Những tiết lộ của Ban Tổ chức cuộc thi hacking “BugSearch”

MẠC THỦY

Sau 30 ngày “mở cửa” mời xâm nhập, chiều 24-10, Nhóm Bug Search đã kết thúc cuộc thi hacking hệ thống “Tìm sơ hở BugSearch”. Theo lời mời của Ban Tổ chức cuộc thi này, e-CHÍP đã cử phóng viên đến quan sát công việc gỡ và niêm phong đĩa cứng nhằm bảo đảm việc tìm kiếm các backdoor hôm công khai kết quả tại một hội thảo về bảo mật hệ thống, dự kiến sẽ tổ chức vào tháng 11 sắp tới.

Ngoại trừ giải đặc biệt cho người cài được backdoor mà quản trị mạng chưa xác định, nhóm quản trị công nhận có một giải thuộc về bạn Quang Huy (Huyremy) - người đầu tiên trong số bốn người phát hiện sơ hở của chương trình cập nhật danh sách người đăng ký vào web BugSearch và có khả năng thay đổi cơ sở dữ liệu người đăng ký của BugSearch.

Theo Ban Tổ chức, cuộc thi bắt đầu vào ngày 18-8, sử dụng đường truyền Internet của ĐH Quốc gia TP.HCM để kết nối với máy chủ BugSearch. Cấu hình của hệ thống BugSearch đợt thứ nhất gồm ba máy (một máy chủ Web BugSerach, một Cisco IDS và một máy Linux với phần mềm snort). Do cuộc thi làm ảnh hưởng tới đường truyền của ĐH Quốc gia TP.HCM nên phải tạm dừng và đợt hai được tổ chức lại từ 26-9 đến 22- 10-2003.

Trong tuần đầu diễn ra cuộc thi, nhóm ghi nhận được 49.333 lượt truy cập vào Website BugSearch. Trong đó có tới 5.805 lượt truy cập với mục đích tìm cách khai thác sơ hở của Web server. Các truy cập này thường có những nội dung như chuỗi dài các ký tự aaaa,xxxx,./././,passwd,cgi-bin, hay chuỗi số nhị phân không hiển thị được trên màn hình...

Với sự tài trợ của Công ty Viễn thông quân đội Vietel, Trung tâm đào tạo SaigonCTT, Cisco Việt Nam, HPT, nhóm tiếp tục tổ chức cuộc thi, thử thách cả cấu hình máy chủ lẫn kiến thức của mình từ 12 giờ trưa ngày 26- 9. Trong lần thử nghiệm này, nhóm sử dụng mười thiết bị khác nhau, gồm: một router serie 2600, hai switch làm hai mạng riêng biệt, một PC làm Web server (được cài lại mới), một PC với chương trình snort, một Cisco IDS, một Sun Enterprise 4500 2 cards mạng với phần mềm ISS, một HP-UX server làm log server cho Web BugSearch, một máy PC Windows XP làm Cisco IDS console và snort monitor, một PC WindowsNT làm ISS console, đường truyền kết nối Internet qua leased line tốc độ 64 Kbps.

Đến 13-10, khi biết một số hacker ngại tiết lộ danh tính nên chưa tích cực tham gia cuộc thi, nhóm đã thay đổi thể lệ nộp bài để các hacker có thể đăng ký kết quả với nickname và địa chỉ e-mail, đồng thời gia hạn cuộc thi tới 22-10. Trên thực tế, các hacker tham gia cuộc thi không hề ngần ngại thông báo danh tính của mình khi tấn công thành công.

Lúc 16 giờ ngày 18-10, nhóm quyết định “mạo hiểm” hơn - mở một tài khoản guest với mật khẩu guest cho tất cả mọi người. Thông tin này được thông báo tới một số hacker cụ thể, trên các diễn đàn của hacker Việt Nam với mục đích thử thách khả năng chống lại việc mất quyền root của BugSearch trong trường hợp một dịch vụ với quyền hạn chế bị xâm nhập và hacker có được shell cùng quyền của người sử dụng hệ thống. Đúng 18 giờ ngày 24-10, nhóm chấm dứt cuộc thi, cắt server ra khỏi mạng và tiến hành thống kê kết quả.

Trong thời gian diễn ra cuộc thi, các hệ thống IDS của BugSearch cùng với các log trên các máy chủ ghi nhận có gần 80.000 lượt truy cập qua đường duyệt Web và hơn 10.000 phiên làm việc (từ hơn 180 địa chỉ IP khác nhau ở 17 nước) như là những cuộc tấn công với các chi tiết về phương thức thử khai thác sơ hở (các thông tin của các hệ thống IDS có khác nhau). Ngoài ra, có hơn 40 địa chỉ IP đã kết nối với tài khoản guest của máy BugSearch để xem xét khả năng lấy quyền root và kiểm soát máy chủ BugSearch. Một số người đã thành công trong việc truyền tải một vài công cụ tấn công lên trên máy BugSearch, thử compile chương trình để xây dựng công cụ tấn công… Bên cạnh đó, nhóm cũng đón nhận những cách tấn công theo kiểu “Từ chối dịch vụ” (DoS) nhưng “rất may là số lượng ít” nên hệ thống không bị ảnh hưởng nhiều.

Về phía Bug Search, máy được cài hệ điều hành Linux 8.0, Webserver là Apache, ứng dụng Tomcat, cơ sở dữ liệu là Oracle 8, cùng với bộ Firewall “mềm” cài trên máy dùng để cấu hình bảo mật các dịch vụ của webserver. Mục tiêu của nhóm tổ chức BugSearch là cung cấp một cấu hình máy chủ đủ phục vụ nhu cầu cho một doanh nghiệp loại vừa và vì dùng một hệ thống Firewall mới nên đã gây không ít khó khăn cho người dự thi. Firewall này đã đánh lừa không ít các công cụ của hack, khiến họ lầm tưởng BugSearch đóng hết các cổng (port) lại. Theo ghi nhận của nhóm, các cuộc tấn công từ IP nước ngoài chuyên nghiệp hơn về cách tấn công và tính chất nguy hiểm cũng lớn hơn nhiều so với những cuộc tấn công từ các IP trong nước. Các cuộc tấn công từ IP trong nước sử dụng chủ yếu những công cụ thường thấy trên Internet, nên không gây nguy hiểm thật sự cho bên trong hệ thống.

Với mục đích trao đổi kinh nghiệm và tạo sân chơi cho các hacker Việt Nam, nhóm Bug Search còn tiến hành thí nghiệm một số thiết bị bảo mật nhằm xây dựng hệ thống bảo mật ngay tại Việt Nam. Các thiết bị này được lắp đặt với nhiệm vụ “nhìn” các cuộc tấn công vào BugSearch, để so sánh xem thiết bị nào “phát hiện” được nhiều cuộc tấn công hơn. Theo Trưởng nhóm BugSearch: Hacker Việt Nam có nhiều thiện chí trong việc tham gia bảo mật mạng và có những người thực sự có khả năng vì chịu mày mò và lăn lộn với vấn đề bảo mật”.