Trung tâm An Ninh Mạng Bách Khoa (BKIS) huấn luyện Tổng Cục 5 (Bộ Công An) cách hack các trang web lề trái?

Theo thông tin từ diễn đàn HVA, hacker đã đột nhập vào hệ thống mạng của BKIS, lấy đi các tài liệu quan trọng, trong đó có các dự án đặc biệt của BKIS như lời giới thiệu sau đây của chính hacker:

KỲ 1: NHỮNG “SPECIAL PROJECTS” CỦA BKIS

Tiếp theo yêu cầu của đông đảo cư dân mạng, để chứng tỏ những gì chúng tôi nắm giữ, chúng tôi tiếp tục công bố những gói data nội bộ thể hiện toàn bộ “thâm cung bí sử” của Bkis và những hoạt động của công ty này.

KỲ 1: NHỮNG “SPECIAL PROJECTS” CỦA BKIS

1. APCERT 2009: Nguyễn Minh Đức và Đỗ Mạnh Dũng đã biểu diễn những gì?

2. Korea DDoS: Bkis đã tìm thấy gì trong vụ này để trở thành “niềm tự hào” của giới bảo mật Việt Nam?

3. TC5: Nhóm “Task Force” của Bkis đã huấn luyện TC5 như thế nào? Họ đã thể hiện đạo đức nghề nghiệp ra sao?

4. Underground Team: Nhóm “Underground” của Bkis đã thực hiện những phi vụ điều tra công nghệ cao gì?

Toàn bộ thông tin nằm ở đây, mời cư dân mạng xem xét và đánh giá để có một góc nhìn khác hơn về BKIS!

http://ubuntuone.com/4ENufHhmFeLa4iOXGfalX7

(Special thanks to phanledaivuong)

Nếu độc giả tải xuống tập tin 1st.rar và gỡ nén, sẽ thấy các thông tin liên quan đến các dự án đặc biệt của BKIS như sau:

screen_shot_2012-03-09_at_18.03.42.png

Trong thư mục TC5 có một số bài thuyết trình hướng dẫn cách hack các trang web, kèm theo các thông tin “tình báo” khá đơn giản về nhiều trang web lề trái. Có một tài liệu đáng chú ý:

Kinh nghiệm điều tra

Tác giả: MinHu

Mức độ: Tuyệt mật

Mục đích: Thông qua hình thức kể chuyện về các vụ án đã thực hiện nhằm truyền lại các kinh nghiệm cũng như bài học cho lớp kế cận.

Những người được phép đọc: Là người được giám đốc hoặc tác giả chỉ định trực tiếp. Tài liệu chỉ được phép đọc mà không được phép sao chép dưới bất kỳ hình thức nào khác.

Chuyên án 1: Điều tra website phản động ddcnd.org

Chuyên án 2: Điều tra kẻ cung cấp thông tin cho website phản động: baotoquoc.com

Tóm tắt: Qua tìm hiểu sơ bộ website baotoquoc.com được một kẻ có nick name là vantuyen.net tạo ra. Kẻ này còn làm chủ rất nhiều website khác như: vantuyen.net, quanvan.net, coinguon.us … đều đăng tải nội dung phản động. Kết quả điều tra sau này cho thấy đối tượng quản lý đồng thời hơn 20 website đều có lượng người dùng khá lớn.

Các domain đều được quản lý bởi emai: vantuyen.net@gmail.com . Đây sẽ là mục tiêu quan trọng nhất.
Do baotoquoc.com thực chất là blog của wordpress và chạy trực tiếp trên server của wordpress với subdomain là baotoquoc.wordpress.com nên xác suất có lỗi của website này là tương đối thấp. Vì vậy định hướng sẽ xâm nhập vào các website khác của đối tượng, để khai thác thông tin, dò các password sử dụng chung để đoán password gmail. Nắm được email: vantuyen.net@gmail.com sẽ nắm được toàn bộ hệ thống.

