Link:
http://vnhacker.blogspot.com/2009/07/bkis-lam-ieu-o-nhu-nao.html



http://www.tuoitre.com.vn/Tianyon/Cache/Image/871/347871.jpg
Theo một số cơ quan truyền thông VN, vừa rồi BKIS đã có một cú hích "chấn động thế giới" là giúp Mỹ và Hàn Quốc, hai cường quốc thế giới về công nghệ, truy tìm ra được thủ phạm của vụ tấn công DDoS vào các web site của hai quốc gia này.

Bạn thắc mắc BKIS đã làm điều đó như thế nào? Tôi cũng thắc mắc như thế, sẵn có chút nghề, nên mạo muội tìm hiểu, như là một cách để tri ân 10 chiến sĩ trong đội đặc nhiệm BKIS đã làm việc suốt gần 2 ngày liền hòng đưa VN nở mày nở mặt với bạn bè thế giới.

Tóm tắt lại sự việc, theo tường thuật của báo CAND, dựa trên lời kể của các chiến sĩ BKIS:

1. Ngày 12/7, KR-CERT gửi mẫu virus cho BKIS.

2. Ngay lập tức, trong gần 2 ngày liên tục, như đã nói ở trên, 10 chiến sĩ trong đội đặc nhiệm BKIS đã chiến đấu quên ăn quên ngủ để phân tích mẫu virus nói trên.

3. Đến 3h sáng 13/7, cuộc điều tra rơi vào bế tắc. Tiếp tục nghiên cứu, đội đặc nhiệm phát hiện ra 8 máy chủ điều khiển các máy ma bị nhiễm virus.

4. BKIS đã xâm nhập được vào 2 trong số 8 máy chủ này và thu được những thông tin quan trọng.

5. Đến 14h ngày 13/7, Đội trưởng Nguyễn Minh Đức reo to "Ơ-rê-ka". Khi đó địa chỉ IP của máy chủ gốc (master server), nơi đã tổng chỉ huy các cuộc tấn công, đã được xác định. Giám đốc Nguyễn Tử Quảng cùng anh em ôm chầm lấy nhau. Một đêm trắng đã được đền đáp.

------

Rồi bây giờ chúng ta hãy thử lần lại các bước mà BKIS đã làm nha. Chủ yếu có 3 việc chính:

1. Xác định 8 máy chủ trung gian.

Từ ngày 10/7/2009, nghĩa là trước khi BKIS nhận được mẫu virus 2 ngày, thông tin về 8 máy chủ trung gian này và phân tích chi tiết hoạt động của virus đã có trên Internet. Xem thêm http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20090710 và http://www.maxoverpro.org/77DDoS.pdf. Bản phân tích thứ nhất là của nhóm ShadowServer, bản phân tích thứ hai là của AhnLab, một công ty của Hàn Quốc.

Vậy thông tin Mỹ và Hàn Quốc kô biết gì về cơ chế hoạt động của dòng virus này có vẻ không chính xác nhỉ?

Hơn nữa, không hiểu các chiến sĩ của chúng ta đã làm gì trong 2 ngày trời, để rồi thu được kết quả là những gì người ta đã làm trước đó rồi.

Àh nhưng, BKIS đã có thông tin quan trọng nhất về máy chủ gốc (master server), Mỹ và Hàn Quốc không có thông tin này nha. Vậy nên chúng ta tiếp tục với công việc số 2.

2. Xâm nhập vào 2 trong số 8 máy chủ trung gian.

Theo lời của Nguyễn Tử Quảng, thì chỉ đơn giản là: "Trong số 8 server, chúng tôi đã tìm ra được 2 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web. Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng."

Như vậy là chẳng có xâm nhập gì ở đây, các máy chủ này chỉ vô tình để lộ thông tin mà "ai cũng có thể sử dụng" cả.

Các bạn Hàn Quốc và Mỹ thật đáng trách, đã lần ra được 8 máy chủ này, vậy mà không phát hiện ra được "các dịch vụ chia sẻ tài nguyên hoàn toàn thông thường đó". Hoan hô BKIS đã có con mắt tinh tường.

Nhưng vào được 2 máy chủ trung gian vẫn chưa tạo nên cú hích "lừng lẫy năm châu", điều quan trọng là căn cứ vào dữ liệu trên 2 máy chủ này, BKIS đã phát hiện máy chủ gốc, điều khiển toàn bộ vụ tấn công, chính là công việc số 3.

3. Phát hiện máy chủ gốc

Các bạn thấy cái hình trên cùng của bài viết này không? Đây chính là hình mà các chiến sĩ BKIS căn cứ vào đó để kết luận về máy chủ gốc có địa chỉ IP 193.90.118.***.

Đây là hình chụp một đoạn nhật ký truy cập (access log) của máy chủ web Apache trên 1 trong 2 máy chủ mà các bạn BKIS đã "tấn công ngược". Các bạn chú ý chỗ được đánh dấu đỏ.

Theo phân tích của Anhlab và BKIS thì sau khi lây nhiễm vào máy tính nạn nhân, mẫu virus này sẽ cố gắng download từ 1 trong 8 máy chủ một file mang tên flash.gif. Nhìn hình này chúng ta thấy rằng một người sử dụng một máy tính có địa chỉ IP 193.90.118.*** (là địa chỉ mà BKIS cho là máy chủ gốc), đang sử dụng Internet Explorer để download file flash.gif từ 1 trong 2 máy chủ mà BKIS đã "fought against and gained control".

Tại sao tôi biết là Internet Explorer? Đó là căn cứ vào cái request thứ hai, chỉ có Internet Explorer mới luôn "GET /favicon.ico" mỗi khi nó truy cập vào một web site nào đó. Dựa vào luận cứ này tôi (và bạn Nguyễn Minh Đức?) đoán đây là người truy cập, chứ không phải virus tự động làm, lý do là virus thì không sử dụng Internet Explorer. Các bạn chú ý điểm này nha.

Cập nhật: Tôi nhầm lẫn. Chrome, Firefox và các browser khác cũng có biểu hiện như Internet Explorer. Dẫu vậy điều này không ảnh hưởng gì đến luận cứ này. Cảm ơn bạn trm_tr.

Lần đầu thấy cái hình này, tôi cũng thắc mắc không hiểu tại sao BKIS dựa vào đây mà có thể kết luận được IP 193.90.118.*** là máy chủ gốc. Cho đến hôm nay được các bạn trong team CLGT giải thích, tôi mới hiểu ra.

Lập luận thế này: chỉ có virus mới tự động download file flash.gif, nên nếu mà có một người tự dưng download file đó (bằng Internet Explorer, như đã nói ở trên), thì hẳn người đó là người đã tạo ra file flash.gif (và anh ta đang test thử xem file flash.gif có nằm ở địa chỉ /xampp/img/flash.gif hay không).

Nghe hợp lý đúng không? Nhưng như thế liệu có đủ để kết luận IP 193.90.118.*** là máy chủ gốc? Trong toàn bộ suy luận ở đây, người sử dụng máy tính mang IP 193.90.118.*** chỉ làm một việc duy nhất là dùng Internet Explorer để kiểm tra xem file flash.gif có tồn tại hay không.

