Xâm nhập thế giới Hacker (kỳ 1): Đột nhập và truy tìm

Hôm trước nghe tin một hacker đánh sập một trang web, hôm sau lại nghe hacker khác thâm nhập kho thông tin, “chôm” dữ liệu, ăn cắp tài khoản...

Truy cập vào một địa chỉ quen thuộc, thay vì một giao diện quen thuộc, ta lại bắt gặp một màn hình đen ngòm và một nội dung lạ hoắc. Hacker là ai? Thế giới của hacker ra sao?...

Đột nhập lúc nửa đêm

Hôm nay đã là 27 rồi, G. truy cập vào http://online.finternet.vn (vì tính an toàn, chúng tôi không sử dụng những trang web thật, trang web trong bài chỉ là một ví dụ) để xem cước Internet tháng này của hắn là bao nhiêu. Hơn 1 triệu đồng như thường lệ. Thông thường G. sẽ đón nhận con số này một cách bình thản, nhưng bây giờ đã thành một vấn đề lớn: hắn vừa mất việc tháng trước.

G. là người chuyên phát triển các website thương mại từ hơn một năm nay, càng nhìn con số 1 triệu đồng tiền cước, hắn càng tức. Dịch vụ thì hỡi ôi, giá cả trên trời, chất lượng không ổn định. “Phải chơi tụi này một vố mới được, cũng là tự cứu mình”, G. tự nhủ.

Nửa đêm, G. quyết tâm xâm nhập FInternet. Mục tiêu chính là hệ thống lưu trữ và tính cước. Sau 30 phút tìm hiểu, G. đã có kha khá thông tin. Website này được đặt trên một máy chủ chạy hệ điều hành Windows với hệ cơ sở dữ liệu MS SQL, máy chủ web IIS và ngôn ngữ lập trình web ASP, có địa chỉ kết nối mạng Internet là 203.162.xxx.xxx.

Sở dĩ G. nhanh chóng tìm mật khẩu cùng những thông tin khác của webmaster và Khoand (và tất cả nhân viên FInternet) là bởi vì G. biết nhân viên FInternet thế nào cũng được sử dụng Internet miễn phí và 80% thường sử dụng tên tuổi, địa chỉ, số nhà, số điện thoại để đặt mật khẩu. Và nguy hiểm hơn, họ dùng ngay mật khẩu đó cho tất cả tài khoản của mình, từ tài khoản truy cập Internet, đến hộp thư Yahoo và đôi khi dùng làm cả số PIN cho thẻ ATM!

Ngoài website http://online.finternet.vn, máy chủ 203.162.xxx.xxx còn chứa nhiều website khác, đáng chú ý nhất là http://news.finternet.vnhttp://friendclub.finternet.vn. Ngay khi truy cập, G. liền xem mã nguồn của http://friendclub.finternet.vn. Tác giả là khoand@finternet.vn, công cụ dùng để tạo website là Microsoft FrontPage. Khoand - Nguyễn Đăng Khoa chăng? G. bắt đầu dò tìm ngay công cụ quản lý website. Sau đó tìm hồ sơ của tài khoản webmaster và tài khoản Khoand với hi vọng lấy được vài thông tin hữu ích. G. nhập ngay vào hai textbox chuỗi số rồi nhấn enter.

Và đúng như hắn đoán, tên thật của Khoand là Nguyễn Đăng Khoa, lớn hơn hắn bốn tuổi, cũng sống ở TP.HCM. G. kéo lẹ thanh trượt xuống phía dưới, dáo dác tìm cái mà hắn đang chờ đợi. À, đây rồi, mật khẩu. 100% website mà G. “viếng thăm” đều không mã hóa mật khẩu của người dùng, một sơ hở rất đáng trách.

Có được mật khẩu của Khoand, G. thử kết nối vào FInternet. Tuyệt vời! G. “hô biến” cục nợ 1 triệu đồng tiền cước của tháng này đi và “dạy cho FInternet một bài học”. Đối với FInternet thì mật khẩu vào Internet cũng là mật khẩu tài khoản email, do đó G. liền đăng nhập vào hộp mail khoand@finternet.vn.

Quá trời email! G. download (tải) tất cả email này về máy tính của hắn. Có rất nhiều thông tin hấp dẫn trong những email này, nhưng đáng chú ý nhất là một email có nội dung như sau: Một proxy (giống như bức tường lửa, được thiết kế để bảo vệ tài nguyên trong các mạng cục bộ khi nối kết các mạng khác như mạng Internet) cho phép kết nối từ bên ngoài vào! Cánh cửa mà hắn tốn công tìm chìa khóa giờ đã mở.

Quá nửa đêm, hắn đã vào được “nhà”, có thể ra vô từng “căn phòng”, di chuyển “đồ đạc” trong “phòng” thế nào cũng được. “Ngôi nhà thông tin” của FInternet giờ đã thành nhà của hắn…

Truy tìm “hung thủ”

Công ty A là một công ty lớn, có chi nhánh tại TP.HCM và trên toàn thế giới với hàng ngàn nhân viên. Chính sách bảo mật của Công ty A rất tốt và được cập nhật đều đặn hằng tháng. Các nhân viên công nghệ thông tin (IT) của Công ty A có nhiều kinh nghiệm trong việc xử lý các sự cố trên hệ thống mạng. Để phục vụ việc truy cập dữ liệu cho toàn bộ các chi nhánh trên khắp thế giới, văn phòng chính quyết định sử dụng hệ thống mạng riêng ảo (VPN) để dễ quản lý và có các chính sách bảo mật hợp lý.

