Wednesday, November 22, 2006

Không có đường tắt nào đâu

Khi được một sinh viên hỏi có cách nào đạt được trình độ cao về bảo mật trong một thời gian ngắn, Richard Bejtlich, một trong những chuyên gia bảo mật hàng đầu thế giới, đã trả lời thế này:
In my opinion, it seems like this question seeks to learn some sort of "hidden truth" that I might possess, and acquire it in record time. The reality is that there are really no shortcuts to learning as complex a topic as digital security. I have been professionally involved with this topic for almost ten years, yet I consider myself halfway to the level of skill and proficiency I would prefer to possess. In another ten years I'll probably still be halfway there, since the threats and vulnerabilities and assets will have continued to evolve!
Quá chính xác, không có con đường tắt nào đâu! Muốn thành công thì bắt buộc phải luôn luôn làm việc siêng năng và chăm chỉ. Tài năng là do sự khổ luyện mà thành, tôi vẫn luôn nghĩ như vậy. Dẫu bạn có thông minh hơn người, điều đó cũng sẽ trở nên vô nghĩa nếu như bạn không có sự chuyên tâm trong công việc.

Richard cũng cho một số lời khuyên cho những người mới bắt đầu. Việc đầu tiên cần làm là đọc:
If you want to "know what I know," a good place to start is by reading one or more of my books. I recommend starting with Tao, then continuing with Extrusion and finishing with Forensics. Chapter 13 from Tao explicitly addresses the issue of security analyst training and development. My company research page lists over a dozen documents I've written, and this blog is a record of almost four years of thoughts on digital security.

For books outside of my own, my top ten books of the last ten years contains some of the best books on digital security. My reading page shows books I recommend in five categories. I also show the books waiting to be read on my shelf, but I wouldn't consider an appearance there to be an endorsement unless I offer a favorable Amazon.com review. Please note my recommended lists do not include books from 2006 (and maybe 2005), but I plan to write a "best of" list at the end of this year. I'll update the recommendations lists if I have time.
Còn gì đã hơn khi có một tay như Richard chọn sách cho mình đọc kia chứ? Việc thứ hai mà Richard khuyên chúng ta nên làm là:
In addition to reading, I highly recommend becoming familiar with the majority of the security tools listed by Fyodor. It also helps to specialize (at least in the beginning) in one of the five categories I show on my reading page.
Đây sẽ là một trong những đề tài mà tôi sẽ viết nhiều trong thời gian sắp tới: giới thiệu các công cụ bảo mật nổi tiếng trên thế giới.

Oracle lên dĩa

Đầu tiên là H D Moore mở hàng với Month of Browser Bugs, rồi LMH với Months of Kernel Bugs và bây giờ là Weeks of Oracle Database Bugs:
What is the WoODB about?
An Oracle Database 0day will be released every day for a week on December.

Why are you doing this?
We want to show the current state of Oracle software ("in")security also we want to demostrate Oracle isn't getting any better at securing its products (you already know the history: two years or more to fix a bug, not fixing bugs, failing to fix bugs, lying about security efforts, etc, etc, etc.).
Tuy nhiên có vẻ như mục tiêu của dự án này khác với hai dự án về browser và kernel:
Why not the Month of Oracle Database Bugs?
We could do the Year of Oracle Database Bugs but we think a week is enough to show how flawed Oracle software is, also we don't want to give away all our 0days:), anyways if you want to contribute send your Oracle 0days so this can be extended for another week or more.
Tội nghiệp các bác DBA quá :p.

Tuesday, November 21, 2006

VXers cạn ý...

Theo công ty Kaspersky Lab của Nga, dân viết virus đã cạn kiệt sáng kiến mới cho việc tạo malware.

Kaspersky cho rằng cho dẫu cộng đồng hacking đang phát triển mã nguồn thử nghiệm cho các hệ ứng dụng mới, dạng mã này có lẽ sẽ không có khả năng tạo dung hại lớn lao.


"Thống kê nặng ấn tượng suốt năm 2006 cho thấy rằng những sáng kiến mới
quả thật đã cạn kiệt. Dân viết virus đang sốt vó cố gắng chống chọi với những công nghệ bảo vệ mới bằng cách tạo ra mã thử nghiệm cho các hệ ứng dụng mới. Tuy nhiên, những sáng tạo này chưa hiển dụng trên thực tế: chúng tôi chưa thấy những đe doạ có thể tạo hàng triệu triệu hư hoại như Klez, Mydoom, Lovesan [the Love Bug] và Sasser tàn phá trước đây," Alex Gostev, nhà phân tích trưởng của Kaspersly Lab cho biết.

Bản tường trình malware: http://www.viruslist.com/en/analysis?pubid=204791907


Gostev cho rằng đám viết virus đang lâm vào tình trạng cạn kiệt sáng tạo, điều này có nghĩa những sáng tác gia malware - cũng giống như các phòng làm phim Hollywood - đang đổ ra hàng chuỗi sản phẩm thiếu sáng tạo.


"Những hiểm hoạ hiện nay không còn mang tính toàn cầu và không còn tác động lâu dài như trước đây. Thật sự chẳng có gì mới mẻ đang xảy ra. Tình hình hiện tại chỉ là một chuỗi Trojans, viruses và worms không ngừng nghỉ - điểm khác biệt duy nhất là con số này đã gia tăng một cách đáng kể," Gostev nói.