Nếu cho rằng máy tính 193.90.118.*** là máy chủ gốc, thì phải có cơ chế để 8 máy chủ còn lại tự động nhận file flash.gif (và các lệnh khác) từ máy tính này. Bài phân tích của BKIS không chứng minh được điều đó.

Kết luận chắc chắn nhất có thể rút ra là: người đã sử dụng máy tính mang IP 193.90.118.*** có liên quan đến vụ tấn công DDoS. Sự thật là, theo chính công ty sở hữu máy tính đó, chúng ta đều biết nó cũng đã bị xâm nhập từ trước rồi. Do đó không thể kết luận rằng máy tính 193.90.118.*** là nguồn gốc vụ tấn công. Vả lại, dẫu thế nào đi chăng nữa, không thể kết tội một cái máy :-P.

Lẽ ra sau khi các chiến sĩ BKIS tìm được IP này, họ phải tuân theo quy trình làm việc của APCERT, bí mật thông báo cho US-CERT, UK-CERT, KR-CERT và các tổ chức trong APCERT, để các cơ quan chức năng này niêm phong máy tính 193.90.118.***, thực hiện các biện pháp digital forensic để lần ra dấu vết của người đã xâm nhập máy tính này.

Nhưng, như các bạn đã biết, BKIS đã chọn một hướng đi khác, và có lẽ từ lúc BKIS phát thông tin cho các cơ quan truyền thông, cho đến lúc các đội CERT sờ được vào máy tính 193.90.118.*** thì nó đã không còn thông tin giá trị có thể giúp lần ra tội phạm nữa rồi. Sự thật là cho đến nay, vẫn chưa tìm được thủ phạm vụ tấn công DDoS.

Tóm lại, sau 2 ngày liên tục điều tra, 10 chiến sĩ BKIS đã: a) thu được thông tin mà Mỹ và Hàn Quốc đã có được trước đó 2 ngày; b) vô tình download được thông tin liên quan "nhật ký các cuộc tấn công"; c) tiến hành phân tích, và đưa ra một kết luận sai. Điều quan trọng nhất là mặc dù thông tin BKIS tìm thấy là có giá trị nhưng chính họ cũng đã đánh đổi thông tin đó cho những mục tiêu khác, thay vì mục tiêu cao cả vì an ninh thế giới.

Như các bạn đã thấy, tất cả luận cứ trong bài này đều dựa vào thông tin mà báo chí đã viết về BKIS và trên blog của chính nhóm này. Suy luận chủ quan của tôi sẽ sai nếu những thông tin đó không chính xác. Suy luận chủ quan của tôi cũng có thể sai nếu phương pháp điều tra của BKIS khác với cách mà tôi dự đoán. Tôi không chịu trách nhiệm nếu "an ninh thế giới" bị đe dọa vì những phân tích này. Các bạn thoải mái đăng lại bài viết này ở những nơi khác, và các bạn chịu trách nhiệm vì điều đó nha.

Cảm ơn chairuou, |_-_|, các bạn CLGT và HVA thân iu.

Cập nhật: có bạn hỏi tôi: liệu bọn gây ra đợt tấn công DDoS này có quay sang tấn công trả đũa VN? Cá nhân tôi cho rằng việc này khó xảy ra. Bọn làm botnet đều làm vì tiền. Chúng bỏ công ra gầy dựng botnet, rồi cho thuê lại cho những ai có nhu cầu tấn công người khác. Nên bọn chúng cũng không rảnh hay dư tiền mà quay sang tấn công *chùa* mấy web site VN. Nói cách khác, tôi tin rằng có ai đó thuê botnet để tấn công DDoS mấy cái web site của Mỹ và Hàn Quốc. Hết hợp đồng rồi nên mấy ngày nay im ru, không thấy động tĩnh gì nữa. Thành ra tìm được thằng chủ botnet, chưa chắc gì đã tìm được thằng chủ mưu :-P.


Theo tôi, phân tích này hoàn toàn chính xác. IP mà BKIS chỉ ra trong hình đơn thuần chỉ là IP mà ai-đó đã dùng trình duyệt để kiểm tra xem flash.gif tồn tại hay không. Master server thì không tự động GET /favicon.ico làm gì cả!

Mời các bạn thảo luận.

Chú ý, thread này chỉ bàn về kỹ thuật, các vấn đề khác không bàn ở đây!

Mình cũng thấy trên một báo uy tín của thế giới nói là ở us chứ ko phải ở nước ANH nên mình cũng tin là sai (đó là mình tin vậy), còn sự thật thì phải chờ công bố chính thức khi vụ này kết thúc đã. hì.

Chỉ có điều mình thắc mắc là máy chủ dịch vụ web gì mà lại show apache log ra vậy? :| Hơn nữa sao cái hình lại xanh trên nền đen + mỗi entry nằm trên 1 line riêng -> Không phải xem trong term emulator --> Có cái dịch vụ nào show apache log rồi định dạng xanh xanh đỏ đỏ như thế không? Hay bác Quảng chọn màu cho nó giống 'the matrix' ? (dĩ nhiên dùng một cái term emu với width thật dài cũng được, nhưng làm thế rồi bôi xanh xanh đỏ đỏ thì...)

Nếu giả sử như thế này là đúng, chúng ta sẽ thấy rằng việc 'tấn công' của bên BKIS không có gì là cao siêu hết vì mọi thứ sờ sờ ra đấy rồi, và cũng hợp pháp nốt -> Sẽ khỏi lo vi phạm pháp luật, nhưng mất mặt :-/

Dĩ nhiên ko thể loại trừ khả năng là đây chỉ là 1 trong những đoạn log mà bên BKIS dùng để tìm ra master server, và họ chỉ chọn tấm này để đăng lên thôi.

OT quả: Font trong kia font courier new nhỉ?

Chỉ có điều mình thắc mắc là máy chủ dịch vụ web gì mà lại show apache log ra vậy?
hình như bác ko thẽo dõi bên cái topic kia,
làm chi có cái vụ show log ra thế >:)
nghĩ đi nghĩ lại thì mấy cái thông báo của BKIS chả có gì là mâu thuẫn cả.
2 cái server này có dịch vụ chia sẻ thiệt nhưng mà để có quyền truy cập vào cái "chia sẽ" ấy thì phải "gain control" ạ.
nguyên tác các file log thường dc set root hoặc tương đương thôi.
P.S:
tám ngòai lề phát, chiều có nhảy vào xem, thấy bác nano_fantasy bị stress thấy tội quá.
việc chi bác phải tức giận như vậy. gặp mấy thành viên mới như vậy bác cứ ghi cho em là đọc lại từ đầu tìm câu trả lời :P
rổi ra uống tách cà phê cho nó giải stress :D
hơi đâu mà...
cái này gọi là "quangmenia"

BKIS không xác định sai.
Bài của Thái nói rằng request đó do CON NGƯỜI thực hiện, và vì vậy CÓ CƠ SỞ ĐỂ NGHI NGỜ rằng đó là Master server. Còn BKIS nhận định chắc chắn rằng đó là master server vì họ có nhiều thông tin hơn, còn Thái chỉ có đoạn log như vậy nên chỉ đi đến kết luận đó được thôi.