Xâm nhập vantuyen.net:

Do vantuyen, quanvan và mốt số site khác của đối tượng sử dụng chung một portal giống nhau, sau một thời gian thu thấp các thông tin xung quanh về đối tượng, hệ thống ip, máy chủ, quyết định chọn website vantuyen.net làm mục tiêu.

Vantuyen.net được host trên HostGator và server có hỗ trợ một dạng như mod security (chưa rõ là gì) khiến cho việc khai thác sql injection hay xss trở thành vô vọng. Hơn nữa có ban ip và chống ddos nên quét bằng Acunetix một lúc là bị chặn dẫn đến việc không thể xây dựng được cấu trúc cây thư mục. Quay sang Local Attack thì cần phải upload được shell lên server. Các website hàng xóm chủ yếu là html. May sao có 1 link shell trên server do GuYi cung cấp (chính xác là user và pass của một cpanel user). Sau khi có shell, tiến hành thử việc crack password cpanel của user vantuyen nhưng không thành công. Chắc chắn user này được đặt password đủ phức tạp.

Việc local diễn ra không dễ dàng như mong đợi. Mặc dù có thể symlink được, nhưng thực chất server chặn do đó chỉ xem kết quả được bằng cách view source file .shtml. Hơn nữa mặc dù local được file nhưng không local được thư mục do đó không xây dựng được cấu trúc cây thư mục. Qua việc view source file index.php rồi từ đó view source các file có liên quan trong source code thì cũng tìm được file config của hệ thống. Kết nối được database và kiểm soát dữ liệu. Có một hạn chế là chưa thể uplaod shell trực tiếp lên vantuyen.net được vì thư mục quản trị bị đổi tên. Mãi sau này mới biết tên là http://vantuyen.net/a12260http://vantuyen.net/a12260NO (không thể đoán được), chưa kể thư mục admin còn đặt thêm htaccess dù có đoán được đường dẫn đi nữa cũng không thể vào được (user vt12260, pass là vt122601). Về sau upload shell lên được trực tiếp văn tuyển bằng cách dày công đọc code ( đoán rằng do code tự viết nên kiểu gì cũng có lỗi, chính xác là thuê 1 đồng chí khác ở Việt Nam viết)

Qua google hacking và website bị lỗi directory index list ta nắm được thêm rất nhiều thông tin về cấu trúc thư mục của website. Tuy nhiên thông tin về folder quản trị lại không thể nắm được. Một kết quả quan trọng mà google hacking mang lại là chúng ta biết được tồn tại file: WS_FTP.LOG (là log FTP) trong tất cả các thư mục. Sau khi download file log FTP trên của thư mục gốc chúng ta biết được danh sách các file, folder mà đối tượng đã từng upload lên. Trong đó rất tiếc là không có thông tin về folder admin vì hacker sau đó đã đổi tên lại, việc đổi tên này không ghi trong log. Từ danh sách các file trên chúng ta download được 1 file .rar chứa mã nguồn của toàn bộ hệ thống, có ích trong việc đọc code và tìm lỗi sau này.
Sau một thời gian khai thác thông tin có được từ những kết quả điều tra trên vẫn bế tắc, quyết định phải upload shell lên server cho kỳ được nhằm thực hiện việc thay đổi file đăng nhập để chiếm password. Để làm được điều này, sau khi mày mò tìm trang quản trị không được, quyết định chuyển sang hướng đọc code để khai thác lỗi.

Các lỗi đã được duyệt qua gồm LFI, RFI, Upload, code injection, … nhưng cuối cùng chỉ có thể sử dụng được một lỗi LFI, do server có cấu hình security nên RFI không sử dụng được nếu không sẽ dễ hơn rất nhiều. Từ LFI ta cho inject một đoạn code upload ngắn rồi upload shell code lên. Từ đó nắm được hoàn toàn website. Rất tiếc là website được quản trị thông qua folder admin được xác thực bằng htaccess password. Phải sử dụng John and Ripper mới crack được. Password này lại không trùng với pass gmail.

