nhân số thẻ tín dụng của 24.7 triệu tài khoản PSN trên toàn cầu. Mạng PSN của Sony mất 10 ngày để kiểm tra toàn bộ khả năng bảo mật và tất cả mọi người trong thời gian đó hoàn toàn không truy cập được bất cứ tính năng chơi game online nào trên tất cả các máy PS3.

Vào tháng 5 năm 2011, Hạ Viện Mỹ yêu cầu Sony phải trả lời công khai các câu hỏi của họ về vụ hack vào PSN này. Sony trả lời các thông tin, đáng chú ý là trong báo cáo tới Hạ Viện Mỹ, Sony "không loại trừ được khả năng thông tin thẻ tín dụng đã bị đánh cắp" -- tức là họ cuối cùng không biết là thông tin thẻ tín dụng có bị đánh cắp hay không. Vụ hack này tốn cho Sony tổng cộng 171 triệu đô la Mỹ. Khi đưa hệ thống online trở lại, ban quản trị của tập đoàn Sony, một tập đoàn hùng mạnh hàng đầu thế giới, phải cúi gập người để xin lỗi khách hàng.

Trở lại với với BKAV. Về mặt cá nhân, mình biết đến BKAV từ thời chạy MS-DOS. Cái tên Nguyễn Tử Quảng lần đầu tiên mình để ý đến khi còn học cấp hai cấp ba, khi đó mình nhớ hình ảnh ông Quảng lên "Người đương thời" ở VTV, một tay xào rau muống, một tay cầm điện thoại trả lời thắc mắc của người dùng BKAV. Mình có nhiều phần trìu mến hình ảnh của một người giản dị, lời nói đi đôi với việc làm, bỏ ra rất nhiều công sức đi làm một phần mềm có ích và phát hành miễn phí giúp ích cho được nhiều người. Sau đó mình rời khỏi Việt Nam và không còn lưu ý đến chuyện gì xảy ra với nền công nghệ thông tin nước nhà nữa.

Xem chừng ra khi mình ở nước ngoài thì nhiều chuyện xảy ra với BKAV và hình ảnh của ông Quảng trở thành Quảng Nổ trong mắt giới công nghệ thông tin trong nước vì những thứ ông nổ ra miệng. Sau đó mình có để ý đến những chuyện như ông Quảng giới thiệu BPhone thì mình bắt đầu hoài nghi -- nhưng mình vẫn có một số thông cảm nhất định với ông Quảng. Thứ nhất, việc làm ra được một chiếc điện thoại di động là một việc khó. Thứ hai, mình cho rằng ông Quảng không có duyên nói, nhưng không nhận ra -- điều này dẫn đến ác cảm của nhiều người. Khi tìm hiểu kỹ hơn, mình nhận ra ông Quảng khi tách ra làm tập đoàn BKAV riêng quảng cáo mình làm an ninh mạng nhưng cách làm rất vô tội vạ, không chỉ chính mình bị hack mà còn nói sai nhiều sự thật với nhiều chứng cứ không thể chối cãi. Nhiều việc làm sai này được anh Thái Dương (vnhacker), là người có uy tín trong giới làm bảo mật, và trang anti-bkav ghi lại để tham khảo.

Cụ thể, gần đây nhất là việc BKAV đứng ra nhận công là phát triển ứng dụng Bluezone là ứng dụng truy vết. Việc phát triển Bluezone có rất nhiều vấn đề, trong đó có việc không đảm bảo quyền riêng tư cho người dùng - hứa một đằng làm một nẻo. Việc này lần nữa anh Thái và anh Phan Dương Hiệu có đề cập, nhưng thảo luận này không đi tới đâu. Bản thân mình cũng đã nhìn vào code của Bluezone khi họ mới phát hành mã nguồn, và mã nguồn của họ viết code ẩu sai ở nhiều điểm. Mình cũng đã có góp ý nhưng dường như có hai thứ, chỉ có thấy đi vào không thấy đi ra, một là ánh sáng đi vào lỗ đen, hai là những lời đóng góp của chúng tôi cho họ. Bluezone có PR về việc mã nguồn mở và trung thực, nhưng thực chất mã nguồn của họ không hề mở và lần cuối họ "mở" bất cứ cái gì là cách đây một năm, cách làm việc của họ cũng như hũ nút. Như vậy, BKAV hoàn toàn làm mất chút kiên nhẫn và niềm tin nhỏ nhoi còn lại của mình với họ.

