Mọi thứ chỉ là tương đối

Không có gì là không thể nhưng mà không phải đơn giản tí nàa cả . jack phải nói là rất giỏi .Nhưng xin thưa với các bạn rằng những nhà phát triển hệ thống ATM và bảo mật ,.. các chuyên gia bảo mật ..của hãng và nhiều hãng bảo mật khác nhau nữa ..... Chẳng lẽ trình độ của họ dở hơn jack sao ? . Đâu có đơn giản như thế . ông jack cũng chỉ nói thôi chứ thực tế thì làm thử coi có vào tù bọc lịch không biết liền ah .

( long anh )

Không có gì là không thể-câu nói này "không thể" sai

tức là vẫn có cái không thể, nhưng mà không có gì là không thể mà, tùm lum hết rồi.Nói tóm lại, có một ngày ai đó sẽ biến cái không thể thành có thể, cũng có những kẻ biến có thể thành không thể.Cuộc đời mà.

( Tình Phong )

Không có gì là không thể

Mình không rành về vấn đề này nhưng không có gì là không làm được. Hơn nữa mình nghĩ VN mình giỏi thì có nhưng không thể nào qua được Mỹ bởi vì hiện tại mình đang đi sau công nghệ của Mỹ, Tính ra mình đang sống sau Mỹ cả chục năm chứ ít đâu. Cứ nhìn vào 2 nước mà so sánh!!!

( coldboy417 )

Đây chỉ là cách bắt nó nhả tiền

Dĩ nhiên khi đã viết 1 chương trình chắc cú là phải có lỗi dù nhỏ hay thấp và cái máy ATM này dĩ nhiên cũng có lỗi vấn đề này thì ko cần bàn cãi.Nhưng phát hiện ra lỗi thì sao, làm cách nào bắt nó nhả hết tiền ra mà ko bị 1 ai phát hiện? Nước ngoài thì tôi ko biế chứ ở VN: Thứ nhất hiện nay mỗi máy ATM đều có tích hợp 1 cái camera,dù cho bạn có mã độc như Jack đi chăng nữa thì bạn làm cách nào để cắm cái USB đó mà ko bị người ta phát hiện?Và dù cho USB có chứa đoạn mã xóa hoặc cản thông tin từ camera đi nữa thì phía máy chủ cũng đã lưu lại thông tin khách hàng đã giao dịch tại quầy vậy cắm USB vào máy ATM là vô khả thi Thứ hai: bạn dùng máy tính truy cập từ xa 1 cái máy ATM thì chuyện này là ko thể và nếu làm đc việc này thì chả tội gì mà bắt cái máy nhả tiền chỉ cần thực hiện việc chuyển khoản ngân hàng từ 1 nick rồi burn ra hàng trăm nick khác là xong.Mà muốn làm đc thì e là hiện nay số hacker làm đc có lẽ ko đến 5 người vì nếu làm đc thì chả còn cái ngân hàng nao rồi.Nên nhớ rằng mún kết nối với máy ATM thì bạn phải hack đc hệ thống ngân hàng mới làm đc chuyện đó! Do đó kết luận lại Jack nói chỉ là hệ thống bảo mật của máy chưa cao chứ ông ta không hề đề cập đến việc dễ dàng rút hết tiền khỏi máy ATM Xưa giờ tôi chỉ biết 1 trường hợp rút hết tiền khỏi máy ATM do 1 thẻ ATM lạ gây ra nhưng về sau nhười ta đã tịch thu hết số thẻ này rồi và tin này nhanh chóng lắng xuống...cũng đã khá lâu,từ cái thời máy ATM chưa có camera cơ nên chắc chắn lỗi này khắc phục lâu rồi! Thân

( Guy )