Kaspersky cho rằng trận chiến giữa VXers và các nhóm bảo mật đã đi đến điểm dậm chân tại chỗ. Dẫu rằng các nhóm anti-virus đã gia tăng tốc độ phản ứng và cải thiện khả năng thẩm định các dòng malware mà không cần các cập nhật mới, đám phá hoại vẫn tiếp tục thích ứng với khả năng phản ứng nhanh hoặc chỉ tập trung vào những người dùng thiếu bảo mật. Gostev nghĩ rằng tình trạng dậm chân tại chỗ hiện nay không thể kéo dài và cả hai phía VXers hoặc cộng đồng bảo mật, chẳng có phía nào sẽ nắm thế thượng phong trong nhiều tháng sắp tới.


Bản tường trình cũng xét đến hướng biến thiên của malware trong giai đoạn giữa tháng Bảy và tháng Chín 2006. Trong giai đoạn này, đám viết virus tập trung sức lực vào việc khai thác những lỗ hổng của Microsoft Office đã được công bố, thông thường malware được tung ra song song với thời điểm Microsoft công bố lịch trình bản vá để tối ưu hoá khả năng dung hại. Đám hackers Trung Quốc khá năng động trong lãnh vực này. Kaspersky cảnh báo Microsoft chuẩn bị tinh thần cho một đợt tấn công có thể đi kèm trong đợt công bố Office 2007 vào cuối năm.


Một trong những phát triển đáng chú ý của VXers trong giai đoạn này là sự xuất hiện của Mobler, một virus xuyên hệ có khả năng lây nhiễm cả hệ thống Symbian và Windows. Mã thử nghiệm đã thất bại trong việc tạo dung hại nặng nề nhưng nó có thể trở thành bản khuôn cho những cuộc tấn công nguy hiểm hơn, Kaspersky cảnh báo. Cũng nên ghi nhận rằng virus cho điện thoại di động xuất hiện phiên bản Comwar mới, nó có khả năng lây nhiễm xuyên qua files cũng như phát tán theo phương pháp truyền thống MMS và Bluetooth để có thể lây lan.


Kaspersky cảnh báo rằng những lỗ hổng trên các vi xử lý Intel Centrino cho chức năng Wi-Fi vừa được khám phá trong tháng Tám vừa qua có thể sẽ sẽ là tiền đề cho đám viết virus khai thác dẫu rằng những hiểm hoạ này chưa hiện hữu một cách cụ thể.

[conmale dịch từ nguyên bản "
VXers suffering from 'writer's block" http://www.theregister.co.uk/2006/11/21/vxer_idea_drought/]

Sunday, November 19, 2006

Dịch ngược AutoIt

Một người bạn ở REAOnline vừa chỉ cho tôi cách dịch ngược tất cả các loại virus viết bằng AutoIt. Tôi đã thử và thành công với tất cả mẫu virus viết bằng AutoIt mà tôi có. Qui trình như sau:

1. Sử dụng file, objdumpstrings trên Linux (hoặc PeID nếu bạn sử dụng Windows) để xác định xem virus được pack bằng packer nào. Tất cả AutoIt virus mà tôi gặp phải đều sử dụng UPX.

2. Unpack con virus, nhớ sao lưu lại nguyên bản.

3. Load con virus đã unpack vào OllyDBG.

4. Right click --> Search for --> All referenced text strings.

5. Right click --> Search for text --> gõ vào >autoit script<, bỏ chọn Case sensitive, chọn Entire scope rồi Enter và double click vào dòng có hàng chữ ASCII ">AUTOIT SCRIPT<".

6. Nhìn vào cửa sổ CPU của OllyDBG, bạn sẽ thấy những dòng sau đây:
PUSH game-enc.0045222C ; |Arg1 = 0045222C ASCII ">AUTOIT SCRIPT<" LEA EAX,DWORD PTR SS:[EBP-18] ; | CALL game-enc.0043F025 ; \game-enc.0043F025 TEST EAX,EAX
7. Chọn dòng CALL game-enc.0043F025 trước dòng TEST EAX, EAX rồi nhấn F2 hoặc double click để đặt breakpoint ở đó.

8. Nhấn F9 để chạy con virus trong OllyDBG. Lúc này OllyDBG sẽ chạy từ đầu cho đến khi dừng lại ở vị trí đặt breakpoint ở trên.

9. Nhấn F8 để nhảy sang lệnh kế tiếp là TEST EAX, EAX.

10. Nhìn sang cửa sổ Registers (FDU), tìm register ECX. Vùng ô nhớ mà register này đang trỏ đến chính là mã nguồn viết bằng AutoIt của con virus.

Chúc thành công.

Saturday, November 18, 2006

Dùng MP3 Player để exploit ATM

Một người đàn ông ở Manchester, Anh Quốc đã bị kết án vì tội sử dụng một thiết bị nghe nhạc MP3 để thâm nhập máy rút tiền. Maxwell Parsons, 41 tuổi đã tiêu xài hơn hai trăm ngàn bảng Anh tiền của thiên hạ bằng cách dùng máy rút tiền để đọc thông tin từ thẻ tín dụng.

Parson gắn thiết bị nghe nhạc MP3 của mình vào sau máy rút tiền (loại máy đứng độc lập) và có thể dùng cách này để đọc dữ liệu các thẻ tín dụng của khách hàng rút tiền. Dữ liệu thu thập được dùng để tạo thẻ tín dụng giả mạo cho các cuộc mua bán bất hợp lệ.

