BKIS đã làm điều đó như thế nào?
Theo một số cơ quan truyền thông VN, vừa rồi BKIS đã có một cú hích "chấn động thế giới" là giúp Mỹ và Hàn Quốc, hai cường quốc thế giới về công nghệ, truy tìm ra được thủ phạm của vụ tấn công DDoS vào các web site của hai quốc gia này.
Bạn thắc mắc BKIS đã làm điều đó như thế nào? Tôi cũng thắc mắc như thế, sẵn có chút nghề, nên mạo muội tìm hiểu, như là một cách để tri ân 10 chiến sĩ trong đội đặc nhiệm BKIS đã làm việc suốt gần 2 ngày liền hòng đưa VN nở mày nở mặt với bạn bè thế giới.
Tóm tắt lại sự việc, theo tường thuật của báo CAND, dựa trên lời kể của các chiến sĩ BKIS:
1. Ngày 12/7, KR-CERT gửi mẫu virus cho BKIS.
2. Ngay lập tức, trong gần 2 ngày liên tục, như đã nói ở trên, 10 chiến sĩ trong đội đặc nhiệm BKIS đã chiến đấu quên ăn quên ngủ để phân tích mẫu virus nói trên.
3. Đến 3h sáng 13/7, cuộc điều tra rơi vào bế tắc. Tiếp tục nghiên cứu, đội đặc nhiệm phát hiện ra 8 máy chủ điều khiển các máy ma bị nhiễm virus.
4. BKIS đã xâm nhập được vào 2 trong số 8 máy chủ này và thu được những thông tin quan trọng.
5. Đến 14h ngày 13/7, Đội trưởng Nguyễn Minh Đức reo to "Ơ-rê-ka". Khi đó địa chỉ IP của máy chủ gốc (master server), nơi đã tổng chỉ huy các cuộc tấn công, đã được xác định. Giám đốc Nguyễn Tử Quảng cùng anh em ôm chầm lấy nhau. Một đêm trắng đã được đền đáp.
------
Rồi bây giờ chúng ta hãy thử lần lại các bước mà BKIS đã làm nha. Chủ yếu có 3 việc chính:
1. Xác định 8 máy chủ trung gian.
Từ ngày 10/7/2009, nghĩa là trước khi BKIS nhận được mẫu virus 2 ngày, thông tin về 8 máy chủ trung gian này và phân tích chi tiết hoạt động của virus đã có trên Internet. Xem thêm http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20090710 và http://www.maxoverpro.org/77DDoS.pdf. Bản phân tích thứ nhất là của nhóm ShadowServer, bản phân tích thứ hai là của AhnLab, một công ty của Hàn Quốc.
Vậy thông tin Mỹ và Hàn Quốc kô biết gì về cơ chế hoạt động của dòng virus này có vẻ không chính xác nhỉ?
Hơn nữa, không hiểu các chiến sĩ của chúng ta đã làm gì trong 2 ngày trời, để rồi thu được kết quả là những gì người ta đã làm trước đó rồi.
Àh nhưng, BKIS đã có thông tin quan trọng nhất về máy chủ gốc (master server), Mỹ và Hàn Quốc không có thông tin này nha. Vậy nên chúng ta tiếp tục với công việc số 2.
2. Xâm nhập vào 2 trong số 8 máy chủ trung gian.
Theo lời của Nguyễn Tử Quảng, thì chỉ đơn giản là: "Trong số 8 server, chúng tôi đã tìm ra được 2 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web. Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng."
Như vậy là chẳng có xâm nhập gì ở đây, các máy chủ này chỉ vô tình để lộ thông tin mà "ai cũng có thể sử dụng" cả.
Các bạn Hàn Quốc và Mỹ thật đáng trách, đã lần ra được 8 máy chủ này, vậy mà không phát hiện ra được "các dịch vụ chia sẻ tài nguyên hoàn toàn thông thường đó". Hoan hô BKIS đã có con mắt tinh tường.
