Cho rằng (các phiên bản đưa ra ở đây hoàn toàn là ngẫu nhiên): trang web ấy chạy trên hệ điều hành Windows 2003, sử dụng IIS làm reverse proxy, Apache phiên bản 2.2.15, PHP phiên bản 5.3, sử dụng software thương mại là vBulletin có phiên bản 4.1.5 và cơ sở dữ liệu là mysql phiên bản 5.1. Tất cả các dịch vụ đều chạy trên cùng một máy chủ (dedicated server) và được firewall của ISP bảo vệ. Vui lòng khai triển ở góc độ "forensics" để từ đó mới có thể đưa đến biện pháp.  

- Liên hệ với các cơ quan chức năng có thẩm quyền để "rộng" đường trong việc điều tra  

Chưa thấy bạn nào đề cập đến việc "làm việc các đơn vị chức năng có liên quan" như "Trung tâm an ninh mạng", "Lực lượng cảnh sát phòng chống tội pham công nghệ cao" nhỉ smilie  

comale wrote:

Cho rằng (các phiên bản đưa ra ở đây hoàn toàn là ngẫu nhiên): trang web ấy chạy trên hệ điều hành Windows 2003, sử dụng IIS làm reverse proxy, Apache phiên bản 2.2.15, PHP phiên bản 5.3, sử dụng software thương mại là vBulletin có phiên bản 4.1.5 và cơ sở dữ liệu là mysql phiên bản 5.1. Tất cả các dịch vụ đều chạy trên cùng một máy chủ (dedicated server) và được firewall của ISP bảo vệ. Vui lòng khai triển ở góc độ "forensics" để từ đó mới có thể đưa đến biện pháp.  

Theo em thấy thì website đã bị hack thì uy tín đã sứt mẻ rồi, việc còn lại là làm sao để không sứt mẻ thêm và phục hồi nó. Dưới "góc độ forensic" thì việc tối quan trọng là tìm ra lỗ hổng và vá lỗi kịp thời. Nhưng cái khó ở đây là vừa tìm được lỗ hổng vừa phải đảm bảo việc làm ăn vẫn thuận lợi, đối với 1 công ty lớn chỉ cần đặt server offline 1p có thể thiệt hại nhiều tỉ đồng. Do đó cái một chiến lược tốt sẽ là một chiến lược "nhanh" mà vẫn "chắc". Ngoài những thứ các bạn khác đã nói ở trên thì mình xin bổ xung theo quan điểm của mình: 1) Luôn có 1 máy chủ dự phòng và thiết lập ở chế độ DEBUG mode và SAFE mode (disable các tính năng không cần thiết). Khi bị hack lập tức switch qua máy chủ này và lưu lại toàn bộ traffic vào ra để điều tra nếu hacker có ý quay lại. 2) Trong lúc đó khoanh vùng các application có khả năng bị lỗi cao. Cái này tùy thuộc nhiều vào dấu hiệu bị hack mà attacker để lại. (qua access log, event log của window, thời gian loggin, ip loggin). Ví dụ: Nếu bị hack vào database thì khả năng cao là : - sql injection trong vbulletin forums, các pluggin, app v.v.. - lỗi 0-day mysql server Nếu bị deface / upload file lạ trên hệ thống: - xem khả năng bị chiếm quyền root của server vì các ứng dụng webserver, php có lỗi 0-day - khả năng admin bị cài virus và mất mật khẩu - khả năng webserver bị lỗi cho upload file hay thay đổi file 3) Cùng lúc chạy các ứng dụng tìm rootkit kết hợp audit manually các file bị thay đổi trong hệ thống trong khoảng thời gian bị tấn công. 4) Sửa lỗi và thông báo cho các cơ quan chức năng, đặc biệt quan trọng theo mình là phải luôn trung thực, cầu tiến và bình tĩnh trong phát ngôn với các tổ chức bên ngoài.  

Có điểm này mình chưa thấy có bạn nào trình bày đó là việc xác thực log trước khi tiến hành mang nó đi phân tích. Đây có lẽ là một bước bình thường với những bạn quen việc phân tích log nhưng cũng có rất nhiều bạn quên làm bước này. Thực ra theo mình đây là một bước rất quan trọng, vì thường thì nếu attacker đã owned system thì sẽ xáo trộn log để xoá dấu vết hoặc là đánh lạc hướng điều tra, gây rắc và khó khăn trong việc điều tra. Kinh nghiệm bản thân là nếu xác định hoặc có dấu hiệu system bị owned thì không nên tin 100% vào log. 

comale wrote:

Cho rằng (các phiên bản đưa ra ở đây hoàn toàn là ngẫu nhiên): trang web ấy chạy trên hệ điều hành Windows 2003, sử dụng IIS làm reverse proxy, Apache phiên bản 2.2.15, PHP phiên bản 5.3, sử dụng software thương mại là vBulletin có phiên bản 4.1.5 và cơ sở dữ liệu là mysql phiên bản 5.1. Tất cả các dịch vụ đều chạy trên cùng một máy chủ (dedicated server) và được firewall của ISP bảo vệ. Vui lòng khai triển ở góc độ "forensics" để từ đó mới có thể đưa đến biện pháp.  

Theo em thấy thì website đã bị hack thì uy tín đã sứt mẻ rồi, việc còn lại là làm sao để không sứt mẻ thêm và phục hồi nó. Dưới "góc độ forensic" thì việc tối quan trọng là tìm ra lỗ hổng và vá lỗi kịp thời. Nhưng cái khó ở đây là vừa tìm được lỗ hổng vừa phải đảm bảo việc làm ăn vẫn thuận lợi, đối với 1 công ty lớn chỉ cần đặt server offline 1p có thể thiệt hại nhiều tỉ đồng. Do đó cái một chiến lược tốt sẽ là một chiến lược "nhanh" mà vẫn "chắc". Ngoài những thứ các bạn khác đã nói ở trên thì mình xin bổ xung theo quan điểm của mình: 1) Luôn có 1 máy chủ dự phòng và thiết lập ở chế độ DEBUG mode và SAFE mode (disable các tính năng không cần thiết). Khi bị hack lập tức switch qua máy chủ này và lưu lại toàn bộ traffic vào ra để điều tra nếu hacker có ý quay lại. 2) Trong lúc đó khoanh vùng các application có khả năng bị lỗi cao. Cái này tùy thuộc nhiều vào dấu hiệu bị hack mà attacker để lại. (qua access log, event log của window, thời gian loggin, ip loggin). Ví dụ: Nếu bị hack vào database thì khả năng cao là : - sql injection trong vbulletin forums, các pluggin, app v.v.. - lỗi 0-day mysql server Nếu bị deface / upload file lạ trên hệ thống: - xem khả năng bị chiếm quyền root của server vì các ứng dụng webserver, php có lỗi 0-day - khả năng admin bị cài virus và mất mật khẩu - khả năng webserver bị lỗi cho upload file hay thay đổi file 3) Cùng lúc chạy các ứng dụng tìm rootkit kết hợp audit manually các file bị thay đổi trong hệ thống trong khoảng thời gian bị tấn công. 4) Sửa lỗi và thông báo cho các cơ quan chức năng, đặc biệt quan trọng theo mình là phải luôn trung thực, cầu tiến và bình tĩnh trong phát ngôn với các tổ chức bên ngoài.  

