(CHÚ Ý : LINKS TRONG BÀI CÓ THỂ DẪN ĐẾN SITES CÓ CHỨA MÃ ĐỘC! HÃY THẬN TRỌNG VỚI VIỆC BẤM VÀO LIÊN KẾT TRONG BÀI, HOẶC VỚI NHỮNG FILE TẢI XUỐNG - IXIJ)
Hacker lại công bố hàng loạt dữ liệu "tuyệt mật" của Bkav
(ICTPress) - Liên tiếp trong ngày hôm qua và hôm nay (9/3), một hacker tự nhận là "Mrs. Anonymous" đã công bố hàng loạt dữ liệu được cho là các thông tin nội bộ, mã nguồn thuộc loại "tuyệt mật" của công ty Bkav.
Trong lần công bố này, hacker tiếp tục đăng tải trên một địa chỉ blog khác vừa mới được thiết lập và sử dụng một lối hành văn khác. Tuy thế, "Mrs. Anonymous" nói mình đang "tiếp tục sự nghiệp còn dang dở" tại blog cũ trên Blogspot.
Trong lần công bố này, hacker tiếp tục đăng tải trên một địa chỉ blog khác vừa mới được thiết lập và sử dụng một lối hành văn khác. Tuy thế, "Mrs. Anonymous" nói mình đang "tiếp tục sự nghiệp còn dang dở" tại blog cũ trên Blogspot.
Hacker công bố nhiều dữ liệu được cho là của Bkav. Ảnh chụp màn hình.
Theo đó, hacker này đã liên tiếp công bố 3 gói dữ liệu với tổng kích thước đã nén lên tới gần 500MB, chứa thông tin được cho là các "dự án đặc biệt", danh bạ nhân viên, tài liệu nội bộ, các mẫu biểu báo cáo,... của Bkav.
Cùng với đó là phần mềm, mã nguồn và cơ sở dữ liệu của nhiều dự án quan trọng của Bkav, trong đó có Hệ thống hỗ trợ khách hàng (Contact Center), một số mã nguồn các môđun của Bkis/Bkav, hệ thống eGov, hệ thống và cơ sở dữ liệu eOffice,...
Nghiêm trọng hơn, cùng với phần mềm hỗ trợ khách hàng, hacker cũng công bố dữ liệu được cho là bao gồm tên, địa chỉ, số điện thoại, email của khoảng 1 triệu khách hàng Bkav.
Hiện chưa thể xác thực các dữ liệu trên thuộc về Bkav, xong qua đánh giá tổng thể các gói dữ liệu được gửi lên cũng như chi tiết dữ liệu trong nhiều tệp tin, chúng tôi nhận định không ít dữ liệu trong đó liên quan tới hoạt động thực tế của Bkav.
Nếu các dữ liệu trên thực sự thuộc về Bkav thì rõ ràng đây là hành động vi phạm pháp luật nghiêm trọng và cần sớm được điều tra, xử lý nghiêm.
Song như chúng tôi đã từng nhận định, nhóm hacker tấn công Bkav thời gian qua có khả năng bao gồm nhiều đối tượng, có kỹ năng tốt và hành động khá thận trọng, do đó có thể sự việc còn tiếp tục diễn biến phức tạp.
An Du
(Trang đã rút xuống, dẫn theo theo: Hvaonline.net/)
BKAV news
Trước đó, một bạn đưa một file .html (vô hại) lên webscan.bkav.com.vn
để báo lỗi.
Sau đó BKAV phối hợp với C50 bắt người này.
Cách hành xử này được cho là không "đẹp".Ngày 2012/02/24, nhóm tự xưng là Anonymous VN tiếp tục:
- Bkav forum defaced
- 134207 emails của forum (các thông tin khác về user thông đáng tin cậy)
- Toàn bộ database của forum cho đến ngày 2012/02/24
Anonymous VN cũng yêu cầu BKAV xử đẹp.
Nhưng thái độ của BKAV không thành thật, không xin lỗi.
Ngày 2012/03/08, Bkav bị tấn công tiếp
- 991355 thông tin cá nhân của khách hàng BKAV (bao gồm email, tel, tên đầy đủ)
- 905 thông tin cá nhân của nhân viên BKAV (bao gồm email, tel, tên
đầy đủ, ngày sinh, và quan trọng hơn nữa: giới tính)
- 1938 thông tin cá nhân (bao gồm tên thật, tel, chức vụ, ảnh cá nhân)
của nhân viên chính thức, cộng tác viên, các phòng ban
Và
- Mã nguồn của hệ thống quản lý thông tin cá nhân (khách hàng, nhân viên)
- Nhiều tài liệu mật khác
để báo lỗi.
Sau đó BKAV phối hợp với C50 bắt người này.
Cách hành xử này được cho là không "đẹp".Ngày 2012/02/24, nhóm tự xưng là Anonymous VN tiếp tục:
- Bkav forum defaced
- 134207 emails của forum (các thông tin khác về user thông đáng tin cậy)
- Toàn bộ database của forum cho đến ngày 2012/02/24
Anonymous VN cũng yêu cầu BKAV xử đẹp.