BKIS không xác định sai.
Bài của Thái nói rằng request đó do CON NGƯỜI thực hiện, và vì vậy CÓ CƠ SỞ ĐỂ NGHI NGỜ rằng đó là Master server. Còn BKIS nhận định chắc chắn rằng đó là master server vì họ có nhiều thông tin hơn, còn Thái chỉ có đoạn log như vậy nên chỉ đi đến kết luận đó được thôi.
bờ kít không xác định sai vậy thì bờ kít đúng --> nguồn ở Anh ?

Nói thật, BKIS từ 8 C&C Server để suy ra master server là sai.
Giờ giả sử hacker ko sử dụng lược đồ kiểu:
- Master -> C&C -> zombie

Mà dùng kiểu:
- Master -> A -> B -> C -> D -> C&C Server -> zombie thì sao?
Nghĩa là A, B, C, D đóng vai trò là proxies. D là cái server mà BKIS tìm ra. Hacker làm thế để các cơ quan an ninh khó lần ngược lại hơn.

Theo tớ nghĩ, các bác an ninh mạng thế giới đang lần đến B, bác BKIS la làng là master node là D --> ...

Thứ nhất: Chỉ có thể nói BKIS xác nhận sai trong trường hợp BKIS xác định 1 server lạc hướng. Đằng này BKIS xác định được IP đúng flow điều tra. Việc điều tra tiếp theo chỉ là dùng biện pháp hành chính (hỏi thẳng cơ quan quản lý).
Thứ hai: Cái này chẳng liên quan gì đến thể diện quốc gia, bởi BKIS chỉ là trung tâm của ĐHBK thôi. Phải như cái vụ buôn sừng tê giác của đại sứ quán mới là thể diện quốc gia.

Conmale và số thành viên bên diễn đàn HVA đã bác bõ kết quả phân tích quả file Log của BKIS đưa ra cho báo chí viết bài quả thực vấn đề này thì giới kĩ thuật không khá tin tưởng. Tôi bổ xung tiếp ý kiến xung quanh vấn đề này

1/Dựa vào cái hình trên, tôi cho rằng BKIS đã giả lập lại Server Master đã tấn công vào HÀN QUỐC và US. Quá trình này chả có gì khó bởi vì Bkis đã có trong tay mã nguồn con Virus để tạo ra Bootnet khi xin lại từ phía Hàn Quốc.
2/Theo nhận định khách quan, BKIS phải chăng đã "vố hớ" vấn đề tìm ra Master gốc là Anh. Sau đó kết quả là US ? Phải chăng BKIS đang có vấn đề trong quá trình điều tra kết quả. Vậy tại sao phía BKIS đã biết từ US mà vẫn dừng lại không tấn công tiếp như đã từng làm với 2 Máy Chủ ở Anh. Họ có quyền cơ mà (Bkis quả quyết với giới truyền thông là họ không vi phạm luật) trong khi đó US và Hàn Quốc vẫn chưa tìm ra được thực sự Master gốc????

[=========> Bổ sung bài viết <=========]

Ngay từ đầu chủ topic đã khuyến cáo chỉ bàn đến vấn đề kĩ thuật. Chúng ta nên tránh đi quá xa khỏi mục đích chính.

Vấn đề IP mà BKIS cho rằng là master server. Tôi xin giả thiết thế này:

BKIS dựa vào request từ IP này để khẳng định nó là master, tôi nghĩ là đoán mò thôi. Thực tế, nếu PC có địa chỉ IP đó bị nhiễm virus chiếm quyền điều khiển homepage của IE (kavo chẳng hạn), thì hoàn toàn có thể request file flash.gif mà chủ máy hoàn toàn ko biết. Chuyện này ko khó xảy ra, vì hacker đã code được mydoom thì ko khó khăn mấy để chỉnh sửa kavo theo ý mình.

Quan điểm cá nhân tôi, không biết mọi người nghĩ sao. Tôi thấy hoàn toàn khả thi, nếu hacker là 1 tay cẩn thận.

Tôi thích cách phân tích của bạn Global, rất hay.

Tôi cũng không rành về security lắm vì chỉ là sinh viên năm nhất thôi.

Nhưng giả sử tôi ở VN thuê 1 VPS ở USA rồi VPS USA đó tôi mở port tạo socks và thuê thêm vài cái VPS ở UK.

Như vậy thì tôi đã có được nhiều socks và có thể tạo socks trong socks. Vả lại, giả sử tin tặc đó đến từ VN thì sẽ khó khăn hơn, bởi vì IP VN là IP động, nên việc từ log mà truy tìm xác định xem file được truy cập đó có phải là file của hacker chỉ huy hay là file mà zombie load lại là 1 chuyện khác, ta phải nghiên cứu nhiều ngày mới có thể xác định chính xác: tần suất load file, load giờ nào, load như thế nào v.v...

Đôi lời.

Các tổ chức và các báo trên thế giới chưa có nhận định giống bạn này

đồng chí viết bài trên nhầm lẫn ip là 195.90.118.***.

Nếu cho rằng máy tính 193.90.118.*** là máy chủ gốc, thì phải có cơ chế để 8 máy chủ còn lại tự động nhận file flash.gif (và các lệnh khác) từ máy tính này. Bài phân tích của BKIS không chứng minh được điều đó.

Kết luận chắc chắn nhất có thể rút ra là: người đã sử dụng máy tính mang IP 193.90.118.*** có liên quan đến vụ tấn công DDoS. Sự thật là, theo chính công ty sở hữu máy tính đó, chúng ta đều biết nó cũng đã bị xâm nhập từ trước rồi. Do đó không thể kết luận rằng máy tính 193.90.118.*** là nguồn gốc vụ tấn công. Vả lại, dẫu thế nào đi chăng nữa, không thể kết tội một cái máy :-P.

Chưa có thông tin nào nói chỉ dựa vào đoạn log nho nhỏ như trên mà bkis tìm ra mastersever, đây chỉ là một bằng chứng minh họa mà thôi. Có thể còn nhiều bằng chứng khác nữa mà bkis không đưa ra. Nói chung chả ai dựa vào báo chỉ để đi điều tra án cả :-P

Cũng chưa rõ không ai dám khẳng định, BKIS có lẽ hơi vội vàng khi đưa ra kết luận!

Không phải dân lập trình nên em hỏi hơi ngu tí: Ví dụ khi phân tích mã virus, Bomberman thấy có gì liên can đến cái flash.gif và favicon.ico thì sao ạ?

Với lại đến giờ, không ai nói 2 trong số 8 cái máy chủ đấy nằm ở đâu cả. Ví dụ 2 cái máy đó nằm rất xa nhau, chủ sở hữu khác nhau và làm công việc khác nhau.

Nhưng cuối cùng cả 2 lại có liên quan đến 1 cái máy ở Anh, lại tìm kiếm để lấy cùng 1 dữ liệu, phân tích dữ liệu đó lại có những thứ để virus hoạt động. Như thế cũng dễ kết luận 2 máy chủ đó liên quan với nhau và có liên quan đến cái máy ở Anh lắm chứ ạ.

