Ký sñ các vå DDoS ¿n HVA - Ph§n 15

TÑi 26/3/2005

Vëa xong mÙt tr­n nh­u t°ng bëng, khách khéa ã ra vÁ. Mß FireFox ra à xem qua HVA có gì mÛi, tôi h¿t séc ng¡c nhiên khi th¥y truy c­p vào HVA cñc kó ch­m; mÙt trang load m¥t h¡n 9.5s (?). ây là d¥u hiÇu r¥t b¥t th°Ýng. Dù tôi ang "nía say, nía tÉnh" nh°ng cing cÑ login HVA server à xem qua tình hình. ViÇc §u tiên tôi nh­n th¥y là log vào HVA server (xuyên qua SSH) cñc kó ch­m và bË "timeout" liên tåc. HVA bË DoS r¥t n·ng rÓi! ây là chuyÇn không còn ph£i nghi ngÝ gì nïa.

Sau vài l§n thí log vào, rÑi cuÙc tôi cing vào °ãc shell cça HVA server. Xem thí tình hình tÕng quát th¿ nào, tôi gõ:

# w

load average: 98.20, 120.75, 100.80

Ôi trÝi, cái gì mà kinh th¿? Ch³ng l½ "hàng phòng thç" cça HVA ã vá sao? Tôi thí "tail" ph§n log cça web server xem chuyÇn ây?

Code:

24.18.234.44 - - [26/Mar/2005:20:44:42 -0400] "POST /forum/ HTTP/1.1" 200 640 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

24.18.234.44 - - [26/Mar/2005:20:44:42 -0400] "POST /forum/ HTTP/1.1" 200 640 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

24.18.234.44 - - [26/Mar/2005:20:44:44 -0400] "POST /forum/ HTTP/1.1" 200 640 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Ái chà, l¡i là mÛ POST qu÷ quái kia. T¥t nhiên là không chÉ có 3 dòng ¡n gi£n nh° trên mà các dòng t°¡ng tñ nh° th¿ të hàng trm IP khác nhau hiÃn thË nh°... n°Ûc ch£y trên màn hình. Tôi vò §u, sao l¡ nhÉ? làm sao m¥y cú POST ngÛ ng©n này có thà "Ùt phá" HVA và làm cho server load tng ¿n méc kinh khçng ¿n th¿? Tôi xem l¡i c¥u hình cça firewall và th¥y qu£ là firewall có ph§n dÅ dãi. Tuy v­y, méc Ù "mß cía" cça firewall lúc này cing không thà d«n ¿n tình tr¡ng server load cça HVA lên cao nh° th¿ °ãc.

Tôi quy¿t Ënh iÁu chÉnh l¡i firewall và tái khßi Ùng nó rÓi theo dõi cå thà sau.

Nm phút sau,

# w

load average: 16.50, 78.65, 90.40

Hëm.... xem t¡m ch¥p nh­n °ãc. Tôi thí dùng FireFox à vào l¡i diÅn àn HVA và th¥y v­n tÑc truy c­p khá h¡n lúc nãy r¥t nhiÁu. Tôi quy¿t Ënh "dump" mÙt mÛ packets à xem thí sñ thà ra sao:

# tcpdump -s0 port 80 -w 26-03-2005

ChÝ kho£ng 60 giây, tôi ng°ng tcpdump, zip hÓ s¡ "26-03-2005" và t£i vÁ laptop cça tôi. Tuy nhiên, tôi l¡i g·p thêm mÙt khó khn khác. B¥t cé mÍi ph°¡ng tiÇn tôi dùng à t£i hÓ s¡ trên vÁ máy (scp, sftp hay rsync xuyên qua ssh....) -56- Áu bË gián o¡n nía chëng. Có l½ do "timeout" giïa m×i gói tin gßi nh­n giïa laptop cça tôi và HVA server (máy chç HVA quá b­n rÙn vì ang bË DoS dÓn d­p). Tôi thß dài l©m nh©m "ành ph£i t¡m ng°ng web service thôi". MiÇng nói, tay làm; tôi ng°ng ngay apache và cing không quên ng°ng luôn monit (monit ã °ãc Á c­p trong mÙt ph§n tr°Ûc ây cça lo¡t ký sñ này) à nó khÏi tñ Ùng restart l¡i apache tr°Ûc khi tôi hoàn t¥t chuyÃn t£i hÓ s¡ 26-03-2005.gz vÁ máy mình.

Voila, hÓ s¡ g§n 3 Mb °ãc chuyÃn vÁ sau h¡n 2 phút.

Tôi khßi Ùng l¡i apache và monit ngay sau ó và liên tåc kiÃm tra server load suÑt 15 phút sau khi khßi Ùng l¡i apache. Server load lúc này ã gi£m xuÑng áng kÃ, không khi nào lên quá 5.0 load. Tôi logoff HVA server và i ngç (l°ãng alcohol trong máu không cho phép tôi ngÓi lâu h¡n nïa).

Tr°a 27/03/2005

Tôi théc d­y h¡i trÅ so vÛi th°Ýng ngày vì tr­n nh­u sáng hôm qua. Sáng nay l¡i có ít viÇc ph£i lo nên tôi không vào HVA suÑt buÕi sáng. Mãi ¿n sau buÕi tr°a, khi mÍi chuyÇn ã âu vào ¥y, tôi mß máy lên, thí vào HVA forum b±ng FireFox. Chà, trang web load ch­m kinh khçng, tôi có c£m giác ch­m h¡n tÑi hôm qua nïa. ChuyÇn gì ây nhÉ?

Tôi log vào HVA server b±ng SSH Ã xem xét tình hình. Sau 5 l§n bË timeout (không connect °ãc ¿n server), tôi t¯c l°ái than th§m "ch¿t th­t, server bË dÙi kinh th¿ này sao?". L§n thé 6, tôi vào °ãc. ViÇc §u tiên tôi làm là kiÃm tra ngay server load:

# w

load average: 55.30, 86.62, 85.43

Chà, không b±ng tÑi qua nh°ng sao ch­m th¿ nhÉ? Tôi hình dung ngay l°ãng connection ¿n database, n¡i duy nh¥t có thà t¡o ra tình tr¡ng ch­m lê thê th¿ này. Tôi thí kiÃm tra ngay sÑ l°ãng process dùng à truy c­p ¿n database:

# ps -ef | grep mysqld | wc -l

200

Ôi, ôi, ôi! 200 process cho mysql? Nh° v­y có ngh)a là mysql ang ng­p ngåa, l¿t th¿ch vÛi l°ãng connection ang diÅn ra. Cing ngay khi ó, Firefox báo l×i "server bË sñ cÑ, không thà truy c­p vào database". Tôi g­t gù, "h³n nhiên là th¿ rÓi". Câu hÏi ti¿p theo n£y ra trong §u "lý do t¡i sao các cú x-flash có thà v°ãt qua °ãc hàng phòng thç?". Tôi kiÃm tra log cça firewall, log cça snort và log cça apache trong cùng mÙt kho£ng thÝi gian (të 11 giÝ sáng ¿n 11:15 sáng giÝ máy chç) à tìm câu tr£ lÝi tÕng quát cho th¯c m¯c ß trên. Sau 15 phút grep, awk, sort.... -57- tôi nh­n ra mÙt iÁu tÑi y¿u: hàng phòng thç không cáng áng nÕi l°ãng x-flash ­p vào server.

Tôi vò §u l©m nh©m "cho ¿n lúc này ã có h¡n 3 triÇu 9 trm ngàn cú POST i vào, tính të nía êm, giÝ máy chç. V­y có ngh)a suýt soát 45 cú POST m×i giây". Dña trên thông tin cça apache và firewall, tôi °Ûc tính firewall chÉ c£n °ãc 2/3 sÑ l°ãng này, nh° v­y cé m×i giây có chëng 15 cú POST i vào. M×i cú POST kích Ùng ít nh¥t 4 queries ¿n database server, m×i query m¥t chëng 0.05 giây. V­y, 15 POST s½ c§n:

Code:

15 POST x (4 queries x 0.05 giây) = 3 seconds

à gi£i quy¿t request, dÍn d¹p và trß l¡i t° th¿ sµn sàng phåc vå. B¡n có thà hình dung chuyÇn gì ã x£y ra rÓi chÛ? Hèm, cé m×i giây l¡i có mÙt khÑi l°ãng requests c§n ¿n 3 giây à gi£i quy¿t (tính trung bình), v­y cé m×i giây i qua thì có chëng 2 giây c¥p sÑ ¿n khÑi l°ãng công viÇc.

ã có nh­n Ënh tÕng quát tình hình, tôi c§n ph£i gi£i quy¿t ngay 2 iÁu:

1) gi£m thiÃu sÑ l°ãng POST càng nhiÁu càng tÑt à l¥y l¡i méc Ù quân bình

2) iÁu tra xem lý do t¡i sao chÉ có 2/3 sÑ l°ãng x-flash POST bË c£n thành công

Tôi dëng ngay apache, mysqld và monit. ChÉnh l¡i firewall và ¥n Ënh connection limit ß méc tÑi thiÃu và khßi Ùng các dËch vå trß l¡i. Vëa theo dõi méc bi¿n thiên cça server load, tôi vëa mß mÛ packet dump tôi l¥y °ãc tÑi hôm qua.

Hãy thí so sánh payload cça x-flash POST l§n này và l§n tr°Ûc

Code:

POST /forum/ HTTP/1.1

Accept: */*

Content-Type: application/x-www-form-urlencoded

Content-Length: 801

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)

Host: www.hvaonline.net

Connection: Keep-Alive

Cache-Control: no-cache

total=1171&Submit=Submit&attack=1&url1=http%3A%2F%2Fwww%2Ehvaonline%2Enet%2Fforum%2F&url2=http%3A%2F%2Fwww%2Ehvaonline%

2Enet%2Fforum%2F&url3=http%3A%2F%2Fwww%2Ehvaonline%2Enet%2Fforum%2F&search%5Fkeywords=%2A&search%5Fterms=any&search%

5Fauthor=&search%5Fforum=1&search%5Ftime=0&search%5Ffields=all&search%5Fcat=1&sort%5Fby=0&sort%5Fdir=DESC&show%

5Fresults=topics&return%

5Fchars=200&act=Reg&termsread=1&agree%5Fto%5Fterms=1&CODE=02&coppa%5Fuser=0&UserName=abcxyzmanginternet&PassWord=123456&PassWord%

5FCheck=123456&EmailAddress=thienthan%40hvaonline%2Enet&EmailAddress%5Ftwo=binhquamit%40cuchuoi%2Ecom&allow%5Fadmin%

5Fmail=1&allow%5Fmember%5Fmail=1&time%5Foffset=7&dst=1&regid=cfdcc4645bbf06325a1680e405e4edb9®%5Fcode=4754125&page=search%

5Fresult&catid=0&search%5Fqkeywords=Thang+Beo&category%5Fid=0

ph§n payload °ãc decode nh° th¿ này:

Code:

total=1171&Submit=Submit&attack=1&url1=http://www.hvaonline.net/forum/&url2=http://www.hvaonline.net/forum/&url3

=http://www.hvaonline.net/forum/&search_keywords=*&search_terms=any&search_author=&search_forum=1&search_time=0

&search_fields=all&search_cat=1&sort_by=0&sort_dir=DESC&show_results=topics&return_chars=200&act=Reg&termsread=1

&agree_to_terms=1&CODE=02&coppa_user=0&UserName=abcxyzmanginternet&PassWord=123456&PassWord_Check=123456

&[email protected]&[email protected]&allow_admin_mail=1&allow_member_mail=1

&time_offset=7&dst=1&regid=cfdcc4645bbf06325a1680e405e4edb9&reg_code=4754125&page=search_result&catid=0

&search_qkeywords=Thang Beo&category_id=0

Ph§n POST x£y ra tr°Ûc ây nh° sau:

POST /forum/ HTTP/1.1

Accept: */*

x-flash-version: 7,0,19,0

Content-Type: application/x-www-form-urlencoded

Content-Length: 712

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)

Host: 219.207.204.25

Connection: Keep-Alive

Cache-Control: no-cache

total=23&Submit=Submit&attack=1&diachi=http%3A%2F%2Fviemarket%2Ecom%2F&url1=

http%3A%2F%2F219%2E207%2E204%2E25%2Fforum%2F&url2=http%3A%2F%2F219%2

E207%2E204%2E25%2Fforum%2F&url3=http%3A%2F%2F219%2E207%2E204%2E25%2F

forum%2F&option=search&s=&do=login&url=http%3A%2F%2Fvikhoa%2Ecom&agree=1&

password%5Fmd5=&passwordconfirm%5Fmd5=&username=Tintucvietnam&password=

thangcho&passwordconfirm=thangcho&email=admin%40tintucvietnam%2Ecom&emailconfirm=

admin%40tintucvietnam%2Ecom&imagestamp=tintuc&imagehash=47b4a32f7767bfc7b83f8f3e

cf2e8c66&timezoneoffset=8&dst=2&options=&adminemail=1&vb%5Flogin%5Fusername=Hoanghiep

&cookieuser=1&vb%5Flogin%5Fpassword=dumemaykhoa&forceredirect=1&vb%5Flogin%5Fmd5

password=&%5F%5FOoO%5F%5F=1&1=

Ph§n payload ß trên °ãc decoded nh° sau:

Code:

total=23&Submit=Submit&attack=1&diachi=http://viemarket.com/&url1=http://219.207.204.25/forum/&url2=

HYPERLINK "http://219.207.204.25/forum/&url3=http:/2...=&do=login&url=" \t "_blank" http://219.207.204.25/forum/&url3=http://2...=&do=login&url=

Ký sñ các vå DDoS ¿n HVA - Ph§n 15

TÑi 26/3/2005

Vëa xong mÙt tr­n nh­u t°ng bëng, khách khéa ã ra vÁ. Mß FireFox ra à xem qua HVA có gì mÛi, tôi h¿t séc ng¡c nhiên khi th¥y truy c­p vào HVA cñc kó ch­m; mÙt trang load m¥t h¡n 9.5s (?). ây là d¥u hiÇu r¥t b¥t th°Ýng. Dù tôi ang "nía say, nía tÉnh" nh°ng cing cÑ login HVA server à xem qua tình hình. ViÇc §u tiên tôi nh­n th¥y là log vào HVA server (xuyên qua SSH) cñc kó ch­m và bË "timeout" liên tåc. HVA bË DoS r¥t n·ng rÓi! ây là chuyÇn không còn ph£i nghi ngÝ gì nïa.

Sau vài l§n thí log vào, rÑi cuÙc tôi cing vào °ãc shell cça HVA server. Xem thí tình hình tÕng quát th¿ nào, tôi gõ:

# w

load average: 98.20, 120.75, 100.80

Ôi trÝi, cái gì mà kinh th¿? Ch³ng l½ "hàng phòng thç" cça HVA ã vá sao? Tôi thí "tail" ph§n log cça web server xem chuyÇn ây?

Code:

24.18.234.44 - - [26/Mar/2005:20:44:42 -0400] "POST /forum/ HTTP/1.1" 200 640 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

24.18.234.44 - - [26/Mar/2005:20:44:42 -0400] "POST /forum/ HTTP/1.1" 200 640 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

24.18.234.44 - - [26/Mar/2005:20:44:44 -0400] "POST /forum/ HTTP/1.1" 200 640 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Ái chà, l¡i là mÛ POST qu÷ quái kia. T¥t nhiên là không chÉ có 3 dòng ¡n gi£n nh° trên mà các dòng t°¡ng tñ nh° th¿ të hàng trm IP khác nhau hiÃn thË nh°... n°Ûc ch£y trên màn hình. Tôi vò §u, sao l¡ nhÉ? làm sao m¥y cú POST ngÛ ng©n này có thà "Ùt phá" HVA và làm cho server load tng ¿n méc kinh khçng ¿n th¿? Tôi xem l¡i c¥u hình cça firewall và th¥y qu£ là firewall có ph§n dÅ dãi. Tuy v­y, méc Ù "mß cía" cça firewall lúc này cing không thà d«n ¿n tình tr¡ng server load cça HVA lên cao nh° th¿ °ãc.

Tôi quy¿t Ënh iÁu chÉnh l¡i firewall và tái khßi Ùng nó rÓi theo dõi cå thà sau.

Nm phút sau,

# w

load average: 16.50, 78.65, 90.40

Hëm.... xem t¡m ch¥p nh­n °ãc. Tôi thí dùng FireFox à vào l¡i diÅn àn HVA và th¥y v­n tÑc truy c­p khá h¡n lúc nãy r¥t nhiÁu. Tôi quy¿t Ënh "dump" mÙt mÛ packets à xem thí sñ thà ra sao:

# tcpdump -s0 port 80 -w 26-03-2005

ChÝ kho£ng 60 giây, tôi ng°ng tcpdump, zip hÓ s¡ "26-03-2005" và t£i vÁ laptop cça tôi. Tuy nhiên, tôi l¡i g·p thêm mÙt khó khn khác. B¥t cé mÍi ph°¡ng tiÇn tôi dùng à t£i hÓ s¡ trên vÁ máy (scp, sftp hay rsync xuyên qua ssh....) -56- Áu bË gián o¡n nía chëng. Có l½ do "timeout" giïa m×i gói tin gßi nh­n giïa laptop cça tôi và HVA server (máy chç HVA quá b­n rÙn vì ang bË DoS dÓn d­p). Tôi thß dài l©m nh©m "ành ph£i t¡m ng°ng web service thôi". MiÇng nói, tay làm; tôi ng°ng ngay apache và cing không quên ng°ng luôn monit (monit ã °ãc Á c­p trong mÙt ph§n tr°Ûc ây cça lo¡t ký sñ này) à nó khÏi tñ Ùng restart l¡i apache tr°Ûc khi tôi hoàn t¥t chuyÃn t£i hÓ s¡ 26-03-2005.gz vÁ máy mình.

Voila, hÓ s¡ g§n 3 Mb °ãc chuyÃn vÁ sau h¡n 2 phút.

Tôi khßi Ùng l¡i apache và monit ngay sau ó và liên tåc kiÃm tra server load suÑt 15 phút sau khi khßi Ùng l¡i apache. Server load lúc này ã gi£m xuÑng áng kÃ, không khi nào lên quá 5.0 load. Tôi logoff HVA server và i ngç (l°ãng alcohol trong máu không cho phép tôi ngÓi lâu h¡n nïa).

Tr°a 27/03/2005

Tôi théc d­y h¡i trÅ so vÛi th°Ýng ngày vì tr­n nh­u sáng hôm qua. Sáng nay l¡i có ít viÇc ph£i lo nên tôi không vào HVA suÑt buÕi sáng. Mãi ¿n sau buÕi tr°a, khi mÍi chuyÇn ã âu vào ¥y, tôi mß máy lên, thí vào HVA forum b±ng FireFox. Chà, trang web load ch­m kinh khçng, tôi có c£m giác ch­m h¡n tÑi hôm qua nïa. ChuyÇn gì ây nhÉ?

Tôi log vào HVA server b±ng SSH Ã xem xét tình hình. Sau 5 l§n bË timeout (không connect °ãc ¿n server), tôi t¯c l°ái than th§m "ch¿t th­t, server bË dÙi kinh th¿ này sao?". L§n thé 6, tôi vào °ãc. ViÇc §u tiên tôi làm là kiÃm tra ngay server load:

# w

load average: 55.30, 86.62, 85.43

Chà, không b±ng tÑi qua nh°ng sao ch­m th¿ nhÉ? Tôi hình dung ngay l°ãng connection ¿n database, n¡i duy nh¥t có thà t¡o ra tình tr¡ng ch­m lê thê th¿ này. Tôi thí kiÃm tra ngay sÑ l°ãng process dùng à truy c­p ¿n database:

# ps -ef | grep mysqld | wc -l

200

Ôi, ôi, ôi! 200 process cho mysql? Nh° v­y có ngh)a là mysql ang ng­p ngåa, l¿t th¿ch vÛi l°ãng connection ang diÅn ra. Cing ngay khi ó, Firefox báo l×i "server bË sñ cÑ, không thà truy c­p vào database". Tôi g­t gù, "h³n nhiên là th¿ rÓi". Câu hÏi ti¿p theo n£y ra trong §u "lý do t¡i sao các cú x-flash có thà v°ãt qua °ãc hàng phòng thç?". Tôi kiÃm tra log cça firewall, log cça snort và log cça apache trong cùng mÙt kho£ng thÝi gian (të 11 giÝ sáng ¿n 11:15 sáng giÝ máy chç) à tìm câu tr£ lÝi tÕng quát cho th¯c m¯c ß trên. Sau 15 phút grep, awk, sort.... -57- tôi nh­n ra mÙt iÁu tÑi y¿u: hàng phòng thç không cáng áng nÕi l°ãng x-flash ­p vào server.

Tôi vò §u l©m nh©m "cho ¿n lúc này ã có h¡n 3 triÇu 9 trm ngàn cú POST i vào, tính të nía êm, giÝ máy chç. V­y có ngh)a suýt soát 45 cú POST m×i giây". Dña trên thông tin cça apache và firewall, tôi °Ûc tính firewall chÉ c£n °ãc 2/3 sÑ l°ãng này, nh° v­y cé m×i giây có chëng 15 cú POST i vào. M×i cú POST kích Ùng ít nh¥t 4 queries ¿n database server, m×i query m¥t chëng 0.05 giây. V­y, 15 POST s½ c§n:

Code:

15 POST x (4 queries x 0.05 giây) = 3 seconds

à gi£i quy¿t request, dÍn d¹p và trß l¡i t° th¿ sµn sàng phåc vå. B¡n có thà hình dung chuyÇn gì ã x£y ra rÓi chÛ? Hèm, cé m×i giây l¡i có mÙt khÑi l°ãng requests c§n ¿n 3 giây à gi£i quy¿t (tính trung bình), v­y cé m×i giây i qua thì có chëng 2 giây c¥p sÑ ¿n khÑi l°ãng công viÇc.

ã có nh­n Ënh tÕng quát tình hình, tôi c§n ph£i gi£i quy¿t ngay 2 iÁu:

1) gi£m thiÃu sÑ l°ãng POST càng nhiÁu càng tÑt à l¥y l¡i méc Ù quân bình

2) iÁu tra xem lý do t¡i sao chÉ có 2/3 sÑ l°ãng x-flash POST bË c£n thành công

Tôi dëng ngay apache, mysqld và monit. ChÉnh l¡i firewall và ¥n Ënh connection limit ß méc tÑi thiÃu và khßi Ùng các dËch vå trß l¡i. Vëa theo dõi méc bi¿n thiên cça server load, tôi vëa mß mÛ packet dump tôi l¥y °ãc tÑi hôm qua.

Hãy thí so sánh payload cça x-flash POST l§n này và l§n tr°Ûc

Code:

POST /forum/ HTTP/1.1

Accept: */*

Content-Type: application/x-www-form-urlencoded

Content-Length: 801

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)

Host: www.hvaonline.net

Connection: Keep-Alive

Cache-Control: no-cache

total=1171&Submit=Submit&attack=1&url1=http%3A%2F%2Fwww%2Ehvaonline%2Enet%2Fforum%2F&url2=http%3A%2F%2Fwww%2Ehvaonline%

2Enet%2Fforum%2F&url3=http%3A%2F%2Fwww%2Ehvaonline%2Enet%2Fforum%2F&search%5Fkeywords=%2A&search%5Fterms=any&search%

5Fauthor=&search%5Fforum=1&search%5Ftime=0&search%5Ffields=all&search%5Fcat=1&sort%5Fby=0&sort%5Fdir=DESC&show%

5Fresults=topics&return%

5Fchars=200&act=Reg&termsread=1&agree%5Fto%5Fterms=1&CODE=02&coppa%5Fuser=0&UserName=abcxyzmanginternet&PassWord=123456&PassWord%

5FCheck=123456&EmailAddress=thienthan%40hvaonline%2Enet&EmailAddress%5Ftwo=binhquamit%40cuchuoi%2Ecom&allow%5Fadmin%

5Fmail=1&allow%5Fmember%5Fmail=1&time%5Foffset=7&dst=1&regid=cfdcc4645bbf06325a1680e405e4edb9®%5Fcode=4754125&page=search%

5Fresult&catid=0&search%5Fqkeywords=Thang+Beo&category%5Fid=0

ph§n payload °ãc decode nh° th¿ này:

Code:

total=1171&Submit=Submit&attack=1&url1=http://www.hvaonline.net/forum/&url2=http://www.hvaonline.net/forum/&url3

=http://www.hvaonline.net/forum/&search_keywords=*&search_terms=any&search_author=&search_forum=1&search_time=0

&search_fields=all&search_cat=1&sort_by=0&sort_dir=DESC&show_results=topics&return_chars=200&act=Reg&termsread=1

&agree_to_terms=1&CODE=02&coppa_user=0&UserName=abcxyzmanginternet&PassWord=123456&PassWord_Check=123456

&[email protected]&[email protected]&allow_admin_mail=1&allow_member_mail=1

&time_offset=7&dst=1&regid=cfdcc4645bbf06325a1680e405e4edb9&reg_code=4754125&page=search_result&catid=0

&search_qkeywords=Thang Beo&category_id=0

Ph§n POST x£y ra tr°Ûc ây nh° sau:

POST /forum/ HTTP/1.1

Accept: */*

x-flash-version: 7,0,19,0

Content-Type: application/x-www-form-urlencoded

Content-Length: 712

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts)

Host: 219.207.204.25

Connection: Keep-Alive

Cache-Control: no-cache

total=23&Submit=Submit&attack=1&diachi=http%3A%2F%2Fviemarket%2Ecom%2F&url1=

http%3A%2F%2F219%2E207%2E204%2E25%2Fforum%2F&url2=http%3A%2F%2F219%2

E207%2E204%2E25%2Fforum%2F&url3=http%3A%2F%2F219%2E207%2E204%2E25%2F

forum%2F&option=search&s=&do=login&url=http%3A%2F%2Fvikhoa%2Ecom&agree=1&

password%5Fmd5=&passwordconfirm%5Fmd5=&username=Tintucvietnam&password=

thangcho&passwordconfirm=thangcho&email=admin%40tintucvietnam%2Ecom&emailconfirm=

admin%40tintucvietnam%2Ecom&imagestamp=tintuc&imagehash=47b4a32f7767bfc7b83f8f3e

cf2e8c66&timezoneoffset=8&dst=2&options=&adminemail=1&vb%5Flogin%5Fusername=Hoanghiep

&cookieuser=1&vb%5Flogin%5Fpassword=dumemaykhoa&forceredirect=1&vb%5Flogin%5Fmd5

password=&%5F%5FOoO%5F%5F=1&1=

Ph§n payload ß trên °ãc decoded nh° sau:

Code:

total=23&Submit=Submit&attack=1&diachi=http://viemarket.com/&url1=http://219.207.204.25/forum/&url2=

HYPERLINK "http://219.207.204.25/forum/&url3=http:/2...=&do=login&url=" \t "_blank" http://219.207.204.25/forum/&url3=http://2...=&do=login&url=

HYPERLINK "http://vikhoa.com&agree=1&password_md5=&pa...etnam&password=" \t "_blank" http://vikhoa.com&agree=1&password_md5=&pa...etnam&password=

thangcho&passwordconfirm=thangcho&[email protected]&[email protected]&

imagestamp=tintuc&imagehash=47b4a32f7767bfc7b83f8f3ecf2e8c66&timezoneoffset=8&dst=2&options=&adminemail=

1&vb_login_username=Hoanghiep&cookieuser=1&vb_login_password=dumemaykhoa&forceredirect=1&vb_login_md5password=

&__OoO_

Chúng khác nhau không? Ch¯c ch¯n là khác rÓi. Chúng có nhïng iÃm giÑng nhau? hiÃn nhiên là th¿. Xem kù ph§n payload mÛi cça các cú x-flash POST:

HYPERLINK "http://www.hvaonline.net/forum/&search_key...1&search_time=0" \t "_blank" http://www.hvaonline.net/forum/&search_key...1&search_time=0

&search_fields=all&search_cat=1&sort_by=0&sort_dir=DESC&show_results=topics&return_chars=200&act=Reg&termsread=1

&agree_to_terms=1&CODE=02&coppa_user=0&UserName=abcxyzmanginternet&PassWord=123456&PassWord_Check=123456

&[email protected]&[email protected]&allow_admin_mail=1&allow_member_mail=1

&time_offset=7&dst=1&regid=cfdcc4645bbf06325a1680e405e4edb9&reg_code=4754125&page=search_result&catid=0

&search_qkeywords=Thang Beo&category_id=0

Tôi ph£i g­t gù tán th°ßng vÛi méc sáng t¡o l§n này cça k» t¥n công HVA. B¡n nói sao? t¡i sao ph£i g­t gù? :). úng v­y, tôi g­t gù vì ý Ënh "tàn phá" trong payload cça các cú POST l§n này không chÉ POST kh¡i kh¡i mà có dång ích rõ ràng, m·c dù dång ích này không có tác dång gì ngoài viÇc "buÙc" code cça forum ph£i t¡o 4, 5 cái query ¿n database server cho m×i cú POST. Nhïng query này dëng l¡i ß méc Ù thâu th­p thông tin à hiÃn thË k¿t qu£ cú POST (m·c dù ch³ng có k¿t qu£ gì à hiÃn thì ngoài mÙt mÛ s°Ýn cça diÅn àn). Ý Ënh cça các cú POST trên là thñc thi lÇnh "search" và të khoá à search là mÙt "wild card" * nh±m l¥y vÁ càng nhiÁu k¿t qu£ càng tÑt. N¿u ý Ënh này thành công thì ch³ng m¥y chÑc diÅn àn HVA ch¿t é ë vì database server ph£i làm viÇc ß méc cng th³ng nh¥t. May thay, nÙi dung payload này khá vô ích và không "hiÇu nng" gì h¡n l§n tr°Ûc. Rõ ràng nÙi dung payload nh¯m ¿n hvaonline.net nh°ng cú pháp thì không m£y may t°¡ng éng vÛi hàm "search" cça hva.

Trong 30 phút vëa qua, server load ch°a hÁ lên quá 3.0. Tôi thí vào diÅn àn HVA b±ng FireFox; có v» ch­m h¡n bình th°Ýng nh°ng không ß tình tr¡ng trì trÇ nh° mÙt giÝ tr°Ûc ây. °ãc rÓi, hãy b¯t tay vào phân tích xem cái firewall bË gì mà không c£n h¿t nhïng cú POST kia. Tôi mß hÓ s¡ c¥u hình cça firewall lên và t­p trung vào "bÙ lu­t" dành riêng cho HTTP. Tôi dò tëng dòng, tëng chï cça nhóm lu­t này và chÉ sau mÙt phút, tôi nh­n ra ngay "Ù hß" cça mÙt sÑ lu­t dùng à Ñi phó vÛi x-flash. Hãy xem thí syslog báo nhïng gì, tôi c§n xác nh­n iÁu tôi vëa tìm ra hoàn toàn úng:

Code:

# tail -f messages

Mar 27 12:48:05 hvaonline kernel: Packet too big to attempt sublinear string search (1128 bytes)

Mar 27 12:48:08 hvaonline kernel: NET: 4 messages suppressed.

