HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN CHO CÁC MẠNG TIN HỌC VIỆT NAM

Cuối năm 1999, web site của ĐHQG-HCM bị cracker từ nước ngòai thay đổi bằng một nội dung phản động ! Đây là hồi chuông cảnh báo đầu tiên về khả năng bị tấn công từ ngòai vào mạng ĐHQG-HCM và giúp chúng ta cảnh tỉnh về trình độ còn rất non yếu của nhóm quản trị mạng ĐHQG-HCM về vấn để bảo mật hệ thống.

Trang 1

THÀNH PHỐ HỒ CHÍ MINH Tháng 12 năm 2003

ĐỀ TÀI NGHIÊN CỨU ỨNG DỤNG

HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN CHO CÁC MẠNG TIN HỌC VIỆT NAM

Báo cáo tổng quan

Trang 2

2

BÁO CÁO TỔNG KẾT ĐỀ TÀI NGHIÊN CỨU

“HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN CHO CÁC MẠNG TIN HỌC VIỆT NAM”

Thành phố Hồ Chí Minh ngày 9/12/2003

Thực hiện đề tài

KS Phạm Hòang Bảo SaigonCTT

KS Nguyễn Như Hảo ĐHQG-HCM

CN Thái Nguyễn Hòang Nhã Cisco Việt nam

Trang 3

1 Hịan cảnh hình thành đề tài

Cuối năm 1999, web site của ĐHQG-HCM bị cracker từ nước ngịai thay đổi bằng một nội dung phản động ! Đây là hồi chuơng cảnh báo đầu tiên về khả năng bị tấn cơng từ ngịai vào mạng ĐHQG-HCM và giúp chúng ta cảnh tỉnh về trình độ cịn rất non yếu của nhĩm quản trị mạng ĐHQG-HCM về vấn để bảo mật hệ thống

Sớm nắm được mối hiểm nguy khi kết nối vào Internet và nhận thấy sự cần thiết phải nâng cao trình độ của cán bộ quản trị mạng, Lãnh đạo ĐHQG-HCM đã phê duyệt đề tài nghiên cứu trọng điểm cấp ĐHQG về “An tịan và bảo mật hệ thống thơng tin” Nội dung chính của đề tài là tìm hiểu các phương thức xâm nhập hệ thống của các hacker/cracker nhằm nâng cao trình độ quản trị mạng và tăng cường khả năng bảo mật cho các máy chủ Đề tài đã được triển khai trong hơn một năm và được nghiệm thu cuối năm 2001 với

kết quả tốt Nội dung chính của đề tài là tìm hiểu các phương thức xâm nhập một hệ

thống tin học và đề ra một số phương pháp phòng chống như qui trình xây dựng máy

chủ an toàn, một số phương pháp phát hiện backdoor …

Đề tài của ĐHQG chính là bước chuẩn bị kỹ thuật cho phép triển khai đề tài đang được

đề cập Với những kiến thức, kỹ năng về tìm hiểu các sơ hở của hệ thống tích lũy từ đề tài của ĐHQG-HCM, chúng ta có thể tìm ra các sơ hở của các mạng tin học thông qua Internet, cảnh báo các nhà quản trị mạng thông qua các thông tin “nặng ký” như thông báo sơ hở với những bằng chứng như password của admin, thông tin tài khoản cá nhân, khả năng thay đổi nội dung Website …

Tự biết mạng tin học của mình sơ hở và tự sửa chữa là một điều rất khó khăn Với hơn

một năm nghiên cứu vấn đề bảo mật hệ thống của một số mạng tin học của Việt nam, kể cả các mạng ISP chuyên nghiệp như VDC, FPT, SaigonNet, Netnam … chúng tôi nhận thấy hệ thống mạng của chúng ta còn nhiều sơ hở Tuy nhiên biết được hệ thống mạng của mình bị tấn công hoặc đã bị xâm nhập là một vấn đề khó khăn, thậm trí nhiều khi rất khó khăn Có hai nguyên nhân chính gây nên khó khăn trên Trước tiên là vấn đề kỹ thuật, các xâm nhập rất đa dạng, phong phú và thay đổi nhanh do tiến bộ không ngừng của kỹ thuật Sau đó là trình độ kỹ thuật, ý thức về nguy cơ của cán bộ quản trị hệ thống đa phần còn thấp Cũng phải nhận thấy rằng bảo đảm một hệ thống phức tạp, nhiều dữ liệu quan trọng là một công tác mệt nhọc và khó khăn Người quản trị phải đọc nhiều thông tin thông qua các tập tin log, kiểm tra tính toàn vẹn các tiện ích quan trọng, theo dõi thông tin trên Internet, tham gia các forum về security và xử lý các thông tin, thường xuyên nâng cấp các phần mềm vá lỗ thủng bảo mật, lưu trữ (backup) một cách hệ thống… Công cụ hỗ trợ thực sự là cần thiết đối với công tác này

Cần thiết có sự hỗ trợ hoàn toàn miễn phí và hiệu quả của Nhà nước đối với các mạng tin học công cũng như tư nhân Hiện tại chúng ta cũng đã có một số trung tâm hoạt

động trong lĩnh vực này như VISC, trung tâm bảo mật hệ thống Đại học Bách khoa Hà nội Tuy nhiên thực tế cho thấy ít đơn vị nào tự bỏ ra chi phí để “nhờ” đơn vị ngoài

Trang 4

4

xem lại hệ thống mạng của mình khi chứa thấy hoặc không biết mạng của mình bị tấn công Vì vậy sự hỗ trợ miễn phí để cảnh báo các mạng tin học và trợ giúp quyết định đầu tư sâu hơn là thực sự cần thiết Đầu tư giúp các đơn vị tìm ra điểm yếu của mình là hỗ trợ thiết thực cho phát triển ngành CNTT của nước ta

Những nhà quản trị mạng cần có công cụ hỗ trợ hiệu quả cho phép phát hiện các xâm nhập hoặc ý định xâm nhập từ ngoài Như đã đề cập ở trên, phát hiện xâm nhập là một

bài toán khó và chúng ta cần có những công cụ mạnh như hệ thống phát hiện xâm nhập Intrusion Detection System (IDS) Thực ra đây là họ gồm nhiều các công cụ phần cứng và phần mềm khác nhau Nhóm nghiên cứu đã tìm hiểu tài liệu, triển khai thử nghiệm, so sánh tính năng các hệ thống khác nhau và đưa ra các khuyến cáo là cần thiết