P.s: Em thích cái threat kỹ thuật này hơn 2 cái threat chửi bậy ở trên.

Conmale và số thành viên bên diễn đàn HVA đã bác bõ kết quả phân tích quả file Log của BKIS đưa ra cho báo chí viết bài quả thực vấn đề này thì giới kĩ thuật không khá tin tưởng. Tôi bổ xung tiếp ý kiến xung quanh vấn đề này

1/Dựa vào cái hình trên, tôi cho rằng BKIS đã giả lập lại Server Master đã tấn công vào HÀN QUỐC và US. Quá trình này chả có gì khó bởi vì Bkis đã có trong tay mã nguồn con Virus để tạo ra Bootnet khi xin lại từ phía Hàn Quốc.
2/Theo nhận định khách quan, BKIS phải chăng đã "vố hớ" vấn đề tìm ra Master gốc là Anh. Sau đó kết quả là US ? Phải chăng BKIS đang có vấn đề trong quá trình điều tra kết quả. Vậy tại sao phía BKIS đã biết từ US mà vẫn dừng lại không tấn công tiếp như đã từng làm với 2 Máy Chủ ở Anh. Họ có quyền cơ mà (Bkis quả quyết với giới truyền thông là họ không vi phạm luật) trong khi đó US và Hàn Quốc vẫn chưa tìm ra được thực sự Master gốc????

[=========> Bổ sung bài viết <=========]


Cậu nói giả lập thì buồn cười thật, giả lập thì lấy đâu ra logfile thật chứ

đúng là đọc thread kĩ thuật này hay hơn là Thread cũ kia, dài lê thê mà toàn ko tập trung vào chủ đề :D

Lạ nhỉ?

Khi đọc các bài báo thì tôi hình dung mô hình nó thế này:

Hacker --> Proxy A, B, C... --> Master --> (8 máy chủ) --> Botnet

1. Cái log là log của Apache trên 2 trong 8 máy chủ + file flash.gif --> chỉ có thể là log của máy khác truy cập đến down dữ liệu (chứ ko up dữ liệu nhé).
2. Lệnh được truyền xuống cho Botnet là các file đặt trên 8 máy chủ, các máy nhiễm virus sẽ truy cập vào 8 máy chủ, down cái file flash.gif để nhận lệnh --> trong log Apache của 8 máy chủ chỉ có IP của các máy trong botnet.
3. Lệnh được truyền xuống cho 8 máy chủ là Master:
- Trường hợp tự động: 8 máy chủ phải truy cập lên Master để nhận lệnh --> Trong log Apache của Master có IP của 8 máy chủ.
- Trường hợp không tự động: Hacker phải up file flash.gif lên 8 máy chủ kia --> Trong log SSH hoặc FTP sẽ có ip của Master (nhưng đây là log Apache)

==>

1. Vậy cái Master nó truy cập vào 8 máy chủ kia để làm gì mà để lại log, ko lẽ nó kiểm tra coi cái file đó đã up xong chưa? (Nếu vậy là trường hợp up file bằng tay. --> Không tồn tại cái Master Server mà chỉ có cái máy tính của hacker thôi :D)

2. Các máy trong botnet cũng truy cập để get cái file đó, vậy dựa vào đâu để nói đấy là IP của Master?

3. Cứ cho đấy là IP đã up cái file flash.gif, nếu Hacker sử dụng qua 1 loạt proxy socks nữa thì cái IP đó cũng mới chỉ là 1 ip trung gian thôi, cũng chưa hẳn là Master server.

2. Các máy trong botnet cũng truy cập để get cái file đó, vậy dựa vào đâu để nói đấy là IP của Master?

3. Cứ cho đấy là IP đã up cái file flash.gif, nếu Hacker sử dụng qua 1 loạt proxy socks nữa thì cái IP đó cũng mới chỉ là 1 ip trung gian thôi, cũng chưa hẳn là Master server.

Ngoài việc GET cái file flash.gif thì dòng log típ theo có báo là GET lun cái favicon, từ đó suy ra dzo 1 browser truy cập, mà browser truy cập thì nghĩ ngay đến người. Nếu là em thì em viết con bot vừa GET file vừa GET favicon, hà hà.

Em đồng ý với bác dzề cái dzụ proxy, nói tóm lại, những gì chúng ta nghĩ đc, thì tụi tổ chức DDoS nó nghĩ đến đâu rồi, phải là chuyên nghiệp thì mới thực hiện đc như vậy.

Tại sao các bác không tìm cái mã nguồn đó rồi phân tích ra xem master server thực sự nằm ở đâu, không hơn là ngồi 1 chỗ mà phán à :)

8 servers tấn công website Hàn-Mỹ mà BKIS "phát hiện" ngày 12-7 đã được công bố trước đó 2 ngày (10-7) =)) :P
http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20090710

Tại sao các bác không tìm cái mã nguồn đó rồi phân tích ra xem master server thực sự nằm ở đâu, không hơn là ngồi 1 chỗ mà phán à :)

Tìm ra thì đc gì, nó để lại họ tên với địa chỉ chắc? Thậm chí ở Zombie PCs nó còn có cơ chế tự huỷ (theo như trong tài liệu phân tích của AhnLab thì file Wversion.exe đảm nhiệm task này), huống hồ master server.

Theo em thì thay vì reply những câu vớ vẩn, ta bàn dzề kỹ thuật dzui hơn.

Vụ này còn lằng nhằng chán mới hết.

Tớ thấy chủ Topic nói ngay từ đầu một câu chuẩn không thể móc lốp: Nếu như các thông tin khác mà chủ topic đọc được là đủ và đúng thì bài phân tích của chủ topic là CHUẨN. ==> Ta chỉ bàn về kỹ thuật để tìm nốt 99% còn lửng lơ mà chủ topic đang "NẾU" này "MẾU" nọ.

Theo cái nhìn cá nhân của mình: BKIS tung ra một ít thông tin cho dân trong nghề cùng bàn, còn một ít dấu đi, báo chí moi ko hết được những cái mà Bkis "ko biết" nên dân trong nghề có chọc vào bới cũng khó mà ra được. Trừ khi nào BKIS có đại diện tung ra toàn bộ cái họ có và họ bảo vệ trước cộng đồng thì ta mới bàn tiếp được. Nếu không thì "BKIS đã nhận định sai master server?" sẽ không có lời đáp cho đến khi có đáp án ở đâu đó tiếp cho chúng ta ngồi XEM ko.

vẫn chưa có thông tin nào từ nguồn đáng tin cậy

nhưng chả nhẽ bkis lại ko hiểu đc vấn đề proxy ở đây hay sao mà các bác phải bàn, hơn nữa, cái log kia chỉ là 1 đoạn nhỏ đâu có gì đáng bàn

em thấy bài viết này rất hay :


Vụ "BKIS tìm thủ phạm" và an ninh mạng
24/07/2009 04:47 (GMT + 7)
(TuanVietNam) - Cần cách ứng xử khác qua vụ "BKIS tìm ra thủ phạm” tấn công vào mạng máy tính Hàn Quốc và Mỹ.



