Saturday, November 11, 2006

Vụ án Huyremy

Chắc hẳn sự kiện rùm beng nhất trong giới IT "loi choi" của VN vài ngày qua là việc Cục Phòng Chống tội phạm công nghệ cao C15 kết luận Huyremy, người được mệnh danh là "hacker số 1 VN", chính là thủ phạm đã tấn công vào Chợ Điện Tử. Tuy nhiên, Huyremy phủ nhận việc này:

Tuy nhiên, Huy remy vẫn không chịu thừa nhận các bằng chứng của cơ quan điều tra về vụ tấn công vào tên miền chodientu.com ngày 23/9 và việc truyền bá văn hoá phẩm đồi truỵ thông qua website gmetal.net. Trong biên bản làm việc, Huy cho rằng "chứng cứ mà cơ quan điều tra đưa ra là không khách quan, không rõ nét."
....

Tuy nhiên, trong buổi làm việc với các cơ quan chức năng sáng 8/11, Huyremy đã không thừa nhận mình là thủ phạm thực hiện vụ tấn công vào tên miền chodientu.com. Huy đưa ra giả thiết phủ định rằng máy tính của mình đã bị hacker xâm nhập vào thông qua đường mạng Wi-fi chia sẻ kết nối
ADSL trong nhà và điều khiển máy tính của Huy làm phương tiện tấn công chodientu.com.

Ngay lập tức trên DDTH nổ ra một cuộc tranh luận dữ dội về đề tài này. Có hai luồng ý kiến chủ đạo: a) ủng hộ Huyremy và cho rằng những chứng cứ mà C15 đưa qua không thuyết phục; b) ủng hộ C15 và tin tưởng vào những chứng cứ mà C15 đưa ra để kết tội Huyremy. Tổng kết luận cứ của bên a) do zhaowie_hn đưa ra như sau:
Tóm lại là em đưa ra 2 giả thiết ngoài cái giả thiết Huy là thủ phạm ra:

1. Một hacker nào đó xâm nhập qua mạng Wifi của nhà Huy để join vào network và hack. Sau đó đưa những chứng cớ kia qua máy của Huy. Cũng không loại trừ khả năng người đó chiếm quyền điều khiển của máy Huy ( qua LAN ) và dùng chính máy đó để tấn công, có thể là remote desktop, VNC hoặc biến máy Huy thành một proxy server và connect qua đó.

2. Máy Huy bị điều khiển từ xa, qua External IP, cái này thì cần xem độ bảo mật của router ADSL Huy dùng và của chính máy Huy. Cái này zhaowei vẫn hay nghịch thử và cũng làm được nhiều lần nên nó hoàn toàn có khả năng xảy ra.
Luận cứ của bên b) do ls_la (tự nhận là dẫn lại lời của C15) đưa ra như sau:
Thứ nhất : Theo như Huy khai nhận thì tối hôm 22 rạng sáng 23/09 Huy cùng 3 người ngồi máy tính tại công ty suốt đêm. Máy tính của Huy lại sử dụng windows xp. Mà winxp thì khi người khác remote desktop vào, người đang dùng sẽ bị logout ngay. Chả nhẽ đang dùng mà bị logout lại không biết?

Thứ 2 : Vào ngày 11/10 khi CQDT thông báo cho Huy biết về blog vbot2006 trên yahoo có 1 friend duy nhất la ritmouse thì blog này và acc yahoo đã bị xóa ngay. Tìm trong ổ cứng của Huy cũng có thông tin về vbot2006 trong khi đó Huy nói là không hề biết gì về vbot2006. Nếu thằng nào đó muốn đổ tội cho Huy thì không đời nào nó đi xóa cái vbot2006 đi. Vì vậy chắc chắn chính Huy xóa đi để xóa dấu vết.
Thứ 3 : Huy chỉ có 3 cái máy cà tàng. Do mẹ của Huy cho 10 triệu để mua, thì dùng wifi làm gì. Nếu có wifi thì đặt trên tầng 3, ngoài đường khó có ai có thể truy cập. Đây là hành động biện minh cho hành vi phạm tội của Huy.

