Xâm nhập thế giới hacker - kì 1: Cuộc đột nhập lúc nửa đêm Truy cập vào một địa chỉ thay vì một giao diện vốn rất ư đã quen thuộc ta lại bắt gặp một màn hình homepage (trang chủ) đen ngòm với dòng chữ lạnh lùng “Website này đã được hack bởi…”
Rồi một nội dung là hoắc lạ huơ, hết sức kỳ cục chiếm lĩnh toàn bộ website… Đã có bàn tay của hacker nhúng vào? Đó là điều chắc chắn!!!
Xâm nhập
Hôm nay là 27 rồi, G. truy cập vào
http://online.finternet.vn để xem cước internet tháng này của hắn là bao nhiêu. Hơn 1 triệu như thường lệ. Thông thường G. sẽ đón nhận con số này một cách bình thản, nhưng bây giờ nó đã trở thành một vấn đề lớn: hắn vừa mất việc tháng trước. Tuy mới chân ướt chân ráo vào đại học, nhưng G. đã là một web-developer khá lành nghề, chuyên phát triển các website thương mại từ hơn 1 năm nay. Công việc “out-sourcing" tại gia cũng giúp hắn kiếm được từ 400-700USD mỗi tháng.
G. mất việc tất cả là do FInternet. Hôm đó, hắn hẹn tay chủ 2h sáng sẽ "demo" cái dự án. "Remote Computer didn't response", là tất cả những gì hắn nhận được sau hàng trăm lần cố gắng kết nối vào FInternet. Thử mãi không được, cũng hơn 4h sáng rồi, G. quyết định đi ngủ. Ngày hôm sau, hắn nhận được email hủy bỏ cái dự án đang làm, và kể từ đó hắn cũng không còn nhận được bất kì dự án nào khác.
Càng nhìn con số 1.120.789đ, hắn càng tức. Dịch vụ thì tồi, giá cả trên trời, chất lượng không ổn định… Phải chơi tụi này một vố mới được, cũng là tự cứu mình.
G quyết tâm xâm nhập vào Finternet. Mục tiêu chính là hệ thống lưu trữ và tính cước. Sau 30 phút tìm hiểu, G. đã có kha khá thông tin. Website này được đặt trên một máy chủ WIMA (1), có địa chỉ IP -2- là 203.162.xxx.xxx. Đối với máy chủ WIMA thì cách xâm nhập dễ nhất là đi qua con đường web-application (ứng dụng web) chạy trên đó. Ngoài website
http://online.finternet.vn ra, máy chủ 203.162.xxx.xxx còn chứa nhiều website khác, đáng chú ý nhất là
http://news.finternet.vn và
http://friendclub.finternet.vn. Nếu không "mần ăn" gì được với
http://online.finternet.vn, ít nhất cũng còn có 2 website để "nghiên cứu".
Nếu dành nhiều thời gian hơn, G. vẫn có thể "táy máy" được với
http://online.finternet.vn, nhưng tại sao phải chọn cách khó trong khi có một cách khác dễ dàng hơn rất nhiều và sở trường của hắn lại là web-application. Vả lại
http://friendclub.finternet.vn ít phức tạp hơn, mà phức tạp là kẻ thù nguy hiểm nhất của bảo mật. Điều này là hiển nhiên, bảo vệ một tòa lâu đài nhiều lối ra ngõ vào, bao giờ cũng khó hơn rất nhiều so với bảo vệ một căn nhà trệt chỉ có một cửa ra vào duy nhất. Người làm tốt công tác bảo mật bao giờ cũng là người tuân thủ theo luật KISS! (3)
Ngay khi truy cập, theo thói quen, G. liền view source (4) của
http://friendclub.finternet.vn. Để xem nào, tác giả là
khoand@finternet.vn, công cụ dùng để tạo website là Microsoft FrontPage. Các đoạn Javascript trong website này không có thông tin gì hấp dẫn. Khoand – “Nguyễn Đăng Khoa chăng?”, ít nhất cũng đã có một cái tên, G. cẩn thận ghi chú lại. Ok! Tiếp theo làm gì? Cứ như một cái máy đã lập trình sẵn, G. bắt đầu dò tìm ngay công cụ quản lí website. 80% các website mà G. biết đều đặt công cụ quản lí website "khơi khơi ngoài mặt tiền" ở các thư mục như admin, quanly, editor, nhaptin...
Truy cập vào
http://friendclub.finternet.vn/webmaster/, màn hình hiện lên dòng chữ "Khu vực quản trị, xin vui lòng đăng nhập..." cùng với hai textbox ứng với tên tài khoản và mật khẩu. Như phản xạ có điều kiện, G. nhập ngay vào hai textbox chuỗi "1' or 1="1--"" (không có dấu ") (5), và nhấn Enter. "Xin chào Webmaster, chúc bạn một ngày làm việc vui vẻ", không thể tin được, trước mặt G. bây giờ là công cụ quản lí toàn bộ thành viên của website
http://friendclub.finternet.vn/.Như bản năng, G. tìm ngay hồ sơ của tài khoản webmaster và tài khoản khoand với hi vọng lấy được vài thông tin hữu ích. Xem nào, đúng như hắn đoán, tên thật của khoand là Nguyễn Đăng Khoa, lớn hơn hắn 4 tuổi, sống ở TP.HCM. G. kéo lẹ thanh trượt xuống phía dưới, dáo dát tìm cái mà hắn đang chờ đợi. À, đây rồi, mật khẩu. 100% website mà G. "viếng thăm" đều không mã hóa mật khẩu của người dùng, một sơ hở rất đáng trách, lần này cũng không ngoại lệ. Có vẻ như webmaster và khoand là cùng một người, bởi cả hai đặt mật khẩu giống nhau: lotus. Đối với G., đến được đây này thì coi như hắn đã đi được nửa chặng đường, và nếu như may mắn, hắn có thể đi hết nửa chặng còn lại trong tích tắc. Và hắn đã may mắn thật!
Mật khẩu: Điểm chết của website!
Tạm dừng đôi chút, G. xác định lại cái "goal" của hắn khi xâm nhập vào FInternet là gì. Dùng Internet miễn phí càng lâu càng tốt, "hô biến" cái cục nợ 1 triệu mấy của tháng này đi, và dạy cho tụi FInternet một bài học. Dĩ nhiên, đối với một tay hacker "già đòn" như G., hai mục tiêu đầu là quan trọng nhất. Khi mới bước chân vào thế giới hacking, ai cũng muốn chứng tỏ mình bằng cách deface (6) hết website này đến website khác. Đối với hắn, cái thời deface lung tung đã qua từ lâu, bây giờ G. chỉ ra tay khi việc tấn công đem lại lợi nhuận gì đó cho bản thân hắn, và dĩ nhiên “con chuột” G. cũng không dại gì "bứt dây động rừng" một khi đã vào được "hũ nếp". Xét cho cùng deface là một trai thái bình ngu xuẩn, không chứng minh được gì, chỉ tổ rước vạ vào thân, lại còn mất nguồn lợi nữa chứ.
Từ khi bắt đầu đến giờ, G. luôn làm theo "best practices", hắn luôn chọn con đường ngắn nhất, dễ nhất để mà đi đến mục tiêu cuối cùng. Sở dĩ hắn nhanh chóng tìm mật khẩu cùng những thông tin khác của webmaster và khoand (và tất cả nhân viên FInternet mà hắn biết) là bởi vì hắn biết nhân viên FInternet thế nào cũng được sử dụng Internet miễn phí. Và tồn tại một sự thật là con người ta thường trở nên rất ngờ nghệch khi chọn một mật khẩu cho mình. 80% sử dụng tên tuổi, địa chỉ, số nhà, số điện thoại để đặt mật khẩu, và nguy hiểm hơn họ dùng ngay mật khẩu đó cho tất cả tài khoản của mình, từ tài khoản truy cập Internet, đến hộp mail Yahoo! và đôi khi dùng làm số PIN cho thẻ ATM luôn. Một thói quen rất nguy hiểm. Mật khẩu của G. dài 20 kí tự, bao gồm chữ cái hoa, chữ cái thường, chữ số, cả kí tự đặc biệt như #$%^*...và hắn dùng một mật khẩu khác nhau cho mỗi loại tài khoản khác nhau. Vậy mà hắn cũng còn chưa an tâm, mỗi 2 tháng là hắn lại đổi tất cả mật khẩu, và không bao giờ sử dụng lại bất kì mật khẩu nào. Tại sao lại có nhiều người thờ ơ với chính sự an toàn của bản thân họ đến thế nhỉ?