2 Mục tiêu của đề tài

Với các phân tích như ở trên, mục tiêu chính của đề tài nhằm vào các vấn đề sau:

a/ Tìm ra các sơ sở của các mạng với kết nối trực tiếp Internet của Việt nam

b/ Thông báo cho các mạng tin học có sơ hở lỗi cùng với các minh chứng Cung cấp các phương thức sửa chữa như download giúp các phần mềm vá lỗi, hoặc chỉ dẫn các cấu hình sửa chữa Kiểm tra lỗi sau khi đã sửa chữa

c/ Xây dựng website với mức độ bảo mật cao Công bố mô hình Website và phương thức xây dựng cho phép các đơn vị được triển khai miễn phí

d/ Nghiên cứu so sánh các công nghệ IDS cứng và mềm Đưa ra các khuyến cáo

3 Các nội dung chính của đề tài

a/ Khảo sát hiện trạng

Phần khảo sát hiện trạng sẽ gồm 2 phần

Phần 1: Thu thập thông tin về tất cả các mạng tin học của Việt nam Mạng tin học Việt

nam là những mạng tin học mà điểm kết nối của nó nằm sau các cổng gateway của Việt nam Nói một cách kỹ thuật, đó là những mạng sử dụng hệ thống địa chỉ IP của Internic cấp phát cho Việt nam Do đó, những mạng tin học có tên miền không kết thúc bằng vn những được truy cập thông qua các IP của Việtnam sẽ là các đối tượng nghiên cứu

Các thông tin thu thập sẽ bao gồm danh sách các dịch vụ mà mạng đó cung cấp ra ngoài, các đặc điểm chuyên biệt của các dịch vụ, hệ thống máy chủ và các phần mềm tương ứng, các thiết bị mạng, đặc biệt là các thiết bị liên qua tới bảo mật

Các thông tin này sẽ được thu thập từ nhiều nguồn khác nhau như dùng công cụ khảo sát mạng, tra thông tin DNS, tra thông tin trên trang Web …

Phần 2: Thu thập thông tin về các sơ hở của mạng cùng các kỹ thuật xâm nhập mới

Nhóm nghiên cứu cần được cập nhật các kiến thức về các phiên bản hệ điều hành mới

Trang 5

như Solaris 9, RedHat Linux 8, Windows Xp … cùng với các thông tin liên quan tới các

sơ hở mới được phát hiện Các kỹ thuật xâm nhập quan trọng cần được triển khai thử nghiệm tại các mạng tin học mà nhóm nghiên cứu đang làm việc để có thể nắm vững các kỹ thuật này Các phiên bản mới của hệ điều hành, của trình dịch vụ … cần được cài đặt cho công tác thử nghiệm Ngoài ra, nhóm nghiên cứu cần phân công nhau đăng ký vào các forum chuyên ngành, xử lý thông tin trên đó và tìm ra những thông tin mới nhất

b/ Xây dựng Web site

Xây dựng một Website chuyên biệt để phục vụ đề tài Các kiến thức, công nghệ mới nhất về bảo mật một website sẽ được triển khai Hệ thống cổng thông tin iPortal, phương thực xác thực LDAP, Radius, phương thức kết nối an toàn giữa máy chủ dữ liệu và máy chủ Web, các tiện ích phát hiện xâm nhập … sẽ được triển khai để có được một Web site an toàn nhất Website này sẽ là đối tượng đầu tiên và quan trọng nhất của nhóm nghiên cứu tấn công thử nghiệm Ngoài ra, nhóm nghiên cứu sẽ mời rộng rãi những người quan tâm tới bảo vệ hệ thống tin học tấn công thử nghiệm Website này

c/ Nghiên cứu và triển khai thử nghiệm IDS

Hai công nghệ đã được nhóm đề tài nghiên cứu là thiết bị IDS của hãng Cisco và phần mềm snort trên hệ điều hành Linux hoặc Sun Solaris Các thiết bị/phần mềm này đã được triển khai trong cùng một hệ thống mạng với Website bugsearch của đề tài nhằm xem xét khả năng phát hiện xâm nhập thực tế cũng như xâm nhập thử nghiệm của bản thân nhóm đề tài Trong quá trình triển khai trên thực tế, nhóm dự án đã xem xét thêm Internet Security System – ISS Đây là một sản phẩm IDS rất mạnh, đầy đủ của hãng Nokia, đã được bưu điện Hà nội và bưu điện Tp HCM triển khai cho 2 Trung tâm cung cấp dịch vụ Internet mới của mình

d/ Dò tìm sơ hở mạng

Sau khi thực hiện thu thập thông tin thông qua khảo sát hiện trạng, nhóm nghiên cứu đã triển khai công tác dò tìm các sơ hở

Công tác tìm sơ hở phải thỏa mãn các tiêu chí sau:

• Không được gây bất cứ một sự rối loạn nào, dù nhỏ, trong hoật động bình thường của mạng

• Không được lấy, sử dụng bất kỳ bất kỳ dữ liệu nào của mạng nghiên cứu

• Các bằng chứng về sơ hở có tính thuyết phục cao, đặc biệt có tính nghiêm trọng của hậu quả nếu bị xâm nhập cho phép phụ trách kỹ thuật của các hệ thống mạng có thể thuyết phục lãnh đạo về các đầu tư nhằm tăng cường an ninh của mạng tin học của mình

• Trong trường hợp mạng đã có sơ hở, tìm kiếm các backdoor có thể có do các cracker đã làm trước đó Đây là một nội dung có tầm quan trọng đặc biệt vì nếu mạng đã có sơ hở thì với xác suất cao là mạng đã bị xâm nhập và bị cài

Trang 6

6

backdoor Các backdoor đó có thể được che dấu tính vi và thực sự nguy hiểm nếu không phát hiện được chúng Với nhiều hệ thống, một khi một máy có backdoor thì tất cả các thiết bị, phần mềm bảo mật đắt tiền khác của hệ thống sẽ bị vô hiệu hóa

e/ Nghiên cứu các phương pháp bảo vệ và đánh giá hiệu quả

Sau khi phát hiện các sơ hở, đánh giá mức độ nguy hiểm của từng sơ hở, nhóm nghiên cứu sẽ xem xét các phương thức bảo vệ Các giải pháp bảo vệ khác phục sơ hở sẽ được thông báo chi tiết tới các mạng tin học có vấn đề Trong khả năng cho phép, nhóm nghiên cứu sẽ tải về và chuyển giao các phần mềm cần thiết cho đối tượng nghiên cứu cùng với các khuyến cáo

f/ Đào tạo và chuyển giao công nghệ

Nhóm nghiên cứu sẽ tổ chức một một hội thảo rộng rãi cho khoảng 50 lãnh đạo và chuyên viên IT và một lớp tập huấn cho 20 quản trị viên mạng tin học, đặc biệt là cho các công ty đã phối hợp chặt chẽ với nhóm nghiên cứu, nhằm nâng cao trình độ bảo vệ hệ thống của các cán bộ quản trị mạng Chi phí của các hoạt động này đã được dự trù trong kinh phí của đề tài

4 Các kết quả nghiên cứu đạt được

4.1 Khảo sát hệ thống địa chỉ IP cùng tên miền của các máy tính nối mạng Internet của Việt nam

4.1.1 Phương pháp khảo sát

Lấy danh sách các tên miền của Việt nam Hiện nay, các máy chủ tên miền của Việt nam khơng cho phép thực hiện chức năng list cho phép xem các record của tên miền Vì vậy, nhĩm triển khai phải sử dụng các nguồn thơng tin thu thập từ nhiều nguồn khác nhau và được một danh sách như trong bảng sau