Khai thác dữ liệu có được từ vantuyen.net

Chưa bao giờ việc điều tra lại mang lại nhiều dữ liệu về một đối tượng như lần này. Đầu tiên từ việc nắm được file config website vantuyen.net ta có được password đăng nhập cơ sở dữ liệu, một yahoo mail liên lạc của đối tượng là: vietpenclub2003@yahoo.de, password là PKVNpleiku (sau này ngẫm mai chỉ đoán mà pass là Phong Kiến Việt Nam).

Đăng nhập email trên cho chúng ta hàng ngàn bức thư gồm các loại sau đây: thư liên lạc để gửi bài phản động, thư quản lý hosting và domain của đối tượng. Đáng tiếc email này hacker đã không còn sử dụng nữa và mọi thông tin quan trọng đều chuyển sang email vantuyen.net@gmail.com, mọi thư gửi tới email này đều được trả lời yêu cầu gửi lại vào gmail. Cho nên chỉ có thể khẳng định, email này đã từng là một email rất quan trọng mà thôi.

Việc điều tra theo hướng khai thác thông tin có trong database không mang lại nhiều kết quả. Database chỉ có một bảng quan trọng là bảng user, có 8 member nhưng đều ở dạng inactive. Chỉ biết được tên, email và mật khẩu đã mã hóa bằng lệnh password của mysql. Đã cố gằng crack thử các password ở đây (bằng Cain) nhưng chỉ ra 3/8 password và các password này không thể sử dụng thêm trong các trường hợp khác.

Ngoài ra chúng ta cũng tìm được thông tin quan trọng khác của đối tượng là câu hỏi bí mật mà đối tượng thường xử dụng khi đăng ký username là: phuc (bạn thân nhất) và một nick yahoo mà đối tượng thường xuyên xử dụng để liên lạc là: moha_alim@yahoo.com

Việc điều tra trở nên bế tắc khi email tìm được có rất nhiều thư nhưng đều đã quá cũ, password cũng như domain registrant đã thay đổi. Sau này dù đã upload được shell lên website nhưng vẫn không lấy được password gmail.

Chiến đấu: Ngày 10/8

Bài học:

1. Cần phải chuẩn bị shell trên các share hosting bằng cách chạy sẵn các tool brute force hoặc tối thiểu là chuẩn bị sẵn tool để khi cần là crack password ngay được. Vẫn có rất nhiều người dùng đặt password mặc định.
2. Định dạng file .shtml là gì? Vai trò của nó trong việc local via symlink?
3. Cần sử dụng thông tin về ngày tháng năm sinh tốt hơn. Ở đây hacker là vantuyen đã sử dụng ngày tháng năm sinh vào trong cách đặt tên thư mục và password.
4. Cần phải tìm hiểu thêm về John and Ripper, khả năng crack pass shadow để tận dụng trong những trường hợp khác.

Còn đây là một số bằng chứng ghi lại chuyên án hack trang ddcnd.org:

hacker.pnglist_user.png

Tuy rằng chúng tôi chưa khẳng định được 100% đây là thông tin thực, nhưng nếu BKIS thực sự tham gia các dự án như thế này thì thật không còn gì để nói!

Nghe ca khúc mới: Anh là vầng dương Độc lập – Tự do

https://chhv.files.wordpress.com/2011/04/110404112430_cu_huy_ha_vu_466x350_cuhuyhavu_nocredit.jpg?w=640

Nghe bài hát “Cù Huy Hà Vũ – người trí thức kiên trung”

Nhạc và lời : Nguyễn Văn Chính(Nguyễn Chính)
Thể hiện : Nguyễn Văn Chính

This entry was posted in Bài vở liên quan and tagged . Bookmark the permalink.

Có 5 phản hồi tại Trung tâm An Ninh Mạng Bách Khoa (BKIS) huấn luyện Tổng Cục 5 (Bộ Công An) cách hack các trang web lề trái?