Loại máy rút tiền đứng độc lập rất phổ biến ở các siêu thị và quán bar, Parsons có thể gắn thiết bị của hắn vào sau máy rút tiền dễ dàng với dạng máy này trong khi dạng máy đính vào tường thì hoàn toàn bất khả thi để thâm nhập.

Thiết bị nghe nhạc MP3 thu nhận tất cả các chi tiết khi dữ liệu được truyền tải qua đường dây điện thoại đến nhà băng. Ở đây, tầng độ âm thanh được đọc và ghi nhận trong lúc chúng được chuyển tải và từ đó, dùng để giả mạo thẻ tín dụng.

Vụ án này đã được xử ở toà Crown đường Minshull tại Manchester. Parsons bị kết án 32 tháng tù giam vì tội lường gạt. Mặc dù hai trăm ngàn bảng Anh đã bị tiêu xài qua các thẻ tín dụng giả, cảnh sát tin rằng chính Parsons chỉ hưởng được mười bốn ngàn bảng Anh cho riêng mình.

Cảnh sát phát hiện ra trường hợp này gần như do ngẫu nhiên khi họ chặn Parsons khi hắn ta quẹo xe một cách bất hợp lệ ở London. Họ tìm thấy một thẻ tín dụng giả trong người hắn và tiến hành lục soát tư gia hắn tại Manchester, ở đây cảnh sát tìm thấy bằng chứng để đưa hắn ra toà.

Lúc đầu hắn từ chối tội danh lừa đảo nhưng về sau thú nhận tàng trữ thiết bị để tạo công cụ nghe lén thông tin truyền tải xuyên qua hệ thống truyền thông công cộng trái pháp luật. Áng chừng hắn có một số đồng loã.

[conmale phỏng dịch theo: Man used MP3 player to hack ATMs http://www.theregister.co.uk/2006/11/18/mp3_player_atm_hack]

Rootkit ẩn mình trong card PCI

Bạn tưởng rằng chỉ cần format lại ổ cứng là có thể diệt trừ được mọi loại rootkit? Hãy nghĩ lại:

Security researcher John Heasman released a paper this week describing a way to hide malicious code on graphics and network cards in such a way as to avoid detection and survive a full re-installation of the operating system.

The paper (PDF), published on Wednesday, builds on the work presented by Heasman earlier this year, describing ways to use the Advanced Configuration and Power Interface (ACPI) functions available on almost all motherboards to store and run a rootkit that could survive a reboot. The current paper outlines ways to use the expansion memory available on Peripheral Component Interconnect (PCI) cards, such as graphics cards and network cards.

Phòng bệnh bao giờ cũng hơn chữa bệnh.

Thursday, November 16, 2006

Hãy nhanh chân nâng cấp Windows!

eWeek vừa xác nhận dự đoán Patch Tuesday Often Becomes Exploit Thursday:
Proof-of-concept exploit code offering step-by-step instructions to attack worm holes in Microsoft Windows have started appearing on the Internet, prompting a new round of "patch-now-or-else" warnings from computer security experts.

The exploits, publicly released on the Milw0rmWeb site and privately available to partners of penetrating testing firm Immunity, target a pair of critical vulnerabilities patched by Microsoft on Nov. 14.

The Milw0rm exploit, released by a hacker called "cocoruder," takes aim at the high-severity bug covered in the MS06-070 bulletin and can be used to launch a network worm against unpatched Windows 2000 systems.

"It [an attack] can be launched remotely over the Internet, without any user action whatsoever," Sarwate said in an interview with eWEEK.

The "cocoruder" exploit code has been tested against Chinese-language versions of Windows but, with minor tweaking, Sarwate said it can be expanded to hit other targets.

Immunity, hãng sản xuất CANVAS, cũng đã có exploit cho MS06-070 và các MS06-xxx khác:
"Our exploit works against English-language versions [of Windows]," says Kostya Kortchinsky, a senior researcher at Immunity. "We've successfully tested it to launch code against Windows 2000 SP3 and SP4."

Since Microsoft's Nov. 14 Patch Tuesday, Immunity has released a total of six proof-of-concept and working exploits against flaws covered in the updates.

On Nov. 13, the company also posted attack code for the Microsoft XML Core Services 4.0 flaw that was being used in targeted zero-day attacks.

In an interview with eWEEK, Kortchinsky said the company has also reverse-engineered the patches in Microsoft's MS06-066 bulletin to a code-execution exploit for Windows XP SP2.

He said Immunity's MS06-066 exploit is also capable of defeating the software-enforced DEP (Data Execution Prevention) that is enabled by default in XP SP2 to reduce exploits of exception handling mechanisms in Windows.

The MS06-066 update, rated "critical," covers a pair of vulnerabilities in Client Service for NetWare, the feature that allows the client to access NetWare file, print and directory services.

