Ở gói tin 1st, do hacker đưa lên thì hacker cho thông tin gì vào chả đc, sao thông tin liên quan đến CMC, Conmale vào thì cho là sai? 

- Tóm lại là không tin được các dữ liệu này vì đã qua tay hacker, đã có chỉnh sửa. STL đã gắp lửa bỏ tay người, và cả 3 ông BKIS, CMC, HVA-Postmodernism đều là nạn nhân.  

- Tóm lại là không tin được các dữ liệu này vì đã qua tay hacker, đã có chỉnh sửa. STL đã gắp lửa bỏ tay người, và cả 3 ông BKIS, CMC, HVA-Postmodernism đều là nạn nhân.

- Thông tin về hack trong file 1st.rar không có gì để căn cứ là của BKIS. Thông tin về hack thì STL có đầy, gói dữ liệu này là do STL đã cố tình đưa lẫn vào những dữ liệu thông thường lấy được từ BKIS (kèm mấy file APCERT để cho nó có vẻ thật)

- Việc BKIS đào tạo cho các bên Công An đã được public từ lâu http://www.bkav.com.vn/ho_tro_khach_hang/-/view_content/content/be-giang-lop-hoc-chuyen-vien-an-ninh-mang-bcse-cho-c15). BKIS là trung tâm nghiên cứu của Trường đại học, việc có các khóa đào tạo là bình thường. Giáo trình đào tạo chương trình này cũng được public:

Nguồn: http://bkna.com.vn/home/default.aspx?noidung=GioiThieuBCSE

Một số ví dụ trong chương trình:
Case-study: Các hình thức tấn công mạng phổ biến
Case-study 2: Kiểm tra lỗi SQL Injection và biện pháp khắc phục
Chương 1: Remote Access Security (Truy cập từ xa và các vấn đề an ninh)
Chương 2: Web Security
Chương 3: Email Security
Chương 4: Buffer Overflow (Tràn bộ đệm)
Case-study 1: Thiết lập hệ thống email an toàn, bảo mật
Case-study 2: Kiểm tra lỗi SQL Injection và biện pháp khắc phục

Những nội dung này trung tâm đào tạo an ninh mạng nào cũng sẽ có nội dung đào tạo tương tự. Ví dụ đào tạo CHE

Module 08: Sniffers
Module 09: Social Engineering
Module 10: Denial of Service
Module 11: Session Hijacking
Module 12: Hacking Webservers
Module 13: Hacking Web Applications
Module 14: SQL Injection

Nguồn: http://www.eccouncil.org/courses/certified_ethical_hacker.aspx

Nhìn lại thì thấy trong gói 1st.rar, đúng là chỉ có APCERT là thông tin của BKIS, nhưng thông tin này lại đã được public http://xahoithongtin.com.vn/20090306022322668p0c206/bkis-canh-bao-hien-tuong-phan-mem-diet-virus-lam-hong-windows.htm).
Các dữ liệu hack trong thư mục còn lại không có gì cho thấy liên quan đến BKIS. Dữ liệu hack này là của STL đưa vào cùng với các dữ liệu liên quan CMC, HVA để gắp lửa bỏ tay người cho cả BKIS, CMC, HVA.
 

Chưa gì thấy anh bạn Flicker675 bị cái tật vồ đại

- Tóm lại là không tin được các dữ liệu này vì đã qua tay hacker, đã có chỉnh sửa. STL đã gắp lửa bỏ tay người, và cả 3 ông BKIS, CMC, HVA-Postmodernism đều là nạn nhân.  

Anh bạn này phán cứ như đúng.
Đừng đổ lửa cho người tham gia vào topic.  

- Tóm lại là không tin được các dữ liệu này vì đã qua tay hacker, đã có chỉnh sửa. STL đã gắp lửa bỏ tay người, và cả 3 ông BKIS, CMC, HVA-Postmodernism đều là nạn nhân.