Có được mật khẩu của khoand, G. thử dial-up (7) vào FInternet. Bingo! Modem sau một tràng dài "tò te tò te" cuối cùng đã kết nối thành công. Quá đã! Coi như mục tiêu số một "gần như" đã được hoàn thành. Đối với FInternet thì mật khẩu vào internet cũng là mật khẩu tài khoản email, do đó G. liền đăng nhập vào hộp mail
khoand@FInternet.vn qua chương trình Webmail của FInternet tại địa chỉ
http://mail.FInternet.vn.Wow! Quá trời email! Chắc hẳn có rất nhiều thông tin bổ ích đây, G. tự nhủ. Tất cả email đều chưa được đọc, có vẻ như khoand không sử dụng chương trình Webmail này, mà thay vào đó dùng dùng một chương trình email như Outlook Express chẳng hạn, lấy mail về nhưng lại chọn chế độ lưu một bản sao trên máy chủ. Tại sao lại lưu một bản sao khi không bao giờ dùng đến chúng? Email trên internet giống như thư từ ngoài đời, có ai lưu lại một bản sao các lá thư của mình để ở thùng thư trước nhà? G. luôn xóa email ngay khi đọc xong, không bao giờ chọn chế độ lưu lại email đã gửi. Đối với email quan trọng, G. luôn mã hóa trước khi gửi đi và yêu cầu người nhận khi trả lời phải mã hóa luôn. Quay trở lại hộp mail của khoand, G. đếm thấy có hơn 100 cái, trong đó có rất nhiều cái có file đính kèm khá lớn (mã nguồn của một chương trình nào đó chăng?). Nhìn sơ qua tiêu đề, hầu hết các email là những cuộc trao đổi, trò chuyện của khoand với những người cùng phòng tại FInternet. Việc đầu tiên G. làm là download hết tất cả email này về máy tính của hắn, không quên chọn chế độ để lại một bản sao trên máy chủ. Công việc này mất khá nhiều thời gian do đường truyền khá chậm, trong thời gian chờ đợi, G. tranh thủ đi tắm và ăn một miếng cơm, từ tối giờ hắn chưa bỏ gì vô bụng. Gần 2 tiếng đồng hồ sau, G. quay lại, tất cả email đã được download xong tự bao giờ.
G bắt đầu duyệt qua các email theo thứ tự từ cũ nhất đến mới nhất. Với mỗi email, chưa cần đọc nội dung, hắn liền lưu lại tất cả địa chỉ người gửi, người nhận, và file đính kèm nếu có. Có rất nhiều thông tin hấp dẫn trong đám email này, nhưng đáng chú ý nhất là một email có nội dung như sau: Một proxy (8) cho phép kết nối từ bên ngoài vào!
Woa! Cánh cửa mà hắn tốn công tìm chìa khoá giờ đã mở. Những công việc còn lại với hắn chỉ như một trò trẻ con. Hắn đã vào được nhà, có thể ra vô từng căn phòng, di chuyển đồ đạc trong phòng thế nào cũng được. “Ngôi nhà thông tin” của Finternet giờ đã thành nhà của hắn…
------------------------
Vì tính an toàn, chúng tôi không sử dụng những trang web thật. Trang web trong bài chỉ là một ví dụ.
-1-: máy chủ WIMA là máy chủ chạy hệ điều hành Windows, với hệ cơ sở dữ liệu MS SQL, máy chủ web IIS và ngôn ngữ lập trình web ASP (ASP.NET). Ngoài WIMA ra thì còn có LAMP (hệ điều hành Linux + máy chủ web Apache + hệ cơ sở dữ liệu MySQL và ngôn ngữ lập trình web PHP) cũng là một dạng cấu hình rất thường gặp.
-2-: mỗi máy tính khi kết nối vào Internet, đều được gán cho một địa chỉ, gọi là địa chỉ IP (IP viết tắt của Internet Protocol) dùng để xác định máy tính đó trên Internet. Thông thường ở Việt Nam thì các IP này là IP động cho mỗi lần kết nối.
-3-: KISS = Keep It Simple, Stupid!
-4-: xem mã HTML của website. Trong Internet Explorer, bạn có thể view source một website bằng cách nhấn chuột phải, chọn View source.
-5-: G. đã tấn công vào FInternet sử dụng SQL Injection. SQL Injection là một cách thức tấn công khai tác lỗi trong việc kiểm tra dữ liệu đầu vào của các ứng dụng, để từ đó chạy các câu lệnh truy vấn dữ liệu SQL có lợi cho kẻ tấn công. SQL Injection xảy ra ở tất cả các phần mềm có sử dụng ngôn ngữ truy vấn dữ liệu SQL, và thường gặp nhất là ở các web-application.
-6-: thuật ngữ chỉ trai thái bình thay đổi, làm biến dạng một website nào đó để gây chú ý.
-7-: kết nối bằng cách quay số thông qua modem.
-8-: proxy: giống như firewall (bức tường lửa), được thiết kế để bảo vệ tài nguyên trong các mạng cục bộ khi nối kết các mạng khác như mạng Internet.
Xâm nhập thế giới hacker (kỳ 2): Truy tìmMột buổi sáng thứ hai đầu tuần như mọi ngày đầu tuần khác, P. - tổng giám đốc của công ty A., ngồi đọc các email từ đối tác, cấp dưới, thông tin phản hồi của khách hàng … Nhưng hôm nay, TGĐ P. bị thu hút bởi một email có tiêu đề đẫm mùi giang hồ “Công ty A - Sống hay Chết?” từ địa chỉ email của giám đốc phụ trách kỹ thuật với nội dung thông báo rằng toàn bộ hệ thống mạng của công ty đã bị kiểm soát.
Đáng ngạc nhiên hơn là email gửi kèm một file chứa cấu trúc thư mục của một số máy chủ phục vụ web đặt tại văn phòng chính cùng với yêu cầu một số tiền lớn để giữ im lặng và không khai thác dữ liệu về khách hàng của công ty. Chẳng những vậy, kẻ tống tiền còn đồng thời kèm theo một lời cảnh cáo rằng không nên đụng gì tới các máy chủ đã bị xâm nhập nếu không sẽ phải trả giá đắt!
“Một chuyện đừa ư? Thế này thì không thể nào đùa rồi!”, TGĐ P. tự nhủ. Bốc điện thoại, điện ngay cho GĐ kỹ thuật M. và P. nhanh chóng được xác nhận rằng M. không hề gửi một email nào như thế. Bộ phận IT của công ty nhanh chóng bắt tay vào việc và đưa ra giải pháp cho tình huống. Họ rút cable của máy chủ tình nghi bị xâm nhập ra khỏi hệ thống mạng nhưng lập tức, màn hình các máy chủ này lập tức xuất hiện những hình hoạt hình nhảy múa và rồi tất cả chỉ còn một màu đen! Nhân viên bộ phận IT hốt hoảng tắt máy và gọi điện cho tôi.
Chứng cứ
Ngay chiều hôm đó, tôi có mặt tại “hiện trường” xảy ra “vụ án”. “Tổ chức khá quy mô và bài bản”, tôi tự nhủ sau khi tiếp cận với hệ thống mạng của công ty A. Hệ thống mạng của công ty này sử dụng một Hardware Firewall (HF) của CISCO có chức năng VPN, một Proxy Server kiêm luôn chức năng làm Software Firewall (SF) chạy trên nền Linux. Toàn bộ hệ thống được đặt sau Firewall (tường lửa), biệt lập hoàn toàn với Internet và không chấp nhận bất cứ một kết nối nào từ bên ngoài. Như vậy các cuộc tấn công từ ngoài vào sẽ được loại bỏ ngay bởi HF. Tôi lập tức đặt ra 2 giả thuyết: 1. Hệ thống đã bị tấn công từ bên trong bởi nhân viên của công ty; 2). HF có lỗi và bị khai thác lỗi đó.
Theo cảm tính và kinh nghiệm làm việc, tôi kiểm tra ngay phần HF để có thể loại trừ bớt các trường hợp ít có khả năng xảy ra. Đây là loại HF hiện đại vào bậc nhất của CISCO vào thời điểm hiện tại. Firmware (2) của HF đã được cập nhật phiên bản mới nhất từ nhà cung cấp CISCO và tính tới thời điểm cuộc tấn công bị phát hiện, vẫn chưa có một lỗi bảo mật có thể khai thác nào về dòng HF này được nhà cung cấp cũng như các website bugtraq thông báo. Có thể loại bỏ trường hợp bị tấn công trực tiếp từ bên ngoài? Vẫn chưa có gì chắc chắn cả!