Vui lòng khai triển ở góc độ "forensics" để từ đó mới có thể đưa đến biện pháp. Mời các bạn tham gia. 

Do hạn chế về trình độ, nên nếu là mình thì mình sẽ rút điện Server và gọi cho C50 nhờ vả 

a. Một máy chủ có nhiều dịch vụ. b. Máy chủ ấy được ISP bảo vệ. c. Phiên bản của của hệ điều hành và các dịch vụ.  

- Xác nhận thời điểm tấn công gần đúng qua file log smilie Riêng chuyện file log có thể bị làm giả, mất tính toàn vẹn thì em cũng chưa biết sẽ xử lý thế nào ?  

- Quản lí log tập trung, log dữ liệu không trực tiếp lưu trên máy chạy dịch vụ đó mà mỗi record trong quá trình ghi nhân sẽ được đẩy qua Log Centralize. - Tuy nhiên nếu Attacker hoàn toàn có thể làm sai log (đầu độc, gây nhiễu, v.v...) trước khi quá trình đẩy log từ máy chủ dịch vụ đến máy chủ lưu trữ log. Đối với vấn đề này, thì mình vẫn chưa có giải pháp nào, mời mọi người cho ý kiến  

- Xác nhận thời điểm tấn công gần đúng qua file log smilie Riêng chuyện file log có thể bị làm giả, mất tính toàn vẹn thì em cũng chưa biết sẽ xử lý thế nào ?  

- Quản lí log tập trung, log dữ liệu không trực tiếp lưu trên máy chạy dịch vụ đó mà mỗi record trong quá trình ghi nhân sẽ được đẩy qua Log Centralize. - Tuy nhiên nếu Attacker hoàn toàn có thể làm sai log (đầu độc, gây nhiễu, v.v...) trước khi quá trình đẩy log từ máy chủ dịch vụ đến máy chủ lưu trữ log. Đối với vấn đề này, thì mình vẫn chưa có giải pháp nào, mời mọi người cho ý kiến  

a. Một máy chủ có nhiều dịch vụ. b. Máy chủ ấy được ISP bảo vệ. c. Phiên bản của của hệ điều hành và các dịch vụ.  

Với một website đang beta như webscan, người ta chủ yếu theo dõi các chỉ số truy cập, seo, phản hồi người dùng...chứ không phải lúc nào cũng lùng sục lên code đâu bạn ạ.  

vikjava wrote:

a. Một máy chủ có nhiều dịch vụ. b. Máy chủ ấy được ISP bảo vệ. c. Phiên bản của của hệ điều hành và các dịch vụ.  

Ở góc độ forensics, 3 điểm trên chính là biên độ điều tra (ngôn ngữ chuyên ngành còn gọi là perimeters). ....  

conmale wrote:

vikjava wrote:

a. Một máy chủ có nhiều dịch vụ. b. Máy chủ ấy được ISP bảo vệ. c. Phiên bản của của hệ điều hành và các dịch vụ.  

Ở góc độ forensics, 3 điểm trên chính là biên độ điều tra (ngôn ngữ chuyên ngành còn gọi là perimeters). ....  

Nếu bài này là đáp án thì ở case study này thì tất cả đều trượt à anh :(  

Với 1 attacker khôn ngoan và có tính kiên nhẫn, với mục tiêu của anh ta. Trong trường hợp anh ta tấn công hệ thống thành công và cài đặt thành công backdoor nhưng "dìm ỉm" chuyện đó (không như anh bạn hacker kia để 1 file html to đùng ngay sau khi xâm nhập thành công). Và vài tháng sau anh ta trở lại để thực hiện hành vi phá hoại của mình thì như vậy những cái logs lưu giữ thông tin quạn trọng nhất để có thể hình dung ra quá trình bị thâm nhập lại không còn nữa ... . 

Ở trên mình có nói mà :D Những thông tin quan trọng nhất để phát hiện lỗ hổng lúc này có thể đã bị "tự huỷ" nên nếu khi "back" thì mình qua đường backdoor. Mục tiêu của người quản trị là tìm ra "lỗ hổng chính" để fix, còn attacker lại cao tay hơn "chờ" 1 thời gian "quay lại với con đường khác đã mở ra từ trước" chứ không theo con đường cũ. Sự việc này sẽ khiến 1 người quản trị "không thường xuyên theo dõi (lười)" khó tìm ra được vấn đề.  

Nhân tiện trang diễn đàn BKAV vừa bị tấn công (defaced và mất DB), tôi xin đưa ra một "case study" thực tế như sau: Một trang web của công ty vừa bị thâm nhập. Để bảo đảm bảo mật và uy tín của công ty, theo bạn, công ty ấy cần khai triển những gì và lý do tại sao? Cho rằng (các phiên bản đưa ra ở đây hoàn toàn là ngẫu nhiên): trang web ấy chạy trên hệ điều hành Windows 2003, sử dụng IIS làm reverse proxy, Apache phiên bản 2.2.15, PHP phiên bản 5.3, sử dụng software thương mại là vBulletin có phiên bản 4.1.5 và cơ sở dữ liệu là mysql phiên bản 5.1. Tất cả các dịch vụ đều chạy trên cùng một máy chủ (dedicated server) và được firewall của ISP bảo vệ. Vui lòng khai triển ở góc độ "forensics" để từ đó mới có thể đưa đến biện pháp. Mời các bạn tham gia. 

Anh conmale, đồng chí weareanon đã cung cấp file thông tin về máy chủ của BKAV, theo em thì mình dùng nó bổ sung vô cái case study luôn đi, em đọc thấy trong đó có nhiều file đồng chí weareanon chưa hề phân tích ví dụ như cái file apache config đọc cũng khá lý thú, có bồ bên topic về vụ hack BKAV bên kia đã tìm ra là BKAV không hề dùng mod security chẳng hạn. À mà như bác Mai đã nhận ra, khi đọc mấy cái file do bồ weareanon cung cấp, em thấy mấy cái giả định của anh trúng tới 95% B-)  

Anh conmale, đồng chí weareanon đã cung cấp file thông tin về máy chủ của BKAV, theo em thì mình dùng nó bổ sung vô cái case study luôn đi, em đọc thấy trong đó có nhiều file đồng chí weareanon chưa hề phân tích ví dụ như cái file apache config đọc cũng khá lý thú, có bồ bên topic về vụ hack BKAV bên kia đã tìm ra là BKAV không hề dùng mod security chẳng hạn. À mà như bác Mai đã nhận ra, khi đọc mấy cái file do bồ weareanon cung cấp, em thấy mấy cái giả định của anh trúng tới 95% B-)  

mình có trưng dữ liệu cá nhân gì của weareanon lên đâu anh, ý em là mình dùng cái này nè anh http://www.mediafire.com/?h84wmv6zq7oh7ly 

Tôi đường đột gởi PM này để xin phép bạn sử dụng một số thông tin đăng nhập của bạn được lưu trên log của diễn đàn đó là IP address và User-Agent để làm case study cho thành viên diễn đàn. Tôi xét thấy những thông tin ấy hoàn toàn anonymous và là những thông tin khá lý thú nên mới gởi bạn đề nghị này. Rất mong bạn xem xét và hồi âm. Cảm ơn.  