- Thông tin về hack trong file 1st.rar không có gì để căn cứ là của BKIS. Thông tin về hack thì STL có đầy, gói dữ liệu này là do STL đã cố tình đưa lẫn vào những dữ liệu thông thường lấy được từ BKIS (kèm mấy file APCERT để cho nó có vẻ thật)

Các dữ liệu hack trong thư mục còn lại không có gì cho thấy liên quan đến BKIS. Dữ liệu hack này là của STL đưa vào cùng với các dữ liệu liên quan CMC, HVA để gắp lửa bỏ tay người cho cả BKIS, CMC, HVA.
 

- Mọi sự việc đều gắn kết với nhau một cách hết sức chặt chẽ và nếu biết sâu chuỗi ta hoàn toàn có thể đưa ra được câu trả lời cho mọi câu hỏi trong topic này.

- Mọi người đều đang đi đúng hướng theo cách mà hacker muốn, đồng nghĩa với việc không thể nhận ra được chân tướng của sự việc, danh tính cũng như mục đích của hacker.

- Có thể trong post đầu tiên của mình ở topic này có sự nhầm lẫn đôi chút về mối quan hệ giữa hacker "lịch thiệp" và anonymous VN (vẫn chưa thể khẳng định chắc chắn là nhận định của mình sai) nhưng đến giờ mọi việc đã trở rõ ràng hơn rất nhiều nếu không muốn nói là rõ như ban ngày theo góc nhìn của mình. Cái quan trọng nhất vẫn là xác định mục đích cũng như khoanh vùng đối tượng, nhưng mình chưa trình bày ở đây vì mình thấy chưa có nhiều người quan tâm. Anh PXMMRF trong các bài viết có ý muốn tìm hiểu sự việc theo góc độ này, nhưng anh conmale thì chưa và mình vẫn đang chờ động thái của anh.

- Những thông tin trong 1st.rar, 2nd.rar và 3nd.rar hầu hết đều là thật, ngoại trừ một số sửa đổi chỉ nhằm mục đích làm nhiễu sóng hòng đánh lạc hướng điều tra của hacker.

- Hacker deface trang webscan có thể không phải là anonymous VN nhưng anonymous VN và Mrs. Anonymous là một và là một người chứ không phải một "nhóm" người.

Và cuối cùng: đây không phải là một bài chém gió. Mình có những phân tích cụ thể nhưng bây giờ chưa phải là thời điểm thích hợp để công bố, tuy nhiên "Mọi con đường đều dẫn đến thành Rome".

@ m3onhox84: BKAV không lấn quyền, công việc điều tra của C50. Việc điều tra không phải của riêng C50, rất nhiều người trong chúng ta ở đây cũng đang làm công việc đìeu tra đấy thôi. Trả lời cho câu hỏi "nếu vậy thì còn cần C50 làm gì nữa?": BKAV có quyền điều tra, cũng như mọi người chúng ta ở đây đều có quyền đó. Nhưng khi điều tra đã có kết quả thì để tiến hành xử lý, thực thi pháp luật vẫn cần một cơ quan có thẩm quyền. Ở đây là C50 nói riêng và cơ qua công an nói chung.

@ anh PXMMRF: Không phải có 4 hay 5 con chim bị thương đâu, thật ra chỉ có hai và thêm những nạn nhân vô tội là người dùng BKAV. CMC và HVA không phải là đích ngắm của hacker. Những thông tin liên quan đến CMC và HVA cụ thể là Post... chỉ nhằm làm nhiễu sóng chứ không đạt được một hiệu quả gì khác. 

To bolzano_1989

bạn có thể lý giải những thắc mắc của mình ở trong trước không ?