Mar 27 12:48:08 hvaonline kernel: Packet too big to attempt sublinear string search (1161 bytes)

Mar 27 12:48:14 hvaonline kernel: NET: 3 messages suppressed.

Mar 27 12:48:14 hvaonline kernel: Packet too big to attempt sublinear string search (1379 bytes)

Mar 27 12:48:19 hvaonline kernel: NET: 3 messages suppressed.

Mar 27 12:48:19 hvaonline kernel: Packet too big to attempt sublinear string search (1319 bytes)

=307 DF PROTO=TCP SPT=48256 DPT=25 WINDOW=6432 RES=0x00 ACK PSH FIN URGP=0

Mar 27 12:48:24 hvaonline kernel: NET: 5 messages suppressed.

Mar 27 12:48:24 hvaonline kernel: Packet too big to attempt sublinear string search (1420 bytes)

D=1937 DF PROTO=TCP SPT=38923 DPT=25 WINDOW=24820 RES=0x00 ACK PSH URGP=0

Mar 27 12:48:29 hvaonline kernel: NET: 15 messages suppressed.

Mar 27 12:48:29 hvaonline kernel: Packet too big to attempt sublinear string search (1255 bytes)

Mar 27 12:48:34 hvaonline kernel: NET: 19 messages suppressed.

Mar 27 12:48:34 hvaonline kernel: Packet too big to attempt sublinear string search (1316 bytes)

Mar 27 12:48:43 hvaonline kernel: NET: 5 messages suppressed.

Mar 27 12:48:43 hvaonline kernel: Packet too big to attempt sublinear string search (1194 bytes)

Mar 27 12:48:43 hvaonline kernel: Packet too big to attempt sublinear string search (1194 bytes)

Mar 27 12:49:28 hvaonline kernel: Packet too big to attempt sublinear string search (1269 bytes)

Mar 27 12:49:30 hvaonline kernel: NET: 5 messages suppressed.

Mar 27 12:49:30 hvaonline kernel: Packet too big to attempt sublinear string search (1130 bytes)

Mar 27 12:49:35 hvaonline kernel: NET: 3 messages suppressed.

Mar 27 12:49:35 hvaonline kernel: Packet too big to attempt sublinear string search (1128 bytes)

Qu£ v­y, qu£ v­y. Tôi tìm ra không chÉ mÙt mà là hai iÃm hß khi¿n cho các cú x-flash có thà vuÙt qua hàng phòng thç n¿u nh° sÑ l°ãng x-flash ¡t tÛi méc dÓn d­p nào ó và n¿u nh° apache ã cho phép "keep-alive". Thñc tr¡ng lúc này Áu tho£ mãn c£ hai iÃm n¿u nh° ß trên. Có l½ b¡n cing th¥y vào lúc 12:48:34 có ¿n 19 thông iÇp ngay trong cùng mÙt lúc (và kernel chÉ t°Ýng trình mÙt thông iÇp và cho bi¿t có 19 thông iÇp khác y hÇt). ây là mÙt chi ti¿t minh ho¡ rõ ràng nh¥t méc Ù "dÙi" cça x-flash ¿n HVA trong lúc này.

iÃm nÕi b­t trong cuÙc t¥n công cça x-flash l§n này là sÑ l°ãng IP °ãc huy Ùng làm nguÓn gßi x-flash ¿n HVA, cho ¿n lúc này ít nh¥t g¥p 3 l§n ãt t¥n công vëa rÓi (§u nm 2005).

Ngay khi tôi chu©n bË b¯t tay vào iÁu chÉnh l¡i firewall thì có khách ¿n. K¹t nhÉ? Tôi ngh) th§m "cé Ã t¡m nh° v­y, hiÇn giÝ server load không hÁ lên cao, chÉ h¡i ch­m mÙt tí, të të fix sau". Tôi x¿p laptop l¡i.

Chú thích:

-56- scp (Secure Copy) và sftp (Secure ftp) thuÙc bÙ Open-SSH. Dùng các ph°¡ng tiÇn này à chuyÃn t£i dï liÇu giïa các máy xuyên qua Internet an toàn h¡n ftp và rcp (remote copy) cÕ iÃn h¡n r¥t nhiÁu. rsync xuyên qua ssh (hay còn gÍi là "rsync over ssh" theo thu­t ngï ti¿ng Anh). ây là mÙt ph°¡ng pháp à chuyÃn t£i dï liÇu giïa các máy xuyên qua ssh tunnel. Theo tôi, ây là cách hiÇu xu¥t và an toàn nh¥t.

-57- các lÇnh thông dång trên *nix dùng à tách lÍc thông tin trong các log files à phân tích.

Các b¡n có thà theo dõi ti¿p ph§n 16 t¡i HYPERLINK "http://hvaonline.net/hvaonline/posts/list/320.hva" \t "_blank" ây.

prof(HVA)

Ký sñ các vå DDoS ¿n HVA - Ph§n 16

Sáng sÛm 28/3/2005

C£ buÕi chiÁu hôm qua ¿n khuya, tôi không hÁ Ùng ¿n cái laptop. L¡i ch¡y lng xng, l¡i nh­u lai rai và l¡i "nía say, nía tÉnh" (úng là lÅ Phåc Sinh có khác ;-)). Mãi ¿n 2 giÝ sáng ngày 28/3/2004, tôi nh­n °ãc mÙt cú gÍi të công ty vì hÇ thÑng máy chç bË sñ cÑ. Sñ cÑ này khá ¡n gi£n, tôi chÉ m¥t h¡n 5 phút à tìm ra nguyên nhân và chÉnh sía ngay. Sµn tiÇn, tôi thí vào HVA forum xem sao.

Ch­c, l¡i ch­m rì th¿ này. Ch¯c ch¯n là ch­m h¡n hÓi chiÁu hôm qua ngay lúc tôi ngÓi t³n m³n vÛi mÛ log và packet dump. Tôi quy¿t Ënh log nhanh vào HVA server à xem qua tình hình (m·c d§u lúc này não bÙ cça tôi muÑn ngh) ng¡i). Tôi log vào HVA server khá dÅ dàng, h¡i ch­m nh°ng chÉ mÙt l§n là °ãc. Tôi th¥y server load không cao, sÑ l°ãng process °ãc t¡o trên server qu£ nhiÁu h¡n bình th°Ýng khá nhiÁu (và ây là chuyÇn hiÃn nhiên) nh°ng request të FireFox v«n r¥t ch­m. Tôi tr§m ngâm "ph£i thñc hiÇn viÇc chÉnh sía l¡i firewall rule không thì k¹t". Ngay lúc log vào HVA server, tôi cing nh­n ra lão JAL ang ngÓi chÅm chÇ vÛi mÙt console và có l½ cing ang dán ch·t ôi m¯t vào mÛ thông tin të apache log. Tôi Ënh gßi cho lão mÙt message nh°ng l¡i thôi.

Cách kh¯c phåc tình th¿ nhanh nh¥t lúc này là ph£i huy Ùng ¿n chéc nng SecFilterScanPOST On cça mod_security (xem thông tin ß chú thích -41-) và chÉnh t¡o l¡i mÙt sÑ rules cå thà cho mod_security à c£n mÛ x-flash dai d³ng kia. Tôi nh©m tính th­t nhanh, 1) mß chéc nng này cça mod_security lên sau khi chÉnh vài cái rules cho nó 2) restart l¡i apache à éng hiÇu chéc nng này 3) chÉnh l¡i firewall rule à mß rÙng connection h¡n (à t¡o iÁu kiÇn cho ng°Ýi duyÇt HVA có thà vào). Có l½ tôi chÉ m¥t vài phút à thñc hiÇn các b°Ûc trên. Nói là làm, tôi thñc hiÇn ngay chuyÇn này và sau 3 phút, mÍi chuyÇn ã hoàn t¥t. Tôi dùng FireFox à duyÇt HVA forum thí l§n nïa và th¥y tình hình kh£ quan h¡n nhiÁu.

Th­t sñ mà nói tôi không muÑn lÇ thuÙc hoàn toàn vào chéc nng SecFilterScanPOST à làm béc màn c£n lÍc vì lý do h¿t séc ¡n gi£n: tôi không muÑn hiÇu nng cça HVA server bË gi£m thiÃu. MÙt khi filter này °ãc dùng, không có thé gì trong mÛ payload cça các cú POST có thà tránh khÏi "bË" mod_security xét duyÇt. Nói trên bình diÇn b£o m­t thì ây là chuyÇn tÑt. Tuy nhiên, cái giá ph£i tr£, theo tôi, là quá ¯t vì nó làm gi£m hiÇu nng cça web service mÙt cách áng kÃ. à éng hiÇu SecFilterScanPOST mÙt cách tÑi °u òi hÏi mÙt sÑ thay Õi cn b£n trên web application mà HVA ang dùng và ây là công tác lâu dài. Trong hoàn c£nh HVA ang bË "dÙi" dÓn d­p nh° th¿ này, trách nhiÇm rà tìm và c£n lÍc cça mod_security s½ t¡o ra hai v¥n Á:

1) không thà có mÙt cú x-flash POST nào có thà i vào ¿n apache, cho nên viÇc tác Ùng ¿n database query (à t¡o load trên server) là chuyÇn s½ không x£y ra. ây là chuyÇn tÑt.

2) bßi vì SecFilterScanPOST ph£i rà c£n payload cça tëng cú POST, mÍi request ¿n apache Áu ch­m l¡i (kà c£ Ñi vÛi ng°Ýi dùng hãp lÇ). ây là chuyÇn không tÑt cho nên c§n ph£i iÁu chÉnh và tÑi °u hoá.

ã 2 giÝ r°ái sáng. Tôi ph£i ng°ng ß ây (dù ngày mai v«n là ngày lÅ "Happy Monday Easter"). Tôi x¿p máy l¡i.

Tr°a 28/3/2005

Tr°a nay tôi có vài giÝ Ã thong th£ ti¿p tåc táy máy vÛi HVA server. Tôi log vào HVA forum b±ng FireFox và vào HVA server b±ng SSH. Tình hình không khác gì sáng sÛm nay khi tôi "dñng" SecFilterScanPOST lên. Hay nói mÙt cách khác, server load không hÁ lên quá 2.0 và truy c­p v«n ch­m h¡n bình th°Ýng. ây là chuyÇn hiÃn nhiên vì mÍi cú request Áu bË rà c£n.

Tôi trß l¡i mÛ firewall rule c§n ph£i c£i thiÇn (nh° ã Á c­p tr°Ûc ây). Có hai iÃm khá nghiêm trÍng mà tôi c§n ph£i chÉnh sía ó là: 1) thé tñ cça các rule giÛi h¡n connection và các rule c£n lÍc x-flash cå thà 2) phân tích và ¥n cå thà "chiÁu dài" và tính ch¥t cça các gói tin °ãc th©m sát và c£n lÍc. Tôi không muÑn i sâu vào chi ti¿t c¥u trúc các rules này vì tính b£o m­t cing nh° tính nh¡y c£m cça chúng nh°ng tôi có thà chia x» vÛi b¡n nhïng iÃm trÍng y¿u vÁ m·t nguyên t¯c nh° sau:

- thé tñ cça các rules: mÙt chi ti¿t tôi ã không áp ·t mÙt cách tÉ mÉ tr°Ûc ây nh°ng bây giÝ ã trß thành mÙt v¥n Á h¿t séc rõ ràng và c§n ph£i kh¯c phåc. Trên nguyên t¯c, thé tñ các firewall rule nên °ãc s¯p x¿p à b£o £m tÑi a tính b£o m­t và hiÇu nng cça nó. Trong tr°Ýng hãp này, l°u thông ¿n cÕng 80 là l°u thông chính ¿n HVA server. Cho nên, lu­t cho phép cing nh° c£n lÍc các gói tin ¿n cÕng 80 ph£i ß méc °u tiên. ây là iÁu tôi ã hình thành ngay të §u. Tuy nhiên, thé tñ cça các lu­t giÛi h¡n connection và lu­t c£n lÍc x-flash cå thà ã không n±m úng thé tñ d«n ¿n tình tr¡ng quá nhiÁu gói tin không °ãc kiÃm soát úng méc khi c¡n li "x-flash" ­p vào.

- "chiÁu dài" các gói tin °ãc kiÃm soát à lo¡i trë x-flash: m·c dù ã éng dång "pattern matching" à c£n lÍc x-flash ß t§ng th¥p nh¥t (vì lý do hiÇu nng), tôi ch°a hoàn chÉnh các lu­t này à tÑi °u hoá chúng. Ñi vÛi bình diÇn "pattern matching", viÇc thâu h¹p biên Ù tìm ki¿m "pattern" trong mÙt packet là iÁu tÑi quan trÍng bßi vì nhïng pattern này ph£i °ãc nh­n diÇn và xí lý vÛi tÑc Ù tÑi a. Trong tay tôi ã có §y ç các thông tin biÃu thË "chiÁu dài" nói chung cça các cú "x-flash" kia, v¥n Á còn l¡i c§n ph£i gi£i quy¿t là "giúp" firewall thâu h¹p biên Ù tìm ki¿m -58-.

Tôi b¯t tay vào thñc hiÇn ngay ph°¡ng án ã Ënh. Sau m°Ýi lm phút liÇt kê sµn thông tin và chÉnh sía l¡i firewall, tôi hài lòng vÛi nhïng gì ã °ãc hình thành. Khßi Ùng l¡i firewall, tôi náo néc chÝ xem k¿t qu£ th¿ nào. Mß mÙt cái "tail" Ã theo dõi diÅn bi¿n trên syslog, thôi không hÁ th¥y b¥t cé thông iÇp nào thuÙc d¡ng Packet too big to attempt sublinear string search nh° ã d«n tr°Ûc ây. MÙt d¥u hiÇu tÑt §u tiên! K¿ ti¿p, tôi theo dõi server load b±ng tiÇn ích top và th¥y server load h¡ xuÑng áng kÃ. D¥u hiÇu áng mëng ti¿p theo!

Tôi mß FireFox ra và thí duyÇt HVA forum. Tình hình ã khá h¡n r¥t nhiÁu. Tuy nhiên, ch¯c ch¯n v«n còn dm ba tiÃu ti¿t có thà n¯n sía à c£i thiÇn h¡n nïa. Tôi iÁu chÉnh thêm vài chi ti¿t trên firewall và apache, xem xét l¡i mÙt sÑ tcp settings ß kernel level rÓi restart l¡i apache. Thêm m°Ýi lm phút trôi qua, lúc này tÑc Ù duyÇt HVA forum g§n nh° ã trß l¡i méc bình th°Ýng (°ãc xác thñc b±ng load stat cça forum) m·c dù c¡n li x-flash v«n Õ vào Áu ·n. Tôi hài lòng vÛi h¡n mÙt giÝ Óng hÓ táy máy vÛi HVA server.

Có l½ b¡n v«n còn th¯c m¯c viÇc tôi Á c­p tr°Ûc ây: "Tôi tìm ra không chÉ mÙt mà là hai iÃm hß khi¿n cho các cú x-flash có thà vuÙt qua hàng phòng thç n¿u nh° sÑ l°ãng x-flash ¡t tÛi méc dÓn d­p nào ó và n¿u nh° apache ã cho phép "keep-alive". Thñc tr¡ng lúc này Áu tho£ mãn c£ hai iÃm n¿u nh° ß trên". iÃm l¡i nhïng chi ti¿t tôi vëa trình bày ß trên, b¡n h³n th¥y firewall không hoàn toàn hiÇu xu¥t và ã °ãc chÉnh sía. Lý do trÍng y¿u cho tính "thi¿u hiÇu xu¥t" này ß ch× "pattern matching" ß IP layer không ph£i là mÙt gi£i pháp v¹n toàn. Có thêm nó là mÙt iÁu hay nh°ng không thà trông c­y hoàn toàn ß nó. Lý do, có nhïng packets quá lÛn và modules dùng à kiÃm tra "pattern" trong mÙt packet të chÑi kiÃm tra. GiÛi h¡n này có lý do hoàn toàn hãp lý khi të chÑi không kiÃm tra gói tin quá lÛn: tính hiÇu xu¥t. N¿u mÙt lu­t i theo à c£n nhïng gói tin quá lÛn (vì không kiÃm tra °ãc) thì méc Ù false positive (c£n nh§m gói tin hãp lÇ) quá cao. Các gói tin quá lÛn này ã °ãc phép i qua khÏi hàng rào c£n cça firewall. Trong sÑ này, có khá nhiÁu các gói chéa x-flash t¥n công HVA. ây chính là lý do server load cça máy chç HVA lên cao.

Lý do apache cho phép "keep-alive" là vì måc ích nâng cao hiÇu xu¥t cho ng°Ýi dùng (hãp lÇ). Tr°Ûc ây tôi ã phân tích v¥n Á này khá chi ti¿t, n¿u thích, b¡n nên Íc l¡i các bài tr°Ûc ây. Tuy nhiên "keep-alive" là con dao hai l°ái bßi vì Ñi vÛi ng°Ýi dùng hãp lÇ, nó cho phép dùng socket connection ang có Ã ti¿p tåc ©y thông tin i thay vì ph£i mß ra nhiÁu socket làm tÑn tài nguyên và t¡o truy c­p ch­m. Ñi vÛi các dång ích "thi¿u trong sáng" thì viÇc dùng socket connection ang có Ã ti¿p tåc ©y thông tin mang tính phá ho¡i thì Ù h° ho¡i ¿n máy chç khó mà l°Ýng °ãc. "Keep-alive" trên bình diÇn IP ¡n gi£n là mÙt tcp/ip stream chÉ có 1 l§n "3way handshake" x£y ra, sau ó thông tin thông th°Ýng °ãc °a i xuyên qua các cú ACK-PSH (acknowledge và push). "keep-alive" trên bình diÇn application (trên t§ng apache ch³ng h¡n) có ngh)a là nhiÁu cú POST i xuyên qua mÙt connect ã hình thành. H³n b¡n ã nh­n th¥y "2 iÃm hß" rÓi ché?

B¡n có thà hÏi "t¡i sao không ra lÇnh cho iptables tìm và c£n nhïng gói ACK-PSH có chéa thông tin x-flash? Tôi s½ tr£ lÝi: A very smart question! n¿u b¡n hÏi tôi câu này. T¥t nhiên là th¿, t¥t nhiên là ph£i ra lÇnh cho iptables "tìm và lo¡i bÏ" nhïng gói ACK-PSH "en tÑi" kia nh°ng, câu hÏi °ãc ·t ra: kiÃm soát "pattern matching" cho mÍi gói ACK-PSH sao?. °ãc thôi! tuy nhiên v¥n Á hiÇu xu¥t s½ trß thành chuyÇn au §u ß ây. H¡n nïa, không ph£i gói ACK-PSH nào cing dài t°¡ng tñ nhau, không ph£i các gói ACK-PSH lúc nào cing trÍn v¹n mà chúng có thà °ãc tách nhÏ ra (xem khái niÇm fragmentation trong chú thích -59-). iÁu này d«n tÛi v¥n Á gì? ch¯c ch¯n s½ có nhïng gói tin "en tÑi" i vuÙc qua khÏi hàng rào c£n cça firewall. Tuy nhiên, n¿u cé °a ra måc tiêu c£n °ãc 2/3 sÑ l°ãng các gói tin "en" kia và à dành 1/3 cho SecFilterScanPOST lo liÇu xem ra có thà ch¥p nh­n °ãc chng? Hãy thí làm mÙt bài toán nhÏ nh° sau:

Cho ¿n 12 giÝ tr°a ngày 28/3/2004 (giÝ máy chç), ã có g§n 5 triÇu r°ái cú POST i vào (dña trên thông tin snort thông báo). Cé làm tròn thành 5 triÇu cú và cé cho 9/10 sÑ l°ãng này là các cú ACK-PSH hoàn chÉnh, 1/10 còn l¡i là các cú ACK-PSH bË tách nhÏ ra và iptables không kiÃm soát °ãc. N¿u, iptables có thà kiÃm soát 2/3 cça 9/10 tÕng sÑ 6 triÇu cú POST kia thì:

9/10 cça 5 triÇu POST = 4 triÇu r°ái

2/3 cça 4,500,000 = 3 triÇu.

sÑ còn l¡i à mod_security lo: 1 triÇu r°ái

Þ tình tr¡ng này, t¥t nhiên s½ không còn tình tr¡ng m×i cú x-flash t¡o ra ít nh¥t 4 queries trên database server. Tuy nhiên, £nh h°ßng ¿n tài nguyên cça máy chç n±m ß âu? T¥t nhiên là ß socket level. Hãy thí phân tích qua v¥n Á này xem sao.

a) N¿u iptables c£n 3 triÇu gói ACK-PSH có chéa payload cça POST thì có nhïng chuyÇn nh° sau x£y ra:

- giai o¡n "3-way handshake" giïa nguÓn gßi x-flash và firewall ã x£y ra mÙt cách hãp lÇ.

- gói tin ACK-PSH ti¿p theo i të nguÓn x-flash s½ bË c£n n¿u nó thuÙc d¡ng x-flash. N¿u gói tin này gói gÍn cú POST mà không °ãc tách ra thành nhiÁu gói nhÏ (nh° ã Á c­p vÛi khái niÇm fragmentation ß trên) thì trÍn bÙ xu¥t truy c­p cça cú x-flash này k¿t thúc t¡i ây. Nhïng gói tin i theo sau (n¿u có) s½ bË liÇt vào d¡ng "INVALID STATE" và s½ ti¿p tåc bË c£n vì Ñi vÛi firewall, chúng ch³ng thuÙc mÙt "state" hãp lÇ nào.

- n¿u gói ACK-PSH này là ph§n thé nh¥t cça nhiÁu gói chia nhÏ ra thì có hai chuyÇn x£y ra: 1) n¿u header cça gói tin này có b¥t cé thông tin gì dùng à nh­n diÇn nó là x-flash, nó s½ bË c£n và tr¡ng thái xí lý s½ y hÇt nh° trên. 2) n¿u header cça gói tin này không có b¥t cé thông tin nào à nh­n diÇn nó là x-flash, payload cça nó s½ °ãc kiÃm tra. N¿u trong payload có b¥t cé thông tin nào à nh­n diÇn nó mang tính ch¥t mÙt gói x-flash, nó s½ bË c£n nh° trên, n¿u không, nó s½ °ãc i vào nh° mÙt gói tin hãp lÇ.

False positive trong ph°¡ng théc này? t¥t nhiên là có bßi vì không hÇ thÑng nào l¡i không có false positive. N¿u có false positive, ng°Ýi dùng hãp lÇ ph£i "refresh" l¡i trình duyÇt cça hÍ Ã t¡o mÙt xu¥t truy c­p mÛi. False postive rate? hy vÍng là không cao vì nhïng cú x-flash có nhïng tính ch¥t r¥t ·c thù so vÛi nhïng gói tin hãp lÇ. V­y, n¿u x-flash ho·c các d¡ng DoS khác có nhïng "pattern" mÛi thì sao? Ph°¡ng théc dùng "matching pattern" éng dång regex (xem chú thích -42-) nên mÙt sÑ bi¿n thiên nào ó s½ n±m trong kho£ng kiÃm soát cça các firewall cho ph°¡ng théc cå thà này. Tuy nhiên, n¿u các gói tin có payload hoàn toàn mÛi thì e r±ng hÇ thÑng phòng thç không còn éng hiÇu ß méc tÑi a. Trong tình tr¡ng này, c¡ ph­n duy nh¥t còn tác dång là ph§n iÁu tác giÛi h¡n connection.

V­y £nh h°ßng vÁ m·t tài nguyên cça nhïng tr°Ýng hãp trên ß âu? B¥t cé gói tin nào mang tính hãp lÇ Ã có thà hoàn t¥t "3-way handshake", chúng Áu chi¿m mÙt l°ãng tài nguyên nh¥t Ënh cho b°Ûc này (ß socket level). Tuy nhiên, tr¡ng thái SYN chuyÃn sang các flags sau ó (nh° ACK, ASK-PSH...) r¥t nhanh nên SYN không bË chi¿m quá lâu (ngo¡i trë bË syn flood mÙt cách thñc sñ). Tuy nhiên, d¡ng syn-flood cÕ iÃn ¿n nay ã không còn tác dång m¥y ¿n nhïng kernel mÛi cça linux và *bsd. Tài nguyên bË "phí" nhiÁu nh¥t ß giai o¡n socket °ãc óng (vì 1 trong hai §u truy c­p k¿t thúc), chuyÃn ¿n tr¡ng thái FIN-WAIT-1, FIN-WAIT-2, TIME-WAIT. Trong tr°Ýng hãp firewall can thiÇp vào viÇc k¿t thúc mÙt cuÙc truy c­p thì tình hình có khác n¿u xí dång target khác nhau (DROP hay REJECT và REJECT vÛi chÍn lña nào ó).

- n¿u firewall c£n gói tin b±ng ph°¡ng théc DROP, gói tin vi ph¡m bË hçy bÏ mÙt cách yên l·ng, nh° thà không có chuyÇn gì x£y ra. Trên méc Ù socket, không hÁ có gói RST (reset) hay gói FIN (finish) gßi të máy chç vÁ l¡i nguÓn cça gói tin vi ph¡m à "thông báo" chuyÇn gì ã x£y ra. VÛi tình tr¡ng này, nguÓn gßi gói tin vi ph¡m s½ bË v°Ûng vào tr°Ýng hãp bË hàng Ñng các "dead sockets" vì gói ACK-PSH gßi i không hÁ có gói ACK të máy chç (bË t¥n công) hÓi áp. N¿u máy nguÓn gßi càng nhanh, càng dÓn d­p thì sÑ l°ãng socket ß tình tr¡ng "TIME-WAIT" s½ tÓn t¡i r¥t nhiÁu trên máy và ¿n mÙt lúc nào ó, chính nó s½ bË c¡n kiÇt tài nguyên (memory à giï socket ß tình tr¡ng "TIME-WAIT" ¿n khi timeout).

- n¿u firewall c£n gói tin b±ng ph°¡ng pháp REJECT, gói tin vi ph¡m này bË hçy nh°ng Óng thÝi firewall s½ gßi tr£ mÙt thông iÇp (tùy chÍn lña REJECT nào ó). Thông th°Ýng, mÙt gói FIN ho·c mÙt gói RST (tùy éng dång) s½ °ãc gßi tr£ vÁ máy nguÓn cça gói tin vi ph¡m. VÛi tình tr¡ng này, chính firewall ph£i tÑn tài nguyên à t¡o gói tin hÓi áp và máy nguÓn cça gói tin vi ph¡m °ãc "thoát" khÏi tình tr¡ng bË "dead socket". Cách này có v» "nice" Ñi vÛi nguÓn t¥n công nh°ng tùy vào giao théc mà dùng. Có nhïng giao théc c§n ph£i dùng REJECT à gi£i phóng tài nguyên cho c£ hai §u.

V­y, khi iptables c£n 3 triÇu gói ACK-PSH vi ph¡m kia b±ng ph°¡ng théc DROP, s½ có chëng 3 triÇu "dead sockets" n±m âu ó trên các máy dùng à t¥n công. 3 triÇu "dead socket" thì có gì ghê gÛm? có ó! Cé mÙt dead socket chi¿m 1.5Kb real memory (không ph£i swap). C§n bao lâu và c§n bao nhiêu "dead socket" à máy này c¡n kiÇt memory n¿u m×i "dead socket" chi¿m 1.5Kb và c§n 180 giây à °ãc hçy bÏ hoàn toàn (1.5Kb này s½ °ãc tái dång)? ây chÉ là khái niÇm thu§n toán, thñc t¿ h³n ph£i a d¡ng h¡n r¥t nhiÁu vì không chÉ 1 máy dùng à t¥n công.

b) N¿u mod_security °ãc dùng nh° mÙt d¡ng firewall ß t§ng application và phÑi hãp vÛi firewall ß t§ng IP thì có nhïng chuyÇn sau x£y ra:

- các request tho£ mãn "3-way handshake" ß ngay firewall (t§ng IP) s½ °ãc ti¿p tåc xí lý. N¿u chúng (các gói ACK-PSH) là nhïng gói vi ph¡m thì s½ bË firewall ß t§ng này c£n lÍc nh° ã phân tích ß trên.

- n¿u các gói ACK-PSH °ãc tách ra và firewall ß t§ng IP không kËp xí lý chúng, khi lên ¿n mod_security (t§ng application), chúng s½ bË khám xét và c£n lÍc. Biên Ù c£n lÍc trên mod_security r¥t rÙng bßi vì nó £m nhiÇm viÇc khám xét trên request URL, trên các arguments °ãc chuyÃn vào trong request (th°Ýng dùng cho các cú GET) và nh¥t là trong payload cça các cú POST.

Ù c£n lÍc trên mod_security có thà r¥t chi ti¿t dña trên mÙt "pattern" cå thà ho·c r¥t rÙng n¿u éng dång regex úng méc. Kh£ nng các request "x¥u" i xuyên qua mod_security à t¡o các queries trên database cñc kó th¥p (n¿u chu©n bË c©n th­n các rules cho mod_security). Tuy nhiên, ph£n éng phå trên t§ng firewall này là mÙt v¥n Á không nhÏ. mod_security không DROP gói tin mÙt cách l·ng l½ nh° firewall ß t§ng IP mà nó k¿t thúc request nào mang tính vi ph¡m theo úng quy cách éng dång cça giao théc TCP.

Nh° b¡n ã bi¿t, giao théc TCP c§n 3 b°Ûc à thi¿t l­p mÙt cuÙc truy c­p (3-way handshake) nh°ng l¡i c§n ¿n 4 b°Ûc à k¿t thúc mÙt cuÙc truy c­p -60-. mod_security tr°Ûc tiên gßi tr£ l¡i nguÓn vi ph¡m mÙt thông iÇp (hay mÙt HTTP error status tùy theo c¥u hình éng dång), sau ó nó mÛi gßi mÙt cú FIN (finish) ng°ãc l¡i nguÓn vi ph¡m và ãi §u này gßi vÁ mÙt cú FIN-ACK, ti¿p theo ó mod_security gßi mÙt cú FIN-ACK và ph£i ti¿p tåc ãi §u bên kia gßi tr£ mÙt cú ACK tr°Ûc khi cuÙc truy c­p này hoàn toàn óng. Trên bình diÇn ho¡t Ùng bình th°Ýng, các b°Ûc k¿t thúc này ch³ng có gì áng ph£i bàn vì chúng c§n thi¿t à b£o £m mÙt cuÙc truy c­p °ãc k¿t thúc mÙt cách tr¡n tru, tránh tình tr¡ng time-out, tránh c¡ hÙi bË "dead socket"... Tuy nhiên, trong tình huÑng mÙt máy ang bË DoS dÓn d­p các b°Ûc k¿t thúc úng quy cách này càng t¡o thêm séc ép cho máy chç. Cé m×i cú x-flash i vào, tr°Ûc tiên máy chç ph£i tÑn tài nguyên cho "3-way handshake", sau ó tÑn tài nguyên à dò tìm nÙi dung vi ph¡m cça gói tin. à k¿t liÅu nó, máy chç c§n thêm 2 gói tin cuÑi cùng cÙng vÛi thÝi gian chÝ ãi §u bên kia hÓi báo. Trong lúc mod_security ph£i hoàn t¥t xí lý mÙt cuÙc truy c­p vi ph¡m úng quy cách th¿ này thì có l½ ã có vài chåc, vài trm ho·c vài ngàn cuÙc truy c­p khác ang éng chÝ °ãc xí lý. Có l½ b¡n ã hình dung ra hoàn c£nh cça server th¿ nào n¿u ang bË t¥n công dÓn d­p. mod_security s½ càng ngày càng ng­p ngåa vÛi công viÇc, request càng ngày càng dÓn é. ChuyÇn gì x£y ra n¿u tình tr¡ng này x£y ra?