Thưa ngài, Đầu tiên, chúng tôi thành thực cám ơn sự giúp đỡ của ngài và các quản trị viên đối với sự vụ của chúng tôi. Lời đề nghị của ngài, chúng tôi thấy đây là một yêu cầu xác đáng, vì chúng tôi tin tưởng ngài với sự am tường kỹ nghệ máy tính rất chuyên sâu, sẽ có thể dùng các thông tin ấy một cách hiệu quả và tránh được cho chúng tôi các sự cố đáng tiếc. Do đó chúng tôi rất hoan hỉ nếu có thể giúp ngài được chút gì đó hữu ích. Thân chào ngài và chúc ngài nhiều sức khoẻ, Kính thư weareanon  

Khi nói đến điểm b, chúng ta nói đến khả năng máy chủ kia hoàn toàn không có cơ chế bảo vệ mà chỉ phụ thuộc vào "dịch vụ bảo vệ" mà ISP cung cấp. Đây có thể là sự trông cậy chết người mà chủ nhân của máy chủ ấy vướng phải. Chẳng có gì bảo đảm rằng hệ thống bảo vệ của ISP chặt chẽ và đúng với nhu cầu và cấu hình thực tế trên cái dedicated server này. Firewall, IPS, IDS..v...v... không thể hoàn toàn lấp được những lỗi và những tắc trách trong cấu hình. Đó là chưa kể khi đụng tình huống, liệu ISP có lưu giữ những thông tin cần thiết cho mục đích forensics hay không? Điểm c giúp ta xác định các vectors có thể (Windows 2003, Apache, IIS, PHP, vBB, Mysql). Đây có lẽ là những mảnh thông tin rõ ràng nhất và dễ dàng nhất (bug-track everyone? ;) ) nhưng cũng là mảnh cần nhiều thời gian để phân tích logs, điều tra các lỗ hổng ..v..v.... 

xnohat wrote:

mình có trưng dữ liệu cá nhân gì của weareanon lên đâu anh, ý em là mình dùng cái này nè anh http://www.mediafire.com/?h84wmv6zq7oh7ly 

À, anh lại nghĩ là ý em khai triển theo góc độ điều tra dấu vết ở những biên độ khác. Trong trường hợp này, dấu vết weareanon có thể tiết lộ là dấu vết anh ta đã post bài trên diễn đàn HVA. Thông thường kẻ tấn công luôn luôn tìm hiểu kết quả những việc mình đã làm, thậm chí công bố việc mình đã làm vì một lý do nào đó. Anh thấy đây cũng là một góc độ khai triển, bởi vậy anh đã xin phép weareanon qua PM như sau:

conmale wrote:

Tôi đường đột gởi PM này để xin phép bạn sử dụng một số thông tin đăng nhập của bạn được lưu trên log của diễn đàn đó là IP address và User-Agent để làm case study cho thành viên diễn đàn. Tôi xét thấy những thông tin ấy hoàn toàn anonymous và là những thông tin khá lý thú nên mới gởi bạn đề nghị này. Rất mong bạn xem xét và hồi âm. Cảm ơn.  

và weareanon đã trả lời hôm nay như sau:

Thưa ngài, Đầu tiên, chúng tôi thành thực cám ơn sự giúp đỡ của ngài và các quản trị viên đối với sự vụ của chúng tôi. Lời đề nghị của ngài, chúng tôi thấy đây là một yêu cầu xác đáng, vì chúng tôi tin tưởng ngài với sự am tường kỹ nghệ máy tính rất chuyên sâu, sẽ có thể dùng các thông tin ấy một cách hiệu quả và tránh được cho chúng tôi các sự cố đáng tiếc. Do đó chúng tôi rất hoan hỉ nếu có thể giúp ngài được chút gì đó hữu ích. Thân chào ngài và chúc ngài nhiều sức khoẻ, Kính thư weareanon  

He he, cách viết và cách trả lời của weareanon hơi lạ (gần giống như người ngoại quốc dịch tiếng ngoại quốc sang tiếng Việt ;) ) nhưng quan trọng là anh ấy đã đồng ý. Bởi thế, anh sẽ tán 1 bài khai triển theo góc độ này. 

Attacker: Opp ... Me: Vâng, bản thân Tor nó có công cụ nhận dạng xem bạn có đang sử dụng Tor hay không. Vậy mấy bác bên BKAV cũng tạo 1 công cụ kiểm tra các IP truy cập đến đó có thuộc đám "con cháu" của Tor không thì sẽ giới hạn được phạm vi.  

Có 1 ý tưởng thật "ngớ ngẩn" nhưng cũng thật "thú vị" để chơi trò "may rủi" thu nhỏ phạm vi đối tượng tình nghi hoặc nếu "may" có thể tóm gọn attacker nếu attacker "không cẩn thận". Từ cái IP và những "thông tin liên quan" mà anh conmale cung cấp, BKAV có thể "giăng 1 cái lưới" để "bắt" những "con cá ngu ngơ". Ở đây giả dụ ta đặt tình huống là attacker vẫn tiếp tục sử dụng IP đó hoặc thậm chí attacker không sử dụng IP đó nữa nhưng vẫn dùng Tor và những nodes khác của Tor để tiếp tục truy cập và nghe ngóng ở BKAV. Nếu ta đặt mình vào vị trí attacker, 1 kẻ khôn ngoan sẽ chọn những node "phổ biến, truy cập khá và nhanh". Attacker: Vậy bạn có cách gì để thu hẹp phạm vi đối tượng ? ... Me: Vâng, chính sự thông minh, khôn khéo đó đôi khi sẽ hại bạn ! ;) Attacker: Tại sao ? Me: Vì bạn để lộ thông tin bạn dùng Tor =)) Attacker: Để lộ thông tin dùng Tor thì làm sao chứ ? Me: Bạn dùng Tor và chính Tor nó hại bạn ;) Attacker: Tor thì hại gì chứ ? Me: Phiền bạn ghé qua đây ;) https://check.torproject.org/?lang=vi Attacker: Opp ... Me: Vâng, bản thân Tor nó có công cụ nhận dạng xem bạn có đang sử dụng Tor hay không. Vậy mấy bác bên BKAV cũng tạo 1 công cụ kiểm tra các IP truy cập đến đó có thuộc đám "con cháu" của Tor không thì sẽ giới hạn được phạm vi. Attacker: Ah ừ ... biết tôi dùng Tor rồi thì làm được gì nữa ? Hàng trăm hàng ngàn người khác cũng đang sử dụng Tor và cùng thông qua 1 IP như tôi mà =)) Bạn cứ đùa =)) Me: Vâng, nhưng không mấy ai lại trùng hợp cùng truy cập vào những site của BKAV cả :-" Attacker: :| Cứ cho là thế đi, nhưng tìm ra được tôi "hơi bị khó đấy" ! Me: Chỉ là vấn đề thời gian thôi, nếu bạn vẫn "theo đường cũ" .... Attacker: Là sao :| ? Me: Bạn nghĩ sao khi mà BKAV khi phát hiện bạn dùng Tor, họ sẽ tiến hành theo dõi bạn ? Attacker: Theo dõi sao ? Me: Khi biết bạn dùng Tor, họ sẽ lưu lại cái IP hiện hành vào Cookie của các trang web BKAV mà bạn truy cập . Sau đó những lần truy cập sau, cái cookie đó được lôi ra so sánh và cái IP trong đó được lôi ra để so sánh với những IP tiếp theo ở những lần truy cập tiếp theo ... Attacker: ..... Me: Và cứ như vậy, họ tiến dần đến bạn ;) Chỉ 1 sơ hở rất nhỏ, bạn đã nằm trong lưới như 1 con cá rồi ;) ............................ 