Quay lại các máy chủ đã bị “chết”, tôi ngán ngẩm khi biết rằng toàn bộ các máy chủ đó đã bị xóa sạch sẽ. Trên ổ cứng của 3 máy chủ chỉ còn lại một tập tin 0wned. Cũng may là dữ liệu khách hàng của các máy này đã được sao lưu trên ổ băng từ. Như vậy là hiện trường xảy ra vụ án đã bị phi tang sạch sẽ. Mọi cố gắng phục hồi dữ liệu trở nên vô nghĩa khi ổ cứng bị ghi đè lên một bảng FAT mới. Điều này cũng đồng nghĩa với việc các đầu mối để điều tra cuộc tấn công đã bị xóa sạch và cuộc điều tra lại cuộc tấn công của hacker được đưa vào một ngõ cụt tối tăm. Tôi kết thúc một ngày mệt mỏi với hàng trăm dòng syslog của HF và 3 cái máy chủ đã bị xóa sạch ổ cứng.
Lần theo dấu vết
Ngày hôm sau, sau đợt tổng kiểm tra HF, tôi quay lại với manh mối duy nhất lúc đó là email đã được gửi tới tổng giám đốc của công ty. Phân tích email header và log của mail server, tôi nhận ra rằng email này được gửi từ IP 192.168.4.36. Như vậy giả thuyết hệ thống bị tấn công từ bên trong có vẻ khả thi và rõ ràng nhất nhưng công ty có cả một hệ thống mạng lớn với rất nhiều trạm làm việc khắp nơi trên thế giới. Tôi yêu cầu bộ phận IT xác định IP này thuộc chi nhánh nào. Các thông tin về IP 192.168.4.36 được nhanh chóng thu thập.
Cnslookup
Default Server : ns1.company.com
Address : 172.160.7.41
>192.168.4.36
Server : ns1.company.com
Address : 172.160.7.41
Name : 192-168-4-36-TS.sales-vpn2.e-asia.company.com
Address : 192.168.4.36
Những thông tin này khá hữu ích. Nhờ nó mà tôi biết được email này được gửi từ chi nhánh Y và chiếc máy sở hữu địa chỉ IP này chính là một máy trạm (workstation) làm việc của nhân viên K. - một nhân viên làm việc lâu năm trong công ty. Máy tính này sử dụng hệ điều hình Windows 2000 Professional. Theo yêu cầu của ban quản lý, ổ cứng của máy tính này nhanh chóng được tháo ra và chuyển tới văn phòng chính.
Hai ngày sau. Ổ cứng của máy tính từ chi nhánh Y đã được chuyển tới. Tôi gắn nó vào một máy tính độc lập với mạng của công ty A. và đăng nhập với mật khẩu của Administrator để bắt đầu quá trình kiểm tra. Hệ thống hoạt động bình thường. Các phần mềm được cài đặt đều là phần mềm nằm trong quy định của công ty.
Mọi thứ không có gì bất thường cả. Tuy nhiên, mọi thứ bắt đầu bất thường khi tôi kiểm tra tới các tài khoản người dùng trên hệ thống. Ngoài các tài khoản Administrator, Guest, NVK (vốn là tài khoản của nhân viên K.) tôi đã tìm thấy một tài khoản khác đó là tài khoản 0wn. Tôi điện cho K. và được anh ta xác nhận rằng không hề cài thêm bất cứ một account nào trên hệ thống. Như vậy tài khoản 0wn là một account được tạo ra để lần sau đăng nhập dễ dàng hơn chăng?
Tiếp tục kiểm tra các xử lý (process) đang chạy trên hệ thống, tôi tìm ra một process có cái tên hay tuyệt: system32.exe. Process này nằm ngay cạnh system32.dll (một tập tin thư viện động của hệ thống). Phải công nhận rằng tay hacker này cũng rất thông minh khi đặt tên của backdoor (3) trùng tên với một tập tin hệ thống. Nó dễ dàng đánh lừa những người thiếu kinh nghiệm và cả những người có kinh nghiệm nhưng thiếu cẩn thận. Bằng lệnh dir cùng khóa chuyển /s tôi nhanh chóng xác định được vị trí của tập tin system32.exe. Nó được đặt tại 2 thư mục là WIN2K/SYSTEM32 và WIN2K/SYSTEM32/DLLCACHE.
Uhm, system32.exe này là cái gì vậy nhỉ? Tôi quyết định chạy thử xem nó là cái gì. Sau một hồi loay hoay với đủ các khóa chuyển, tôi xác định được nó chính là netcat. Một công cụ quen thuộc của các quản trị viên và cũng là một backdoor lợi hại của những kẻ xâm nhập. Nó như một chiếc đũa thần cho những kẻ xâm nhập với hàng loạt những chức năng như kết nối tới một máy chủ, quét cổng, truyền tải tập tin, và hoạt động như một backdoor.
Kiểm tra thư mục Start Up của hệ thống – hoàn toàn bình thường, không hề có một file nào gọi tới system32.exe. Kiểm tra hệ thống System Registry, tôi chợt mừng húm vì cảm giác mình khám phá ra thêm một manh mối, system32.exe đã được gọi khi máy khởi động với khóa chuyển như sau: system32.exe -p 23985 -d -L -e cmd.exe.
Wow, kiểm tra tiếp thử xem sao! Tôi sử dụng telnet vào localhost với port 23985 và kết quả nhận được là một shell lệnh của hệ thống Windows với dấu nhắc C quen thuộc.
Một bức tranh sơ lược nhanh chóng được phác họa trong đầu tôi: hacker tấn công vào máy trạm của nhân viên K. để chiếm quyền điều khiển. Sau đó dùng máy này tấn công tiếp vào các máy trong trụ sở chính và gửi email để “xin tiền”. Có vẻ hợp logic nhưng vẫn có vài điểm chưa thuyết phục. Đó là gì nhỉ? Tôi mệt mỏi thiếp đi và đành khám phá câu trả lời vào ngày mai.
Xâm nhập thế giới hacker, kỳ 3: Lộ mặtMột ngày mới bắt đầu. Đây cũng là ngày thứ năm tôi lần theo dấu vết của kẻ giấu mặt. Tôi bắt đầu lật lại những giả thuyết của ngày hôm qua và kiểm tra chúng. Tay hacker này làm thế nào để quản lý từ xa máy của K. khi mà máy này được đặt dưới một lớp Firewall tích hợp Router của CISCO? Tất cả những kết nối từ Internet tới các cổng (port) không phải là port chuẩn sẽ bị tường lửa lọc và loại bỏ ngay từ đầu.
Đó là một điểm vô lý! Hoặc những chứng cứ này chỉ là hỏa mù cho một mục đích khác? Phải chăng K. mới chính là người đã tấn công hệ thống và dựng lên con backdoor netcat để đổ tội cho một tay hacker nào đó? Nếu không phải K. là thủ phạm thì làm thế nào tay hacker đó cài đặt được con netcat lên máy của K? Vì rõ ràng máy của K ko hề nằm trong bảng NAT của Router. Những câu hỏi, giả thuyết trái ngược nhau cứ rối beng lên trong đầu tôi.
Bắt đầu sắp xếp lại mọi thứ, tôi bắt tay bằng System Registry của hệ thống. Tại sao? Ngày giờ khởi tạo khóa trong Registry để chạy con backdoor kia khi hệ thống khởi động chính là ngày mà tên hacker đó làm chủ hệ thống? Uhm, ngày 28 tháng 01 năm 2005! Tôi tiếp tục bằng việc đọc system log của hệ thống mặc dù biết rằng một tay hacker "gà" nhất cũng sẽ xóa bỏ dấu vết của mình trên hệ thống đã bị xâm nhập. Nhưng mặc kệ, cứ đọc đi, kinh nghiệm cho thấy không nên bỏ qua bất cứ một chi tiết nào dù là những chi tiết nhỏ nhất.