Một buổi sáng thứ hai, ông P. - tổng giám đốc - ngồi đọc các email từ đối tác, cấp dưới, thông tin phản hồi của khách hàng… Nhưng hôm nay, ông P. bị một email có tiêu đề đẫm mùi giang hồ thu hút: “Công ty A - Sống hay chết?”, email này gửi từ địa chỉ của giám đốc phụ trách kỹ thuật với nội dung thông báo rằng toàn bộ hệ thống mạng của công ty đã bị kiểm soát.

Đáng ngạc nhiên hơn là email gửi kèm một file chứa cấu trúc thư mục của một số máy chủ phục vụ web đặt tại văn phòng chính, cùng với yêu cầu một số tiền lớn để giữ im lặng và không khai thác dữ liệu về khách hàng của công ty. Chẳng những vậy, kẻ tống tiền còn kèm theo một lời cảnh cáo rằng không nên đụng gì tới các máy chủ đã bị xâm nhập, nếu không sẽ phải trả giá đắt!

Một chuyện đùa ư? Thế này thì không thể nào đùa rồi!”, ông P. tự nhủ. Bốc điện thoại, ông điện ngay cho giám đốc kỹ thuật M. và ông được xác nhận rằng M. không hề gửi một email nào như thế. Bộ phận IT của công ty nhanh chóng bắt tay vào việc và đưa ra giải pháp cho tình huống.

Họ rút cáp của máy chủ tình nghi bị xâm nhập ra khỏi hệ thống mạng nhưng lập tức màn hình các máy chủ này xuất hiện những hình hoạt hình nhảy múa và rồi tất cả chỉ còn một màu đen! Nhân viên bộ phận IT hốt hoảng tắt máy và gọi điện nhờ N. - một nhân viên bảo mật chuyên “xử lý” hacker tại TP.HCM - đến giải quyết.

Ngay chiều hôm đó, N. có mặt tại hiện trường xảy ra “vụ án”. “Tổ chức khá qui mô và bài bản”, N. tự nhủ sau khi tiếp cận với hệ thống mạng của Công ty A. Sau khi kiểm tra, N. đặt ra hai giả thuyết: 1. Hệ thống đã bị nhân viên công ty tấn công từ bên trong; 2. Hệ thống tường lửa phần cứng (Hardware Firewall - HF) có lỗi và bị khai thác lỗi đó.

Có thể loại bỏ trường hợp bị tấn công trực tiếp từ bên ngoài? Vẫn chưa có gì chắc chắn cả! Quay lại các máy chủ đã bị “chết”, N. phát hiện toàn bộ các máy chủ đó đã bị xóa sạch. Hiện trường xảy ra “vụ án” đã bị phi tang sạch sẽ. Điều này cũng đồng nghĩa với việc các đầu mối để điều tra cuộc tấn công đã bị xóa sạch và cuộc điều tra lại cuộc tấn công của hacker được đưa vào một ngõ cụt tối tăm.

Ngày hôm sau, sau đợt tổng kiểm tra HF, N. quay lại với manh mối duy nhất lúc đó là email đã được gửi tới tổng giám đốc của công ty. Dò tìm, N. biết được email này được gửi từ chi nhánh Y và chiếc máy sở hữu địa chỉ này chính là một máy trạm làm việc của nhân viên K. làm việc lâu năm trong công ty.

Theo yêu cầu của ban quản lý, ổ cứng của máy tính này nhanh chóng được tháo ra và chuyển tới văn phòng chính. Hai ngày sau, ổ cứng của máy tính từ chi nhánh Y đã được chuyển tới. N. gắn nó vào một máy tính độc lập với mạng của Công ty A để bắt đầu quá trình kiểm tra. Phải công nhận rằng tay hacker này cũng rất thông minh khi đặt tên của “trojan cửa hậu” (backdoor) trùng tên với một tập tin hệ thống. Nó dễ dàng đánh lừa những người thiếu kinh nghiệm và cả những người có kinh nghiệm nhưng thiếu cẩn thận.

Một bức tranh sơ lược nhanh chóng được phác họa trong đầu N.: hacker tấn công vào máy trạm của nhân viên K. để chiếm quyền điều khiển. Sau đó dùng máy này tấn công tiếp vào các máy trong trụ sở chính và gửi email để “xin tiền”.

THANH VI - VI THẢO - THANH TRỰC

Tấn công, xâm nhập, phá hoại hệ thống, thay đổi thông tin, truy tìm kẻ tấn công các website… Hacker là ai? Những cuộc trò chuyện với các “thầy phù thủy” của “cõi không dây” sẽ giúp bạn hiểu hơn về thế giới này.

Kỳ tới: “Phù thủy” của “cõi không dây”

Thứ Ba, 16/10/2018 15:40
51 👨 4.489
0 Bình luận
Sắp xếp theo