Thứ Tư, 18 tháng 8, 2021

BKAV đã bị hack như thế nào?

 

BKAV đã bị hack như thế nào?

Dương Ngọc Thái

16-8-2021

BKAV lại bị hack, hacker nói sẽ live stream, nhưng, móng tay nhọn gặp da mặt dày, BKAV đã “xịt nước” tắt hết máy chủ! Sợ té đái là có thiệt nha bà con ơi.

Để đền bù cho đông đảo người hâm mộ, trong đó có tôi, hacker công bố hai video mô tả quá trình hack vào BKAV.

Trong video thứ nhất (thanks chunxong for the shoutout to this blog!), chunxong tìm thấy một máy chủ của BKAV ở địa chỉ https://118.70.155.198:8008. Máy chủ này giờ đã chết. Thật tội nghiệp, không biết ăn phải quả “thủy lôi” của vị lãnh đạo thiện chiến nào.

Trong video, có lẽ quay ngày 7/8/2021, máy chủ này chạy một sản phẩm security do BKAV tự chế có cái tên rất kêu BKAV IPS Firewall. Máy chủ yêu cầu phải đăng nhập và a-lê-hấp hacker nhập ‘ or 1=1– và vô được luôn!

Cập nhật: chỗ này chưa chính xác lắm. Chunxong nói rằng đoạn code đăng nhập mặc dù có lỗi SQL Injection, nhưng trước đó còn có một đoạn kiểm tra mật khẩu phải đúng như regular expression như sau:

^(?=.*[a-z])(?=.*[A-Z])(?=.*[0-9])(?=.*[!@#\$%\^&\*])(?=.{8,}$)

Tức là mật khẩu phải dài ít nhất 8 ký tự và chứa một chữ cái thường, một chữ cái in, một chữ số và một ký tự đặc biệt trong chuỗi !@#$%^&*. Nếu chỉ đơn thuần nhập vào ‘ or 1=1– sẽ không đủ điều kiện. Trong video, chunxong nhập vào 123456a@A’ or 1=1–. Tôi không biết tại sao chunxong biết quy định của mật khẩu và sử dụng chuỗi 123456a@A. Chú ý là 123456a@A không phải là mật khẩu của account admin, như có người nói trong phần comment. Thật sự chỉ cần A!’ or 1=1– là có thể bypass được cái regular expression check.

$ python

> import re

> re_p = re.compile(“^(?=.*[a-z])(?=.*[A-Z])(?=.*[0-9])(?=.*[!@#\$%\^&\*])(?=.{8,}$)”)

> p = “A!’ or 1=1–“

> re_p.match(p)

<_sre.SRE_Match object at 0x109377b28>

Hacker không tin vào mắt mình, phải liên tục coi ngày, để chắc chắn rằng anh/chị ấy đã không bị cuốn vào cỗ máy thời gian kéo về năm 1999! Tại sao lại là năm 1999, tôi xin kể một chút về lịch sử. Làm nghề  nào cũng vậy, cần hiểu lịch sử để biết mình đang ở đâu trong dòng chảy tri thức nhân loại.

Hè năm 2002, vừa thi đại học xong tôi với đám bạn mướn một chiếc xe xuống Vũng Tàu tắm biển. Tôi còn nhớ như in chuyến đi đó, một phần vì trước khi đi tôi in ra một số bài về SQL Injection để đọc. Lúc đó kỹ thuật này còn rất mới mẻ và thật sự sau khi đi Vũng Tàu về thì không có chỗ nào mà tôi không hack được bằng SQL Injection.

Người phát hiện ra kỹ thuật SQL Injection là một hacker có biệt danh rất dễ thương Rain Forest Puppy tức rfp. Đúng ngày Noel 1998, rfp viết một bài mang tên “NT Web Technology Vulnerabilities” đăng trên tạp chí Phrack số 8. Nói thêm về Phrack, Phrack đã luôn và sẽ mãi là một trong những tạp chí đầu đàn về hacking, người còn sót lại chút tự trọng và vài gram hiểu biết không ai dám mở miệng so sánh Phrack với thể loại tạp chí phải trả tiền để đăng bài.

Bài của rfp trên Phrack là bài đầu tiên trong lịch sử nhắc đến SQL Injection, nhưng bài để lại ấn tượng sâu đậm nhất trong tôi là “How I hacked PacketStorm Forums” rfp viết vào tháng 2 năm 2000. Sau này tôi viết nhiều bài “Tôi đã hack XYZ như thế nào” cũng là vì muốn tri ân rfp.

