Sunday, November 12, 2006

Nếu tôi là Huyremy

Ấy chết, bạn đừng nghi oan cho tôi, tôi nào dám tranh giành chức vị "hacker số 1 VN" với Huyremy. Chẳng qua tôi chỉ tự hỏi, nếu ở vị trí của Huyremy, tôi sẽ làm gì để tự bảo vệ mình?

Trước khi bắt đầu, tôi nghĩ cần phải đặt ra một số giả thuyết như thế này: a) C15 rất lành nghề trong lĩnh vực computer forensic và data recovery; b) Toàn bộ hoạt động đi lại của tôi ở ngoài đời đều bị theo dõi; c) Điện thoại của tôi bị nghe lén, thư tay + SMS bị đọc trộm; d) Kênh liên lạc duy nhất của tôi với thế giới bên ngoài là Internet, tuy nhiên toàn bộ Internet traffic của tôi cũng bị C15 log lại và phân tích kĩ lưỡng. Tôi phải làm gì để đảm bảo privacy cho mình? Tôi phải làm gì để an tâm thực hiện công việc của mình? Câu trả lời là mã hóa, mã hóa và mã hóa. Mã hóa cái gì? Tất cả. Tôi nghĩ rằng không cần phải nhắc đến firewall, IDS, VPN hay anti-virus, bởi lẽ đây là điều đương nhiên cần phải thực hiện ngay cả khi bạn không phải là "hacker số 1 VN".

Trước tiên tôi sẽ torify cuộc đời mình:

Tor is a toolset for a wide range of organizations and people that want to improve their safety and security on the Internet. Using Tor can help you anonymize web browsing and publishing, instant messaging, IRC, SSH, and other applications that use the TCP protocol. Tor also provides a platform on which software developers can build new applications with built-in anonymity, safety, and privacy features.

Tor aims to defend against traffic analysis, a form of network surveillance that threatens personal anonymity and privacy, confidential business activities and relationships, and state security. Communications are bounced around a distributed network of servers called onion routers, protecting you from websites that build profiles of your interests, local eavesdroppers that read your data or learn what sites you visit, and even the onion routers themselves.

Tất cả Internet traffic của tôi, từ 21, 22, 25, 53, 80, 443, 5050, 6667...sẽ được đẩy qua Tor trước khi đi đến đích cuối cùng. Tôi sẽ trở nên vô hình.

Tor không hoàn hảo, một ngày nào đó tôi sẽ bị phát hiện, lúc đó tôi cần một cách hủy dữ liệu nhanh nhất và an toàn nhất. Cách hủy dữ liệu tốt nhất là gì? Format lại ổ cứng, cài lại hệ điều hành? Ghi đè ổ cứng vài chục lần? Không. Huyremy đã làm như thế nhưng C15 vẫn tìm thấy chứng cứ trong ổ cứng của anh ta. Wietse & Dan đã viết như thế này trong tác phẩm kinh điển Forensic Discovery:
Destroying information turns out to be surprisingly difficult [Gutmann, 1996] and [Gutmann, 2001]. Memory chips can be read even after a machine is turned off. Although designed to only read ones and zeroes, memory chips have undocumented diagnostic modes that allow access to tiny left-over fragments of bits. Data on a magnetic disk can be recovered even after it is overwritten multiple times. Although disk drives are designed to only read the ones and zeroes that were written last, traces of older magnetic patterns still exist on the physical media [Veeco, 2004].
Vậy thì tôi sẽ tháo ổ cứng ra, quăng xuống biển? Đôi khi bạn sẽ không có đủ thời gian để làm chuyện đó, nhất là khi có cái còng số 8 đang lửng lơ trước mặt. Có một cách giúp làm cho dữ liệu tự hủy mà không cần tôi phải làm gì và tôi đã chỉ cho bạn cách đó rồi. Không nhớ àh? Mã hóa. Muốn hủy dữ liệu ư? Chỉ cần quên passphrase hay keyfile là xong. "Thiết bị chuyên dụng" của C15 cũng sẽ đớ người ra như chủ nhân của nó nếu như tôi mã hóa như sau.