Phương pháp tiếp theo để thu thập các địa chỉ IP của Việt nam là thơng qua các thơng tin của Internic về các AS đã phân bổ cho Việt nam Sử dụng thơng tin này, chúng ta cĩ được thơng tin chính xác về các địa chỉ IP của Việt nam, nhưng

sử dụng các địa chỉ này gặp khĩ khăn lớn là cĩ rất nhiều địa chỉ chưa sử dụng

và việc quét hết danh sách này tốn rất nhiều thời gian và đường truyền Thêm nữa đa phần các địa chỉ IP của chúng ta khơng cĩ phân giải ngược IP về tên miền nên nhiều khi nhĩm dự án phát hiện sơ hở của máy chủ nhưng khơng xác định được máy chủ thuộc đơn vị/cơng ty nào

Nhĩm dự án xây dựng một chương trình ngắn để phân giải ngược tự động các địa chỉ IP của Việt nam

Trang 7

4.1.2 Kết quả thực hiện được

• Xác định rõ các địa chỉ IP của các mạng tin học Việt nam

• Tổ chức “quét” (scan) số lượng lớn các địa chỉ IP của Việt nam nhằm tìm ra các sơ hở dựa trên các lỗi đã được công bố trên Internet Đặc biệt, chúng tôi

có quan tâm đặc biệt tới các địa chỉ của các mạng quan trọng như Webcity, VDC, SaigonNet, Netnam …

Các kết quả trên được trình bày cụ thể trong các phần sau

4.2 Tìm hiểu các dịch vụ triển khai trên các máy chủ của các mạng tin học Việt nam,

Cơ sở dữ liệu các địa chỉ IP cùng với các thông tin về dịch vụ đang mở trên từng IP là rất quan trọng, cho phép chúng ta nhanh chóng xác định khả năng bị xâm nhập đối với một máy tính Giả sử ta có được thông tin từ Internet về một kiểu sơ hở, ta có thể tìm trong cơ

sở dữ liệu này địa chỉ IP có sơ hở tương ứng và nhanh chóng tiến hành xâm nhập thử nghiệm xem có thể hiện thực hóa xâm nhập được hay không

Theo thông tin từ APNIC, tổ chức quản lý Internet tại châu Á, Việt nam chúng ta có 3 vùng AS (Autonomous System) (http://ftp.apnic.net/stats/apnic/) và khỏang 83456 IP

Việc “quét” tòan bộ tất cả các IP trên là một công việc lớn và làm ảnh hưởng nhiều tới mạng của máy đi quét cũng như máy bị quét Nhóm nghiên cứu đã phải tực hiện chủ yếu các thao tác này vào nghỉ cuối tuần và ban đêm Chiến lược “quét” của chúng tôi là dò tìm tất cả các port trên một số mạng quan trọng, các IP quen biết và dò tìm một số cổng dịch vụ phổ biến cho các IP khác

Cụ thể là công tác dò tìm các port cơ bản được thực hiện cho

203.113.128.0 (8192)

203.160.0.0 (512)

203.161.0.0 (1024)

203.162.0.0 (4096)

apnic VN ipv4 203.113.128.0 8192 20020904 allocated

Trang 8

Tỉ lệ IP đã scan của vùng này 11.35%

Cùng với dò tìm các sơ hở một cách đại trà trên mạng, nhòm nghiên cứu cũng đã thực hiện việc phân giải tên của các IP để biết chủ sở hữu của các IP Với một phần mềm nhỏ, nhóm nghiên cứu đã thử cho tất cả các địa chỉ IP nhưng chi phân giải được 783 địa chỉ, chiếm 0,94 % Nguyên nhân của kết quả này là rất nhiều địa chỉ IP chưa sử dụng, địa chỉ

IP dùng cho kết nối động qua dial-up, ADSL; IP dùng cho kết nối routers; và rất nhiều tên miền không có phân giải ngược IP-> tên trong Cơ sở dữ liệu DNS Phụ lục B sao trính một phần các địa chỉ IP có tên miền tương ứng

Các tiện ích được sử dụng để tiến hành thăm dò các dịch vụ đang họat động trên một máy chủ là

• Trên Windows: SuperScan (thích hợp khi cần scan nhanh)

• Trên Unix: nmap, nessus

Kết quả thăm dò các mạng khá dài (trên 2000 trang), do đó nhóm đề tài chỉ xin trích đoạn một số kết quả làm ví dụ:

203.113.142.14

Service Severity Description

telnet (23/tcp) Info Port is open

general/udp Low For your information, here is the traceroute to 203.113.142.14 :

192.168.20.2

203.113.142.14

telnet (23/tcp) Low An unknown service is running on this port

It is usually reserved for Telnet

telnet (23/tcp) Low Remote telnet banner :

User Access Verification

Trang 9

Password:

general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to predict the next value of the ip_id field of the ip packets sent by this host

An attacker may use this feature to determine if the remote host sent a packet in reply

to another request This may be used for portscanning and other things

Solution : Contact your vendor for a patch

Risk factor : Low

general/tcp Low The remote host does not discard TCP SYN packets which have the FIN flag set

Depending on the kind of firewall you are using, an attacker may use this flaw to bypass its rules

See also :

http://archives.neohapsis.com/archives/bugtraq/2002-10/0266.html

http://www.kb.cert.org/vuls/id/464113

Risk factor : Low

general/tcp Low Remote OS guess : Cisco X.25/TCP/LAT Protocol Translator ver 8.2(4)

CVE : CAN-1999-0454

203.113.142.30

telnet (23/tcp) Info Port is open telnet (23/tcp) Low The Telnet service is running This service is dangerous in the sense that it is not ciphered - that is, everyone can sniff the data that passes between the telnet client and the telnet server This includes logins and passwords

You should disable this service and use OpenSSH instead

(www.openssh.com)

Risk factor : Low

Trang 11

CVE : CAN-1999-0619

general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to predict the next value of the ip_id field of the ip packets sent by this host

Risk factor : Low

general/udp Low For your information, here is the traceroute to 203.113.142.30 :

192.168.20.2

203.113.142.30

telnet (23/tcp) Low A telnet server seems to be running on this port

general/tcp Low Remote OS guess : Cisco 3600 running IOS 12.2(6c)

CVE : CAN-1999-0454

Page 10

telnet (23/tcp) Low Remote telnet banner :

User Access Verification

BID : 7487

(Ngắt trích đọan ở đây …)

4.3 Các sai sót tìm thấy và có thể bị khai thác tại mạng tin học Việt nam

Sau khi “quét” một cách hệ thống các địa chỉ IP của Việt nam và biết được các dịch vụ

mà các máy tính đang sử dụng, nhóm đề tài lựa chọn và xâm nhập thử nghiệm các máy tính này Kết quả thử nghiệm được trình bày ở phần sau Với mỗi máy bị xâm nhập, chúng tôi cố gắng xác định chủ nhân của máy, miêu tả hệ điều hành, các lỗi mà qua đó ta

có thể xâm nhập hệ thống và một số sao chép từ màn hình minh họa cho xâm nhập thành công của nhóm đề tài Các màn hình minh học dạng copy màn hình khôg được in ở đây