Nhưng vào được 2 máy chủ trung gian vẫn chưa tạo nên cú hích "lừng lẫy năm châu", điều quan trọng là căn cứ vào dữ liệu trên 2 máy chủ này, BKIS đã phát hiện máy chủ gốc, điều khiển toàn bộ vụ tấn công, chính là công việc số 3.
3. Phát hiện máy chủ gốc
Các bạn thấy cái hình trên cùng của bài viết này không? Đây chính là hình mà các chiến sĩ BKIS căn cứ vào đó để kết luận về máy chủ gốc có địa chỉ IP 193.90.118.xxx.
Đây là hình chụp một đoạn nhật ký truy cập (access log) của máy chủ web Apache trên 1 trong 2 máy chủ mà các bạn BKIS đã "tấn công ngược". Các bạn chú ý chỗ được đánh dấu đỏ.
Theo phân tích của Anhlab và BKIS thì sau khi lây nhiễm vào máy tính nạn nhân, mẫu virus này sẽ cố gắng download từ 1 trong 8 máy chủ một file mang tên flash.gif. Nhìn hình này chúng ta thấy rằng một người sử dụng một máy tính có địa chỉ IP 193.90.118.xxx (là địa chỉ mà BKIS cho là máy chủ gốc), đang sử dụng Internet Explorer để download file flash.gif từ 1 trong 2 máy chủ mà BKIS đã "fought against and gained control".
Tại sao tôi biết là Internet Explorer? Đó là căn cứ vào cái request thứ hai, chỉ có Internet Explorer mới luôn "GET /favicon.ico" mỗi khi nó truy cập vào một web site nào đó. Dựa vào luận cứ này tôi (và bạn Nguyễn Minh Đức?) đoán đây là người truy cập, chứ không phải virus tự động làm, lý do là virus thì không sử dụng Internet Explorer. Các bạn chú ý điểm này nha.
Cập nhật: Tôi nhầm lẫn. Chrome, Firefox và các browser khác cũng có biểu hiện như Internet Explorer. Dẫu vậy điều này không ảnh hưởng gì đến luận cứ này. Cảm ơn bạn trm_tr.
Lần đầu thấy cái hình này, tôi cũng thắc mắc không hiểu tại sao BKIS dựa vào đây mà có thể kết luận được IP 193.90.118.xxx là máy chủ gốc. Cho đến hôm nay được các bạn trong team CLGT giải thích, tôi mới hiểu ra.
Lập luận thế này: chỉ có virus mới tự động download file flash.gif, nên nếu mà có một người tự dưng download file đó (bằng Internet Explorer, như đã nói ở trên), thì hẳn người đó là người đã tạo ra file flash.gif (và anh ta đang test thử xem file flash.gif có nằm ở địa chỉ /xampp/img/flash.gif hay không).
Nghe hợp lý đúng không? Nhưng như thế liệu có đủ để kết luận IP 193.90.118.xxx là máy chủ gốc? Trong toàn bộ suy luận ở đây, người sử dụng máy tính mang IP 193.90.118.xxx chỉ làm một việc duy nhất là dùng Internet Explorer để kiểm tra xem file flash.gif có tồn tại hay không.
Nếu cho rằng máy tính 193.90.118.xxx là máy chủ gốc, thì phải có cơ chế để 8 máy chủ còn lại tự động nhận file flash.gif (và các lệnh khác) từ máy tính này. Bài phân tích của BKIS không chứng minh được điều đó.
Kết luận chắc chắn nhất có thể rút ra là: người đã sử dụng máy tính mang IP 193.90.118.xxx có liên quan đến vụ tấn công DDoS. Sự thật là, theo chính công ty sở hữu máy tính đó, chúng ta đều biết nó cũng đã bị xâm nhập từ trước rồi. Do đó không thể kết luận rằng máy tính 193.90.118.xxx là nguồn gốc vụ tấn công. Vả lại, dẫu thế nào đi chăng nữa, không thể kết tội một cái máy :-P.