.lht. wrote:

Attacker: Opp ... Me: Vâng, bản thân Tor nó có công cụ nhận dạng xem bạn có đang sử dụng Tor hay không. Vậy mấy bác bên BKAV cũng tạo 1 công cụ kiểm tra các IP truy cập đến đó có thuộc đám "con cháu" của Tor không thì sẽ giới hạn được phạm vi.  

Cứ dùng firefox change user-agent và các công cụ Tor, ... để post bài lên HVA. Dùng IE or Chrome vào BKAV. Bạn trả lời hộ mình: Tại sao vào BKAV phải dùng Tor? Chỉ có cu cậu vụ handheld.vn mới dùng account lừa đảo để post bài: Catch me if you can. Sau đó login vào acc thật để đọc bài thôi. Chứ nếu thằng gây án là mình thì luôn luôn là gây án xong rồi mất tích. Không bao giờ quay lại hiện trường, chỉ có trà đá và nghe ngóng tình hình. 

Thật ra đó chỉ là 1 ý tưởng đơn giản. Để đạt kết quả tốt hơn cũng có thể kiểm tra hoặc thu thập thêm các thông tin liên quan trên client có thể rồi tiến hành sàng lọc. Và trong quá trình nghe ngóng tình hình, tâm lý của bạn attacker sẽ có khi quay trở lại. Và ai dám chắc là bạn ý sử dụng Tor mãi ? Ngoài ra, 1 kĩ thuật nâng cao hơn : Javascript có thể sử dụng để tạo custom cookie. Thử nghĩ đơn giản thế này: Tại sao ta không lợi dụng javascript để moi móc thêm thông tin ngay trên client và gửi ngược lại lên server ? - Ví dụ với javascript, ta có thể lấy được thời gian hệ thống của client (từ đó biết được bạn ý đang thuộc "zone" nào)! - Với javascript, ta có thể lấy được user-agent của trình duyệt. Đó là còn chưa kể, ngoài javascript thì còn có flash, java là những loại script chạy phía client ! ...

phanledaivuong wrote:

.lht. wrote:

Attacker: Opp ... Me: Vâng, bản thân Tor nó có công cụ nhận dạng xem bạn có đang sử dụng Tor hay không. Vậy mấy bác bên BKAV cũng tạo 1 công cụ kiểm tra các IP truy cập đến đó có thuộc đám "con cháu" của Tor không thì sẽ giới hạn được phạm vi.  

Cứ dùng firefox change user-agent và các công cụ Tor, ... để post bài lên HVA. Dùng IE or Chrome vào BKAV. Bạn trả lời hộ mình: Tại sao vào BKAV phải dùng Tor? Chỉ có cu cậu vụ handheld.vn mới dùng account lừa đảo để post bài: Catch me if you can. Sau đó login vào acc thật để đọc bài thôi. Chứ nếu thằng gây án là mình thì luôn luôn là gây án xong rồi mất tích. Không bao giờ quay lại hiện trường, chỉ có trà đá và nghe ngóng tình hình. 

Hì, bạn đọc chưa kĩ rồi ;) [Edited vì hiện giờ 1 số ý tưởng trong này không xác thực nữa vì nó liên quan đến các exploits của browser] 

tcp 0 0 127.0.0.1:49195 127.0.0.1:9051 ESTABLISHED tcp 0 0 127.0.0.1:9051 127.0.0.1:49195 ESTABLISHED tcp 0 0 192.168.41.196:39646 171.25.193.20:443 ESTABLISHED tcp 0 0 192.168.41.196:40618 38.229.70.53:443 ESTABLISHED tcp 0 0 192.168.41.196:50637 146.185.23.180:443 ESTABLISHED  

• Đưa server dự phòng vào hoạt động, đồng thời triển khai Firewall và IDS để giám sát tránh tình trạng Hacker quay lại tiếp tục phá hoại. Cách ly Server bị tấn công đợi cơ quan điều tra vào cuộc. Đánh giá thiệt hại chung để đưa ra các thông tin bảo vệ khách hàng

• Soạn một thông cáo báo chí chính thức, nhằm kiểm soát thông tin tránh các thông tin ngoài luồng gây ảnh hưởng đến uy tín của công ty. Cáo lỗi với khách hàng và cung cấp các thông tin hướng dẫn bảo vệ quyền lợi của khách hàng. Phối hợp với cơ quan điều tra để công bố các thông tin gây nhiễu (nếu cần thiết) phục vụ quá trình điều tra.

