[Funland] Công ty chứng khoán VNDIRECT bị đánh sập hệ thống

rongauto

Xe điện
Biển số
OF-40780
Ngày cấp bằng
16/7/09
Số km
4,221
Động cơ
508,113 Mã lực
Nơi ở
Hà nội
Website
www.erp-ketoan.com

Đào Tử Thi

Xe container
Biển số
OF-413600
Ngày cấp bằng
30/3/16
Số km
9,764
Động cơ
353,946 Mã lực
Nơi ở
Văn Điển
Gần 24h trôi qua rồi cụ, nếu suôn sẻ hệ thống đã chạy lại sau 1-2h rồi.
Không phải backup nào cũng dùng dc, và k phải backup nào dùng dc cũng có dữ liệu thực tế (up-to-date)
Cái này thì đúng là phải chấp nhận thôi, cái lúc nó down thì ngay trước đó là ransomware hành sự, backup thì chắc chỉ backup vào ban đêm và backup incremental tức là backup sự khác biệt của đêm hôm trước, còn trong ngày hôm đó thì cuối ngày mới được backup, nếu hệ thống backup online liên tục realtime thì dẫu có restore được cũng có rất nhiều vấn đề liên quan tới. Cho nên không thể kỳ vọng restore được 100% những live transaction gần nhất.
 

Húp sụp sụp

Xe điện
Biển số
OF-792017
Ngày cấp bằng
1/10/21
Số km
3,175
Động cơ
97,459 Mã lực
Hàng tháng e thấy bên MBS trả lãi cho em thì sao lại ko phải do bên MBS giữ thì bank nào nó giữ.
1000012742.png
Dạo này vcbs dừng trả lãi em rồi, trước ngày có 100k tiền lãi cf ăn sáng đánh giày thỏa mái,,giờ lại phải ăn cơm nguội
 

Dr Thanh Bùi

Xe lăn
Biển số
OF-46445
Ngày cấp bằng
14/9/09
Số km
10,494
Động cơ
83,907 Mã lực
Nơi ở
Nam Định
Em sợ là backup luôn cả Ransomware thì restore luôn cả ransomware thì còn nhục hơn
E sợ như vậy,bọn nó âm thầm làm, đến khi đạt được tất cả mục đích thì nó mới mã hóa để lấy tiền chuộc.... Vụ tiền chuộc này có khi cũng chỉ là 1 trong nhiều mục đích của bọn hacker
 

XSim

Xe container
Biển số
OF-698009
Ngày cấp bằng
8/9/19
Số km
9,590
Động cơ
351,977 Mã lực
Dạo này vcbs dừng trả lãi em rồi, trước ngày có 100k tiền lãi cf ăn sáng đánh giày thỏa mái,,giờ lại phải ăn cơm nguội
Tiền nhàn rỗi của khách sẽ luôn được trả lãi không kỳ hạn y như tk thanh toán ở ngân hàng. Cụ không nhận được chắc là nó không báo tin thôi, cụ phải xem sao kê tháng sẽ thấy.
 

Garrard_1967

Xe buýt
Biển số
OF-844852
Ngày cấp bằng
11/12/23
Số km
541
Động cơ
34,001 Mã lực
Cụ làm ở VND ạ? Cụ khai sáng e vụ backup realtime với, e lần đầu nghe. Cụ bảo cuối ngày backup thì realtime ở đâu?
Backup realtime thì ... không có khái niệm nào thế cả, cụ kia ... éo biết gì cũng phán như đúng rồi. Ng ta chỉ dựng HA chạy độc lập nhưng real-time, lúc cần thì switch ngay (khả năng này VND chắc không có rồi, hoặc có nhưng ... hỏng).
Backup cuối ngày chả qua là cái batch-job, ông quản trị thích đặt giờ nào thì đặt, phụ thuộc vào nghiệp vụ của từng ngành.

Tỉ dụ như 6h30 khoá sổ bên bank thì 6h30 là phải xong backup, cho 1 hệ thống nào đó (không tính portal).