Lẽ ra sau khi các chiến sĩ BKIS tìm được IP này, họ phải tuân theo quy trình làm việc của APCERT, bí mật thông báo cho US-CERT, UK-CERT, KR-CERT và các tổ chức trong APCERT, để các cơ quan chức năng này niêm phong máy tính 193.90.118.xxx, thực hiện các biện pháp digital forensic để lần ra dấu vết của người đã xâm nhập máy tính này.
Nhưng, như các bạn đã biết, BKIS đã chọn một hướng đi khác, và có lẽ từ lúc BKIS phát thông tin cho các cơ quan truyền thông, cho đến lúc các đội CERT sờ được vào máy tính 193.90.118.xxx thì nó đã không còn thông tin giá trị có thể giúp lần ra tội phạm nữa rồi. Sự thật là cho đến nay, vẫn chưa tìm được thủ phạm vụ tấn công DDoS.
Tóm lại, sau 2 ngày liên tục điều tra, 10 chiến sĩ BKIS đã: a) thu được thông tin mà Mỹ và Hàn Quốc đã có được trước đó 2 ngày; b) vô tình download được thông tin liên quan "nhật ký các cuộc tấn công"; c) tiến hành phân tích, và đưa ra một kết luận sai. Điều quan trọng nhất là mặc dù thông tin BKIS tìm thấy là có giá trị nhưng chính họ cũng đã đánh đổi thông tin đó cho những mục tiêu khác, thay vì mục tiêu cao cả vì an ninh thế giới.
Như các bạn đã thấy, tất cả luận cứ trong bài này đều dựa vào thông tin mà báo chí đã viết về BKIS và trên blog của chính nhóm này. Suy luận chủ quan của tôi sẽ sai nếu những thông tin đó không chính xác. Suy luận chủ quan của tôi cũng có thể sai nếu phương pháp điều tra của BKIS khác với cách mà tôi dự đoán. Tôi không chịu trách nhiệm nếu "an ninh thế giới" bị đe dọa vì những phân tích này. Các bạn thoải mái đăng lại bài viết này ở những nơi khác, và các bạn chịu trách nhiệm vì điều đó nha.
Cảm ơn chairuou, |_-_|, các bạn CLGT và HVA thân iu.
Cập nhật: có bạn hỏi tôi: liệu bọn gây ra đợt tấn công DDoS này có quay sang tấn công trả đũa VN? Cá nhân tôi cho rằng việc này khó xảy ra. Bọn làm botnet đều làm vì tiền. Chúng bỏ công ra gầy dựng botnet, rồi cho thuê lại cho những ai có nhu cầu tấn công người khác. Nên bọn chúng cũng không rảnh hay dư tiền mà quay sang tấn công *chùa* mấy web site VN. Nói cách khác, tôi tin rằng có ai đó thuê botnet để tấn công DDoS mấy cái web site của Mỹ và Hàn Quốc. Hết hợp đồng rồi nên mấy ngày nay im ru, không thấy động tĩnh gì nữa. Thành ra tìm được thằng chủ botnet, chưa chắc gì đã tìm được thằng chủ mưu :-P.
Comments
Phân tích rất hay và quan trọng là mỉa mai khá.
Giá bác thay tựa đề bài viết là: BKIS đã làm "chuyện ấy" như thế nào? nghe hay hơn :D
Thường người ta hay mai mỉa hay tỏ vẻ coi thường những cái người ta không có, trong khi thèm bỏ cụ. Mấy thằng BKIS có ngon học tiếp lấy PhD xem có học nổi không, hố hố ....
Kinh doanh bảo mật thật khó, người ta dễ lẫn lộn giữa ranh giới đúng và sai. Doanh nghiệp sẵn sàng bỏ hàng triệu đôla để mua thiết bị và phần mềm nhưng không ai chịu bỏ tiền mua cái "bảo mật" cả. Bởi vì doanh nghiệp không thể bỏ tiền mua cái không hạch toán vào sổ sách được :)
Vì vậy người kinh doanh bảo mật thường được tiếng chứ ít khi nào được miếng.
