Vietnam: A Hacker's Report

Disclaimer: this post contains solely my personal opinions. I do not speak for my employer or anyone else.

Last December I was invited to present on behalf of Google Security Team at Vietnam Information Security Day Conference, a national security event held annually by VNISA. The organizers always pick a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event, and this year can’t be more serious: Information Security and National Sovereignty. The conference has always been, however, a bad joke. It has zero technical content, all presentations are sponsors sales pitches. It's like a lost poor Vietnamese half-brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rich spoiled American kid named RSA Conference. One presenter spent 30' literally reading out loud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of Samsung from his slide deck to an audience that don't-care-just-come-here-to-have-free-lunch-and-to-escape-work. At some point I zoned out and wondered why I was even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Anyway it’s difficult to reject a free trip to Vietnam, and impossible once I’d told my SO. I also thought I might make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference a bit more interesting.



The discussion changed to information security strategy for Vietnam. I’m no cybersecurity strategist, I didn't really know what I was talking about, but I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country needs more and better engineers. I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m Coursera and Udacity and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir online courses taught by top professors, and that Vietnam should recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir certificates as valid credentials as soon as possible. They need to make information security more appealing to students, perhaps by holding a nationwide capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flag competition with big prizes, or by requiring private and public organizations at certain sizes or in certain sectors to hire at least one full-time security engineer. We chat a bit more, but I don’t remember what it was about.

The next day was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, which was bigger and more formal than I expected. Google was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gold sponsors, and I was assigned to give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second presentation, right after a government VIP who gave a leadership keynote, and successfully made most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendees asleep at 9 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning. From my experience and contacts, I know a lot of companies in Vietnam are spending all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security budget buying turn-key solutions and paying ISO 27001 consultants or PCI DSS auditors, and I want to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re doing it wrong.

I started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation saying that I had nothing to sell, but I just wanted to share some experiences of how we do security at Google. I showed a photo of taviso@ and asked if anyone knows him. I saw one hand, and it was a friend of mine. I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about Sophail, and explained why buying more devices or “APT solutions” does not necessarily result in better security. I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent disclosed vulnerabilities in Cisco ASA, F5 load balancers, and assured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that we've found vulnerabilities in anything that we've ever looked at. I emphasized that software always has vulnerabilities, and security software is just anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r type of software. If anything, security software is often more complex, and thus has more vulnerabilities.

This would for sure piss off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sponsors, but it’s exactly what I wanted to do. I wanted to make enemies not friends. I quoted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO of Sony in a 2007 interview with CIO Magazine that he would not invest "\$10 million to avoid a possible \$1 million loss”, and explained why risk management by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers alone does not work, and why people should not bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with things like ITIL or ISO 27001 unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to win contracts. It's like you don't need a CISSP to become a security engineer, unless your job requires it. I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m essentially what I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gentlemen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earlier meeting: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to spend all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir money on training and recruiting engineers, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to do that now. Google won’t hire an army of full-time security engineers, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s a off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf solution for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security problems we’re facing. Of course not every one is Google, but more on that just in a moment.

Every one in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry understands that breaking in a system is way easier than safeguarding it. I pointed out anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r asymmetry that many people are unaware of: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenders understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems better than any adversaries. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers get in, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might trigger a custom trap or trigger a signal that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenders have spent years building and tuning. No off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf solutions can do this, and having a team of competent security engineers is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to do it. Most small and medium businesses should stand on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shoulder of giants like Google or Amazon, and consider instead of building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own systems leveraging ready-to-use, usually cheaper and safer cloud services. For extremely sensitive data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might want to use end-to-end encryption to avoid leaking data to third parties.

I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk was well received. Aside from one sales representative from Trend Micro accusing me of lying to sell Google cloud services, many people greeted me afterward and said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation was eye-opening for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I was invited to meet with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team at Viettel, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest communications corporation owned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ministry of Defense. While I was talking to Viettel, a uniformed man interrupted us, and asked me to have a private conversation with him. We walked outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main conference room, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 man introduced himself as an officer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Security Agency at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ministry of Defense. I thought I was in trouble, because of things that I wrote on this blog. 

The officer said that he thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk was interesting, but immediately got down to business and asked if I can help him identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bloggers behind some blogs on blogspot.com(!?) “They just posted a few things, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n disappeared forever. We’ve tried to track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m down, but no luck. Can you give us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IP or email addresses?” I explained that I don’t have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to answer this question, but if he emails me I’ll route it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right person. I said that it’s unlikely that Google will do anything, as “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir culture is different from ours.” I don’t know why, but I wanted to pretend that even though I can’t do anything I’m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir side. Luckily, it’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only question that he had. I went back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main hall, but it wasn’t more than 5 minutes before I was asked by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uniformed man to have a private conversation with him. He’s anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r officer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ministry of Defense, and he asked me exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same question. I played cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same trick, and he let me go after explaining that this is a matter of national security, and as a Vietnamese it’s my responsibility to help him. It's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time during my trip I was asked to fulfill my citizenship duty by ratting out my own people.

A less serious but funnier encounter was with an engineer, friend of friend, working at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Security Agency at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Very Important Ministry that I don't want to call out to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir identity. Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensitive nature of her system, it’s a top secret that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engineer has relied solely on a friend of mine, who is not an employee at that ministry, on everyday operations security. “I’ve got a lot of guidances from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security agencies at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ministries, but I won’t trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m much because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves too seriously. Everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y sent was stamped Top Secret, even if it was a copy of Microsoft’s announcement that Windows XP was no longer supported”. They told me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir agency has bought all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability scanners ever made, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have no idea what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. “My boss always wants to buy concrete things. It’s easier to convince management that we’ve spent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money well by buying hardware, than doing intangible things like training cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 staff, but, most importantly, it’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to get kick back”.

So it isn't that we don't have money, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is as old as humanity: people with power are corrupted. Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raising tension against China, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se people, whose one job is protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country's information infrastructure, see nothing but an opportunity to pocket cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves a handsome share of government money. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 colluding vendors, sadly, are from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. One source told me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard kick back rate is as high as 30%, not including expensive parties or sexual bribes. I very much want to help defend my mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rland, and I know I'm capable of making meaningful contributions, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mere thought that I have to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se people makes me feel sick. Not that had anybody asked me, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y just don't care that much, or, perhaps, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y just don't trust me.

The last interesting bit that I’ve learned was how VCCorp got hacked. The company runs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country’s largest display ad network, and has an interesting portfolio of Internet products and services. They got hacked so bad that for several weeks during October and November most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir websites were down. A few reliable sources told me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers had compromised a web cache proxy at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest, state-owned ISP, and replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cached copies of Adobe Flash on Windows and Mac OS X with trojaned versions. Laptops and workstations of VCCorp’s sysadmins were infected, and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re everything else was hacked. What interesting was A68, code name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very powerful Information Security Agency at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ministry of Public Security, told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim and everyone involved that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident was a matter of national security. They seized control of all evidences, and forbade any public disclosures, even if millions of people are probably still infected. Why? I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to hide something. At any rate, if you travel to Vietnam, never install anything.

The last two weeks in my trip I spent most of my time organizing TetCon Saigon 2015. The conference was a huge success, we attracted 400 attendees and a nice line up of speakers. Organizing a conference is tiresome, raising money, selecting talks, talking to partners, arranging speaker details, etc. all that take a lot of precious time that I'd racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r spend with my family. Anyway what should be done needs to be done, and hopefully something good will come out of it. I was and am lucky with my career. I've got chances to see and work on wonderful things, and I take it as my duty to help some of my comrades get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances that I've got.