Mà tình hình như thế này, thì khả năng cao là cả HA cũng đều chạy chung trên 1 hạ tầng (đó là e phỏng đoán thế, chứ có thằng ngu nào đựng chung trứng vào 1 giỏ đâu), thằng hack kia nó chơi cả acc quản exi thì nó chơi hết các máy chủ, cần quái gì quan tâm tới ông nào là app, ông nào là db, ông nào là cache đâu. Chơi phát đó nặng đấy.
 

Garrard_1967

Xe buýt
Biển số
OF-844852
Ngày cấp bằng
11/12/23
Số km
541
Động cơ
34,001 Mã lực
Hacker đòi tiền chuộc dưới $1k?
Chẳng lẽ hacker nghèo đến vậy?
Chạ thiếu đâu cháu, khi cháu ở những năm 90-98, thì cháu mới biết, những vụ hack chúng nó nhiều khi không cần tiền. Những năm 2000 - 2010 mới bắt đầu có những quy mô hoành tráng hơn, tụ tập nhiều hơn, tiền có thể là mục đích cuối cùng, nhưng cũng nhiều trường hợp không cần tiền, hoặc lấy chỉ tượng trưng.
 

Garrard_1967

Xe buýt
Biển số
OF-844852
Ngày cấp bằng
11/12/23
Số km
541
Động cơ
34,001 Mã lực
Các cụ ko làm IT hoặc câc cụ IT ko làm về hệ thống có thể hiểu đơn giản như này nhá:
Các cụ tắt máy tính là Shutdown, nếu cụ đang soạn file excel chưa luư nó sẽ hỏi.
Tức là kể cả backup cũng phải có quy trình.
Hoặc thỉnh thoảng các cụ nhận đc thông báo ngân hàng dừng hoạt động để bảo trì hệ thống.
Cúng phải có qui trình, tắt cái nào trước , cái nào sau.
Đơn giản cho 1 ông sinh viên vào vọc vạch mấy lệnh ko đúng quy trình là đã trục trặc hệ thống.
Còn khi bị hack, là đã ko có qui trình nào rồi. Hy vọng khôi phục lại như đúng thời điểm ban đầu , đặc biết là hệ thống giao dịch thời gian thực real-time là rất khó.
Vớ va vớ vẩn, cụ làm IT ở trình nào mà chém linh tinh. Mà có khi cụ cũng chỉ code dạo đc vài app java.
Đã hack thì xác định cô lập mẹ nó cái hệ thống bị hack đó đi, chung trên nhóm hạ tầng nào thì tách luôn, và thằng nào làm quản lý bao giờ cũng phải có trong đầu "nếu - thì", có nghĩa bất kỳ trường hợp nào xảy ra, cho dù đó là thảm hoạ thì cũng phải sau bao lâu dựng lại được. Quy trình nó là ở đó đó, chứ không thì xây ra cái DR với DC để làm cảnh ah?
Trường hợp như VND, nếu đúng như trong tấm ảnh cụ nào post ở tầng 2, thì cái thằng tấn công nó lấy được acc quản lý của hạ tầng ảo hoá, lúc đó thì giời cứu, nếu như không có hệ thống HA song song ở DR. Hoặc ngay cả DR mà ông/team system admin cũng phang nguyên pass mặc định thì xác định luôn đi.
 

hung2019

Xe hơi
Biển số
OF-591944
Ngày cấp bằng
25/9/18
Số km
154
Động cơ
133,722 Mã lực
Tuổi
35
Nguyên tắc là để ở 2 nơi khác nhau, 2 DC khác nhau để thậm chí 1 nơi cháy, nổ thì data vẫn còn.