- ng°Ýi dùng hãp lÇ dùng trình duyÇt s½ th¥y v­n tÑc duyÇt càng ngày càng ch­m.

- trên máy chç càng ngày sÑ socket ß tình tr¡ng FIN-WAIT-1, FIN-WAIT-2, TIME-WAIT càng nhiÁu.

Cho dù các cú DoS không i vào tÛi database à t¡o server load, chính máy chç s½ i ¿n ch× c¡n kiÇt vì h¿t memory do ph£i tuân thç các b°Ûc "óng" cuÙc truy c­p nh° ã nói ß trên. Thí phân tích s¡ qua vÛi sÑ liÇu 1 triÇu r°ái cú x-flash trong nía ngày mà mod_security ph£i c£n và gi£i quy¿t xem:

1,500,000 / 12 / 60 / 60 = 35 cú POST m×i giây

M×i cú POST °ãc mod_security triÇt tiêu nh°ng ph£i i qua giai Ían FIN-WAIT-1, FIN-WAIT-2, TIME-WAIT. Theo m·c Ënh trên Linux kernel, m×i FIN-WAIT-1 s½ tÓn t¡i 60 giây và chi¿m 1.5Kb real memory trong lúc nó còn tÓn t¡i:

35 x 1.5Kb = 52.5Kb m×i giây

Quá ít? Hãy xem thí trong 60 (tr°Ûc khi mÙt socket chuyÃn të d¡ng FIN-WAIT-1 sang FIN-WAIT-2):

52.5 x 60 = 3,150kb

Sang ¿n giây thé 61 mÛi tr£ l¡i 52.5K memory n¿u c¡ ch¿ này ho¡t Ùng nhËp nhàng và không có sñ cÑ:

3,150 - 52.5 = 3,097.5Kb

Gi£ sí chÉ phó m·c cho mod_security lo hoàn toàn các cú x-flash trong tr°Ýng hãp này thì:

5,000,000 / 12 / 60 / 60 = 116 cú POST m×i giây

116 x 1.5Kb = 174Kb

174Kb x 60 = 10,440Kb

M¥t toi 10Mb RAM mÙt cách dÅ dàng!

N¿u k» t¥n công chÍn ph°¡ng pháp gÍn nh¹ h¡n (nh° GET ch³ng h¡n) và gia tng të 116 cú POST thành vài ngàn cú GET m×i giây thì chuyÇn gì s½ x£y ra? ó là ch°a kà tr°Ýng hãp kernel ph£i lo iÁu tác vÛi sÑ "orphans sockets". Cé m×i "orphan" chi¿m 64Kb real memery tr°Ûc khi chúng °ãc mang ra khÏi hàng ãi à °ãc gi£i quy¿t. iÁu tÇ h¡i h¡n nïa là các request hãp lÇ ph£i éng chÝ l°ãt mình °ãc mod_security "xét" và hiÇu xu¥t gi£m sút áng kÃ. Ph§n tài nguyên hao håt (khó th¥y) nh¥t là ph§n logging x£y ra bên d°Ûi. M×i tr°Ýng hãp vi ph¡m (26 tr°Ýng hãp m×i giây) Áu l°u l¡i ít nh¥t là 25Kb log và c¡ ch¿ read-write (cho disk I/O) b­n rÙn ch°a tëng có.

Ý tôi không ph£i "chê" mod_security là tÇ nh°ng th­t sñ nó °ãc thi¿t k¿ Ã chÑng nhïng lo¡i t¥n công ¡n l½ nh° xss, sql injection, buffer overflow... dù nhïng lo¡i t¥n công này hoàn toàn tñ Ùng hoá (b±ng scripting ch³ng h¡n) cing không có tr°Ýng Ù và c°Ýng Ù t°¡ng tñ nh° DDoS. Bßi v­y, viÇc iÁu chÉnh và chÍn lña ph£n éng cho mod_security trong hoàn c£nh này là iÃm tÑi quan trÍng n¿u nh° quy¿t Ënh dùng nó nh° mÙt application firewall.

Ngay lúc tôi ang còn dông dài vÛi bài vi¿t này thì HVA ã trß l¡i bình th°Ýng (dù v«n bË "gõ" Áu ·n). B¡n tò mò muÑn bi¿t nhïng gì ã x£y ra sau ó? MÝi b¡n xem ph§n ti¿p theo.

Chú thích:

-58- dành cho nhïng b¡n thích ào sâu: Ñi vÛi iptables, cách ¡n gi£n nh¥t là dùng match length (-m length) Ã xác Ënh Ù dài cça các packets c§n °ãc kiÃm tra. Ngoài ra còn có nhiÁu kù thu­t phéc t¡p h¡n và chính xác h¡n là phÑi hãp vÛi mÙt sÑ netfilter's helpers và kù thu­t "n¯n" gói tin (traffic shaping) Ã kiÃm soát các gói tin hiÇu qu£ h¡n. ây chÉ là mÙt gãi ý tÕng quát.

-59- thu­t ngï m¡ng và b£o m­t gÍi là "packet fragmentation". MÙt gói tin có thà quá lÛn à khít vào mÙt MTU (Maximum Transmission Unit). Gi£ sí Ethernet có MTU là 1500 và gói tin có Ù dài là 1550 ch³ng h¡n, nó ph£i °ãc "tách" ra à ti¿p tåc gßi ph§n còn l¡i trên gói tin k¿ ti¿p. Xem thêm chi ti¿t "packet fragmentation" trong b¥t cé tài liÇu nào nói vÁ tcp/ip. Ñi vÛi iptables, các fragmented packets Áu °ãc nh­p l¡i ß d¡ng hoàn chÉnh tr°Ûc khi °ãc kiÃm soát. Tuy nhiên, vÛi tinh th§n v¥n Á ang phân tích ß ây, sau khi các gói tin °ãc nh­p l¡i ß d¡ng hoàn chÉnh có thà trß nên quá lÛn và ã bË të chÑi kiÃm tra "pattern".

-60- Nên tham kh£o mÙt cuÑn sách nói vÁ các giao théc trong tcp/ip suite. Tôi cho r±ng bÙ tcp/ip illustrated 1,2,3 cça Richard Steven là mÙt bÙ sách không thà thi¿u cho nhïng ai muÑn ào sâu vÁ giao théc m¡ng.

Các b¡n có thà theo dõi ti¿p ph§n 17 t¡i HYPERLINK "http://hvaonline.net/hvaonline/posts/list/506.hva" \t "_blank" ây.

prof(HVA)

Ký sñ các vå DDoS ¿n HVA - Ph§n 17

Tr°a 4/4/2005

M¥y ngày vëa qua (të ngày 28/3/2005) các tr­n DoS t¥n công HVA "th°a d§n rÓi t¯t h³n", hay nói mÙt cách khác, "th°a d§n rÓi t¡m t¯t".

Tr°a nay, vÛi m¥y phút còn l¡i cça giÝ nghÉ tr°a, tôi log vào HVA diÅn àn à xem qua và th¥y truy c­p diÅn àn th­t ch­m. MÙt tr­n t¥n công mÛi? Tôi vÙi log vào HVA xuyên qua SSH và v¥t v£ l¯m (3 l§n log vào) mÛi vào °ãc. Tôi th­t ng¡c nhiên khi th¥y server load khá th¥p:

# w

load average: 4.25, 5.52, 4.96

Nh°ng t¡i sao ch­m th¿ này nhÉ? Tôi không tin °Ýng dây sí dång Internet cça công ty có sñ cÑ và bË ch­m. Tuy nhiên, Ã xác thñc tình hình, tôi gÍi iÇn nhÝ mÙt ng°Ýi b¡n kiÃm tra dùm và nh° tôi dñ oán, tay b¡n cho bi¿t là vào HVA cñc kó ch­m. Tôi thí kiÃm tra tình hình cça web service b±ng lÇnh:

Code:

# ps -ef | grep httpd | wc -l

257

Ôi chao, apache ã dùng tÛi méc tÑi a cho phép cça "MaxClients" là 256 processes và rõ ràng nhïng processes này hoàn toàn bË chi¿m h¿t và liên tåc °ãc sí dång. Tôi mß mÙt cái "tail" ¿n log file cça apache và ngay l­p téc, hàng lo¡t các cú GET có d¡ng:

/forum/?file=hvaonline_net&url=http%3A%2F%2Fhvaonline%2Enet%2Fforum%2F%3Ffile%3Dhvaonline%5Fnet&t=3660%260%2E372

ang hÑi h£ "dÙi" ¿n HVA. iÁu áng chú ý ß ây là tính ¡n gi£n nh°ng cå thà cça request URL. Rõ ràng các cú GET này °ãc t¡o ra à t¥n công cå thà ¿n HVA.

Sau vài phút, tôi thí kiÃm tra l¡i sÑ l°ãng httpd process ang ch¡y, v«n 257. iÁu này chéng tÏ các process này ã bË "max out" tÑi a nh°ng l¡i không t¡o £nh h°ßng m¥y ¿n database server. Có l½ éng dång trên mod_security cça l§n tr°Ûc ã "bao" luôn tr°Ýng hãp này. Tôi mß c¥u hình cça apache ra và chÉnh sía l¡i giá trË "Keep-alive" timeout ng¯n bÛt l¡i chÉ còn 1/3 giá trË nguyên thu÷ vÛi måc ích "ép" các cú GET này ang dùng "keep-alive" ph£i ch¥m dét sau mÙt kho£ng thÝi gian nào ó à t¡o iÁu kiÇn cho ng°Ýi dùng khác có thà vào. Sau khi restart l¡i apache và ti¿p tåc theo dõi, tôi nh­n th¥y tình hình không c£i thiÇn °ãc bao nhiêu. Khi duyÇt HVA forum, có quá nhiÁu kho£ng ét o¡n và v«n r¥t ch­m. Tôi phóng ngay mÙt cú tcpdump à l¥y thông tin phân tích xem sñ thà ra sao.

Trong khi tcpdump ang ch¡y, tôi tr§m ngâm suy ngh) "n¿u nhïng cú GET này có thà i xuyên qua °ãc béc c£n connection limit và rate limit thì có ngh)a sÑ l§n gßi ph£i th¥p h¡n quy Ënh c£n trên firewall không thì chúng ã bË firewall DROP ngay të bên ngoài." Sau 2 phút, tôi dëng tcpdump, nén k¿t qu£ sniff °ãc và t£i vÁ máy cça tôi. Tôi nh­n th¥y cú GET vÛi URL kia ch°a rõ nÙi dung là gì nh° rõ ràng nó không thuÙc mÙt URI hãp lÇ nào cça HVA c£. Ch¯c ch¯n nó s½ °ãc "redirect" vÁ trang m·c Ënh cça HVA và làm nh° th¿, sÑ query ¿n server v«n x£y ra --> t¡o server load. Tôi quy¿t Ënh l­p thêm mÙt rule trên mod_security à c£n cú GET mÛi này.

V«n ch°a tho£ mãn vÛi tình tr¡ng bË "maxed out", tôi b¯t tay ngay vào iÁu chÉnh sÑ "MaxClients" °ãc "hardcoded" trong httpd.h là 256 (vì tôi không thà gia tng quá con sÑ này trên c¥u hình httpd.conf) và biên dËch l¡i apache. Công viÇc này chÉ m¥t ch°a tÛi 5 phút trên HVA server (xeon CPU có khác!). Tôi iÁu chÉnh l¡i giá trË MaxClients thành 512 và restart l¡i apache. L§n này, khi theo dõi sÑ l°ãng child process °ãc apache t¡o ra tôi th¥y nó không gia tng quá nhanh chóng sau khi v°ãt khÏi con sÑ 257. Cé m×i 5 phút l¡i có thêm chëng 2 child process mÛi. iÁu này chéng tÏ sÑ l°ãng IP dùng à t¡o các cú GET không gia tng (ho·c gia tng r¥t ít). Hy vÍng ng°Ýi dùng có thà ti¿p tåc vào °ãc diÅn àn HVA ß tình tr¡ng t¡m thÝi "c§m cñ" th¿ này cho ¿n tÑi, khi tôi r£nh r×i h¡n à có thà iÁu chÉnh xác thñc h¡n.

MÛi ó mà ã h¿t giÝ n tr°a và tr°Ûc m¯t tôi là mÙt mÛ công viÇc kinh khçng c§n ph£i gi£i quy¿t. Tôi thß dài, chÉnh l¡i firewall à h¡n ch¿ sÑ l°ãng connection. Khßi Ùng l¡i firewall, tôi hy vÍng vÛi h¡n ch¿ này cÙng vÛi rule mÛi cho mod_security s½ gi£m thiÃu tác h¡i cça các cú GET tai quái (nh°ng hãp lÇ) kia. Tôi ph£i quay l¡i vÛi mÛ công viÇc ang bÁ bÙn ß sß làm.

ChiÁu 4/4/2005

ã g§n ¿n giÝ tan sß, tôi vào thí HVA l§n nïa. Tình hình v«n không khá h¡n bao nhiêu. Tôi thí log vào HVA server b±ng SSH, k¹t céng! không vào °ãc. Tôi thí i thí l¡i c£ chåc l§n cing không °ãc. Ch³ng l½ lão JAL ã rút dây c¯m luôn sao? ;). Të SSH console tôi dùng à tunnel të nhà, tôi thí nmap HVA và bi¿t ch¯c nó v«n còn online. Tuy nhiên có quá nhiÁu packets bË hçy (lost). Tôi ch­c l°ái "không l½ tr­n DoS này ã saturate luôn c£ °Ýng dây Internet cça HVA sao?". Còn 10 phút nïa tan sß, tôi quy¿t Ënh t¡o tunnel të sß vÁ máy ß nhà và t¡o °Ýng ra à connect vÛi YIM (xuyên qua tunnel). Tôi log on YIM và lão JAL ang "vàng khè" trên danh sách YIM. Tôi gßi vÙi cho lão mÙt thông iÇp vào báo r±ng tôi không vào SSH °ãc. C£ hai chúng tôi Áu oán r±ng có l½ °Ýng d«n Internet cça HVA ã bË saturate ho·c máy chç HVA quá b­n rÙn (ít nh¥t là trên socket) nên tôi không log vào °ãc. Tôi Á nghË lão JAL t¯t bÏ apache, t¯t bÏ luôn monit à tránh không cho nó tñ Ùng restart l¡i apache. Tôi v«n vào không °ãc! JAL ã thí restart l¡i server hai l§n và ng°ng h³n apache nh°ng tôi v«n không thà vào °ãc. D°Ýng nh° ngay khi máy chç HVA online, °Ýng d«n cça nó bË ng­p ngåa các packets t¥n công ho·c có thà nó ang bË t¥n công bßi mÙt d¡ng khác. Ti¿c thay tôi không thà làm gì °ãc lúc này.

Tình hình xem ra gay go. Tôi than th§m "hèm, trúng ngay mÙt ngày b­n rÙn mà ch¡i th­t ác". Tr°Ûc khi rÝi sß, tôi Á nghË JAL iÁu chÉnh l¡i trÍn bÙ ch¿ Ù logging cça firewall à gi£m thiÃu sÑ l°ãng logs ang °ãc t¡o ra vÛi c¡n li DDoS ang ­p vào HVA server. Tôi Á nghË JAL t¡m ng°ng ß ó, khi tôi vÁ ¿n nhà tÑi nay, tôi s½ liên l¡c vÛi JAL qua YIM và ti¿p tåc xí lý. Tôi x¿p laptop l¡i, phóng nhanh ra cía à kËp chuy¿n tàu.

Trên tàu, trên °Ýng vÁ nhà, tôi mß m£nh tcpdump l¥y °ãc lúc tr°a à xem xét. Tôi th¥y ngay mÙt l°ãng GET khÕng lÓ ã ­p vào HVA server të hàng trm IP (të VN và nhiÁu n¡i khác trên th¿ giÛi). Cú get có nÙi dung và header nh° sau:

Code:

GET /forum/?file=hvaonline_net&url=http%3A%2F%2Fhvaonline%2Enet%2Fforum%2F%3Ffile%3Dhvaonline%5Fnet&t=3660%260%2E37203 HTTP/1.1

Accept: */*

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: hvaonline.net

Connection: Keep-Alive

Cookie: session_id=74814b8ff967ad0d282ed5945d39276a

o¡n trên cho chúng ta nhïng thông tin gì? qu£ là không nhiÁu. Tr°Ûc tiên ta th¥y cú GET này hoàn toàn không có thông tin nào vÁ x-flash c£. ây là lý do t¡i sao chúng i xuyên qua firewall và không hÁ bË c£n trß (ngoài sÑ requests vi ph¡m lu­t connection limit). K¿ ti¿p, giá trË request °ãc "pass" qua URL hoàn toàn không vi ph¡m lu­t b£o m­t ã °ãc áp ·t trên HVA server (cho các v¥n Á thuÙc vÁ xss, buffer overflow, sql inject....). Các giá trË request °ãc "urlencoded" hoàn toàn úng quy cách. Decode o¡n request trên cho k¿t qu£ nh° sau:

/forum/?file=hvaonline_net&url=http://hvaonline.net/forum/?file=hvaonline_net&t=3660&0.37203

ây là lý do t¡i sao chúng l¡i ti¿p tåc i xuyên qua các c¡ ch¿ c£n lÍc ß t§ng application và "tàn phá". Có l½ sau khi tôi áp dång mÙt rule mÛi trên mod_security ã gi£m thiÃu lo¡i GET này nh°ng server ti¿p tåc bË t¥n công b±ng ph°¡ng théc khác. Lúc nãy JAL cho tôi bi¿t cÕng 25 (SMTP) cça HVA server cing có hàng Ñng request nh°ng không ch¯c ph£i do DoS hay không.

Tôi ti¿p tåc duyÇt qua o¡n tcpdump, o¡n này chÉ ch¡y trong 2 phút lúc tr°a nh°ng sau khi liÇt kê thông tin trong o¡n này, tôi tÕng k¿t có kho£ng trên 75 ngàn cú GET ¿n HVA server trong 2 phút ng¯n ngçi và i të ít nh¥t 400 IP khác nhau. Tôi tr§m ngâm ngh) ngãi và hình thành 2 tr°Ýng hãp có thà x£y ra vÛi HVA të tr°a nay:

1) lo¡i GET ß trên bË lo¡i trë và mÙt (ho·c nhiÁu lo¡i khác) ang t¥n công HVA mà tôi ch°a rõ là d¡ng nào.

2) lÑi c£n b±ng mod_security ã t¡o ra "ph£n éng phå" nh° tôi ã trình bày trong ph§n cuÑi cça bài ký sñ l§n tr°Ûc.

C£ hai gi£ Ënh này Áu có thà x£y ho·c có thà ang cùng x£y ra.

Hãy thí phân tích tr°Ýng hãp 1 tr°Ûc.

- N¿u HVA ang bË t¥n công b±ng mÙt d¡ng (ho·c nhiÁu d¡ng GET) khác thì có ngh)a là màng l°Ûi phòng thç trên HVA không c£n lÍc h¿t ho·c không hÁ c£n lÍc.

- N¿u các cú GET ß d¡ng khác d¡ng GET ß trên và không hÁ mang thông tin gì chéng tÏ nó là x-flash thì ch¯c ch¯n nó °ãc i xuyên qua firewall và t¥t nhiên snort cing ch³ng có gì Ã thông báo.

- N¿u các cú GET này không hÁ vi ph¡m các lu­t c£n lÍc cça mod_security, chúng s½ ti¿p tåc i vào.

iÁu này cho th¥y n¿u mod_security Ënh chÉnh Ënh ch·t ch½ h¡n và sâu sát h¡n cho c¥u trúc cça web application ch¡y trên HVA, tr°Ýng hãp nhïng cú GET "en tÑi" nh°ng "hãp lÇ" s½ gi£m thiÃu. ây là iÁu mà thôi ã Á c­p trong bài "ký sñ" l§n tr°Ûc vÁ viÇc s¯p x¿p và chÉnh Ënh l¡i web application cça HVA à lo¡i bÏ ph§n lÛn nhïng kh£ nng t¥n công "mÙt cách hãp lÇ" cça DDoS. Nói cho cùng, mod_security ã không ph£i là mÙt t¥m màn che cÑt lõi trong các t§ng phòng thç cça HVA. Tôi v«n r¥t e ng¡i khi ph£i dùng các hÇ thÑng c£n lÍc trên application layer vì lý do hiÇu xu¥t nh°ng n¿u c§n ph£i dùng ¿n nó à gia tng Ù ch·t ch½ cça "vòng ai phòng thç" thì cing ph£i dùng v­y. Nh°ng có l½ ph£i tÑi °u d¡ng éng dång này ¿n méc tÑi a có thà °ãc. Thñc t¿ lúc này tôi ch°a dùng mod_security cho måc ích b£o vÇ ß bình diÇn DoS và sñ thà ã quá hiÃn nhiên.

VÛi tr°Ýng hãp 2, tôi e r±ng éng dång mod_security hÓi tr°a nay ã t¡o nhïng "ph£n éng phå". Ph£n éng phå ß ây là hàng lo¡t các cú FIN mà mod_security t¡o ra à k¿t thúc nhïng cú GET "en tÑi" t¡o ra. Nh° ã phân tích ß cuÑi bài "ký sñ" l§n tr°Ûc, bßi mod_security thñc thi các b°Ûc c§n thi¿t và úng quy Ënh trên giao théc TCP nên chính nó ã bË séc ép vÁ m·t tài nguyên à thñc thi. Tôi hình dung ra hàng ngàn sockets ang ß tình tr¡ng FIN-WAIT-1, FIN-WAIT-2 và TIME-WAIT ang hiÇn diÇn trên HVA server lúc này. Nói vÁ m·t tài nguyên (nh° memory, disk space, bandwidth) thì HVA server ç séc à chÑng chÍi ít nh¥t vài giÝ nh°ng tình tr¡ng s½ trß nên tÇ h¡i n¿u nh° sÑ l§n mod_security thñc thi à k¿t liÅu các cú GET kia càng tng. Qu£ th­t, ây là iÁu tôi lo ng¡i h¡n h¿t bßi vì séc ép cça tình tr¡ng d§n d§n c¡n kiÇt tài nguyên ch¯c ch¯n s½ x£y ra n¿u nh° không có mÙt ph°¡ng pháp nào gi£i quy¿t nhanh chóng h¡n là phó m·c vào c¡ ch¿ triÇt bÏ các cú GET cça mod_security. Tuy nhïng cú GET này không thà i sâu h¡n vào hÇ thÑng à t¡o server load nh°ng nói vÁ m·t tác dång cça måc ích DoS, nó có tác dång h¡n nhïng cú POST ch­m ch¡p kia. Nhïng cú POST có thà ¡t °ãc ß méc tÑi a và có thà ång tÛi giÛi h¡n sÑ connection database server cho phép rÓi dëng l¡i ß ó (vì không thà i xa h¡n). VÛi nhïng cú GET kia và vÛi sÑ l°ãng IP dày ·c nh±m dung hoà °Ýng d«n cça HVA thì tình hình n±m trên ph°¡ng diÇn hoàn toàn khác.

Tr°Ûc m¯t tôi e r±ng sÑ l°ãng "MaxClients" trên apache có thà ã "maxed out". iÁu này có ngh)a r¥t ít c¡ hÙi ng°Ýi dùng hãp lÇ có thà vào °ãc diÅn àn HVA vì sÑ l°ãng "MaxClients" ã tÛi giÛi h¡n và g§n nh° bË nhïng cú GET tai quái kia chi¿m giï. V­y, iÃm cÑt lõi ß ây là làm sao gi£i to£ tình tr¡ng bË "maxed out" ß trên, làm sao "discard" °ãc nhïng cú GET i vào nhanh nh° vi bão kia. Të khoá "discard" ã cho tôi ngay mÙt áp án. Tôi ch°a hình thành ngay °ãc ph°¡ng pháp cå thà làm th¿ nào à gi£i to£ nh°ng tôi tñ g­t gù sau khi n£y ra cho mình mÙt h°Ûng gi£i quy¿t.

TÑi 4/4/2005

C¡m n°Ûc xong, tôi ph£i dành nía giÝ Ã kiÃm soát bài vß cça th±ng cu con. Khi mÍi chuyÇn âu vào ó thì ã 8 giÝ tÑi n¡i tôi c° ngå, chëng 6 giÝ chiÁu giÝ máy chç. Ñi vÛi ng°Ýi dùng, diÅn àn HVA ã offline h¡n 2 giÝ.

Tôi thí log vào HVA server b±ng SSH. V«n không vào °ãc! Mß YIM lên, JAL ang online, có l½ lão ang sµn sàng tác chi¿n :). Tôi gßi JAL mÙt thông iÇp Á nghË chÉnh firewall à block luôn cÕng 80, không cho phép b¥t cé request nào i vào °ãc trong máy. JAL thñc hiÇn ngay viÇc này nh°ng... tôi v«n không thà log vào cÕng SSH trên HVA server. Cha ch£, tôi ng§m oán l§n này HVA bË t¥n công vÛi sÑ l°ãng IP ch°a tëng có. Cé cho m×i IP chÉ gßi 3 request trong mÙt giây và có 5, 7 trm ho·c c£ ngàn IP cùng gßi mÙt l°ãt thì có thà °Ýng dây Internet cça HVA bË dung hoà (saturated).

Tôi l¡i Á nghË JAL óng luôn cÕng SMTP và cÕng SSH nh°ng mß l¡i SSH trên mÙt cÕng hoàn toàn khác xem sao. Sau mÙt phút, JAL hÓi báo cho bi¿t là ã thñc hiÇn xong Á nghË cça tôi. Tôi thí log vào HVA xuyên qua cÕng SSH "mÛi" và qu£ nhiên, tôi log vào °ãc. V«n còn r¥t ch­m nh°ng iÁu quan trÍng là tôi ã có thà vào HVA server. Tôi thí b¯t §u iÁu chÉnh HVA server nh°ng nh­n ra ngay là không thà làm viÇc trong tình tr¡ng nh° th¿ này à kh¯c phåc nhanh chóng tình tr¡ng hiÇn thÝi cça HVA bßi vì nhïng gì tôi gõ ho·c duyÇt trên console m¥t quá nhiÁu thÝi gian à thñc thi. Tôi quy¿t Ënh nhÝ JAL triÃn khai dùm các b°Ûc (vì lão ngÓi ngay tr°Ûc server nên không bË tình tr¡ng ch­m nh° tôi).

Trong khi trao Õi thông tin vÛi JAL à lão iÁu chÉnh trên server, tôi tranh thç iÁu chÉnh mÙt sÑ chi ti¿t khác. Tôi m¥t h¡n 20 phút à iÁu chÉnh l¡i c¥u hình cça apache, thêm 15 phút à iÁu chÉnh l¡i firewall và kiÃm tra ch¿ Ù log. JAL ã hoàn t¥t các iÃm tôi Á nghË JAL chÉnh sía të lâu, còn tôi ph£i g§n 1 giÝ trôi qua mÛi k¿t thúc mÍi viÇc. Trong lúc tôi kiÃm tra và iÁu chÉnh l¡i nhïng iÃm quan trÍng trên HVA server, JAL signed off YIM nh°ng trß l¡i sau vài phút.

Tôi b£o JAL: "bÓ sµn sàng ch°a? hãy khßi Ùng l¡i các dËch vå!"

JAL c°Ýi, áp l¡i: "có tñ tin không ó lão?"

Tôi áp: "cùng l¯m là rút dây ra i ngç cho ngon gi¥c thôi ".

Và... th¿ là chúng tôi khßi Ùng l¡i các dËch vå c§n thi¿t. Th­t tuyÇt! server load không nhïng gi£m xuÑng mà gi£m th­t nhanh. Giá trË l¥y të # netstat -nat | grep TIME_WAIT tåt xuÑng të trên 4000 ngàn còn l¡i vài chåc trong m¥y phút Óng hÓ. Nhìn trên cái stats cça server, tôi tçm tÉm c°Ýi mÙt mình vì të khoá "discard" tôi n£y ra trong §u khi ang ß trên tàu lía chiÁu nay qu£ th­t éng hiÇu ngoài ý muÑn. iÁu áng chú ý là ngay lúc apache khßi Ùng l¡i, tôi phát hiÇn ra hàng lo¡t "x-flash" ß d¡ng GET (phÑi hãp vÛi vài d¡ng x-flash khác) và có request r¥t ng¯n gÍn nh° sau:

GET /forum/index.php?

Tuy nhiên, nhïng cú GET này ã °ãc chuyÃn h°Ûng ¿n mÙt n¡i khác và không có c¡ hÙi i vào HVA forum. B¡n có thà th¯c m¯c t¡i sao các request ß d¡ng HYPERLINK "http://www.hvaonline.net/forum/index.php?" \t "_blank" http://www.hvaonline.net/forum/index.php? l¡i không thà i vào HVA forum, n¿u th¿ thì c£ nhïng request të ng°Ýi dùng hãp lÇ cing s½ bË "hoá gi£i" c£ sao? iÁu tôi có thà ti¿t lÙ ß ây là mÙt request thi¿u hãp lÇ °ãc gßi të "x-flash" có tính ch¥t khác biÇt so vÛi request gßi të trình duyÇt bình th°Ýng (nh° Internet Explorer ho·c FireFox...). N¿u b¡n dùng packet sniffer à b¯t l¥y mÙt o¡n thông tin và thí phân tích kù l°áng, b¡n s½ nh­n ra iÁu này. Sñ khác biÇt không nhïng të thông tin biÃu thË x-flash (n¿u có) mà còn ß mÙt sÑ thông tin khác trên HTTP header. Tính ·c biÇt này ã không °ãc éng dång à "c£n" các cú "x-flash" ß t§ng IP (trên iptables) bßi vì d«u có nh­n ra, iptables cing không thà xí lý °ãc chúng (ngo¡i trë có mÙt iptables module chuyÇn dång cho v¥n Á này, nh°ng tôi e r±ng nó không tuyÇt Ñi hiÇu qu£). Sau khi éng dång mod_security, các gói tin i ¿n t§ng HTTP và mang tính th¥t ·c biÇt này ã bË xí lý mÙt cách dÅ dàng vì chúng ß trên cùng mÙt t§ng giao théc.