Dư luận nóng lên sau ngày 12/7/2009 khi BKIS (Trung tâm phần mềm và Giải pháp an ninh mạng, Đại học Bách khoa Hà Nội) thông báo trên trang web của mình rằng BKIS đã tìm ra “thủ phạm” (hai máy chủ đặt tại Anh) tấn công vào mạng máy tính Hàn Quốc và Mỹ bắt đầu từ ngày quốc khánh Mỹ 4-7-2009. Báo chí thế giới và trong nước đồng loạt đưa tin về “thành tích” này.

.......

Trước hết, các nhà chức trách, các chuyên gia và xã hội dân sự nên tìm hiểu kỹ lưỡng hơn các quy định pháp lí hiện hành (kể cả luật pháp quốc tế) để cải thiện chúng nhằm tạo ra môi trường pháp lí minh bạch hơn, dễ lường hơn đối với mọi người và mọi tổ chức.

Thứ hai, làm việc nghĩa, tìm cách “truy tìm” kẻ xấu, kẻ thủ phạm là việc rất đáng khuyến khích. Nhưng việc này cũng phải tuân thủ những thủ tục pháp lí nhất định để tránh bị liên lụy đến những vấn đề rắc rối có thể kéo theo nhiều rủi ro khôn lường.

Thứ ba, làm việc nghĩa thì rất nên tránh “quảng cáo” rùm beng rằng tôi làm việc nghĩa đây, tôi làm từ thiện đây. Đáng tiếc ở Việt Nam còn có quá nhiều người như vậy và đôi khi báo chí lại tiếp tay “đánh bóng” cho họ qua các chương trình “từ thiện” hoành tráng.

Thứ tư, để tránh mang tiếng tự “quảng cáo” như vừa nêu trên cần rất cẩn trọng với thông tin do mình đưa ra. Có thể chủ định là tốt, nhưng hậu quả không lường trước của việc đưa thông tin lại có thể rất xấu, cho nên phải cận trọng và cân nhắc rất kỹ. Nếu không khéo thì lợi bất cập hại. Nhất là những thông tin liên quan đến an ninh mạng, đến các đối tác quốc tế, đến quá trình “đang điều tra” chưa kết thúc. Lẽ ra những thông tin như vậy nên được coi là thông tin “kín”, “nội bộ” giữa các tổ chức có liên quan (BKIS, VNCERT, KrCERT, …). Chỉ sau khi vụ việc đã kết thúc thì mới nên đưa thông tin loại như vậy ra công khai.

Tất cả những thông tin trao đổi như vậy đều lưu dấu vết trong hệ thống nên không ngại ai tranh mất “công trạng Lục Vân Tiên” của mình. Mà đã là Lục Vân Tiên thì chắc Lục Vân Tiên cũng không để ý đến “công trạng”.

Cuối cùng, các quan chức cũng nên thận trọng khi bình luận. Nói rằng phải đợi tổ chức có máy bị chiếm quyền kiểm soát kiện thì mới rõ, hay “tin tặc” kiện thì sẽ biết “tin tặc” là ai, “người bị hại (chủ quản lý hai server được cho là bị tấn công) cũng chưa có khiếu nại”, “chưa có chứng cớ”.v.v., nên cứ bình chân như vại, là chưa cẩn trọng. Họ thường đưa ra ý kiến hơi thiên vị hay né tránh đưa ra ý kiến. Chưa có ý ‎kiến gì đôi khi cũng là ‎ ý kiến rất có ‎ nghĩa!

An ninh, an toàn, rủi ro là những thứ liên quan đến nhau. Những người làm công việc an ninh, nhạy cảm, liên quan đến nhiều người khác, chắc phải am hiểu các biện pháp phòng ngừa rủi ro cho chính mình, cho đơn vị mình, cho các đối tác của mình, khách hàng của mình. Không khéo thì gây rủi ro khó lường cho chính mình, cho các đối tác, thậm chí cho cả đất nước.

Thế giới thay đổi rất nhanh, để hội nhập thành công chúng ta cũng cần thay đổi cho phù hợp để trở nên ngày càng chuyên nghiệp hơn.

Và còn có thể rút ra bao bài học khác từ sự kiện “nhỏ” nhưng hoàn toàn “không nhỏ” và khá tế nhị, “lùng nhùng” này.

http://www.tuanvietnam.net/vn/thongtindachieu/7550/index.aspx


nếu sai chỗ , thì nhờ mod chuyển dùm ^^ sang topic khác

Mĩ và Hàn Quốc vẫn chưa tìm được kẻ tấn công website

TTO - Dennis Blair, tân Giám đốc Cơ quan Tình báo quốc gia Mĩ, cho biết vẫn chưa tìm được kẻ đứng đằng sau các cuộc tấn công vào website chính phủ Mỹ hôm 4-7 vừa qua.

Ông Blair cho hay, kẻ tấn công đã che đậy dấu vết bằng cách sử dụng một mạng máy tính bị khống chế tạm thời, nhằm lập hàng rào che chắn cho các vụ tấn công thật sự. Hiện chính phủ Mĩ đang tiếp tục bắt tay với các nước khác để truy tìm thủ phạm.

Trong khi đó, chính phủ Hàn Quốc khẳng định, họ đã có bằng chứng về sự dính líu của CHDCND Triều Tiên đến vụ việc, tuy nhiên nước này vẫn chưa đưa ra lời cáo buộc chính thức.

Trước đó, các vụ tấn công nhằm vào một số trang web của chính phủ Mĩ và Hàn Quốc đều có sự tham gia của hàng trăm máy tính khác nhau khi chúng cùng lúc, liên tục tạo các kết nối tới một trang web nào đó, gây nên tình trạng quá tải cho máy chủ và dẫn đến bị ngưng hoạt động. Các trang web của một số bộ và cơ quan đầu não thuộc chính phủ Mĩ như Bộ An ninh nội địa, Bộ Quốc phòng và tài chính, Cơ quan Luật pháp, Cục Dự trữ liên bang, Bộ Giao thông... đã bị ảnh hưởng nghiêm trọng từ sau ngày quốc khánh 4-7.

Tuy nhiên, theo nhận định của Blair, các vụ tấn công xảy ra là không đến nỗi quá tinh vi. Ngoài ra, mạng Internet ở Mĩ cũng cứng cáp hơn so với các nước khác nên không dễ cho giới tin tặc có thể “bắt nạt”.

Mặc dầu vậy, Blair cảnh báo, vẫn rất cần những nỗ lực cụ thể để không làm cho tình hình trở nên xấu đi: “Tôi không cho rằng hiện nước Mĩ đang bị đặt vào tình trạng báo động, như những gì từng xảy ra ở Georgia và Estonia, hai quốc gia vừa bị tê liệt vì hàng loạt vụ tấn công với quy mô rộng. Cơ sở vật chất của chúng ta (nước Mĩ) quá lớn và phức tạp, hơn nữa nước Mĩ cũng đã được tập dượt để luôn luôn sẵn sàng đối phó với các vụ tấn công và những khó khăn tương tự”.

Ngay sau khi bị tấn công, chính phủ Mĩ đã nhanh chóng thông cáo với các cơ quan khác về lỗ hổng mà tin tặc đã khai thác, vì thế tình hình nhanh chóng được khống chế.