Nhưng thái độ của BKAV không thành thật, không xin lỗi.
Ngày 2012/03/08, Bkav bị tấn công tiếp
- 991355 thông tin cá nhân của khách hàng BKAV (bao gồm email, tel, tên đầy đủ)
- 905 thông tin cá nhân của nhân viên BKAV (bao gồm email, tel, tên
đầy đủ, ngày sinh, và quan trọng hơn nữa: giới tính)
- 1938 thông tin cá nhân (bao gồm tên thật, tel, chức vụ, ảnh cá nhân)
của nhân viên chính thức, cộng tác viên, các phòng ban
Và
- Mã nguồn của hệ thống quản lý thông tin cá nhân (khách hàng, nhân viên)
- Nhiều tài liệu mật khác
Dưới đây là những thông tin mới tung lên mạng, được cho là dữ liệu của BKAV bị bạch hóa:
(một thành viên HVA gọi là "BKAV nuy bảo vệ mội trường mạng":
Email / Username, password của thành viên BKVA được công bố ở đây:
Món quà thứ 4 và thứ 5 dành cho BKAV
10-03-2012
10-03-2012
Tiếp theo yêu cầu của đông đảo cư dân mạng, để chứng tỏ những gì chúng tôi nắm giữ, chúng tôi tiếp tục công bố những gói data nội bộ thể hiện toàn bộ "thâm cung bí sử" của Bkis và những hoạt động của công ty này.
KỲ 1: NHỮNG "SPECIAL PROJECTS" CỦA BKIS
1. APCERT 2009: Nguyễn Minh Đức và Đỗ Mạnh Dũng đã biểu diễn những gì?
2. Korea DDoS: Bkis đã tìm thấy gì trong vụ này để trở thành "niềm tự hào" của giới bảo mật Việt Nam?
3. TC5: Nhóm "Task Force" của Bkis đã huấn luyện TC5 như thế nào? Họ đã thể hiện đạo đức nghề nghiệp ra sao?
4. Underground Team: Nhóm "Underground" của Bkis đã thực hiện những phi vụ điều tra công nghệ cao gì?
Toàn bộ thông tin nằm ở đây, mời cư dân mạng xem xét và đánh giá để có một góc nhìn khác hơn về BKIS!
http://ubuntuone.com/4ENufHhmFeLa4iOXGfalX7(Special thanks to phanledaivuong)Mrs. Anonymous
MÀN 2: NHÂN SỰ VÀ KHÁCH HÀNG
Mùng 08/03 trôi qua êm ả, thấy tình hình 1st sôi nổi quá, buồn buồn chia nhau ngồi đọc kho dữ liệu kinh khủng làm món quà 2nd tặng cư dân mạng. Thôi thì không đụng vào những vấn đề tế nhị nữa, màn 2 chúng tôi xin giới thiệu món quà đặc biệt khác:
MÀN 2: NHÂN SỰ VÀ KHÁCH HÀNG
1. BKIS's Employees: Danh sách 795 nhân viên chính thức, 110 cộng tác viên thường trực và 55 cộng tác viên bán thời gian (may be "Chị Thiến"?). Tặng luôn cư dân mạng danh bạ điện thoại của BKIS, ai muốn bị chém thì gọi.
2. CCS - Contact Center System: Hệ thống hỗ trợ khách hàng, bao gồm:
- Mã nguồn (ngôn ngữ ASP.NET trên nền Microsoft Studio, SQL Server cracked). Xin lỗi vì cục .mdf quá khổ không cách nào share được. Ai cần xin liên hệ: 0913533344, sẽ gửi riêng ^.^ (j/k, đừng gọi kẻo bị ảnh dạy một khóa cảm tử).
Tra cứu thông tin khách hàng
Phản ánh mới nhất của khách hàng
Phản ánh của cộng tác viên
Database
- Danh sách khoảng 1 triệu zombies, sorry lộn, 1 triệu khách hàng của Bkav với các fields: Customer ID, Name, Address, Phone, Email, Registered date và Customer type trích xuất từ CSDL (lưu dưới dạng .csv, mỗi field cách nhau bởi ký tự [TAB]).
Xin mời:
Ubuntu One: http://ubuntuone.com/3KZWklscfGlPl0NbQYxJsV
(No Password Required)
Mrs. Anonymous
CHƯƠNG 3: MÃ NGUỒN, CƠ SỞ DỮ LIỆU, QUY TRÌNH V
Món quà số 3rd:
CHƯƠNG 3: MÃ NGUỒN, CƠ SỞ DỮ LIỆU, QUY TRÌNH VÀ MỘT SỐ HỆ THỐNG KHÁC
1. Internal documents: Các tài liệu, văn bản nghiên cứu, quan hệ công chúng, báo cáo,...
2. Source codes: Một số mã nguồn các module BKIS/Bkav (có thể có virus).
3. Templates: Các mẫu biểu báo cáo, trình chiếu, dịch vụ.
4. Databases: Một số backup database (website).
5. BMail: Hồ sơ dự án BMail.
6. eGov: Hệ thống eGov.