R¥t ti¿c tôi không / (ch°a) có thà ti¿t lÙ chi ti¿t kù thu­t cça ph°¡ng pháp éng dång lúc này vì nhiÁu lý do nh¡y c£m. Tuy nhiên, tôi có thà gãi ý mÙt iÃm cÑt lõi: n¿u b¡n ph£i c£n mÙt nguÓn lñc ©y vào, b¡n s½ hao tÕn séc lñc. Nh°ng n¿u b¡n cho phép nó vào và d«n nguÓn lñc này ¿n mÙt n¡i không gây tác h¡i, không gây "ph£n éng phå" thì b¡n không còn bË hao tÕn. Nguyên t¯c này hoá gi£i hàng ngàn sockets ß d¡ng "orphans" trên HVA server. Ch³ng nhïng th¿, sau ó nó không còn b¥t cé c¡ hÙi à t¡o thêm "orphan" nào trên socket vì "4 b°Ûc k¿t thúc" xu¥t truy c­p hoàn toàn không x£y ra Ñi vÛi các gói tin vi ph¡m. T¥t nhiên các xu¥t truy c­p hãp lÇ v«n ho¡t Ùng bình th°Ýng và úng quy Ënh cça giao théc.

M°Ýi lm phút trôi qua, server load cça HVA xuÑng còn 0.5 trong khi mÛ log cça snort v«n t°Ýng trình các cú x-flash Õ vào nh° n°Ûc. Ngay lúc các dËch vå trên HVA khßi Ùng l¡i, tôi và JAL cùng log vào diÅn àn HVA (b±ng FireFox). Có l½ JAL cing nh° tôi, cing nh¹ nhõm khi th¥y v­n tÑc duyÇt diÅn àn có ph§n nhanh h¡n tr°Ûc. Ph£i chng tôi t°ßng t°ãng?

Tôi gßi JAL mÙt thông iÇp: "thôi, tÛ i ngç ây!" và logoff.

Các b¡n có thà theo dõi ti¿p ph§n 18 t¡i HYPERLINK "http://hvaonline.net/hvaonline/posts/list/508.hva" \t "_blank" ây.

Ký sñ các vå DDoS ¿n HVA - Ph§n 18

Tr°a 17/04/2005

M¥y ngày vëa qua HVA bË "dÙi" liên tåc. LiÇu tôi có nên ti¿p tåc gÍi nhïng tr­n DoS này là "x-flash" DoS nïa hay không? Tôi ·t câu hÏi này vì thông tin thÑng kê °ãc të IDS và các log files të HVA server cho th¥y chÉ có 1/3 các gói tin m¡ng thông tin "x-flash" trên header. SÑ l°ãng 2/3 các gói tin còn l¡i không mang b¥t cé d¥u tích gì thuÙc vÁ "x-flash". Tuy nhiên, payload cça chúng hoàn toàn nh° nhau. iÁu này tôi ã Á c­p vài l§n trong nhïng bài ký sñ tr°Ûc ây nh°ng tôi nh¯c l¡i iÃm này vì th¥y r±ng sÑ l°ãng các gói tin không mang "x-flash" trên header gi£m xuÑng rõ rÇt.

Tôi ã thí trace ng°ãc l¡i mÙt sÑ nguÓn t¥n công HVA ß d¡ng "x-flash" này và ã "ång" ph£i khá nhiÁu proxy servers (°ãc dùng à gßi x-flash i ¿n HVA). Qu£ th­t, mÙt sÑ proxy server này ã "lÙt" m¥t thông tin "x-flash" trên header cça các cú POST và GET dùng à t¥n công HVA tr°Ûc khi gßi chúng ra ngoài. iÁu này chéng tÏ ng°Ýi t¡o ra các cú "x-flash" v«n không hÁ chç Ùng vÛi sñ thay Õi cça sÑ l°ãng gói tin có "x-flash" (ho·c không có x-flash) trên header mà v«n do các proxy servers éng trên °Ýng i giïa các máy con và HVA server. iÁu này cing khi¿n cho viÇc éng dång các "matching pattern" à xí lý các cú "x-flash" (có và không không có trên header kia) c§n °ãc cå thà h¡n và có biên Ù rÙng h¡n.

Hai ngày sau khi bài "ký sñ" mÛi nh¥t °ãc ng lên trên diÅn àn HVA, mÙt ãt t¥n công mÛi ã ti¿p tåc x£y ra. L§n này, 100% các gói tin "en tÑi" i vào chéa các cú POST có nÙi dung sau:

Code:

POST / HTTP/1.1

Accept: */*

Content-Type: application/x-www-form-urlencoded

Content-Length: 719

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: www.hvaonline.net

Connection: Keep-Alive

Cache-Control: no-cache

total=8&Submit=Submit&attack=1&url1=http%3A%2F%2Fwww%2Ehvaonline%2Enet&typ=&url2=http%3A%2F%2Fwww%2Ehvaonline%2Enet&url3

=http%3A%2F%2Fwww%2Ehvaonline%2Enet&cena%5Fdo=&location=&wojewodztwo=0&catid=%40&custom%5Ffield%5F1=%40&submit%

5Fsearch=Search&submit%5Ffcheck=1&email=cakhuc%5Ftinhyeu%40yahoo%2Ecom&s=&do=emailpassword&url=http%3A%2F%2Fwww%2Eqvfc%

2Ecom%2Fforums%2Flogin%2Ephp®%5Fusername=hvaonline%40hvaonline%2Enet®%5Fpassword=trieutranduc%40hvaonline%

2Enet&username=admin&oldpsd=Casanova&emaila=trieutranduc%40hvaonline%2Enet&act=Search&CODE=show&searchid=

8842deef29382aa4339b084489437347&search%5Fin=posts&result%5Ftype=topics&highlite=&referer=http%3A%2F%2Fhvaonline%

2Enet&idx=&PassWord=hacker&CookieDate=1

Decode o¡n payload trß thành th¿ này:

total=8&Submit=Submit&attack=1&url1=http://www.hvaonline.net&typ=&url2=http://www.hvaonline.net&url3

=http://www.hvaonline.net&cena_do=&location=&wojewodztwo=0&catid=@&custom_field_1=@&submit_search=Search&submit_fcheck=1

&[email protected]&s=&do=emailpassword&url=http://www.qvfc.com/forums/login.php&reg_username=hvaonline@

hvaonline.net&[email protected]&username=admin&oldpsd=Casanova&[email protected]

&act=Search&CODE=show&searchid=8842deef29382aa4339b084489437347

&search_in=posts&result_type=topics&highlite=&referer=http://hvaonline.net&idx=&PassWord=hacker&CookieDate=1

D°Ýng nh° "nhóm" t¥n công HVA không hiÃu nÕi nhïng iÃm tôi ã °a ra trong o¡n k¿t cça bài ký sñ l§n tr°Ûc, ho·c hÍ cÑ tình làm ng¡ nó, ho·c muÑn xác nh­n iÁu tôi °a ra có giá trË hay không. Të các thông tin °ãc l°u trên HVA, tôi có thà minh ho¡ cho b¡n mÙt sÑ chi ti¿t lý thú nh° sau:

- ngày thé nh¥t cça ãt t¥n công mÛi nh¥t này, sÑ l°ãng các gói tin "en tÑi" ß d¡ng x-flash bË hu÷, c£n, cho phép, i vào black hole.... có tÕng sÑ là 2.735Gb.

- ngày thé hai, con sÑ này tng lên thành 3.557Gb

- ngày thé ba, con sÑ này gi£m xuÑng còn 1.78Gb

Nhïng thông tin sau không nh±m måc ích minh ho¡ tác h¡i ¿n máy chç HVA mà Ã nh¥n m¡nh Ù phí ph¡m bng thông cça trò ch¡i quái gß này. Con sÑ 3.557Gb cho mÙt ngày t°¡ng °¡ng (ho·c h¡n) méc ¥n Ënh bình th°Ýng cça mÙt web site ß d¡ng dËch vå host ("share hosting") cho mÙt tháng. N¿u b¡n tò mò thì tôi xin ti¿t lÙ r±ng trong lúc HVA bË DoS cao iÃm nh¥t, server load ch°a bao giÝ lên quá giÛi h¡n 1.0.

Ngay trong lúc HVA "bË" DoS cao iÃm nh¥t, tôi nhÝ JAL thí liên hÇ mÙt sÑ thành viên ß VN Ã hÏi thm tình hình truy c­p vào HVA nhanh, ch­m th¿ nào. Tôi °ãc bi¿t h§u h¿t các thành viên dùng VDC và FPT ít nhiÁu bË £nh h°ßng vì gateway i ra ngoài (Ã ¿n HVA tràn ng­p nhïng gói tin dành t¥n công HVA). Ã ph§n nào gi£i quy¿t tình tr¡ng này, tôi quy¿t Ënh mß rÙng thêm giÛi h¡n "connection limit" g¥p ôi sÑ l°ãng m·c Ënh. SÑ l°ãng m·c Ënh °ãc hình thành qua nhiÁu phân tích méc Ù truy c­p hãp lÇ ß méc bình th°Ýng ¿n HVA; k¿t qu£ tìm °ãc nhân 3 l§n (Ã trë hao tr°Ýng hãp các gói tin bË hçy và c§n °ãc gßi l¡i - n¿u có). Sau thay Õi này, tôi nh­n °ãc hÓi báo të nhiÁu thành viên cho bi¿t tình tr¡ng truy c­p h¡i ch­m h¡n bình th°Ýng mÙt tí và ch¥p nh­n °ãc.

Liên tåc trong ba ngày, tôi thâu th­p °ãc khá nhiÁu thông tin lý thú. Ví då, có mÙt host (có l½ ây là mÙt proxy server) i të th° viÇn Ëa ph°¡ng cça mÙt thË tr¥n thuÙc tiÃu bang California, host này liên tåc gßi các gói tin t¥n công HVA suÑt 8 giÝ Óng hÓ. ôi lúc, tôi chÙt d¡ và cho r±ng ây là mÙt hÇ thÑng "DoS" tñ Ùng. Tuy v­y, sau khi lÍc và hình thành các thông tin cå thà cho host này, tôi l¡i tin r±ng các gói tin i të host này là do nhiÁu ng°Ýi dùng bßi vì Ù gián Ían giïa các ãt packet gßi i mang n·ng "tính ng°Ýi".

Tôi cing th¥y có r¥t nhiÁu thông tin lý thú khác. Ví då, Ù gia gi£m cça các gói tin t¥n công HVA tùy thuÙc vào múi giÝ. Có nhïng gói tin i të Hoa Kó, Canada, rÓi të B¯c Âu, të ông Âu, xu¥t phát të Nga, të Trung QuÑc và rÓi të các n°Ûc ông Nam Á nh° Mã Lai, Nam D°¡ng. Các gói tin xu¥t phát të Úc, Tân Tây Lan.... N¿u tính theo múi giÝ, thÝi gian cao iÃm cça m×i vË trí này th°Ýng x£y vào ban êm. iÁu này cing dÅ hiÃu nhÉ? :)

CuÑi ngày thé 3, các cú POST ß trên gi£m d§n và t¯t h³n. "Chç nhân" cça các tr­n DoS này ngh) gì? tôi không rõ nh°ng tôi bi¿t ch¯c mÙt iÁu, "chç nhân" này không m¥y vui thích vì ch³ng th¥y °ãc k¿t qu£ gì cho rõ ràng. Sáng nay, tôi "b¯t" °ãc mÙt ãt POST mÛi, r¥t th°a thÛt và không áng kÃ. Chúng có payload nh° sau:

Code:

POST /forum/index.php HTTP/1.1

Accept: */*

Content-Type: application/x-www-form-urlencoded

Content-Length: 697

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.0.3705)

Host: hvaonline.net

Connection: Keep-Alive

Cache-Control: no-cache

total=506&Submit=Submit&attack=1&url1=http%3A%2F%2Fhvaonline%2Enet%2Fforum%2Findex%2Ephp&url2=http%3A%2F%2Fhvaonline%2Enet%

2Fforum%2Findex%2Ephp&url3=&cena%5Fdo=&location=&wojewodztwo=0&typ=&catid=%40&custom%5Ffield%5F1=%40&submit%

5Fsearch=Search&submit%5Ffcheck=1&email=cailon%40concac%2Ecom&s=&do=emailpassword&url=http%3A%2F%2Fhvaonline%2Enet%2Fforum%

2Flogin%2Ephp®%5Fusername=support%40hvaonline%2Enet®%5Fpassword=concac%40cailon%

2Enet&username=admin&oldpsd=Casanova&emaila=trieutranduc%40hvaonline%2Enet&act=Search&CODE=show&searchid=

8842deef29382aa4339b084489437347&search%5Fin=posts&result%5Ftype=topics&highlite=&referer=http%3A%2F%2Fhvaonline%

2Enet&idx=&PassWord=hacker&CookieDate=1

B¡n th¥y payload ß trên và payload này có nhïng gì khác nhau? Chúng khác nhau ¥y và.... "cay" h¡n o¡n tr°Ûc. B¡n thí decode payload này xem có gì thú vË? . B¡n ëng hiÃu l§m nhïng tr­n "x-flash" kia là thú vË, ý tôi cái "thú vË" ß ây chÉ n±m trong nhïng payload có ph§n nào ph£ng ph¥t tr¡ng thái tinh th§n cça "chç nhân" cça chúng.

Tôi e r±ng nhïng tr­n t¥n công "x-flash" này v«n s½ còn ti¿p diÅn. H¿t GET s½ sang POST, h¿t POST trß l¡i GET. Nên chng tôi than thß r±ng "chÑng á" nhïng tr­n DoS này v¥t v£ quá Ã tay "chç nhân" "Ùng lòng" të bÏ trò ch¡i quái £n này? Nên chng tôi "xúc thêm" Ã còn nhïng bài "ký sñ" khác ti¿p tåc? Tôi e r±ng, chëng nào "chç nhân" cça các cú "x-flash" kia còn ch°a hiÃu nÕi chuyÇn gì ã x£y ra vÛi HVA trong m¥y ngày qua (tôi ch¯c r±ng "chç nhân" này ã vào thí HVA Ã xem tình hình trong suÑt thÝi gian này), chëng ¥y nhïng tr­n DoS s½ v«n còn ti¿p diÅn. Bi¿t âu chëng, HVA s½ ph£i ti¿p tåc ón nh­n nhïng tr­n DoS này và nó s½ trß thành mÙt chuyÇn bình th°Ýng cho ¿n khi nào ng°Ýi "chç nhân" ¥y thñc sñ... grown up :).

Các b¡n có thà theo dõi ti¿p ph§n 19 t¡i HYPERLINK "http://hvaonline.net/hvaonline/posts/list/510.hva" \t "_blank" ây.

prof(HVA)

Ký sñ các vå DDoS ¿n HVA - Ph§n 19

22/04/2005

Hai ngày vëa qua, 21/04 và 22/04/2005, HVA héng á mÙt d¡ng t¥n công mÛi cça "x-flash". iÃm ·c biÇt cça d¡ng này là h¡n 95% các gói tin gßi vào HVA hoàn toàn hãp lÇ të giao théc cho ¿n header và payload. T¡i sao tôi bi¿t °ãc chúng chính là "x-flash"? lý do r¥t ¡n gi£n là kho£ng 5% các gói tin l§n này v«n còn mang header "x-flash-version: 7,0,19,0". Vì lý do gì ó, 95% các gói tin còn l¡i không có header nh° th¿ (có l½ nh° mÍi l§n, các cú x-flash này °ãc mÙt ho·c nhiÁu proxy "lÙt" m¥t header) nh°ng nÙi dung y hÇt nhau.

Hãy thí xem mÙt m£nh request nh° sau:

Code:

GET /forum/index.php HTTP/1.1

Accept: */*

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Connection: Keep-Alive

Cache-Control: no-cache

Host: hvaonline.net

Không thà b¯t b» ß âu °ãc, b¡n nhÉ?

Hãy xem thêm mÙt m£nh khác:

Code:

POST /forum/index.php HTTP/1.1

Accept: */*

Content-Type: application/x-www-form-urlencoded

Content-Length: 5

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Host: www.hvaonline.net

Connection: Keep-Alive

Cache-Control: no-cache

num=2

B¡n thí tìm xem có b¥t cé d¥u hiÇu gì áng chú ý trên m£nh POST ß trên không? Trên header cça c£ 2 cú GET và POST ß trên, mÍi parameters Áu hãp lÇ và hoàn toàn úng quy Ënh. ChÉ có trên ph§n payload cça cú POST có vÏn v¹n thông tin: num=2. Nói vÁ m·t giao théc, num=2 ch³ng có gì trái qu¥y c£ cho nên chúng v«n t¡o load trên máy chç. May thay, à nh­n diÇn và t¡o mÙt lu­t lo¡i trë nó, các m£nh "num=" này là chìa khoá. Các cú POST ß d¡ng này ã "bË" tiêu hçy nhanh chóng sau khi mÙt rule mÛi °ãc hình thành trên c¡ ch¿ phòng thç cça HVA. Ngoài ra, trong ãt t¥n công này, "chç nhân" cça mÛ x-flash còn kèm theo vài d¡ng URL request khá ngÛ ng©n và không áng à ào sâu. Tuy nhiên, a sÑ các cú request dùng à t¥n công l§n này ß d¡ng GET (nh° trên) cho nên viÇc c£n lÍc các cú POST và các cú request mang header "x-flash" chÉ gi£m thiÃu mÙt ph§n r¥t nhÏ l°ãng t¥n công.

Theo b¡n, trong 2 ví då trên ví då nào khó xí lý? Tôi ngh) cú GET cñc kó khó xí lý. Chúng khó xí lý vì có 2 iÃm chính:

1. Chúng hoàn toàn hãp lÇ (ít ra có ¿n 95% các gói tin ß d¡ng này không còn mang x-flash header)

2. Chúng °ãc gßi ¿n HVA të trên 500 IP khác nhau trên th¿ giÛi và m×i IP gßi request vÛi biên Ù b¥t th°Ýng, x¥p xÉ 1 giây 3 request ho·c ít nhiÁu n±m trong biên Ù này. ây là lý do chúng dÅ dàng i qua khÏi c¡ ch¿ limit connection cça HVA.

Không may, m¥y ngày qua tôi bË "dính" vào giai o¡n cao iÃm cça m¥y project lÛn ß công ty nên không có nhiÁu thÝi gian t©n m©n vÛi các m£nh "tcp". Trong suÑt 2 ngày 21 và 22 tháng 4, tôi cÑ g¯ng log vào HVA server (xuyên qua SSH) nhiÁu l§n nh°ng bË th¥t b¡i vì bË l×i "connection timeout". Tôi oán r±ng °Ýng dây HVA dùng ã lên ¿n méc báo Ùng vì t¯c ngh½n sau khi JAL cho bi¿t (thông qua YIM) r±ng server load không quá cao.

ChiÁu nay, tôi quy¿t Ënh dành ít thÝi giÝ cho HVA Ã xem xét cái "v¥n n¡n" x-flash dai d³ng này. Tôi log vào YIM và nhÝ JAL t¯t h¿t mÍi dËch vå, chÉ Ã SSH ch¡y. Chúng tôi thí "liên thç" thao tác nh° l§n tr°Ûc nh°ng l§n này tình hình có v» cng h¡n vì SSH cñc ch­m. Tuy nhiên, rÑt cuÙc tôi cing log vào °ãc.

iÁu §u tiên tôi thñc hiÇn là iÁu chÉnh firewall à nó cho phép traffic dành cho SSH °ãc °u tiên cao nh¥t (hay nói mÙt cách khác, các rules dùng à iÁu tác traffic dành cho SSH °ãc °a lên §u trong các rules). Tôi restart l¡i firewall và ngÓi chÝ. ChÉ m×i viÇc load l¡i firewall rule trong iÁu kiÇn t¯c ngh½n này cing m¥t h¡n 2 phút. Tôi ch­c l°ái, log vào SSH cça HVA server l§n nïa. Qu£ th­t, s¯p x¿p l¡i thé tñ cho SSH rules t¡o nên thay Õi rõ rÇt. T¡i sao tôi không iÁu chÉnh lu­t cho SSH nh° th¿ ngay të §u nhÉ? Xem nh° ây là mÙt trong nhïng cái nhìn h¡n h¹p khi tôi thi¿t l­p firewall rules cho HVA ngay të §u. Tôi ã không ngh) ¿n kh£ nng các gói tin t¥n công °Ýng dây optic fibre cça JAL có thà i ¿n tình tr¡ng không thà log vào SSH.

Tôi b¯t tay vào viÇc xem xét HVA server.

iÁu §u tiên tôi nh­n th¥y là các request ß trên không còn "ánh" lang mang vào các URL không tÓn t¡i nïa mà "ánh" r¥t cå thà vào index.php. ây là mÙt iÃm r¥t y¿u vÁ c¥u trúc cça HVA forum (hay b¥t cé php-based forum nào). Nói cho cùng, ng°Ýi thi¿t k¿ IPB forum này là mÙt ng°Ýi hiÁn hoà, có l½ anh ta ch³ng bao giÝ ngh) r±ng có ai ó s½ request index.php mÙt ngàn l§n trong mÙt giây :). Thñc t¿ n·ng nÁ mà HVA ang héng chËu có l½ n±m ngoài t°ßng t°ãng cça ng°Ýi thi¿t k¿ IPB. Nh° b¡n bi¿t, khi mÙt request ång ph£i index.php, php engine "ngoan ngoãn" biên dËch và thao tác nhïng b°Ûc c§n thi¿t (kà c£ viÇc gßi ít nh¥t 5 queries ¿n database) à hình thành mÙt "trang Ùng" tr°Ûc khi gßi ng°ãc vÁ trình duyÇt. Trong tr°Ýng hãp HVA có vài trm ng°Ýi cùng vào, k» gßi bài, ng°Ýi xem bài thì máy chç cça HVA v«n có thà £m ang mÙt cách khá dÅ dàng. Tuy nhiên, có máy nào chËu nÕi vài ngàn request mÙt giây vÛi 5 - 12 queries ¿n database cho m×i request?

T¡i sao không c£n? B¡n hÏi. C£n gì ây? Tôi tr£ lÝi b±ng câu hÏi ng°ãc l¡i. VÛi các request nh° ã d«n ß trên, thñc t¿ ch³ng có b¥t cé ·c iÃm nào à c£n c£. Chúng âu ph£i "x-flash" (m·c dù chúng chính là "x-flash" nh°ng không có thông tin biÃu thË "x-flash" trong header). MÙt biÇn pháp c£n lâu dài tôi có thà ngh) ra trong kho£ng thÝi gian h¡n h¹p này là "c£n" không cho b¥t cé request nào i th³ng ¿n *.php c£. Làm °ãc iÁu này, sñ c£n trß §u tiên s½ là viÇc lo¡i trë kh£ nng các cú 'x-flash' "ép" HVA forum ngoan ngoãn gßi queries ¿n database và t¡o load trên máy chç. C£ request "hãp lÇ" l«n "b¥t hãp lÇ" Áu ph£i i xuyên qua các °Ýng d«n tr°Ûc khi các *.php thñc thi công tác. à thñc hiÇn chuyÇn này, tôi có thà v­n dång mÙt trong hai cách: a) dùng mod_rewite trong .htaccess ho·c b) dùng mod_security và thi¿t l­p bÙ "lu­t" tinh vi h¡n. C£ hai cách tôi Áu c§n mÙt ít thÝi gian à thñc hiÇn.

ã g§n giÝ tan sß, tôi e r±ng tôi không còn bao nhiêu thÝi gian à thñc hiÇn ý Ënh này. Trao Õi vÛi nhau xuyên qua YIM, tôi thông báo tình hình cho JAL bi¿t. Sau mÙt hÓi, JAL Á nghË: "hay mình thí dùng ssl i lão". Tôi Óng ý ngay vì tôi bi¿t rõ ssl trong tình tr¡ng hiÇn t¡i là cách xí lý nhanh nh¥t, hy vÍng t¡m thÝi có thÃ á °ãc tr­n DoS cho ¿n khi dñ Ënh "dài h¡n" ß trên °ãc thñc hiÇn.

Tôi thí log vào HVA forum xuyên qua https. Không nhanh, nh°ng cing không ch­m. Tôi gßi JAL mÙt thông iÇp: "mình ph£i óng luôn cÕng 80 và tìm cách ép request ¿n cÕng 80 °ãc redirect sang cÕng 443 thì mÛi Õn" và lý do t¡i sao tôi gßi JAL thông iÇp này thì quá hiÃn nhiên, b¡n nhÉ? :). Sau vài thí nghiÇm tôi quy¿t Ënh dùng cách ra lÇnh iptables "ép" các gói tin i ¿n cÕng 80 ph£i chuyÃn sang cÕng 443 ß t§ng IP. N¿u không thñc hiÇn quy trình này, sau khi óng cÕng 80, mÍi request ¿n ây rÓi dëng h³n vì ch³ng hÁ có dËch vå nào ang ch¡y trên cÕng 80 Ã thñc thi "rewrite" hay b¥t cé ph°¡ng cách t°¡ng tñ nào.

Trên hÓ s¡ c¥u hình apache, tôi "comment" dòng "l¯ng nghe" trên cÕng 80 nh° sau:

Code:

# Listen *:80

Làm nh° th¿, máy chç HVA hoàn toàn không còn dËch vå nào l¯ng nghe trên cÕng 80.

Trên IP layer, tôi dùng iptables à "redirect" nh° sau:

Code:

iptables -t nat -A PREROUTING -i eth0 -p tcp --syn -s any/0 -d $IP --dport 80 -j REDIRECT --toport 443

Làm nh° th¿, khi mÙt gói tin i vào vÛi ích là cÕng 80 thì s½ °ãc iptables chuyÃn th³ng ¿n cÕng 443. Khi gói tin này i ¿n t§ng application, nó không thà i th³ng vào forum cça HVA mà s½ "khñng" l¡i ß hai ch×:

a) ch× thé nh¥t khi request të trình duyÇt òi hÏi dËch vå ß cÕng 80 nh°ng l¡i °ãc °a ¿n cÕng 443 (không qua c¡ ch¿ rewrite trên application layer nào c£), trình duyÇt s½ không ti¿p tåc i vào. Ng°Ýi dùng "hãp lÇ" s½ nh­n °ãc thông báo ¡i lo¡i là "b¡n c§n dËch vå ß cÕng 80 nh°ng l¡i k¿t thúc ß cÕng 443, dùng th¿ này không hãp lý. Á nghË dùng HYPERLINK "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/05.Ky%20su%20cac%20vu%20DDOS%20HVA/19.Ky%20su%20cac%20vu%20DDOS%20HVA%2019.mht!https://hvaonline.net" \t "_blank" https://hvaonline.net".

b) khi ng°Ýi dùng nh­n °ãc thông báo trên, a sÑ (99.9%) ng°Ýi dùng s½ b¥m theo °Ýng d«n HYPERLINK "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/05.Ky%20su%20cac%20vu%20DDOS%20HVA/19.Ky%20su%20cac%20vu%20DDOS%20HVA%2019.mht!https://hvaonline.net" \t "_blank" https://hvaonline.net ß trên mà i vào diÅn àn. Tuy nhiên, ß b°Ûc này trình duyÇt l¡i "khñng" thêm mÙt l§n thé nhì vì v¥n Á ssl certification mà HVA dùng. N¿u HVA dùng CA certificate (do Verisign, Thawe....) cung c¥p thì s½ không có tình tr¡ng này vì chìa khoá cça HVA ã °ãc xác thñc bßi mÙt CA và chìa khóa công cÙng cça CA nào HVA dùng ã có sµn trong trình duyÇt theo m·c Ënh. Thñc t¿, HVA dùng "self cert", có ngh)a là HVA tñ t¡o cho mình "chìa khoá" và tñ ký xác nh­n cho mình luôn. Bßi th¿, trong trình duyÇt cça ng°Ýi dùng không có gì Ã xác thñc là chìa khoá cça HVA áng tin c­y nên nó l¡i "c£nh báo" ng°Ýi dùng tr°Ûc khi hÍ ti¿p nh­n hay không ti¿p nh­n certificate này.

VÛi tình tr¡ng DoS hiÇn thÝi, chÉ m×i b°Ûc a) ß trên ã ç ngn c£n ám "x-flash hãp lÇ" kia. N¿u "chç nhân" cça ám x-flash sÛm nh­n ra iÁu này, anh chàng có thà Õi måc tiêu t¥n công të HYPERLINK "http://www.hvaonline.net" \t "_blank" http://www.hvaonline.net thành HYPERLINK "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/05.Ky%20su%20cac%20vu%20DDOS%20HVA/19.Ky%20su%20cac%20vu%20DDOS%20HVA%2019.mht!https://www.hvaonline.net." \t "_blank" https://www.hvaonline.net. Tuy nhiên, b°Ûc b) trên s½ ti¿p tåc c£n ám x-flash vì các cça request xuyên qua x-flash hoàn toàn ch¡y ng§m và ng°Ýi dùng không hÁ bi¿t có x-flash ang thñc thi (à t¥n công HVA) nên viÇc xác nh­n + ch¥p nh­n ssl cça HVA hoàn toàn không x£y ra ---> các cú x-flash ng°ng l¡i ß ây.

Tôi restart l¡i firewall và apache sau khi thñc hiÇn các thay Õi c§n thi¿t. Nhìn Óng hÓ, tôi ch­c l°ái "chà, trÅ tàu rÓi". Tuy nhiên, tôi yên tâm khi th¥y server load cça máy chç HVA tåt xuÑng nhanh chóng và truy c­p xuyên qua https vÛi tÑc Ù t¡m ch¥p nh­n °ãc. Tôi gßi JAL thông iÇp "tình hình có v» Õn rÓi ó bÓ, tÛ ph£i dzÍt!".

ChuyÇn ti¿p tåc x£y ra nhïng ngày sau ó? MÝi b¡n ón xem ph§n k¿ ti¿p.

Các b¡n có thà theo dõi ti¿p ph§n 20 t¡i HYPERLINK "http://hvaonline.net/hvaonline/posts/list/511.hva" \t "_blank" ây.

prof(HVA)

Ký sñ các vå DDoS ¿n HVA - Ph§n 20

25/4/2005

M¥y ngày qua triÁn miên vÛi gia ình và b¡n bè vì n¡i tôi c° ngå có ngày lÅ lÛn. Tôi cing không lo ng¡i m¥y cho HVA forum vì tôi bi¿t ch¯c gi£i pháp t¡m thÝi "ép" ng°Ýi dùng i vào cÕng 443 dùng "self signed" ssl cça HVA hoàn toàn hoá gi£i nhïng cú "x-flash" h¿t séc hãp lÇ kia. Tôi không muÑn (và không tiÇn) vùi §u vào mÛ lu­t phòng thç cça HVA trong kho£ng thÝi gian này.

ChiÁu nay, mÙt buÕi chiÁu ngày lÅ. Sau nhïng tr­n hÍp m·t náo nhiÇt, tôi °ãc mÙt buÕi chiÁu yên t)nh và r£nh rang. Tôi ngh) ngay ¿n viÇc t¡o ra thêm mÙt lÛp "vÏ" cho HVA forum nh° ã Á c­p trong bài "ký sñ" tr°Ûc. Làm mÙt ly cà fê, tôi thong th£ ngÓi xuÑng bàn và mß laptop lên.