Vụ này bên VNDIRECT quá kém, thời gian restore chỉ tính bằng đơn vị phút, h chứ không thể tính bằng ngày. Dữ liệu cần có key để giải mã thì chứng tỏ không có backup hoặc backup ko đầy đủ.
nó không đơn giản thế đâu cụ ạ, thực sự thì case này rất rất rất phức tạp (nếu thông tin bị mã hóa file máy ảo là đúng). Tất nhiên cái ngu của đội quản trị là đã để xảy ra case này, xảy ra rồi thì việc khắc phục là rất khó khăn dù có backup đầy đủ đến tận răng. Em cũng làm SA của hệ thống nên như E đã có post trên, dù lựa chọn phương án nào cũng không bao giờ nhanh được, em tóm tắt lại:
- Cứ cho là có đầy đủ các bản backup (và vẫn sử dụng tốt) thì vấn đề là restore vào đâu? Không bao giờ dám restore luôn vào hạ tầng hiện tại vì các lý do như hệ thống cũ vẫn phải giữ nguyên, phục vụ nhiều thứ (cần cô lập, điều tra, dự phòng restore thất bại hoặc restore xong lại bị mã hóa tiếp,...). Vậy nếu chọn phương án restore từ backup thì phải dựng 1 hệ thống mới, mà trong vài ngày không nguồn lực nào làm kịp, từ việc mua, huy động thiết bị (máy chủ, lưu trữ, network,...) đến cấu hình các kiểu.
- Trả tiền chuộc chắc chắn chỉ là phương án cuối cùng, mà để đến được cái cuối cùng đó thì cũng đã phải trải qua thời gian dài cân nhắc các kiểu chứ không có chuyện đồng ý trả luôn. Trả tiền rồi việc giải mã cũng chưa chắc đã suôn sẻ do file máy ảo rất nhạy cảm, việc file bị corrupt sau khi bị can thiệp bởi ứng dụng thứ 3 (mã hóa/giải mã) là bình thường (ví dụ đơn giản nhất là máy ảo không khởi động được, windows crash màn hình xanh,... ). Nếu may mắn hệ thống sau giải mã hoạt động trở lại thì áp lực cực lớn nữa là phải rà soát xem có bị cài cắm gì lại không, không thì lúc nào cũng như cá nằm trên thớt, thời gian sau nó (hacker cũ hoặc thằng khác nhưng đã có thông tin từ vụ lần này) lại làm cho phát nữa.

Tóm lại chắc chắn đây là 1 case kinh điển và cũng có thể là kinh hoàng với đội ngũ quản trị VND nói chung và các hệ thống tương tự. Người ngoài muốn nhanh 1 thì người trong cuộc còn muốn nhanh 100 lần, nhưng rơi vào case này thì trình cao đến đâu cũng đành bất lực trước nhiều tình huống, chỉ ước có thể xóa đi để làm lại từ đầu thôi.
 
Chỉnh sửa cuối:

Húp sụp sụp

Xe điện
Biển số
OF-792017
Ngày cấp bằng
1/10/21
Số km
3,175
Động cơ
97,459 Mã lực
Tiền nhàn rỗi của khách sẽ luôn được trả lãi không kỳ hạn y như tk thanh toán ở ngân hàng. Cụ không nhận được chắc là nó không báo tin thôi, cụ phải xem sao kê tháng sẽ thấy.
Em gọi cho chăm sóc khách hàng, vcbs bảo dừng việc khách cho vay qua đêm rồi,, tìm hiểu thì do nhnn cấm
 

thinhtd

Xe container
Biển số
OF-347592
Ngày cấp bằng
21/12/14
Số km
6,360
Động cơ
418,134 Mã lực

ung_sung_tu_tai

Xe container
Biển số
OF-710823
Ngày cấp bằng
18/12/19
Số km
6,055
Động cơ
204,267 Mã lực
Tuổi
44
Công ty Chứng khoán chỉ là đại lý thôi, còn tất cả sổ sách giấy tờ mua bán cổ phiếu đều mã hóa và lưu trên trung tâm lưu ký Quốc gia.
Tiền thì nằm ở tài khoản của công ty Chứng khoán mở ở Bank.
Dưng muốn dùng tiền đang nằm trong tk mở ở cty ck thì phải có bước chuyển tiền từ tk mở ở cty ck sang tk bên ngân hàng.
Sàn đứt thì muốn tiêu tiền trong tk ở cty ck cũng chịu.
Có thể không bị mất, nhưng bao giờ được dùng thì phải chờ cty ck ạ.
E tưởng CP thì ở VSD, tiền thì ở NH, VND chỉ là đại lý ăn phế thôi chứ nhỉ?
 