Điều này dẫn tới người làm bảo mật có quan niệm mình phải nổi tiếng phải làm người ta sợ (nổi tiếng là ghê gớm) thì mới kiếm tiền được. Đó là lúc bước từ ranh giới "kiếm tiền" sang "tống tiền".
Còn về PhD, nhất là về Security, về Việt nam thì có hoạ điên đi làm ở BKIS, một môi trường nhà nước, chậm chạp, thủ tục, và ... bốc đồng. Nhìn ở trên Banner của BKIS lại nhớ đến bạn/doctor Thành Lê một thời tung hoành BKIS ;-)
Tôi tin rằng tất cả các bạn làm nghề (CS/Sec) qua câu chuyện này đều cười buồn một chút về cách thức làm việc kiểu chụp giật, nhỏ lẻ của các công ty/trung tâm kiểu BKIS ở VN. Cụ thể, sự vụ này với Vn/KrCERT và việc BKIS/Minh Đức qua BlackHat *trình diễn* việc *nhận dạng qua webcam* mà ai đó ở đã có một bài bình luận về khía cạnh tầm thường (trivial) của nó (nếu quan tâm có thể Google) càng cho thấy việc PR khá... *thô thiển* của BKIS nếu xem xét dưới góc độ chuyên môn.
(Xin chú ý việc cùng xuất hiện ở BlackHat không chứng tỏ hàm lượng chất xám là tương đương. Kết quả của BKIS không thể so sánh được với demo về kernel malware của N.A.Quỳnh hay BluePill của Rutkowska.)
Hy vọng câu chuyện này đánh thức những người làm chuyên môn *kiểu BKIS* sớm thức tỉnh kiểu *nghiên cứu khoa học* này.
Còn các bạn ở Việt nam, hãy đọc báo lá cải trong nước ít thôi, tranh thủ đọc báo tiếng Anh xem ở ngoài họ nhìn Việt nam ta như thế nào, vậy nhỉ.
O? VN thi` chi? nen do.c ba'o La' Ca?i kieu Ngoisao.net xem em na`o ngu.c dang to nha^'t tho^i ...
Co`n muon doc ba'o nghiem tuc thi` ra trang nuo'c ngoa`i ma` do.c :))
Xin loi vi` minh` k type duoc tieng viet.
Đoạn cuối bác viết rất hay về cái việc là ai cũng có quyền viết, tự chị trách nhiệm về bà mình viết. Nhưng bác cũng nói nước đôi về việc suy đoán của bạn có chính xác hay không
Tôi đọc qua cũng thấy nó lá cải, vì chẳng có ai (trong đó có cả chính bản thân bác) kiểm chứng được những gì bác viết đúng với sự thật hay không.
"thực tế thì sản phẩm antivirus của chúng tôi diệt virus tốt hơn các sản phẩm đang được đánh giá tốt nhất thị trường hiện nay như Kaspersky, Synmantec,... nhưng khi tôi nói ra điều ấy thì không ai tin tôi, tôi sẽ chứng minh điều ấy qua thời gian" (Không đúng 100% nguyên văn đâu nhé, do mình không nhớ rõ từng câu chữ).
Nhưng thực tế thì sao : tôi thà để máy của tôi có virus còn hơn là cài bkav vì sao :
-BKAV của anh Quảng toàn báo 'đã diệt' trong khi chẳng bao giờ diệt được.
-BKAV làm những con máy của tôi khởi động chậm đến kinh hồn.
-Máy đã cài BKAV nhưng Windows vẫn báo là không có antivirus, không hiểu cái này bkis không nhận ra hay là không làm được.
-Mà tôi chẳng hiểu BKAV dùng thuật toán gì mà quét nhanh thế nhỉ. hay là một bước tiến công nghệ vượt bậc ?
Không phải tôi không thích sản phẩm của BKis mà tôi nói vậy, nhưng thực sự thì tôi thích những ai nói và làm đúng với những gì họ có. Chứ không phải kiểu khoe khoang khoác lác lừa 'dân đen' như anh Quảng.