  1. hoa binh nói:

    Lần đầu tiên tôi đọc cái tin này ! Tôi thấy lạ lùng , chưa hiểu mô tê gì hết ? Không biết các anh chị trên đây là lề phải hay là lề ” nhân dân ‘ !
    Đọc thấy thích lắm nhưng chưa dám comment gì , chắc là còn sợ đây hhhiiii
    Chúc bà con an lành .

  2. ĐCSVN vô luân muôn năm nói:

    Tại sao comment tôi thông báo về BKAV-BKIS bị xóa ?
    Bác thông cảm. Link đến các tài liệu này không nên và không nhất thiết phải đăng trực tiếp trên trang CHHV.

  3. Chân lý nói:

    BKIS thực sự muốn trở thành chó săn tích cực cho côn đồ như vậy sao: “…Trong khi đó, ông Nguyễn Minh Đức (Giám đốc bộ phận An ninh mạng BKAV-Đại học Bách khoa Hà Nội) cho VnExpress.net hay, BKAV sẵn sàng vào cuộc truy tìm tung tích kẻ lên Facebook khoe tai nạn nếu cơ quan điều tra yêu cầu.” ???. Những bộ não được gọi là “siêu” của trung tâm an ninh mạng BKIS lại hèn hạ và rác rưởi như vậy à?!

  4. ỔNG THỐNG MỸ BARACK OBAMA : EMAIL, ĐIỆN THOẠI, BLOG, WEB : nói:

    TA NÓI TA NGHE MÃI SAO ??
    TA VIẾT TA ĐỌC MÃI SAO ??
    HÃY HỘI NHẬP – TÌM CÁCH ĐƯA VIỆT NAM RA THẾ GIỚI VÀ ĐƯA THẾ GIỚI VÀO VIỆT NAM !!
    HÃY ĐẤU TRANH TOÀN DIỆN TRÊN MỌI MẶT TRẬN VÌ TỰ DO DÂN CHỦ !!

    CÁC ĐỊA CHỈ CÓ THỂ CẦN :

    TỔNG THỐNG MỸ BARACK OBAMA VÀ TÒA BẠCH ỐC : EMAIL, ĐIỆN THOẠI, BLOG, WEB :
    http://www.emailthepresident.com/
    http://www.whitehouse.gov/contact

    BỘ TRƯỞNG BỘ NGOẠI GIAO MỸ HILLARY CLINTON :
    http://www.hillaryclinton.com/

    TỔNG THỐNG PHÁP NICOLAS SARKOZY : EMAIL, ĐIỆN THOẠI, WEB:
    http://www.elysee.fr/president/la-presidence/ecrire-au-president/adresser-vos-messages-a-nicolas-sarkozy.11220.html

    THỦ TƯỚNG ĐỨC ANGELA MERKEL: EMAIL, ĐIỆN THOẠI, BLOG, WEB:
    http://www.angela-merkel.de/page/145.htm
    http://www.cdu.de/kontakt/213.htm

    THỦ TƯỚNG ANH DAVID CAMERON : EMAIL, ĐIỆN THOẠI, BLOG, WEB:
    http://www.davidcameron.com/2007/06/contact-david-cameron.html
    http://www.number10.gov.uk/contact-us/

    BỘ NGOẠI GIAO MỸ, ANH, PHÁP, ĐỨC :
    http://contact-us.state.gov/app/ask/session/L3RpbWUvMTMyMjk2NDQ4OS9zaWQvd2dsM25JS2s%3D
    http://www.fco.gov.uk/en/global-issues/human-rights/
    http://www.diplomatie.gouv.fr/en/france-priorities_1/democracy-human-rights_1101/index.html
    https://www.auswaertiges-amt.de/EN/Service/Contact/contact_node.html?https=1

    CÁC ĐẠI SỨ QUÁN MỸ, ANH, PHÁP, ĐỨC TAI VIỆT NAM :
    http://vietnamese.vietnam.usembassy.gov/vi/contact-us.html
    http://ukinvietnam.fco.gov.uk/vi/about-us/our-embassy/contact-us
    http://www.ambafrance-vn.org/spip.php?article2954
    https://hanoi.diplo.de/Vertretung/hanoi/vi/Kontakt.html