Đầu tiên, tôi dùng LUKS để mã hóa /home và swap bằng AES với một passphrase dài 20 kí tự và keyfile là một trong số vài ngàn tấm hình mà tôi đã chụp. Tiếp theo tôi tạo hai container trong /home bằng TrueCrypt, một cái là play và một cái là work, tất cả mã hóa bằng hai cái passphrase + keyfile khác nhau (và khác passphrase + keyfile của LUKS). Trong cái container work, tôi lại tạo thêm một cai hidden volumn, đề phòng trường hợp C15 biết tôi xài TrueCrypt và họ ép tôi phải đưa ra passphrase (lolz tôi đang nói cho họ biết tôi đang xài cái gì rồi, thế là hết dám phạm tội). Tiếp theo, tôi mã hóa tất cả các file nằm trong work và play với gnupg. Email, log của Gaim cũng được mã hóa bằng gnupg. Bash history được secure delete mỗi phút. Profile của Firefox cũng được secure delete mỗi lần sử dụng xong. Tôi sử dụng một mật khẩu khác nhau cho mỗi website mà tôi tham gia, và chúng cũng được mã hóa nốt, đề phòng trường hợp ai đó chôm được chúng.

Giả sử C15 muốn lấy dữ liệu của tôi, họ phải làm gì? Trước tiên, họ phải giải mã được cái /home và swap của tôi. Root partition sẽ được cho free để họ tha hồ mà nghiên cứu. Nếu như họ dùng cách nào đó mount được /home và swap của tôi lên (bằng "nghiệp vụ" chẳng hạn), họ sẽ lại đối diện với TrueCrypt. Muốn mount được hai cái container lên, họ phải biết được passphrase và keyfile nằm lẫn lộn trong cái USB Thumbdrive. Lại bằng "nghiệp vụ", họ vẫn mount được hai cái container đó lên. Lúc này, họ sẽ được chào đón bằng gnupg. "Nghiệp vụ" lại giúp họ decrypt hết tất cả những gì mà tôi muốn che dấu. Tuy nhiên, cho đến bước này, họ vẫn chưa tìm được bằng chứng kết tội tôi. Đơn giản vì tôi quên chưa nói là tất cả điệp vụ của tôi được thực hiện trong một cái VMware image chứa trong hidden volumn của cái container work. Dĩ nhiên, "nghiệp vụ" của họ vẫn có thể chiến thắng nhưng xác suất lần này là rất thấp. Các "thiết bị chuyên dụng" của C15 có tìm cũng thấy và chỉ thấy random data mà thôi.

Vậy tôi có thể an tâm ư? Vâng bạn có thể an tâm về sự riêng tư của mình nhưng tôi không đảm bảo được sự an toàn cho cá nhân bạn. Bởi lẽ, muốn an toàn thì tốt nhất đừng phạm tội.

(bài viết này chỉ là giả tưởng, đừng bắt chước làm theo. Bạn đã được cảnh báo!)

15 comments:

hoantq said...

Vâng nếu mọi thứ đều hoàn hảo đến vậy thì còn gì bằng, tuy nhiên con người không thể hoàn hảo bằng lý thuyết và tất nhiên huyremy cũng ko phải là người hoàn hảo, lẽ đời tài thường đi liền với tật :)

mikado said...

Tài chỗ nào? hoantq chắc chưa nghe bài "Con số 0" của The Wall :-)

hoantq said...

Em rất hay nghe là khác bác ạ. Rất tiếc khi The Wall không thể tiếp tục chinh chiến.
Về Huy nếu nói 1 cách công bằng thì cậu ta cũng có tài, nhưng cái tật thì lại còn lớn hơn :)

Anonymous said...

Có năng khiếu thôi, nếu rèn luyện, gọt giũa thì có khi cũng thành tài năng trẻ...FPT chưa biết chừng ... mikado nhề ;)

Anonymous said...

Màn mã hóa ổ cứng + bittorrent này phức tạp quá. Đơn giản chỉ cần 1 đĩa Live - Linux, vài mẹo vặt ssh với một linux host (ssh tunnel): toàn bộ chứng cứ sẽ sạch sẽ khi tắt máy!

Anonymous said...

huh, lam gi co bittorrent o day chu :D

Anonymous said...

/me ko nghi huyremy khong biet mot so cach de tu bao ve & che giau (con hieu qua hay khong la chuyen khac) ma thien ve huong "chu quan" nhieu hon. Dieu nay co the thay rat ro o nhieu ""hackervn"" sau 1 vai nam pha phach ma khong bi gi ca.

--r

Anonymous said...

Thực ra có 1 số lý do mà Huy không ngờ tới, nên một số người mới nghe "hacker số 1 thế giới" mới ngạc nhiên khi Huy bị phát hiện nhanh chóng vậy:

1/ Huy đã có vào log ở ổ C: (server đó dùng Win) để xóa, nhưng không ngờ Log chính là cài ở ổ D:

2/ ISP đã cung cấp chính xác IP (động) và tên máy của Huy ở thời điểm đó cho C15 (chưa có tiền lệ ở VN).