Ngày 28 tháng 01 năm 2005 là ngày hệ thống bị xâm nhập, tôi bắt đầu từ đó. Đúng như tôi dự đoán, system log đã được rửa sạch sẽ không một chút dấu vết nào, còn lại có thể nghi ngờ ngoài trừ việc system log của nhiều ngày liên tiếp giống nhau như anh em sinh đôi. Dễ hiểu thôi, đó chính là một system log giả mà hacker đã tạo ra để copy lên system log thực của hệ thống. Bế tắc!!! Phải nói là tay hacker này khá thông minh. Hắn quá cẩn thận khi xóa sạch mọi thứ và chuẩn bị cả một system log giả để đưa vào thay thế cho system log thật đã bị xóa đi. Mọi đầu mối lần ra nguyên nhân bị xâm nhập của hệ thống có vẻ như đã bị triệt tiêu. Mọi thứ cứ như nằm dưới một màn sương mờ ảo, vừa ẩn vừa hiện, vừa có vẻ rõ ràng nhưng lại vừa khiến cho tôi phải nghi ngờ về tính xác thực của chúng. Thực sự, mọi thứ đã đi vào ngõ cụt. Tôi cảm thấy không còn đường để đi nữa.
Nhận diện
Một ngày sắp kết thúc! Đêm về khuya và tôi đi dạo sau một tách cafe nóng. Chân bước đi nhưng trong lòng rối bời vì những sự kiện mà tôi đã thu thập được. Ngồi xuống ghế và bắt đầu thư dãn, tôi nghĩ tới sự đổ vỡ của cả hệ thống của công ty A. nếu như không tìm được nguồn gốc của cuộc tấn công và ngăn chặn chúng.
“Đổ vỡ”! Bất chợt trong đầu tôi vang lên. “Ừ, tại sao không nhỉ? Nếu tôi là tay hacker đó, thì tôi sẽ làm thế nào để chiếm quyền cái máy trạm của K. trong khi không thể kết nối tới máy đó nếu không được sự cho phép của Router? Đường nào sẽ có thể tiếp cận với máy của K.? Tất nhiên là qua những dịch vụ truyền thống Internet rồi!!!”. Tôi lập tức quay trở lại bàn máy và phân tích log của hệ thống ở những phần đã bị crashed (gãy đổ) và mọi thứ nằm ngoài tưởng tượng của tôi. Ngay trước khi System Registry bị ghi vào khóa khởi động netcat là sự đổ vỡ hàng loạt của trình duyệt Internet Explorer. À há..... Vấn đề chính là đây! Tôi bắt đầu lên các trang bugtraq để tìm kiếm thông tin về lỗi bảo mật của trình duyệt IE.
Và rồi những gì cần có đã có. IE bị mắc một lỗi nghiêm trọng cho phép hacker khai thác lỗi này từ xa thông qua một trang web và khi người dùng truy cập tới trang web này, một đoạn mã sẽ được tự động tải xuống và thực thi. Vậy là đã rõ, “hắn” – kẻ “xin tiền” giấu mặt đã khai thác lỗi của trình duyệt IE để cài netcat lên máy của K.. Nhưng port 23985 hoàn toàn không nằm trong bảng map NAT (Network Address Translation) của Router.
Vậy làm sao hắn ta có thể quản lý từ xa được máy của K. nhỉ? Hay là lỗi của Router? Tôi lập tức gọi cho quản trị mạng ở chi nhánh Y để hỏi mật khẩu truy cập vào Router. Và một bất ngờ nữa được tôi đón nhận ko mấy thích thú: tôi không thể đăng nhập vào Router bằng mật khẩu mà quản trị mạng của chi nhánh Y đã đưa. Nhưng như vậy là đã đủ. Tôi hài lòng với những gì mình thu nhận được trong ngày và quyết định đi ngủ để chuẩn bị cho ngày mai.
Lộ mặt
Một ngày làm việc bắt đầu với các dữ kiện đã được xâu chuỗi và bức tranh của cuộc xâm nhập đã hiện ra rõ ràng hơn. Đầu tiên, nhân viên K. truy cập vào một trang web để tìm cách bẻ khoá phần mềm hiệu chỉnh văn bản trên máy của anh ta. Trang web này ngoài file bẻ khoá phần mềm ra, tác giả đã hào phóng tặng cho K. một con backdoor netcat và một đoạn mã lên máy của K..
Đoạn mã thực thi ngay lập tức một lệnh để gửi một email về cho hacker IP WAN của hệ thống mạng trong công ty A. Hacker đã sử dụng hình thức brute force để bẻ mật khẩu của Router sau đó sử dụng nó để NAT port 23985 từ máy của K. ra ngoài. Nhân viên quản trị mạng của chi nhánh Y đã mắc phải một sai lầm nghiêm trọng khi đặt một mật khẩu quá đơn giản và dễ đoán cho Router. Và kết quả, điều đó đã tiếp tay cho kẻ tấn công. Sau khi xâm nhập vào được máy của K., hacker đã dùng máy này để tấn công tiếp vào mạng của công ty A. đặt tại trụ sở chính. Tài khoản VPN của K. đã được sử dụng để kết nối tới mạng tại trụ sở chính. Và đó là lí do tại sao mà các máy chủ tại trụ sở chính bị hack khi mà hệ thống máy chủ đó hoàn toàn nằm độc lập với mạng Internet. Tôi kết thúc một ngày với tách cafe tự thưởng cho mình sau khi đã có cái nhìn rõ ràng hơn về cuộc tấn công vào hệ thống.
Ngày thứ bảy. Tôi bắt đầu tổng kết về cuộc tấn công và đề ra kế hoạch khắc phục lại toàn bộ hệ thống cho công ty A.. Bắt đầu bằng việc rà soát lại toàn bộ chính sách bảo mật (security policy) của công ty và thay đổi những điều chưa hợp lý. Tất cả các mật khẩu của hệ thống được đặt lại theo “policy” mới, khó đoán hơn, an toàn hơn và tất nhiên cũng khó nhớ hơn. Các máy trong hệ thống máy tính đều được cài đặt trình quét virus và tường lửa cá nhân để tránh những trường hợp các hacker khai thác lỗi của trình duyệt cài đặt các đoạn mã độc hại. Các máy chủ đã bị xâm nhập được cài đặt lại sau đó nâng cấp các bản sửa lỗi nhanh (hot fixes) và các các bản sửa lỗi định kì từ nhà cung cấp Microsoft (services patch). Toàn bộ dữ liệu backup được phục hồi lại từ băng từ. Phải nói rằng rất may là chính sách sao lưu giữ liệu đã cứu cho công ty A. một bàn thua trông thấy.
Sau những ngày mệt mỏi, tôi tự thưởng cho mình một ngày thư giãn và rút lại những bài học cho mình.
1. Không có gì là tuyệt đối cả. Một hệ thống chắc chắn tưởng chừng như không thể xâm phạm từ bên ngoài đã bị đánh sập trước một hacker từ bên ngoài.
2. Hãy tôn trọng địch thủ của mình. Hệ thống bị xâm nhập và đội ngũ kĩ thuật của công ty A. đã coi thường lời cảnh báo của tay hacker trong email đe dọa của hắn. Nếu như dữ liệu khách hàng không được backup hàng ngày, có lẽ hậu quả sẽ còn nghiêm trọng hơn rất nhiều.
3. Tôn trọng chính sách bảo mật của công ty đồng thời tự bản thân mỗi nhân viên phải có ý thức về những việc mình làm. Nếu như nhân viên K. không truy cập vào các site cung cấp crack (vốn đầy rẫy virus, trojans, backdoors, adware, spyware ....) thì có thể hệ thống máy chủ của công ty A. sẽ không bị xâm nhập.
4. Hãy đặt mình vào vị trí của hacker để có những giả thuyết hợp lý để xử lý các tình huống.
5. Luôn luôn tỉnh táo nhìn nhận sự việc ở nhiều góc độ, tránh bị những cái bẫy của các hacker hạ đo ván.
6. Và cuối cùng, một câu nói muôn thưở mà chúng ta đã nghe nhắc nhiều lần : “Bảo mật thông tin nằm trong ý thức của mỗi con người”. Không thể nói rằng, chúng tôi có một chính sách bảo mật tốt, một hệ điều hành tốt, một firewall tốt, một máy chủ mạnh và chúng tôi sẽ đảm bảo an toàn thông tin của mình. Đó là một trong những quan niệm sai lầm phổ biến của các nhà quản trị hệ thống.