/hvaonline/posts/list/1920/41193.html#258357 

 

bolzano_1989 wrote:

Với file ở địa chỉ sau:
1st\4. underground team\Dieu tra PA Viet Nam\Folder\5.png


Anh chị em chú ý thời điểm Wednesday, ‎August ‎13, ‎2008, ‏‎1:37:31 AM ở hình trên với thời điểm 8/13/2008 12:57:54 PM ở hình sau (trên máy tính một cậu script kiddie) sẽ rõ :


Về forensics file Thumbs.db, anh em HVA có thể dùng Linux hay Cygwin cài Vinetto mà kiểm tra:
http://sourceforge.net/projects/vinetto/

 

Xin phép chỉ quote cái này thôi vì tôi nhìn 2 cái hình thấy hơi thắc mắc . Khi nhìn hình 2 ta thấy thời gian kết cuối đoạn chat bị chụp là 12h57 PM, đồng hồ chỉ 1h34 PM như vậy ta có thể đoán hình chụp lúc 1h34PM .Vậy con keylog/bot/trojan/malware mà bạn cho rằng đã được cài vào máy của anh script kiddie kia đã tự động đợi đến 1h34Pm mở archive của mesenger của nạn nhân lên ,duyệt đến cái nick chat của hieuthien rồi chụp màn hình ?Như vậy từ 2008 đã xuất hiện loại mã độc có khả năng tư duy logic ,nhận định lúc 1h34PM không có ai ngồi trước màn hình để mở archive yahoo lên rồi chụp đúng cái đoạn chat quan trọng đó ?
Tiếp nữa , nếu tôi không nhầm thì August tức là tháng 8 như vậy cái hình chụp lúc 1h34PM 13/8/2008 lại được sửa lúc Wednesday, ‎August ‎13, ‎2008, ‏‎1:37:31 AM ? Sao lại thế ? 

Bó tay thiệt rồi, ngày ảnh được chụp làm bằng chứng kết tội mấy cậu script kiddies ngay trên máy các cậu ấy trùng với ngày mấy cậu ấy đang chat, thời điểm Bkis chụp ảnh ngay trên máy tính mấy cậu này để làm chứng cứ kết tội họ là sau khi các cậu script kiddies này vừa chat xong được đôi chút .
Mấy cậu này lo hack cho lắm vào rồi, rốt cuộc lại bị những kẻ bất lương "hack" lại, tắm trắng. 

Đọc hết mấy trang cuối mà đã mệt, nhưng rút cục lại là sự thật là như thế nào? dữ liệu được phân tích, forensic xong thì cũng không đáng tin cậy vì toàn từ các món quà mà ra, mà như nhận định thì của hacker (đám stl).

Vậy 1 dữ liệu thì không rút ra được gì, vì hoàn toàn có thể đã bị dàn dựng. Vậy phải xâu chuỗi lại các dữ liệu, thông tin để tìm ra sự thật. Nhưng có vẻ việc này là bất khả thi, khi mà toàn bộ dữ liệu đầu vào đã không được chứng minh là dữ liệu origin, chưa bị chỉnh sửa.
 

<cảm nhận cá nhân>
Đọc cái thông báo lần này thấy có vẻ như người viết bài trên bkavop.blogspot.com có tham gia vào các diễn đàn trên mạng. Và chắc chắn người đó đã từng viết *nhiều* bài viết trên HVA. Hoặc là người viết ấy cố tình viết theo văn phong như vậy để đánh lạc hướng vào người này trên HVA.
Trong trí nhớ mang máng của em hình như cũng đã từng gặp người này trên ddth ở 1 thread tranh luận về danh tính của 1 người
</cảm nhận cá nhân> 

- Mọi sự việc đều gắn kết với nhau một cách hết sức chặt chẽ và nếu biết sâu chuỗi ta hoàn toàn có thể đưa ra được câu trả lời cho mọi câu hỏi trong topic này.

- Mọi người đều đang đi đúng hướng theo cách mà hacker muốn, đồng nghĩa với việc không thể nhận ra được chân tướng của sự việc, danh tính cũng như mục đích của hacker.