Wednesday, November 15, 2006

Security từ A đến Z

Đối với các chuyên gia bảo mật thì những thông tin này không có gì mới nhưng tất cả chúng ta có thể học được một chút gì trong đó:

Microsoft sửa 9 lổ hổng

Đánh giá của SANS về những miếng vá này:

# Affected Contra Indications Known Exploits Microsoft rating ISC rating(*)
clients servers
MS06-066 Netware client services - remote code execution & DoS

CVE-2006-4688
CVE-2006-4689
No known problems

KB 923980
PoC exploits available in for pay program Important Less Urgent Less Urgent
MS06-067 Internet Explorer - remote code execution

CVE-2006-4446
CVE-2006-4777
CVE-2006-4687
No known problems

KB 922760
Actively exploited on websites in the wild

websense
Critical PATCH NOW Important
MS06-068 Microsoft Agent - remote code execution

CVE-2006-3445
No known problems

KB 920213
No known exploits
Critical Critical Less urgent
MS06-069 Adobe flash player - remote code execution

CVE-2006-3014
CVE-2006-3311
CVE-2006-3587
CVE-2006-3588
CVE-2006-4640
No known problems

KB 923789
No known exploits
Critical Critical Less urgent
MS06-070 Workstation service - remote code execution

CVE-2006-4691
No known problems

KB 924270
Vulnerability details are public ;
Exploit publicly available
Critical Critical Critical
MS06-071 XML Core services

CVE-2006-5745
No known problems

KB 928088
also:
KB 927977
KB 927978
Exploits publicly available
Critical PATCH NOW Important

Security Fix cũng có bài phân tích chi tiết các bảng vá này:

The new patches fix at least three vulnerabilities in Internet Explorer that hackers could use to install malicious software just by getting victims to visit a specially crafted Web site. One of the IE problems also is exploitable if a recipient merely views a tainted HTML message in an e-mail preview pane. Microsoft said the IE flaws are far less of a problem on Windows Server 2003 systems and for users of IE7, as the default security settings on those systems won't allow exploitation of the flaws.

Như thường lệ, bạn có thể cập nhật máy tính của mình bằng cách truy cập vào website Microsoft Update hoặc sử dụng tính năng Automatic Updates có sẵn trong Windows. Quản trị viên hệ thống có thể sử dụng WSUS hay SUS để phân phối các miếng vá xuống hệ thống máy chủ của mình. Hãy nhanh chân!

Sunday, November 12, 2006

BKIS đảm bảo an ninh mạng cho APEC 2006

Hiệp sĩ Quảng nhà mình lại có dịp bắt virus rồi:
Theo một chuyên gia của BKIS, sự cố nếu có sẽ được phát hiện rất nhanh sau khi xảy ra và lập tức được khoanh vùng để xử lý, không để lây lan ra toàn mạng. BKIS phải chịu trách nhiệm đảm bảo “sức khỏe” cho gần 500 máy tính để bàn và khoảng 70 máy tính xách tay do ban tổ chức cung cấp. Hiện nay, vấn đề phức tạp nhất với BKIS là hàng trăm máy tính xách tay của các phóng viên trong nước và quốc tế mang vào trung tâm báo chí quốc tế tại hội nghị.
Mà an ninh mạng chỉ là bắt virus thôi sao?

Ngày Thứ Ba Đen Tối sắp đến

Đến hẹn lại lên, ngày thứ ba của tuần thứ hai trong tháng Microsoft lại phát hành các bảng vá cho những lổ hổng bảo mật được phát hiện trước đó. Thứ ba ngày 14/11/2006 tuần sau, Microsoft sẽ phát hành:
  • One Microsoft Security Bulletin affecting Microsoft XML Core Services. The highest Maximum Severity rating for this is Critical. These updates will be detectable using the Microsoft Baseline Security Analyzer. These updates will require a restart.
  • Five Microsoft Security Bulletins affecting Microsoft Windows. The highest Maximum Severity rating for these is Critical. These updates will be detectable using the Microsoft Baseline Security Analyzer and the Enterprise Scan Tool. Some of these updates will require a restart.
  • New "Malicious Software Removal Tool"
  • 2 additional "non-security high-priority updates" will be released, but only on Microsoft Update and WSUS
Trong danh sách các lổ hổng này, chỉ có "XML Core Services" là đã được biết trước (và đã có mã khai thác phát tán rộng rãi trên Internet). 5 lổ hổng còn lại là món quà không bất ngờ mà Microsoft tháng nào cũng ưu ái gửi tặng cho các nhà quản trị hệ thống. Brian Krebs ở Security Fix quan sát thấy rằng mã khai thác những lổ hổng này thường xuất hiện chưa đầy 48 giờ sau khi Microsoft phát hành bảng vá:

Over the past several months news of exploits targeting previously undocumented flaws in Windows and other Microsoft applications have surfaced within hours of each Patch Tuesday. Today, less than 48 hours after Microsoft released a record number of security updates, comes the release of exploit code for yet another Office flaw, this one apparently targeted at PowerPoint files in Office 2003 (no, I'm not going to link to the site hosting the exploit code).

As I've noted before, the Patch Tuesday/Exploit Wednesday (or Thursday) phenomenon gives bad guys the maximum amount of time to use exploits in the wild before Microsoft gets around to its next patch cycle. Redmond occasionally breaks out of that cycle for especially serious or high-profile attacks on unpatched flaws; it has done so twice this year, though neither of those emergency patches dealt with an Office vulnerability.

Lại sắp bận rộn rồi!

Nếu tôi là Huyremy

Ấy chết, bạn đừng nghi oan cho tôi, tôi nào dám tranh giành chức vị "hacker số 1 VN" với Huyremy. Chẳng qua tôi chỉ tự hỏi, nếu ở vị trí của Huyremy, tôi sẽ làm gì để tự bảo vệ mình?