Trang 12

i Telnetd exploit trên Solaris cho các version 2.6, 2.7, 2.8

ii Exploit code đã được công bố trên internet khá lâu

iii Dùng exploit code trên máy Linux từ xa có thể chiếm được shell với quyền của user

bin

d Lỗi local

i priocntl exploit trên Solaris với cấu trúc lệnh 64 bit

ii Lỗi này cũng đã được thông báo trên internet

iii Khai thác thành công đem lại root shell

iv Kết quả:

1 tạo file /etc/.bugsearch

2 copy file /etc/passwd, /etc/shadow

( Exploit code, /etc/passwd,/etc/shadow và màn hình copy đính kèm )

2) 203.162.53.51 ( Stelecom)

Trang 13

c Lỗi remote: Telnetd, mật khẩu yếu

- Xâm nhập thành công qua 2 user: hrl và oms, user root không login từ xa được

- Có thể khai thác lỗi của telnetd và chiếm được remote shell dưới quyền user bin

d Lỗi local

- Thử su và dò thành công password root

- Có thể khai thác lỗi local xlock overflow

e Các server lân cận bị khai thác

inet 10.1.11.12 netmask ffff0000 broadcast 10.1.255.255

Trang 14

Sun Microsystems Inc SunOS 5.7 Generic October 1998

You have new mail

oms1# w

1:15pm up 103 day(s), 2:48, 2 users, load average: 0.02, 0.02, 0.02

User tty login@ idle JCPU PCPU what

oms console 20Jun03103days /usr/dt/bin/sdt_shell -c unseten

oms pts/3 16Sep0315days /bin/csh

oms pts/7 Sun 7pm 27:55 telnet hlr

oms pts/8 9:42am 3:14 telnet hlr

4 Lỗi remote: telnetd

Từ máy oms2 dùng lệnh arp –a để tìm các máy lân cận, ta thấy có máy IWM, thử

telnet với các user trên các máy đã xâm nhập được và các passwd đơn giản nhưng không thành công

Lấy file binary dùng để khai thác lỗi telnetd từ máy của ta vào máy hrl ( vì không

biên dịch được trên các server này)

Từ shell ta thực thi file này và chiếm được user bin trên máy IWM

5 Lỗi local

- Khai thác lỗi xlock giống như máy hrl nhưng không thành công

- Với quyền của user bin có thể xem được file /etc/passwd Ta thấy trong máy này không có nhiều user, chỉ có user common là có thể tận dụng được, thử su từ bin sang

common và dò password nhưng không thành công

- Thoát khỏi IWM và quay lại hrl, thực hiện lại file khai thác lỗi telnetd với user là

common, thành công, ta có được shell với quyền của user common Thử lệnh su ta

được ngay quyền root mà không cần passwprd

3) 203.162.53.52 ( Stelecom)

a Hệ điều hành: Solaris 7

b Hostname: ho_eipa

Trang 15

c Local IP: 10.1.120.11 - 10.1.110.21

d Lỗi remote: Telnetd với password đơn giản

Có thể telnet vào máy này bằng user root và password root

[root@bugsearch hao]# telnet 203.162.53.52

Last login: Mon Sep 29 13:47:47 from hanoi_eipa

Sun Microsystems Inc SunOS 5.7 Generic October 1998

You have mail

Vì quyền root đã chiếm được nên không cần xét đến các lỗi local khác

Ta xem qua file /etc/passwd, có thể server này đã bị tạo user có quyền tương đương root

ho_eipa# more /etc/passwd

listen:x:37:4:Network Admin:/usr/net/nls:

Trang 16

user same có uid=0, gid=1 có quyền tương đương root

f Các server lân cận bị khai thác

Dùng lệnh arp –a trên server vừa vào được ta thấy kết quả sau:

ho_eipa# arp -a

Net to Media Table

Device IP Address Mask Flags Phys Addr

- - - - - hme0 10.1.120.1 255.255.255.255 00:00:0c:07:ac:78 hme0 ho_eipb 255.255.255.255 08:00:20:fa:6c:c6

hme1 ho_eipaa 255.255.255.255 SP 08:00:20:fa:47:da

hme0 ho_eipa 255.255.255.255 SP 08:00:20:fa:47:da hme1 224.0.0.0 240.0.0.0 SM 01:00:5e:00:00:00 hme0 224.0.0.0 240.0.0.0 SM 01:00:5e:00:00:00 ho_eipa#

Ta thấy có các host sau 10.1.120.1, ho_eipb, ho_eipaa (chính là

ho_eipa vì cùng MAC address)

thử telnet 10.1.120.1 ta thấy đây là Switch, ho_eipb là 1 máy Sun

Trang 17

HP-UX smschoa B.11.00 U 9000/800 (tb)

login: root

Password:

Please wait checking for disk quotas

RESTRICTED RIGHTS LEGEND

Use, duplication, or disclosure by the U.S Government is subject to restrictions as set forth in sub-paragraph (c)(1)(ii) of the Rights

WARNING: YOU ARE SUPERUSER !!

Trang 18

Local flow control on

Telnet TERMINAL-SPEED option ON

HP-UX smschob B.11.00 U 9000/800 (ta)

login: root

Password:

Please wait checking for disk quotas

California

RESTRICTED RIGHTS LEGEND

Use, duplication, or disclosure by the U.S Government is subject to

restrictions as set forth in sub-paragraph (c)(1)(ii) of the Rights

WARNING: YOU ARE SUPERUSER !!

Trang 19

4) 203.162.45.152 (FPT)

a Hệ điều hành: RedHat Linux 7.2

b Lỗi remote: Apache + openssl

Lỗi này đã được thông báo trên internet khá lâu, các web server chạy apache version dưới 1.3.27 và openssl có version cũ hơn 0.9.6

Exploit code cũng đã được public trên các site hacker, security

Khai thác thành công lỗi này ta có được shell dưới quyền user chạy apache qua port

80 ( thông thường là user apache )

Đối với server này ta chiếm được shell với quyền của user apache Tiếp theo ta đưa

chương trình khai thác lỗi local vào để chiếm quyền root

c Lỗi local: ptrace

Đa số các kernel Linux version nhỏ hơn 2.4.20 đều bị lỗi này, nếu kernel được biên dịch lại từ source thì không bị lỗi

5) 203.162.42.67 ( sng.pwc.com.vn)

b Local IP: 10.161.16.254

c Lỗi remote: Samba exploit

Lỗi remote Samba trên server này cho phép ta chiếm được shell với quyền root

Server này là gateway và proxy server, có 02 card mạng

Copy màn hình thực hiện và file /etc/passwd, /etc/shadow

6) 203.162.35.75 (mail.ittivietnam.com)

b Lỗi remote: Samba, apache+ssl

Server này bị xâm nhập thành công qua lỗi apache (version 1.3.23) Chiếm được

remote shell dưới quyền user apache

d Các backdoor do hacker khác để lại

Khi xâm nhập vào hệ thống, và chiếm quyền root, một số backdoor do các hacker

xâm nhập vào đã được tìm thấy, các file quan trọng trên hệ thống như ls, netstat, ifconfig đều đã bị thay thế Trong các lần thâm nhập vào, ta có thể phát hiện ra việc các hacker dùng server này để scan và làm bàn đạp tấn công các server khác:

Dùng lệnh ps có thể phát hiện ra các proccess dùng để scan này

Trang 21

2957 ? S 0:00 sendmail: server [203.162.23.26] cmd read

/dev/fd/3//var/www/cgi-32402 ? Z 0:00 [awk <zombie>]

32423 ? T 0:00 /bin/hostname

32424 ? Z 0:00 [hostname <zombie>]

32425 ? S 0:00 CROND

32426 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.daily

32589 ? S 0:00 /usr/sbin/sendmail -FCronDaemon -i -odi -oem root

Trang 22

Cisco Internetwork Operating System Software

IOS (tm) C2600 Software (C2600-I-M), Version 12.1(16), RELEASE

SOFTWARE (fc1)

Compiled Tue 09-Jul-02 02:33 by kellythw

Image text-base: 0x80008088, data-base: 0x8082C938

ROM: System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1)

dhsp uptime is 1 week, 4 days, 9 hours, 28 minutes

System returned to ROM by power-on

System image file is "flash:c2600-i-mz.121-16.bin"

cisco 2620XM (MPC860) processor (revision 0x100) with 53248K/12288K bytes of memory

Processor board ID JAD07070YJF (2656094087)

M860 processor: part number 5, mask 2

Bridging software

X.25 software, Version 3.0.0

1 FastEthernet/IEEE 802.3 interface(s)

10 Low-speed serial(sync/async) network interface(s)

32K bytes of non-volatile configuration memory

16384K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

b lỗi bảo mật

Lỗi cơ bản nhất đó là không đặt password telnet, khi telnet vào

router ta được ngay …

Trang 23

8) 203.162.17.97 (hot.vnn.vn)

Đây là server webhosting của vasc, có khá nhiều trang web được hosting trên server này, kể cả www.bkav.com.vn (có thể tham khảo file httpd.conf)

b Lỗi remote: Telnetd, bị khai thác và lấy remote shell dưới quyền user bin

c Lỗi local: priocntl

Tương tự như server suntest.vnnic.net, lỗi này cũng được khai thác thành công trên server này

9) 203.162.4.30 (VDC2)

b Lỗi remote: telnetd

c Lỗi local: printioctl

10) 203.162.0.41 ( radius.vnn.vn)

b Lỗi remote: telnetd

c Lỗi local: priocntl

11) 203.144.70.17 ( cambodia)

a Hệ điều hành: Linux Suse

b Lỗi remote: Samba

12) 203.162.17.142

a Hệ điều hành: WindowNT

b Lỗi bị khai thác: RPC, DCOM

date

Tue Jul 29 02:04:53 ICT 2003

Microsoft Windows 2000 [Version 5.00.2195]

C:\WINNT\system32>mkdir bg

mkdir bg

Trang 24

24

C:\WINNT\system32>dir

dir

Volume in drive C is VIB

Volume Serial Number is 381C-0A3F

Fri Aug 29 15:23:53 ICT 2003

Volume in drive C has no label

Volume Serial Number is 5057-5682

Directory of c:\

11/07/2002 06:35p 2,975 1

Trang 25

11/07/2002 06:21p 0 a

11/06/2002 11:58a <DIR> Documents and Settings

11/06/2002 11:39a <DIR> Inetpub

04/08/2003 08:18a 13,030 PDOXUSRS.NET

02/28/2003 03:23p 3,072,573 pi_winproxy.exe

02/28/2003 03:24p <DIR> Program Files

01/15/2003 08:32a <DIR> SOFT

Mon Jul 28 23:55:00 ICT 2003

Volume Serial Number is 947B-CC93

b Lỗi bị khai thác: RPC, DCOM

Tue Jul 29 01:20:01 ICT 2003

Trang 26

26

Host Name : cpvietnam

Primary DNS Suffix : cpvietnam

Node Type : Hybrid

IP Routing Enabled : No

WINS Proxy Enabled : No

DNS Suffix Search List : cpvietnam

www.cp.com.vn

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix : www.cp.com.vn

Description : Compaq NC7760 Gigabit Server Adapter

Physical Address : 00-08-02-EF-D2-98

Volume Serial Number is FC0D-D2A5

Trang 27

date

Fri Aug 1 16:24:34 ICT 2003

Node Type : Broadcast

IP Routing Enabled : Yes

WINS Proxy Enabled : No

Ethernet adapter Local Area Connection 2:

Trang 28

Khai thác thành công lỗi Samba, chiếm được root shell

Cài key-logger theo kiểu load kernel module

Có thể lấy được password login từ console hoặc remote

Kết quả: lấy được passwd của user root

Sau đó xâm nhập sang máy chủ portal.math.hcmuns.edu.vn, mathdep.hcmuns.edu.vn qua các lỗi tương tự

Sau đó, xâm nhập qua đích cuối cùng là itpmo vì máy này có cùng cơ sở dữ liệu người sử dụng với máy trên !!!

rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

nfsnobody:x:65534:65534:Anonymous NFS

Trang 29

[root@itpmo vdchai]# /sbin/ifconfig

eth0 Link encap:Ethernet HWaddr 00:06:29:D5:80:0C

inet addr:203.162.97.125 Bcast:203.162.97.127

Mask:255.255.255.224

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:6940668 errors:0 dropped:0 overruns:0 frame:0

TX packets:5563597 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100

RX bytes:2744225979 (2617.0 Mb) TX bytes:2960588810

(2823.4 Mb)

Interrupt:27 Base address:0x2000

18 Một số máy chủ khác của ĐH KHTN

• Web server khoa Vật lý (lỗi Samba và apache)

• Web server khoa Hoá học (lỗi samba)

• Mail server Trung tâm tin học (lỗi samba)

Trang 30

30

• Mailbox của Trường KHTN: export everyone thư mục mailbox, có thể đọc mail bất

kỳ user nào từ một máy ở xa

4.5 Xây dựng máy chủ Web “an tòan”: thử thách và kết quả

Máy chủ Web an tòan là gì ? đó là một vấn đề mà tất cả chúng ta đều quan

tâm Tuy nhiên, định nghĩa “an tòan” cho máy chủ rất khó lại mang tính chất tương đối vì an tòan ngày hôm nay có thể trở thành không an tòan trong ngày mai Cùng với Hội đồng xét duyệt đề tài, nhóm triển khai dự án đã thống nhất

“máy chủ an tòan là máy chủ mà độ an tòan được đánh giá thông qua số lượng những tấn công thử nghiệm và các phương thức tấn công khác nhau” Với một định nghĩa “biện chứng “ như vậy, nhóm đề tài cần xây dựng một máy chủ Web

và tìm cách lôi cuốn nhiều nhất có thể được số lượng người thử thách độ an toàn của nó Trên cơ sở kết quả nhận được, qui trình xây dựng máy chủ Web, kinh nghiệm sau khi bị tấn công sẽ có lợi cho các đơn vị muốn triển khai máy chủ Web

Cuộc thi tìm sơ hở trên máy chủ (bugsearch) Trên cơ sở các kinh nghiệm

của nhóm dự án từ đề tài nghiên cứu trọng điểm cấp ĐHQG-HCM về an tòan và bảo mật hệ thống thông tin cùng với những kiến thức mới thu nhận, nhóm dự án