Xâm nhập thế giới hacker kỳ 4: "Phù thuỷ" cõi "không dây"Phải chăng hacker nào cũng thức thâu đêm bên máy tính, luôn mặc áo đen, sống khác người…Những cuộc trò chuyện góp nhặt với các thầy phù thuỷ của cõi không dây sẽ giúp bạn hiểu hơn về thế giới này. Bài học vỡ lòng: hacking!
“Chào anh! Anh nói chuyện với em nhé?!”, không biết bao lần tôi gửi thông điệp để làm quen với M. (+), một cao thủ về vi tính, theo lời giới thiệu của người bạn nhưng vẫn bặt âm vô tín. Một ngày đẹp trời nọ (đối với tôi), khi tôi đang online trò chuyện thì bất ngờ nhận được reply (trả lời) của “thần tượng”. “Nào! Cần hỏi gì đây?”. Tôi như mở cờ trong bụng và cảm ơn rối rít. “Anh có thể chỉ em cách hack được không? Em khoái “hack” lắm…”, tôi “nhờ vả” khi cảm thấy “mình và thần tượng hơi hơi thân” M. yên lặng. “Hic hic, chắc giận rồi”, tôi nhủ thầm và hơi hoảng hốt nên không ngớt gõ câu xin lỗi.
"Em hiểu thế nào là "hack"?”, M. đột ngột hỏi sau một hồi im lặng. Hỏi mẹo tôi đây mà. “Ai chả biết hack là xâm nhập vào một máy tính, một hệ thống nào đó!”, tôi tự tin gõ câu trả lời. Một loạt biểu tượng cười ngả nghiêng hồi đáp cho câu trả lời của tôi. “Em lầm rồi, ‘hack" không phải và không chỉ đơn giản là "thâm nhập vào một máy nào đó!’”.“Ai cũng bảo em thế!”, tôi chống chế. “Thế theo anh hack là gì?”. “Theo anh? Vậy ý em, theo anh nghĩ thì khác, theo em nghĩ thì khác và theo ai đó nghĩ thì khác về khái niệm "hack" là gì phải không? Nếu vậy thì theo anh, chỉ có hai khả năng: hiểu đúng hoặc hiểu chưa đúng về cái gọi là "hack", thế thôi. Theo anh (hiểu), "hack" là sự sửa đổi nào đó có dụng đích rõ ràng trên hệ thống và sự sửa đổi này làm thay đổi "thái độ" làm việc của hệ thống ấy. "Sửa đổi" này là một trong những biểu thị của việc "hack". "Thái độ" này đúng hay sai, thiện hay ác, ngắn hay dài... là chuyện khác”, M. tuôn một tràng.
"Gì mà khó khăn, rắc rối vậy? Bộ không có một phần mềm nào đó, mình chỉ cần gõ tên hoặc địa chỉ của máy mình muốn thâm nhập và mình... "chui" vào máy đó sao?”, tôi hỏi. Những biểu tượng cười ngã nghiêng kèm theo sự thất vọng lại hiện lên trên màn hình chát. "Tất nhiên là có phần mềm làm những chuyện này ở mức độ nào đó. Tuy nhiên, dựa vào phần mềm để làm chuyện này có lẽ không còn là "hack" nữa”, M. giải thích. "Nhưng... mục tiêu cuối cùng là thâm nhập. Không cần biết mình dùng công cụ nào, miễn sao thâm nhập được là... xong”, tôi cãi lại.
M. phá lên cười và gửi tặng tôi 4 cái biểu tượng thất vọng cùng một lúc. “Nếu thế thì lẽ ra em phải hỏi anh thế này: "anh có biết công cụ nào dùng để rà và thâm nhập vào máy nào đó hoàn toàn tự động mà mình không cần làm gì hết?", thay vì: "Anh có thể chỉ em cách hack được không?". ‘Hack" với dụng đích nào đó dù tốt hay xấu đều có sự lý thú của nó. Ở chỗ đó là một sự thách thức để mình phải suy nghĩ, phân tích, tìm tòi và giải quyết. Thiếu mất điều này, "hack" chẳng còn gì là thú vị nữa”. M tiếp.
“Công cụ nào cũng vậy, nó có giới hạn nhất định. Công cụ được viết ra nhằm thâm nhập một hệ điều hành cho khoảng thời gian nào đó. Sau khi hệ điều hành này vá lỗi, các công cụ này trở nên vô dụng. Đó là chưa kể trường hợp các công cụ ở dạng này không hiếm bị đính một con trojan. Người dùng nó chưa thâm nhập được thì lại bị thâm nhập. Kiến thức và kinh nghiệm "hack" theo đúng nghĩa của nó được trả giá bằng thời gian, bằng sự kiên nhẫn và niềm đam mê của người muốn tìm tòi và khai phá những điều mình thắc mắc”, M. bồi thêm một tràng.
Tôi chống chế: “Thật sự em chỉ tò mò xem thử "chui" vào máy ai đó thế nào thôi. Xem thử nó ra sao, vậy thôi. Nếu em có được phần mềm này, chắc em chỉ thử một lần cho biết xem "hack" là cái gì”. M. hồi đáp: "Dùng một công cụ nào đó để "chui" vào máy của người khác chỉ có thể nằm ở mức độ giải quyết sự tò mò chớ không thể thuộc diện tìm tòi và học hỏi vì việc làm này chẳng mang tí gì tính học hỏi một cách đúng nghĩa cả. Em thử tưởng tượng máy của một người dùng bình thường khác với máy của em thế nào? Nếu như nó là một máy chạy Windows (anh nghĩ em thạo Windows) thì cũng C: rồi D: và bấy nhiêu software mà ai cũng dùng. Có gì đáng để "thoả" cái tò mò đâu nhỉ? Đừng nói là em muốn tìm xem trong máy nào đó có CC và những thông tin "lý thú" khác để... phá bởi vì anh không ủng hộ những chuyện này đâu. Không những thế mà anh cảm thấy... mất hứng khi trao đổi." M. bỏ ngang cuộc trao đổi.
Bài học thứ hai: Hacker
H. đang là chuyên viên an ninh mạng tại một công ty, đã từng một thời ngang dọc trên các diễn đàn hacker và có mặt không ít trong những vụ tấn công, đó là những gì tôi được biết. Gặp nhau trong một quán cafê Wifi (mạng không dây) ở TP.HCM H. khác hẳn với những gì tôi hình dung. Ốm ốm cao cao. Jean bụi, áo thun, đi dép kẹp, tay đeo một vài vòng nhựa sắc màu. Một dân teen chính hiệu. Chỉ có cặp mắt “bụp” chứng tỏ anh vừa thức dậy. “Đêm qua thức trắng. Mà thường xuyên thế”, H. cười hì hì.
“Anh thử chỉ cho em cách hack một wesite đi”, tôi nài nỉ H.“Trời! Để làm gì em?”, H. hỏi lại. “Để biết. Bao nhiêu lần chat với anh toàn nói chuyện lý thuyết, em thích động tay động chân hơn”, tôi vòi vĩnh.“Để chứng tỏ mình hả nhóc? Em nghĩ rằng em sẽ trở thành hacker sau khi hack một trang web? Chưa kể đến là dưới sự hướng dẫn của một người khác?”, H. hỏi ngược. “Em chỉ muốn thử cảm giác chút thôi”, tôi chống chế khi H. bắt đúng ngay chóc suy nghĩ của tôi. “Hack không phải là một trò đùa. Nếu em muốn chứng tỏ mình qua hack thì em đã sai! Anh cũng từng có những suy nghĩ như em và đã đi vào con đường này nên anh quá hiểu mà nhóc”.”Với bọn em, được đứng vào hàng ngũ những tay phù thuỷ trong cõi không dây là một sự hãnh diện. Bạn bè em sẽ nể phục em”, tôi thật lòng bày tỏ. “Trời! Bó tay cho những suy nghĩ của em! Hack, deface các trang web để được nể phục? Hacking là cái cách mà em tìm câu trả lời cho mình. Em muốn xâm nhập vào một hệ điều hành Linux thì chính em phải am hiểu hệ điều hành ấy. Nếu em cần sự giúp đỡ, em sẽ không hỏi câu trả lời mà sẽ hỏi cái cách để em có thể tự mình tìm được câu trả lời. Bởi vì một điều đơn giản là không ai hỏi câu trả lời để trở thành hacker mà chính em phải đi đến câu trả lời đó.”, H. tiếp.