Gửi Phi

Cách thứ nhất:
-Cậu công nhận là chìa khóa khoang PC của cùng 1 model máy ATM là giống nhau ! Vậy có thể mở ngăn PC và cắm USB ! OK nhé !
-Vấn đề tranh cãi là phần mềm trong USB để đột nhập vào máy ATM và ra lệnh cho nó nhả tiền đúng chưa.Cậu nói cách đó là không thể làm được thì mình cũng chỉ hỏi cậu một câu thôi : Cậu viết được nhân Window ko ? Cậu viết được Linux ko ? Hay đơn giản là cậu viết được Virú như I Love You ko ? Không đúng chưa ? Nhưng người khác viết được không ? Được ! Vậy chả lí do gì mà dám khẳng định phần mềm đó là không thể viết được đặc biệt là khi Jack đã biểu diễn ! May mà phần phần mềm đó không được công khai ! Vậy có hacker muốn tìm hiểu và viết dựa trên ý tưởng đó thì cũng phải vài tháng hoặc cả năm nữa nữa !
Vậy tớ kết luận cách thứ nhất hoàn toàn có khả năng làm được cậu có phản đối gì không ?
**Tuy nhiên ATM ở VN hầu hết đặt tại chỗ có bảo vệ nên đến mà mở ngăn PC ra thì coi chừng mọt gông

Cách thứ hai : Jack chỉ nói lỗ hổng đó xảy ra ở đâu ! Cậu lấy gì dám bảo rằng nó không có thật và không thể được sử dụng ?
Cậu biết về lỗ hổng SQL injection ko ? Trước khi có người đâu tiên phát hiện và hiện nay được "phổ cập" thì nó có không ? Có chứ ! Nhưng sau khi có người khai phá người ta mới bắt đầu biết đến !
Lỗ hổng mà Jack đề cập đến cũng như vậy ! Trước giờ chưa ai biết nhưng về sau thì không chắc đặc là sau bài phát biểu của ổng.
Vậy tớ kết luận cách thứ 2 vẫn có khả năng có ! Cậu phản bác gì không ?

**Tuy nhiên hầu hết hacker ở VN thì toàn làm theo sau khi những lỗ hổng được công bố rộng rãi nên trong 1-2 năm tới thì có lẽ vẫn sẽ an toàn vì hacker thế giới còn bận tìm hiểu về nó =))

( Mr.Bright )

Đấy chỉ là cảnh báo thôi

Thật chẳng ra làm sao! Khi thông tin trên chỉ là cảnh báo. Mà các bạn xem lại: Việc cảnh báo xảy ra khi máy ATM bị cài mã độc trên máy (giả thiết của Jack là cắm được USB vào cây ATM). Ngoài khả năng của Jack (cắm USB) chỉ còn khả năng thâm nhập máy ATM thông qua hệ thống ngân hàng. Điều này rất khó, khi đã thâm nhập được vào hệ thống mạng ngân hàng rồi, bạn cần tìm được ACC của phần mềm quản lý ATM và biết cách điều khiển ATM chỉ có thể chuyển tiền từ ATM đến tài khoản nào đó. Còn rút tiền ư? Đừng có mơ. Tóm lại là: Đấy chỉ là giả thiết thôi.

( Member )

Không có gì là không thể

Vấn đề chuyên gia đưa ra chỉ là lời cảnh báo đối với các ngân hàng là luôn nâng cấp tính bảo mật của máy ATM, làm sao hạn chế tối đa các lỗ hổng trong máy ATM. Bảo mật 5 tầng hay 10 tầng cũng vậy thôi, tất cả khoá đều có chìa mở được. Có thể 1-2 năm chưa có người làm được, nhưng ai có dám đảm bảo sau 2 năm nó vẫn an toàn. Ông bà ta có câu " Vỏ quýt dầy có móng tay nhọn ".

( Trần Minh Đức )

Quá bình thường !!!

Em không phải là một chuyên gia IT nhưng có đọc khá nhiều sách về hacker và IT. Thứ nhất, nếu so sánh bảo mật giữa máy ATM và của hệ thống phòng thủ máy tính của Mỹ ( các cơ quan quan trọng ) cái nào quan trọng và phải được bảo mật tốt hơn thì chắc ai cũng biết. Thứ hai, thiên tài về máy tính trong lịch sử không có nhiều, và những thứ họ phải bỏ biết bao chẩt xám ra để "tìm thấy" thì họ có public để một người biết không hay họ giữ riêng cho họ. Biết đâu khi cần tiền họ cung hack vài cái ATM rồi. Và các ngân hàng bị hack rồi có dại dột để lộ thông tin ra để không còn ai sử dụng dịch vụ của họ. Các chuyên gia chưa nghe nhưng không phải là chưa có. Có thằng bán hàng nào la to nói với mọi người "hàng của tôi không tốt lắm đâu, mọi người cẩn thận khi sử dụng" Thứ ba, không gì là tuyệt đối Nếu cứ như lời các "chuyên gia" ở đây nói, thì cái hội nghị gì gì đó (em không rành cho lắm) nên dời về Việt Nam.