7. eOffice: Hệ thống và database Bkis eOffice.
Xin mời:
Ubuntu One: http://ubuntuone.com/3jvi5fvS6VtzNC5P1PrMtd
(No Password Required)
Mrs. Anonymous
Nguồn: bkisop on Xanga
Nguồn: bkisop on Xanga
(Bài đã rút xuồng, theo bộ nhớ Cache Google)
Sơ đồ đào tạo lực lượng đặc nhiệm
Vài bình luận trên Diễn đàn HVA:
Đủ thứ những trò đáng xấu hổ như: Nghe lén, Virus/Trojan/Keylogger, DDoS, Botnet, Social Engineering,
Phishing
Mình thấy phức tạp quá, nhìn cái thư mục 3. TC5 và những thông tin về STL có được trên Google, mình lại thấy có vẻ như BKAV và STL là đồng minh
Thật khủng khiếp, đây có thể là 1 cú shock lớn. Tui thắc mắc nhũng tài liệu này nằm ở server nào của BKIS nhỉ ?
Có nhiều nghi vấn trong lần này.
Sự khác biệt lớn giữa các lần khác và lần này là sự không rõ ràng. Như một số bồ đã phân tích ở trên về việc sao không dùng Blogspot cũ mà lại dùng cái mới. Mình đưa thêm một số điểm để các bồ phân tích tiếp.
Các bồ có thấy lạ không khi dữ liệu lần này đưa lên không có screen shot mà chủ yếu là các file .doc, .ppt, những file mà ai cũng có thể tạo ra, chỉnh sửa nội dung ? Liệu đây có phải là một chiêu trò của STL để hướng sự chú ý của công dân mạng sang BKIS, tranh thủ phát tán virus, một mũi tên trúng nhiều đích ?
1. BKIS đang là một chủ đề hot cả tháng vừa rồi, nhất là tâm lý đang chờ món quà số 3, đó là điều kiện thuận lợi để cài bẫy, một file có cắm virus để phát tán ? Nên nhớ STL là bậc thầy trong việc cài cắm virus mà các AV không phát hiện ra. Nếu đúng thế, sẽ có bao nhiêu bồ ở đây sẽ bị nhiễm virus nếu chủ quan vì đã dùng các AV quét các file .doc ?
2. Những dữ liệu trong "món quà 3" là đặc trưng của STL, chỉ STL mới có. Hãy để ý những file giúp người đọc "liên tưởng" đến BKIS đều có sự khác biệt trong properties, phần Last saved by không giống với các file còn lại. Điều này cho thấy đã có sự sửa đổi nội dung ? Hướng sự chụ ý của cộng đồng sang BKIS, tung hỏa mù chăng ?
Sự khác biệt lớn giữa các lần khác và lần này là sự không rõ ràng. Như một số bồ đã phân tích ở trên về việc sao không dùng Blogspot cũ mà lại dùng cái mới. Mình đưa thêm một số điểm để các bồ phân tích tiếp.
Các bồ có thấy lạ không khi dữ liệu lần này đưa lên không có screen shot mà chủ yếu là các file .doc, .ppt, những file mà ai cũng có thể tạo ra, chỉnh sửa nội dung ? Liệu đây có phải là một chiêu trò của STL để hướng sự chú ý của công dân mạng sang BKIS, tranh thủ phát tán virus, một mũi tên trúng nhiều đích ?
1. BKIS đang là một chủ đề hot cả tháng vừa rồi, nhất là tâm lý đang chờ món quà số 3, đó là điều kiện thuận lợi để cài bẫy, một file có cắm virus để phát tán ? Nên nhớ STL là bậc thầy trong việc cài cắm virus mà các AV không phát hiện ra. Nếu đúng thế, sẽ có bao nhiêu bồ ở đây sẽ bị nhiễm virus nếu chủ quan vì đã dùng các AV quét các file .doc ?
2. Những dữ liệu trong "món quà 3" là đặc trưng của STL, chỉ STL mới có. Hãy để ý những file giúp người đọc "liên tưởng" đến BKIS đều có sự khác biệt trong properties, phần Last saved by không giống với các file còn lại. Điều này cho thấy đã có sự sửa đổi nội dung ? Hướng sự chụ ý của cộng đồng sang BKIS, tung hỏa mù chăng ?
Có thể tóm tắt những thông điệp mà gói tin này đem đến là:
1) Bkav và TC5 bộ công an có liên hệ mật thiết, các chuyên gia Bkav giúp huấn luyện công tác gián điệp mạng, cài bẫy và phá hỏng các trang web bất đồng chính kiến. Nếu thông tin trong gói này là thật thì nó xác nhận những lời đồn lâu nay (về vai trò chỉ điểm của bkav) trong cộng đồng mạng và xã hội là đúng.
2) Thủ đoạn của Bkav đưa ra là những thủ đoạn kiểu Hacker mũ đen chính hiệu! Nói chung là thủ đoạn tà đạo. Những thủ đoạn mà chính Bkav phản đối giữ dội nhất.
Cá nhân tôi thấy rằng nếu thông tin là đúng thì xin cảm ơn người đưa tin!