Comment này có vẻ không liên quan đến vụ việc này lắm, nhưng tôi vẫn muốn comment 1 cái cho bõ tức.
EN NGHĨ CHẤC BÁC QUẢNG NHÀ TA DÙNG THUẬT TOÁN TÌM KIEMS NHƯNG KO BẮT HOẶC DIỆT MÀ CHÀO MỪNG VIRUS VÀO CUNG BÀN NHẬU VỚI NHAU.
EM NÓI SAI MONG CÁC BÁC BỎ QUÁ CHỨ EM KINH BKAV LẮM RỒI, EM KO BÍT EM DÍNH VIRUS GÌ NHƯNG EM CÀI BKAV VÀO QUÉT SONG EM ĐI TONG CON HDD 160GB KO CÒN 1 TÍ HƠI THỞ HAY NHỊP TIM CỦA HƠN 100GB CỦA EM, CÔNG SỨC ĐI HỌC 3 NĂM CỦA EM, MAY LÀ EM CÓ GHI MẤY CÁI ĐĨA DVD BÀI HỌC UI` HÚ VÍA.
Có thể khách quan đấy.
Có thể, có thể....
Trước hết, có thể trên đây toàn antiBkav cũng nên.
Tốt thôi, anh em phản biện nhiều chính là động lực để AQ phát triển.
Tốt rồi, tốt rồi !
Tôi chẳng có vấn đề gì trong khả năng đọc hiểu cả
Quote nguyên cái câu trong bài bên trên của anh Thái vào đây thôi.
Vì anh ấy cũng chẳng biết báo chí viết đúng hay sai, nên cũng không thể khẳng định 100% là lập luận của mình đúng hay sai.
Luôn luôn có 2 trường hợp có thể xảy ra: lập luận đúng dựa trên nền tảng thông tin đúng, hoặc lập luận sai, dựa trên nền tảng thông tin sai. Đấy là còn chưa nói đến khả năng: nền tảng thông tin đúng, có thật, nhưng không đầy đủ và toàn diện. Như vậy thì bài viết dựa trên nền tảng thông tin chưa được khẳng định và kiểm duyệt liệu có thể được gọi là chính xác không.
Tôi không bênh vực hay phê phán ai cả, chưa ai khẳng định được Bkis có công hay có tội.
Thì 1 bài phân tích vội vã như thế này, đã không là lá cải thì là gì đây.
Tuy nhiên cũng xin hoan hô tinh thần vì công động của bạn Thái. :p
Tự nhiên tạo ra 1 bài suy đoán dựa trên suy đoán để anh em bàn thảo làm gì??
thật là......
Vẫn còn nhiều người Việt mang tư tưởng "Trâu buộc ghét trâu ăn" thay vì cố gắng vươn lên cho bằng bạn bằng bè. Thật buồn lắm thay.
rất vui dc làm quen với anh ^^
rất vui dc làm quen với anh ^^
Cám ơn anh em đã đọc, sự thật 100%
Một bạn nào đó nói về BKAV cũng đúng. Đây là phần mềm chẳng diệt được virut gì cả.
Nguyễn Tử Quảng rất giỏi...nói phét.
Học trò tôi cũng đã từng phát hiện 1 lỗi nghiêm trọng của Firefox, em ấy gửi cho tôi, tôi khuyên em ấy gửi cho BKAV. mấy ngày sau trên mạng xuất hiện thông tin BKAV cùng học trò tôi phát hiện ra lỗi. hay thật.
Nếu chúng ta cùng tấn công BKIS thì sao nhỉ. hay lắm đây bác Quảng ạ
Phthlap
Hướng dẫn Kiếm tiền online: http://get-dola.blogspot.com/
Huong dan click quang cao va signup kiem tien online: http://get-dola.blogspot.com/
Click quang cao kiem tien: http://get-dola.blogspot.com/
http://hocmarketing.net/
------------------------------
Vietnam car rental,
hanoi transfer