Sau những đóng góp đột phá của rfp thì SQL Injection bắt đầu được chú ý và trở thành một trong những kỹ thuật hacking chính cho đến tận ngày nay. Xem thêm David Litchfield bàn về lịch sử SQL Injection ở đây.

Ở Việt Nam, lúc đó tôi và đa số bạn bè cũng chỉ dừng lại ở mức thực hành, không có đóng góp gì vào kỹ thuật này. Hacker Việt duy nhất có đóng góp là Đại “vicky” Tuấn của nhóm Vicky khét tiếng ở Đà Nẵng. Nghe nói bây giờ vẫn còn một thành viên Vicky đang ngày đêm inject tiền để “chốt đơn” các hacker mới lớn.

Vicky phát hiện ra một kỹ thuật universal SQL Injection thông qua hàm convert. Thay vì phải union các kiểu mới đọc được dữ liệu, sử dụng kỹ thuật của vicky chỉ cần một query duy nhất là có thể đọc được dữ liệu ở cell bất kỳ. Nếu tôi nhớ không lầm thì vicky sử dụng kỹ thuật này để hack VNExpress. Đó là lần đầu tiên VNExpress bị hack.

Thế thì chúng ta đã hiểu tại sao chunxong lại nói về năm 1999. Chunxong còn công bố toàn bộ mã nguồn của BIF, trời ơi, chỗ nào cũng có SQL Injection. Nói cho công bằng thì SQL Injection vẫn còn rất phổ biến, nhưng bị lỗ hổng sơ đẳng và ở khắp mọi nơi như BKAV thì không phải là sai sót nữa, mà là thiếu kiến thức cơ bản. Có ai ngờ rằng đằng sau lớp da mặt dày cộm láng cóng là những sản phẩm bị kẹt lại ở thế kỷ trước.

Chunxong nói đây là cách họ có được foothold trong mạng BKAV. Anh/chị ấy chưa giải thích làm cách nào để từ đây chui sâu vào trong, hack được VALA, JIRA và Bluezone, nhưng hứa sẽ công bố thêm video nữa. Trong lúc chờ đợi thì chunxong công bố thêm một video quay ngày 8/8/2020 chứa chat logs của lãnh đạo BKAV.

Ngoài những thông tin tôi đã phân tích, một chi tiết thú vị là BKAV có làm việc với Tổng cục 5, Bộ Công An. Trước khi bị giải thể, Tổng cục 5 là cơ quan tình báo, có bằng chứng cho thấy họ hack để theo dõi giới hoạt động chính trị, người bất đồng chính kiến. Họ nằm trong danh sách khách hàng bị lộ của Hacking Team. Nếu có nhà báo nào muốn điều tra về việc này (tôi không rõ Việt Nam có còn nhà báo điều tra nào không, hay là tuyệt con mẹ nó chủng hết rồi), nên nghiên cứu đống email của Hacking Team bị Wikileaks công bố năm 2015.

Việc BKAV hợp tác với giới tình báo Việt Nam không mới, đã được Lulzsec phanh phui từ cả chục năm trước. Vấn đề là Tổng cục 5 đã bị giải thể từ năm 2018 còn đám lãnh đạo thì hoặc là đang ngồi tù hoặc là đang chờ ngày ra tòa. Gần đây nhất Nguyễn Duy Linh, cựu tổng cục phó, con của Nguyễn Văn Hưởng, mới bị bắt. Tất cả nhờ vào công của anh Vũ AL.

Thế thì BKAV làm gì với Tổng cục 5 vào năm 2021? Dự án cũ? Giúp đối thủ của Mr.Linh theo dõi ông ấy? Hay giúp Mr.Linh theo dõi đám điều tra viên? Chỉ có chunxong mới có thể giúp chúng ta trả lời những câu hỏi này.

Nước nhà đang tràn ngập đau thương vì COVID, bao nhiêu cái dở cái xấu trồi lên cùng một lúc. Biết thì đã quá muộn, bao nhiêu đồng bào đã chết. Tôi hi vọng cú hack của chunxong sẽ mở đầu cho phong trào hacktivism với những hacker yêu tự do và sự thật, hack để đưa ra ánh sáng bao nhiêu gian dối lọc lừa ở quê nhà. Hacking is power!

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.