1) Bkav và TC5 bộ công an có liên hệ mật thiết, các chuyên gia Bkav giúp huấn luyện công tác gián điệp mạng, cài bẫy và phá hỏng các trang web bất đồng chính kiến. Nếu thông tin trong gói này là thật thì nó xác nhận những lời đồn lâu nay (về vai trò chỉ điểm của bkav) trong cộng đồng mạng và xã hội là đúng.
2) Thủ đoạn của Bkav đưa ra là những thủ đoạn kiểu Hacker mũ đen chính hiệu! Nói chung là thủ đoạn tà đạo. Những thủ đoạn mà chính Bkav phản đối giữ dội nhất.
Cá nhân tôi thấy rằng nếu thông tin là đúng thì xin cảm ơn người đưa tin!
Bác ơi, từ lâu em thấy nghi nghi STL chỉ là 1 tổ chức ảo được cá nhân hoặc tổ chức nào đó tự bịa ra để làm một cái bia vô hình cho người ta bắn hoặc "rửa tội" thôi. Không biết em cảm nhận có đúng không
Nó còn vô hình hơn cả Anonymous
Càng hóng càng thấy như kiểu đang đọc kiếm hiệp ấy, vui thật, lần này là phân đà mồng 8/3 ra tay
Nó còn vô hình hơn cả Anonymous
Càng hóng càng thấy như kiểu đang đọc kiếm hiệp ấy, vui thật, lần này là phân đà mồng 8/3 ra tay
 | ![[Up]](http://redir.hvaonline.net/hvaonline/templates/viet/images/vi_VN/icon_up.gif "[Up]"){kind=icon} |
Hix bây giờ ngoài HVA thì không còn bất cứ forum nào còn bàn luận hết, các topic bị delete ko thương tiếc >.<
haquang225
Hi bạn, vụ này co dính đến TC5, không phải tự nhiên các forum khác del topic không thưong tiếc đâu. Coi chừng bị túm và đổ cho là tòng phạm phát tán đấy. Tốt nhất là hạ xuống, đợi mai xem tình hình thế nào, up lại chưa muộn. Bảo trọng
Hi bạn, vụ này co dính đến TC5, không phải tự nhiên các forum khác del topic không thưong tiếc đâu. Coi chừng bị túm và đổ cho là tòng phạm phát tán đấy. Tốt nhất là hạ xuống, đợi mai xem tình hình thế nào, up lại chưa muộn. Bảo trọng
Theo: Hvaonline.net
Trung tâm An Ninh Mạng Bách Khoa (BKIS) huấn luyện Tổng Cục 5 (Bộ Công An) cách hack các trang web lề trái?
Theo thông tin từ diễn đàn HVA, hacker đã đột nhập vào hệ thống mạng của BKIS, lấy đi các tài liệu quan trọng, trong đó có các dự án đặc biệt của BKIS như lời giới thiệu sau đây của chính hacker:
KỲ 1: NHỮNG "SPECIAL PROJECTS" CỦA BKIS
1. APCERT 2009: Nguyễn Minh Đức và Đỗ Mạnh Dũng đã biểu diễn những gì?
2. Korea DDoS: Bkis đã tìm thấy gì trong vụ này để trở thành "niềm tự hào" của giới bảo mật Việt Nam?
3. TC5: Nhóm "Task Force" của Bkis đã huấn luyện TC5 như thế nào? Họ đã thể hiện đạo đức nghề nghiệp ra sao?
4. Underground Team: Nhóm "Underground" của Bkis đã thực hiện những phi vụ điều tra công nghệ cao gì?
Toàn bộ thông tin nằm ở đây, mời cư dân mạng xem xét và đánh giá để có một góc nhìn khác hơn về BKIS!
http://ubuntuone.com/4ENufHhmFeLa4iOXGfalX7
(Special thanks to phanledaivuong)
Nếu độc giả tải xuống tập tin 1st.rar và gỡ nén, sẽ thấy các thông tin liên quan đến các dự án đặc biệt của BKIS như sau:
Mức độ: Tuyệt mật
Mục đích: Thông qua hình thức kể chuyện về các vụ án đã thực hiện nhằm truyền lại các kinh nghiệm cũng như bài học cho lớp kế cận.
Những người được phép đọc: Là người được giám đốc hoặc tác giả chỉ định trực tiếp. Tài liệu chỉ được phép đọc mà không được phép sao chép dưới bất kỳ hình thức nào khác.
Chuyên án 1: Điều tra website phản động ddcnd.org
Chuyên án 2: Điều tra kẻ cung cấp thông tin cho website phản động: baotoquoc.com
Tóm tắt: Qua tìm hiểu sơ bộ website baotoquoc.com được một kẻ có nick name là vantuyen.net tạo ra. Kẻ này còn làm chủ rất nhiều website khác như: vantuyen.net, quanvan.net, coinguon.us … đều đăng tải nội dung phản động. Kết quả điều tra sau này cho thấy đối tượng quản lý đồng thời hơn 20 website đều có lượng người dùng khá lớn.