    DANH SÁCH CÁC ĐẠI SỨ QUÁN NƯỚC NGOÀI KHÁC Ở VN VÀ ĐẠI SỨ QUÁN VN Ở NƯỚC NGOÀI:
    http://lanhsuvietnam.gov.vn/default.aspx

    CÁC ĐÀI PHÁT THANH QUỐC TẾ :
    Đài tiếng nói Hoa Kỳ VOA : http://www.voanews.com/vietnamese/news/
    Đài BBC : http://www.bbc.co.uk/vietnamese/vietnam/
    Đài nước Pháp toàn cầu RFI : http://www.viet.rfi.fr/
    Đài Á châu tự do RFA : http://www.rfa.org/vietnamese/

    CÁC TỔ CHỨC NHÂN QUYỀN QUỐC TẾ :
    HRW : http://www.hrw.org/en
    FIDH : http://www.fidh.org/-Vietnam,234-
    CAO ỦY LIÊN HIỆP QUỐC : http://www.un.org/en/rights/
    http://www.ohchr.org/EN/AboutUs/Pages/ContactUs.aspx

    CHÍNH PHỦ MỸ : http://www.state.gov/g/drl/hr/index.htm

    DANH SÁCH NHIỀU TỔ CHỨC NHÂN QUYỀN KHÁC:
    http://www.hrweb.org/resource.html#HROrganizations
    http://dir.yahoo.com/society_and_culture/issues_and_causes/human_rights/organizations/
    http://www.vietnamhumanrights.net/viet/links.htm

    CẦM QUYỀN ĐỘC TÀI VN :

    ĐẢNG CSVN: http://dangcongsan.vn/cpv/
    CHÍNH PHỦ VN: http://www.chinhphu.vn/cttdtcp/
    VĂN P CHÍNH PHỦ: http://www.chinhphu.vn/portal/page?_pageid=33,2408565&_dad=portal&_schema=PORTAL
    QUỐC HỘI VN: http://www.na.gov.vn/htx/Vietnamese/#dC6cq8kE089C
    BỘ NGOẠI GIAO VN:http://mienthithucvk.mofa.gov.vn/Trangch%E1%BB%A7/tabid/54/Default.aspx
    BỘ NỘI VỤ VN: http://moha.gov.vn/Plus.aspx/vi/1/0/
    BỘ CÔNG AN VN: http://www.mps.gov.vn/web/guest/home
    CÔNG AN VN: http://www.cand.com.vn/
    BỘ TƯ PHÁP VN: http://moj.gov.vn/Pages/home.aspx
    QUÂN ĐỘI VN: http://www.qdnd.vn/qdndsite/vi-VN/43/Default.aspx

  5. BKIS TRỢ GIÚP CÔNG AN VIỆT NAM nói:

    Lược trích: “…Trong khi đó, ông Nguyễn Minh Đức (Giám đốc bộ phận An ninh mạng BKAV-Đại học Bách khoa Hà Nội) cho VnExpress.net hay, BKAV sẵn sàng vào cuộc truy tìm tung tích kẻ lên Facebook khoe tai nạn nếu cơ quan điều tra yêu cầu.
    Theo ông Đức, an ninh mạng từng vào cuộc trợ giúp một số đơn vị công an tìm ra thủ phạm tung tin thất thiệt trên mạng, hay những kẻ phát tán văn hóa phẩm không lành mạnh…
    Ông cho biết, tất cả hành động trên mạng đều được ghi lại dấu vết trên các hệ thống mạng khác nhau. Các nhà cung cấp dịch vụ lưu lại các thông tin liên quan đến tài khoản, máy tính truy cập vào các tài khoản, thời gian đăng nhập… Như vậy, các vụ án trong thế giới mạng “chỉ cần dựa vào các tài khoản trên web, có thể dò tìm ra nguồn gốc phát tán thông tin trên mạng và xác định được người đó là ai”…”

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s