Kết quả 1 đến 5 của 5
  1. #1
    News Managaer News Manager Candy's Avatar
    Ngày tham gia
    05 Aug 2007
    Đang ở
    C:\WINDOWS
    Tuổi
    30
    Bài viết
    1,860
    Thanks
    0
    Thanked 8 Times in 5 Posts
    Rep Power
    30

    Mặc định BKIS đã nhận định sai master server?

    Theo một số cơ quan truyền thông VN, vừa rồi BKIS đã có một cú hích "chấn động thế giới" là giúp Mỹ và Hàn Quốc, hai cường quốc thế giới về công nghệ, truy tìm ra được thủ phạm của vụ tấn công DDoS vào các web site của hai quốc gia này.

    Bạn thắc mắc BKIS đã làm điều đó như thế nào? Tôi cũng thắc mắc như thế, sẵn có chút nghề, nên mạo muội tìm hiểu, như là một cách để tri ân 10 chiến sĩ trong đội đặc nhiệm BKIS đã làm việc suốt gần 2 ngày liền hòng đưa VN nở mày nở mặt với bạn bè thế giới.

    Tóm tắt lại sự việc, theo tường thuật của báo CAND, dựa trên lời kể của các chiến sĩ BKIS:

    1. Ngày 12/7, KR-CERT gửi mẫu virus cho BKIS.

    2. Ngay lập tức, trong gần 2 ngày liên tục, như đã nói ở trên, 10 chiến sĩ trong đội đặc nhiệm BKIS đã chiến đấu quên ăn quên ngủ để phân tích mẫu virus nói trên.

    3. Đến 3h sáng 13/7, cuộc điều tra rơi vào bế tắc. Tiếp tục nghiên cứu, đội đặc nhiệm phát hiện ra 8 máy chủ điều khiển các máy ma bị nhiễm virus.

    4. BKIS đã xâm nhập được vào 2 trong số 8 máy chủ này và thu được những thông tin quan trọng.

    5. Đến 14h ngày 13/7, Đội trưởng Nguyễn Minh Đức reo to "Ơ-rê-ka". Khi đó địa chỉ IP của máy chủ gốc (master server), nơi đã tổng chỉ huy các cuộc tấn công, đã được xác định. Giám đốc Nguyễn Tử Quảng cùng anh em ôm chầm lấy nhau. Một đêm trắng đã được đền đáp.

    ------

    Rồi bây giờ chúng ta hãy thử lần lại các bước mà BKIS đã làm nha. Chủ yếu có 3 việc chính:

    1. Xác định 8 máy chủ trung gian.

    Từ ngày 10/7/2009, nghĩa là trước khi BKIS nhận được mẫu virus 2 ngày, thông tin về 8 máy chủ trung gian này và phân tích chi tiết hoạt động của virus đã có trên Internet. Xem thêm http://www.shadowserver.org/wiki/pmw...endar/20090710http://www.maxoverpro.org/77DDoS.pdf. Bản phân tích thứ nhất là của nhóm ShadowServer, bản phân tích thứ hai là của AhnLab, một công ty của Hàn Quốc.

    Vậy thông tin Mỹ và Hàn Quốc kô biết gì về cơ chế hoạt động của dòng virus này có vẻ không chính xác nhỉ?

    Hơn nữa, không hiểu các chiến sĩ của chúng ta đã làm gì trong 2 ngày trời, để rồi thu được kết quả là những gì người ta đã làm trước đó rồi.

    Àh nhưng, BKIS đã có thông tin quan trọng nhất về máy chủ gốc (master server), Mỹ và Hàn Quốc không có thông tin này nha. Vậy nên chúng ta tiếp tục với công việc số 2.

    2. Xâm nhập vào 2 trong số 8 máy chủ trung gian.

    Theo lời của Nguyễn Tử Quảng, thì chỉ đơn giản là: "Trong số 8 server, chúng tôi đã tìm ra được 2 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web. Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng."

    Như vậy là chẳng có xâm nhập gì ở đây, các máy chủ này chỉ vô tình để lộ thông tin mà "ai cũng có thể sử dụng" cả.

    Các bạn Hàn Quốc và Mỹ thật đáng trách, đã lần ra được 8 máy chủ này, vậy mà không phát hiện ra được "các dịch vụ chia sẻ tài nguyên hoàn toàn thông thường đó". Hoan hô BKIS đã có con mắt tinh tường.

    Nhưng vào được 2 máy chủ trung gian vẫn chưa tạo nên cú hích "lừng lẫy năm châu", điều quan trọng là căn cứ vào dữ liệu trên 2 máy chủ này, BKIS đã phát hiện máy chủ gốc, điều khiển toàn bộ vụ tấn công, chính là công việc số 3.

    3. Phát hiện máy chủ gốc

    Các bạn thấy cái hình trên cùng của bài viết này không? Đây chính là hình mà các chiến sĩ BKIS căn cứ vào đó để kết luận về máy chủ gốc có địa chỉ IP 193.90.118.***.