IP man

Xe lăn
Biển số
OF-209780
Ngày cấp bằng
11/9/13
Số km
12,363
Động cơ
75,749 Mã lực
Công ty Chứng khoán chỉ là đại lý thôi, còn tất cả sổ sách giấy tờ mua bán cổ phiếu đều mã hóa và lưu trên trung tâm lưu ký Quốc gia.
Tiền thì nằm ở tài khoản của công ty Chứng khoán mở ở Bank.
Nó còn 1 loạt dịch vụ giữa cty chứng khoán <=> khách hàng chứ ko chỉ cổ phiếu và tiền. Dịch vụ margin, vay nợ… hình như thằng VND này cũng huy động nhiều gói vay nợ ngắn hạn, kiểu như này. Bây giờ dữ liệu này mà hẹo là cũng phiền.

IMG_9934.jpeg
 

New Audi R8

Xe buýt
Biển số
OF-555551
Ngày cấp bằng
26/2/18
Số km
960
Động cơ
122,077 Mã lực
Vớ va vớ vẩn, cụ làm IT ở trình nào mà chém linh tinh. Mà có khi cụ cũng chỉ code dạo đc vài app java.
Đã hack thì xác định cô lập mẹ nó cái hệ thống bị hack đó đi, chung trên nhóm hạ tầng nào thì tách luôn, và thằng nào làm quản lý bao giờ cũng phải có trong đầu "nếu - thì", có nghĩa bất kỳ trường hợp nào xảy ra, cho dù đó là thảm hoạ thì cũng phải sau bao lâu dựng lại được. Quy trình nó là ở đó đó, chứ không thì xây ra cái DR với DC để làm cảnh ah?
Trường hợp như VND, nếu đúng như trong tấm ảnh cụ nào post ở tầng 2, thì cái thằng tấn công nó lấy được acc quản lý của hạ tầng ảo hoá, lúc đó thì giời cứu, nếu như không có hệ thống HA song song ở DR. Hoặc ngay cả DR mà ông/team system admin cũng phang nguyên pass mặc định thì xác định luôn đi.
Trên này nh cụ "nguy hiểm" lắm cụ ạ :))
 

user06032024

[Tịch thu bằng lái]
Biển số
OF-849121
Ngày cấp bằng
6/3/24
Số km
317
Động cơ
1,534 Mã lực
Tuổi
25
Vớ va vớ vẩn, cụ làm IT ở trình nào mà chém linh tinh. Mà có khi cụ cũng chỉ code dạo đc vài app java.
Đã hack thì xác định cô lập mẹ nó cái hệ thống bị hack đó đi, chung trên nhóm hạ tầng nào thì tách luôn, và thằng nào làm quản lý bao giờ cũng phải có trong đầu "nếu - thì", có nghĩa bất kỳ trường hợp nào xảy ra, cho dù đó là thảm hoạ thì cũng phải sau bao lâu dựng lại được. Quy trình nó là ở đó đó, chứ không thì xây ra cái DR với DC để làm cảnh ah?
Trường hợp như VND, nếu đúng như trong tấm ảnh cụ nào post ở tầng 2, thì cái thằng tấn công nó lấy được acc quản lý của hạ tầng ảo hoá, lúc đó thì giời cứu, nếu như không có hệ thống HA song song ở DR. Hoặc ngay cả DR mà ông/team system admin cũng phang nguyên pass mặc định thì xác định luôn đi.
Cái gì vớ vẩn cụ
Thế cụ làm gì nhể
Cụ dúng tay vào cái gì chưa
Cụ đang vớ va vớ vẩn
AI bảo cụ là ko cách ly
BTW Hay cụ phán trả tiền cái ret có key vè decrypt như cụ kia
 
Chỉnh sửa cuối:

Garrard_1967

Xe buýt
Biển số
OF-844852
Ngày cấp bằng
11/12/23
Số km
541
Động cơ
34,001 Mã lực
E sẽ trả lời gợi ý từng đoạn cho cụ, đây là thảo luận, không phải tranh luận cụ nhé.