Các domain đều được quản lý bởi emai: vantuyen.net@gmail.com . Đây sẽ là mục tiêu quan trọng nhất.
Do baotoquoc.com thực chất là blog của wordpress và chạy trực tiếp trên server của wordpress với subdomain là baotoquoc.wordpress.com nên xác suất có lỗi của website này là tương đối thấp. Vì vậy định hướng sẽ xâm nhập vào các website khác của đối tượng, để khai thác thông tin, dò các password sử dụng chung để đoán password gmail. Nắm được email: vantuyen.net@gmail.com sẽ nắm được toàn bộ hệ thống.
Xâm nhập vantuyen.net:
Do vantuyen, quanvan và mốt số site khác của đối tượng sử dụng chung một portal giống nhau, sau một thời gian thu thấp các thông tin xung quanh về đối tượng, hệ thống ip, máy chủ, quyết định chọn website vantuyen.net làm mục tiêu.
Vantuyen.net được host trên HostGator và server có hỗ trợ một dạng như mod security (chưa rõ là gì) khiến cho việc khai thác sql injection hay xss trở thành vô vọng. Hơn nữa có ban ip và chống ddos nên quét bằng Acunetix một lúc là bị chặn dẫn đến việc không thể xây dựng được cấu trúc cây thư mục. Quay sang Local Attack thì cần phải upload được shell lên server. Các website hàng xóm chủ yếu là html. May sao có 1 link shell trên server do GuYi cung cấp (chính xác là user và pass của một cpanel user). Sau khi có shell, tiến hành thử việc crack password cpanel của user vantuyen nhưng không thành công. Chắc chắn user này được đặt password đủ phức tạp.
Việc local diễn ra không dễ dàng như mong đợi. Mặc dù có thể symlink được, nhưng thực chất server chặn do đó chỉ xem kết quả được bằng cách view source file .shtml. Hơn nữa mặc dù local được file nhưng không local được thư mục do đó không xây dựng được cấu trúc cây thư mục. Qua việc view source file index.php rồi từ đó view source các file có liên quan trong source code thì cũng tìm được file config của hệ thống. Kết nối được database và kiểm soát dữ liệu. Có một hạn chế là chưa thể uplaod shell trực tiếp lên vantuyen.net được vì thư mục quản trị bị đổi tên. Mãi sau này mới biết tên là http://vantuyen.net/a12260 và http://vantuyen.net/a12260NO (không thể đoán được), chưa kể thư mục admin còn đặt thêm htaccess dù có đoán được đường dẫn đi nữa cũng không thể vào được (user vt12260, pass là vt122601). Về sau upload shell lên được trực tiếp văn tuyển bằng cách dày công đọc code ( đoán rằng do code tự viết nên kiểu gì cũng có lỗi, chính xác là thuê 1 đồng chí khác ở Việt Nam viết)
Qua google hacking và website bị lỗi directory index list ta nắm được thêm rất nhiều thông tin về cấu trúc thư mục của website. Tuy nhiên thông tin về folder quản trị lại không thể nắm được. Một kết quả quan trọng mà google hacking mang lại là chúng ta biết được tồn tại file: WS_FTP.LOG (là log FTP) trong tất cả các thư mục. Sau khi download file log FTP trên của thư mục gốc chúng ta biết được danh sách các file, folder mà đối tượng đã từng upload lên. Trong đó rất tiếc là không có thông tin về folder admin vì hacker sau đó đã đổi tên lại, việc đổi tên này không ghi trong log. Từ danh sách các file trên chúng ta download được 1 file .rar chứa mã nguồn của toàn bộ hệ thống, có ích trong việc đọc code và tìm lỗi sau này.
Sau một thời gian khai thác thông tin có được từ những kết quả điều tra trên vẫn bế tắc, quyết định phải upload shell lên server cho kỳ được nhằm thực hiện việc thay đổi file đăng nhập để chiếm password. Để làm được điều này, sau khi mày mò tìm trang quản trị không được, quyết định chuyển sang hướng đọc code để khai thác lỗi.
Các lỗi đã được duyệt qua gồm LFI, RFI, Upload, code injection, … nhưng cuối cùng chỉ có thể sử dụng được một lỗi LFI, do server có cấu hình security nên RFI không sử dụng được nếu không sẽ dễ hơn rất nhiều. Từ LFI ta cho inject một đoạn code upload ngắn rồi upload shell code lên. Từ đó nắm được hoàn toàn website. Rất tiếc là website được quản trị thông qua folder admin được xác thực bằng htaccess password. Phải sử dụng John and Ripper mới crack được. Password này lại không trùng với pass gmail.
Khai thác dữ liệu có được từ vantuyen.net
Chưa bao giờ việc điều tra lại mang lại nhiều dữ liệu về một đối tượng như lần này. Đầu tiên từ việc nắm được file config website vantuyen.net ta có được password đăng nhập cơ sở dữ liệu, một yahoo mail liên lạc của đối tượng là:vietpenclub2003@yahoo.de, password là PKVNpleiku (sau này ngẫm mai chỉ đoán mà pass là Phong Kiến Việt Nam).