Trên đây có nhiều bạn đã trả lời với nhiều ý kiến. Có những ý kiến khá hay, đáng học hỏi. Nhưng có vẻ có những ý kiến hơi khái quát, hơi bao quát quá. Các giải pháp đưa ra có thể hay chỉ áp dụng như một nguyên tắc, nguyên lý, qui định chung về bảo mật hay khắc phục sự cố mà thôi. Tôi xin bổ sung thêm một vài ý kiến nhỏ. Ta giả dụ hệ thống bị defaced theo cách mà trang web webscan.bkav.com.vn bị defaced, nghĩa là hacker đặt đươc một file "hacked.html" vào thư mục gốc hay Documentroot của Apache, tức là của webserver và sau đó một vài ngày nó bị tấn công từ chôi dịch vụ và bị ngưng trệ trong nhiều ngay, dù có vẻ không có sự tham gia của một hệ thống botnet (DDoS zombies) trên mạng. Điều quan trọng đâu tiên chúng ta phải xác định rõ cấu hình cụ thể của webserver vừa bị hack. Trước tiên, loại HĐH mà webserver cài đặt là một yếu tố rất quan trọng cần phải xem xét. Win2k3 hay Windows OS nói chung có những điểm yếu rất khó khắc phục, tạo cơ hôi cho hacker thâm nhập. Vấn đề phải tìm xem hành đông hay hiện tượng thâm nhập vừa qua có liên quan đến điểm yếu nào của Win2K3 hay không? Chú ý là việc update tự động các lỗ hổng bảo mật cho Windows thì MS làm khá tốt và dễ dàng. Vì vậy chỉ nên tập trung vào các lỗi mà admin của hệ thống bị hack chưa kip update, vì một lý do nào đó, hay lỗi mà MS chưa kịp ban hành bản vá lỗi trên mạng. Có rất ít hacker tim ra lỗi 0-day để hack. Điểm thứ hai chúng ta phải xem xét đến phiên bản web server (trình quản lý web) được cài trong hệ thống. Ở đây là Apache(Win32)2.2.15. Apache không ban hành các bản vá lỗi tự động như MS cho Windows. Họ chỉ ban hành các phiên bản mới thay cho các phiên bản cũ có lỗi, có khả năng bị hack. Hiện nay đã là Apache 2.2.22 (released 2012-01-31). Chỉ cần tham khảo tài liệu của Apache là biết các lỗi của phiên bản cũ. Vấn đề chỉ còn là phải xác định hiện tượng và hành đông xâm nhập cụ thể của hacker vừa qua có liên quan đến các lỗi này không và đó là lỗi nào? (Tuy nhiên xác định được điều này không hề dễ dàng tí nào). Điểm thứ 3, nhưng có khi lại là quan trọng nhất là các application được cài đặt trong hệ thống. Các application ở đây là PHP 5.3, MySQL 5.1, vBulletin 4.1.5.... Chú ý là các application mới là các nguyên nhân tạo ra nhiều lỗ hổng để cho hacker đột nhập hay defaced hệ thống. Một Application đươc cải tiến để tiện dụng hơn, có nhiều tính năng hơn thì lai càng có nhiều lỗ hổng hơn, đó là hậu quả, là "side effect", điển hình là PHP chẳng hạn. Vì vậy nếu hiện tượng haker defaced website và để lai một file "hacked.html" ở root thì điều trước tiên ta phải nghĩ đến lỗi RFI (không phải "Đài phát thanh Pháp quốc" đâu nhé! Hì hì- mà là Remote file Inclusion vulnerability) hay LFI (Local File Inclusion). Lỗi này cho phép hacker đưa (upload) một file bẩn vào hệ thống từ xa và đặt nó ở directory hacker mong muốn. Vấn đề là admin của hệ thống đã không config. PHP (cụ thể là file php.ini) kỹ càng....(Các bạn ở BKAV cũng nên kiểm tra lai điều này). Chú ý là chỉ PHP đời mới sau này, như PHP 5.3.x, mới có lỗi này. Hì hì. Tất nhiên một hệ thống Windows cài DotNet (.Net framework ) như hệ thống mà anh conmale đưa, cũng có lỗi RFI, nhưng khả năng hacker tận dụng lỗi này có vẻ ít hơn. Chúng ta nhớ lai, trong đợt các hacker TQ defaced hàng loạt website của VN vừa qua, chúng cũng tận dụng lỗi nói trên (RFI). Ngược lai các hacker trẻ VN cũng làm giống như thế. Cũng cần xác định rằng việc hacker defaced website như trường hợp webscan.bkav.com.vn thì không có nghĩa là hacker đã chiếm được quyền admin (lấy được password) của hệ thống đâu nhé. Khoảng cách đến đó nhiều trường hơp khá xa đấy. Còn việc hệ thống bị tấn công từ chối dịch vụ và bị ngưng trệ trong thời gian dài mà không có sự tham gia cuả một hệ thống botnet trên mạng, thì thực tế có thể có đấy. Vấn đề là phải có hai yếu tố: - Hacker phải dùng một DoS tool loại nào? - Hệ thống phải cài các application nào để DoS tool này mới có thể phát huy tác dung? (Chỉ cần một hay hai hacker DoS trong một vài phút là hệ thống có thể ngưng trê nhiều giờ).Hệ thống mà anh conmale nói có cài các application ấy đấy. Tuy nhiên vấn đề này tôi xin nói sau, vì bài viết đã dài. Chỉ khi xác định đươc cách thức tấn công cụ thể của hacker thì ta mới chặn được nó và có biện pháp hữu hiệu để phòng thủ. "The Only Way To Stop A Hacker Is To Think Like One"  

Trong file tasklist.txt, có vài điểm mà em nghi ngờ cái server này đã nhiểm virus của stl. Uổng thiệt, nếu cậu hacker này mà tasklist thêm thông số thì em khoẻ biết mấy:

jusched.exe 1628 Console 0 6,136 K jusched.exe 2948 1 6,192 K wuauclt.exe 3652 Console 0 3,896 K jucheck.exe 3392 Console 0 8,588 K jucheck.exe 4136 1 7,344 K  

jucheck # jusched nhé các bạn. Khả năng jucheck.exe là virus cao hơn jusched.exe của Java Update. Nếu đã tắt Windows Update thì wuauclt.exe sẽ không run, các bạn còn nhớ wuauclt.exe trong "đống" mèo què của stl chứ. Nếu em đoán đúng thì hết nói về cái BKAV phờ rồ. Nhưng nói vậy thôi chứ làm sao em có 3 mẫu này được ?  

Cái ngu số 04 Administrator lướt web ngay trên server và trong giờ làm việc Bạn vui lòng tham khảo tệp tin "tasklist.txt" , bạn sẽ thấy các dòng sau:

chrome.exe                    4520 Console                    0     42,804 K chrome.exe                    4588 Console                    0     32,088 K  

Sau khi thấy có quá nhiều process của trình duyệt Chrome đang vận hành trên server chúng tôi nghi ngờ là quản trị viên server đang lướt web ngay trên server nên thực hiện việc sniff gói tin trên server, kết quả khá thú vị khi thấy quản trị server đúng là đang lướt web đọc báo, thậm chí vô Facebook bằng Server của BKAV. Chúng tôi rất tiếc không thể cung cấp gói sniff đó lên đây do nó chứa nhiều thông tin có thể làm hại người vô tội.  

• Trường hợp hacker xóa log bằng các câu lệnh xóa thông thường => Dễ dàng khôi phục lại log gốc bằng các công cụ chuyên dụng. Trường hợp hacker xóa log bằng các công cụ xóa an toàn (xóa và ghi đè 30 lần chẳng hạn) => Không thể phục hồi log để phục vụ quá trình forensic. => Việc truy tìm và buộc tội hacker là điều cực kỳ khó khăn. Tuy nhiên cũng có thể còn chút dấu vết nào đó nhận dạng hacker (chương trình xóa an toàn hacker sử dung, thói quen xóa dấu vết khi xâm nhập ....)