đã xây dựng một máy chủ Web với tất cả các kiến thức mà nhóm dự án có được Máy chủ này sử dụng hệ điều hành (HĐH) Linux, một HĐH có nhiều ưu việt sau:

• Chi phí phần cứng và phần mềm rẻ Linux chạy trên PC có cấu hình trung bình và thấp Hệ điều hành là hòan tòan miễn phí Rõ ràng giải pháp máy chủ Linux nằm trong khả năng tài chính của hấu hết các doanh nghiệp vừa và nhỏ

• Hiệu năng máy chủ cao Là một hệ điều hành Unix, Linux sử dụng rất hiệu quả tài nguyên như bộ nhớ, CPU của hệ thống Với cấu hình mạnh tới 8 CPU của máy tính kiểu Intel cùng HĐH Linux, doanh nghiệp có thể xây dựng các máy chủ mạnh cấp xí nghiệp, đảm bảo sự họat động của tất cả các dịch vụ Internet, dịch vụ lưu trữ dữ liệu Như vậy, máy chủ Linux đáp ứng được nhu cầu máy chủ từ nhỏ tới khá lớn với giá thành hợp lý

• HĐH Linux cho phép cấu hình mềm dẻo tối đa Linux có lẽ là HĐH hiếm

mà nhóm dự án có kiến thức và khả năng hiệu chỉnh một cách chi tiết nhất Nhân (kernel) của máy chủ bugsearch được biên dịch lại hòan tòan

từ mã nguồn, được hiệu chỉnh để sao cho khả năng tấn công, chiếm quyền điều khiển và cài đặt cửa sau (backdoor) thấp nhất

• Các phần mềm dịch vụ thực hiện trên HĐH Linux rất phong phú, cho phép triển khai hầu hết các dịch vụ cần thiết trên máy chủ, đáp ứng hầu như tất cả các nhu cầu của các doanh nghiệp

Với những phân tích trên, chúng tôi xây dựng máy chủ Web bugsearch với cấu hình sau:

- Hệ điều Linux trên máy tính PC

- Dịch vụ Web với Apache server

Trang 31

- Cơ sở dữ liệu Oracle cho Linux

Quá trình tổ chức cuộc thi được tổ chức như sau

- Ngày 18 tháng 8 năm 2003, máy chủ bugsearch được triển khai và nối Internet từ phòng máy tính của ĐHQG-HCM tại phòng B103 của ĐH

KHXH và Nhân văn Trong giai đọan này, đường truyền kết nối Internet của ĐHQG-HCM được sử dụng để kết nối với máy chủ bugsearch Cuộc thi gây được sự chú ý lớn của các cơ quan thông tin đại chúng như báo tuổi trẻ, Sàigòn giải phóng, Thanh niên, VNExpress, Tin tức Việt nam… và hưởng ứng của nhiều hacker trẻ

Cấu hình của hệ thống bugsearch đợt thứ nhất chỉ bao gồm 3 máy là 01 máy chủ Web bugserach, 01 Cisco IDS và 01 máy Linux với phần mềm snort triển khai trên đó

Thông báo về cuộc thi cùng thể lệ cuộc thi được hiển thị tại trang chủ của Website bugsearch

Trang 32

32

BẠN LÀ HACKER GIỎI

HAY MÁY CHỦ BẢO MẬT TỐT ?

Nắm vững các kỹ thuật tấn công một hệ thống là những kiến thức vô cùng quan trọng đối với các quản trị viên, đặc biệt là các chuyên viên về bảo mật hệ thống

Phải đã từng là một quản trị viên hệ thống nhiều máy chủ với các dịch vụ trên đó đang bị xâm nhập ta mới hiểu được cảm giác giận dữ, lo lắng, lúng túng không biết bắt đầu

từ đâu và làm như thế nào để lọai bỏ kẻ xâm nhập khỏi hệ thống khi mà ta không có quyền cắt kết nối mạng vì phải đảm bảo liên tục dịch vụ trên đó Kẻ xâm nhập đã vào qua sơ hở nào ? từ lúc nào ? đã chiếm quyền điều khiển máy chủ nào ? máy chủ nào còn an tòan ? liệu các giải pháp sắp áp dụng đã đủ để lọai trừ kẻ xâm nhập chưa ? … là một lọat các câu hỏi cần có đáp số Với một hệ thống bắt buộc phải họat động liên tục, người quản trị thực không có nhiều ưu thế so với kẻ xâm nhập, và đây là một cuộc đấu trí thực sự giữa admin

và hacker

Để chiến thắng, chúng ta phải có sự chuẩn bị nghiêm túc từ trước cho công tác bảo mật Đó là hệ thống log, hệ thống cơ sở dữ liệu ghi lại trạng thái của hệ thống khi còn “sạch sẽ”, hệ thống phát hiện xâm nhập … và bên cạnh đó, ta phải là người “trên cơ” đối thủ, hiểu được các ngón nghề của những kẻ xâm nhập như nhữngngười xâm nhập hiểu admin

Với mục đích tạo một sân chơi lành mạnh cho phép các bạn tự đánh giá được khả năng hiểu biết của mình về xâm nhập một hệ thống Unix; kiểm tra khả năng phòng thủ một máy chủ Web, nhóm bugsearch xin tổ chức cuộc thi “Tìm sơ hở (bugsearch)” Nội dung của

cuộc thi là thách đố các bạn xâm nhập một máy chủ Web bugsearch.vnuhcm.edu.vn

(203.162.44.80) đặt tại mạng tin học của Đại học Quốc gia Thành phố Hồ chí Minh (ĐHQG-HCM) Tùy theo mức độ xâm nhập thực hiện được mà người xâm nhập sẽ nhận được các giải thưởng khác nhau

Qui chế của cuộc thi “Tìm sơ hở - bug searching”như sau:

1/ Đối tượng tham gia cuộc thi “bugsearch” là tất cả các công dân Việt nam

2/ Không sử dụng các phương thức tấn công kiểu Deny of Service (DoS) và các biến tấu của nó vì các phương thức này sẽ làm ảnh hưởng tới họat động bình thường của mạng ĐHQG-HCM

3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao Một người

chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ là người đạt được đầu

tiên, trừ giải đặc biệt Một xâm nhập thành công phải đảm bảo sự hoạt động bình thường của hệ thống, không làm “treo”máy chủ, xóa đĩa cứng

4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ tương ứng,

trừ giải đặc biệt Với 2 điều kiện 3 và 4, nếu một bạn thành công ở mức thứ nhất đầu tiên thì giải thưởng đó thuộc về bạn; tuy nhiên nếu bạn thành công đầu tiên ở mức cao hơn thì giải thưởng mức cao hơn sẽ dành cho bạn và giải thưởng mức thấp hơn mà bạn đã đạt được sẽ dành cho người thứ hai đã đạt được hoặc lại trở thành “mở” để chờ đón các bạn khác

5/ Trong qúa trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay đổi hệ thống phòng thủ của mình cho phù hợp như trong điều kiện làm việc thực tế