L§n tr°Ûc tôi ã Á c­p nh° sau: "MÙt biÇn pháp c£n lâu dài tôi có thà ngh) ra trong kho£ng thÝi gian h¡n h¹p này là "c£n" không cho b¥t cé request nào i th³ng ¿n *.php c£. Làm °ãc iÁu này, sñ c£n trß §u tiên s½ là viÇc lo¡i trë kh£ nng các cú 'x-flash' "ép" HVA forum ngoan ngoãn gßi queries ¿n database và t¡o load trên máy chç. C£ request "hãp lÇ" l«n "b¥t hãp lÇ" Áu ph£i i xuyên qua các °Ýng d«n tr°Ûc khi các *.php thñc thi công tác." Có l½ câu nh­n Ënh này khá rõ ràng cho nhïng ai tëng theo dõi sâu sát nhïng bài "ký sñ" tr°Ûc. Tôi không c§n ph£i nh¯c l¡i chi ti¿t lý do t¡i sao ph£i thñc hiÇn chuyÇn này nh°ng iÃm cÑt lõi cça v¥n Á nên °ãc nh¥n m¡nh: d¡ng t¥n công lúc này không có iÃm nào dùng à c£n. N¿u không c£n °ãc thì cho vào c£, nh°ng cho vào vÛi iÁu kiÇn do mình ·t ra.

Ch¯c b¡n ã th¥y chi¿n thu­t ã thay Õi mÙt cách nghiêm trÍng? Të ch× tìm ra nhïng d¥u hiÇu ·c thù cça nhïng cú "x-flash" Ã c£n, i ¿n ch× cho phép mÍi request i vào vÛi các iÁu kiÇn tiÁn Ënh nào ó. N¿u b¡n hiÇn ang truy c­p HVA forum, b¡n h³n th¥y có trang index và nút "e n t e r" Ã i vào trong forum. ây chính là ph§n c£n phåc vå cho khái niÇm tôi vëa nêu ra ß trên.

ChuyÇn gì x£y ra bên d°Ûi "t¥m màn" index.html này? Nh° ã có nhiÁu tay kinh nghiÇm nh­n Ënh tr°Ûc khi bài "ký sñ" kó này °ãc vi¿t, qu£ th­t tôi ã dùng ¿n nhïng thé có trên HTTP header à quy¿t Ënh cho nhïng request nào ti¿p tåc vào[b] và ©y nhïng request nào không tho£ mãn iÁu kiÇn l¡i [b]ti¿p tåc vào... trang index.html :). Tôi không muÑn nêu ra mÙt cách chi ti¿t nhïng gì có và không có trên HTTP header và nhïng y¿u tÑ nào tôi ã dùng à áp ·t tëng b°Ûc "cho vào". Làm nh° v­y e t¡o iÁu kiÇn quá dÅ dàng cho "chç nhân" các con "x-flash" kia (tôi ã sai l§m khi ã gãi ý cho chç nhân "x-flash" °Ýng h°Ûng cça d¡ng t¥n công "không lan man" này và chÉ mÙt l§n là quá ç). Ñi vÛi b¡n, mÙt admin có trách nhiÇm qu£n lý server cça mình, b¡n chÉ c§n dùng sniffer à "b¯t" mÙt mÛ packets, thu th­p nhïng gói tin cho mÙt xu¥t truy c­p hãp lÇ và so sánh vÛi mÛ gói tin °ãc t¡o të "x-flash" dùng à t¥n công thì b¡n có thà dÅ dàng th¥y sñ khác biÇt. Cái khó và m¥t thÝi gian là b¡n ph£i n¯m rõ các URI nào diÅn àn dùng và chÉ cho phép chúng °ãc truy c­p dña trên các lu­t nào ó cho phép. Nhïng URI khác (và không tÓn t¡i) s½ ph£i °ãc c£n.

Vi¿t thêm rules cho mod_security và .htaccess khá ¡n gi£n sau khi hình thành k¿ ho¡ch rõ ràng nh°ng thÝi gian dành cho debug có l½ nhiÁu. Tôi b¯t tay ngay vào thñc hiÇn chuyÇn "vi¿t rules" này. Sau h¡n ba m°¡i phút, các rule cÑt lõi cho cái "vÏ" ã sµn sàng. Ba m°¡i phút k¿ ti¿p tôi dành thÝi gian à "debug" m¥y cái rules vëa hình thành. Måc tiêu chính là cÑ g¯ng gi£m thiÃu tr°Ýng hãp nhïng rule này t¡o c£n trß cho ng°Ýi dùng hãp lÇ, Óng thÝi không vô tình à hß cho cho các cú "x-flash" i vào. iÁu khó khn là tôi không thà "test" nhïng rules này trên máy riêng ß nhà vì làm nh° v­y s½ m¥t thÝi gian h¡n à t¡o các cú "x-flash gi£" à thí nghiÇm. Tuy nhiên, test các rules này ngay trên máy chç HVA ch¯c ch¯n s½ t¡o bÑi rÑi cho nhiÁu thành viên nh°ng... bi¿t làm sao °ãc?

Trong khi thao tác các b°Ûc c§n thi¿t à t¡o thêm lÛp "vÏ" này, tôi ã ng§m e ng¡i mÙt "triÇu chéng phå" s½ x£y ra. TriÇu chéng này không thà làm cho máy chç HVA treo vì c¡n kiÇt tài nguyên nh°ng l¡i có thà không cho ng°Ýi dùng truy c­p vào diÅn àn HVA. Dù gì i chng nïa, ph£i hoàn t¥t m£nh "vÏ" index.html và các lu­t b£o vÇ rÓi lo liÇu chuyÇn "triÇu chéng phå" sau. Sau h¡n mÙt giÝ táy máy vÛi máy chç HVA, tôi chuyÃn server vÁ l¡i tình tr¡ng ci, có ngh)a là thành viên HVA v«n ph£i i xuyên qua cÕng 443 (HTTPS) vì tôi nh­n th¥y viÇc thí nghiÇm này s½ m¥t r¥t nhiÁu thÝi gian. Có l½ tôi ph£i chÝ ¿n tr°a mai, khi có ít thÝi gian r£nh rang, tôi s½ ti¿p tåc ph§n thí nghiÇm này.

Tôi logoff HVA server và v°¡n vai éng d­y.

26/04/2005

Hôm nay qu£ là mÙt ngày cñc kó b­n bËu Ñi vÛi tôi. Tr°a nay, vëa n tr°a tôi vëa tranh thç logon HVA server à ti¿p tåc kho£n công viÇc dß dang hôm qua. Tôi nh­n th¥y truy c­p vào diÅn àn HVA b±ng https v«n °ãc và v«n ß tÑc Ù "có thà ch¥p nh­n". Tuy nhiên, tôi không tho£ mãn vÛi gi£i pháp t¡m bã này, ph£i hoàn t¥t "lÛp vÏ" b£o vÇ mÛi cho diÅn àn HVA càng nhanh càng tÑt nh°ng... thÝi gian qu£ là h¡n h¹p.

Tôi ti¿p tåc công viÇc "debug" các rules mÛi t¡o cho mod_security, tëng ph§n mÙt. KiÃm tra kù l°áng m×i request të client (të trình duyÇt cça tôi) và response të server (të máy chç HVA), phân tích tính ch¥t cça m×i URI chính y¿u cça diÅn àn HVA. Trong khi thí nghiÇm, tôi khám phá ra IPB và mÛ .php cça nó có nhïng iÃm b¥t nh¥t khi nh­n requests và tr£ vÁ responses. Nhïng iÃm b¥t nh¥t này khó th¥y nh°ng chúng trß nên rõ ràng khi tôi b¯t tay vào viÇc "debug". Tôi quy¿t Ënh dùng mod_security à che l¥p chúng và dành công tác iÁu chÉnh trên .php vÁ sau, khi có thÝi gian rÙng rãi. Nhïng iÁu tôi tìm th¥y không h³n là iÃm y¿u b£o m­t; chúng chÉ làm cho bÙ lu­t cça mod_security thêm ph§n rÑi r¯m à có thà "che" trÍn bÙ các URI mÙt cách vïng vàng.

MÙt giÝ nghÉ tr°a trôi qua, 2 ph§n 3 bÙ lu­t ã °ãc kiÃm chéng và iÁu chÉnh, 1 ph§n 3 còn l¡i có l½ ph£i dành cho lúc khác vì tôi ph£i trß l¡i làm viÇc. Khi logoff máy chç HVA, tôi quên khu¥y mÙt iÁu là ã quên óng cÕng 80 l¡i, chÉ cho phép ng°Ýi dùng truy c­p diÅn àn ß cÕng 443. K¿t qu£ cça sñ ãng trí này ã t¡o ra không ít bÑi rÑi cho ng°Ýi dùng trong buÕi chiÁu hôm ¥y. Mãi ¿n tÑi ngày 26/04/2005, khi login HVA server à "ti¿p tåc công viÇc", tôi mÛi khám phá ra r±ng cÕng 80 v«n còn mß và bà con vào diÅn àn ß cÕng này. Ch¯c h³n hÍ ã g·p ph£i nhiÁu hiÇn t°ãng "kó qu·c" bßi bÙ lu­t cça mod_security ch°a hoàn chÉnh.

TÑi 26/04/2005

Hôm nay công viÇc quá bÁ bÙn nên tôi vÁ nhà khá trÅ. C¡m n°Ûc xong ã g§n 8 giÝ tÑi. Nhìn Óng hÓ, tôi th§m ngh) "ch³ng còn bao nhiêu thÝi gian à táy máy". Tuy v­y, tôi v«n log vào HVA server à xem qua tình hình và xem thí có ti¿p tåc °ãc bao nhiêu công viÇc ang dang dß.

Tôi nh­n th¥y server có v» ch­m h¡n tr°a nay r¥t nhiÁu. KiÃm tra server load, tôi ng¡c nhiên khi th¥y load trung bình lên tÛi 98. Tôi tò mò muÑn xem thí trò ch¡i mÛi cça "x-flash" th¿ nào nên à yên server ß tình tr¡ng nh° th¿. Không còn thÝi gian à dump các packets này và t£i vÁ à xem trên Ethereal trên laptop, tôi phóng ngay lÇnh tcpdump trên màn hình à xem chuyÇn gì x£y ra. Tôi c§n tcpdump b¯t trÍn gói m×i gói tin b¥t kà kích th°Ûc nào và hiÃn thË trên màn hình cho tôi ß d¡ng binary l«n ASCII nên lÇnh dùng th¿ này (n¿u b¡n c§n bi¿t):

Code:

# /usr/sbin/tcpdump -s0 port 80 -X

Tôi ph£i £o m¯t r¥t nhanh à theo dõi dòng thông tin "ch£y" nh° thác trên màn hình. ThÉnh tho£ng tôi ph£i t¡m ch¥m dét lÇnh này à xem kù vài chi ti¿t rÓi l¡i ti¿p tåc. Sau vài phút kiÃm tra, tôi ã có ç thông tin c§n thi¿t à bi¿t chuyÇn gì ang x£y ra. Tôi l©m b©m: "úng là iên khùng!" khi th¥y có 4 d¡ng request khác nhau Õ dÓn vào HVA:

- GET /

- POST /

- GET /forum/

- POST /forum/index.php

và t¥t nhiên ch³ng có m¥y gói tin mang "x-flash" header. Trong khi "lÛp vÏ" che cho forum ß web layer ch°a hoàn t¥t, nhïng cú gõ trên chÉ bË giÛi h¡n ß méc connection limit tÕng quát trên iptables. SÑ còn l¡i th£ dàn i vào. Tôi ành ph£i dùng mÙt ch°Ûc khá buÓn c°Ýi là Õi trang m·c Ënh cça web server të index.php thành start.php và restart l¡i apache. T¥t nhiên là mÛi GET và POST iên khùng ß trên không thà ång ¿n index.php à t¡o load trên server. Sau vài phút, server load tåt xuÑng áng kà và truy c­p xuyên qua SSH nhanh h¡n rõ. Cái "ch°Ûc" Õi trang m·c Ënh thành start.php chÉ ngn °ãc mÛ POST cå thà ¿n /forum/index.php. SÑ request còn l¡i trÏ th³ng vào / v«n t¡o £nh h°ßng ¿n server. M·c dù server load tåt xuÑng nhanh chóng nh°ng ¿n méc nào ó, nó dëng l¡i. Chà, tôi l©m nh©m "ch³ng l½ l¡i ph£i chuyÃn vÁ https sao?". Th­t tình tôi không muÑn làm th¿ vì nó s½ t¡o thêm bÑi rÑi cho thành viên cça diÅn àn. V£ l¡i, tôi c§n debug cho xong các rules cça mod_security.

Tôi log vào YIM Ã liên l¡c vÛi JAL, lão ang online! Tôi gßi JAL mÙt thông iÇp thông báo tình hình. GiÝ này lão v«n còn ß sß vì n¡i JAL c° ngå sau n¡i tôi c° ngå 2 giÝ. JAL hí hoáy gì ó vài phút và b£o tôi "lão vào diÅn àn xem sao?".

Tôi log vào diÅn àn HVA b±ng FireFox. Ái chà, khi b¥m vào nút "enter" trên trang index.html, mÙt khung hiÇn ra và òi hÏi nh­p username + password! Tôi l©m b©m "tricky, tricky!". Qu£ th­t, ch°Ûc này cça JAL ã ng°ng l¡i trÍn bÙ các request cça "x-flash" vào mà ch°Ûc Õi trang m·c Ënh thành start.php cça tôi không thà c£n h¿t. Server load tåt xuÑng nhanh chóng và truy c­p diÅn àn nhanh h¡n h³n. JAL ã dùng mÙt ch°Ûc r¥t "cÕ iÃn" trên .htaccess nh°ng h¿t séc hiÇu qu£ ngay lúc này. Tôi chÉ c§n làm sao cho server load gi£m xuÑng à có thà hoàn t¥t mÛ lu­t kia. Tôi gßi JAL mÙt thông iÇp "Quá hay ó bÓ, tuyÇt cú mèo! nh°ng làm sao cho cái ID và password trên dialog ó trông rõ h¡n mÙt tí." T¥t nhiên là JAL Óng ý.

Tôi quy¿t Ënh à yên server nh° v­y và kiÃm tra nhóm lu­t cho mod_security l¡i. Tëng dòng mÙt, tôi cân nh¯c, iÁu chÉnh, dùng grep trên cygwin -61- à xác thñc các m£nh regular expression hoàn toàn "match" và éng hiÇu. Tôi dành h¡n ba m°¡i phút cho công tác này và ã g§n hoàn t¥t trÍn bÙ nhóm lu­t. Nhìn Óng hÓ tôi th¥y không còn sÛm nïa. Tôi ph£i t¡m ng°ng vì ngày mai ph£i i làm sÛm.

Chú thích:

-61- cygwin, môi tr°Ýng *nix ch¡y trên Windows có sÑ l°ãng r¥t lÛn các ch°¡ng trình dña trên *nix và °ãc mang sang môi tr°Ýng Windows. Xem thêm vÁ cygwin ß" HYPERLINK "http://www.cygwin.com" \t "_blank" http://www.cygwin.com

Các b¡n có thà theo dõi ti¿p ph§n 21 t¡i HYPERLINK "http://hvaonline.net/hvaonline/posts/list/512.hva" \t "_blank" ây.

prof(HVA)

Ký sñ các vå DDoS ¿n HVA - Ph§n 21

Tr°a 27/04/2005

C£ sáng nay l¡i bao nhiêu là công viÇc dÓn d­p. Tôi ang ß giai o¡n cao iÃm cça mÙt sÑ công trình ß công ty nên ch³ng l¥y °ãc bao nhiêu thÝi gian à ti¿p tåc vÛi mÛ lu­t còn l¡i cho HVA forum. Mãi ¿n tr°a, tôi l¡i ti¿p tåc vëa n tr°a, vëa log vào server HVA à làm nÑt ph§n dang dß.

Sau m°Ýi phút, tôi hoàn t¥t ph§n còn l¡i mà tôi bÏ dß tÑi qua. KiÃm tra l¡i mÙt l§n cuÑi tôi tháo bÏ ph§n éng dång trong .htaccess mà JAL ·t vào tÑi hôm qua à b¯t ng°Ýi dùng ph£i ng nh­p. Sau khi restart l¡i apache, tôi phóng ngay mÙt "tail" trên console à theo dõi log cça web server, tôi thích thú khi th¥y 100% các cú GET và POST kó qu·c kia bË khñng l¡i và °ãc "redirect" vÁ l¡i trang index.html n¿u chúng không tho£ mãn các iÁu kiÇn áp ·t. Tôi thß phào nh¹ nhõm khi th¥y mÛ lu­t tuy ch°a °ãc "debug" mÙt cách trÍn v¹n nh°ng làm viÇc khá tÑt. Tôi bi¿t ch¯c âu ó v«n còn nhïng iÃm ph£i iÃm xuy¿t; nh°ng tr°Ûc m¯t, tình hình có v» sáng sça h¡n r¥t nhiÁu. Server load giï ß méc y hÇt nh° khi "ép" các request xuyên qua cÕng 443.

Vài phút trôi qua, n×i lo ng¡i mà tôi oán tr°Ûc të të lÙ rõ. B¡n còn nhÛ tôi nh­n Ënh th¿ này: "Trong khi thao tác các b°Ûc c§n thi¿t à t¡o thêm lÛp "vÏ" này, tôi ã ng§m e ng¡i mÙt "triÇu chéng phå" s½ x£y ra. TriÇu chéng này không thà làm cho máy chç HVA treo vì c¡n kiÇt tài nguyên nh°ng l¡i có thà không cho ng°Ýi dùng truy c­p vào diÅn àn HVA." Tôi nh­n th¥y v­n tÑc truy c­p ¿n HVA càng lúc càng ch­m m·c dù server load v«n r¥t th¥p, v«n giï ß méc không quá 2.0. Tôi oán ra °ãc chuyÇn gì nh°ng muÑn kiÃm chéng. MÙt lÇnh sau ã xác thñc th¯c m¯c cça tôi:

Code:

# ps -ef | grep httpd | wc -l

1386

Con sÑ trên cho th¥y iÁu gì? Nó cho th¥y r±ng apache cñc kó b­n rÙn. HiÇn apache ã t¡o ra ¿n 1386 processes (vì HVA dùng prefork model cho apache à ch¡y vÛi php). Cing may là tôi ã "lo xa" khi biên dËch l¡i apache, giá trË "MaxClients" ã °ãc sía thành 4096, téc là g¥p 16 l§n con sÑ m·c Ënh (và °ãc apache "hard coded" trong mã nguÓn). MaxClients v«n còn d° à phåc vå cho requests nh°ng các request l¡i ch­m vì sao? Tôi oán r±ng apache ph£i t¡o ra các child process liên tåc nh±m áp éng tình tr¡ng ang bË DoS cng th³ng này. Có ba y¿u tÑ chính trong c¥u hình cça apache khi¿n cho con sÑ "MaxClients" này gia tng nhanh chóng:

- MinSpareServer là 2

- MaxRequestPerChild là 500

- KeepAliveTimeOut là 15

Cé m×i khi mÙt ChildProcess ã phåc vå xong 500 request, nó tñ Ùng bË hçy và mÙt ChildProcess khác °ãc t¡o ra (à tránh tình tr¡ng bË memory leak). Khi mÙt ChildProcess mÛi °ãc t¡o ra, thêm 2 ChildProcess dñ phòng khác cing °ãc hình thành vì n¿u không có sµn, lúc ¥y apache ph£i t¡o nó à phåc vå. Trong khi ChildProcess °ãc t¡o, apache không ti¿p nh­n request. Rõ ràng con sÑ 500 cho MaxRequestPerChild không thích hãp vì trong tình tr¡ng bË DoS th¿ này, ch³ng m¥y chÑc s½ ång tÛi giÛi h¡n này và công tác t¡o ChildProcess mÛi l¡i x£y ra. Sß d) con sÑ này r¥t lÛn là vì tôi ¥n Ënh MinSpareServer nh°ng không ¥n Ënh MaxSpareServer vì tôi th¥y r±ng à cho apache tñ Ùng iÁu tác viÇc này tÑt h¡n, apache bi¿t rõ nó c§n có bao nhiêu ChildProcess dñ phòng tuó tình hình. Có l½ trong tình tr¡ng nh­n request dÓn d­p này, apache ã t¡o ra tÑi a vài chåc "spare" nên con sÑ 1386 không có gì áng ng¡c nhiên. Con sÑ KeepAliveTimeOut có giá trË là 15 giây qu£ là tho£i mái và nó t¡o hiÇu xu¥t cho hoàn c£nh bình th°Ýng (không bË DoS) nh°ng trong hoàn c£nh hiÇn t¡i, nó kéo dài thÝi gian socket ß tình tr¡ng TIME_WAIT vì c§n b£o £m dï liÇu të m×i §u truy c­p ã hoàn toàn ch¥m dét.

Ñi vÛi mÙt webserver bình th°Ýng, không bË DoS, giá trË ¥n Ënh trên khá thích hãp vì nó b£o £m không bË memory leak, nó luôn luôn có ít nh¥t là 2 ChildProcess dñ phòng à liên tåc nh­n request. Tuy nhiên, rõ ràng nó không còn éng hiÇu trong tình tr¡ng DoS "hãp lÇ" này. Tôi không muÑn các ChildProcess °ãc t¡o ra quá nhanh và quá nhiÁu, bßi th¿, con sÑ MaxRequestPerChild °ãc chÉnh thành 20000.

Tôi restart l¡i apache và ti¿p tåc theo dõi tình hình. Qu£ có c£i thiÇn nh°ng v«n ch°a th­t sñ nâng cao tÑc Ù truy c­p ¿n méc bình th°Ýng. Tôi ch¡y liÃn hai lÇnh à xem tình hình các sockets th¿ nào:

Code:

# netstat -nat | grep WAIT | wc -l

13079

Ôi chao! Ch°a tëng th¥y trên máy chç HVA bao giÝ. Lý do t¡i sao nhiÁu TIME_WAIT và FIN_WAIT ¿n th¿? Th¿ này, khi "x-flash" còn nh­n diÇn °ãc, ph§n lÛn chúng ã bË "triÇt" mÙt cách im ¯ng të IP layer. SÑ còn l¡i có ång ph£i mod_security cing không nhiÁu ¿n n×i ph£i dÓn Ñng nh° th¿. H¡n nïa tr­n t¥n công này hình nh° n·ng nÁ và dÓn d­p h¡n tr°Ûc.

Tôi thí thêm mÙt cách khá nhanh và.... "d¡" Ã "b¯t" nhïng gói SYN i ¿n cÕng dËch vå HTTP -62-:

Code:

/usr/sbin/tcpdump tcp[13] == 2 and port 80 > numsyn

Tôi cho lÇnh này ch¡y chëng mÙt phút rÓi ngëng. Mß hÓ s¡ "numsyn" này ra b±ng vi, tôi nhanh chóng xác Ënh trong 60 giây qua có bao nhiêu cú SYN i vào. Lúc này HVA nh­n chëng trên 2000 cú SYN mÙt giây vì hÓ s¡ "numsyn" ß trên cho tôi bi¿t có g§n 130 ngàn dòng °ãc l°u trong 1 phút vëa qua. iÁu tôi có thà xác thñc 100% là máy chç HVA bË v°Ûng trong tình tr¡ng nh­n quá nhiÁu requests và t¡o quá nhiÁu sockets nh°ng không thà gi£i to£ chúng kËp thÝi và nhËp nhàng. N¿u apache dùng giá trË m·c Ënh cho MaxClients là 256 thì có l½ lúc này ch³ng có ai có thà vào diÅn àn. V­y, iÁu c§n ph£i gi£i quy¿t hiÃn nhiên là gi£i to£ mÛ sockets ang dÓn Ñng kia. Không may là giÝ n tr°a cça tôi ã h¿t të lâu. Tôi không thà ti¿p tåc ngÓi táy máy vÛi HVA server vì hàng Ñng công viÇc ang chÝ ãi tôi. Tôi l©m b©m "thôi à chiÁu nay ho·c tÑi nay xem sao" và logoff HVA server.

ChiÁu 27/04/2005

Tôi vëa xong mÙt cuÙc hÍp ß công ty. Có chÉ thË t¡m ng°ng công trình vì c§n ph£i iÁu chÉnh l¡i mÙt sÑ yêu c§u të ám kinh t¿. iÁu này có ngh)a là tôi có thêm ít thÝi gian chiÁu nay à ti¿p tåc táy máy vÛi máy chç HVA. Sau khi thu x¿p xong gi¥y tÝ và c­p nh­t thông tin, dï kiÇn cho công trình, tôi ti¿p tåc b¯t tay vào viÇc kh¯c phåc tình tr¡ng socket dÓn é trên máy chç HVA.

Log vào HVA server, tôi th¥y tình hình y hÇt tr°a hôm nay, có ngh)a là các cú "x-flash" v«n Õ dÓn vào bÑn vË trí:

- GET /

- POST /

- GET /forum/

- POST /forum/index.php

và sÑ l°ãng TIME_WAIT + FIN_WAIT v«n dÓn Ñng. T¥t nhiên là th¿ vì ch°a hÁ có thay Õi xác áng nào à kh¯c phåc tình tr¡ng này. Tôi mß c¥u hình cça apache ra xem l¡i và ng¡c nhiên khi th¥y giá trË KeepAliveTimeOut v«n còn là 15 giây. Có l½ lúc tr°a tôi ãng trí và ch°a iÁu chÉnh nó. Tôi sía ngay giá trË này thành 5 giây. Stop apache, ãi cho mÍi socket trên máy chç hoàn toàn ch¥m dét (không còn TIME_WAIT và FIN_WAIT nào nïa), rÓi mÛi start apache.

Cé m×i phút tôi "o" sÑ l°ãng "WAIT" socket mÙt l§n và sau nm phút, sÑ l°ãng "WAIT" socket n±m ß vË trí trên d°Ûi 3000 và giï l¡i ß méc Ù này:

Code:

# netstat -nat | grep WAIT | wc -l

3350

Theo tôi, b¥y nhiêu ã là mÙt c£i thiÇn lÛn lao. 5 giây à duy trì socket ß tình tr¡ng "WAIT" b£o £m thông tin ß hai §u truy c­p (giïa client và apache server trên máy chç HVA) hoàn toàn k¿t thúc à tránh tình tr¡ng m¥t dï liÇu theo tôi là quá ç. Lý do tôi dùng giá trË này vì tôi ch°a hÁ th¥y thÝi gian chuyÃn gßi thông tin giïa máy chç HVA và trình duyÇt nào ó quá 3 giây (dña trên thông tin tôi sniff và thí nghiÇm). Thay Õi này ã c¯t bÏ mÙt sÑ l°ãng r¥t lÛn các "WAIT" socket làm ình trÇ máy chç. Tuy nhiên, tôi v«n ch°a hoàn toàn hài lòng vì con sÑ trên d°Ûi 3000 kia có thà gia tng dÅ dàng n¿u sÑ l°ãng x-flash gia tng.

Tôi quy¿t Ënh làm mÙt thí nghiÇm nhÏ b±ng cách ch¡y 2 sniffers mÙt l°ãt (dùng tcpdump trong tr°Ýng hãp này), mÙt cái ch¡y trên máy chç HVA, mÙt cái ch¡y trên chính proxy server tôi dùng à truy c­p HVA (b¡n còn nhÛ tôi dùng ssh tunnel à truy c­p të sß vÁ nhà và dùng proxy server ß nhà mà tôi Á c­p trong mÙt bài ký sñ nào ó tr°Ûc ây?). Thêm mÙt console nÑi vào HVA server à theo dõi giá trË trên /proc/net/ip_conntrack -63-. C£ 2 sniffer này Áu sniff cÕng 80 và sniff host IP chính là IP cça proxy server tôi dùng. Khi mÍi viÇc ã chu©n bË xong, tôi dùng Firefox à duyÇt HVA mÙt cách bình th°Ýng (nh° mÙt ng°Ýi dùng bình th°Ýng), có ngh)a là bao gÓm b°Ûc logon, và duyÇt xuyên dm ba topic.... Sau vài phút, tôi ngëng c£ 2 sniffer và thu th­p c£ hai hÓ s¡ °ãc sniff trên 2 vË trí.

Mang chúng vÁ laptop, tôi b¯t tay vào phân tích (dùng Ethereal). iÁu tôi c§n phân tích ß ây không ph£i là v­n tÑc truy c­p mà tôi muÑn tìm hiÃu giïa server và client m¥t bao lâu à triÇt tiêu socket sau khi cuÙc truy c­p hoàn t¥t. Tôi c§n 2 hÓ s¡ të hai phía à Ñi chi¿u và n¯m ch¯c là chúng hoàn toàn n khÛp. iÁu quan trÍng tôi th¥y °ãc të các m£nh packets °ãc sniff ß trên là: të lúc HVA server gßi gói tin có mang FIN bit (à báo cho trình duyÇt cça tôi là dï liÇu sau gói tin này là h¿t, không còn gì à cung c¥p nïa) cho ¿n khi trình duyÇt tôi dùng ti¿p nh­n d¥u hiÇu FIN này b±ng cách tr£ lÝi FIN-ACK chÉ m¥t ch°a tÛi 1 giây. Sau ó, socket trên HVA server i vào tình tr¡ng "TIME_WAIT" và duy trì tình tr¡ng này khá lâu tr°Ûc khi i vào tình tr¡ng CLOSED. ây chính là nguÓn gÑc cça hàng Ñng "WAIT" socket n±m trên HVA server.

à kiÃm nghiÇm, tôi thí duyÇt HVA b±ng FireFox mÙt l§n nïa và theo dõi thông tin cå thà IP cça proxy server tôi dùng trên /proc/net/ip_conntrack l«n thông tin trên netstat l¥y °ãc trên HVA server. Qu£ th­t, trÍn bÙ giai o¡n thi¿t l­p connection cho ¿n khi connection k¿t thúc éng hiÇu vÛi giá trË KeepAliveTimeOut trên apache. Tuy nhiên, "connection tracking table" cça netfilter "giï riÇt" socket này ß d¡ng "TIME_WAIT" ¿n nhïng 120 giây tr°Ûc khi hçy bÏ nó. Th­t ra sñ áp ·t này cça "conntrack table" cça netfilter ch³ng có gì sai qu¥y c£. Dång ích cça nó là chÝ Ã b£o £m connection phía client (trình duyÇt) hoàn toàn ch¥m dét à tránh tình tr¡ng "treo". Không may, ß tình tr¡ng bË DoS dÓn d­p, c¡ ch¿ b£o £m các "state" cça mÙt tcp connection l¡i t¡o ình trÇ và £nh h°ßng không tÑt ¿n máy chç.