( nhoc )

Thật buồn cười

từ trước tơi nay không có vụ hack nào vì đơn giản là làm được điêù đó mà không bị ai phát hiên mới khó chứ không phải hệ thống bảo mật của ATM là hoàn hảo!
tôi có thể nói đơn giản thế này khi có được quyền điều khiển thì mọi thao tác của máy sẽ nằm trong tay bạn từ rút tiền cho đến mọi hoạt động khác còn cái thứ 2 người ta không nói là hack qua mạng ma chi nói là thong qua cách mà các các máy rút tiền giao dịch với nhà sảm xuất ra nó (không phải la ngân hàng) tức là may nào có đường giao dịch với nhà sảm xuất se có ngưy cơ cao! mình chỉ nói thế thôi còn đúng sai mọi nguoi tự suy nghĩ!

( du )

Trong thế giới mạng, không gì là không có thể

@Richbrother: Chào bạn, như vậy là bạn thừa nhận là máy ATM có thể bị hack thông qua 2 cách: Một là thông qua Social engineering, dùng mỹ nhân kế hay nam nhân kế gì đó, lừa mấy anh chị admin để tìm ra password. Hai là theo ý kiến của bạn: "Đối với ATM khi ta muốn tấn công ATM ngoài việc bạn phải hiểu rõ về hệ điều hành bạn còn phải hiểu biết chuyên sâu về phần mềm điều khiển ATM (điều này chỉ có những chuyên gia viết phần mềm điều khiển ATM mới biết được)." nghĩa là có thể tấn công ATM thông qua các phương pháp kỹ thuật. Và sở dĩ ATM chưa bị tấn công là vì chưa ai chịu nghiên cứu về nó, và những chuyên gia viết phần mềm điều khiển ATM chưa chịu truyền nghề cho ai đó (nếu ko cố ý thì là vô ý). Hoặc là những chuyên gia "có trình độ để tấn công chiếm dụng quyền kiểm soát tại ATM" chưa chịu xuất hiện? Từ những điều bạn phát biểu, tôi thấy rằng máy ATM có thể hack được, vấn đề là bạn chưa gặp được những người làm được điều đó thôi. Tại sao chúng ta ko tập trung suy nghĩ về những điều mới mẻ mà Jack vừa công bố. Thay vì cứ dựa vào những cái cũ, những kinh nghiệm cũ mà phản bác những cái mới ko nhỉ ??? Hồi xưa tổ tiên chúng ta luôn nghĩ những người bay trên trời là thần tiên, còn bị giờ tôi chỉ biết những người bay trên trời chỉ là những người đi máy bay thôi.

( Huy Pham )

Vấn đề đang trở nên phức tạp

Cho dù là ai đúng ai sai cũng được, người bị hại vẫn là khách hàng và câu trả lời cho lỗi lầm là "sự cố ngoài ý". Nếu như Jack là 1 nhà "tiên tri" đoán mò ra lỗi của máy ATM thì chúng ta cũng nên thừa nhận rằng chúng ta không có tài đoán trước tương lai. Một ngày gần khi điều đó xảy ra có lẽ sai lầm càng trở nên nghiêm trọng hãy có 1 chút gì lo lắng cho tương lai để khi nó không xảy ra ta sẽ thở phào "chúng ta không bị hại".
@Phi: "Và Phi cũng không phải tên thật tôi :)" Câu này của anh cũng có lẻ là 1 "sự cố ngoài ý" Nếu bài comment của anh được mọi người tán đồng có lẻ Phi là tên thật của anh rồi anh nhỉ?
Tên thật của tôi là DUY và mọi người gọi tôi là LENON.