3/ Tâm lý đánh giá thấp chuyên môn C15, lại càng không ngờ C15 nhanh chóng đến khám nghiệm nhà (HDD, PC, etc...)

4/ C15 vẫn còn 1 số chứng cớ chưa tung ra (cộng với biện pháp nghiệp vụ như khai thác sơ hở lý luận, đối chiếu bản khai... )

5/ Cái này thì thaidn có nêu, nhưng có thể ít người để ý: "nếu Huy thực sự là hacker số 1 VN..." ;)


Có lẽ điều 2, 3 và 4 thì vẫn đúng với không chỉ Huy mà còn kha khá người "có tiếng" trong giới underground VN.


Hì, nếu tôi là thaidn, tôi sẽ post bài này TRƯỚC khi biết 1 số thông tin từ C15. (i.e. những luận cứ mà đã đưa ra để buộc tội)

Anonymous said...

" Khi ban la 1 hacker gioi, ai cung biet den ban.
Khi ban la mot hacker vi dai, khong ai biet den ban"

Huyremy ai ma chang biet

Anonymous said...

Với kinh nghiệm làm trong lĩnh vực data recovery vài năm, tôi thấy lời nhận xét "Huyremy đã làm như thế nhưng C15 vẫn tìm thấy chứng cứ trong ổ cứng của anh ta" chưa thật chính xác.

Theo tôi, chỉ có 1 khả năng, đó là huyremy đã không hủy (hay không kịp hủy hay không muốn hủy hay hủy không đúng cách...) hoàn toàn data trong HDD của anh ta. Bởi lẽ nếu bit 0 đã bị thay đổi thành bit 1 thì đừng nói đến C15, C16 cũng không thể recover lại được. C15 làm được gì nếu từ byte đầu tiên đến byte cuối cùng của 1 HDD là 0x00, hay 0xFF, hay bất cứ 1 con số vô nghĩa nào đó trong khoảng đó?

Format hoàn toàn không phải là tool để wipe out data. Reinstall lại OS cũng không chắc ăn. Tool duy nhất và hữu hiệu nhất chính là overwrite data. Chỉ một program viết bằng C đơn giản là có thể overwrite được toàn bộ một PhysicalDrive.

Anonymous said...

Mã hóa - Windows chỉ cần 3 cú click chuột ;) tuy nhiên với hacker số 1 vn thì không cần :D

Anonymous said...

oạch !
mã hóa ư, đây là lần đầu tiên em tìm thấy cái blog này và mải đọc quá, giờ là 2h30 đêm rùi, chẳng biết mai có dậy đi làm muộn nữa không nhưng với niềm đam mê nghiên cứu bảo mật, em khâm phục kiến thức mọi người và rất mong học hỏi thêm.
về vụ Huyhery!
vứt ổ cứng đó đi, mua 1 con khác giống hệt về cắm vào setup bình thường, copy mấy thứ linh tinh phèng gì đó !

Anonymous said...

Cuối cùng sự việc này cũng đã trôi qua. C15 hò hét, BKIS gõ trống khua chiêng, Huyremy ngồi cười hì hì.
Chẳng biết thế nào, chỉ biết sáng sáng tôi vẫn thấy Huyremy ngồi con Merc e240 ăn phở ở Đỗ Hạnh sau lại thấy ra ngồi uống cafe ở hồ Thiền Quang cuộc sống có vẻ rất ung dung tự tại.
Thế đấy, cái tài của Huyremy là ở chỗ đấy, để cho tất cả thiên hạ biết Huyremy là người làm, nhưng cả thiên hạ không ai làm gì được Huyremy.

Anonymous said...

" Khi ban la 1 hacker gioi, ai cung biet den ban.
Khi ban la mot hacker vi dai, khong ai biet den ban"

Neu minh ko nham thi cau nay trich trong CEH. "If you are a good hacker, every one know you. If you are a great hacker, no one know who you are".

Thợ săn xa mạc said...

Em ko biết nhiều về mật mã lắm, nhưng theo suy nghĩ đơn giản của em, sao ko làm cái ổ RAM gắn qua khe PCI ấy (loại này chắc chỉ dành cho máy bàn.)

Hệ điều hành thì làm cái đĩa chạy Live như BackTrack.

Để tránh mất điện đột ngột, tất cả sẽ đi tong, đầu tư thêm bộ USP nữa (bộ lưu điện).

Có khác lạ đến, chỉ cần sơ ý, đá dây điện... thôi tất cả dữ liệu trên RAM về mây khói rồi :D

Money is power :D