- Có thể trong post đầu tiên của mình ở topic này có sự nhầm lẫn đôi chút về mối quan hệ giữa hacker "lịch thiệp" và anonymous VN (vẫn chưa thể khẳng định chắc chắn là nhận định của mình sai) nhưng đến giờ mọi việc đã trở nên rõ ràng hơn rất nhiều nếu không muốn nói là rõ như ban ngày theo góc nhìn của mình. Cái quan trọng nhất vẫn là xác định mục đích cũng như khoanh vùng đối tượng, nhưng mình chưa trình bày ở đây vì mình thấy chưa có nhiều người quan tâm. Anh PXMMRF trong các bài viết có ý muốn tìm hiểu sự việc theo góc độ này, nhưng anh conmale thì chưa và mình vẫn đang chờ động thái của anh.

- Những thông tin trong 1st.rar, 2nd.rar và 3nd.rar hầu hết đều là thật, ngoại trừ một số sửa đổi chỉ nhằm mục đích làm nhiễu sóng hòng đánh lạc hướng điều tra của hacker.

- Hacker deface trang webscan có thể không phải là anonymous VN nhưng anonymous VN và Mrs. Anonymous là một và là một người chứ không phải một "nhóm" người.

Và cuối cùng: đây không phải là một bài chém gió. Mình có những phân tích cụ thể nhưng bây giờ chưa phải là thời điểm thích hợp để công bố, tuy nhiên "Mọi con đường đều dẫn đến thành Rome".

@ m3onhox84: BKAV không lấn quyền, công việc điều tra của C50. Việc điều tra không phải của riêng C50, rất nhiều người trong chúng ta ở đây cũng đang làm công việc đìeu tra đấy thôi. Trả lời cho câu hỏi "nếu vậy thì còn cần C50 làm gì nữa?": BKAV có quyền điều tra, cũng như mọi người chúng ta ở đây đều có quyền đó. Nhưng khi điều tra đã có kết quả thì để tiến hành xử lý, thực thi pháp luật vẫn cần một cơ quan có thẩm quyền. Ở đây là C50 nói riêng và cơ qua công an nói chung.

@ anh PXMMRF: Không phải có 4 hay 5 con chim bị thương đâu, thật ra chỉ có hai và thêm những nạn nhân vô tội là người dùng BKAV. CMC và HVA không phải là đích ngắm của hacker. Những thông tin liên quan đến CMC và HVA cụ thể là Post... chỉ nhằm làm nhiễu sóng chứ không đạt được một hiệu quả gì khác. 

karkar wrote:

To bolzano_1989

bạn có thể lý giải những thắc mắc của mình ở trong trước không ?

/hvaonline/posts/list/1920/41193.html#258357 

 

karkar wrote:

bolzano_1989 wrote:

Với file ở địa chỉ sau:
1st\4. underground team\Dieu tra PA Viet Nam\Folder\5.png



Anh chị em chú ý thời điểm Wednesday, ‎August ‎13, ‎2008, ‏‎1:37:31 AM ở hình trên với thời điểm 8/13/2008 12:57:54 PM ở hình sau (trên máy tính một cậu script kiddie) sẽ rõ :



Về forensics file Thumbs.db, anh em HVA có thể dùng Linux hay Cygwin cài Vinetto mà kiểm tra:
http://sourceforge.net/projects/vinetto/

 

Xin phép chỉ quote cái này thôi vì tôi nhìn 2 cái hình thấy hơi thắc mắc . Khi nhìn hình 2 ta thấy thời gian kết cuối đoạn chat bị chụp là 12h57 PM, đồng hồ chỉ 1h34 PM như vậy ta có thể đoán hình chụp lúc 1h34PM .Vậy con keylog/bot/trojan/malware mà bạn cho rằng đã được cài vào máy của anh script kiddie kia đã tự động đợi đến 1h34Pm mở archive của mesenger của nạn nhân lên ,duyệt đến cái nick chat của hieuthien rồi chụp màn hình ?Như vậy từ 2008 đã xuất hiện loại mã độc có khả năng tư duy logic ,nhận định lúc 1h34PM không có ai ngồi trước màn hình để mở archive yahoo lên rồi chụp đúng cái đoạn chat quan trọng đó ?
Tiếp nữa , nếu tôi không nhầm thì August tức là tháng 8 như vậy cái hình chụp lúc 1h34PM 13/8/2008 lại được sửa lúc Wednesday, ‎August ‎13, ‎2008, ‏‎1:37:31 AM ? Sao lại thế ? 