Trong khi đó, ở phía bên kia, chính phủ Hàn Quốc cũng đã buộc phải có những động thái cứng rắn trước tình trạng hàng loạt trang web của một số cơ quan đầu não bị tấn công, tuy nhiên hiện tại ngoài những nghi vấn đối với Bắc Triều Tiên, thông tin về thủ phạm vẫn biệt vô âm tín.

NHẬT VƯƠNG (Theo AP)


Nguồn: http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=328164&ChannelID=16

Vụ này BKIS mất mặt rồi

Lạ nhỉ?

Khi đọc các bài báo thì tôi hình dung mô hình nó thế này:

Hacker --> Proxy A, B, C... --> Master --> (8 máy chủ) --> Botnet

1. Cái log là log của Apache trên 2 trong 8 máy chủ + file flash.gif --> chỉ có thể là log của máy khác truy cập đến down dữ liệu (chứ ko up dữ liệu nhé).
2. Lệnh được truyền xuống cho Botnet là các file đặt trên 8 máy chủ, các máy nhiễm virus sẽ truy cập vào 8 máy chủ, down cái file flash.gif để nhận lệnh --> trong log Apache của 8 máy chủ chỉ có IP của các máy trong botnet.
3. Lệnh được truyền xuống cho 8 máy chủ là Master:
- Trường hợp tự động: 8 máy chủ phải truy cập lên Master để nhận lệnh --> Trong log Apache của Master có IP của 8 máy chủ.
- Trường hợp không tự động: Hacker phải up file flash.gif lên 8 máy chủ kia --> Trong log SSH hoặc FTP sẽ có ip của Master (nhưng đây là log Apache)

==>

1. Vậy cái Master nó truy cập vào 8 máy chủ kia để làm gì mà để lại log, ko lẽ nó kiểm tra coi cái file đó đã up xong chưa? (Nếu vậy là trường hợp up file bằng tay. --> Không tồn tại cái Master Server mà chỉ có cái máy tính của hacker thôi :D)

2. Các máy trong botnet cũng truy cập để get cái file đó, vậy dựa vào đâu để nói đấy là IP của Master?

3. Cứ cho đấy là IP đã up cái file flash.gif, nếu Hacker sử dụng qua 1 loạt proxy socks nữa thì cái IP đó cũng mới chỉ là 1 ip trung gian thôi, cũng chưa hẳn là Master server.

tôi chỉ có chút kiến thức về phát triển PM, ko đi sâu vào mạng, nhưng cũng xin góp mấy câu hỏi ở đây để các bạn cho biết đúng hay sai về cách suy luận của tôi:

Theo cái mô hình ở trên

Hacker --> Proxy A, B, C... --> Master --> (8 máy chủ) --> Botnet

1- ta phải biết được cái "Master Server" để truy ra được tất cả 8 C&C servers phải không các bạn?

2- Nếu câu trả lời là Yes thì NN đã biết về cái MS này trước BKIS phải ko các bạn?

3- Còn mô hình nào khác mà không cần biết Master Server vẫn biết tất cả là 8 C&C servers không?

4- Nếu câu trả lời là "Không" thì phải hack đựoc vào Master Server mới biết được 8 cái C&C servers phải ko các bạn?

5- Nếu câu trả lời là "Yes" thì NN đã hack trước BKIS nhưng âm thầm truy xét tiếp, còn BKIS thì nổ, đúng hay sai các bạn?

1- ta phải biết được cái "Master Server" để truy ra được tất cả 8 C&C servers phải không các bạn?


Trả lời: Không :emlaugh:

8 cái sever kia được truy ra từ mã nguồn của virus mà. BKIS có mã nguồn rồi thì có thể ngồi phân tích, dịch ngược nó ra hoặc đơn giản hơn là lây vào 1 cái máy rồi chặn port theo dõi coi nó connect vào đâu là ra 8 cái server kia thôi.

Nếu biết cái Master là cái nào thì cần gì phải "lần theo dấu vết" nữa. :)

Trả lời: Không :emlaugh:

8 cái sever kia được truy ra từ mã nguồn của virus mà. BKIS có mã nguồn rồi thì có thể ngồi phân tích, dịch ngược nó ra hoặc đơn giản hơn là lây vào 1 cái máy rồi chặn port theo dõi coi nó connect vào đâu là ra 8 cái server kia thôi.

Nếu biết cái Master là cái nào thì cần gì phải "lần theo dấu vết" nữa. :)

cám ơn lighthousehn! dựa vào mã nguồn virus, người ta truy ra 8 cái servers kia.

Có cách nào để tìm ra cái "Master Server" ngoài cách hack vào 8 cái C&C servers kia hay không?

Nếu các máy nhiễm virus cũng connect thẳng tới Master Server để Get flash.gif như có bạn đã giải thích ở trên thì để khẳng định đó là Master Server có cần hack vào 2 cái c&c servers như BKIS đã làm không?

Với mô hình ở trên thì không có cách nào truy ra Master server (chưa chắc đã có cái server này) ngoài cách lấy log của 8 cái máy chủ kia và tìm trong log của nó địa chỉ đã up cái file flash.gif lên (hoặc địa chỉ mà 8 máy chủ đó connect vào và tự down về).

Nếu các máy nhiễm virus cũng connect thẳng tới Master Server thì cái Master ấy khác gì 8 máy kia không :)

Ngoài ra thì có thể tìm trong mã virus có những gì đó liên quan tới tác giả hoặc ip... (giống vụ BKIS bắt HN Luke - Xrobots hồi xưa thì phải) hoặc tìm dấu vết thông qua nguồn lây nhiễm virus. Mình không có mã của virus, và nếu có cũng không đủ trình độ ngồi phân tích nên chả đoán mò làm gì :emlaugh:

Bên trên mình dùng từ hơi sai chút, chính xác là phân tích mã (nhị phân) của Virus chứ không phải mã nguồn. Có mã nguồn thì nhàn quá :rolleyes:

Nếu các máy nhiễm virus cũng connect thẳng tới Master Server thì cái Master ấy khác gì 8 máy kia không :)



Có thể BKIS dựa vào suy luận này để attack 2 cái server kia, BKIS nghĩ rằng 1 trong 8 cái server kia chắc hẳn phải là master server, từ đó lại nảy sinh ra việc đọc log.

Với mô hình ở trên thì không có cách nào truy ra Master server (chưa chắc đã có cái server này) ngoài cách lấy log của 8 cái máy chủ kia và tìm trong log của nó địa chỉ đã up cái file flash.gif lên
khi hacker upload cái file flash.gif lên máy chủ tại địa chỉ IP 193... bằng một máy tính khác không phải 8 cái C&C sẻvers thì log của 8 C&C servers ghi lại thế nào dược địa chỉ IP máy tính của hacker?


(hoặc địa chỉ mà 8 máy chủ đó connect vào và tự down về).



Trường hợp này dễ hiểu hơn với tôi.

Tạm thời nhất trí là không truy ra được master server vì hacker(s) không naive (thơ ngây) đến mức không dùng proxy.

Cũng tạm thời sử dụng từ MS ở đây để chỉ định cái server mà 8 C&C servers kia connect tới.