Trang 33

6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các bạn phải :

• Ghi lại tòan bộ các màn hình ghi các lệnh đã thực hiện

• Gửi ngay (nếu chậm, có thể có một người khác cũng làm được như bạn) các bằng chứng của cuộc tấn công của mình cho tnminh@vnuhcm.edu.vn Thời gian nhận được email ghi bởi máy chủ email của ĐHQG sẽ được coi là thời điểm đang ký kết quả dự thi

• Bugsearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao tác mà các bạn

đã làm, kiểm tra các dấu vết các bạn đã để lại trên hệ thống …) và gửi phúc đáp tới tác giả Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm thực hiện của bạn

7/ Cuộc thi bắt đầu từ 12h00 ngày 18/8/2003 và chấm dứt khi tất cả các giải đề ra đã được thực hiện hết hoặc vào thời điểm hội thảo về bảo mật hệ thống vào khỏang giữa tháng 9/2003 Đây cũng là thời điểm trao giải thưởng của cuộc thi

8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên viên tổ chức bảo vệ máy chủ

9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết luận cuối cùng

Danh sách các giải thưởng:

• 1 giải trị giá 500 000 đồng cho ai chiếm được shell quyền một user thông thường trên máy chủ

• 1 giải trị giá 1 triệu đồng cho ai thay được nội dung trang chủ của Webserver này Redirect truy cập web của một số client qua máy webserver khác không nằm trong phạm vi cuộc thi

• 1 giải trị giá 1 triệu cho ai thay đổi được nội dung tập tin /etc/shadow, nhưng chưa

có root shell

• 1 giải trị giá 1,5 triệu đồng cho ai kiếm được shell quyền root

• 1 giải trị giá 2 triệu đồng cho hacker cài được backdoor dạng Load Kernel Module trên máy chủ

• 1 giải đặc biệt trị giá 3 triệu đồng dành cho người cài được backdoor dạng bất kỳ mà nhóm quản trị không phát hiện được ra Hai ngày trước khi tổ chức hội thảo và kết thúc cuộc thi, nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra tòan hệ thống Vào ngày trao giải, nhóm quản trị sẽ công bố các backdoor hiện đang có

trong hệ thống Giải đặc biệt sẽ trao cho người có backdoor không trong danh sách

backdoor mà nhóm quản trị công bố và vẫn đang họat động Demo sự tồn tại của backdoor

sẽ được thực hiện ngay tại hội thảo Nếu có nhiều người thực hiện được điều này thì giải sẽ được chia đều cho mọi người cùng đạt kết quả trên Các hacker được quyền thực hiện các kỹ thuật để mình trở thành người duy nhất có backdoor mà quản trị mạng không phát hiện được

Chúc các bạn may mắn

Nhóm bugsearch

Trang 34

34

Góp ý - liên hệ: gửi thư tới phanhoaian@tintucvietnam.com, Quảng cáo: sales@tintucvietnam.com.vn

® Ghi rõ nguồn "TintucVietnam.com" khi bạn phát hành lại thông tin từ website này 0.063 s

Trang 35

I-Today - Lần đầu tiên tại Việt Nam, một cuộc thi ''hợp pháp''

thử tài các hacker đã được nhóm ''BugSearch'' thuộc Đại học Quốc gia TP.HCM (ĐHQG-HCM) công bố Nội dung của cuộc

thi là thách đố các hacker xâm nhập một máy chủ Web đặt

tại mạng tin học của ĐHQG-HCM

Theo nhóm BugSearch, mục đích của cuộc thi là tạo ra một sân chơi lành mạnh cho phép các bạn yêu thích tin học tự đánh giá được khả năng hiểu biết của mình về xâm nhập một

hệ thống Unix; kiểm tra khả năng phòng thủ một máy chủ Web

Trong ''lời dẫn'' của mình, nhóm BugSearch viết: ''Phải đã từng

là một quản trị viên hệ thống nhiều máy chủ với các dịch vụ trên đó đang bị xâm nhập, ta mới hiểu được cảm giác giận dữ, lo lắng, lúng túng không biết bắt đầu từ đâu và làm như thế nào

để loại bỏ kẻ xâm nhập khỏi hệ thống khi mà ta không có quyền cắt kết nối mạng vì phải đảm bảo liên tục dịch vụ trên đó Kẻ xâm nhập đã vào qua sơ hở nào? Từ lúc nào? Đã chiếm quyền điều khiển máy chủ nào? Máy chủ nào còn an toàn? Liệu các giải pháp sắp áp dụng đã đủ để loại trừ kẻ xâm nhập? Với một hệ thống bắt buộc phải hoạt động liên tục, người quản trị không

có nhiều ưu thế so với kẻ xâm nhập, và đây là một cuộc đấu trí thực sự giữa admin và hacker

Để chiến thắng, chúng ta phải có sự chuẩn bị nghiêm túc từ trước cho công tác bảo mật Đó là

hệ thống log, hệ thống cơ sở dữ liệu ghi lại trạng thái của hệ thống khi còn sạch sẽ , hệ

th ống phát hiện xâm nhập và bên cạnh đó, ta phải là người ''trên cơ'' đối thủ, hiểu được các ngón nghề của những kẻ xâm nhập ''

Quy chế của cuộc thi

Theo quy định của nhóm BugSearch, những người tham dự cuộc thi phải tuân thủ các điều kiện sau:

1/ Đối tượng tham gia cuộc thi là tất cả các công dân Việt nam

2/ Không sử dụng các phương thức tấn công kiểu Từ chối Dịch vụ (DoS) và các biến tấu của nó vì các phương thức này sẽ làm ảnh hưởng tới họat động bình thường của mạng ĐHQG-HCM

Trang 36

3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao

Một người chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ

là người đạt được đầu tiên, trừ giải đặc biệt Một xâm nhập thành công phải đảm bảo sự hoạt động bình thường của hệ thống, không làm ''treo'' máy chủ, xóa đĩa cứng

4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ

tương ứng, trừ giải đặc biệt Với hai điều kiện 3 và 4, nếu một hacker thành công ở mức thứ nhất đầu tiên thì giải thưởng đó thuộc về anh ta; tuy nhiên nếu anh ta thành công đầu tiên ở mức cao hơn thì giải thưởng mức cao hơn sẽ dành cho anh ta và giải thưởng mức thấp hơn mà anh ta đã đạt được sẽ dành cho người thứ hai đã đạt được hoặc lại trở thành ''mở'' để chờ đón những người khác

5/ Trong quá trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay đổi hệ thống phòng thủ của mình cho phù hợp như trong điều kiện làm việc thực tế

6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các hacker phải :

- Ghi lại toàn bộ các màn hình ghi các lệnh đã thực hiện

- Gửi ngay các bằng chứng của cuộc tấn công của mình cho tnminh@vnuhcm.edu.vn Thời gian nhận được e-mail ghi bởi máy chủ e-mail của ĐHQG sẽ được coi là thời điểm đang ký kết quả dự thi

- Nhóm BugSearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao tác mà các hacker đã làm, kiểm tra các dấu vết các hacker đã để lại trên h ệ thống ) và gửi phúc đáp tới tác giả Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm thực hiện của hacker đó