Bạn chú ý, tôi đã ghi rõ là mấy cậu script kiddie này lo hack cho lắm vào rồi, rốt cuộc lại bị những kẻ bất lương "hack" lại, tắm trắng. Việc "hack" lại ở đây có thể được thực hiện qua nhiều con đường (social engineering, trojan,...). Bạn vui lòng trích dẫn đầy đủ những gì tôi viết, tránh để bạn đọc hiểu lầm:

Bó tay thiệt rồi, ngày ảnh được chụp làm bằng chứng kết tội mấy cậu script kiddies ngay trên máy các cậu ấy trùng với ngày mấy cậu ấy đang chat, thời điểm Bkis chụp ảnh ngay trên máy tính mấy cậu này để làm chứng cứ kết tội họ là sau khi các cậu script kiddies này vừa chat xong được đôi chút .
Mấy cậu này lo hack cho lắm vào rồi, rốt cuộc lại bị những kẻ bất lương "hack" lại, tắm trắng. 

Xét theo hướng trojan mà karkar đề cập (đây là một khả năng có thể xảy ra nhưng tôi không khẳng định việc này đã xảy ra):
Khi máy tính đã bị nhiễm trojan và chủ nhân máy tính là đối tượng của một targeted attack thì bất cứ chuyện gì đều có thể xảy ra, trojan hoàn toàn có thể ghi lại video toàn bộ màn hình (screen record) rồi gửi đến cho những kẻ bất lương, lúc này chỉ việc chụp ảnh lại từ video là có chứng cớ như hình. Một cách khác là trojan đều đặn chụp ảnh màn hình ở máy tính cậu script kiddie sau mỗi giây hoặc 1/2 giây và gửi về cho những kẻ bất lương. Cậu script kiddie chỉ cần dò xem lại Message Archive của Yahoo Messenger, thế là bị dính. 

Cái này đơn giản là lấy được pass của nick yahoo đó và login, mở archive lên rồi chụp lại thôi. 

- Khả năng như bạn trên kia nói điều khiển máy từ xa thì khó khả thi.
- Bạn bolzano_1989 nói send dạng video về cũng ko phù hợp lắm ^^
 

chúng tôi nhận thấy nhóm mạo danh "anonymous" đã xen lẫn những thông tin có thật và nguỵ tạo nhằm gây nhiễu thông tin và đánh lạc hướng dư luận. 

Trong HVA-đại diện cho cộng đồng IT bàn về vấn đề này đã xuất hiện một số "thành phần tinh vi" muốn đưa dư luận theo 1 hướng khác-đó là hướng mũi dùi vào Anonymous VN-được xem là đang định cư ở nước ngoài để che dấu cuộc xung đột không đáng tự hào gì của nền IT Việt Nam. Và đây cũng là 1 trong những nguyên nhân khiến doremon cho rằng: việc lên tiếng-mặc dù không có bằng chứng của Anonymous VN là cần thiết
 

Cái này đơn giản là lấy được pass của nick yahoo đó và login, mở archive lên rồi chụp lại thôi.
- Khả năng như bạn trên kia nói điều khiển máy từ xa thì khó khả thi.
- Bạn bolzano_1989 nói send dạng video về cũng ko phù hợp lắm ^^ 

lenon wrote:

Cái này đơn giản là lấy được pass của nick yahoo đó và login, mở archive lên rồi chụp lại thôi.
- Khả năng như bạn trên kia nói điều khiển máy từ xa thì khó khả thi.
- Bạn bolzano_1989 nói send dạng video về cũng ko phù hợp lắm ^^ 