BKIS phân tích log của 2 C&C servers(?) và chỉ ra MS tại IP address 193....muốn tải file flash.gif về.

Giải thích này có vẻ không ổn ở điểm nào?

Tại sao log của 2 C&C servers lại ghi lại truy cập này đươc (giống phần đã hỏi ở trên nhưng tôi nhấn lại ở đây)?

BKIS giải thích do máy IP 193... (hacker) dùng để upload cái flash.gif lên?

Nếu dùng lệnh Get file trong cái log mà BKIS cung cấp thì để test tải file về chứ sao lại suy là hacker tải lên cái IP 193. .. kia?



Nếu các máy nhiễm virus cũng connect thẳng tới Master Server thì cái Master ấy khác gì 8 máy kia không :)


Như vậy phải phân tích log của 2 C&C servers kết hợp với



... tìm trong mã virus có những gì đó liên quan tới tác giả hoặc ip... (giống vụ BKIS bắt HN Luke - Xrobots hồi xưa thì phải) hoặc tìm dấu vết thông qua nguồn lây nhiễm virus.

để kết luận chắc chắn là 8 C&C servers kia nhận lệnh từ cái MS ở địa chỉ IP 193... này

Trường hợp tìm thấy cái gì liên quan có vẻ khó xảy ra thì phải?

Mong các bạn giải thích giúp.

http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=328164&ChannelID=16

Mĩ và Hàn Quốc vẫn chưa tìm được kẻ tấn công website:
....Ông Blair cho hay, kẻ tấn công đã che đậy dấu vết bằng cách sử dụng một mạng máy tính bị khống chế tạm thời, nhằm lập hàng rào che chắn cho các vụ tấn công thật sự. Hiện chính phủ Mĩ đang tiếp tục bắt tay với các nước khác để truy tìm thủ phạm....
Tuy nhiên, theo nhận định của Blair, các vụ tấn công xảy ra là không đến nỗi quá tinh vi. Ngoài ra, mạng Internet ở Mĩ cũng cứng cáp hơn so với các nước khác nên không dễ cho giới tin tặc có thể “bắt nạt”

Ngoài ra thì có thể tìm trong mã virus có những gì đó liên quan tới tác giả hoặc ip... (giống vụ BKIS bắt HN Luke - Xrobots hồi xưa thì phải) hoặc tìm dấu vết thông qua nguồn lây nhiễm virus. Mình không có mã của virus, và nếu có cũng không đủ trình độ ngồi phân tích nên chả đoán mò làm gì :emlaugh:

Bạn ơi vụ luke là do luke đi tự thú thôi, chứ bắt bớ cái gì, trình độ BKIS đâu đã đủ mà bắt được người phát tán virus. Sau đó luke nộp vài triệu rồi thôi. Mình là bạn của luke mình biết quá rõ.

http://www.baomoi.com/Home/CNTT/www.tienphong.vn/Uong-phi-chat-xam/2984269.epi

Bài trên vừa đăng trên TP xong lại thấy gỡ xuống ngay, công nhận là cái khái niệm "Tự do báo chí" ở ta vẫn còn xa xỉ lắm lắm, nhề.

P/S: Đồng chí phóng viên kia chửi thế mới gọi là chửi chứ, mặc dù chỉ thu thập thông tin từ các diễn đàn nhưng công nhận có nghề viết nó cũng khác.

khi hacker upload cái file flash.gif lên máy chủ tại địa chỉ IP 193... bằng một máy tính khác không phải 8 cái C&C sẻvers thì log của 8 C&C servers ghi lại thế nào dược địa chỉ IP máy tính của hacker?

Như tôi đã nói ở trên, nếu hacker upload file thì cái IP của máy upload sẽ được lưu trong log của FTP hoặc SSH chứ ko phải của Apache. Dĩ nhiên không thể khẳng định cái ip đó là ip ở nhà hacker rồi, nó có thể là của 1 proxy, socks nào đó, cũng có thể là của một dịch vụ internet công cộng, hoặc có thể là của một trong các máy tính ma trong mạng botnet... Nếu là tôi thì up xong xóa hết log của ssh và ftp --> mất dấu. Hê hê...



BKIS phân tích log của 2 C&C servers(?) và chỉ ra MS tại IP address 193....muốn tải file flash.gif về.

Giải thích này có vẻ không ổn ở điểm nào?

Tại sao log của 2 C&C servers lại ghi lại truy cập này đươc (giống phần đã hỏi ở trên nhưng tôi nhấn lại ở đây)?

BKIS giải thích do máy IP 193... (hacker) dùng để upload cái flash.gif lên?

Nếu dùng lệnh Get file trong cái log mà BKIS cung cấp thì để test tải file về chứ sao lại suy là hacker tải lên cái IP 193. .. kia?


Thì vấn đề nó đang nằm ở chỗ này đây. Tôi tạm hiểu theo suy luận của các chú ấy thì sau khi hacker up cái file đó lên rồi, mới dùng một trình duyệt get thử để coi cái file đó đã up xong chưa, hay là coi tồn tại hay không (vì chỉ có trình duyệt nó mới get cái file favicon.ico). Nhưng chứng cứ này cũng ko chắc lắm. Có thể 1 người, 1 nhóm nào đó cũng ngồi phân tích cái file virus và get thử coi nội dung virus connect tới để lấy là gì thì sao? Hoặc nếu cứ cho là hacker get thử để kiểm tra thì chắc gì cái IP đó với cái IP up lên là một. Dù sao đấy cũng là một hướng điều tra. Có điều các chú BKIS nhà ta gào lên thế rồi thì cho dù có đúng là hacker ở cái IP đó cũng đủ thời gian để cho cái máy ở IP đó mất tích --> mất bằng chứng.

http://www.baomoi.com/Home/CNTT/www.tienphong.vn/Uong-phi-chat-xam/2984269.epi

Bài trên vừa đăng trên TP xong lại thấy gỡ xuống ngay, công nhận là cái khái niệm "Tự do báo chí" ở ta vẫn còn xa xỉ lắm lắm, nhề.

P/S: Đồng chí phóng viên kia chửi thế mới gọi là chửi chứ, mặc dù chỉ thu thập thông tin từ các diễn đàn nhưng công nhận có nghề viết nó cũng khác.

cái kiểu "tự do báo chí" ở Việt nam , tin nào hot giật gân , thẳng thắn thì phải chụp hình lại làm bằng chứng , chứ ko sau 24h là bị xóa luôn :D

;)) 1 nhóm nào ở Anh cũng đang phân tích virus như BKIS. get file để xem thì bị BKIS nói là HACKER ;))

Cái kiểu Forensic này rất võ đoán , giống như rất nhiều tay nghĩ rằng IP của người đầu tiên xem file deface chính là attacker đó (Thường thì attacker deface xong thì là người đầu tiên mở file đó ra xem), nhưng nếu attacker có quyền root thì attacker dễ dàng đánh lừa ta bằng cách vào log sửa Ip luôn, có khi nó phang ngay IP tĩnh của ... chính ta . Hoặc attacker dễ dàng dùng vài lớp free proxy trên net để get file đó. Tóm lại là tầm của attacker cao cấp 1 chút thì vô phương truy cứu, trừ phi thân thiện như... Luke với vụ Xrobot hay Quanwu vụ Vnmedia và Moet cố tình liên lạc với Bkis để khai báo

P/s : Tôi dùng attacker đúng bản chất của sự việc, những tay này không phải HACKER đúng nghĩa. cảnh báo luôn mấy ông Phóng viên không nên lạm dụng từ hacker trong các vụ tấn công an ninh mạng. Chỉ nên gọi hacker với nhứng chuyên gia bảo mật có công trạng lớn!