Tôi vào /proc/sys/net/ipv4/netfilter/ và iÁu chÉnh trÍn bÙ giá trË ß ây. C¯t gi£m thÝi gian "ãi" të 1/2 ¿n 2/3 thÝi gian quy Ënh theo m·c Ënh. Nên nhÛ, các giá trË này °ãc éng hiÇu "on the fly" (ngay l­p téc mà không c§n stop / start gì c£). MÙt phút sau, sÑ l°ãng "TIME_WAIT" trß thành:

Code:

# netstat -nat | grep WAIT | wc -l

983

Thêm 2/3 các "WAIT" sockets °ãc gi£m thiÃu! Ngay lúc này, duyÇt diÅn àn HVA nhanh h¡n rõ. Tôi không dám mong ¡t °ãc ß méc bình th°Ýng vì th­t sñ HVA ang bË DoS dÓn d­p; có l½ không nên ngÛ ng©n mà mong ãi k¿t qu£ không t°ßng nh° th¿. V­y, viÇc iÁu chÉnh các giá trË trên hÓ s¡ c¥u hình cça apache và kernel dính dáng gì ¿n trang index.html °ãc áp ·t kia? "tôi ch³ng th¥y sñ t°¡ng quan rõ rÇt ch× nào c£!", b¡n có thà hÏi câu này. Th­t sñ chúng liên quan trñc ti¿p và ch·t ch½ vÛi nhau. èng dång "lÍc" mÍi request không tho£ mãn quy Ënh s½ "bË" quay vÁ l¡i index.html Ùt nhiên gia tng công viÇc ß t§ng application cing nh° gia tng sÑ l°ãng sockets. Thay vì các gói tin vi ph¡m °ãc nh­n diÇn và triÇt tiêu ß ngay t§ng IP (và bßi th¿ không có tình tr¡ng các "WAIT" socket n±m v¥t v°ßng), các gói tin "vi ph¡m" °ãc c£n lÍc trên t§ng application vì chúng ch³ng có ·c iÃm "vi ph¡m" nào c£. Nhïng chÉnh lý trên c¥u hình apache và trên kernel ß ây Áu phåc vå cho mÙt måc ích duy nh¥t: gi£i phóng các sockets càng nhanh càng tÑt à có thà ti¿p tåc phåc vå.

Tôi log vào YIM và gßi cho JAL mÙt thông iÇp: "bÓ duyÇt thí HVA xem sao?". MÙt phút sau, JAL hÓi báo: "Ngon l¯m rÓi ó lão, ch¡y vù vù!". Tôi áp: "v­y thì tÛ dzÍt ây!" và tôi logoff.

TÑi 27/04/2005:

TÑi nay, khi duyÇt diÅn àn HVA, tôi va vào mÙt trß ng¡i khác. Tôi vào HVA °ãc nh°ng g·p tình tr¡ng khñng l¡i trên trình duyÇt và thÉnh tho£ng tôi ph£i nh¥n nút "Stop" rÓi thí b¥m trên °Ýng d«n tôi muÑn duyÇt thì trang web mÛi load. Tôi không tin ây là tråc tr·c trên trình duyÇt cça tôi mà có l½ là mÙt v¥n Á "bí ©n" nào ó trên máy chç HVA.

Log vào máy chç HVA xuyên qua SSH (mÙt cách dÅ dàng), tôi nh­n th¥y ngay là server load r¥t th¥p, sÑ l°ãng ChildProcess cça apache ang ch¡y cing ß méc ch¥p nh­n °ãc (dù ang bË DoS), sÑ l°ãng "WAIT" sockets n±m ß méc trên d°Ûi 1000. o thí sÑ l°ãng SYN mà máy chç HVA nh­n (và t¡o) trong mÙt giây, tôi th¥y con sÑ này gia tng lên kho£ng g§n 4000 SYN / 1 giây. KiÃm tra thí sÑ l°ãng ESTABLISHED socket là bao nhiêu, tôi th¥y nó liên tåc n±m ß méc 127 - 128. MÙt ý ngh) loé nhanh trong §u, tôi kiÃm tra ngay mÙt giá trË cñc kó quan trÍng:

Code:

# cat /proc/sys/net/core/somaxconn

128

và rÓi:

Code:

# netstat -nat | grep SYN

128

iÁu này chéng tÏ gì ây nhÉ? Máy chç HVA ã dùng tÑi a sÑ l°ãng socket ti¿p nh­n SYN cho phép. L¡ nhÉ? HVA firewall có ph§n c£n lÍc SYN FLOOD c¡ mà? ;). úng là nh° v­y nh°ng ph§n c£n lÍc này trß nên khá h¡n ch¿ khi HVA server "bË" trên 500 IP cùng "r£i" ít nh¥t 1 ¿n 5 cái SYN cho m×i giây. N¿u các IP này "r£i" vÛi t§ng sÑ nh° v­y thì h³n HVA firewall cho vào vì chúng không mang d¥u hiÇu SYN FLOOD ß âu c£. Cé cho r±ng có 500 IP chÉ gßi 2 request cho m×i giây vào HVA server, và n¿u phía client tr£ lÝi nhanh chóng sau khi HVA server tr£ lÝi SYN-ACK thì cing m¥t 1/5 giây thì:

1000 SYN * 0.2 giây = 200 syn cho m×i giây

Lúc nào listen() -64- cing bË quá giÛi h¡n:

200 - 128 = 72 SYN (éng chÝ)

thì t¥t nhiên khi ng°Ýi dùng duyÇt HVA ph£i bË ch­m ho·c khñng l¡i. MÙt khi xu¥t truy c­p ã hình thành thì thông tin °ãc chuyÃn t£i r¥t nhanh bßi vì xu¥t truy c­p này ã ß tình tr¡ng "ESTABLISHED" trên tcp.

V­y somaxconn dính dñ gì ¿n listen()? H³n nhiên rÓi, và còn dính trñc ti¿p nïa là ±ng khác. somaxconn chính là int thé nh¥t cça hàm listen() (ã chú thích ß -64-). HiÇn t¡i, giá trË somaxconn trên HVA server r¥t th¥p và ch¯c ch¯n không ç à phåc vå các request (kà c£ hãp lÇ l«n "b¥t hãp lÇ"). Cé 128 SYN gßi vào thì có l½ h¡n 99% là các cú "x-flash" tham lam kia chi¿m l¥y, nhïng request hãp lÇ cça ng°Ýi dùng bình th°Ýng h³n ph£i i vào hàng ãi à tu§n tñ °ãc truy c­p --> ch­m. N¿u ãi lâu --> timeout, trình duyÇt s½ °ãc báo l×i là "host is not contactible" hay ¡i lo¡i nh° v­y.

Gi£i pháp? t¥t nhiên là ph£i gia tng giá trË somaxconn. Không nhïng th¿, giá trË "syn_backlog" cing ph£i °ãc gia tng (¿n méc Ù thích hãp mà l°ãng memory trên hÇ thÑng cho phép) vÛi måc ích:

- gia tng c¡ hÙi (tÉ sÑ) ng°Ýi dùng hãp lÇ °ãc phép truy c­p.

- gia tng thÝi gian cho phép các request "bË" °a vào hàng ãi "backlog" có iÁu kiÇn ãi mà không bË timeout (và nh­n error).

B¡n có thà hÏi: "t¡i sao tr°Ûc giÝ HVA bË DDoS sao không bË tr°Ýng hãp này mà mãi ¿n bây giÝ mÛi phát hiÇn?". Câu tr£ lÝi th¿ này: chuyÇn này ã x£y ra tr°Ûc ây nh°ng l¡i tái diÅn vì hai lý do:

1. các giá trË éng dång và °ãc iÁu chÉnh trên kernel thñc hiÇn trên máy chç ci (c¥u hình kém h¡n) tr°Ûc ây ã không °ãc mang qua máy chç mÛi mÙt cách trÍn v¹n.

2. khi mang qua, mÙt sÑ giá trË quan trÍng ã không éng dång toàn thÝi trong /etc/sysctl.conf mà chÉ éng dång ß d¡ng:

# cat <n> > /proc/sys/net/ipv4/whatever_param

lo¡i thay Õi "ad-hoc" này s½ bË xoá m¥t và giá trË m·c Ënh s½ °ãc dùng sau khi server °ãc reboot.

Ph£i nói r±ng, ây là mÙt chÃnh m£ng cça tôi. ChÃnh m£ng ß ch×, tôi ngh) r±ng nó ã °ãc éng dång và không buÓn xem l¡i và ãi ¿n khi lâm vào tình tr¡ng khó khn rÓi mÛi i xuyên qua các b°Ûc thí nghiÇm à tìm lý do.

Sau khi ¥n Ënh l¡i giá trË somaxconn g¥p ba l§n giá trË tr°Ûc ây và xem xét kù l°áng các giá trË khác trên kernel. Tôi t¡m ng°ng apache và khßi Ùng l¡i nó sau vài giây. B¡n ã oán ra: truy c­p HVA nhanh h¡n và dÅ dàng h¡n cho dù v«n còn ang bË DoS.

Giá ph£i tr£ cho chuyÇn này là "lão JAL ph£i mua thêm RAM" ;) (j/k JAL, RAM trên server còn d° dùng, nh°ng n¿u °ãc thì nên chu©n bË thêm mÙt server nïa n¿u DDoS bi¿n thái ).

Chú thích:

-62- tcpdump cho phép "b¯t" nhïng gói tin ß d¡ng cå thà dña trên bit nào °ãc set trên tcp flags. N¿u sí dång nó úng méc, tcpdump là mÙt công cå a nng và không thà thi¿u trong viÇc b¯t và phân tích các gói tin. Xem thêm chi ti¿t các chÍn lña cho tcpdump b±ng man page cça nó: $ man tcpdump.

-63- /proc/net/ip_conntrack giá trË biÃu thË tình tr¡ng (state) cça các connection ang °ãc netfilter theo dõi trên hÇ thÑng. MuÑn bi¿t thêm chi ti¿t, xin tham kh£o các tài liÇu liên hÇ trên website HYPERLINK "http://www.iptables.org" \t "_blank" http://www.iptables.org

-64- listen() queue. à ti¿p nh­n mÙt connection, socket ph£i °ãc t¡o ra và ph£i ß tình tr¡ng sµn sàng ti¿p nh­n truy c­p và hàm listen() °ãc dùng à áp ·t giÛi h¡n bao nhiêu truy c­p dËch vå có thà cung c¥p. Hàm listen() còn có thêm mÙt tham sÑ khác trñc ti¿p giÛi h¡n sÑ l°ãng "backlog connection", có ngh)a là nó quy Ënh con sÑ bao nhiêu connection °ãc éng trong hàng ãi à chÝ l°ãt mình truy c­p. listen() có hai tham sÑ:

int listen(int s, int backlog);, trong ó s là integer ¥n Ënh giÛi h¡n bao nhiêu connection °ãc cho phép và backlog là integer ¥n Ënh giÛi h¡n "hàng ãi" chéa bao nhiêu request chÝ °ãc ti¿p nh­n.

Xem thêm man socket, man listen và các tài liÇu cå thà cho socket programming trên Linux à n¯m thêm chi ti¿t.

Prof(HVA)

LËch sí Hacker

1. §u nhïng nm 90 th¿ k÷ tr°Ûc, hacker HYPERLINK "http://www.vnexpress.net/Topic/?ID=2829" huyÁn tho¡i Kevin Mitnick liên ti¿p xâm nh­p vào hÇ thÑng máy tính cça mÙt lo¡t hãng viÅn thông và công nghÇ nÕi ti¿ng th¿ giÛi nh° Nokia, Fujitsu, Motorola và Sun Microsystems. Nhân v­t này bË Cåc iÁu tra liên bang Mù FBI b¯t giï nm 1995 và °ãc tr£ tñ do nm 2000. Mitnick không bao giÝ gÍi hành Ùng cça mình là hack mà gÍi là "social engineering" - dùng thç các thç o¡n lëa g¡t ng°Ýi sí dång à có °ãc thông tin ng nh­p ho·c khai thác hÇ thÑng.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/06.Lich%20su%20Hacker,%20Virus/01.Hacker%20History.mht!http://www.vnexpress.net/Vietnam/Vi-tinh/2006/11/3B9F0EAC/Garry.jpg" \* MERGEFORMATINET HYPERLINK "http://www.vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2002/11/3B9C258A/" G.McKinnon. ¢nh: Telegraph. 2. Tháng 11/2002, hacker ng°Ýi Anh HYPERLINK "http://www.vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2002/11/3B9C258A/" Gary McKinnon sa l°Ûi sau khi chui vào h¡n 90 hÇ thÑng máy tính cça quân Ùi Mù t¡i Anh. Nhân v­t này sau ó bË d«n Ù sang Mù xí án.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/06.Lich%20su%20Hacker,%20Virus/01.Hacker%20History.mht!http://www.vnexpress.net/Vietnam/Vi-tinh/2006/11/3B9F0EAC/Lavin.jpg" \* MERGEFORMATINET V.Lavin. ¢nh: WBGLink. 3. Nm 1995, tay ch¡i máy tính ng°Ýi Nga Vladimir Levin khoét thçng m¡ng thông tin Citibank à cu×m i 10 triÇu USD và trß thành hacker §u tiên xâm nh­p vào hÇ thÑng máy tính ngân hàng n c¯p tiÁn. C£nh sát quÑc t¿ Interpol tóm °ãc anh chàng này t¡i Anh nm 1995 sau khi phát hiÇn Levin chuyÃn tiÁn vào nhiÁu tài kho£n ß Mù, Ph§n Lan, Hà Lan, éc và Israel.

4. Nm 1983, Kevin Poulsen, mÙt sinh viên Mù, ã xâm nh­p thành công vào m¡ng Arpanet, tiÁn thân cça Internet ngày nay. Poulsen ã lãi dång mÙt l× hÕng trong ki¿n trúc cça hÇ thÑng thông tin toàn c§u "Ýi §u" này à giành quyÁn kiÃm soát t¡m thÝi toàn bÙ m¡ng máy tính c£ n°Ûc Mù.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/06.Lich%20su%20Hacker,%20Virus/01.Hacker%20History.mht!http://www.vnexpress.net/Vietnam/Vi-tinh/2006/11/3B9F0EAC/Poulsen.jpg" \* MERGEFORMATINET K.Poulsen. ¢nh: Discovery. 5. Nm 1990, ài phát thanh Ëa ph°¡ng ß Los Angeles (Mù) công bÑ mÙt cuÙc thi vÛi ph§n th°ßng là chi¿c xe h¡i sành iÇu Porsche 944S2 dành cho ng°Ýi thé 102 gÍi iÇn ¿n ch°¡ng trình. Và l¡i là hacker Kevin Poulsen chi¿m °ãc quyÁn kiÃm soát toàn bÙ m¡ng iÇn tho¡i cça thành phÑ này à £m b£o anh ta là ng°Ýi có sÑ thé tñ ó, và cuÑi cùng o¡t °ãc ph§n th°ßng ô tô sang trÍng nói trên. Poulsen bË b¯t mÙt nm sau ó và chËu án 3 nm tù. Nhân v­t này hiÇn là biên t­p viên uy tín cça tÝ báo công nghÇ Wired News (Mù).

6. Nm 1996, hacker Timothy Lloyd (Mù) "c¥y" 6 dòng mã lÇnh vào m¡ng máy tính cça hãng Omega Engineering, vÑn là nhà cung c¥p linh kiÇn lÛn nh¥t cho C¡ quan hàng không vi trå NASA và H£i quân Mù. Mã "Ùc" nói trên cho phép mÙt "trái bom logic" phát nÕ và xóa h¿t các ph§n mÁm ang kiÃm soát ho¡t Ùng s£n xu¥t cça Omega, khi¿n công ty này thiÇt h¡i 10 triÇu USD.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/06.Lich%20su%20Hacker,%20Virus/01.Hacker%20History.mht!http://www.vnexpress.net/Vietnam/Vi-tinh/2006/11/3B9F0EAC/Morris.jpg" \* MERGEFORMATINET R.Morris. ¢nh: Webzine. 7. Nm 1988, Robert Morris, mÙt sinh viên 23 tuÕi ß ¡i hÍc Cornell University (Mù), tung ra lo¡i sâu m¡ng §u tiên. Ban §u, anh ta phát tán 99 dòng lÇnh lên Internet à thí nghiÇm và nhanh chóng nh­n ra ch°¡ng trình cça mình có séc lan tÏa r¥t nhanh trên các máy tính. R¥t nhiÁu PC trên kh¯p n°Ûc Mù và n¡i khác ã bË hÏng. Morris bË b¯t nm 1990.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/06.Lich%20su%20Hacker,%20Virus/01.Hacker%20History.mht!http://www.vnexpress.net/Vietnam/Vi-tinh/2006/11/3B9F0EAC/Smith1.jpg" \* MERGEFORMATINET D.Smith.

¢nh: BBC. 8. Nm 1999, HYPERLINK "http://www.vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2001/09/3B9B49EB/" virus Melissa là ph§n mÁm t¥n công §u tiên có thà gây thiÇt h¡i quy mô lÛn. Do "tác gi£" HYPERLINK "http://www.vnexpress.net/Vietnam/Vi-tinh/2002/05/3B9BB9C8/" David Smith 30 tuÕi thñc hiÇn, Melissa lây lan vào hÇ thÑng máy tính cça h¡n 300 doanh nghiÇp trên th¿ giÛi và phá hçy hoàn toàn m¡ng PC ß nhïng n¡i này. ThiÇt h¡i ghi nh­n sau vå viÇc lên tÛi 400 triÇu USD. Smith ã bË b¯t và chËu án tù 20 tháng kèm 5.000 USD tiÁn ph¡t.

9. Nm 2000, mÙt nhân v­t mà c£nh sát không công bÑ danh tính ngoài biÇt hiÇu MafiaBoy ã hack vào mÙt lo¡t website lÛn trên th¿ giÛi, trong ó có eBay, Amazon và Yahoo trong kho£ng thÝi gian të 6/2 ¿n ngày Valentine 14/2 nm ó. Hacker này giành °ãc quyÁn kiÃm soát 75 máy tính trong 52 m¡ng khác nhau, sau ó ra lÇnh HYPERLINK "http://www.vnexpress.net/Topic/?ID=3525" t¥n công të chÑi dËch vå vào các hÇ thÑng này. MafiaBoy bË b¯t ngay trong nm gây án.

10. Nm 1993, mÙt nhóm tñ x°ng là "Nhïng b­c th§y lëa g¡t" ã xâm nh­p vào hÇ thÑng tin hÍc cça mÙt lo¡t tÕ chéc t¡i Mù nh° Cåc an ninh quÑc gia, hãng viÅn thông AT&T, ngân hàng Bank of America. Sau khi hack thành công, bÍn hÍ thi¿t l­p mÙt hÇ thÑng "t§m gíi" cho phép gÍi iÇn tho¡i °Ýng dài quÑc t¿ tho£i mái và có thà sí dång "chùa" nhiÁu kênh liên l¡c thuê bao cá nhân.

The History of Hacking

The idea of hacking is dated back to the early 1870's. Hacking not only revolves around computers, but all technical systems alike. In the 1870's, people hacked into the newly invented phone system to steal service from the phone companies.

It wasn't until 1961, when the term "hacker" was coined. It was first considered a term used to describe someone who is very computer literate. MIT University was the first place to use the term hacker because they integrated large mainframe computers in their labs (St. Petersburg).

In 1969, ARPANET was developed. It became the first transcontinental, high-speed computer network. It connected select government agencies as well as universities throughout the country. ARPANET also brought hackers together into one group. They started to work together. Hackers created lists of words that hackers used into what is known as the Jargon File in 1975. Later, this dictionary was revised and named "The Hacker's Dictionary."

Most hackers at universities navigated ARPANET with the help of the Digital Equipmment Corporation (DEC). They created interactive computing and time-sharing operating systems. These computers were very affordable, so numerous universities supplied them to their students. This opened the door for hacking to grow, although MIT would invent their own system (KLDP).

They created the ITS, which stands for "Incompatible Timesharing System." This system was written in LISP, the universal language used at labs throughout the country's universities. It brought hackers closer and allowed for more growth. Then the Palo Alto Research Center (PARC) created mice, windows, modern icons, and even the PC. The creation of ARPANET, DEC, ITS, and PARC all contributed to the growth of hacking into what is known as "Hackerdom."

Hacking became popular amongst the universities, especially MIT and Stanford. In the years to follow, the idea of hacking took a turn for the worse. Those who were very computer literate, as well as hackers from universities, started using their skills to view confidential information. Hackers started to hack into major corporations' main frames and use the information to their benefit.

In the early 1980's, the Comprehensive Crime Control Act allowed the Secret Service to regulate credit card and computer fraud. Later, the Computer Fraud and Abuse Act also created more blockades for hackers. In the late 1980's, a Computer Emergency Response Team is formed at the University of Pittsburgh. Their job was to discover the root of many of the hacks into select networks (St. Petersburg).

In the early 1990's, harmful hacking in the U.S. was beginning to get out of hand. A national crackdown on hacking began in 12 major cities throughout the country. In 1995, there were a reported 250,000 hacks at the Department of Defense.

Today, hacking is a major problem for many industries who have networked information. Although hacking can be a good term used to describe people who use and create breakthroughs on the computer, the problems that some hackers cause gives the rest of them a bad name.

HYPERLINK "http://www.du.edu/~zhimmelm/" http://www.du.edu/~zhimmelm/

Timeline of hacker history

From Wikipedia, the free encyclopedia

This is a timeline of hacker history. HYPERLINK "http://en.wikipedia.org/wiki/Hacker_%28computer_security%29" \o "Hacker (computer security)" Hacking and HYPERLINK "http://en.wikipedia.org/wiki/System_cracking" \o "System cracking" system cracking appeared with the first HYPERLINK "http://en.wikipedia.org/wiki/Electronics" \o "Electronics" electronic HYPERLINK "http://en.wikipedia.org/wiki/Computer" \o "Computer" computers. Below are some important events in the history of hacking and cracking.

Contents

[ HYPERLINK "javascript:toggleToc()" hide]

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "Introduction" 1 Introduction

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1970s" 2 1970s

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1971" 2.1 1971

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1972" 2.2 1972

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1973" 2.3 1973

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1978" 2.4 1978

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1980s" 3 1980s

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1981" 3.1 1981

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1982" 3.2 1982

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1983" 3.3 1983

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1984" 3.4 1984

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1985" 3.5 1985

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1986" 3.6 1986

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1987" 3.7 1987

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1988" 3.8 1988

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1989" 3.9 1989

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1990s" 4 1990s

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1990" 4.1 1990

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1991" 4.2 1991

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1992" 4.3 1992

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1993" 4.4 1993

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1994" 4.5 1994

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1995" 4.6 1995

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1996" 4.7 1996

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1997" 4.8 1997

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1998" 4.9 1998

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "1999" 4.10 1999

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "2000s" 5 2000s

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "2000" 5.1 2000

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "2001" 5.2 2001

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "2002" 5.3 2002

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "2003" 5.4 2003

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "2004" 5.5 2004

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "2005" 5.6 2005

HYPERLINK "http://en.wikipedia.org/wiki/Timeline_of_hacker_history" \l "2006" 5.7 2006 [ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=1" \o "Edit section: Introduction" edit] Introduction

This timeline is entitled "Hacker history", but it encompasses infamous cyber attacks by crackers and groundbreaking legal rulings, as well as advances within the HYPERLINK "http://en.wikipedia.org/wiki/Information_security" \o "Information security" information security realm, covering basic HYPERLINK "http://en.wikipedia.org/wiki/Internet" \o "Internet" inter-network computing as well as other technologies such as telecommunications. The timeline of hacker history focuses on HYPERLINK "http://en.wikipedia.org/wiki/Milestone" \o "Milestone" milestones and delivers an overview of events that have altered the way in which information security is seen today, whether negative or positive.

This page will not list every single detail, nor seemingly insignificant events, and therefore should never be considered a complete timeline of hacking or information security.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=2" \o "Edit section: 1970s" edit] 1970s

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=3" \o "Edit section: 1971" edit] 1971

a HYPERLINK "http://en.wikipedia.org/wiki/Vietnam_War" \o "Vietnam War" Vietnam War veteran named HYPERLINK "http://en.wikipedia.org/wiki/John_Draper" \o "John Draper" John Draper discovers that the give-away HYPERLINK "http://en.wikipedia.org/wiki/Whistle" \o "Whistle" whistle in HYPERLINK "http://en.wikipedia.org/wiki/Cap%27n_Crunch" \o "Cap'n Crunch" Cap'n Crunch HYPERLINK "http://en.wikipedia.org/wiki/Cereal" \o "Cereal" cereal boxes perfectly reproduces a 2600 HYPERLINK "http://en.wikipedia.org/wiki/Hertz" \o "Hertz" hertz tone. Draper builds a " HYPERLINK "http://en.wikipedia.org/wiki/Blue_box" \o "Blue box" blue box" that, when used with the whistle and sounded into a phone receiver, allows HYPERLINK "http://en.wikipedia.org/wiki/Phreaking" \o "Phreaking" phreaks to make free calls. Shortly afterwards, HYPERLINK "http://en.wikipedia.org/wiki/Esquire_%28magazine%29" \o "Esquire (magazine)" Esquire magazine publishes " HYPERLINK "http://en.wikipedia.org/w/index.php?title=Secrets_of_the_Little_Blue_Box&action=edit" \o "Secrets of the Little Blue Box" Secrets of the Little Blue Box" with instructions for making a blue box, and HYPERLINK "http://en.wikipedia.org/wiki/Wire_fraud" \o "Wire fraud" wire fraud in the United States escalates.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=4" \o "Edit section: 1972" edit] 1972

HYPERLINK "http://en.wikipedia.org/wiki/Abbie_Hoffman" \o "Abbie Hoffman" Abbie Hoffman helps found The HYPERLINK "http://en.wikipedia.org/wiki/Youth_International_Party" \o "Youth International Party" Youth International Party Line HYPERLINK "http://en.wikipedia.org/wiki/Newsletter" \o "Newsletter" newsletter. Hoffman's publishing partner, HYPERLINK "http://en.wikipedia.org/w/index.php?title=Al_Bell&action=edit" \o "Al Bell" Al Bell, changed the YIPL newsletter's name to TAP, for HYPERLINK "http://en.wikipedia.org/w/index.php?title=Technical_Assistance_Program&action=edit" \o "Technical Assistance Program" Technical Assistance Program.

The HYPERLINK "http://en.wikipedia.org/w/index.php?title=InterNetworking_Working_Group&action=edit" \o "InterNetworking Working Group" InterNetworking Working Group is founded to govern the standards of the developing network. HYPERLINK "http://en.wikipedia.org/wiki/Vinton_Cerf" \o "Vinton Cerf" Vinton Cerf is the chairman and is known as a "Father of the Internet."

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=5" \o "Edit section: 1973" edit] 1973

College kids HYPERLINK "http://en.wikipedia.org/wiki/Steve_Wozniak" \o "Steve Wozniak" Steve Wozniak and HYPERLINK "http://en.wikipedia.org/wiki/Steve_Jobs" \o "Steve Jobs" Steve Jobs, future founders of HYPERLINK "http://en.wikipedia.org/wiki/Apple_Computer" \o "Apple Computer" Apple Computer, begin making and selling HYPERLINK "http://en.wikipedia.org/wiki/Blue_box" \o "Blue box" blue boxes.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=6" \o "Edit section: 1978" edit] 1978

First report of teen-age boys being kicked off the HYPERLINK "http://en.wikipedia.org/wiki/Telephone" \o "Telephone" telephone system for HYPERLINK "http://en.wikipedia.org/wiki/Prank" \o "Prank" pranks. Also, this is when "hacker" is first termed because boys first ran the early switchboards of Bell telephones. They were kicked off because they were misdirecting calls and listening in on conversations.

HYPERLINK "http://en.wikipedia.org/wiki/Bulletin_board" \o "Bulletin board" Bulletin boards with names such as HYPERLINK "http://en.wikipedia.org/wiki/Sherwood_Forest" \o "Sherwood Forest" Sherwood Forest and HYPERLINK "http://en.wikipedia.org/wiki/Catch-22" \o "Catch-22" Catch-22 become the venue of choice for phreaks and hackers to gossip, trade tips, and share secret phone numbers, computer passwords, and even credit card numbers.

HYPERLINK "http://en.wikipedia.org/wiki/Susan_Thunder" \o "Susan Thunder" Susan Thunder is one of the early " HYPERLINK "http://en.wikipedia.org/wiki/Phreaking" \o "Phreaking" phone phreakers", part of HYPERLINK "http://en.wikipedia.org/wiki/Kevin_Mitnick" \o "Kevin Mitnick" Kevin Mitnick's crew who break into phone lines.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=7" \o "Edit section: 1980s" edit] 1980s

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=8" \o "Edit section: 1981" edit] 1981

HYPERLINK "http://en.wikipedia.org/wiki/Chaos_Computer_Club" \o "Chaos Computer Club" Chaos Computer Club forms in HYPERLINK "http://en.wikipedia.org/wiki/Germany" \o "Germany" Germany.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=9" \o "Edit section: 1982" edit] 1982

In HYPERLINK "http://en.wikipedia.org/wiki/Milwaukee" \o "Milwaukee" Milwaukee a group of six teenage hackers calling themselves the HYPERLINK "http://en.wikipedia.org/wiki/414" \o "414" 414's (their area code) break into some 60 computer systems at institutions ranging from the Los Alamos Laboratories to Manhattan's HYPERLINK "http://en.wikipedia.org/wiki/Memorial_Sloan-Kettering_Cancer_Center" \o "Memorial Sloan-Kettering Cancer Center" Memorial Sloan-Kettering Cancer Center before being arrested.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=10" \o "Edit section: 1983" edit] 1983

Movie HYPERLINK "http://en.wikipedia.org/wiki/WarGames" \o "WarGames" WarGames introduces the wider public to the phenomenon of hacking and creates a degree of mass paranoia of hackers and their supposed abilities to bring the world to a screeching halt by launching nuclear ICBM's.

HYPERLINK "http://en.wikipedia.org/wiki/Secret_Service" \o "Secret Service" Secret Service gets jurisdiction over HYPERLINK "http://en.wikipedia.org/wiki/Credit_card" \o "Credit card" credit card and computer HYPERLINK "http://en.wikipedia.org/wiki/Fraud" \o "Fraud" fraud.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=11" \o "Edit section: 1984" edit] 1984

Someone calling himself HYPERLINK "http://en.wikipedia.org/wiki/Lex_Luthor" \o "Lex Luthor" Lex Luthor founds the HYPERLINK "http://en.wikipedia.org/wiki/Legion_of_Doom_%28hacking%29" \o "Legion of Doom (hacking)" Legion of Doom. Named after a Saturday morning cartoon, the LOD had the reputation of attracting "the best of the best" - until one of the gang's brightest young acolytes, a kid named HYPERLINK "http://en.wikipedia.org/wiki/Phiber_Optik" \o "Phiber Optik" Phiber Optik, feuded with Legion of Doomer HYPERLINK "http://en.wikipedia.org/wiki/Erik_Bloodaxe_%28hacker%29" \o "Erik Bloodaxe (hacker)" Erik Bloodaxe and got tossed out of the clubhouse. Phiber's friends formed a rival group, the HYPERLINK "http://en.wikipedia.org/wiki/Masters_of_Deception" \o "Masters of Deception" Masters of Deception.

The HYPERLINK "http://en.wikipedia.org/w/index.php?title=Comprehensive_Crime_Control_Act&action=edit" \o "Comprehensive Crime Control Act" Comprehensive Crime Control Act gives the Secret Service jurisdiction over HYPERLINK "http://en.wikipedia.org/w/index.php?title=Computer_fraud&action=edit" \o "Computer fraud" computer fraud.

HYPERLINK "http://en.wikipedia.org/wiki/Cult_of_the_Dead_Cow" \o "Cult of the Dead Cow" CULT OF THE DEAD COW forms in HYPERLINK "http://en.wikipedia.org/wiki/Lubbock%2C_Texas" \o "Lubbock, Texas" Lubbock, Texas and begins publishing its HYPERLINK "http://en.wikipedia.org/wiki/Underground_ezine" \o "Underground ezine" ezine.