Tôi cho cậu pass và cậu lấy log của tôi nhé? chỉ dùng archive! Vì tôi biết còn 1 thứ rất nguy hiểm ở yahoo mà nó cũng lưu lại tất tần tật mọi thứ... Vì theo hình đó là archive nên tôi sẵn sàng cho bạn yahoo để bạn lấy log từ archive của tôi nhé!!!! 

lenon wrote:

Cái này đơn giản là lấy được pass của nick yahoo đó và login, mở archive lên rồi chụp lại thôi.
- Khả năng như bạn trên kia nói điều khiển máy từ xa thì khó khả thi.
- Bạn bolzano_1989 nói send dạng video về cũng ko phù hợp lắm ^^ 

Tôi cho cậu pass và cậu lấy log của tôi nhé? chỉ dùng archive! Vì tôi biết còn 1 thứ rất nguy hiểm ở yahoo mà nó cũng lưu lại tất tần tật mọi thứ... Vì theo hình đó là archive nên tôi sẵn sàng cho bạn yahoo để bạn lấy log từ archive của tôi nhé!!!! 

- Có thể trong post đầu tiên của mình ở topic này có sự nhầm lẫn đôi chút về mối quan hệ giữa hacker "lịch thiệp" và anonymous VN (vẫn chưa thể khẳng định chắc chắn là nhận định của mình sai) nhưng đến giờ mọi việc đã trở nên rõ ràng hơn rất nhiều nếu không muốn nói là rõ như ban ngày theo góc nhìn của mình. Cái quan trọng nhất vẫn là xác định mục đích cũng như khoanh vùng đối tượng, nhưng mình chưa trình bày ở đây vì mình thấy chưa có nhiều người quan tâm. Anh PXMMRF trong các bài viết có ý muốn tìm hiểu sự việc theo góc độ này, nhưng anh conmale thì chưa và mình vẫn đang chờ động thái của anh.

- Những thông tin trong 1st.rar, 2nd.rar và 3nd.rar hầu hết đều là thật, ngoại trừ một số sửa đổi chỉ nhằm mục đích làm nhiễu sóng hòng đánh lạc hướng điều tra của hacker.

- Hacker deface trang webscan có thể không phải là anonymous VN nhưng anonymous VN và Mrs. Anonymous là một và là một người chứ không phải một "nhóm" người.

 

- Tóm lại là không tin được các dữ liệu này vì đã qua tay hacker, đã có chỉnh sửa. STL đã gắp lửa bỏ tay người, và cả 3 ông BKIS, CMC, HVA-Postmodernism đều là nạn nhân.
..........................
.........................
Các dữ liệu hack trong thư mục còn lại không có gì cho thấy liên quan đến BKIS. Dữ liệu hack này là của STL đưa vào cùng với các dữ liệu liên quan CMC, HVA để gắp lửa bỏ tay người cho cả BKIS, CMC, HVA.
 

Tất nhiên trước đó cậu đã kích hoạt lưu lịch sử chat + không clear log ^^.
Mình chỉ đơn giản hoá việc có được bức ảnh đó thôi, còn về mặt sau xa chứng minh được thì chịu
 

Còn về Archive: tất cả nội dung chat sẽ được lưu vào trong file .dat, được chứa trong từng profile của từng nick mà bạn đã chat, nhưng với điều kiện bạn phải bật tính năng archive, và file này có thể decode
 

TQN wrote:

2 cậu haquang225: sao tự nhiên trên máy tui nó, file BKIS Employess.xls không ra Postxxx gì đó mà giờ nó lại ra thế này:

Mấy sứ giả chị thiến chỉ giáo giúp em cái. Chắc đã biết dùng WinHex thì sữa được phải không haquang225, chỉ em đi !

2 quygia: pass đó không đúng em ơi, tui không mở được file .rar đó. 

Anh TQN để ý thêm là Offset trường đó không phải cố định ở 0x62B đâu nhé, file khác nhau Offset khác nhau đấy. Khả năng sửa là rất thấp.