( Lenon )

Bạn Phi phân tích rất hợp lý

Nhiều bạn nói Phi dốt vi tính, Phi "thiên tài" hơn Mr. Jack... Tôi nghĩ chính các bạn đó mới là những người dốt vi tính, duy ý chí khi cho rằng các chuyên gia Mỹ tầm cỡ như thế không thể thua kém người Việt. Hệ thống bảo mật nào cũng có thể hack được, vấn đề ở chỗ để thực hiện được thì hacker cần rất nhiều điều kiện, phương tiện, nguồn lực...và phải có "tay trong" v.v... Vì vậy, mức rủi ro là rất nhỏ có thể chấp nhận. Hơn nữa, đầu tư các phương tiện, nguồn lực vào việc ăn cắp tiền các máy ATM có khi không hiệu quả so với số tiền có thể lấy được, chưa kể có thể vào tù bất cứ khi nào...

( HN )

Bao biện

Khi mà trình độ của mình không hay, khi mà bản thân mình không thật sự tham gia và chứng kiến thì có nói bao nhiêu, giải thích bao nhiêu cũng chỉ là bao biện. Nếu ông Jack không làm được (theo như phân tích của Phi, thì đúng là vậy) thì khi ông ấy đứng lên "trình diễn" tại hội thảo công nghệ bảo mật Black Hat thì ông đã ăn trứng thối rồi. Nên nghe và sửa chữa, đừng nên huyễn hoặc cho rằng mình là nhất, là không thể xâm nhập... Tất cả chỉ là bao biện, Toyto VN cũng vậy.

( lion183 )

Chống trộm ATM

Kinh goi toa soan Toi xin co vai y kien de de phong ve chong trom tien cua nha nuoc va cac may ATM cua cac ngan hang trong thanh pho. Diem yeu cua may ATM la cung chung mot loai chia khoâ loi bat cap,viec da roi kho khac phuc nhuc diem .gio chi con bao mat bang cach gan camara o cac diem dat may ATM va tin hieu bao chong trom(giong nhu coi bao hieu chong trom xe Honda).Neu co ke dot nhap hoac khong phai nhan vien ngan hang mo may ATM thi may se keu len,,,tat nhien quan chung hoac co quan chinh quyen gan do se ho tro can thiep bat nhung ai muon dot nhap cuop tien o cac may ATM./.

( Tran Tien )

Cảm tính của những người làm IT

Tôi đọc một số comment của đồng chí Vua máy tính và Lam thấy thật tệ. Các bạn đã không hiểu ATM thì thôi còn chế trách PHI (qua đó đủ hiểu trình độ về IT nói chung và ATM nói riêng là như thế nào rồi). Tôi thấy Jack phân tích vấn đề về lỗ hỏng máy tính là có cơ sở và vấn đề của PHI đưa ra là hoàn toàn hợp lý và có chiều sâu. Điều đó chứng tỏ bạn rất giỏi về CNTT.
Điều thứ 2 tôi muốn nói là: Ông Phong của Cty Microtecvn trả lời phỏng vấn chẳng qua muốn làm yên tâm nhà lãnh đạo ngân hàng và khách hàng hoặc là Ông chẳng hiểu gì về CNTT mà ông chỉ biết bán máy ATM thôi.
Thưa các bạn, Tôi đã làm lĩnh vực này từ rất lâu (2001), đúng thật là ATM hiện nay đang có lỗ hỏng về khoá (khoá của ngăn kỹ thuật) như Jack đề cập và vấn đề lỗ hỏng thứ hai (hiện các ngân hàng VN đang gặp phải do chủ quan của cán bộ vận hành ATM) đó là quyền truy cập vận hành (admin của window). Hiện nay, hầu hết trong một hệ thống ATM của một ngân hàng đều dùng chung 01 loại user và 01 mật khẩu. Vì vậy các hacker có thể tấn công để chiếm dụng quyền kiểm soát ATM.
Cho đến thời điểm hiện nay, các chuyên gia IT chưa có đồng chí nào chịu khó nguyên cứu vấn tấn công vào ATM để chiếm quyền kiểm soát ATM. Đối với ATM khi ta muốn tấn công ATM ngoài việc bạn phải hiểu rõ về hệ điều hành bạn còn phải hiểu biết chuyên sâu về phần mềm điều khiển ATM (điều này chỉ có những chuyên gia viết phần mềm điều khiển ATM mới biết được).
Tôi có thể khẳng định rằng khi bạn chiếm được quyền điều khiển ATM, bạn có thể làm bất cứ việc gì tại máy ATM như: Ra lệnh cho ATM trả tiền...... mà không cần host cho phép.
Nói thẳng ra là hiện nay chưa ai có trình độ để tấn công chiếm dụng quyền kiểm soát tại ATM.