Thứ 4 Một user đã được tạo trên máy peacesoft.net . Trong khi tìm trong HDD máy của Huy có file backdoor để nâng quyền cho chính acc này.Đường dẫn peacesoft.net/.../file backdoor + user được tạo + các lệnh để nâng quyền. Đường dẫn này được C15 tìm thấy trong ổ cứng của Huy .Các đường dẫn này nằm trong Unlocation của ổ cứng vì nó được máy tình ghi lại trong lúc Huy truy cập vào file backdoor.

Thứ 5: tên file data_backup_all_1809.rar được tìm thấy ở trong 2 trên tất cả 3 ổ cứng của Huy (mới lấy dữ liệu của 2 ổ). Tất cả các ổ cứng đều được niêm phong có sự chứng kiến và chữ ký của Huy.Nếu Huy không phải là thủ phạm thì lấy đâu ra tên file này?

Thứ 6 : Nguyên nhân tại sao sau 1 tháng C15 mới đưa ra kết luận là vì họ phải theo một việc khác quan trọng hơn . Không thể tập trung điều tra vụ việc này

Thứ 7 : Có một lần bị gọi lên CQDT làm việc , Huy đã phải xin về nhà để "Suy Nghĩ". C15 đã cho Huy về để "nghĩ " C15 có ghi âm lại buổi làm việc hôm đó. Sau buổi này thì Huy có cafe với 2 người nữa để bàn cách đối phó (C15 có chứng cứ về việc này).

Thứ 8 : Máy chủ peacesoft.net cài 2 hệ điều hành lên cả C và D, vào thời điểm bị hack , máy chủ đang chạy windows trên ổ D, nhưng Huy tưởng nhầm và xóa event log trong ổ C.

Thứ 9 : Việc ps lấy lại domain nhanh là do chat với bên support của register, tiếp theo register đã yêu cầu ps gọi điện và scan credit card gửi cho register. Việc này đã được ps thực hiện rất nhanh. và register đã khôi phục lại tên miền.

Thứ 10 : Về acc vbot2006 được addsign vào acc binhnh trên register , có một địa chỉ email trong vbot2006 là athingcn@yahoo.com mà addsign user vbot2006 thì phải vào email athingcn@yahoo.com để confirm. Huy đã không cãi được và đưa ra lý do là ai đó "hack" email của Huy trong buổi làm việc với CQDT nagyf 08/11
Thứ 11 : Và remote qua user mssql thì có lẽ zhaowei_hn đã quá rõ về cái user này rồi còn gì. Đâu cần hack gì. Như vậy C15 có thể gọi zhaowei_hn lên để thẩm vấn. zhaowei_hn đang bị nghi là tòng phạm.'
Cứ cho là máy tính của Huyremy bị người khác lợi dụng để tấn công vào máy chủ của PeaceSoft. Vậy luật pháp Việt Nam qui định như thế nào về trường hợp này? Tôi đưa ra một tình huống như thế sau để mọi người so sánh thử: A là chủ sở hữu đăng kí của một chiếc xe máy. Người ta thấy chiếc xe máy đó (biển số, màu xe, loại xe) đụng người khác rồi bỏ chạy. Cảnh sát điều tra, lần ra được A. A không thừa nhận hành vi phạm tội của mình với lý do là ai đó đã: a) mượn xe máy của A; b) đánh cắp xe máy của A. Câu trả lời của cơ quan điều tra sẽ là: chúng tôi không cần biết ai là người điều khiển chiếc xe thời điểm gây ra tai nạn. Anh là người chủ sở hữu của chiếc xe, nghĩa là anh sẽ chịu trách nhiệm trước pháp luật về những gì chiếc xe của anh gây ra. Việc chứng minh người khác sử dụng chiếc xe của anh vào lúc gây ra tai nạn là nhiệm vụ của anh, không phải của chúng tôi. Nếu anh muốn chứng minh mình vô tội, anh phải tìm ra được người đã mượn hay đánh cắp xe của anh đồng thời trình ra được chứng cứ ngoại phạm của mình. Trở lại với trường hợp của Huyremy. Huyremy là chủ sở hữu máy vi tính, đường dây ADSL kết nối đến FPT (hay là địa chỉ IP) đã tấn công vào Chợ Điện Tử. Không cần biết ai đã sử dụng chúng, Huy vẫn luôn là người phải chịu trách nhiệm chính. Muốn chứng minh mình vô tội, Huy cũng phải đưa ra chứng cứ ngoại phạm kèm với bằng chứng máy tính của mình bị tấn công rồi từ đó bị lợi dụng để làm cầu nối đến hệ thống của Peacesoft.

