ATM Việt Nam có miễn dịch với “lỗ hổng”?
Công ty nghiên cứu bảo mật IOActive tại Mỹ vừa công bố đã khám phá ra hai điểm yếu nghiêm trọng của toàn bộ hệ thống máy ATM
Công ty nghiên cứu bảo mật IOActive tại Mỹ vừa công bố đã khám phá ra hai điểm yếu nghiêm trọng của toàn bộ hệ thống máy rút tiền tự động (ATM).
“Lỗ hổng” thứ nhất là một mẫu chìa khóa để mở thành công các máy ATM cùng loại của ngân hàng và “lỗ hổng” thứ hai được cho là nằm ở hệ thống phần mềm... Cả làng ATM Việt Nam giật mình bởi lẽ hiện ở Việt Nam có tới 10.000 ATM, và 100% thiết bị này đều là hàng nhập khẩu.
Mặc dù thừa nhận một thực tế là Việt Nam cũng có tình trạng ATM chung mẫu chìa khóa, tương tự điểm yếu mà IOActive vừa công bố, song các chuyên gia trong nước cho rằng trong hai điểm yếu đã nêu, lỗ hổng về phần mềm không đáng ngại vì các ngân hàng Việt Nam đều dùng mật khẩu một lần (OTP) và áp dụng nhiều biện pháp bảo mật nghiêm ngặt.
Một chuyên gia tư vấn về máy ATM thuộc Hiệp hội Ngân hàng Việt Nam thì bày tỏ quan điểm: hai “lỗ hổng” nêu ở trên không phải là mới.
Về “lỗ hổng” thứ nhất: chìa khóa khoang PC đúng là dùng chung cho tất cả máy ATM cùng loại. Điều đó đồng nghĩa với việc nếu có chìa khóa này thì có thể mở khoang chứa PC của bất kể máy ATM nào cùng loại. Tuy nhiên máy ATM luôn được thiết kế làm hai khoang riêng biệt: khoang chứa PC (phía trên) và khoang chứa các thùng tiền (4 hoặc 5 thùng) phía dưới. Khóa ở lớp cửa két sắt phía trong là khóa dạng vòng hoặc điện tử. Nếu không biết mật mã thì không thể mở khóa này được.
Hầu hết phần mềm trên máy ATM hiện nay đều có cơ chế kiểm soát thiết bị ngoại vi gắn vào bất hợp pháp và một loạt các phần mềm firewall, anti-spy, virus, cơ chế quản trị phân quyền và rất nhiều policy khác (tùy vào từng ngân hàng). Vì vậy dù có mở được khóa khoang PC thì cắm USB vào cũng không thể chạy chương trình trên USB được, trừ khi là nhân viên ngân hàng.
Trường hợp bằng cách nào đó làm cho PC nhận biết USB thì việc chạy chương trình hacker để bắt ATM trả tiền ra là không thể vì, máy ATM không có cơ chế rút tiền dạng offline mà phải có phản hồi từ máy chủ tại ngân hàng sau khi kiểm tra hàng loạt thông tin gửi lên.
Về “lỗ hổng” thứ hai, chuyên gia này phân tích, chẳng có ngân hàng nào "dại dột" để mạng nối từ ATM tới trung tâm thẻ lại hòa chung vào đường truyền Internet công cộng, chứ chưa nói gì tới việc giao dịch với các hệ thống khác qua Internet. Ngân hàng luôn thuê đường mạng riêng từ các công ty viễn thông cho việc truyền dữ liệu của mình và các kênh thanh toán khác trên Internet của ngân hàng luôn độc lập với hệ thống máy ATM, vì vậy chuyện hack từ Internet vào để bắt ATM trả tiền ra càng không thể.
Theo bà Nguyễn Thu Hà, Chủ tịch Hiệp hội Thẻ Việt Nam, Phó tổng giám đốc Ngân hàng Vietcombank, các máy ATM của Vietcombank đều được trang bị phần mềm ngăn chặn các truy cập trái phép, chống virus và không cho bất cứ các ứng dụng nào khác được tải lên ATM trừ những phần mềm định sẵn được chạy và đã được chứng thực từ hãng sản xuất ATM.
Trong khi đó, theo Phó tổng giám đốc phụ trách công nghệ của Ngân hàng VietinBank, ông Phạm Anh Tuấn, thì cả 1.700 máy ATM của ngân hàng này đều có một ổ khóa riêng. Nhưng ngay cả trường hợp đặt máy theo tiêu chuẩn chung, cũng không ảnh hưởng nhiều tới bảo mật ngân hàng vì khóa này chỉ mở khoang kỹ thuật. Còn két sắt có mật mã riêng và được thiết kế theo tiêu chuẩn bảo mật, an toàn cao nhất, dùng súng cũng không thể phá được và quá nặng để có thể khuân đi.
Mặt khác, ngoài việc bảo mật “vòng trong”, hầu hết các ngân hàng có dịch vụ ATM đều khẳng định họ còn triển khai các biện pháp an ninh “vòng ngoài” như có người bảo vệ, kiểm soát máy thường xuyên, lắp camera theo dõi 24/24 tiếng, nếu có gì bất thường tại máy sẽ báo động về trung tâm...
Việc máy ATM tại Việt Nam đang đạt độ an toàn cao và có vẻ hoàn toàn “miễn dịch” với sự cố lỗ hổng ATM như khẳng định của giới ngân hàng Việt Nam quả là một tín hiệu phấn khởi. Tuy nhiên, một số ý kiến cho rằng họ vẫn còn “gờn gợn” một điều gì đó..., khi có một thực tế là từ trước tới nay ATM tại Việt Nam vẫn hay “có vấn đề”: nào là trục trặc đường truyền, “ăn thẻ, nuốt thẻ”, rồi lại rò rỉ điện (thậm chí đã gây ra chết người!).