“Với những gì em đọc em nghe được thì xâm nhập máy tính là hacker”, tôi bướng. “Khả năng xâm nhập hệ thống không thể làm cho người ta trở thành hacker. Em phải hiểu rằng hacker đến với máy tính là vì họ đam mê, thích tìm tòi khám phá. Để được gì à? Để thỏa cái đam mê của chính mình, tiền bạc hay có mục đích gì khác thì không phải là hacker đúng nghĩa. Họ có thể là anh sinh viên, là ông công chức, là một anh chàng chưa tốt nghiệp 12… Họ có thể là ai bất kỳ nhưng có chung niềm đam mê: tìm tòi và khám phá “cõi không dây”. Mục đích thế nào thì lại là chuyện khác.. Hacker có một nền văn hoá của riêng họ. Nếu em thuộc về nền văn hóa ấy, em có đóng góp cho nó và được cộng đồng hacker thừa nhận là hacker thì bạn là hacker”, N. chào tạm biệt.
Bài học thứ ba: Văn hóa hacker!
“Em muốn gia nhập vào một nhóm nào đó được không anh?”, tôi ‘tâm sự’ với M. - một cao thủ về vi tính đã từng tung hoành trong giới hacker và hiện đang là bảo mật của Công ty B. tại TP.HCM. “Tuỳ em, mỗi một nhóm có một tiêu chí và một sở trường riêng. Em thích tiêu chí nào thì vào nhóm đó”. “Yeah! Như vậy em sẽ bước vào thế giới ảo không dây…”. “Ý của em là…?”. “Chỉ cần đăng ký thành viên trên một diễn đàn nào đó là em sẽ nghiễm nhiên bước vào cộng đồng hacker phải không anh”. “Thế theo em cộng đồng hacker là gì?”. “Là một nhóm nào đó”. “Một nhóm? Chính em bảo là nhóm mà. Nhóm đâu có nghĩa là cộng đồng. Cộng đồng hacker là một cộng đồng mở, rất đông. Nhưng em sẽ không vào được nó nếu không được người ta biết đến và tôn trọng”. “Thế ạ?”. “Ừ! Và để có được những điều đó, em phải chứng minh được khả năng của mình và đóng góp cho cộng đồng đó. Một khi em đã hoà mình vào cộng đồng của những hacker thì em sẽ có những buổi trò chuyện thoái mái, thậm chí thân thiết dù cả hai chưa bao giờ gặp nhau. Đơn giản là vì họ đã từng nhiều lần cùng trao đổi, cùng nghiên cứu về một vấn đề nào đó”, M., cho biết.
“Hihihi, thế mà em tưởng bở”, tôi cười và gửi cho M. một cái biểu tượng xấu hổ.
“Em đã từng biết đến những hacker tên tuổi. Vì sao? Vì họ đã có nhiều đóng góp cho cộng đồng hacker. Họ nổi danh, được mọi người tôn trọng vì những đóng góp, những sáng tạo của họ. Đây cũng là đặc trưng của nền văn hoá mang tên hacker: văn hoá hiến tặng. Điều này cũng hiển nhiên vì với hacker, một khi đã nghiên cứu, tìm tòi một cái gì đó trước hết phải nói đến sở thích, đam mê, cuốn hút. Một khi thật sự đam mê thì thì tất cả những việc họ làm đều liên quan đến sở thích, mục đích không là gì cả, làm vì thích, để biết, để khám phá. Còn mục đích, nếu có, đó là sự đóng góp của mình cho bạn bè, cho nhóm, cho cộng đồng hacker. Chính từ cái mình nghiên cứu, khám phá, làm ra đó, sẽ có thêm bạn bè, thêm người cùng trao đổi, có được sự tôn trọng từ cộng đồng”, M. tiếp và chào tạm biệt tôi “Hiểu chưa nhóc, hẹn khi khác sẽ trò chuyện thêm hỉ”.
VI THẢO - T.VI
Xâm nhập thế giới hacker, kỳ 5: Chiến binh mũ trắng, mũ đenGiới giang hồ gọi S. là hacker mũ trắng (white hat), gọi T. là hacker mũ đen (black hat), gọi X. là hacker mũ xám (grey hat). Trong thời đại inetnet ngày nay, mỗi mét vuông có hàng chục tay hacker…rồi nào thì script kiddies, zombie, carcker, rookie... Nhìn chung có thể chia những người thành thạo trong lĩnh vực máy tính thành 3 nhóm nhỏ: researcher, security consultant và script kiddies. 3 nhóm này có liên quan chặt chẽ với nhau.
Nhóm 1, researcher là những người chuyên nghiên cứu, tìm hiểu các hệ thống, phần mềm để phát hiện lỗi, đưa ra các giải pháp phòng chống ngăn ngừa, các phương thức chống lại các lỗi, các lỗ hổng bảo mật của hệ thống.
Nhóm 2, security consultant là những người chuyên về an ninh mạng, họ có kiến thức chuyên sâu về security, nhưng không chuyên sâu bằng nhóm 1. Công việc thường làm là tư vấn về an ninh mạng, xây dựng giải pháp, cài đặt máy chủ, chính sách, phát hiện lỗi của hệ thống máy tính của khách hàng. Công việc của nhóm này một phần dựa vào lý thuyết suông và tận dụng các kết quả nghiên cứu, các công cụ do nhóm 1 làm ra.
Nhóm 3 là phổ biến nhất, các script kiddies, nhóm này gần như nhóm 2 nhưng do không chuyên nên kiến thức tổng quát hạn chế hơn. Nhóm này cũng dựa vào các kết quả, công cụ do nhóm 1 làm ra nhưng chủ yếu là để đi phá phách. Nếu lực lượng nhóm 1 không nhiều thì lực lượng của nhóm 3 này là nhiều hơn cả, có thể nói đa phần các hacker và đây cũng là nguồn nguy hiểm lớn nhất đối với những khiếm khuyết bảo mật từ internet.
Script Kiddies – Trăm ngàn mối lo!
Đại đa số “hacker VN” vẫn là script kiddies, X., chuyên viên bảo mật hệ thống ở một công ty liên doanh nói và anh cũng tỏ ra khá bức xúc về việc đánh đồng hacker với script kiddies. Đây là lớp đối tượng phá hoại nhất, được các chuyên gia bảo mật đánh giá ở mức độ nguy hiểm cao. Phần lớn các đối tượng này có trình độ kỹ thuật và hiểu biết khá kém nên không thể nào tự mình hack vào hệ thống mạng hay website mà phải thông qua các chương trình khai thác lỗi bảo mật được cung cấp miễn phí tại các website hacker nhan nhản khắp nơi trên Internet.
Thường có tâm lý muốn khai thác triệt để hoặc triệt hạ tận cùng, do đó, các script kiddies không hề ngần ngại dùng bất cứ công cụ hay phương thức gì mình có hoặc kiếm được để thực hiện ý đồ. Một kiểu “trừng trị” được script kiddies yêu thích là tấn công từ chối dịch vụ (DDoS/DoS – Denial of Service). Các nạn nhân gần đây nhất của loại tấn công này điển hình như diễn đàn Arsenal Fan Club VN hay JFCVN đã khốn đốn trong 2 tuần liền vì DDoS. Trao đổi với chúng tôi, T., webmaster AFCVN cho biết: “AFCVN bị tấn công DDoS qua x-flash, một công cụ dùng để tấn công từ chối dịch vụ. X-flash đã được cải tiến từ các công cụ tấn công cổ điển trước đây. Nó được cài đặt trên các website của kẻ chủ mưu và được lập trình sẵn mục tiêu tấn công, khi người dùng truy cập vào website chứa x-flash, nó sẽ tự động được tải về máy người dùng và bắt đầu thực hiện cuộc tấn công từ chối dịch vụ (DDoS) làm nghẽn băng thông của mục tiêu dẫn đến hệ thống bị “die”. Người dùng vẫn sẽ vô tư duyệt web và không hề hay biết mình đang trở thành một botnet (mạng máy tính ma) cho kẻ chủ mưu”.
Một mối nguy hại khác đang rất phổ biến tại nước ta là tình trạng sử dụng các phần mềm keylogger (chương trình ghi nhận hoạt động bàn phím) tràn lan và không được quản lý đã tạo nên tâm lý e sợ khi sử dụng Internet tại các dịch vụ công cộng. Anh bạn của tôi tại Mỹ lần này về nước cũng đã đau khổ vì số tiền tiêu dùng vọt lên cao chất ngất qua các cuộc thanh toán bằng thẻ tín dụng mà anh ta không hề hay biết.
