Hacker truyền kỳ - Phần 3
Phần 3: Lộ mặt
Một ngày mới bắt đầu. Đây cũng là ngày thứ năm tôi lần theo dấu vết của kẻ giấu mặt. Tôi bắt đầu lật lại những giả thuyết của ngày hôm qua và kiểm tra chúng. Tay hacker này làm thế nào để quản lý từ xa máy của K. khi mà máy này được đặt dưới một lớp Firewall tích hợp Router của CISCO? Tất cả những kết nối từ Internet tới các cổng (port) không phải là port chuẩn sẽ bị tường lửa lọc và loại bỏ ngay từ đầu.
Đó là một điểm vô lý! Hoặc những chứng cứ này chỉ là hỏa mù cho một mục đích khác? Phải chăng K. mới chính là người đã tấn công hệ thống và dựng lên con backdoor netcat để đổ tội cho một tay hacker nào đó? Nếu không phải K. là thủ phạm thì làm thế nào tay hacker đó cài đặt được con netcat lên máy của K? Vì rõ ràng máy của K ko hề nằm trong bảng NAT của Router. Những câu hỏi, giả thuyết trái ngược nhau cứ rối beng lên trong đầu tôi.
Bắt đầu sắp xếp lại mọi thứ, tôi bắt tay bằng System Registry của hệ thống. Tại sao? Ngày giờ khởi tạo khóa trong Registry để chạy con backdoor kia khi hệ thống khởi động chính là ngày mà tên hacker đó làm chủ hệ thống? Uhm, ngày 28 tháng 01 năm 2005! Tôi tiếp tục bằng việc đọc system log của hệ thống mặc dù biết rằng một tay hacker “gà” nhất cũng sẽ xóa bỏ dấu vết của mình trên hệ thống đã bị xâm nhập.
Nhưng mặc kệ, cứ đọc đi, kinh nghiệm cho thấy không nên bỏ qua bất cứ một chi tiết nào dù là những chi tiết nhỏ nhất.
Ngày 28 tháng 01 năm 2005 là ngày hệ thống bị xâm nhập, tôi bắt đầu từ đó. Đúng như tôi dự đoán, system log đã được rửa sạch sẽ không một chút dấu vết nào, còn lại có thể nghi ngờ ngoài trừ việc system log của nhiều ngày liên tiếp giống nhau như anh em sinh đôi. Dễ hiểu thôi, đó chính là một system log giả mà hacker đã tạo ra để copy lên system log thực của hệ thống.
Bế tắc!!! Phải nói là tay hacker này khá thông minh. Hắn quá cẩn thận khi xóa sạch mọi thứ và chuẩn bị cả một system log giả để đưa vào thay thế cho system log thật đã bị xóa đi. Mọi đầu mối lần ra nguyên nhân bị xâm nhập của hệ thống có vẻ như đã bị triệt tiêu. Mọi thứ cứ như nằm dưới một màn sương mờ ảo, vừa ẩn vừa hiện, vừa có vẻ rõ ràng nhưng lại vừa khiến cho tôi phải nghi ngờ về tính xác thực của chúng. Thực sự, mọi thứ đã đi vào ngõ cụt. Tôi cảm thấy không còn đường để đi nữa.
3.1 Nhận diện
Một ngày sắp kết thúc! Đêm về khuya và tôi đi dạo sau một tách cafe nóng. Chân bước đi nhưng trong lòng rối bời vì những sự kiện mà tôi đã thu thập được. Ngồi xuống ghế và bắt đầu thư giãn, tôi nghĩ tới sự đổ vỡ của cả hệ thống của công ty A. nếu như không tìm được nguồn gốc của cuộc tấn công và ngăn chặn chúng.
“Đổ vỡ”! Bất chợt trong đầu tôi vang lên. “Ừ, tại sao không nhỉ? Nếu tôi là tay hacker đó, thì tôi sẽ làm thế nào để chiếm quyền cái máy trạm của K. trong khi không thể kết nối tới máy đó nếu không được sự cho phép của Router? Đường nào sẽ có thể tiếp cận với máy của K.? Tất nhiên là qua những dịch vụ truyền thống Internet rồi!!!”. Tôi lập tức quay trở lại bàn máy và phân tích log của hệ thống ở những phần đã bị crashed (gãy đổ) và mọi thứ nằm ngoài tưởng tượng của tôi. Ngay trước khi System Registry bị ghi vào khóa khởi động netcat là sự đổ vỡ hàng loạt của trình duyệt Internet Explorer. À há… Vấn đề chính là đây! Tôi bắt đầu lên các trang bugtraq để tìm kiếm thông tin về lỗi bảo mật của trình duyệt IE.
Và rồi những gì cần có đã có. IE bị mắc một lỗi nghiêm trọng cho phép hacker khai thác lỗi này từ xa thông qua một trang web và khi người dùng truy cập tới trang web này, một đoạn mã sẽ được tự động tải xuống và thực thi. Vậy là đã rõ, “hắn” – kẻ “xin tiền” giấu mặt đã khai thác lỗi của trình duyệt IE để cài netcat lên máy của K.. Nhưng port 23985
hoàn toàn không nằm trong bảng map NAT (Network Address Translation) của Router.