( Richbrother )

Nếu quá dễ dàng thì ai cũng làm được

@Phi: Điều đầu tiên mình muốn hỏi anh Phi có phải là hacker hay ko? Bài phân tích của anh ko đứng trên quan điểm của 1 hacker. Chỉ phân tích cái phương pháp và cách thức ATM vận hành và cho rằng để hack dc nó là ko thể. Mình có những ý này: - Bắt ATM nhả tiền là thông qua sợi dây mạng gắn vào ATM. Giả sử có 1 người nào đó có 1 tool có thể giải mã hết tất cả các tín hiệu truyền và nhận thông tin. Người ta gắn cái sợi dây mạng vào ATM thì bắt nó nhả tiền là hoàn toàn khả thi. - Người có khả năng viết được cái tool đó thì cũng có 1 vị trí cao trong xã hội rồi. Ko thiếu tiền đến nỗi phải đi làm 1 việc phạm pháp. Nếu cứ suy nghĩ theo kiểu trình tự vào máy ATM đúng thẻ vào, nhập mật mã, vào chỗ rút tiền, rồi rút. Hay muốn rút tiền thì phải qua host này host nọ theo đúng suy nghĩ của mình thì làm gì còn chuyện hack. Mình nghĩ chỉ cần làm khác trình tự theo lối thông thường 1 chút, ko theo đường ng ta đã dọn cho mình nhiều lúc lại được việc.

( GaBriella )

Lại là các chuyên gia

Tối nay, tôi có coi trên VTV1 phần trả lời phỏng vấn của 1 "chuyên gia về ATM" của 1 ngân hàng, vị chuyên gia đó giải thích là máy ATM tại Việt Nam được bảo vệ bởi 2 lớp khóa, két sắt của máy ATM được bảo vệ chống đạn này nọ,. Thật thất vọng tôi thấy những điều vị chuyên gia đó nói chỉ là can thiệp vật lý chứ vị đó chẳng biết gì về điều mà Jack công bố: chạy 1 chương tình xâm nhập trên máy ATM bằng cách gắn 1 usb (có thể là autorun) vào máy sau khi đã mở lớp khóa vật lý bên ngoài, và may tự phun tiền ra, chằng cần đụng tới cái khóa két sắt làm j cho tốn công. Về mặt lập trình điều này hoàn toàn là hoàn toàn có thể nếu như ng lậy trình nắm rõ về cách vận hành của máy ATM và các cơ chế mã hóa của máy ATM.

Nhân đây làm tôi nhớ đến bình luận của 1 bạn đọc :khi toyota công bố lỗi liên quan đến tay ga xe hơi trên toàn thế giới các chuyên gia (lại chuyên gia) của VIệt Nam ta ĐÃ HÔ HOÁN RẰNG các xe toyota bán tại Viet Nam vẫn an toàn, nay thì với vụ ATM, cũng có những chuyên gia Ngân Hàng Việt Nam phản bác điều ngược lại,, sống ở Việt Nam an toàn quá.
Sao chúng ta có nhiều chuyên gia giỏi tầm bằng hoặc cao hơn của thế giới mà toàn
đi nhập đồ công nghệ của các nước khác ko vậy.
Khó hiẻu qua, có chuyên gia nào ko? trả lời giúp tôi với

( Huy Pham )

Thầy bói xem voi

Gởi tất cả,

Ngoại trừ những ai đồng ý một phần vào Phi, A Sean Nguyen, và những ai tin vào hệ thống ATM đang có, tôi KHÔNG ĐÁNH GIÁ CAO các bác đánh đồng bảo mật ATM với bảo mật máy tính và mạng. Thậm chí đa số các bác nói về bảo mật ATM ở đây cũng chỉ ở mức "thầy bói xem voi" thôi. Nếu vấn đề thật sự là lỗi cơ bản, dễ tấn công thì có thể trước bài phân tích của ông Jack, TOÀN THỂ NGÂN HÀNG TRÊN THẾ SỬ DỤNG KÊNH GIAO DỊCH ATM ĐÃ BỊ MẤT TIỀN HÀNG LOẠT từ lâu rồi. Tôi nghi ngờ ngài Jack đang PR điều gì gì cao siêu ở hội nghị đấy.