Trước khi bắt đầu, tôi nghĩ cần phải đặt ra một số giả thuyết như thế này: a) C15 rất lành nghề trong lĩnh vực computer forensic và data recovery; b) Toàn bộ hoạt động đi lại của tôi ở ngoài đời đều bị theo dõi; c) Điện thoại của tôi bị nghe lén, thư tay + SMS bị đọc trộm; d) Kênh liên lạc duy nhất của tôi với thế giới bên ngoài là Internet, tuy nhiên toàn bộ Internet traffic của tôi cũng bị C15 log lại và phân tích kĩ lưỡng. Tôi phải làm gì để đảm bảo privacy cho mình? Tôi phải làm gì để an tâm thực hiện công việc của mình? Câu trả lời là mã hóa, mã hóa và mã hóa. Mã hóa cái gì? Tất cả. Tôi nghĩ rằng không cần phải nhắc đến firewall, IDS, VPN hay anti-virus, bởi lẽ đây là điều đương nhiên cần phải thực hiện ngay cả khi bạn không phải là "hacker số 1 VN".

Trước tiên tôi sẽ torify cuộc đời mình:

Tor is a toolset for a wide range of organizations and people that want to improve their safety and security on the Internet. Using Tor can help you anonymize web browsing and publishing, instant messaging, IRC, SSH, and other applications that use the TCP protocol. Tor also provides a platform on which software developers can build new applications with built-in anonymity, safety, and privacy features.

Tor aims to defend against traffic analysis, a form of network surveillance that threatens personal anonymity and privacy, confidential business activities and relationships, and state security. Communications are bounced around a distributed network of servers called onion routers, protecting you from websites that build profiles of your interests, local eavesdroppers that read your data or learn what sites you visit, and even the onion routers themselves.

Tất cả Internet traffic của tôi, từ 21, 22, 25, 53, 80, 443, 5050, 6667...sẽ được đẩy qua Tor trước khi đi đến đích cuối cùng. Tôi sẽ trở nên vô hình.

Tor không hoàn hảo, một ngày nào đó tôi sẽ bị phát hiện, lúc đó tôi cần một cách hủy dữ liệu nhanh nhất và an toàn nhất. Cách hủy dữ liệu tốt nhất là gì? Format lại ổ cứng, cài lại hệ điều hành? Ghi đè ổ cứng vài chục lần? Không. Huyremy đã làm như thế nhưng C15 vẫn tìm thấy chứng cứ trong ổ cứng của anh ta. Wietse & Dan đã viết như thế này trong tác phẩm kinh điển Forensic Discovery:
Destroying information turns out to be surprisingly difficult [Gutmann, 1996] and [Gutmann, 2001]. Memory chips can be read even after a machine is turned off. Although designed to only read ones and zeroes, memory chips have undocumented diagnostic modes that allow access to tiny left-over fragments of bits. Data on a magnetic disk can be recovered even after it is overwritten multiple times. Although disk drives are designed to only read the ones and zeroes that were written last, traces of older magnetic patterns still exist on the physical media [Veeco, 2004].
Vậy thì tôi sẽ tháo ổ cứng ra, quăng xuống biển? Đôi khi bạn sẽ không có đủ thời gian để làm chuyện đó, nhất là khi có cái còng số 8 đang lửng lơ trước mặt. Có một cách giúp làm cho dữ liệu tự hủy mà không cần tôi phải làm gì và tôi đã chỉ cho bạn cách đó rồi. Không nhớ àh? Mã hóa. Muốn hủy dữ liệu ư? Chỉ cần quên passphrase hay keyfile là xong. "Thiết bị chuyên dụng" của C15 cũng sẽ đớ người ra như chủ nhân của nó nếu như tôi mã hóa như sau.

Đầu tiên, tôi dùng LUKS để mã hóa /home và swap bằng AES với một passphrase dài 20 kí tự và keyfile là một trong số vài ngàn tấm hình mà tôi đã chụp. Tiếp theo tôi tạo hai container trong /home bằng TrueCrypt, một cái là play và một cái là work, tất cả mã hóa bằng hai cái passphrase + keyfile khác nhau (và khác passphrase + keyfile của LUKS). Trong cái container work, tôi lại tạo thêm một cai hidden volumn, đề phòng trường hợp C15 biết tôi xài TrueCrypt và họ ép tôi phải đưa ra passphrase (lolz tôi đang nói cho họ biết tôi đang xài cái gì rồi, thế là hết dám phạm tội). Tiếp theo, tôi mã hóa tất cả các file nằm trong work và play với gnupg. Email, log của Gaim cũng được mã hóa bằng gnupg. Bash history được secure delete mỗi phút. Profile của Firefox cũng được secure delete mỗi lần sử dụng xong. Tôi sử dụng một mật khẩu khác nhau cho mỗi website mà tôi tham gia, và chúng cũng được mã hóa nốt, đề phòng trường hợp ai đó chôm được chúng.