7/ Cuộc thi bắt đầu từ 12h00 ngày 18/8/2003 và chấm dứt khi tất cả các

Trang 37

PC Cười

Tìm chính xác

Go

Tìm mở rộng

giải đề ra đã được thực hiện hết hoặc vào thời điểm hội thảo về bảo mật

hệ thống vào khoảng giữa tháng 9/2003 Đây cũng là thời điểm trao giải

thưởng của cuộc thi

8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên viên tổ chức bảo vệ máy chủ

9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết luận cuối cùng

Cơ cấu giải thưởng

- 1 giải trị giá 500.000 đồng cho ai chiếm được shell quyền một user thông thường trên máy chủ

- 1 giải trị giá 1 triệu đồng cho ai thay được nội dung trang chủ của Webserver này Redirect truy cập web của một số client qua máy webserver khác không nằm trong phạm vi cuộc thi

- 1 giải trị giá 1 triệu cho ai thay đổi được nội dung tập tin /etc/shadow, nhưng chưa có root shell

- 1 giải trị giá 1,5 triệu đồng cho ai kiếm được shell quyền root

- 1 giải trị giá 2 triệu đồng cho hacker cài được backdoor dạng Load Kernel Module trên máy chủ

- 1 giải đặc biệt trị giá 3 triệu đồng dành cho người cài được backdoor dạng bất kỳ mà nhóm quản trị không phát hiện được ra Hai ngày trước khi tổ chức hội thảo và kết thúc cuộc thi, nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra toàn hệ thống Vào ngày trao giải, nhóm quản trị sẽ công bố các backdoor hiện đang có trong hệ thống Giải đặc biệt sẽ trao cho

người có backdoor không trong danh sách backdoor mà nhóm quản trị công bố và vẫn đang

họat động Demo sự tồn tại của backdoor sẽ được thực hiện ngay tại hội thảo Nếu có nhiều

người thực hiện được điều này thì giải sẽ được chia đều cho mọi người cùng đạt kết quả trên

Trang 38

38

Các hacker được quyền thực hiện các kỹ thuật để mình trở thành người duy nhất có backdoor

mà quản trị mạng không phát hiện được

Đăng Khoa

Sobig.F lập kỷ lục về lây nhiễm Microsoft cảnh báo về các lỗ hổng IE nghiêm trọng Sobig.F, biến thể mới nhất của dòng họ Sobig ''Ngựa Tơ roa'' tấn công máy chủ GNU Biến thể MSBlast mới làm việc thiện?

Sâu Blaster đã tràn sang Việt Nam Sâu MSBlaster tấn công Windows, lây lan nhanh chóng Microsoft.com bị ngừng trệ do tấn công DoS

Cảnh giác với thủ đoạn ngụy trang của sâu Mimail Các công ty quá chậm trễ trong việc áp dụng các ''miếng vá''

Xem tiếp

Bản quyền VASC Orient, Công ty phát triển phần mềm VASC

99 Triệu Việt Vương HN; Tel: (04) 9782235; i-today@vasc.com.vn

Trang 39

Tuy nhiên, cũng có nhiều nguồn tin cảnh báo khả năng các hacker sẽ tấn công lan sang các máy chủ khác của ĐHQG-HCM mặc dù bugsearch đã được đặt hòan tòan tách biệt với các máy chủ ĐHQG-HCM (đặt tại phòng máy chủ của ĐHQG-HCM tại số 3 Công trường quốc tế và không cùng subnet với bugsearch) Đồng thời, việc quét tìm sơ hở tên máy bugsearch cũng làm ảnh hưởng ít nhiều tới khả năng truy cập của ĐHQG ra Internet (cùng thời điểm này virus tin học lan rất rộng cũng gây nghi ngờ là do cuộc thi bugsearch gây ra) Vì vậy, sau khi tổ chức cuộc thi được một tuần nhóm đề tài đã phải tạm dừng cuộc thi bugsearch vào ngày 25/8/2003 Trong thời gian một tuần diễn ra cuộc thi, chúng tôi ghi

nhận được kết quả là đã có 49333 lượt truy cập vào Website bugsearch Đặc biệt trong đó có tới 5805 lượt truy cập với mục đích tìm các khai thác sơ hở của

Web server Các truy cập này thường có các nội dung “kỳ lạ” như chuỗi dài các

ký tự aaaa,xxxx,./././,passwd,cgi-bin, hay chuỗi số nhị phân không hiển thị

được trên màn hình

- Từ ngày 26/9/2003 đến 17/10/2003 và rồi kéo dài tới 22/10/2003, nhóm dự

án lại tiếp tục mở cuộc thi bugsearch với sự tài trợ của Công ty Viễn thông quân đội Vietel, Trung tâm đào tạo SaigonCTT, Cisco Việtnam, HPT Đây là

sự hỗ trợ cụ thể và vô cùng quý báu của các đơn vị để nhóm dự án có thể tiếp tục tổ chức cuộc thi và thử thách cấu hình máy chủ cũng như kiến thức của mình

- Trong lần thử nghiệm thứ hai, nhóm nghiên cứu sử dụng tất cả 10 thiết bị khác nhau bao gồm một router serie 2600, hai switches làm 2 mạng riêng biệt, một máy PC làm Web server (máy này được cài lại mới), một PC với chương trình snort, một Cisco IDS (US$7295), một Sun Enterprise 4500 2 cards mạng với phần mềm ISS, một HP-UX server (của Công ty HPT) làm log server cho Web bugsearch, một máy PC windows XP làm Cisco IDS console

và snort monitor, một PC WindowsNT làm ISS console Các thiết bị này được SaigonCTT và Cisco Việtnam tài trợ miễn phí cho cuộc thi

- Một đường truyền kết nối Internet qua leased line tốc độ 64 Kbps do Vietel tài trợ miễn phí

- Trung tâm SaigonCTT tăng thêm 2 triệu đồng cho giải đặc biệt

- Cấu hình của bugsearch lần thứ 2 được miêu tả theo sơ đồ sau:

Trang 40

40

Tiêu đề	Hỗ trợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam
Tác giả	Trịnh Ngọc Minh, Phạm Hiến Bảo, Ngô Thư Chí, Nguyễn Như Hảo, Trương Thế Khơi, Võ Hồng Minh, Thái Nguyễn Hiến Nhã, Lê Minh Quốc, Nguyễn Hiến Sang, Nguyễn Kim Trang, Nguyễn Anh Tú, Đỗ Mạnh Tiến
Người hướng dẫn	TS. Trịnh Ngọc Minh
Trường học	Đại học Quốc gia Thành phố Hồ Chí Minh
Chuyên ngành	Công nghệ thông tin
Thể loại	Đề tài nghiên cứu
Năm xuất bản	2003
Thành phố	Thành phố Hồ Chí Minh

Định dạng
Số trang	163
Dung lượng	1,54 MB

HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN CHO CÁC MẠNG TIN HỌC VIỆT NAM

MỘT SỐ THAY ĐỔI ĐỐI VỚ

Kết luận và một số kiến nghị