Số là anh đã “dại dột” thanh toán trực tuyến bằng thẻ tín dụng của mình tại một dịch vụ Internet công cộng gần nhà và không hiểu tại sao thông tin tài khoản lại lọt vào tay một kẻ nào đó. Anh nói mà như rơm rớm “Ở bên đó nghe radio nói về hacker Việt giờ phá lắm, nhưng đâu có nghĩ rằng nó tràn lan như vậy”. Đúng thật là như vậy!
Dạo quanh một vòng các diễn đàn hiện nay đều xuất hiện các chủ đề “Làm sao để lấy lại password?” hay “Giúp với, bị hack mất mật khẩu” mà nạn nhân đa số là những người dùng Net “ngây thơ” tại các dịch vụ đã được cài đặt keylogger có chủ ý từ những kẻ mưu lợi. Nhất là những game thủ bỏ ra nhiều tháng thậm chí cả năm chơi trực tuyến để rồi lại trắng tay vì mất tài khoản bởi keylogger. Những trường hợp của anh bạn tôi như vậy thường cũng chỉ ngậm ngùi mang thương đau chứ cũng chẳng biết phải kiện tụng ai bây giờ.
Số đông các script kiddies khai thác một cách triệt để, “tàn sát” tất cả hệ thống, website chưa nâng cấp các bản vá lỗi, khai thác toàn bộ tài nguyên nhạy cảm mà họ có thể thu được. Nhưng “gậy ông đập lưng ông”, những chương trình khai thác lỗi được cung cấp miễn phí cũng là miếng mồi ngon có kèm … “thuốc độc” vì chúng thường được nhúng các trojan lấy cắp thông tin từ chính những script kiddies tải về dùng nên đôi khi các script kiddies lại trở thành những zombie cho các hacker thực thụ, X. cho biết thêm.
Chiến binh mũ trắng, mũ đen
Bạn có thể nghĩ rằng giới hacker chia làm hai phe:
Mốc ra đời của một số nhóm Hacker lớn ở VN
Cuối năm 1998: Hình thành tổ chức Hacker đầu tiên với tên : “ Câu lạc bộ mật mã”. Người đứng đầu : TrungOnly – Phan Thái Trung
Năm 1999: Hình thành tổ chức Hackervn ( Sau này gọi là HVA ) - Người đứng đầu : 13013 – Tham tử. Hình thành tổ chức Hacker Forum ( Sau này gọi là VietHacker ) - Người đứng đầu : Microsoftvn – KHA
Tổ chức Hacker Club - Người đứng đầu : LPTV
Năm 2002 : Một loạt các tổ chức Hacker ra đời: Vicki gồm 5 thành viên ở Đà Nẵng, Babylearnhack : Gồm 5 thành viên ở HN và Bé Yêu : Gồm 2 thành viên ở Buôn Mê Thuột.
Năm 2004 : VN Magic, Matrix 2k…
mũ trắng (white hat) một bên và mũ đen (black hat), mũ xám (gray hat) một bên. Nhưng thực tế, cả mũ trắng, mũ xám lẫn mũ đen đều ở cùng một phía và cả thế giới ở phía còn lại. Đã có những lúc người ta phân biệt rõ ràng ranh giới của màu mũ: hacker hoạt động hướng thiện, tích cực là hacker mũ trắng, còn hacker mũ đen là những hacker chuyên đi phá rối, xâm nhập trái phép các website, các kho thông tin, dữ liệu trên internet, tức làm những chuyện phạm pháp… “Nhưng thực tế lằn ranh giữa mũ trắng và mũ đen rất mong manh. Có rất ít sự khác biệt giữa hack hợp pháp và hack phạm pháp. Hợp pháp hay phạm pháp, đều là hacking, sự khác biệt duy nhất là mục đích. Một khi anh có trong tay chìa khoá vạn năng có thể mở nhiều kho tàng quý giá thì và biết rất rõ cách để người ta không phát hiện ra mình vậy thì ai, và cả chính bản thân anh có dám khẳng định là sẽ không bao giờ anh phạm tội? Mũ trắng, mũ xám hay mũ đen là thế”, T., một chuyên gia về bảo mật cho biết.
“Ranh giới giữa “màu sắc của những chiếc nón” chính là đạo đức và pháp luật nhưng mà đối với hacker, đạo đức cũng như pháp luật đều có lổ hổng, như tất cả những sự vật khác. Chính ý thức của anh sẽ quyết định cho màu mũ của anh chứ không ai khác cả…”, T. nói thêm.
“Lằn ranh giữa hacker thiệt và dởm rất mong manh. Cùng sở hữu một công cụ trong tay, nhưng nếu bạn dùng để tấn công một máy nào đó thì đã cho mình là hacker và nghĩ là mọi người sẽ nhìn mình với ánh mắt thán phục. Thực tế, không mấy người ngoài nghành biết đến tên tuổi của những hacker thực thụ. Xuất hiện trên mặt báo là một chuyện khác. Một hacker thực thụ chỉ chú tâm nghiên cứu tìm tòi chứ không làm chuyện phạm pháp. Nếu nhiều người đều hiểu hacker là những kẻ phá phách, phá hoại, xâm nhập mạng trái phép… có thể một phần là do tin tức trên báo chí và các mạng”, X. bộc bạch.
Hacker Việt: mũ gì?
“Hacker Việt Nam hả? Ô, đa phần đã chuyển qua làm bảo mật gần hết rồi!”. Đó là lời nhận định của X., chuyên viên bảo mật hệ thống cho một công ty có vốn đầu tư nước ngoài lên đến hàng triệu đôla và cũng là một cựu hacker lừng danh mà tôi cùng thảo luận về xu hướng của hacker nước ta hiện nay. Trước đây, tuy im hơi lặng tiếng ở Việt Nam nhưng X. là một hacker nổi tiếng ở các website hacker của Nga và Thổ Nhĩ Kỳ qua các cuộc chung sức tấn công vào các website nước ngoài khác.
X. nhận xét “Mọi người thường hay có nhận định sai lầm về hacker. Thật ra, việc đánh đồng từ hacker cho tất cả các hoạt động phá hoại website, mạng máy tính là chưa đúng. Hacker cũng có thể là một chuyên viên bảo mật hệ thống thử nghiệm các kỹ thuật để trau dồi thêm cho phần kiến thức bảo mật của mình mà không làm nguy hại đến tài nguyên hệ thống”. “Hacker ở Việt Nam hiện nay khá nhiều và thuật ngữ hack đã trở nên quá quen thuộc với mọi người. Mỗi nhóm hacker đã dần dần xác định cho mình một con đường để đi. Một số trở thành chuyên gia bảo mật, số khác thì nghiên cứu chuyên sâu, tư vấn mạng và số còn lại vẫn tiếp tục con đường “blackhat” của mình”, X cho biết thêm khi tôi hỏi về xu hướng của hacker Việt Nam hiện nay.
Một tín hiệu đáng mừng là hầu hết các tổ chức hacker Việt Nam hiện nay đang dần chuyển sang xu hướng trao đổi kinh nghiệm bảo mật hơn là hacking như trước đây. HVA cũng đã tiến hành cải tổ bộ máy quản trị và bổ sung thêm các chuyên mục giúp phổ biến kiến thức hack để mọi người có thể hiểu rõ các phương pháp, cách thức tấn công thì mới có phương pháp chống lại thích hợp nhất. Tổ chức VietHacker thành lập Mạng an toàn thông tin VSEC, mở các khóa đào tạo kỹ năng bảo mật miễn phí cho các cơ quan nhà nước và báo, đài…
Mốc ra đời của một số nhóm Hacker lớn ở VN
Cuối năm 1998: Hình thành tổ chức Hacker đầu tiên với tên : “ Câu lạc bộ mật mã”. Người đứng đầu : TrungOnly – Phan Thái Trung
Năm 1999: Hình thành tổ chức Hackervn ( Sau này gọi là HVA ) - Người đứng đầu : 13013 – Tham tử. Hình thành tổ chức Hacker Forum ( Sau này gọi là VietHacker ) - Người đứng đầu : Microsoftvn – KHA
Tổ chức Hacker Club - Người đứng đầu : LPTV
Năm 2002 : Một loạt các tổ chức Hacker ra đời: Vicki gồm 5 thành viên ở Đà Nẵng, Babylearnhack : Gồm 5 thành viên ở HN và Bé Yêu : Gồm 2 thành viên ở Buôn Mê Thuột.