Đăng nhập email trên cho chúng ta hàng ngàn bức thư gồm các loại sau đây: thư liên lạc để gửi bài phản động, thư quản lý hosting và domain của đối tượng. Đáng tiếc email này hacker đã không còn sử dụng nữa và mọi thông tin quan trọng đều chuyển sang email vantuyen.net@gmail.com, mọi thư gửi tới email này đều được trả lời yêu cầu gửi lại vào gmail. Cho nên chỉ có thể khẳng định, email này đã từng là một email rất quan trọng mà thôi.
Việc điều tra theo hướng khai thác thông tin có trong database không mang lại nhiều kết quả. Database chỉ có một bảng quan trọng là bảng user, có 8 member nhưng đều ở dạng inactive. Chỉ biết được tên, email và mật khẩu đã mã hóa bằng lệnh password của mysql. Đã cố gằng crack thử các password ở đây (bằng Cain) nhưng chỉ ra 3/8 password và các password này không thể sử dụng thêm trong các trường hợp khác.
Ngoài ra chúng ta cũng tìm được thông tin quan trọng khác của đối tượng là câu hỏi bí mật mà đối tượng thường xử dụng khi đăng ký username là: phuc (bạn thân nhất) và một nick yahoo mà đối tượng thường xuyên xử dụng để liên lạc là: moha_alim@yahoo.com
Việc điều tra trở nên bế tắc khi email tìm được có rất nhiều thư nhưng đều đã quá cũ, password cũng như domain registrant đã thay đổi. Sau này dù đã upload được shell lên website nhưng vẫn không lấy được password gmail.
Chiến đấu: Ngày 10/8
Bài học:
1. Cần phải chuẩn bị shell trên các share hosting bằng cách chạy sẵn các tool brute force hoặc tối thiểu là chuẩn bị sẵn tool để khi cần là crack password ngay được. Vẫn có rất nhiều người dùng đặt password mặc định.
2. Định dạng file .shtml là gì? Vai trò của nó trong việc local via symlink?
3. Cần sử dụng thông tin về ngày tháng năm sinh tốt hơn. Ở đây hacker là vantuyen đã sử dụng ngày tháng năm sinh vào trong cách đặt tên thư mục và password.
4. Cần phải tìm hiểu thêm về John and Ripper, khả năng crack pass shadow để tận dụng trong những trường hợp khác.
Còn đây là một số bằng chứng ghi lại chuyên án hack trang ddcnd.org:
Nếu xét về lý xâm nhập là trái phép nhưng về tình thì đó chỉ là 1 lời cảnh báo ko hơn ko kém. Nhờ cái sai của hacker nên chúng tôi mới biết được sự kém cỏi của BKAV.
KỲ 1: NHỮNG "SPECIAL PROJECTS" CỦA BKIS
Tiếp theo yêu cầu của đông đảo cư dân mạng, để chứng tỏ những gì chúng tôi nắm giữ, chúng tôi tiếp tục công bố những gói data nội bộ thể hiện toàn bộ "thâm cung bí sử" của Bkis và những hoạt động của công ty này.KỲ 1: NHỮNG "SPECIAL PROJECTS" CỦA BKIS
1. APCERT 2009: Nguyễn Minh Đức và Đỗ Mạnh Dũng đã biểu diễn những gì?
2. Korea DDoS: Bkis đã tìm thấy gì trong vụ này để trở thành "niềm tự hào" của giới bảo mật Việt Nam?
3. TC5: Nhóm "Task Force" của Bkis đã huấn luyện TC5 như thế nào? Họ đã thể hiện đạo đức nghề nghiệp ra sao?
4. Underground Team: Nhóm "Underground" của Bkis đã thực hiện những phi vụ điều tra công nghệ cao gì?
Toàn bộ thông tin nằm ở đây, mời cư dân mạng xem xét và đánh giá để có một góc nhìn khác hơn về BKIS!
http://ubuntuone.com/4ENufHhmFeLa4iOXGfalX7
(Special thanks to phanledaivuong)
KINH NGHIỆM ĐIỀU TRA
Tác giả: MinHuMức độ: Tuyệt mật
Mục đích: Thông qua hình thức kể chuyện về các vụ án đã thực hiện nhằm truyền lại các kinh nghiệm cũng như bài học cho lớp kế cận.
Những người được phép đọc: Là người được giám đốc hoặc tác giả chỉ định trực tiếp. Tài liệu chỉ được phép đọc mà không được phép sao chép dưới bất kỳ hình thức nào khác.
Chuyên án 1: Điều tra website phản động ddcnd.org
Chuyên án 2: Điều tra kẻ cung cấp thông tin cho website phản động: baotoquoc.com
Tóm tắt: Qua tìm hiểu sơ bộ website baotoquoc.com được một kẻ có nick name là vantuyen.net tạo ra. Kẻ này còn làm chủ rất nhiều website khác như: vantuyen.net, quanvan.net, coinguon.us … đều đăng tải nội dung phản động. Kết quả điều tra sau này cho thấy đối tượng quản lý đồng thời hơn 20 website đều có lượng người dùng khá lớn.
