TRAO ĐỔI VỚI NHỮNG “KẺ XÂM NHẬP”:

VÌ SAO BUGSEARCH KÉM HẤP DẪN?

HOÀNG VINH

Theo Ban Tổ chức cuộc thi BugSearch, cho tới 22 giờ ngày 21-10, đã có bốn người vượt qua được hệ thống phòng thủ, xâm nhập thành công vào máy chủ (http://203.113.143.170). Cuộc thi đã kết thúc, nhưng nhìn chung, BugSearch chưa thu hút nhiều người tham gia. Tuy Ban Tổ chức đã điều chỉnh thể lệ cuộc thi, song số người thực hiện các cuộc xâm nhập vẫn không đông như mong đợi. e-CHÍP đã trao đổi với những “kẻ xâm nhập” để tìm hiểu vì sao?

Yukumi-Abe: Hy vọng BugSearch sẽ hợp lý hơn và trở thành một cuộc thi truyền thống

BugSearch chưa thành công vì nhiều lý do: Một máy chủ kết nối trực tiếp ra Internet chỉ bằng đường line 64kbps là điều thật đáng thất vọng. Ngoài ra, do thể lệ thay đổi liên tục nên rất khó nắm bắt tiêu chí của cuộc thi. Cách thức chấm giải cũng chưa hợp lý: bắt hacker phải trình bày các kỹ thuật của mình thì sẽ có tới 99% không muốn...

Trang chủ BugSearch có vài khuyết điểm: Giao diện rất thiếu chuyên nghiệp, chỉ vài trang html và hình ảnh thì chắp vá, không xứng đáng với tầm vóc của một kỳ thi thử thách hacker. Tốc độ đường truyền rất chậm. Công tác chuẩn bị chưa chu đáo, chưa thấy hết được tầm mức của một cuộc thi là thế nào. Thi hacking không đồng nghĩa với việc "khóa hết cửa nẻo, tắt đèn" rồi mời người khác vào nhà mình. Ở lần đầu tiên, máy chủ BugSearch chỉ mở duy nhất port 80 cộng với vài trang Web tĩnh.

Thể lệ không hợp lý. Lẽ ra, khi đưa một hệ thống ra thi thì cấu hình phải hoàn thiện, không thể vừa làm, vừa phát hiện rồi fix. Làm như thế chẳng khác gì nhóm BugSearch cũng tham gia thi với hacker. Chẳng hiểu nghĩ gì mà họ yêu cầu hacker ghi lại toàn bộ các màn hình mà mình đã thực hiện đồng thời gửi ngay cho BugSearch, để rồi admin của BugSearch sẽ kiểm tra bằng cách thực hiện lại step – by – step? Chẳng có hacker nào thích điều này, đơn giản vì đa số cho rằng admin của BugSearch đang muốn học nghề của mình.

Tuy nhiên, việc tổ chức cuộc thi này cũng đã tạo ra một số tác động trong nhận thức thế nào là bảo mật. Nếu muốn làm một WarGames tốt, Ban Tổ chức cần tham khảo thêm kinh nghiệm của các WarGames nước ngoài để soạn một điều lệ hợp lý hơn, tổ chức – sắp xếp máy chủ tốt hơn, đội ngũ quản lý phải linh hoạt hơn, giải thưởng hấp dẫn hơn. Hy vọng BugSearch sẽ trở thành một cuộc thi truyền thống, đủ sức thu hút giới chuyên về bảo mật ở Việt Nam.

$$$ (Quản trị HVA): Hy vọng lần sau BugSearch sẽ khá hơn

Nhìn chung BugSearch có tác dụng khá tích cực khi tạo cơ hội cho thấy đa phần các cá nhân nhận mình là hacker thật ra chỉ là script kiddies (“tay non” - chỉ dùng công cụ có sẵn để hack).

Có thể nhóm BugSearch là Security Expert (chuyên gia bảo mật), nhưng khi cách thức tiếp cận security của họ đơn thuần chỉ nhằm giới thiệu sản phẩm bảo mật thì đó là sai lầm. Security là tiến trình (process) chứ không phải là sản phẩm (product).

BugSearch có một số điểm hay, nhưng do chỉ tập trung vào các giải pháp bảo mật kỹ thuật, nên thiếu các biện pháp quản lý bảo mật, nâng cao ý thức vốn là điều quan trọng mà ít ai thèm để ý.

Nếu xét BugSearch ở khía cạnh WarGames thì nó không thu hút, vì không tạo được động lực cho người chơi do BugSearch thủ quá kín, chạy rất ít các dịch vụ của một server thông thường, nên không thể gọi là server được. Nếu nhóm tổ chức BugSearch muốn qua đó chứng minh một giải pháp bảo mật hệ thống thì họ uổng công vì “Hacking là hack cả một hệ thống tính cả máy móc lẫn con người”. Việc thủ server kín mít cần phải có các kịch bản hacking phức tạp mà BugSearch thì chưa đủ “tầm” để nhiều cao thủ ra tay. Nói cách khác, dù vì bất kỳ mục đích nào, BugSearch lần này cũng chưa thành công và chưa chứng minh được gì. Hy vọng lần sau BugSearch sẽ khá hơn

DantruongX: Nếu chịu khó mò mẫm

Hệ thống BugSearch như một cái cặp vô cùng chắc chắn. Hack để kiểm soát thì rất khó nhưng cho “die” thì rất dễ. Việc tôi xâm nhập server thành công là do lỗi lập trình trên trang chủ, nếu hacker chịu khó mò mẫm mã nguồn thì sẽ xâm nhập được.

Thông tin những “kẻ xâm nhập” để lại, được ghi nhận cụ thể như sau:

- Quang Huy (quanghuy@thuthuy.net). Thời gian xâm nhập lúc 14:21:46 ngày 16-10
- !!!Yeu Tram!!! (dantruongx@yahoo.com). Thời gian xâm nhập lúc 15:48:37 ngày 16-10
- :::PTV5Website::: (webmaster@ptv5online.com). Thời gian xâm nhập lúc 10:38:39 ngày 17-10
- Huynh Quoc Khanh (huynh.quoc.khanh@quantic.com.vn). Thời gian xâm nhập: lúc 10:13:56, ngày 18-10

Quang Huy (Huyremy) là người đầu tiên giành được giải thưởng trị giá một triệu đồng vì lọt qua hàng rào phòng thủ sớm nhất.