Năm 2004 : VN Magic, Matrix 2k…
Thông tin thêmVới hacker - những người được xem là "thầy phù thủy" của thế giới ảo internet, họ có thể moi tất tần tật những thông tin về bạn từ nghĩa địa của internet, thậm chí làm nhiều chuyện “vi diệu” bằng chính những hiểu biết và kiến thức của mình. Săn… thông tin bạn chat
Ta làm quen với một hacker vì ái mộ hắn. Chat với hắn chưa được 3 phút thế mà hắn đã biết tất tần tật về ta trong khi chưa đầy 3 phút trước đó hắn còn nhã nhặn hỏi ta là ai, sao biết nick của hắn. “You sinh ngày 5-8? Thích đọc conan, khoái coi Sherlock Homels, khoái đi du lịch, dân…”, T. hỏi tôi. “Sao biết?”. “Search (tìm kiếm)”. “Ghê vậy!”, tôi trả lời với vẻ không tin. Mà làm sao hắn biết nhỉ, hay là thằng bạn mình bán đứng mình?. “Chuyện dễ ợt ấy mà! Gõ nick (nickname Yahoo!Messenger) của you lên Google và search! Thế thôi”. “Không tin được! Google đâu phải là thánh mà cái gì cũng biết”. “Ừ! Google không là thánh nhưng nó chứa mọi thứ. Và với nó, tớ có thể moi you từ bất kỳ nơi đâu trên thế giới ảo này, kể cả từ nghĩa địa của intenet”.
Theo lời hắn, tôi làm thử. Gõ nick name của mình vào google và search. Tất tần tật thông tin của chính tôi hiện ra như một phép lạ. Ở đâu ra ấy nhỉ? Àh, đây là những thông tin cá nhân mà tôi khai báo khi đăng ký thành viên để tham gia một diễn đàn nọ. “Tại mình cả thôi, mình tự phơi bày mình trước mặt bàn dân thiên hạ và “lạy ông con ở bụi này thôi””, tôi cười cho sự ngu ngốc của chính mình.
“Chưa đâu you! Đó mới là sơ bộ. Nhưng nó sẽ là mấu chốt để tớ tìm hiểu thêm thông tin về you đấy”. “Nói thì dễ, làm mới khó”, tôi đùa. “Àh há! Để thử cho you xem”, hắn nói. “Tớ đang chat với một nick có tên là huyenchi… . Vào Google, gõ huyenchi…. Và search. Google ra. Ta sẽ được gì đây. Kha khá thông tin đấy bồ tèo: V. T. H... Chi xx/0x/197x (1514) 4953052, h...chi…@yahoo.com nnn. (2) Boyer H2R2R6, QC, Mon…, Ca… Điện thoại 8.xxx.xxx, (**) hiện đang là sinh viên CNTT trường X. ở nước ngoài, từng là dân chuyên Lê Hồng Phong”. “Wao, không thể tin được”, tôi thốt lên. “Ừ! Nhưng đó là những gì tớ tìm được về cô bạn này chỉ bằng một kỹ thuật. Những thông tin này về một cá nhân là đủ chưa?
Quá nhiều đấy! Từ ngần ấy thông tin tớ có thể vô tư tìm thêm nhiều thông tin khác và có thể sử dụng vào một việc gì đó. Chưa kể tớ có thể từ cô bạn này mà lần ra những người bạn trên net của cô ấy và cứ tiếp tục, tiếp tục. Ok?”. “Àh há, tớ cũng làm được đây này”. “Cái này thì không phải chỉ có hacker mới làm được, chỉ cần you biết kỹ thuật này thì you dễ dàng tìm thông tin cá nhân, nhất là những người không biết bảo vệ mình trên thế giới net”, T. thêm.
“Không nên quá dễ dàng đưa thông tin cá nhân của mình lên net. Càng để lộ nhiều thông tin thì mình càng dễ… chết. Bài học đấy!”, T. cười.
Hack với Google
Cơ sở dữ liệu khổng lồ của hãng tìm kiếm lớn nhất thế giới – Google là một kho thông tin bao gồm cả những thông tin đáng ra không nên hiển thị trên mạng mà tin tặc đang lợi dụng như là kho các bí quyết để xâm nhập hệ thống. Sử dụng những khoá tìm kiếm trên Google, tin tặc có thể lục lọi trong cơ sở dữ liệu của Google để tìm thông tin hỗ trợ tấn công. Như vậy, vô hình trung, Google trở thành công cụ hỗ trợ đắc lực cho các haker nếu công tác bảo mật của các website không tốt.
Một máy chủ web nhưng nếu cấu hình không tốt thì có thể để cho người ta liệt kê được các file. “Ví dụ nhé, ta biết máy chủ dùng phần mềm apache, nếu là directory listing, kết quả của nó sẽ có dòng Index of/… Thử "Index of /" site:gov.vn. Qua trang sau, ta thấy được
http://www.mmm.gov.vn/eng/bbs/. Ta có thể kết luận được gì? Thứ nhất, máy chủ web của trang mmm.gov.vn/eng/bbs/ cho phép liệt kê thư mục. Thứ hai, từ thông tin hiện ra, ta biết máy chủ này sử dụng Stronghold/3.0 Apache/1.3.14 RedHat/3013c Server at
http://www.mmm.gov.vn Port 80. Cái này sẽ giúp cho các giai đoạn tấn công sau này”, T. bật mí.
Trong làng hacker thế giới, cái tên Mr Johansen" đã trở thành biểu tượng của giới công nghệ thông tin châu Âu từ 7 năm về trước, lúc cậu nhóc Jon mới 15 tuổi đã làm con tàu điện ảnh Hollywood tròng trành vì những đợt sóng hacker. Cái tên Johansen là nỗi ám ảnh kinh hoàng nhất đối với những "nạn nhân" mà cậu nhóc đã hạ gục trong chuyến phiêu lưu vào ma trận hack, bao gồm những đại gia Fox, Google, Apple, MPAA..., nhưng tên gọi ấy cũng là biểu tượng đẹp đẽ nhất trong lòng hàng ngàn người hâm mộ khắp châu Âu - một ngôi sao không khán giả, không sân khấu nhưng đã "diễn xuất" trên cả tuyệt vời trong những phần mềm vi tính. “Chưa hết. Trên trang có phần login.
http://www.mmm.gov.vn/eng/Login/login.html, ta cũng biết là máy chủ cho phép liệt kê thư mục. Vậy nếu chỉ vào
http://www.mmm.gov.vn/eng/Login/ thì sao? Ta thấy rằng các file liên quan đến trang logic đều không có gì đặc biệt cả. Từ phần liệt kê ta cũng biết trang để login là ở đây
http://www.mmm.gov.vn/icontent/?MIva...login_eng.html. Vậy incontent là cái gì? Ta không biết. Vào google xem. Nếu không có thì tiếp tục tìm nữa rồi thì sẽ có những điều thú vị. Và nếu you muốn hack thì có thể lần theo nó. Đây cũng là cách mà trước đây các hacker VN hay dùng để tấn công các website ”, T. kể thêm.
Với kỹ thuật search của Google ta cũng có thể tận dụng các lỗi của bản thân các trang web với các lỗi lập trình như sql injection, lỗi về logic khi lập trình… “Search trên Google inurlasswd site:vn. Ta tìm ra được
http://www.aaa.ac.vn/ADT_Web/cgi-bin/passwd.txt WebAdmin:aepTOqxOi4i8U.
http://www.aaa.ac.vn/ADT_Web/cgi-bin/passwd.txt. Vào
http://www.aaa.ac.vn/ADT_Web/cgi-bin/. Ta thấy gì? Họ xài wwwboard để làm diễn đàn. Ra bên ngoài
http://www.aaa.ac.vn/ADT_Web/, Applied DNA Technology Laboratory,
http://www.aaa.ac.vn/. Xem tiếp, ta được một số thông tin về chủ quảng của trang web aaa. Xem tiếp. Ta thấy rằng cái này họ để lên nhưng không dùng, tuy nhiên, nếu có dùng thì ta có thể dễ dàng biết được password admin từ WebAdmin:aepTOqxOi4i8U, và có thể thay đổi tin tức trên diễn đàn”, T. kể.
“Đây chỉ là một số ví dụ về các mà hacker xài Google. Và với hacker thì search engine có thể làm được rất nhiều việc. Bài học thì vẫn như cũ: bảo mật là q