Các domain đều được quản lý bởi emai: vantuyen.net@gmail.com . Đây sẽ là mục tiêu quan trọng nhất.
Do baotoquoc.com thực chất là blog của wordpress và chạy trực tiếp trên server của wordpress với subdomain là baotoquoc.wordpress.com nên xác suất có lỗi của website này là tương đối thấp. Vì vậy định hướng sẽ xâm nhập vào các website khác của đối tượng, để khai thác thông tin, dò các password sử dụng chung để đoán password gmail. Nắm được email: vantuyen.net@gmail.com sẽ nắm được toàn bộ hệ thống.
Xâm nhập vantuyen.net:
Do vantuyen, quanvan và mốt số site khác của đối tượng sử dụng chung một portal giống nhau, sau một thời gian thu thấp các thông tin xung quanh về đối tượng, hệ thống ip, máy chủ, quyết định chọn website vantuyen.net làm mục tiêu.
Vantuyen.net được host trên HostGator và server có hỗ trợ một dạng như mod security (chưa rõ là gì) khiến cho việc khai thác sql injection hay xss trở thành vô vọng. Hơn nữa có ban ip và chống ddos nên quét bằng Acunetix một lúc là bị chặn dẫn đến việc không thể xây dựng được cấu trúc cây thư mục. Quay sang Local Attack thì cần phải upload được shell lên server. Các website hàng xóm chủ yếu là html. May sao có 1 link shell trên server do GuYi cung cấp (chính xác là user và pass của một cpanel user). Sau khi có shell, tiến hành thử việc crack password cpanel của user vantuyen nhưng không thành công. Chắc chắn user này được đặt password đủ phức tạp.
Việc local diễn ra không dễ dàng như mong đợi. Mặc dù có thể symlink được, nhưng thực chất server chặn do đó chỉ xem kết quả được bằng cách view source file .shtml. Hơn nữa mặc dù local được file nhưng không local được thư mục do đó không xây dựng được cấu trúc cây thư mục. Qua việc view source file index.php rồi từ đó view source các file có liên quan trong source code thì cũng tìm được file config của hệ thống. Kết nối được database và kiểm soát dữ liệu. Có một hạn chế là chưa thể uplaod shell trực tiếp lên vantuyen.net được vì thư mục quản trị bị đổi tên. Mãi sau này mới biết tên là http://vantuyen.net/a12260 và http://vantuyen.net/a12260NO (không thể đoán được), chưa kể thư mục admin còn đặt thêm htaccess dù có đoán được đường dẫn đi nữa cũng không thể vào được (user vt12260, pass là vt122601). Về sau upload shell lên được trực tiếp văn tuyển bằng cách dày công đọc code ( đoán rằng do code tự viết nên kiểu gì cũng có lỗi, chính xác là thuê 1 đồng chí khác ở Việt Nam viết)
Qua google hacking và website bị lỗi directory index list ta nắm được thêm rất nhiều thông tin về cấu trúc thư mục của website. Tuy nhiên thông tin về folder quản trị lại không thể nắm được. Một kết quả quan trọng mà google hacking mang lại là chúng ta biết được tồn tại file: WS_FTP.LOG (là log FTP) trong tất cả các thư mục. Sau khi download file log FTP trên của thư mục gốc chúng ta biết được danh sách các file, folder mà đối tượng đã từng upload lên. Trong đó rất tiếc là không có thông tin về folder admin vì hacker sau đó đã đổi tên lại, việc đổi tên này không ghi trong log. Từ danh sách các file trên chúng ta download được 1 file .rar chứa mã nguồn của toàn bộ hệ thống, có ích trong việc đọc code và tìm lỗi sau này.
Sau một thời gian khai thác thông tin có được từ những kết quả điều tra trên vẫn bế tắc, quyết định phải upload shell lên server cho kỳ được nhằm thực hiện việc thay đổi file đăng nhập để chiếm password. Để làm được điều này, sau khi mày mò tìm trang quản trị không được, quyết định chuyển sang hướng đọc code để khai thác lỗi.
Các lỗi đã được duyệt qua gồm LFI, RFI, Upload, code injection, … nhưng cuối cùng chỉ có thể sử dụng được một lỗi LFI, do server có cấu hình security nên RFI không sử dụng được nếu không sẽ dễ hơn rất nhiều. Từ LFI ta cho inject một đoạn code upload ngắn rồi upload shell code lên. Từ đó nắm được hoàn toàn website. Rất tiếc là website được quản trị thông qua folder admin được xác thực bằng htaccess password. Phải sử dụng John and Ripper mới crack được. Password này lại không trùng với pass gmail.
Khai thác dữ liệu có được từ vantuyen.net
Chưa bao giờ việc điều tra lại mang lại nhiều dữ liệu về một đối tượng như lần này. Đầu tiên từ việc nắm được file config website vantuyen.net ta có được password đăng nhập cơ sở dữ liệu, một yahoo mail liên lạc của đối tượng là:vietpenclub2003@yahoo.de, password là PKVNpleiku (sau này ngẫm mai chỉ đoán mà pass là Phong Kiến Việt Nam).