Cái kiểu Forensic này rất võ đoán , giống như rất nhiều tay nghĩ rằng IP của người đầu tiên xem file deface chính là attacker đó (Thường thì attacker deface xong thì là người đầu tiên mở file đó ra xem), nhưng nếu attacker có quyền root thì attacker dễ dàng đánh lừa ta bằng cách vào log sửa Ip luôn, có khi nó phang ngay IP tĩnh của ... chính ta . Hoặc attacker dễ dàng dùng vài lớp free proxy trên net để get file đó. Tóm lại là tầm của attacker cao cấp 1 chút thì vô phương truy cứu, trừ phi thân thiện như... Luke với vụ Xrobot hay Quanwu vụ Vnmedia và Moet cố tình liên lạc với Bkis để khai báo

P/s : Tôi dùng attacker đúng bản chất của sự việc, những tay này không phải HACKER đúng nghĩa. cảnh báo luôn mấy ông Phóng viên không nên lạm dụng từ hacker trong các vụ tấn công an ninh mạng. Chỉ nên gọi hacker với nhứng chuyên gia bảo mật có công trạng lớn!

Thì bản chất là vậy, đã có bản lãnh chơi DDOS thì phải tính trước chuyện che dấu hành tung chớ.

Nghe đ/c này nhắc lại cu em Quanwu lại nhớ đến đoạn Quách tiễn sĩ trả lời phỏng vấn, đang hung hăng nên phang toàn những "tóm", "vồ" mí lị "nó", sặc mùi XHĐ, ghê chết đi được. Nghe đâu Quảng hiệp sĩ trước đây cũng là đệ ruột của Quách tiến sĩ hay sao á, thảo nào giống nhau thế.

Cám ơn các bạn đã giải thích, tôi sễ đọc thêm về hướng này trong tương lai gần.

Theo những gì các bạn phân tích thì BKIS ko có đưa ra cái chứng cớ gì về mặt kỹ thuật để khẳng định kết quả của điều tra.

Vậy họ làm thế không sợ bị thế giới chuyên môn cười cho hay sao?

Cả cái vụ khẳng định nguồn confiker từ TQ nữa thì phải, sao họ cứ quả quyết một cách thiếu cơ sở khoa học như dạng amateur thế nhỉ?

Tự họ làm giảm uy tín của chính mình nếu tiếp tục thế này và đến ngày họ muốn nói sự thật cũng ko ai nghe và tin họ nữa.

như ở VN thì khỏe nhỉ, ra net làm xong chuồn êm khó ai mà biết đc ;))
Relax :D

http://www.baomoi.com/Home/CNTT/www.tienphong.vn/Uong-phi-chat-xam/2984269.epi

Bài trên vừa đăng trên TP xong lại thấy gỡ xuống ngay, công nhận là cái khái niệm "Tự do báo chí" ở ta vẫn còn xa xỉ lắm lắm, nhề.

P/S: Đồng chí phóng viên kia chửi thế mới gọi là chửi chứ, mặc dù chỉ thu thập thông tin từ các diễn đàn nhưng công nhận có nghề viết nó cũng khác.
Đọc đến câu này mà không gỡ bài báo đó xuống thì đúng là ban biên tập có vấn đề.


“Thiên tài” IT này đã báo cho VDC và cả chủ trang mạng www.moet.gov.vn (Bộ GD ĐT), biết là trang web có lỗ hổng, nếu không “vá lỗi” thì dễ bị tấn công.

Toàm bộ sự việc được dựa trên một thông tin loan truyền đã lâu "Bắc Kim Chi hack các máy chủ của chính phủ Mỹ và Hàn Quốc".

Tin này đến nay đã được nhận định là tin giả, cũng như "Bắc Kim Chi xây lò phản ứng hạt nhân ở Syria" và "Bắc Kim Chi chuyển giao tên lửa cho Iran". Lò phản ứng hạt nhân thì ở sát biên giới Thổ, còn Iran có tên lửa xuyên lục địa lại đi mua kỹ thuật tên kửa của cái xứ bắn mãi quả tên lửa tầm xa không xong. CHúng cũng như "Iraq sản xuất vũ khí hủy diệt hàng loạt".


Vậy cái điểm gốc đã là một tin chính trị giả dối. Vậy, những "tin tức" bám ăn theo cái chính trị giả dối ấy là loại gì.
Thêm nữa, các thông tin đó nay đã được "giải mật một phần", ví dụ, "Iraq sản xuất vũ khí hủy diệt hàng loạt" nay đã được xác định là chính phủ Anh-Mỹ sản xuất. Vậy hoàn toàn có thể khẳng định tin "Bắc Kim tấn công máy chủ chính phủ Hàn-Mỹ" cũng do bọn đó làm.

Bây giờ, bác Bkis lại .... lần đến đấy ??
Đây là chuyện gì ??

Thứ nhất, chắc chắn tin "máy chủ chính phủ Mỹ Hàn bị Bắc Kim" bị tấn công là tin giả đã. Như vậy, thông tin về việc phát hiện một cuộc tấn công như thế, về nguyên tắc, cũng là tin giả. Và vì vậy, đương nhiên giải mã một tin giả là một trò đùa. Việc đầu tiên mình khẳng định như vậy. Tuyên bố vừa rồi chỉ là một quả nổ thường thấy của quảng nổ xứ ngu si mà thôi.
Cái mình định bàn là giả ở đâu. Mức độ giả thế nào. Bkis đóng vai trò gì ?

Đây là việc liên quan nhiều đến chính trị, nên các bạn phải tự hiểu khá nhiều vì mình cũng không muốn muốn và không thể nói nhiều hơn.

[=========> Bổ sung bài viết <=========]

Trước khi phân tích kỹ hơn vụ này, chúng ta xem lại vụ cũ.
BKIS đã lập công đầu trong việc cảnh báo virus mới lây nhiễm qua dịch vụ Gmail của Google
http://www.ddth.com/showthread.php?t=268787


Như mình đã nói. Vấn đề mới có hai mặt, chính trị và kỹ thuật. Gốc của thông tin là "Bắc Kim tấn công máy chủ xyz", khi cái gốc đó đã là giả thì mọi chuyện trên đó đều là giả dối. Chỉ có điều, không ai "dũng cảm" đủ đến mức tuyên là có vius Google capcha. Người có thành tích dũng cảm như vậy, thật là một chiến sỹ quý giá cho sự nghiệp chính trị.

Vậy sự nghiệp chính trị này là gì ?

BKIS là chuyên gia nổ rồi. Có bác nào biết cách kiểm tra BKAV luôn đi nhỉ.

cần chi kiểm tra, chỉ tổn làm dơ phần mềm kiểm tra của mình