    Đây là hình chụp một đoạn nhật ký truy cập (access log) của máy chủ web Apache trên 1 trong 2 máy chủ mà các bạn BKIS đã "tấn công ngược". Các bạn chú ý chỗ được đánh dấu đỏ.

    Theo phân tích của Anhlab và BKIS thì sau khi lây nhiễm vào máy tính nạn nhân, mẫu virus này sẽ cố gắng download từ 1 trong 8 máy chủ một file mang tên flash.gif. Nhìn hình này chúng ta thấy rằng một người sử dụng một máy tính có địa chỉ IP 193.90.118.*** (là địa chỉ mà BKIS cho là máy chủ gốc), đang sử dụng Internet Explorer để download file flash.gif từ 1 trong 2 máy chủ mà BKIS đã "fought against and gained control".

    Tại sao tôi biết là Internet Explorer? Đó là căn cứ vào cái request thứ hai, chỉ có Internet Explorer mới luôn "GET /favicon.ico" mỗi khi nó truy cập vào một web site nào đó. Dựa vào luận cứ này tôi (và bạn Nguyễn Minh Đức?) đoán đây là người truy cập, chứ không phải virus tự động làm, lý do là virus thì không sử dụng Internet Explorer. Các bạn chú ý điểm này nha.

    Cập nhật: Tôi nhầm lẫn. Chrome, Firefox và các browser khác cũng có biểu hiện như Internet Explorer. Dẫu vậy điều này không ảnh hưởng gì đến luận cứ này. Cảm ơn bạn trm_tr.

    Lần đầu thấy cái hình này, tôi cũng thắc mắc không hiểu tại sao BKIS dựa vào đây mà có thể kết luận được IP 193.90.118.*** là máy chủ gốc. Cho đến hôm nay được các bạn trong team CLGT giải thích, tôi mới hiểu ra.

    Lập luận thế này: chỉ có virus mới tự động download file flash.gif, nên nếu mà có một người tự dưng download file đó (bằng Internet Explorer, như đã nói ở trên), thì hẳn người đó là người đã tạo ra file flash.gif (và anh ta đang test thử xem file flash.gif có nằm ở địa chỉ /xampp/img/flash.gif hay không).

    Nghe hợp lý đúng không? Nhưng như thế liệu có đủ để kết luận IP 193.90.118.*** là máy chủ gốc? Trong toàn bộ suy luận ở đây, người sử dụng máy tính mang IP 193.90.118.*** chỉ làm một việc duy nhất là dùng Internet Explorer để kiểm tra xem file flash.gif có tồn tại hay không.

    Nếu cho rằng máy tính 193.90.118.*** là máy chủ gốc, thì phải có cơ chế để 8 máy chủ còn lại tự động nhận file flash.gif (và các lệnh khác) từ máy tính này. Bài phân tích của BKIS không chứng minh được điều đó.

    Kết luận chắc chắn nhất có thể rút ra là: người đã sử dụng máy tính mang IP 193.90.118.*** có liên quan đến vụ tấn công DDoS. Sự thật là, theo chính công ty sở hữu máy tính đó, chúng ta đều biết nó cũng đã bị xâm nhập từ trước rồi. Do đó không thể kết luận rằng máy tính 193.90.118.*** là nguồn gốc vụ tấn công. Vả lại, dẫu thế nào đi chăng nữa, không thể kết tội một cái máy :-P.

    Lẽ ra sau khi các chiến sĩ BKIS tìm được IP này, họ phải tuân theo quy trình làm việc của APCERT, bí mật thông báo cho US-CERT, UK-CERT, KR-CERT và các tổ chức trong APCERT, để các cơ quan chức năng này niêm phong máy tính 193.90.118.***, thực hiện các biện pháp digital forensic để lần ra dấu vết của người đã xâm nhập máy tính này.

    Nhưng, như các bạn đã biết, BKIS đã chọn một hướng đi khác, và có lẽ từ lúc BKIS phát thông tin cho các cơ quan truyền thông, cho đến lúc các đội CERT sờ được vào máy tính 193.90.118.*** thì nó đã không còn thông tin giá trị có thể giúp lần ra tội phạm nữa rồi. Sự thật là cho đến nay, vẫn chưa tìm được thủ phạm vụ tấn công DDoS.

    Tóm lại, sau 2 ngày liên tục điều tra, 10 chiến sĩ BKIS đã: a) thu được thông tin mà Mỹ và Hàn Quốc đã có được trước đó 2 ngày; b) vô tình download được thông tin liên quan "nhật ký các cuộc tấn công"; c) tiến hành phân tích, và đưa ra một kết luận sai. Điều quan trọng nhất là mặc dù thông tin BKIS tìm thấy là có giá trị nhưng chính họ cũng đã đánh đổi thông tin đó cho những mục tiêu khác, thay vì mục tiêu cao cả vì an ninh thế giới.