Giả sử C15 muốn lấy dữ liệu của tôi, họ phải làm gì? Trước tiên, họ phải giải mã được cái /home và swap của tôi. Root partition sẽ được cho free để họ tha hồ mà nghiên cứu. Nếu như họ dùng cách nào đó mount được /home và swap của tôi lên (bằng "nghiệp vụ" chẳng hạn), họ sẽ lại đối diện với TrueCrypt. Muốn mount được hai cái container lên, họ phải biết được passphrase và keyfile nằm lẫn lộn trong cái USB Thumbdrive. Lại bằng "nghiệp vụ", họ vẫn mount được hai cái container đó lên. Lúc này, họ sẽ được chào đón bằng gnupg. "Nghiệp vụ" lại giúp họ decrypt hết tất cả những gì mà tôi muốn che dấu. Tuy nhiên, cho đến bước này, họ vẫn chưa tìm được bằng chứng kết tội tôi. Đơn giản vì tôi quên chưa nói là tất cả điệp vụ của tôi được thực hiện trong một cái VMware image chứa trong hidden volumn của cái container work. Dĩ nhiên, "nghiệp vụ" của họ vẫn có thể chiến thắng nhưng xác suất lần này là rất thấp. Các "thiết bị chuyên dụng" của C15 có tìm cũng thấy và chỉ thấy random data mà thôi.

Vậy tôi có thể an tâm ư? Vâng bạn có thể an tâm về sự riêng tư của mình nhưng tôi không đảm bảo được sự an toàn cho cá nhân bạn. Bởi lẽ, muốn an toàn thì tốt nhất đừng phạm tội.

(bài viết này chỉ là giả tưởng, đừng bắt chước làm theo. Bạn đã được cảnh báo!)

Saturday, November 11, 2006

Vụ án Huyremy

Chắc hẳn sự kiện rùm beng nhất trong giới IT "loi choi" của VN vài ngày qua là việc Cục Phòng Chống tội phạm công nghệ cao C15 kết luận Huyremy, người được mệnh danh là "hacker số 1 VN", chính là thủ phạm đã tấn công vào Chợ Điện Tử. Tuy nhiên, Huyremy phủ nhận việc này:

Tuy nhiên, Huy remy vẫn không chịu thừa nhận các bằng chứng của cơ quan điều tra về vụ tấn công vào tên miền chodientu.com ngày 23/9 và việc truyền bá văn hoá phẩm đồi truỵ thông qua website gmetal.net. Trong biên bản làm việc, Huy cho rằng "chứng cứ mà cơ quan điều tra đưa ra là không khách quan, không rõ nét."
....

Tuy nhiên, trong buổi làm việc với các cơ quan chức năng sáng 8/11, Huyremy đã không thừa nhận mình là thủ phạm thực hiện vụ tấn công vào tên miền chodientu.com. Huy đưa ra giả thiết phủ định rằng máy tính của mình đã bị hacker xâm nhập vào thông qua đường mạng Wi-fi chia sẻ kết nối
ADSL trong nhà và điều khiển máy tính của Huy làm phương tiện tấn công chodientu.com.

Ngay lập tức trên DDTH nổ ra một cuộc tranh luận dữ dội về đề tài này. Có hai luồng ý kiến chủ đạo: a) ủng hộ Huyremy và cho rằng những chứng cứ mà C15 đưa qua không thuyết phục; b) ủng hộ C15 và tin tưởng vào những chứng cứ mà C15 đưa ra để kết tội Huyremy. Tổng kết luận cứ của bên a) do zhaowie_hn đưa ra như sau:
Tóm lại là em đưa ra 2 giả thiết ngoài cái giả thiết Huy là thủ phạm ra:

1. Một hacker nào đó xâm nhập qua mạng Wifi của nhà Huy để join vào network và hack. Sau đó đưa những chứng cớ kia qua máy của Huy. Cũng không loại trừ khả năng người đó chiếm quyền điều khiển của máy Huy ( qua LAN ) và dùng chính máy đó để tấn công, có thể là remote desktop, VNC hoặc biến máy Huy thành một proxy server và connect qua đó.

2. Máy Huy bị điều khiển từ xa, qua External IP, cái này thì cần xem độ bảo mật của router ADSL Huy dùng và của chính máy Huy. Cái này zhaowei vẫn hay nghịch thử và cũng làm được nhiều lần nên nó hoàn toàn có khả năng xảy ra.
Luận cứ của bên b) do ls_la (tự nhận là dẫn lại lời của C15) đưa ra như sau:
Thứ nhất : Theo như Huy khai nhận thì tối hôm 22 rạng sáng 23/09 Huy cùng 3 người ngồi máy tính tại công ty suốt đêm. Máy tính của Huy lại sử dụng windows xp. Mà winxp thì khi người khác remote desktop vào, người đang dùng sẽ bị logout ngay. Chả nhẽ đang dùng mà bị logout lại không biết?

Thứ 2 : Vào ngày 11/10 khi CQDT thông báo cho Huy biết về blog vbot2006 trên yahoo có 1 friend duy nhất la ritmouse thì blog này và acc yahoo đã bị xóa ngay. Tìm trong ổ cứng của Huy cũng có thông tin về vbot2006 trong khi đó Huy nói là không hề biết gì về vbot2006. Nếu thằng nào đó muốn đổ tội cho Huy thì không đời nào nó đi xóa cái vbot2006 đi. Vì vậy chắc chắn chính Huy xóa đi để xóa dấu vết.
Thứ 3 : Huy chỉ có 3 cái máy cà tàng. Do mẹ của Huy cho 10 triệu để mua, thì dùng wifi làm gì. Nếu có wifi thì đặt trên tầng 3, ngoài đường khó có ai có thể truy cập. Đây là hành động biện minh cho hành vi phạm tội của Huy.