- Cứ cho là có đầy đủ các bản backup (và vẫn sử dụng tốt) thì vấn đề là restore vào đâu? Không bao giờ dám restore luôn vào hạ tầng hiện tại vì các lý do như hệ thống cũ vẫn phải giữ nguyên, phục vụ nhiều thứ (cần cô lập, điều tra, dự phòng restore thất bại hoặc restore xong lại bị mã hóa tiếp,...). Vậy nếu chọn phương án restore từ backup thì phải dựng 1 hệ thống mới, mà trong vài ngày không nguồn lực nào làm kịp, từ việc mua, huy động thiết bị (máy chủ, lưu trữ, network,...) đến cấu hình các kiểu.
Đã gọi là restore/recover thì trường hợp như cụ nêu ra, chỉ là 1 trong số các trường hợp, nằm trong bộ quy trình an toàn hệ thống (CIS hằng năm đều ra các phụ lục, cụ search thử, rồi tổng hợp lại). Khi xảy ra 1 sự cố, dựa vào log hoặc hiện trạng, ng ta (team) có thể xác định được tới 90% đây là sự cố loại gì, để từ đó phân định ra phương án/giải pháp cho phù hợp. Đối với trường hợp thảm hoạ (disacter) như vậy, thời gian khôi phục (rentention recovery time) sẽ được tính tới ngay, phụ thuộc vào số lượng, sizing, độ phức tạp, ... Giải pháp an toàn nhất và cũng là nhanh nhất, là SwitchOver HA (High Avaiblity) sang hệ thống dự phòng, nằm ở 1 vị trí địa lý cách biệt với hệ thống chính. Do đó, những trường hợp thảm hoạ diện rộng, hầu như các nơi trên thế giới đều làm như vậy. Về mặt diễn tập, banking là nơi diễn tập nhiều nhất loại hình này. Hàng tuần họ đều có kế hoạch thử nghiệm và diễn tập tuỳ vào quy mô.

Đối với 1 đơn vị nắm giữ lượng thông tin quan trọng như VND, đại đa số họ đều phải xây dựng cho mình DR, hoặc chí ít thì thuê DR. Giả sử như thông tin cụ đưa ra là đúng (không có hạ tầng ngay lập tức để backup/restore/recover) thì cần phải xem lại. Bởi danh mục đầu tư chắc chắn phải có, đầu tư thì sẽ đi cùng với hiệu quả, trong hiệu quả buộc phải có nghiệm thu, nếu nghiệm thu pha-kê nữa thì ... chịu rồi.

- Trả tiền chuộc chắc chắn chỉ là phương án cuối cùng, mà để đến được cái cuối cùng đó thì cũng đã phải trải qua thời gian dài cân nhắc các kiểu chứ không có chuyện đồng ý trả luôn. Trả tiền rồi việc giải mã cũng chưa chắc đã suôn sẻ do file máy ảo rất nhạy cảm, việc file bị corrupt sau khi bị can thiệp bởi ứng dụng thứ 3 (mã hóa/giải mã) là bình thường (ví dụ đơn giản nhất là máy ảo không khởi động được, windows crash màn hình xanh,... ). Nếu may mắn hệ thống sau giải mã hoạt động trở lại thì áp lực cực lớn nữa là phải rà soát xem có bị cài cắm gì lại không, không thì lúc nào cũng như cá nằm trên thớt, thời gian sau nó (hacker cũ hoặc thằng khác nhưng đã có thông tin từ vụ lần này) lại làm cho phát nữa.
Chắc chắn là phương án cuối cùng, nhưng được phê duyệt hay không thì ... còn xét. Thường thì đội hack sẽ giải mã và gửi lại, tuy nhiên, hệ thống được khôi phục lại trong trường hợp này, buộc phải cô lập ngay tức khắc, để làm gì, để lấy ra những dữ liệu và tái xây dựng ở môi trường sạch. Có tới 17% backdoor được gởi cùng key, trong số đó, có những trường hợp còn nặng hơn rất nhiều nếu đưa vào vận hành lại.
 

user06032024

[Tịch thu bằng lái]
Biển số
OF-849121
Ngày cấp bằng
6/3/24
Số km
317
Động cơ
1,534 Mã lực
Tuổi
25
E sẽ trả lời gợi ý từng đoạn cho cụ, đây là thảo luận, không phải tranh luận cụ nhé.