Thân,

( Ngoc Pham )

Ở Mỹ tôi chưa thấy ai hack được máy ATM theo kiểu Hack PC

Tôi thực sự rất hào hứng và nhiều cảm xúc khi đọc các comment của các bạn VN nên tôi tranh thủ comment vài lời hi vọng sẽ có nhiều bạn đồng cảm. Theo như các comment thì chắc tôi không dám nhận làm chuyên gia nhưng hiện tôi đang công tác tại một tập đoàn tin học tại Mỹ. Thời gian làm việc với ATM thì khoảng 12 năm. Có một điều lạ là ở VN có một số người thường có một suy nghĩ là “Tây chắc chắc phải hơn ta” và “hội nghị to, công ty lớn thì mọi cái đều pro, đều hoàn hảo hơn cty nhỏ”. Bởi vậy mới có chuyện cty việt nam thuê tây ba lô rồi in danh thiệp với chức vụ cao ngất để đi giao dịch. Trung quốc cũng có tình trạng đó đấy các bạn ạ. Nhưng với thời gian sống tại Mỹ đã 17 năm tôi chưa thấy. Đáng buồn thay… Trở lại chủ đề bảo mật ATM, tôi thấy anh Phi dưới góc nhìn một chuyên gia thì chắc anh cũng có nhiều kinh nghiệm làm việc triển khai thực tế nên tôi đồng ý hoàn toàn với phân tích của anh. Tôi chỉ bổ xung thêm là công nghệ PR của Mỹ thì VN còn phải học hỏi nhiều. Tất nhiên các nhà sản xuất ATM cũng phải cảm ơn Jack vì nhờ ông ta mà họ kiểm soát an ninh trong phần mềm ATM được chặt chẽ hơn. Vấn đề về lỗ hổng khóa thì không phải các nhà sản xuất ATM không biết mà họ làm vậy để giúp ngân hàng quản lý dễ dàng hơn. Bạn tưởng tượng chỉ một chi nhánh ngân hàng tại Houston thôi mà số lượng ATM cũng đã hơn 1000 máy. Nếu nhân viên IT quản lý 1000 bộ chìa khóa thì sẽ thế nào? Còn lỗ hổng phần mềm thì trừ khi Jack nói rõ là hổng chỗ nào chứ nói chung chung vậy thì phần mềm nào mà chả có lỗ hổng. Hội nghị này tôi cũng biết vì họ spam mail mời tham dự nhưng cty tôi không cử người đi tham dự. Tôi cũng đang theo dõi xem IOActive Inc sẽ công bố gì? Welcome nhiều comment tích cực. Nhưng một bạn có kiến thức về IT nhưng chắc chưa làm về ATM hoặc các bạn nghĩ ATM nó đơn giản quá…nên comment khá là máu lửa. Ở Mỹ tôi chưa thấy ai hack được máy ATM theo kiểu Hack PC hay hack mạng nội bộ thường thấy. Bạn nào có thông tin về hack thành công ATM để bắt máy nhả tiền ra thì chia sẽ luôn để mọi người cảnh giác nhé.

( Frank Nguyen )

Hoan nghênh ý kiến chia sẻ của Phi

Cá nhân tôi hoan nghênh chia sẻ của Phi & nếu Phi không phân tích thì chắc mấy ai trong danh sách phản hồi (đặc biệt là các phản hồi tiêu cực) này biết mà chê bai này nọ, "Vua máy tính" nhỉ . Và tôi nghĩ một phần bác Phu cũng muốn mọi người không quá lo lắng thôi. Đương nhiên, cảnh báo thì chúng ta tiếp thu và ra soát. Còn mấy bác toàn lý thuyết suông mà đã chê người làm thực tế thì không ổn. Giỏi giang gì mà bàn hack với hack, làm thử tôi xem nào.

( minh )