    Như các bạn đã thấy, tất cả luận cứ trong bài này đều dựa vào thông tin mà báo chí đã viết về BKIS và trên blog của chính nhóm này. Suy luận chủ quan của tôi sẽ sai nếu những thông tin đó không chính xác. Suy luận chủ quan của tôi cũng có thể sai nếu phương pháp điều tra của BKIS khác với cách mà tôi dự đoán. Tôi không chịu trách nhiệm nếu "an ninh thế giới" bị đe dọa vì những phân tích này. Các bạn thoải mái đăng lại bài viết này ở những nơi khác, và các bạn chịu trách nhiệm vì điều đó nha.
    http://vnhacker.blogspot.com/2009/07...o-nhu-nao.html


  2. #2
    Member quèn ĐDT Member vitaminb12's Avatar
    Ngày tham gia
    21 Mar 2007
    Đang ở
    Grand Line
    Tuổi
    31
    Bài viết
    2,650
    Thanks
    2
    Thanked 3 Times in 3 Posts
    Rep Power
    30

    Mặc định Re: BKIS đã nhận định sai master server?

    cái gì gọi là "cú hích chấn động thế giới" Trò mèo của chú Quảng nổ Mất thể diện quốc gia quá đi

    Je ne suis pas d’accord avec ce que vous dites, mais je me battrai jusqu’à la mort pour que vous ayez le droit de le dire.
    Hiện text ẩn<-- "Tôi không đồng ý với những gì anh nói, nhưng tôi sẽ bảo vệ cho đến chết quyền được nói như vậy của anh." -->
    ---Voltaire---

  3. #3
    Hẹn em ngày đó DDT Friend haidh's Avatar
    Ngày tham gia
    17 Jan 2006
    Đang ở
    Hải Dương
    Bài viết
    982
    Thanks
    1
    Thanked 0 Times in 0 Posts
    Rep Power
    55

    Mặc định Re: BKIS đã nhận định sai master server?

    1. Kr-Cert không hề nhờ cậy BKIS như các ông này nổ, mà chính giám đốc KR-CERT đã đích thân bằng văn bản phản đối việc BKIS thông tin KR-CỂRT nhờ cậy, thực tế là BKIS đã phải cạy cục mới có info mới đúng. Chẳng qua BKIS cũng thuộc APA-CERT nên cũng nhận được thông tin về vụ tấn công mà thôi.
    2.VN-CERT đã forward email cảnh cáo việc thông tin sai của KR-CERT
    3.Việc BKIS xâm nhập 2 máy chủ là phạm luật
    4.Trình độ anh em VN ta thế nào, các chú khác trên thế giới đều biết mà
    Hãy theo đuổi đam mê, thành công sẽ theo đuổi bạn
    My corner: http://haidh.com
    My bin: http://www.facebook.com/haidh

  4. #4
    Nhập môn đồ đệ ĐDT Member
    Ngày tham gia
    21 Nov 2009
    Đang ở
    Linh đàm,Hà nội
    Tuổi
    32
    Bài viết
    47
    Thanks
    0
    Thanked 0 Times in 0 Posts
    Rep Power
    42

    Mặc định Re: BKIS đã nhận định sai master server?

    Cái vụ này lâu rồi mà, khổ quá, bác BKIS cố gắng tốt lên 1 chút rồi tôi dùng cũng được, gì chứ mình dùng Win lậu, MSOffice lậu,IDM lậu, norton dùng thử nhưng EnglishStudy thì mua bản quyền đấy chứ( mặc dù crack dễ ợt!) người Việt ủng hộ hàng Việt, BKIS mà tốt như Norton là mua bản quyền ngay! ( chắc là lâu lắm đấy!
    Chỉ Tay Lên Trời - Hận Đời Vô Đối
    National Economics University

  5. #5
    Vi phạm Nội Quy Administrator hrockvn's Avatar
    Ngày tham gia
    06 Jan 2006
    Đang ở
    Thanh Xuân vỉa hè quán
    Bài viết
    3,761
    Thanks
    13
    Thanked 20 Times in 14 Posts
    Rep Power
    30

    Mặc định Re: BKIS đã nhận định sai master server?

    Cậu xem lại cái ngày post hộ cái đi
    Closed .
    My blog
    My
    facebook
    My
    website
    D2T
    Fanpage

    "Lúc trước mình đẹp trai lắm, nhưng bây giờ đỡ nhiều rồi"

Thông tin về chủ đề này

Users Browsing this Thread

Có 1 người đang xem chủ đề. (0 thành viên và 1 khách)

Đánh dấu

Quyền viết bài

  • Bạn Không thể gửi Chủ đề mới
  • Bạn Không thể Gửi trả lời
  • Bạn Không thể Gửi file đính kèm
  • Bạn Không thể Sửa bài viết của mình
  •