Thứ 4 Một user đã được tạo trên máy peacesoft.net . Trong khi tìm trong HDD máy của Huy có file backdoor để nâng quyền cho chính acc này.Đường dẫn peacesoft.net/.../file backdoor + user được tạo + các lệnh để nâng quyền. Đường dẫn này được C15 tìm thấy trong ổ cứng của Huy .Các đường dẫn này nằm trong Unlocation của ổ cứng vì nó được máy tình ghi lại trong lúc Huy truy cập vào file backdoor.

Thứ 5: tên file data_backup_all_1809.rar được tìm thấy ở trong 2 trên tất cả 3 ổ cứng của Huy (mới lấy dữ liệu của 2 ổ). Tất cả các ổ cứng đều được niêm phong có sự chứng kiến và chữ ký của Huy.Nếu Huy không phải là thủ phạm thì lấy đâu ra tên file này?

Thứ 6 : Nguyên nhân tại sao sau 1 tháng C15 mới đưa ra kết luận là vì họ phải theo một việc khác quan trọng hơn . Không thể tập trung điều tra vụ việc này

Thứ 7 : Có một lần bị gọi lên CQDT làm việc , Huy đã phải xin về nhà để "Suy Nghĩ". C15 đã cho Huy về để "nghĩ " C15 có ghi âm lại buổi làm việc hôm đó. Sau buổi này thì Huy có cafe với 2 người nữa để bàn cách đối phó (C15 có chứng cứ về việc này).

Thứ 8 : Máy chủ peacesoft.net cài 2 hệ điều hành lên cả C và D, vào thời điểm bị hack , máy chủ đang chạy windows trên ổ D, nhưng Huy tưởng nhầm và xóa event log trong ổ C.

Thứ 9 : Việc ps lấy lại domain nhanh là do chat với bên support của register, tiếp theo register đã yêu cầu ps gọi điện và scan credit card gửi cho register. Việc này đã được ps thực hiện rất nhanh. và register đã khôi phục lại tên miền.

Thứ 10 : Về acc vbot2006 được addsign vào acc binhnh trên register , có một địa chỉ email trong vbot2006 là athingcn@yahoo.com mà addsign user vbot2006 thì phải vào email athingcn@yahoo.com để confirm. Huy đã không cãi được và đưa ra lý do là ai đó "hack" email của Huy trong buổi làm việc với CQDT nagyf 08/11
Thứ 11 : Và remote qua user mssql thì có lẽ zhaowei_hn đã quá rõ về cái user này rồi còn gì. Đâu cần hack gì. Như vậy C15 có thể gọi zhaowei_hn lên để thẩm vấn. zhaowei_hn đang bị nghi là tòng phạm.'
Cứ cho là máy tính của Huyremy bị người khác lợi dụng để tấn công vào máy chủ của PeaceSoft. Vậy luật pháp Việt Nam qui định như thế nào về trường hợp này? Tôi đưa ra một tình huống như thế sau để mọi người so sánh thử: A là chủ sở hữu đăng kí của một chiếc xe máy. Người ta thấy chiếc xe máy đó (biển số, màu xe, loại xe) đụng người khác rồi bỏ chạy. Cảnh sát điều tra, lần ra được A. A không thừa nhận hành vi phạm tội của mình với lý do là ai đó đã: a) mượn xe máy của A; b) đánh cắp xe máy của A. Câu trả lời của cơ quan điều tra sẽ là: chúng tôi không cần biết ai là người điều khiển chiếc xe thời điểm gây ra tai nạn. Anh là người chủ sở hữu của chiếc xe, nghĩa là anh sẽ chịu trách nhiệm trước pháp luật về những gì chiếc xe của anh gây ra. Việc chứng minh người khác sử dụng chiếc xe của anh vào lúc gây ra tai nạn là nhiệm vụ của anh, không phải của chúng tôi. Nếu anh muốn chứng minh mình vô tội, anh phải tìm ra được người đã mượn hay đánh cắp xe của anh đồng thời trình ra được chứng cứ ngoại phạm của mình. Trở lại với trường hợp của Huyremy. Huyremy là chủ sở hữu máy vi tính, đường dây ADSL kết nối đến FPT (hay là địa chỉ IP) đã tấn công vào Chợ Điện Tử. Không cần biết ai đã sử dụng chúng, Huy vẫn luôn là người phải chịu trách nhiệm chính. Muốn chứng minh mình vô tội, Huy cũng phải đưa ra chứng cứ ngoại phạm kèm với bằng chứng máy tính của mình bị tấn công rồi từ đó bị lợi dụng để làm cầu nối đến hệ thống của Peacesoft.

Đấy là bàn về khía cạnh pháp lý, nếu bàn về kĩ thuật đơn thuần thì có thể thấy rằng, trước những chứng cứ mà C15 đưa ra, Huyremy khó mà chối bỏ được hành vi phạm tội của mình. Một điều buồn cười là rất nhiều người ngạc nhiên tại sao "hacker số 1 VN" lại để lại quá nhiều chứng cứ như vậy.