The HYPERLINK "http://en.wikipedia.org/wiki/Hacker" \o "Hacker" hacker magazine HYPERLINK "http://en.wikipedia.org/wiki/2600" \o "2600" 2600 begins regular publication, right when HYPERLINK "http://en.wikipedia.org/w/index.php?title=Technical_Assistance_Program&action=edit" \o "Technical Assistance Program" TAP was putting out its final issue. The editor of 2600, " HYPERLINK "http://en.wikipedia.org/wiki/Emmanuel_Goldstein" \o "Emmanuel Goldstein" Emmanuel Goldstein" (whose real name is HYPERLINK "http://en.wikipedia.org/wiki/Eric_Gorden_Corley" \o "Eric Gorden Corley" Eric Corley), takes his handle from the leader of the resistance in HYPERLINK "http://en.wikipedia.org/wiki/George_Orwell" \o "George Orwell" George Orwell's 1984. The publication provides tips for would-be hackers and phone phreaks, as well as commentary on the hacker issues of the day. Today, copies of 2600 are sold at most large retail bookstores.

The first HYPERLINK "http://en.wikipedia.org/wiki/Chaos_Communication_Congress" \o "Chaos Communication Congress" Chaos Communication Congress, the annual European hacker conference organized by the HYPERLINK "http://en.wikipedia.org/wiki/Chaos_Computer_Club" \o "Chaos Computer Club" Chaos Computer Club, is held in HYPERLINK "http://en.wikipedia.org/wiki/Hamburg" \o "Hamburg" Hamburg

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=12" \o "Edit section: 1985" edit] 1985

The online 'zine HYPERLINK "http://en.wikipedia.org/wiki/Phrack" \o "Phrack" Phrack is established.

HYPERLINK "http://en.wikipedia.org/wiki/The_Hacker%27s_Handbook" \o "The Hacker's Handbook" The Hacker's Handbook is published in the UK

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=13" \o "Edit section: 1986" edit] 1986

After more and more break-ins to HYPERLINK "http://en.wikipedia.org/wiki/Government" \o "Government" government and HYPERLINK "http://en.wikipedia.org/wiki/Corporation" \o "Corporation" corporate computers, Congress passes the HYPERLINK "http://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act" \o "Computer Fraud and Abuse Act" Computer Fraud and Abuse Act, which makes it a crime to break into computer systems. The law, however, does not cover juveniles.

Arrest of a hacker who calls himself HYPERLINK "http://en.wikipedia.org/wiki/The_Mentor" \o "The Mentor" The Mentor. He published a now-famous treatise shortly after his arrest that came to be known as the HYPERLINK "http://en.wikipedia.org/wiki/Hacker%27s_Manifesto" \o "Hacker's Manifesto" Hacker's Manifesto in the e-zine entitled HYPERLINK "http://en.wikipedia.org/wiki/Phrack" \o "Phrack" Phrack. This still serves as the most famous piece of hacker literature and is frequently used to illustrate the mindset of hackers.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=14" \o "Edit section: 1987" edit] 1987

HYPERLINK "http://en.wikipedia.org/w/index.php?title=Decoder_magazine&action=edit" \o "Decoder magazine" Decoder magazine begins in HYPERLINK "http://en.wikipedia.org/wiki/Italy" \o "Italy" Italy.

The HYPERLINK "http://en.wikipedia.org/wiki/Computer_Emergency_Response_Team" \o "Computer Emergency Response Team" Computer Emergency Response Team ( HYPERLINK "http://en.wikipedia.org/wiki/CERT" \o "CERT" CERT) is created to address HYPERLINK "http://en.wikipedia.org/wiki/Network_security" \o "Network security" network security.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=15" \o "Edit section: 1988" edit] 1988

The HYPERLINK "http://en.wikipedia.org/wiki/Morris_Worm" \o "Morris Worm" Morris Worm: HYPERLINK "http://en.wikipedia.org/wiki/Robert_T._Morris%2C_Jr." \o "Robert T. Morris, Jr." Robert T. Morris, Jr. ( HYPERLINK "http://en.wikipedia.org/wiki/RTM" \o "RTM" RTM), a graduate student at HYPERLINK "http://en.wikipedia.org/wiki/Cornell_University" \o "Cornell University" Cornell University and son of a chief scientist at a division of the HYPERLINK "http://en.wikipedia.org/wiki/National_Security_Agency" \o "National Security Agency" National Security Agency, launches a self-replicating worm on the government's HYPERLINK "http://en.wikipedia.org/wiki/ARPAnet" \o "ARPAnet" ARPAnet (precursor to the Internet) to test its effect on HYPERLINK "http://en.wikipedia.org/wiki/Unix" \o "Unix" UNIX systems. The worm gets out of hand and spreads to some 6000 networked computers, clogging government and university systems. Morris is dismissed from Cornell, sentenced to three years' probation, and fined $10,000.

HYPERLINK "http://en.wikipedia.org/wiki/Kevin_Mitnick" \o "Kevin Mitnick" Kevin Mitnick secretly monitors the e-mail of HYPERLINK "http://en.wikipedia.org/wiki/MCI_Communications" \o "MCI Communications" MCI Communications and HYPERLINK "http://en.wikipedia.org/wiki/Digital_Equipment_Corporation" \o "Digital Equipment Corporation" Digital Equipment Corporation (DEC) security officials. Kevin Mitnick is convicted of violating computer network of DEC and sentenced to a year in HYPERLINK "http://en.wikipedia.org/wiki/Prison" \o "Prison" jail.

HYPERLINK "http://en.wikipedia.org/wiki/Kevin_Poulsen" \o "Kevin Poulsen" Kevin Poulsen - was indicted on HYPERLINK "http://en.wikipedia.org/w/index.php?title=Phone-tampering&action=edit" \o "Phone-tampering" phone-tampering charges. Kevin went on the run and avoided capture for 17 months.

HYPERLINK "http://en.wikipedia.org/w/index.php?title=First_National_Bank_of_Chicago&action=edit" \o "First National Bank of Chicago" First National Bank of Chicago is the victim of $70-million computer theft.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=16" \o "Edit section: 1989" edit] 1989

The HYPERLINK "http://en.wikipedia.org/wiki/Germany" \o "Germany" Germans and the HYPERLINK "http://en.wikipedia.org/wiki/KGB" \o "KGB" KGB: In the first HYPERLINK "http://en.wikipedia.org/wiki/Cyberespionage" \o "Cyberespionage" cyberespionage case to make international headlines, hackers in HYPERLINK "http://en.wikipedia.org/wiki/West_Germany" \o "West Germany" West Germany (loosely affiliated with the HYPERLINK "http://en.wikipedia.org/wiki/Chaos_Computer_Club" \o "Chaos Computer Club" Chaos Computer Club) are arrested for breaking into HYPERLINK "http://en.wikipedia.org/wiki/United_States" \o "United States" U.S. HYPERLINK "http://en.wikipedia.org/wiki/Government" \o "Government" government and corporate computers and selling operating-system source code to the HYPERLINK "http://en.wikipedia.org/wiki/Soviet_Union" \o "Soviet Union" Soviet KGB. Three of them are turned in by two fellow hacker spies, and a fourth suspected hacker commits suicide when his possible role in the plan is publicized. Because the information stolen is not classified, the hackers are fined and sentenced to probation. In a separate incident,

HYPERLINK "http://en.wikipedia.org/w/index.php?title=Fry_Guy&action=edit" \o "Fry Guy" Fry Guy is raided by HYPERLINK "http://en.wikipedia.org/wiki/Law_enforcement" \o "Law enforcement" law enforcement; police hunt for Legion of Doom hackers.

HYPERLINK "http://en.wikipedia.org/wiki/Jude_Milhon" \o "Jude Milhon" Jude Milhon (aka St Jude) and HYPERLINK "http://en.wikipedia.org/wiki/R._U._Sirius" \o "R. U. Sirius" R. U. Sirius launch HYPERLINK "http://en.wikipedia.org/wiki/Mondo_2000" \o "Mondo 2000" Mondo 2000, a major '90s tech-lifestyle magazine, in HYPERLINK "http://en.wikipedia.org/wiki/Berkeley%2C_California" \o "Berkeley, California" Berkeley, California.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=17" \o "Edit section: 1990s" edit] 1990s

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=18" \o "Edit section: 1990" edit] 1990

HYPERLINK "http://en.wikipedia.org/wiki/Operation_Sundevil" \o "Operation Sundevil" Operation Sundevil introduced. After a prolonged sting investigation, Secret Service agents swoop down on organizers and prominent members of HYPERLINK "http://en.wikipedia.org/wiki/Bulletin_board_system" \o "Bulletin board system" BBSs in 14 U.S. cities including the HYPERLINK "http://en.wikipedia.org/wiki/Legion_of_Doom_%28hacking%29" \o "Legion of Doom (hacking)" Legion of Doom, conducting early-morning raids and arrests. The arrests involve and are aimed at cracking down on credit-card theft and telephone and wire fraud. The result is a breakdown in the hacking community, with members informing on each other in exchange for immunity. The offices of HYPERLINK "http://en.wikipedia.org/wiki/Steve_Jackson_Games" \o "Steve Jackson Games" Steve Jackson Games are also raided, and the HYPERLINK "http://en.wikipedia.org/wiki/Role-playing_game" \o "Role-playing game" role-playing sourcebook HYPERLINK "http://en.wikipedia.org/wiki/GURPS_Cyberpunk" \o "GURPS Cyberpunk" GURPS Cyberpunk is confiscated, possibly because the government fears it is a "handbook for computer crime". Legal battles arise that prompt the formation of the HYPERLINK "http://en.wikipedia.org/wiki/Electronic_Frontier_Foundation" \o "Electronic Frontier Foundation" Electronic Frontier Foundation.

HYPERLINK "http://en.wikipedia.org/wiki/Legion_of_Doom" \o "Legion of Doom" LOD and HYPERLINK "http://en.wikipedia.org/wiki/Masters_of_Deception" \o "Masters of Deception" MOD engaged in almost two years of online HYPERLINK "http://en.wikipedia.org/wiki/War" \o "War" warfare - jamming phone HYPERLINK "http://en.wikipedia.org/wiki/Telephone_line" \o "Telephone line" lines, monitoring calls, HYPERLINK "http://en.wikipedia.org/wiki/Trespass" \o "Trespass" trespassing in each other's private computers. Then the Feds cracked down. For Phiber and friends, that meant HYPERLINK "http://en.wikipedia.org/wiki/Prison" \o "Prison" jail.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=19" \o "Edit section: 1991" edit] 1991

Rumors circulate about the " HYPERLINK "http://en.wikipedia.org/wiki/Michelangelo_%28virus%29" \o "Michelangelo (virus)" Michelangelo" virus, expected to crash computers on HYPERLINK "http://en.wikipedia.org/wiki/March_6" \o "March 6" March 6, HYPERLINK "http://en.wikipedia.org/wiki/1992" \o "1992" 1992, the artist's 517th birthday. Doomsday passes without incident.

HYPERLINK "http://en.wikipedia.org/wiki/Kevin_Poulsen" \o "Kevin Poulsen" Kevin Poulsen is captured and indicted for stealing military HYPERLINK "http://en.wikipedia.org/wiki/Document" \o "Document" documents.

Former HYPERLINK "http://en.wikipedia.org/wiki/Legion_of_Doom" \o "Legion of Doom" Legion of Doom members HYPERLINK "http://en.wikipedia.org/wiki/Patrick_K._Kroupa" \o "Patrick K. Kroupa" Patrick K. Kroupa (Lord Digital) and HYPERLINK "http://en.wikipedia.org/wiki/Bruce_Fancher" \o "Bruce Fancher" Bruce Fancher (Dead Lord) found HYPERLINK "http://en.wikipedia.org/wiki/MindVox" \o "MindVox" MindVox.

resulted in jail sentences for four members of the Masters of Deception. Phiber Optik spent a year in federal prison.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=20" \o "Edit section: 1992" edit] 1992

Release of the movie HYPERLINK "http://en.wikipedia.org/wiki/Sneakers_%28movie%29" \o "Sneakers (movie)" Sneakers, in which security experts are blackmailed into stealing a HYPERLINK "http://en.wikipedia.org/w/index.php?title=Universal_decoder&action=edit" \o "Universal decoder" universal decoder for HYPERLINK "http://en.wikipedia.org/wiki/Encryption" \o "Encryption" encryption HYPERLINK "http://en.wikipedia.org/wiki/System" \o "System" systems.

HYPERLINK "http://en.wikipedia.org/wiki/MindVox" \o "MindVox" MindVox opens to the public.

Hackers break into HYPERLINK "http://en.wikipedia.org/wiki/GAFB" \o "GAFB" GAFB, HYPERLINK "http://en.wikipedia.org/wiki/NASA" \o "NASA" NASA and HYPERLINK "http://en.wikipedia.org/wiki/Korea_Aerospace_Research_Institute" \o "Korea Aerospace Research Institute" KARI.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=21" \o "Edit section: 1993" edit] 1993

During radio station call-in contests, hacker-fugitive Kevin Poulsen and two friends rig the stations' phone systems to let only their calls through, and "win" two HYPERLINK "http://en.wikipedia.org/wiki/Porsche" \o "Porsche" Porsches, vacation trips, and $20,000. Poulsen, already wanted for breaking into phone-company systems, serves five years in prison for HYPERLINK "http://en.wikipedia.org/w/index.php?title=Computer_fraud&action=edit" \o "Computer fraud" computer and HYPERLINK "http://en.wikipedia.org/wiki/Wire_fraud" \o "Wire fraud" wire HYPERLINK "http://en.wikipedia.org/wiki/Fraud" \o "Fraud" fraud.

HYPERLINK "http://en.wikipedia.org/wiki/Texas_A%26M_University" \o "Texas A&M University" Texas A&M University professor receives death threats because a hacker used his computer to send 20,000 racist e-mails.

The first HYPERLINK "http://en.wikipedia.org/wiki/DEF_CON" \o "DEF CON" DEF CON hacking conference takes place in HYPERLINK "http://en.wikipedia.org/wiki/Las_Vegas" \o "Las Vegas" Las Vegas. The conference is meant to be a one-time party to say good-bye to BBSs (now replaced by the Web), but the gathering is so popular it becomes an annual event.

HYPERLINK "http://en.wikipedia.org/wiki/AOL" \o "AOL" AOL gives its users access to HYPERLINK "http://en.wikipedia.org/wiki/USENET" \o "USENET" USENET, precipitating HYPERLINK "http://en.wikipedia.org/wiki/Eternal_September" \o "Eternal September" Eternal September.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=22" \o "Edit section: 1994" edit] 1994

Summer: HYPERLINK "http://en.wikipedia.org/wiki/Russia" \o "Russia" Russian HYPERLINK "http://en.wikipedia.org/wiki/Cracker_%28computing%29" \o "Cracker (computing)" crackers siphon $10 million from Citibank and transfer the money to bank accounts around the world. HYPERLINK "http://en.wikipedia.org/wiki/Vladimir_Levin" \o "Vladimir Levin" Vladimir Levin, the 30-year-old HYPERLINK "http://en.wikipedia.org/wiki/Ringleader" \o "Ringleader" ringleader, uses his work laptop after hours to transfer the funds to accounts in HYPERLINK "http://en.wikipedia.org/wiki/Finland" \o "Finland" Finland and HYPERLINK "http://en.wikipedia.org/wiki/Israel" \o "Israel" Israel. Levin stands trial in the HYPERLINK "http://en.wikipedia.org/wiki/United_States" \o "United States" United States and is sentenced to three years in prison. Authorities recover all but $400,000 of the stolen money.

Hackers adapt to emergence of the HYPERLINK "http://en.wikipedia.org/wiki/World_Wide_Web" \o "World Wide Web" World Wide Web quickly, moving all their how-to information and hacking programs from the old BBSs to new hacker HYPERLINK "http://en.wikipedia.org/wiki/Web_site" \o "Web site" Web sites.

HYPERLINK "http://en.wikipedia.org/wiki/AOHell" \o "AOHell" AOHell is released, a HYPERLINK "http://en.wikipedia.org/wiki/Freeware" \o "Freeware" freeware HYPERLINK "http://en.wikipedia.org/wiki/Application_software" \o "Application software" application that allows a burgeoning community of unskilled HYPERLINK "http://en.wikipedia.org/wiki/Script_kiddie" \o "Script kiddie" script kiddies to wreak havoc on HYPERLINK "http://en.wikipedia.org/wiki/America_Online" \o "America Online" America Online. For days, hundreds of thousands of AOL users find their mailboxes flooded with multi-megabyte HYPERLINK "http://en.wikipedia.org/wiki/Mail_bomb" \o "Mail bomb" mail bombs and their chat rooms disrupted with HYPERLINK "http://en.wikipedia.org/wiki/Spamming" \o "Spamming" spam messages.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=23" \o "Edit section: 1995" edit] 1995

February: Kevin Mitnick is arrested again. This time the FBI accuses him of stealing 20,000 HYPERLINK "http://en.wikipedia.org/wiki/Credit_card_number" \o "Credit card number" credit card numbers. Kevin Mitnick is incarcerated on charges of "wire fraud and illegal possession of computer files stolen from such companies as HYPERLINK "http://en.wikipedia.org/wiki/Motorola" \o "Motorola" Motorola and HYPERLINK "http://en.wikipedia.org/wiki/Sun_Microsystems" \o "Sun Microsystems" Sun Microsystems" He is held in prison for four years without a trial.

The movies HYPERLINK "http://en.wikipedia.org/wiki/The_Net_%28film%29" \o "The Net (film)" The Net and HYPERLINK "http://en.wikipedia.org/wiki/Hackers_%28movie%29" \o "Hackers (movie)" Hackers are released.

HYPERLINK "http://en.wikipedia.org/wiki/United_States_Department_of_Defense" \o "United States Department of Defense" United States Department of Defense computers sustain 250,000 attacks by hackers.

Hackers deface federal web sites.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=24" \o "Edit section: 1996" edit] 1996

Kevin Poulsen is cleared of the military hacking charges and released. He starts a career as a HYPERLINK "http://en.wikipedia.org/wiki/Freelance" \o "Freelance" freelance HYPERLINK "http://en.wikipedia.org/wiki/Journalist" \o "Journalist" journalist.

Hackers alter Web sites of the HYPERLINK "http://en.wikipedia.org/wiki/United_States_Department_of_Justice" \o "United States Department of Justice" United States Department of Justice (August), the HYPERLINK "http://en.wikipedia.org/wiki/CIA" \o "CIA" CIA (October), and the HYPERLINK "http://en.wikipedia.org/wiki/U.S._Air_Force" \o "U.S. Air Force" U.S. Air Force (December).

HYPERLINK "http://en.wikipedia.org/wiki/Canada" \o "Canada" Canadian hacker group, HYPERLINK "http://en.wikipedia.org/wiki/Brotherhood" \o "Brotherhood" Brotherhood, breaks into the HYPERLINK "http://en.wikipedia.org/wiki/Canadian_Broadcasting_Corporation" \o "Canadian Broadcasting Corporation" Canadian Broadcasting Corporation.

The HYPERLINK "http://en.wikipedia.org/w/index.php?title=U.S._General_Accounting_Office&action=edit" \o "U.S. General Accounting Office" U.S. General Accounting Office reports that hackers attempted to break into Defense Department computer files some 250,000 times in 1995 alone. About 65 percent of the attempts were successful, according to the report.

The MP3 format gains popularity in the hacker world. Many hackers begin setting up sharing sites via FTP, Hotline, IRC and USEnet.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=25" \o "Edit section: 1997" edit] 1997

A 15-year-old HYPERLINK "http://en.wikipedia.org/wiki/Croatia" \o "Croatia" Croatian youth penetrates computers at a HYPERLINK "http://en.wikipedia.org/wiki/U.S._Air_Force" \o "U.S. Air Force" U.S. Air Force base in HYPERLINK "http://en.wikipedia.org/wiki/Guam" \o "Guam" Guam.

December: HYPERLINK "http://en.wikipedia.org/w/index.php?title=Information_Security_%28magazine%29&action=edit" \o "Information Security (magazine)" Information Security publishes first issue.

Hackers get into Microsoft's HYPERLINK "http://en.wikipedia.org/wiki/Windows_NT" \o "Windows NT" Windows NT HYPERLINK "http://en.wikipedia.org/wiki/Operating_system" \o "Operating system" operating system.

In response to the MP3 popularity, the Recording Industry Association of America begins cracking down on FTPs. The RIAA begins a campaign of lawsuits shutting down many of the owners of these sites including the more popular ripper/distrubutors The Maxx (Germany, Age 14), Chapel976 (USA, Age 15), Bulletboy (UK, Age 16), Sn4rf (Canada, Age 14) and others in their young teens via their ISPs. Their houses are raided and their computers and modems are taken. The RIAA fails to cut off the head of the MP3 beast and within a year and a half, Napster is released.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=26" \o "Edit section: 1998" edit] 1998

A woman who goes by the handle HYPERLINK "http://en.wikipedia.org/w/index.php?title=Natasha_Grigori&action=edit" \o "Natasha Grigori" Natasha Grigori started out in the early starts running a bulletin-board system for those involved in the HYPERLINK "http://en.wikipedia.org/wiki/Copyright_infringement_of_software" \o "Copyright infringement of software" unauthorized distribution of software. Now, at age "40-plus," she's the founder of HYPERLINK "http://en.wikipedia.org/w/index.php?title=Antichildporn.org&action=edit" \o "Antichildporn.org" antichildporn.org HYPERLINK "http://antichildporn.org/" \o "http://antichildporn.org/" [1], a group of hackers who use their skills to track kiddie-porn distributors and pass the information on to law enforcement.

January: HYPERLINK "http://en.wikipedia.org/wiki/Yahoo%21" \o "Yahoo!" Yahoo! notifies Internet users that anyone visiting its site in recent weeks might have downloaded a HYPERLINK "http://en.wikipedia.org/wiki/Logic_bomb" \o "Logic bomb" logic bomb and HYPERLINK "http://en.wikipedia.org/wiki/Worm" \o "Worm" worm planted by hackers claiming a "logic bomb" will go off if Mitnick is not released from prison.

January: HYPERLINK "http://en.wikipedia.org/w/index.php?title=Anti-hacker&action=edit" \o "Anti-hacker" Anti-hacker runs during HYPERLINK "http://en.wikipedia.org/wiki/Super_Bowl_XXXII" \o "Super Bowl XXXII" Super Bowl XXXII

February: The HYPERLINK "http://en.wikipedia.org/wiki/Internet_Software_Consortium" \o "Internet Software Consortium" Internet Software Consortium proposes the use of HYPERLINK "http://en.wikipedia.org/wiki/DNSSEC" \o "DNSSEC" DNSSEC ( HYPERLINK "http://en.wikipedia.org/w/index.php?title=Domain-name_system_security_extensions&action=edit" \o "Domain-name system security extensions" domain-name system security extensions) to secure HYPERLINK "http://en.wikipedia.org/wiki/DNS_server" \o "DNS server" DNS servers.

During heightened tensions in the HYPERLINK "http://en.wikipedia.org/wiki/Persian_Gulf" \o "Persian Gulf" Persian Gulf, hackers touch off a string of attacks against HYPERLINK "http://en.wikipedia.org/wiki/The_Pentagon" \o "The Pentagon" Pentagon computers, dubbed the HYPERLINK "http://en.wikipedia.org/w/index.php?title=Solar_Sunrise&action=edit" \o "Solar Sunrise" Solar Sunrise. This leads to the establishment of round-the-clock, online guard duty at major military computer sites. HYPERLINK "http://en.wikipedia.org/w/index.php?title=U.S._Deputy_Defense_Secretary&action=edit" \o "U.S. Deputy Defense Secretary" U.S. Deputy Defense Secretary HYPERLINK "http://en.wikipedia.org/wiki/John_Hamre" \o "John Hamre" John Hamre called it "the most organized and systematic attack" on HYPERLINK "http://en.wikipedia.org/wiki/U.S._military" \o "U.S. military" U.S. military systems to date[ HYPERLINK "http://en.wikipedia.org/wiki/Wikipedia:Citing_sources" \o "Wikipedia:Citing sources" citation needed]. An investigation points to two American teens. A 19-year-old Israeli hacker who calls himself HYPERLINK "http://en.wikipedia.org/wiki/The_Analyzer" \o "The Analyzer" The Analyzer (aka HYPERLINK "http://en.wikipedia.org/wiki/Ehud_Tenenbaum" \o "Ehud Tenenbaum" Ehud Tenenbaum) is eventually identified as their ringleader and arrested. Tenenbaum is later made chief technology officer of a computer consulting firm.

March: HYPERLINK "http://en.wikipedia.org/wiki/Timothy_Lloyd" \o "Timothy Lloyd" Timothy Lloyd is indicted for planting a logic bomb on the network of HYPERLINK "http://en.wikipedia.org/w/index.php?title=Omega_Engineering&action=edit" \o "Omega Engineering" Omega Engineering and causing millions in damage.

Hackers alter HYPERLINK "http://en.wikipedia.org/wiki/The_New_York_Times" \o "The New York Times" The New York Times Web site, renaming it HYPERLINK "http://en.wikipedia.org/w/index.php?title=HFG&action=edit" \o "HFG" HFG ( HYPERLINK "http://en.wikipedia.org/w/index.php?title=Hacking_for_Girlies&action=edit" \o "Hacking for Girlies" Hacking for Girlies). The hackers express anger at the arrest and imprisonment of Kevin Mitnick, the subject of the book " HYPERLINK "http://en.wikipedia.org/wiki/Takedown" \o "Takedown" Takedown" co-authored by Times reporter HYPERLINK "http://en.wikipedia.org/wiki/John_Markoff" \o "John Markoff" John Markoff.

Two hackers are sentenced to death by a court in HYPERLINK "http://en.wikipedia.org/wiki/China" \o "China" China for breaking into a bank computer network and stealing 260,000 yuan ($31,400).

June: Information Security publishes its first annual HYPERLINK "http://en.wikipedia.org/w/index.php?title=Industry_Survey&action=edit" \o "Industry Survey" Industry Survey, finding that nearly three-quarters of organizations suffered a security incident in the previous year.

July: Hackers break into HYPERLINK "http://en.wikipedia.org/w/index.php?title=United_Nations_Children_Fund&action=edit" \o "United Nations Children Fund" United Nations Children Fund Web site threatening " HYPERLINK "http://en.wikipedia.org/wiki/Holocaust" \o "Holocaust" holocaust."

August: The hacking group HYPERLINK "http://en.wikipedia.org/wiki/Cult_of_the_Dead_Cow" \o "Cult of the Dead Cow" CULT OF THE DEAD COW releases its HYPERLINK "http://en.wikipedia.org/wiki/Trojan_horse_%28computing%29" \o "Trojan horse (computing)" Trojan horse program, HYPERLINK "http://en.wikipedia.org/wiki/Back_Orifice" \o "Back Orifice" Back Orifice at HYPERLINK "http://en.wikipedia.org/wiki/DEF_CON" \o "DEF CON" DEF CON. Once a user installs the Trojan horse on a machine running HYPERLINK "http://en.wikipedia.org/wiki/Windows_95" \o "Windows 95" Windows 95 or HYPERLINK "http://en.wikipedia.org/wiki/Windows_98" \o "Windows 98" Windows 98, the program allows unauthorized HYPERLINK "http://en.wikipedia.org/wiki/Remote_access" \o "Remote access" remote access of the machine.

October: " HYPERLINK "http://en.wikipedia.org/wiki/U.S._Attorney_General" \o "U.S. Attorney General" U.S. Attorney General HYPERLINK "http://en.wikipedia.org/wiki/Janet_Reno" \o "Janet Reno" Janet Reno announces HYPERLINK "http://en.wikipedia.org/w/index.php?title=National_Infrastructure_Protection_Center&action=edit" \o "National Infrastructure Protection Center" National Infrastructure Protection Center."

December: HYPERLINK "http://en.wikipedia.org/wiki/L0pht" \o "L0pht" L0pht testifies to the senate that it could shut down nationwide access to the Internet in less than 30 minutes.

HYPERLINK "http://en.wikipedia.org/wiki/December_29" \o "December 29" December 29: the Legions of the Underground (LoU) declared HYPERLINK "http://en.wikipedia.org/wiki/Cyberwar" \o "Cyberwar" cyberwar on HYPERLINK "http://en.wikipedia.org/wiki/Iraq" \o "Iraq" Iraq and HYPERLINK "http://en.wikipedia.org/wiki/China" \o "China" China with the intention of disrupting and disabling internet infrastructure.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=27" \o "Edit section: 1999" edit] HYPERLINK "http://en.wikipedia.org/wiki/1999" \o "1999" 1999

HYPERLINK "http://en.wikipedia.org/w/index.php?title=Software_Security&action=edit" \o "Software Security" Software Security Goes Mainstream In the wake of Microsoft's Windows 98 release, 1999 becomes a banner year for security (and hacking). Hundreds of advisories and patches are released in response to newfound (and widely publicized) HYPERLINK "http://en.wikipedia.org/wiki/Computer_bug" \o "Computer bug" bugs in Windows and other commercial software products. A host of security software vendors release anti-hacking products for use on home computers.

The HYPERLINK "http://en.wikipedia.org/w/index.php?title=Electronic_Civil_Disobedience_project&action=edit" \o "Electronic Civil Disobedience project" Electronic Civil Disobedience project, an online HYPERLINK "http://en.wikipedia.org/w/index.php?title=Political_performance&action=edit" \o "Political performance" political performance- HYPERLINK "http://en.wikipedia.org/wiki/Art_group" \o "Art group" art group, attacks the Pentagon calling it HYPERLINK "http://en.wikipedia.org/wiki/Conceptual_art" \o "Conceptual art" conceptual art and claiming it to be a protest against the U.S. support of the suppression of rebels in southern HYPERLINK "http://en.wikipedia.org/wiki/Mexico" \o "Mexico" Mexico by the Mexican government. ECD uses the HYPERLINK "http://en.wikipedia.org/wiki/FloodNet" \o "FloodNet" FloodNet software to bombard its opponents with access requests.

Classified computer systems at HYPERLINK "http://en.wikipedia.org/wiki/Kelly_Air_Force_Base" \o "Kelly Air Force Base" Kelly Air Force Base in HYPERLINK "http://en.wikipedia.org/wiki/San_Antonio%2C_Texas" \o "San Antonio, Texas" San Antonio, HYPERLINK "http://en.wikipedia.org/wiki/Texas" \o "Texas" Texas, come under attack from a number of locations around the world, but the attacks were detected and stopped by newly developed Defense Department systems.

HYPERLINK "http://en.wikipedia.org/wiki/U.S._Information_Agency" \o "U.S. Information Agency" U.S. Information Agency Web site is hacked for the second time in six months. The hacker circumvented the agency's HYPERLINK "http://en.wikipedia.org/wiki/Internet_security" \o "Internet security" Internet security and damaged the hard drive, leaving behind the message "Crystal, I love you" and the signature "Zyklon."

Rep. HYPERLINK "http://en.wikipedia.org/wiki/Curt_Weldon" \o "Curt Weldon" Curt Weldon, R-Pennsylvania, says Defense Department computers are under a "coordinated, organized" attack from hackers. "You can basically say we are at war", he said.