Đăng nhập email trên cho chúng ta hàng ngàn bức thư gồm các loại sau đây: thư liên lạc để gửi bài phản động, thư quản lý hosting và domain của đối tượng. Đáng tiếc email này hacker đã không còn sử dụng nữa và mọi thông tin quan trọng đều chuyển sang email vantuyen.net@gmail.com, mọi thư gửi tới email này đều được trả lời yêu cầu gửi lại vào gmail. Cho nên chỉ có thể khẳng định, email này đã từng là một email rất quan trọng mà thôi.
Việc điều tra theo hướng khai thác thông tin có trong database không mang lại nhiều kết quả. Database chỉ có một bảng quan trọng là bảng user, có 8 member nhưng đều ở dạng inactive. Chỉ biết được tên, email và mật khẩu đã mã hóa bằng lệnh password của mysql. Đã cố gằng crack thử các password ở đây (bằng Cain) nhưng chỉ ra 3/8 password và các password này không thể sử dụng thêm trong các trường hợp khác.
Ngoài ra chúng ta cũng tìm được thông tin quan trọng khác của đối tượng là câu hỏi bí mật mà đối tượng thường xử dụng khi đăng ký username là: phuc (bạn thân nhất) và một nick yahoo mà đối tượng thường xuyên xử dụng để liên lạc là: moha_alim@yahoo.com
Việc điều tra trở nên bế tắc khi email tìm được có rất nhiều thư nhưng đều đã quá cũ, password cũng như domain registrant đã thay đổi. Sau này dù đã upload được shell lên website nhưng vẫn không lấy được password gmail.
Chiến đấu: Ngày 10/8
Bài học:
1. Cần phải chuẩn bị shell trên các share hosting bằng cách chạy sẵn các tool brute force hoặc tối thiểu là chuẩn bị sẵn tool để khi cần là crack password ngay được. Vẫn có rất nhiều người dùng đặt password mặc định.
2. Định dạng file .shtml là gì? Vai trò của nó trong việc local via symlink?
3. Cần sử dụng thông tin về ngày tháng năm sinh tốt hơn. Ở đây hacker là vantuyen đã sử dụng ngày tháng năm sinh vào trong cách đặt tên thư mục và password.
4. Cần phải tìm hiểu thêm về John and Ripper, khả năng crack pass shadow để tận dụng trong những trường hợp khác.
Theo: Danluan.org
Nếu xét về lý xâm nhập là trái phép nhưng về tình thì đó chỉ là 1 lời cảnh báo ko hơn ko kém. Nhờ cái sai của hacker nên chúng tôi mới biết được sự kém cỏi của BKAV.
Data bị share đầy trên mạng cả tuần lễ mà BQT BKAV forum ko 1 lời thông báo cho thành viên. Đã vậy còn có những thủ đoạn như năn nỉ Mediafire xóa file người dùng. Bết hết sức, quá khứ BKAV thì quá rõ rồi:
- Công ty BlueMoon công bố lỗi bảo mật BKAV mà BKAV không lời cảm ơn >> âm thầm đi sửa lỗi. 
- Sản phẩm BKAV có dùng thư viện WinRar của Rar Lab bị TQN bên HVA phát hiện >> âm thầm xóa bỏ.
- Xâm nhập trái phép vào 2 server KrCERT của Hàn Quốc suýt nữa hầu tòa >> BKAV Có vi phạm luật VN lẫn quốc tế ko ? 
Tuyên ngôn Hacker
Bách khoa toàn thư mở Wikipedia
Lời trần tình của một hacker (cũng được biết đến như là Tuyên ngôn Hacker) là một bài viết ngắn được viết ngày 8 tháng giếng năm 1986 của một Hacker có bí danh là The Mentor (tên thật là Loyd Blankenship). Bài viết được viết ít lâu sau khi anh bị bắt, và lần đầu tiên được công bố trên tờ báo mạng Phrack vào Volume One, Issue 7, Phile 3 of 10. Bây giờ nó có thể được tìm thấy trên nhiều trang web, cũng như trên áo thun hay phim ảnh.[1]Bài viết được xem là một nền tảng của văn hóa hacker, và mở ra một góc sâu trong tâm lý hacker, thế giới quan của hacker và động cơ của họ. Tuyên ngôn nói rằng họ hack bởi vì nó là một cách để học hỏi, bởi những hacker thường thất vọng với những hạn chế của xã hội tiêu chuẩn. Nó cũng thể hiện quá trình ngộ đạo của hacker khi nhận ra tiềm năng của mình trong lĩnh vực tin học.
Bản tuyên ngôn trở thành một hướng dẫn cho các hacker trên toàn cầu, đặc biệt là những kẻ mới bước vào lĩnh vực này. Nó đưa ra một nền tảng đạo đức, và khẳng định có một mục đích cao cả trong việc hack hơn là những ham muốn ích kỷ hay phá phách, đó là mang đến cho thế giới sự tự do trong thông tin.
Bản dịch tiếng việt trên HVA của Alice
Không có nhận xét nào:
Đăng nhận xét