Đã gọi là restore/recover thì trường hợp như cụ nêu ra, chỉ là 1 trong số các trường hợp, nằm trong bộ quy trình an toàn hệ thống (CIS hằng năm đều ra các phụ lục, cụ search thử, rồi tổng hợp lại). Khi xảy ra 1 sự cố, dựa vào log hoặc hiện trạng, ng ta (team) có thể xác định được tới 90% đây là sự cố loại gì, để từ đó phân định ra phương án/giải pháp cho phù hợp. Đối với trường hợp thảm hoạ (disacter) như vậy, thời gian khôi phục (rentention recovery time) sẽ được tính tới ngay, phụ thuộc vào số lượng, sizing, độ phức tạp, ... Giải pháp an toàn nhất và cũng là nhanh nhất, là SwitchOver HA (High Avaiblity) sang hệ thống dự phòng, nằm ở 1 vị trí địa lý cách biệt với hệ thống chính. Do đó, những trường hợp thảm hoạ diện rộng, hầu như các nơi trên thế giới đều làm như vậy. Về mặt diễn tập, banking là nơi diễn tập nhiều nhất loại hình này. Hàng tuần họ đều có kế hoạch thử nghiệm và diễn tập tuỳ vào quy mô.

Đối với 1 đơn vị nắm giữ lượng thông tin quan trọng như VND, đại đa số họ đều phải xây dựng cho mình DR, hoặc chí ít thì thuê DR. Giả sử như thông tin cụ đưa ra là đúng (không có hạ tầng ngay lập tức để backup/restore/recover) thì cần phải xem lại. Bởi danh mục đầu tư chắc chắn phải có, đầu tư thì sẽ đi cùng với hiệu quả, trong hiệu quả buộc phải có nghiệm thu, nếu nghiệm thu pha-kê nữa thì ... chịu rồi.



Chắc chắn là phương án cuối cùng, nhưng được phê duyệt hay không thì ... còn xét. Thường thì đội hack sẽ giải mã và gửi lại, tuy nhiên, hệ thống được khôi phục lại trong trường hợp này, buộc phải cô lập ngay tức khắc, để làm gì, để lấy ra những dữ liệu và tái xây dựng ở môi trường sạch. Có tới 17% backdoor được gởi cùng key, trong số đó, có những trường hợp còn nặng hơn rất nhiều nếu đưa vào vận hành lại.
Cụ chửi em là code dạo mấy app java
Em tay bo với cụ các thể loại code , networking, system..
Cụ chơi ko, hay cụ chỉ võ mòm
 

zaiwaz123

Xe điện
Biển số
OF-422657
Ngày cấp bằng
15/5/16
Số km
4,770
Động cơ
336,659 Mã lực

Garrard_1967

Xe buýt
Biển số
OF-844852
Ngày cấp bằng
11/12/23
Số km
541
Động cơ
34,001 Mã lực
Cái gì vớ vẩn cụ
Thế cụ làm gì nhể
Cụ dúng tay vào cái gì chưa
Cụ đang vớ va vớ vẩn
AI bảo cụ là ko cách ly
BTW Hay cụ phán trả tiền cái ret có key vè decrypt như cụ kia
Cái e làm thì chắc chắn với cụ, 100 năm nữa cụ cũng đek làm được đâu. E thật ...
Khi e còn làm trong IBM, lúc đó cụ trẻ chắc vẫn mài đít quần trên ghế cấp I hoặc cáp II, mà có khi còn chưa ra đời.
Mà cụ có biết e làm cái mẹ gì trong IBM những năm 90 không? E là 1 trong số team bắt tay vào ngâm cứu và code quantum chứng minh nhị phân của 1 bit hoàn toàn có thể được ghép vào 1.
Khi nào đủ trình code được Assembly tính ra điểm cờ của 1 segment trong vùng nhớ UMA, thì hẵng nói chuyện.
 
Thông tin thớt
Đang tải

Bài viết mới

Top