“Lỗ hổng” thứ nhất là một mẫu chìa khóa để mở thành công các máy ATM cùng loại của ngân hàng và “lỗ hổng” thứ hai được cho là nằm ở hệ thống phần mềm... Cả làng ATM Việt Nam giật mình bởi lẽ hiện ở Việt Nam có tới 10.000 ATM, và 100% thiết bị này đều là hàng nhập khẩu.
Mặc dù thừa nhận một thực tế là Việt Nam cũng có tình trạng ATM chung mẫu chìa khóa, tương tự điểm yếu mà IOActive vừa công bố, song các chuyên gia trong nước cho rằng trong hai điểm yếu đã nêu, lỗ hổng về phần mềm không đáng ngại vì các ngân hàng Việt Nam đều dùng mật khẩu một lần (OTP) và áp dụng nhiều biện pháp bảo mật nghiêm ngặt.
Một chuyên gia tư vấn về máy ATM thuộc Hiệp hội Ngân hàng Việt Nam thì bày tỏ quan điểm: hai “lỗ hổng” nêu ở trên không phải là mới.
Về “lỗ hổng” thứ nhất: chìa khóa khoang PC đúng là dùng chung cho tất cả máy ATM cùng loại. Điều đó đồng nghĩa với việc nếu có chìa khóa này thì có thể mở khoang chứa PC của bất kể máy ATM nào cùng loại. Tuy nhiên máy ATM luôn được thiết kế làm hai khoang riêng biệt: khoang chứa PC (phía trên) và khoang chứa các thùng tiền (4 hoặc 5 thùng) phía dưới. Khóa ở lớp cửa két sắt phía trong là khóa dạng vòng hoặc điện tử. Nếu không biết mật mã thì không thể mở khóa này được.
Hầu hết phần mềm trên máy ATM hiện nay đều có cơ chế kiểm soát thiết bị ngoại vi gắn vào bất hợp pháp và một loạt các phần mềm firewall, anti-spy, virus, cơ chế quản trị phân quyền và rất nhiều policy khác (tùy vào từng ngân hàng). Vì vậy dù có mở được khóa khoang PC thì cắm USB vào cũng không thể chạy chương trình trên USB được, trừ khi là nhân viên ngân hàng.
Trường hợp bằng cách nào đó làm cho PC nhận biết USB thì việc chạy chương trình hacker để bắt ATM trả tiền ra là không thể vì, máy ATM không có cơ chế rút tiền dạng offline mà phải có phản hồi từ máy chủ tại ngân hàng sau khi kiểm tra hàng loạt thông tin gửi lên.
Về “lỗ hổng” thứ hai, chuyên gia này phân tích, chẳng có ngân hàng nào "dại dột" để mạng nối từ ATM tới trung tâm thẻ lại hòa chung vào đường truyền Internet công cộng, chứ chưa nói gì tới việc giao dịch với các hệ thống khác qua Internet. Ngân hàng luôn thuê đường mạng riêng từ các công ty viễn thông cho việc truyền dữ liệu của mình và các kênh thanh toán khác trên Internet của ngân hàng luôn độc lập với hệ thống máy ATM, vì vậy chuyện hack từ Internet vào để bắt ATM trả tiền ra càng không thể.
Theo bà Nguyễn Thu Hà, Chủ tịch Hiệp hội Thẻ Việt Nam, Phó tổng giám đốc Ngân hàng Vietcombank, các máy ATM của Vietcombank đều được trang bị phần mềm ngăn chặn các truy cập trái phép, chống virus và không cho bất cứ các ứng dụng nào khác được tải lên ATM trừ những phần mềm định sẵn được chạy và đã được chứng thực từ hãng sản xuất ATM.
Trong khi đó, theo Phó tổng giám đốc phụ trách công nghệ của Ngân hàng VietinBank, ông Phạm Anh Tuấn, thì cả 1.700 máy ATM của ngân hàng này đều có một ổ khóa riêng. Nhưng ngay cả trường hợp đặt máy theo tiêu chuẩn chung, cũng không ảnh hưởng nhiều tới bảo mật ngân hàng vì khóa này chỉ mở khoang kỹ thuật. Còn két sắt có mật mã riêng và được thiết kế theo tiêu chuẩn bảo mật, an toàn cao nhất, dùng súng cũng không thể phá được và quá nặng để có thể khuân đi.
Mặt khác, ngoài việc bảo mật “vòng trong”, hầu hết các ngân hàng có dịch vụ ATM đều khẳng định họ còn triển khai các biện pháp an ninh “vòng ngoài” như có người bảo vệ, kiểm soát máy thường xuyên, lắp camera theo dõi 24/24 tiếng, nếu có gì bất thường tại máy sẽ báo động về trung tâm...
Việc máy ATM tại Việt Nam đang đạt độ an toàn cao và có vẻ hoàn toàn “miễn dịch” với sự cố lỗ hổng ATM như khẳng định của giới ngân hàng Việt Nam quả là một tín hiệu phấn khởi. Tuy nhiên, một số ý kiến cho rằng họ vẫn còn “gờn gợn” một điều gì đó..., khi có một thực tế là từ trước tới nay ATM tại Việt Nam vẫn hay “có vấn đề”: nào là trục trặc đường truyền, “ăn thẻ, nuốt thẻ”, rồi lại rò rỉ điện (thậm chí đã gây ra chết người!).