• Thu thập thông tin từ Blog: IP truy cập vào http://bkavop.blogspot.com/ post bài, email đăng ký blogspot. Thu thập thông tin từ nhà cung cấp email: IP và log quá trình đăng nhập và sử dụng tài khoản email. Thu thập thông tin từ các các nguồn khác: HVA, bkav, vozforum … => tìm các sai sót và cung cấp dữ liệu hình thành "chân dung" hacker

cách đây vài năm tôi có viết một bài nhắc đến Tor như là một công cụ tốt để trở nên ẩn danh trên Internet. bây giờ đọc lại thì tôi mới thấy, nói như cách g4mm4 hay nói, hạn chế của tôi hồi đó. bạn nào nghĩ rằng sử dụng Tor là an toàn thì bây giờ bắt đầu lo lắng là vừa. đối với một hệ thống có sự chuẩn bị tốt thì phải rất cao tay mới mong lai vô ảnh, khứ vô hình khi xâm nhập vào hệ thống đó. địa chỉ IP, thứ mà Tor có thể giúp che dấu một phần, chỉ là một trong số rất rất nhiều "dấu vân tay" mà chúng ta để lại khi duyệt web. 

• Dấu vân tay (Địa chỉ IP) Dấu vết (hành vi của thủ phạm) và chứng cứ (log) tại hiện trường Phân tích tính cách khả năng, hành vi của tội phạm (Thu thập thông tin từ các nguồn + Các biện pháp thăm dò tâm lý) => Phác họa chân dung cơ bản của tội phạm.

• Dựa trên các thông tin log ISP, và thông tin được cung cấp từ các công ty, tổ chức … Ta có thể xác định được là hacker sử dụng Tor nên việc tìm ra địa chỉ IP thực của hacker gần như là không thể (tạm thời thiếu mất một yếu tố). Dấu vết (hành vi của thủ phạm) và chứng cứ (log) tại hiện trường của BKAV chưa xác định được trạng thái. Nhưng dù chứng cứ (log) tại hiện trường có bị xóa sạch hay tạo hiện trường giả (sửa log, làm nhiễu log) thì vẫn còn các dấu vết (Các bước hành động tổng quát của hacker). Thêm các thông tin từ http://bkavop.blogspot.com/, https://www.facebook.com/pages/BKAV-Op/197446347029547?sk=wall, các forum … Thì ta có thể hình thành bảng đánh giá phác họa chân dung Hacker.

Đại tá Trần Văn Hòa, Cục phó Cục Cảnh sát phòng chống tội phạm công nghệ cao (C50 - Bộ Công an), khẳng định với VnExpress.net rằng đã xác định được hacker - tác giả của những thông tin về các lỗi bảo mật của Bkav đang gây xôn xao trên mạng, đồng thời cho biết những gì hacker đưa lên có một số điều không chính xác.  

• Đây là hành động nhóm hacker lo sợ sẽ “ảnh hưởng đến người vô tội” hoặc BKAV & C50 thí con tốt để trấn an dư luận. Lúc này mục tiêu ban đầu của hacker( đòi lại công bằng cho hacker bị bắt và hạ uy tín của BKAV) không đạt được. Hacker đã thăm dò và lên kế hoạch tỉ mỉ cho việc tấn công BKAV (deface, drop database, dump database, thông tin cấu hình các thành phần, …) đồng thời lộ trình đưa lần lượt các thông tin lên mạng. Nhưng vẫn chưa dự trù đối phó hết các chiêu tâm lý của BKAV & C50. Chính vì thế “thư gửi điều tra viên” kia có chút lúng túng nhưng lại được viết theo phong cách hành văn khác (giống cách hành văn phản hồi cho anh conmale). -a- Hacker đã xác định tấn công BKAV thì C50 sẽ vào cuộc=> một mình Hacker đấu trí với một đội ngũ chuyên nghiệp là việc làm dại dột -b-

• BKAV vẫn tiếp tục im lặng nếu tìm được nghi phạm sẽ quăng bom, nếu không tìm ra thì im lặng và dùng các biện pháp bưng bít thông tin nhằm cho vụ việc rơi vào quên lãng. Hacker vẫn lần lượt tung các thông tin có được trong đợt xâm nhập BKAV Màn đấu trí giữa C50 và hacker Màn đấu khẩu giữa sgtc BKAV và cộng đồng IT

• Nghi can sẽ được hai nhân viên thẩm vấn (Có thể có một vài người giám sát để phát hiện nghi can có nói dối hay không). Bằng các biện pháp tâm lý từ đe dọa đến mềm mỏng để khai thác thông tin và khiến nghi phạm mất bình tĩnh mà để lộ sơ hở. => Nếu nghi can phạm tội thực sự sẽ để lộ sơ hở và bị người thẩm vấn hỏi vặn lại => Thành khẩn khai báo. Các nghi can có mối liên hệ với nhau thì tung hỏa mù dạng: “Thằng xxx và thằng yyy đã thành khẩn khai nhận, và nó nói chủ mưu chính là anh/chị” => Lần lượt từng người khai báo với suy nghĩ: “Nếu thằng xxx hay thằng yyy có khai báo thật và đổ tội hết lên đâu mình thì toi” Nghi can khai báo lung tung hoặc không có gì để khai báo => Tiến hành thẩm vấn các nghi can khác. Nếu không thu được gì thì tiếp tùng sàng lọc lại các đối tượng. => Mất thời gian và có thể không tìm ra được thủ phạm.

• Một đấu trí với hai thì không thể dành chiến thắng được ;). Thực tế chứng minh dù tội phạm có tinh ranh và ngoan cố đến đâu đi chăng nữa, thì sau một thời gian thẩm vấn sẽ ngoan ngoãn nhận tội => Chính vì thế trong phim nghi can thường không nói gì khi không có luật sư bên cạnh. Ở Việt Nam thì tùy từng hoàn cảnh =(( . Đôi khi nghi can tâm lý không vững nên sau khi bị đe dọa, bị mớm cung vẫn có thể nhận tội bừa => Đối với tội phạm kinh tế hay tội phạm công nghệ cao thì rất hiếm có trường hợp này. Nếu nghi can hoàn toàn không phạm tội thì sẽ chả có gì để khai :D => Đôi khi nghi can phạm tội nhưng khả năng ứng phó và đối đáp quá tài tình thì các điều tra viên cũng không thu được kết quả gì (Trường hợp này chỉ có những chuyên gia tình báo, nhân viên an ninh nằm vùng được đào tạo bài bản mới vượt qua được, trừ trường hợp mấy thằng bị mất trí nhớ =)) )

2. Log của ISP Đây là các thông tin có thể tin cậy. Kết hợp với phân tích log trên Server ta có thể biết được cách thức hacker xâm nhập, thời gian xâm nhập, IP .... Đồng thời kết hợp với log trên server thì ta có thể hình dung được các hành động của hacker trên hệ thống, đồng thời tìm các điểm yếu của hệ thống.  

Ky0 wrote:

2. Log của ISP Đây là các thông tin có thể tin cậy. Kết hợp với phân tích log trên Server ta có thể biết được cách thức hacker xâm nhập, thời gian xâm nhập, IP .... Đồng thời kết hợp với log trên server thì ta có thể hình dung được các hành động của hacker trên hệ thống, đồng thời tìm các điểm yếu của hệ thống.  