Gần đây có vụ một người hacker có tên là chunxong đi hack vào và lấy được trọn bộ mã nguồn tất cả các sản phẩm của họ rao bán. BKAV khi nghe tin đó, vội thông báo với giới báo chí đó là mã nguồn cũ một năm của nhân viên cũ lấy được, không ảnh hưởng tới khách hàng hiện tại. Nhưng không lâu sau, chunxong đưa ra bằng chứng chứng tỏ người đó không hề là nhân viên cũ, dữ liệu cũng không hề cũ bằng cách đưa ra đoạn chat được cho là của ông Quảng chỉ vài ngày trước. Sau đó, chunxong còn thêm vào đoạn video chỉ ra hack vào các sản phẩm của BKAV dễ dàng thế nào, họ phạm vào những lỗi cơ bản mà sinh viên thử việc cũng không mắc. Trong khi đó, động thái của BKAV là câm như hến và ông Quảng tiếp tục nổ bom bằng cách nói về "thực chiến" hay "diễn tập" gì đó trên trang Facebook và trang tin của BKAV. Sự thực là ông làm gì có cuộc chiến gì chờ đợi mình trước mặt, ông đã thua rồi còn chiến với đấu cái gì. Giới công nghệ thông tin ở Việt Nam được một phen hả hê vì Quảng Nổ đã bị bẽ mặt vì nói láo.

Tuy thế, nếu ta nghĩ xa hơn một tí thì vấn đề ở đây không phải là cái mặt của ông Quảng, mà vấn đề là chunxong. Người đó có hack để lấy mã nguồn thật không, có hack để làm cho Quảng bẽ mặt không? Việc Quảng kết luận chunxong là nhân viên cũ cho thấy Quảng không hề biết một tí gì chunxong là ai, chunxong đã làm gì với dữ liệu công ty và khách hàng của mình. BKAV có làm việc với nhiều cơ quan an ninh quốc gia, những thông tin đó chunxong có biết hay có lấy không? BKAV có cơ sở dữ liệu người dùng của BKAV và Bluezone với thông tin của hàng chục triệu người Việt Nam, chunxong có biết hay có lấy không? Mình tin rằng BKAV không hề có câu trả lời, và có vẻ như không thèm tìm hiểu câu trả lời. Nếu như các phần mềm của BKAV hack vào dễ thế, thì có bao nhiêu người có những thông tin thiết yếu đó?

Nếu như BKAV hay Quảng có cái mặt để đi nhận công của Bluezone, thì tôi tin là BKAV phải có trách nhiệm để trả lời giải trình những câu hỏi này.

Ngày hôm nay những gì BKAV nhận được là do sự khoe khoang quá đáng, quay đầu với những hacker có thiện chí và khách hàng và người dùng cũng như Sony vậy. Việc đó đã là tệ, nhưng sự lặng câm của BKAV và huênh hoang của ông Quảng sau khi thấy mình bị hack như vậy càng chứng tỏ sự tự đắc và hiếu thắng ngu xuẩn. Nếu như ai hỏi mình người Nhật khác người Việt thế nào, mình sẽ trả lời hãy nhìn cái cúi gập người của hội đồng quản trị của Sony 10 năm trưóc và cái status khệnh khạng của Quảng trong tháng này. Kẻ ngu xuẩn không bao giờ nhận mình sai và bao giờ cũng tự hào ở những việc ngu xuẩn.