Đấy là bàn về khía cạnh pháp lý, nếu bàn về kĩ thuật đơn thuần thì có thể thấy rằng, trước những chứng cứ mà C15 đưa ra, Huyremy khó mà chối bỏ được hành vi phạm tội của mình. Một điều buồn cười là rất nhiều người ngạc nhiên tại sao "hacker số 1 VN" lại để lại quá nhiều chứng cứ như vậy.

Trước tiên cần phải công nhận là C15 có nghề. Qua những gì ls_la trình bày, tôi cảm nhận rằng C15 biết cách làm computer forensics. Hãy cùng nhìn lại lý do thứ 5 mà ls_la đưa ra:
tên file data_backup_all_1809.rar được tìm thấy ở trong 2 trên tất cả 3 ổ cứng của Huy (mới lấy dữ liệu của 2 ổ). Tất cả các ổ cứng đều được niêm phong có sự chứng kiến và chữ ký của Huy. Nếu Huy không phải là thủ phạm thì lấy đâu ra tên file này?
ls_la cũng nói thêm về việc niêm phong ổ cứng:
Cơ quan điều tra copy ổ cứng thu được vào một thiết bị chuyên dụng readonly (thiết bị này không làm thay đổi dữ liệu). Sau đó niêm phong tang vật lại trước sự chứng kiến và chữ ký của can phạm. Nên chuyện C15 thêm chứng cứ vào ổ cứng là không thể. Chỉ thằng nào ngu mới nói là C15 thêm chứng cứ vào....
Tuy nhiên, dẫu "thiết bị chuyên dụng" của C15 ngon lành cỡ nào, nó cũng sẽ trở nên vô dụng nếu như Huyremy thực sự là "hacker số 1 VN". Mark Burnett đã viết như sau về giới hacker trong truyện The Art of Tracking nằm trong cuốn bestseller Stealing the Network: How to Own the box:
In three years I have worked in Internet security, I have learned a lot about hackers. Hackers go through stages as they develope their skills. At first, they want to impress others and be accepted. Consequently, they do lame stuff like defacing Web sites and boasting of their hacks in public chat rooms. This is the stage where many hackers get caught, although they are usually scared enough to take some measures to conceal their real IP address. As their skills increase, they move onto more sophisticated hacks and become a little more subdued - bragging only to their close circle of friends. Yet, something strange happens at this point. They gain this superhuman ego and begin to think they'll never get caught, so they attempt bold attacks from their own IP address. Eventually, if they still haven't been arrested, they become master hackers and confide in maybe only one other person. Oddly enough, master hackers once again they care to conceal their identity, but now they do it because they're wiser, not because they fear.
Rõ ràng Huyremy "neither wise nor scared enough". Nếu bạn là Huyremy thì bạn sẽ làm gì để "conceal your identity"?

5 comments:

hoantq said...

Bác viết rất hay, thanks!

mikado said...

Tuấn kiệt như sao buổi sớm
Nhân tài như lá mùa thu!

^^

Anonymous said...

Minhf thay Huyhery lam the la qua' dung'

Anonymous said...

Nếu như đã có đủ chứng cớ kết tội Huy thì vẫn còn việc quan trọng nữa là tìm ra động cơ của việc tấn công.

Anonymous said...

tớ là Hacker thì tớ cũng thành thật mà nói với bấy nhiêu chứng cứ là đủ để kết luận tội cho henry rồi, chơi thì chịu thôi ... mà ngu như tay này chịu còn nhanh hơn, ngồi nhà bắt adsl mà chơi là chết chắc
tại VN luật còn chưa có chứ bên USA thì bóc vài cuốn là chắc