Điểm này e là rất khó Ky0. 

Em đoán ý của mrro là IP chỉ là 1 mảnh của forensic, nhiều thứ còn có thể dựa vào behaviour. Ví dụ như trong trường hợp BKAV sẽ là: 1. Khoanh vùng đối tượng, chắc chắn hay ít nhất sẽ có mối quan hệ giữa anh chàng bị bắt và BKAVOp. 2. Ngày trước mấy con bot của STL viết bằng VC++, nếu không may viết bằng Delphi chắc em cũng có trong danh sách bị tình nghi =]] Nói chung, các biện pháp kỹ thuật là 1 phần trong cuộc điều tra, để xem vài ngày nữa có tình tiết nào mới không. Ngoài ra, theo ý riêng của em, vì BKAV không lường trước được sự việc là sẽ bị hack nên có thể đã bị cài backdoor từ lâu rồi mà không để ý --> các log quan trọng không giữ được hay khó để lần ra lại từ đầu mà ngay cả hiện nay không biết nội bộ BKAV đã biết được hổng chỗ nào chưa để fix. 

giờ mới có thời gian xem chủ đề này một cách rốt ráo. @conmale: bọn em có làm việc với nhóm Tor khi công bố BEAST và kết luận, đúng như anh nhận xét, Tor không bị ảnh hưởng bởi BEAST vì họ sử dụng miếng vá của OpenSSL từ đầu [1]. dẫu vậy thì ý của em không phải là nói đến độ an toàn của Tor. mời anh xem tiếp để rõ ý em.  

@al0nex: cảm ơn vì bạn đã đưa ra một nhận xét rất thú vị: BKIS sẽ bỏ ra bao nhiêu tiền để truy lùng thủ phạm (và rốt cuộc sẽ thu lại được gì)? @.lht.: phác thảo về cách phát hiện thủ phạm của bạn dùng Javascript cookie chính là điều mà mình muốn nói đến. thực tế thì ngoài địa chỉ IP, sử dụng Tor hay không sử dụng Tor và Javascript cookie ra, còn có rất nhiều cách khác để một website có thể theo dõi được chúng ta. những kết quả nghiên cứu gần đây cho thấy rất khó để có thể trở nên ẩn danh hoàn toàn khi duyệt web [2] [3] [4]. điểm yếu cốt lõi, mà mình đã có lần đề cập, là attacker thường không có ý định xâm nhập trong những lần đầu tiên viếng thăm nạn nhân. dựa quan sát này và các kết quả nghiên cứu ở trên, người ta hoàn toàn có thể "đánh dấu" trình duyệt của attacker, để rồi khi attacker thực hiện tấn công, hoặc quay lại hiện trường để dò la tin tức, người ta có thể nhanh chóng nhận ra anh attacker này là ai trong quá khứ, mặc dù anh ấy đã cố tính đi xuyên qua Tor. nói nôm na là mặc dù đã che đi khuôn mặt, nhưng hình xăm trên tay hoặc giọng nói hoặc cử chỉ vẫn có thể tố cáo thủ phạm. để triển khai được một hệ thống theo dõi như thế này cũng không quá khó. dẫu vậy ở nhiều quốc gia, theo dõi người dùng như thế là một hành động không được hoan nghênh và có khi là phạm luật. mình nghĩ đối với một công ty như BKIS thì họ hoàn toàn có thể triển khai một hệ thống như thế, nhưng mình không tin là họ đã, đang hoặc sẽ làm. đơn giản vì có những việc đơn giản hơn nhiều và có hiệu quả tức thì như kiện toàn hệ thống mà họ còn không làm, thì khó mà hình dung họ sẽ đầu tư cho những biện pháp có tính phòng xa như thế này. ở góc nhìn ngược lại, attacker muốn không bị theo dõi thì phải cập nhật và hiểu rõ những nghiên cứu mới nhất về web security & privacy mà mình đề cập ở trên, rồi tìm cách tự bảo vệ bản thân, một việc mà mình cho là khó hơn rất nhiều so với tấn công BKIS.  

nhân tiện mình cũng muốn nói đây là một chủ đề mà mình đã dự tính trình bày ở TetCon 2012, nhưng do không tìm được người làm cùng nên đành phải gác lại. nếu bạn .lht. hoặc ai đó có hứng thú thì mình sẽ rất sẵn sàng hỗ trợ bạn nghiên cứu về vấn đề này, như là một đề tài của TetCon 2013. chúng ta có thể triển khai đề tài này theo hai góc nhìn: góc nhìn của người dùng cuối muốn bảo vệ riêng tư khi duyệt web và góc nhìn của những attacker muốn ẩn danh khi hành sự. mình nghĩ đây là một đề tài rất thú vị, có khả năng tìm ra những kỹ thuật mới chưa được công bố. -m [1] https://blog.torproject.org/blog/tor-and-beast-ssl-attack [2] http://samy.pl/evercookie/ [3] https://grepular.com/Abusing_HTTP_Status_Codes_to_Expose_Private_Information [4] https://panopticlick.eff.org/ 

giờ mới có thời gian xem chủ đề này một cách rốt ráo. @conmale: bọn em có làm việc với nhóm Tor khi công bố BEAST và kết luận, đúng như anh nhận xét, Tor không bị ảnh hưởng bởi BEAST vì họ sử dụng miếng vá của OpenSSL từ đầu [1]. dẫu vậy thì ý của em không phải là nói đến độ an toàn của Tor. mời anh xem tiếp để rõ ý em. @al0nex: cảm ơn vì bạn đã đưa ra một nhận xét rất thú vị: BKIS sẽ bỏ ra bao nhiêu tiền để truy lùng thủ phạm (và rốt cuộc sẽ thu lại được gì)? @.lht.: phác thảo về cách phát hiện thủ phạm của bạn dùng Javascript cookie chính là điều mà mình muốn nói đến. thực tế thì ngoài địa chỉ IP, sử dụng Tor hay không sử dụng Tor và Javascript cookie ra, còn có rất nhiều cách khác để một website có thể theo dõi được chúng ta. những kết quả nghiên cứu gần đây cho thấy rất khó để có thể trở nên ẩn danh hoàn toàn khi duyệt web [2] [3] [4]. điểm yếu cốt lõi, mà mình đã có lần đề cập, là attacker thường không có ý định xâm nhập trong những lần đầu tiên viếng thăm nạn nhân. dựa quan sát này và các kết quả nghiên cứu ở trên, người ta hoàn toàn có thể "đánh dấu" trình duyệt của attacker, để rồi khi attacker thực hiện tấn công, hoặc quay lại hiện trường để dò la tin tức, người ta có thể nhanh chóng nhận ra anh attacker này là ai trong quá khứ, mặc dù anh ấy đã cố tính đi xuyên qua Tor. nói nôm na là mặc dù đã che đi khuôn mặt, nhưng hình xăm trên tay hoặc giọng nói hoặc cử chỉ vẫn có thể tố cáo thủ phạm.  