Trước tiên cần phải công nhận là C15 có nghề. Qua những gì ls_la trình bày, tôi cảm nhận rằng C15 biết cách làm computer forensics. Hãy cùng nhìn lại lý do thứ 5 mà ls_la đưa ra:
tên file data_backup_all_1809.rar được tìm thấy ở trong 2 trên tất cả 3 ổ cứng của Huy (mới lấy dữ liệu của 2 ổ). Tất cả các ổ cứng đều được niêm phong có sự chứng kiến và chữ ký của Huy. Nếu Huy không phải là thủ phạm thì lấy đâu ra tên file này?
ls_la cũng nói thêm về việc niêm phong ổ cứng:
Cơ quan điều tra copy ổ cứng thu được vào một thiết bị chuyên dụng readonly (thiết bị này không làm thay đổi dữ liệu). Sau đó niêm phong tang vật lại trước sự chứng kiến và chữ ký của can phạm. Nên chuyện C15 thêm chứng cứ vào ổ cứng là không thể. Chỉ thằng nào ngu mới nói là C15 thêm chứng cứ vào....
Tuy nhiên, dẫu "thiết bị chuyên dụng" của C15 ngon lành cỡ nào, nó cũng sẽ trở nên vô dụng nếu như Huyremy thực sự là "hacker số 1 VN". Mark Burnett đã viết như sau về giới hacker trong truyện The Art of Tracking nằm trong cuốn bestseller Stealing the Network: How to Own the box:
In three years I have worked in Internet security, I have learned a lot about hackers. Hackers go through stages as they develope their skills. At first, they want to impress others and be accepted. Consequently, they do lame stuff like defacing Web sites and boasting of their hacks in public chat rooms. This is the stage where many hackers get caught, although they are usually scared enough to take some measures to conceal their real IP address. As their skills increase, they move onto more sophisticated hacks and become a little more subdued - bragging only to their close circle of friends. Yet, something strange happens at this point. They gain this superhuman ego and begin to think they'll never get caught, so they attempt bold attacks from their own IP address. Eventually, if they still haven't been arrested, they become master hackers and confide in maybe only one other person. Oddly enough, master hackers once again they care to conceal their identity, but now they do it because they're wiser, not because they fear.
Rõ ràng Huyremy "neither wise nor scared enough". Nếu bạn là Huyremy thì bạn sẽ làm gì để "conceal your identity"?

Lỗi nghiêm trọng trong device driver của hãng Broadcom

Dự án Month of Kernel Bug vừa mới thông báo một lổ hổng nghiêm trọng trong driver cho card wireless của hãng Broadcom:
The Broadcom BCMWL5.SYS wireless device driver is vulnerable to a stack-based buffer overflow that can lead to arbitrary kernel-mode code execution. This particular vulnerability is caused by improper handling of 802.11 probe responses containing a long SSID field. The BCMWL5.SYS driver is bundled with new PCs from HP, Dell, Gateway, eMachines, and other computer manufacturers. Broadcom has released a fixed driver to their partners, which are in turn providing updates for the affected products. Linksys, Zonenet, and other wireless card manufactures also provide devices that ship with this driver.

All tests were performed with version 3.50.21.10 of the BCMWL5.SYS driver. Although this driver is for the Windows operating system, Linux and FreeBSD users of the ndiswrapper tool should determine if they are using BCMWL5.SYS and upgrade accordingly.
Internet Storm Center cũng có một bài phân tích sơ bộ về lổ hổng này:
  • Only effects the wireless driver, not the broadcom wired cards.
  • The resepective file is BCMWL5.SYS Version 3.50.21.10 (this is the version pointed out as vulnerable. Others may be vulnerable as well).
  • Only Linksys published an official update at this time.
  • Other vendors have later versions of this file available as patches. It is not clear if they patch the problem or not.
  • The problem is triggered by an overly long SSID
  • the MOKB project published a metasploit module to ease exploitation of this problem.
Go ahead and patch your driver with whatever version they offer. If you get a chance, test the exploit and see if it works against some of the later versions. Of course, take care when doing so. The "known to be fixed" version from Linksys is 4.100.15.5.

Whenever you don't use your wireless network, turn off the wireless card. In particular if you are in a public space (airport, hotel).
Một module khai thác lổ hổng này cũng đã được đưa vào Metasploit. Eo ôi, sợ quá! Cái máy Dell e1505 của tôi cũng sử dụng wireless card của Broadcom, đi upgrade thôi!

Cập nhật lúc 1:55PM GMT+7: ZERT vừa đưa ra FAQ về lổ hổng này. Đây là một lổ hổng cực kì nghiêm trọng, đề nghị những ai sử dụng laptop nên kiểm tra và nhanh chóng upgrade nếu như sử dụng card wireless của Broadcom.

Thursday, November 9, 2006

Bản quyền của blog

This blog uses this version of the Creative Commons License. This license has four main points:
  • You're free to copy, distribute, and edit all entries on this blog.
  • If you use my entries, please cite and link to the original entries on this blog.
  • You may not use my entries for commercial purposes. Please contact me if you want to use my entries for commercial purposes.
  • If you alter, transform, or build upon my entries you may distribute the resulting work only under the same or similar license to this one.

Blog Bảo Mật Thông Tin dùng phiên bản này của Creative Commons Lisence. Bản quyền này có bốn điểm chính:
  • Bạn được toàn quyền sao chép, phán tán và chỉnh sửa các bài viết trên blog.
  • Nếu bạn sử dụng các bài viết thì xin ghi rõ nguồn (và liên kết) đến Blog Bảo Mật Thông Tin.
  • Bạn không được sử dụng các bài viết vì lợi nhuận. Nếu muốn sử dụng vì lợi nhuận thì xin liên hệ với tác giả.
  • Các bạn có thể sửa đổi bổ sung thêm vào các bài viết (ví dụ dùng tư liệu để viết bài khác) với điều kiện bài viết mới của bạn cũng theo cùng ba nguyên tắc này của Creative Commons Lisence.