Vậy làm sao hắn ta có thể quản lý từ xa được máy của K. nhỉ? Hay là lỗi của Router? Tôi lập tức gọi cho quản trị mạng ở chi nhánh Y để hỏi mật khẩu truy cập vào Router. Và một bất ngờ nữa được tôi đón nhận ko mấy thích thú: tôi không thể đăng nhập vào Router bằng mật khẩu mà quản trị mạng của chi nhánh Y đã đưa. Nhưng như vậy là đã đủ. Tôi hài lòng với những gì mình thu nhận được trong ngày và quyết định đi ngủ để chuẩn bị cho ngày mai.
3.2 Lộ mặt
Một ngày làm việc bắt đầu với các dữ kiện đã được xâu chuỗi và bức tranh của cuộc xâm nhập đã hiện ra rõ ràng hơn. Đầu tiên, nhân viên K. truy cập vào một trang web để tìm cách bẻ khoá phần mềm hiệu chỉnh văn bản trên máy của anh ta. Trang web này ngoài file bẻ khoá phần mềm ra, tác giả đã hào phóng tặng cho K. một con backdoor netcat và một đoạn mã lên máy của K.
Đoạn mã thực thi ngay lập tức một lệnh để gửi một email về cho hacker IP WAN của hệ thống mạng trong công ty A. Hacker đã sử dụng hình thức brute force để bẻ mật khẩu của Router sau đó sử dụng nó để NAT port 23985 từ máy của K. ra ngoài. Nhân viên quản trị mạng của chi nhánh Y đã mắc phải một sai lầm nghiêm trọng khi đặt một mật khẩu quá đơn giản và dễ đoán cho Router. Và kết quả, điều đó đã tiếp tay cho kẻ tấn công. Sau khi xâm nhập vào được máy của K., hacker đã dùng máy này để tấn công tiếp vào mạng của công ty A. đặt tại trụ sở chính. Tài khoản VPN của K. đã được sử dụng để kết nối tới mạng tại trụ sở chính. Và đó là lí do tại sao mà các máy chủ tại trụ sở chính bị hack khi mà hệ thống máy chủ đó hoàn toàn nằm độc lập với mạng Internet. Tôi kết thúc một ngày với tách cafe tự thưởng cho mình sau khi đã có cái nhìn rõ ràng hơn về cuộc tấn công vào hệ thống.
Ngày thứ bảy. Tôi bắt đầu tổng kết về cuộc tấn công và đề ra kế hoạch khắc phục lại toàn bộ hệ thống cho công ty A.. Bắt đầu bằng việc rà soát lại toàn bộ chính sách bảo mật (security policy) của công ty và thay đổi những điều chưa hợp lý. Tất cả các mật khẩu của hệ thống được đặt lại theo “policy” mới, khó đoán hơn, an toàn hơn và tất nhiên cũng khó nhớ hơn. Các máy trong hệ thống máy tính đều được cài đặt trình quét virus và tường lửa cá nhân để tránh những trường hợp các hacker khai thác lỗi của trình duyệt cài đặt các đoạn mã độc hại. Các máy chủ đã bị xâm nhập được cài đặt lại sau đó nâng cấp các bản sửa lỗi nhanh (hot fixes) và các các bản sửa lỗi định kì từ nhà cung cấp Microsoft (services patch). Toàn bộ dữ liệu backup được phục hồi lại từ băng từ. Phải nói rằng rất may là chính sách sao lưu giữ liệu đã cứu cho công ty A. một bàn thua trông thấy.
Sau những ngày mệt mỏi, tôi tự thưởng cho mình một ngày thư giãn và rút lại những bài học cho mình.
- Không có gì là tuyệt đối cả. Một hệ thống chắc chắn tưởng chừng như không thể xâm phạm từ bên ngoài đã bị đánh sập trước một hacker từ bên ngoài.
- Hãy tôn trọng địch thủ của mình. Hệ thống bị xâm nhập và đội ngũ kĩ thuật của công ty A. đã coi thường lời cảnh báo của tay hacker trong email đe dọa của hắn. Nếu như dữ liệu khách hàng không được backup hàng ngày, có lẽ hậu quả sẽ còn nghiêm trọng hơn rất nhiều.
- Tôn trọng chính sách bảo mật của công ty đồng thời tự bản thân mỗi nhân viên phải có ý thức về những việc mình làm. Nếu như nhân viên K. không truy cập vào các site cung cấp crack (vốn đầy rẫy virus, trojans, backdoors, adware, spyware …) thì có thể hệ thống máy chủ của công ty A. sẽ không bị xâm nhập.
- Hãy đặt mình vào vị trí của hacker để có những giả thuyết hợp lý để xử lý các tình huống.
- Luôn luôn tỉnh táo nhìn nhận sự việc ở nhiều góc độ, tránh bị những cái bẫy của các hacker hạ đo ván.
- Và cuối cùng, một câu nói muôn thưở mà chúng ta đã nghe nhắc nhiều lần : “Bảo mật thông tin nằm trong ý thức của mỗi con người”. Không thể nói rằng, chúng tôi có một chính sách bảo mật tốt, một hệ điều hành tốt, một firewall tốt, một máy chủ mạnh và chúng tôi sẽ đảm bảo an toàn thông tin của mình. Đó là một trong những quan niệm sai lầm phổ biến của các nhà quản trị hệ thống.