@bolzano_1989 mrro có nói đến evercookie => browser của attacker sẽ bị mark bằng 1 cookie đặc biệt, nên nếu attacker ghé thăm các domain mà cxx control thì cxx có thể rút ra một số lượng thông tin kha khá. Anh conmale cũng có nói đến social engineering, tui nghĩ trong trường hợp này social engineering sẽ hữu hiệu hơn là technical solution. Bởi vậy các bạn chém gió nên chém vừa vừa thôi :D ( xem phim Mỹ mấy ông cớm hay chơi chiêu hù mấy em giang hồ vặt rồi lượm lặt vòng vo sẽ đến trùm ) 

Nếu kịch bản là: - Hacker login vào một free VPS, online bằng TOR - Cài máy ảo (VM) - Cài 1 hệ điều hành Linux fresh vào VM - Tấn công BKAV qua trình duyệt và application của VM - Xóa harddisk của VM - Ngắt kết nối với VPS - Không bao giờ sử dụng VPS đó nữa (disable service hoặc terminate plan) Rõ ràng cho dù có evercookie thì nó cũng chỉ save browser của máy ảo Như vậy liệu có cách nào phát hiện được không ? Mọi người cho ý kiến ? 

MAC là dấu chân asin trong trường hợp bạn nêu ở trên. nếu VPS Free thì yêu cầu là bạn phải đăng ký dịch vụ (dính MAC - thậm chí là IP thật), thông tin sẽ được lưu lại nơi bạn đăng ký Free VPS. Nếu VPS do bạn của bạn share thì mức độ nguy hiểm cao hơn. --- trở lại vấn đề : VPS thì tất nhiên nó có ip tĩnh. khi có ip này sẽ truy ra được nhà cung cấp dịch vụ nào. Yêu cầu xin log của người mua VPS đó hoặc log đăng ký VPS. Khi có được log này thì sẽ có khả năng có được IP thật và MAC * nếu dùng FAKE IP : thì khó xác định. * IP Thật + MAC : :|  

Attacker: Tor thì hại gì chứ ? Me: Phiền bạn ghé qua đây ;) https://check.torproject.org/?lang=vi Me: Vâng, bản thân Tor nó có công cụ nhận dạng xem bạn có đang sử dụng Tor hay không. Vậy mấy bác bên BKAV cũng tạo 1 công cụ kiểm tra các IP truy cập đến đó có thuộc đám "con cháu" của Tor không thì sẽ giới hạn được phạm vi. Me: Vâng, nhưng không mấy ai lại trùng hợp cùng truy cập vào những site của BKAV cả :-" Me: Bạn nghĩ sao khi mà BKAV khi phát hiện bạn dùng Tor, họ sẽ tiến hành theo dõi bạn ? Me: Khi biết bạn dùng Tor, họ sẽ lưu lại cái IP hiện hành vào Cookie của các trang web BKAV mà bạn truy cập . Sau đó những lần truy cập sau, cái cookie đó được lôi ra so sánh và cái IP trong đó được lôi ra để so sánh với những IP tiếp theo ở những lần truy cập tiếp theo ...  

Để đạt kết quả tốt hơn cũng có thể kiểm tra hoặc thu thập thêm các thông tin liên quan trên client có thể rồi tiến hành sàng lọc. Và trong quá trình nghe ngóng tình hình, tâm lý của bạn attacker sẽ có khi quay trở lại. Và ai dám chắc là bạn ý sử dụng Tor mãi ? Javascript có thể sử dụng để tạo custom cookie. Thử nghĩ đơn giản thế này: Tại sao ta không lợi dụng javascript để moi móc thêm thông tin ngay trên client và gửi ngược lại lên server ? - Ví dụ với javascript, ta có thể lấy được thời gian hệ thống của client (từ đó biết được bạn ý đang thuộc "zone" nào)! - Với javascript, ta có thể lấy được user-agent của trình duyệt. Đó là còn chưa kể, ngoài javascript thì còn có flash, java là những loại script chạy phía client !  

người ta hoàn toàn có thể "đánh dấu" trình duyệt của attacker, để rồi khi attacker thực hiện tấn công, hoặc quay lại hiện trường để dò la tin tức, người ta có thể nhanh chóng nhận ra anh attacker này là ai trong quá khứ, mặc dù anh ấy đã cố tính đi xuyên qua Tor. nói nôm na là mặc dù đã che đi khuôn mặt, nhưng hình xăm trên tay hoặc giọng nói hoặc cử chỉ vẫn có thể tố cáo thủ phạm.  

109.163.233.201 - - [24/Feb/2012:01:56:48 -0600] "GET /hvaonline/posts/list/41282.html HTTP/1.1" 200 13964 "/hvaonline/forums/show/19.html" "Mozilla/5.0 (Windows; U; X11; Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 109.163.233.201 - - [24/Feb/2012:02:10:50 -0600] "GET /hvaonline/posts/list/480/41193.html HTTP/1.1" 200 13808 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20) Gecko/25250202 BTRS35926 Firefox/2.0.0.20 (.NET CLR 3.5.30729)"  

Về mảng social engineering thật sự em thấy hay và không "tởm" như anh conmale nghĩ :D Ở VN thường thấy nhất ở trường học, người ta chỉ "chú trọng" vào kiến thức mà "không quan tâm" đến khả năng giao tiếp của học sinh ... Trong lĩnh vực security cũng vậy anh ạ, ngoài kĩ thuật tốt thì social engineering thật sự là 1 mảng rất hay đáng để nghiên cứu và thảo luận :D  

tất cả chúng ta đều không (thể) sợ và không (thể) phòng ngừa những nguy cơ mà chúng ta không biết.  

@bolzano_1989 Tui đang nghĩ đến hướng indirect tiếp cận đến attacker. Ví dụ attacker nếu đủ khả năng thì sẽ xoá dấu vết bằng cách xoá máy ảo, trình duyệt v.v... Nhưng ở đây chúng ta chú ý là attacker còn thường xuyên vào các diễn đàn bàn về sự việc này để công bố và nghe ngóng, như vậy không lẽ mỗi lần post bài ở hva hay blogspot thì attacker (hoặc bạn của attacker) phải lặp lại hoàn toàn chu kỳ cài vm - tor - xoá vm v.v...  

ảo tưởng về khả năng của công cụ là tiếc nuối lớn nhất của các cầu thủ Juventus ;-). -m  

để triển khai được một hệ thống theo dõi như thế này cũng không quá khó. dẫu vậy ở nhiều quốc gia, theo dõi người dùng như thế là một hành động không được hoan nghênh và có khi là phạm luật. mình nghĩ đối với một công ty như BKIS thì họ hoàn toàn có thể triển khai một hệ thống như thế, nhưng mình không tin là họ đã, đang hoặc sẽ làm. đơn giản vì có những việc đơn giản hơn nhiều và có hiệu quả tức thì như kiện toàn hệ thống mà họ còn không làm, thì khó mà hình dung họ sẽ đầu tư cho những biện pháp có tính phòng xa như thế này.