U.S. President HYPERLINK "http://en.wikipedia.org/wiki/Bill_Clinton" \o "Bill Clinton" Bill Clinton announces a $1.46 billion initiative to improve government HYPERLINK "http://en.wikipedia.org/wiki/Computer_security" \o "Computer security" computer security. The plan would establish a network of intrusion detection monitors for certain federal agencies and encourage the private sector to do the same.

Kevin Mitnick, detained since 1995 on charges of HYPERLINK "http://en.wikipedia.org/w/index.php?title=Computer_fraud&action=edit" \o "Computer fraud" computer fraud, signs HYPERLINK "http://en.wikipedia.org/wiki/Plea_agreement" \o "Plea agreement" plea agreement.

HYPERLINK "http://en.wikipedia.org/wiki/Television_movie" \o "Television movie" Made-for-TV movie HYPERLINK "http://en.wikipedia.org/wiki/Pirates_of_Silicon_Valley" \o "Pirates of Silicon Valley" Pirates of Silicon Valley is shown on HYPERLINK "http://en.wikipedia.org/wiki/Turner_Network_Television" \o "Turner Network Television" TNT, which starts out with the HYPERLINK "http://en.wikipedia.org/wiki/Blue_Box" \o "Blue Box" Blue Box hacking days of HYPERLINK "http://en.wikipedia.org/wiki/Steve_Wozniak" \o "Steve Wozniak" Steve Wozniak.

HYPERLINK "http://en.wikipedia.org/wiki/January_7" \o "January 7" January 7: an international coalition of hackers (including HYPERLINK "http://en.wikipedia.org/wiki/Cult_of_the_Dead_Cow" \o "Cult of the Dead Cow" CULT OF THE DEAD COW, HYPERLINK "http://en.wikipedia.org/wiki/2600" \o "2600" 2600 's staff, HYPERLINK "http://en.wikipedia.org/wiki/Phrack" \o "Phrack" Phrack's staff, HYPERLINK "http://en.wikipedia.org/wiki/L0pht" \o "L0pht" L0pht, and the HYPERLINK "http://en.wikipedia.org/wiki/Chaos_Computer_Club" \o "Chaos Computer Club" Chaos Computer Club) issued a joint statement ( HYPERLINK "http://www.cultdeadcow.com/news/statement19990107.html" \o "http://www.cultdeadcow.com/news/statement19990107.html" [2]) condemning the LoU's declaration of war. The LoU responded by withdrawing its declaration.

March: The HYPERLINK "http://en.wikipedia.org/wiki/Melissa_worm" \o "Melissa worm" Melissa worm is released and quickly becomes the most costly malware outbreak to date.

April: The U.S. Justice Department declines to prosecute former HYPERLINK "http://en.wikipedia.org/wiki/CIA" \o "CIA" CIA Director HYPERLINK "http://en.wikipedia.org/wiki/John_Deutch" \o "John Deutch" John Deutch for keeping 31 secret files on his home computer after he left office in 1996.

July: HYPERLINK "http://en.wikipedia.org/wiki/Cult_of_the_Dead_Cow" \o "Cult of the Dead Cow" CULT OF THE DEAD COW releases HYPERLINK "http://en.wikipedia.org/wiki/Back_Orifice_2000" \o "Back Orifice 2000" Back Orifice 2000 at HYPERLINK "http://en.wikipedia.org/wiki/DEF_CON" \o "DEF CON" DEF CON

September: HYPERLINK "http://en.wikipedia.org/wiki/Level_Seven" \o "Level Seven" Level Seven hacks HYPERLINK "http://www.usembassy-china.gov" \o "http://www.usembassy-china.gov" The US Embassy in China's Website and places racist, anti-government slogans on embassy site in regards to HYPERLINK "http://en.wikipedia.org/wiki/1998_U.S._embassy_bombings" \o "1998 U.S. embassy bombings" 1998 U.S. embassy bombings. HYPERLINK "http://www.cnn.com/TECH/computing/9909/08/hack.folo" \o "http://www.cnn.com/TECH/computing/9909/08/hack.folo" [3]

October: HYPERLINK "http://en.wikipedia.org/wiki/American_Express" \o "American Express" American Express introduces the "Blue" HYPERLINK "http://en.wikipedia.org/wiki/Smart_card" \o "Smart card" smart card, the industry's first chip-based credit card in the US.

Unidentified hackers seized control of a British military communication satellite and demanded money in return for control of the satellite.

December: HYPERLINK "http://en.wikipedia.org/wiki/David_L._Smith_%28virus_writer%29" \o "David L. Smith (virus writer)" David L. Smith pleads guilty to creating and releasing the Melissa virus. It's one of the first times a person is prosecuted for writing a HYPERLINK "http://en.wikipedia.org/wiki/Virus" \o "Virus" virus.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=28" \o "Edit section: 2000s" edit] 2000s

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=29" \o "Edit section: 2000" edit] 2000

January: A HYPERLINK "http://en.wikipedia.org/wiki/Russia" \o "Russia" Russian cracker attempts to extort $100,000 from HYPERLINK "http://en.wikipedia.org/wiki/Online_music_retailer" \o "Online music retailer" online music retailer HYPERLINK "http://en.wikipedia.org/w/index.php?title=CD_Universe&action=edit" \o "CD Universe" CD Universe, threatening to expose thousands of customers' HYPERLINK "http://en.wikipedia.org/wiki/Credit_card" \o "Credit card" credit card numbers, posting them on a HYPERLINK "http://en.wikipedia.org/wiki/Website" \o "Website" website after the attempt to extort money from the company failed. Barry Schlossberg (AKA Lou Cipher) is successful at getting $1.4M from CD Universe for "services rendered", in an attempt to "catch the Russian hacker".

Second week of February: In the first and one of the biggest HYPERLINK "http://en.wikipedia.org/wiki/Denial-of-service_attack" \o "Denial-of-service attack" denial-of-service attacks to date, HYPERLINK "http://en.wikipedia.org/wiki/Canada" \o "Canada" Canadian hacker HYPERLINK "http://en.wikipedia.org/wiki/MafiaBoy" \o "MafiaBoy" MafiaBoy launches successful distributed denial-of-service ( HYPERLINK "http://en.wikipedia.org/wiki/DDoS" \o "DDoS" DDoS) attack taking down several high-profile Web sites, including HYPERLINK "http://en.wikipedia.org/wiki/Amazon.com" \o "Amazon.com" Amazon, HYPERLINK "http://en.wikipedia.org/wiki/CNN" \o "CNN" CNN and HYPERLINK "http://en.wikipedia.org/wiki/Yahoo%21" \o "Yahoo!" Yahoo!.

HYPERLINK "http://en.wikipedia.org/wiki/Activist" \o "Activist" Activists in HYPERLINK "http://en.wikipedia.org/wiki/Pakistan" \o "Pakistan" Pakistan and the HYPERLINK "http://en.wikipedia.org/wiki/Middle_East" \o "Middle East" Middle East deface Web sites belonging to the HYPERLINK "http://en.wikipedia.org/wiki/India" \o "India" Indian and HYPERLINK "http://en.wikipedia.org/wiki/Israel" \o "Israel" Israeli governments to protest oppression in HYPERLINK "http://en.wikipedia.org/wiki/Kashmir" \o "Kashmir" Kashmir and HYPERLINK "http://en.wikipedia.org/wiki/Palestinian_territories" \o "Palestinian territories" Palestine.

Hackers break into Microsoft's corporate network and access HYPERLINK "http://en.wikipedia.org/wiki/Source_code" \o "Source code" source code for the latest versions of HYPERLINK "http://en.wikipedia.org/wiki/Microsoft_Windows" \o "Microsoft Windows" Microsoft Windows and HYPERLINK "http://en.wikipedia.org/wiki/Microsoft_Office" \o "Microsoft Office" Microsoft Office software. It is later released to several filesharing networks. HYPERLINK "http://en.wikipedia.org/wiki/The_Register" \o "The Register" The Register splashes with the immortal (and suppositional) headline: 'M$ hacked! Russian Mafia swipes WinME source'.

March: HYPERLINK "http://en.wikipedia.org/wiki/President_Clinton" \o "President Clinton" President Clinton says that he doesn't use HYPERLINK "http://en.wikipedia.org/wiki/E-mail" \o "E-mail" e-mail to communicate with his daughter HYPERLINK "http://en.wikipedia.org/wiki/Chelsea_Clinton" \o "Chelsea Clinton" Chelsea Clinton at college because he doesn't think the medium is secure.

April: The HYPERLINK "http://en.wikipedia.org/wiki/U.S._Department_of_Justice" \o "U.S. Department of Justice" U.S. Department of Justice unveils a portal that notes the government's position on HYPERLINK "http://en.wikipedia.org/wiki/Internet_security" \o "Internet security" Internet security and HYPERLINK "http://en.wikipedia.org/wiki/Privacy" \o "Privacy" privacy issues, tracks prosecution of HYPERLINK "http://en.wikipedia.org/w/index.php?title=Cybercriminal&action=edit" \o "Cybercriminal" cybercriminals and provides guidelines for HYPERLINK "http://en.wikipedia.org/wiki/Cybercrime" \o "Cybercrime" cybercrime investigations.

May: a new HYPERLINK "http://en.wikipedia.org/wiki/Virus" \o "Virus" virus appeared that spread rapidly around the globe. The HYPERLINK "http://en.wikipedia.org/wiki/ILOVEYOU_%28computer_virus%29" \o "ILOVEYOU (computer virus)" "I Love You" virus infected image and sound files and spread quickly by causing copies of itself to be sent to all individuals in an HYPERLINK "http://en.wikipedia.org/wiki/Address_book" \o "Address book" address book.

June: President Clinton signs the " HYPERLINK "http://en.wikipedia.org/w/index.php?title=Electronic_Signatures_in_Global_and_National_Commerce&action=edit" \o "Electronic Signatures in Global and National Commerce" Electronic Signatures in Global and National Commerce" ( HYPERLINK "http://en.wikipedia.org/w/index.php?title=E-Sign&action=edit" \o "E-Sign" E-Sign) into HYPERLINK "http://en.wikipedia.org/wiki/Law" \o "Law" law, making digital signatures legally binding.

June: The HYPERLINK "http://en.wikipedia.org/w/index.php?title=Honeynet_Project&action=edit" \o "Honeynet Project" Honeynet Project, led by HYPERLINK "http://en.wikipedia.org/w/index.php?title=Lance_Spitzner&action=edit" \o "Lance Spitzner" Lance Spitzner, launches, collecting hacking intelligence through a network of decoy servers.

July: The HYPERLINK "http://en.wikipedia.org/wiki/SANS_Institute" \o "SANS Institute" SANS Institute releases its first " HYPERLINK "http://en.wikipedia.org/w/index.php?title=Top_10_Vulnerabilities&action=edit" \o "Top 10 Vulnerabilities" Top 10 Vulnerabilities" list, denoting the most prevalent problems exploited by hackers.

HYPERLINK "http://en.wikipedia.org/wiki/Jennifer_Granick" \o "Jennifer Granick" Jennifer Granick is an in-demand lawyer who explains hackers' rights to them at conventions.

A 19-year-old Midwestern law student who calls herself HYPERLINK "http://en.wikipedia.org/w/index.php?title=ViXen900&action=edit" \o "ViXen900" ViXen900 is a member of the HYPERLINK "http://en.wikipedia.org/w/index.php?title=HNC_hackers&action=edit" \o "HNC hackers" HNC hackers' group and advises them on legal issues.

HYPERLINK "http://en.wikipedia.org/wiki/Kevin_Mitnick" \o "Kevin Mitnick" Kevin Mitnick is released from prison.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=30" \o "Edit section: 2001" edit] 2001

Microsoft becomes the prominent victim of a new type of crack that attacks the HYPERLINK "http://en.wikipedia.org/wiki/Domain_name_server" \o "Domain name server" domain name server. In these denial-of-service attacks, the DNS paths that take users to Microsoft's Web sites are corrupted. The hack is detected within a few hours, but prevents millions of users from reaching Microsoft Web pages for two days.

January: HYPERLINK "http://en.wikipedia.org/wiki/Port7Alliance" \o "Port7Alliance" Port7Alliance is born.

February: A Dutch cracker releases the HYPERLINK "http://en.wikipedia.org/wiki/Anna_Kournikova" \o "Anna Kournikova" Anna Kournikova virus, initiating a wave of viruses that tempts users to open the infected attachment by promising a sexy picture of the HYPERLINK "http://en.wikipedia.org/wiki/Russia" \o "Russia" Russian HYPERLINK "http://en.wikipedia.org/wiki/Tennis" \o "Tennis" tennis star.

March: HYPERLINK "http://en.wikipedia.org/wiki/FBI" \o "FBI" FBI agent HYPERLINK "http://en.wikipedia.org/wiki/Robert_P._Hanssen" \o "Robert P. Hanssen" Robert P. Hanssen is charged with using his computer skills and FBI access to HYPERLINK "http://en.wikipedia.org/wiki/Spy" \o "Spy" spy for the Russians.

March: The HYPERLINK "http://en.wikipedia.org/wiki/L10n_worm" \o "L10n worm" L10n worm is discovered in the wild attacking older versions of HYPERLINK "http://en.wikipedia.org/wiki/BIND" \o "BIND" BIND DNS.

April: FBI agents trick two Russian crackers into coming to the U.S. and revealing how they were cracking U.S. banks.

May:

Spurred by elevated tensions in HYPERLINK "http://en.wikipedia.org/w/index.php?title=Sino-American_diplomatic_relations&action=edit" \o "Sino-American diplomatic relations" Sino-American diplomatic relations, U.S. and Chinese hackers engage in skirmishes of Web defacements that many dub " HYPERLINK "http://en.wikipedia.org/w/index.php?title=The_Sixth_Cyberwar&action=edit" \o "The Sixth Cyberwar" The Sixth Cyberwar".

Crackers begin using HYPERLINK "http://en.wikipedia.org/wiki/%22pulsing%22_zombies" \o "\"pulsing\" zombies" "pulsing" zombies, a new DDoS method that has zombie machines send random pings to targets rather than flooding them, making it hard to stop attacks.

AV experts identify Sadmind, a new cross-platform worm that uses compromised Sun Solaris boxes to attack Windows NT servers.

July: Russian programmer HYPERLINK "http://en.wikipedia.org/wiki/Dmitry_Sklyarov" \o "Dmitry Sklyarov" Dmitry Sklyarov is arrested at the annual Def Con hacker convention. He is the first person criminally charged with violating the Digital Millennium Copyright Act (DMCA).

August: HYPERLINK "http://en.wikipedia.org/wiki/Code_Red_worm" \o "Code Red worm" Code Red worm, infects tens of thousands of machines.

September: The World Trade Center and Pentagon terrorist attacks spark lawmakers to pass a barrage of anti terrorism laws many of which group Hackers as terrorists and remove many long standing personal freedoms in the name of safety.

September: Nimda, a new memory-only worm, wreaks havoc on the Internet, quickly eclipsing Code Red's infection rate and recovery cost.

November:

Microsoft, other major software vendors, and commercial security research organizations propose "responsible disclosure" guidelines as an alternative to "full disclosure" of security vulnerabilities.

The HYPERLINK "http://en.wikipedia.org/wiki/European_Union" \o "European Union" European Union adopts the controversial cybercrime treaty, which makes the possession and use of hacking tools illegal.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=31" \o "Edit section: 2002" edit] 2002

January: HYPERLINK "http://en.wikipedia.org/wiki/Bill_Gates" \o "Bill Gates" Bill Gates decrees that Microsoft will HYPERLINK "http://en.wikipedia.org/wiki/Secure" \o "Secure" secure its products and services, and kicks off a massive internal HYPERLINK "http://en.wikipedia.org/wiki/Training" \o "Training" training and HYPERLINK "http://en.wikipedia.org/wiki/Quality_control" \o "Quality control" quality control campaign.

February: As part of its HYPERLINK "http://en.wikipedia.org/w/index.php?title=Trustworthy_Computing_initiative&action=edit" \o "Trustworthy Computing initiative" Trustworthy Computing initiative, Microsoft shuts down all Windows development, sending more than 8,000 programmers to HYPERLINK "http://en.wikipedia.org/w/index.php?title=Security_training&action=edit" \o "Security training" security training.

April: The HYPERLINK "http://en.wikipedia.org/wiki/U.S._Army" \o "U.S. Army" U.S. Army initiates the " HYPERLINK "http://en.wikipedia.org/w/index.php?title=Mannheim_Project&action=edit" \o "Mannheim Project" Mannheim Project", an effort to better consolidate and secure the military's IT assets from HYPERLINK "http://en.wikipedia.org/wiki/Cyber-warfare" \o "Cyber-warfare" cyber-warfare.

May: HYPERLINK "http://en.wikipedia.org/w/index.php?title=Klez.H&action=edit" \o "Klez.H" Klez.H, a variant of the worm discovered in November 2001, becomes the biggest HYPERLINK "http://en.wikipedia.org/wiki/Malware" \o "Malware" malware outbreak in terms of machines infected, but causes little monetary damage.

June: The Bush administration files a bill to create the HYPERLINK "http://en.wikipedia.org/wiki/Department_of_Homeland_Security" \o "Department of Homeland Security" Department of Homeland Security, which, among other things, will be responsible for protecting the nation's critical HYPERLINK "http://en.wikipedia.org/wiki/Information_technology" \o "Information technology" IT HYPERLINK "http://en.wikipedia.org/wiki/Infrastructure" \o "Infrastructure" infrastructure.

July: An HYPERLINK "http://en.wikipedia.org/wiki/Information_Security" \o "Information Security" Information Security survey finds that most security practitioners favor full disclosure because it helps them defend against hacker exploits and puts pressure on HYPERLINK "http://en.wikipedia.org/wiki/Software" \o "Software" software HYPERLINK "http://en.wikipedia.org/wiki/Vendor" \o "Vendor" vendors to improve their products.

August: Researcher HYPERLINK "http://en.wikipedia.org/w/index.php?title=Chris_Paget&action=edit" \o "Chris Paget" Chris Paget publishes a paper describing " HYPERLINK "http://en.wikipedia.org/wiki/Shatter_attack" \o "Shatter attack" shatter attacks", detailing how Windows' unauthenticated HYPERLINK "http://en.wikipedia.org/w/index.php?title=Messaging_system&action=edit" \o "Messaging system" messaging system can be used to take over a machine. The paper raises questions about how securable Windows could ever be.

September: The HYPERLINK "http://en.wikipedia.org/wiki/White_House" \o "White House" White House's HYPERLINK "http://en.wikipedia.org/wiki/Office_of_Homeland_Security" \o "Office of Homeland Security" Office of Homeland Security releases a draft of the " HYPERLINK "http://en.wikipedia.org/wiki/National_Strategy_to_Secure_Cyberspace" \o "National Strategy to Secure Cyberspace" National Strategy to Secure Cyberspace", which many criticize as being too weak.

October: The HYPERLINK "http://en.wikipedia.org/w/index.php?title=International_Information_Systems_Security_Certification_Consortium&action=edit" \o "International Information Systems Security Certification Consortium" International Information Systems Security Certification Consortium - (ISC)2 - confers its 10,000th HYPERLINK "http://en.wikipedia.org/wiki/CISSP" \o "CISSP" CISSP certification.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=32" \o "Edit section: 2003" edit] 2003

March: HYPERLINK "http://en.wikipedia.org/wiki/Cult_of_the_Dead_Cow" \o "Cult of the Dead Cow" CULT OF THE DEAD COW and HYPERLINK "http://en.wikipedia.org/wiki/Hacktivismo" \o "Hacktivismo" Hacktivismo are given permission by the HYPERLINK "http://en.wikipedia.org/wiki/United_States_Department_of_Commerce" \o "United States Department of Commerce" United States Department of Commerce to export software utilizing strong encryption.

HYPERLINK "http://en.wikipedia.org/wiki/August_23" \o "August 23" August 23: Jesus Oquendo "sil" of AntiOffline releases " HYPERLINK "http://www.infiltrated.net/brat.c" \o "http://www.infiltrated.net/brat.c" BRAT" Border Router Attack Tool as part of "Theories in Denials of Service in an effort to make administrators aware of the possibility of a worm attack tool capable of breaking backbone routes on the Internet

HYPERLINK "http://en.wikipedia.org/wiki/December_18" \o "December 18" December 18: HYPERLINK "http://en.wikipedia.org/w/index.php?title=Milford_Man&action=edit" \o "Milford Man" Milford Man pleas guilty to hacking.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=33" \o "Edit section: 2004" edit] 2004

March: HYPERLINK "http://en.wikipedia.org/w/index.php?title=Myron_Tereshchuk&action=edit" \o "Myron Tereshchuk" Myron Tereshchuk is arrested for attempting to extort $17 million from HYPERLINK "http://en.wikipedia.org/wiki/Micropatent" \o "Micropatent" Micropatent. FBI agents find explosives and biological weapons in the course of the raid.

HYPERLINK "http://en.wikipedia.org/wiki/July_13" \o "July 13" July 13: InformationLeak.net HYPERLINK "http://www.informationleak.net" \o "http://www.informationleak.net" [4] is born and encompasses the ideals held by many of the groups from the so called golden age of hacking.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=34" \o "Edit section: 2005" edit] 2005

HYPERLINK "http://en.wikipedia.org/wiki/September_15" \o "September 15" September 15: An unnamed teenager is sentenced to 11 months for gaining access to HYPERLINK "http://en.wikipedia.org/wiki/T-Mobile" \l "United_States" \o "T-Mobile" T-Mobile USA's network and exploiting HYPERLINK "http://en.wikipedia.org/wiki/Paris_Hilton" \o "Paris Hilton" Paris Hilton's HYPERLINK "http://en.wikipedia.org/wiki/T-Mobile_Sidekick" \o "T-Mobile Sidekick" sidekick. It turned out this teen was also responsible for breaking into data broker HYPERLINK "http://en.wikipedia.org/wiki/LexisNexis" \o "LexisNexis" LexisNexis' system in January.

November 4: Jeanson James Ancheta, who prosecutors say was a member of the "Botmaster Underground", a group of HYPERLINK "http://en.wikipedia.org/wiki/Script_kiddie" \o "Script kiddie" script kiddies who are mostly noted for their excessive use of HYPERLINK "http://en.wikipedia.org/w/index.php?title=Bot_attack&action=edit" \o "Bot attack" bot attacks and propagating vast amounts of HYPERLINK "http://en.wikipedia.org/wiki/Spam_%28electronic%29" \o "Spam (electronic)" spam, was taken into custody after being lured to FBI offices in Los Angeles. HYPERLINK "http://today.reuters.com/news/newsArticle.aspx?type=internetNews&storyID=2006-01-24T005356Z_01_N23349327_RTRUKOC_0_US-CRIME-BOTMASTER.xml" \o "http://today.reuters.com/news/newsArticle.aspx?type=internetNews&storyID=2006-01-24T005356Z_01_N23349327_RTRUKOC_0_US-CRIME-BOTMASTER.xml" [5]

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Timeline_of_hacker_history&action=edit&section=35" \o "Edit section: 2006" edit] 2006

January: One of the few worms to take after the old form of malware, destruction of data rather than the accumulation of zombie networks to launch attacks from, is discovered. It had various names, including HYPERLINK "http://en.wikipedia.org/wiki/Kama_Sutra_%28Internet_worm%29" \o "Kama Sutra (Internet worm)" Kama Sutra (used by most media reports), Black Worm, Mywife, Blackmal, Nyxem version D, Kapser, KillAV, Grew and CME-24. The worm would spread through e-mail client address books, and would search for documents and fill them with garbage, instead of deleting them to confuse the user. It would also hit a web page counter when it took control, allowing the programmer who created it as well as the world to track the progress of the worm. It would replace documents with random garbage on the third of every month. It was hyped by the media but actually affected relatively few computers, and was not a real threat for most users.

February: HYPERLINK "http://en.wikipedia.org/wiki/Direct-to-video" \o "Direct-to-video" Direct-to-video film HYPERLINK "http://en.wikipedia.org/wiki/The_Net" \o "The Net" The Net 2.0 is released, as a sequel to HYPERLINK "http://en.wikipedia.org/wiki/The_Net" \o "The Net" The Net, following the same plotline, but with updated technology used in the film, using different characters, and different complications. The same director of The Net is the director of The Net 2.0.

May: Jeanson James Ancheta receives a 57 month prison sentence, and is ordered to pay damages amounting to $15,000.00 to the Naval Air Warfare Center in China Lake and the Defense Information Systems Agency, for damage done due to DDoS attacks and hacking. He will be on supervised release for three years with limited access to computers and the Internet as he works on repaying those agencies. Ancheta also had to forfeit his gains to the government, which include $60,000 in cash, a BMW, and computer equipment.

September: Viodentia releases FairUse4WM tool which would remove HYPERLINK "http://en.wikipedia.org/wiki/Digital_Rights_Management" \o "Digital Rights Management" DRM information off WMA music downloaded off Yahoo music and Napster.

October: Jesus Oquendo releases HYPERLINK "http://www.infiltrated.net/asteroid/" \o "http://www.infiltrated.net/asteroid/" Asteroid, a SIP Denial of Service testing tool. It broke all versions of Asterisk until 1.2.13. Asteroid is also known to affect certain SIP Softphones, SIP Phones and possibly other products using the SIP protocol. It was used in Henning Schulzrinne's Columbia University seminars. See MITRE CVE-2006-5444 and CVE-2006-5445

(en.wikipedia.org)

Great Hacker War

From Wikipedia, the free encyclopedia

Jump to: HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "column-one" navigation, HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "searchInput" search

Great Hacker War Conflict Great Hacker War Date HYPERLINK "http://en.wikipedia.org/wiki/1990" \o "1990" 1990- HYPERLINK "http://en.wikipedia.org/wiki/1991" \o "1991" 1991 Place HYPERLINK "http://en.wikipedia.org/wiki/Internet" \o "Internet" Internet, HYPERLINK "http://en.wikipedia.org/wiki/X.25" \o "X.25" X.25, and HYPERLINK "http://en.wikipedia.org/wiki/Telephone" \o "Telephone" telephone HYPERLINK "http://en.wikipedia.org/wiki/Computer_network" \o "Computer network" networks across the world. Result A fundamental shift in computer security. Major combatants HYPERLINK "http://en.wikipedia.org/wiki/Legion_of_Doom_%28Hacking%29" \o "Legion of Doom (Hacking)" Legion of Doom

HYPERLINK "http://en.wikipedia.org/wiki/Image:ChrisGoggans.jpg" \o "" HYPERLINK "http://en.wikipedia.org/wiki/Masters_of_Deception" \o "Masters of Deception" Masters of Deception

HYPERLINK "http://en.wikipedia.org/wiki/Image:Abene9_2005.jpg" \o "" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/06.Lich%20su%20Hacker,%20Virus/04.The%20Great%20Hacker%20War.mht!http://upload.wikimedia.org/wikipedia/en/thumb/d/d6/Abene9_2005.jpg/150px-Abene9_2005.jpg" \* MERGEFORMATINET

HYPERLINK "http://en.wikipedia.org/wiki/Image:John_lee_mod.jpg" \o "" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/06.Lich%20su%20Hacker,%20Virus/04.The%20Great%20Hacker%20War.mht!http://upload.wikimedia.org/wikipedia/en/thumb/4/4d/John_lee_mod.jpg/150px-John_lee_mod.jpg" \* MERGEFORMATINET

Victor: HYPERLINK "http://en.wikipedia.org/wiki/Masters_of_Deception" \o "Masters of Deception" Masters of Deception The Great Hacker War was a HYPERLINK "http://en.wikipedia.org/wiki/1990" \o "1990" 1990- HYPERLINK "http://en.wikipedia.org/wiki/1991" \o "1991" 1991 conflict between two HYPERLINK "http://en.wikipedia.org/wiki/Hacker" \o "Hacker" hacker groups: the HYPERLINK "http://en.wikipedia.org/wiki/Masters_of_Deception" \o "Masters of Deception" Masters of Deception (MOD) and a faction of the older guard hacker group HYPERLINK "http://en.wikipedia.org/wiki/Legion_of_Doom_%28hacking%29" \o "Legion of Doom (hacking)" Legion of Doom (LOD). Each side attempted to HYPERLINK "http://en.wikipedia.org/wiki/Hack_%28technology_slang%29" \o "Hack (technology slang)" hack the other's computers across HYPERLINK "http://en.wikipedia.org/wiki/Internet" \o "Internet" Internet, HYPERLINK "http://en.wikipedia.org/wiki/X.25" \o "X.25" X.25, and HYPERLINK "http://en.wikipedia.org/wiki/Telephone" \o "Telephone" telephone HYPERLINK "http://en.wikipedia.org/wiki/Computer_network" \o "Computer network" networks around the world.

Contents

[ HYPERLINK "javascript:toggleToc()" hide]

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "Timeline" 1 Timeline

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "Event_One" 1.1 Event One

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "Event_Two" 1.2 Event Two

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "Event_Three" 1.3 Event Three

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "Event_Four" 1.4 Event Four

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "Epilogue" 1.5 Epilogue

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "Background" 2 Background

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "Legion_of_Doom" 2.1 Legion of Doom

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "Masters_of_Deception" 2.2 Masters of Deception

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "See_also" 3 See also

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "External_links" 4 External links

HYPERLINK "http://en.wikipedia.org/wiki/Great_Hacker_War" \l "References" 5 References [ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=1" \o "Edit section: Timeline" edit] Timeline

The Great Hacker War escalated in the space of only a few days with a series of four key events.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=2" \o "Edit section: Event One" edit] Event One

The Great Hacker War began with the closing of an invite-only bulletin board called "Fifth Amendment", whose participants were some of the most successful hackers the world had ever seen and, curiously, invited members of Federal Enforcement Agencies. It was run by members of the newly reformed HYPERLINK "http://en.wikipedia.org/wiki/Legion_of_Doom_%28Hacking%29" \o "Legion of Doom (Hacking)" LOD under the leadership of HYPERLINK "http://en.wikipedia.org/wiki/Erik_Bloodaxe_%28hacker%29" \o "Erik Bloodaxe (hacker)" Chris Goggans ("Erik Bloodaxe") and HYPERLINK "http://en.wikipedia.org/wiki/Loyd_Blankenship" \o "Loyd Blankenship" Loyd Blankenship ("The Mentor").

The closing of the board had been blamed on HYPERLINK "http://en.wikipedia.org/wiki/John_Threat" \o "John Threat" John Lee ("Corrupt") of the HYPERLINK "http://en.wikipedia.org/wiki/Masters_of_Deception" \o "Masters of Deception" MOD in a cryptic message left to users. Lee had posted messages on the board prior to its closing warning users that the board was a HYPERLINK "http://en.wikipedia.org/wiki/Honeypot_%28computing%29" \o "Honeypot (computing)" honeypot, and pointed out that Chris Goggans (LOD) had been raided, but had not been charged or sent to jail--a common occurrence for individuals who become HYPERLINK "http://en.wikipedia.org/wiki/Informant" \o "Informant" informants in government investigations, in order to continue their illegal activities.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=3" \o "Edit section: Event Two" edit] Event Two

A few HYPERLINK "http://en.wikipedia.org/wiki/Prank_call" \o "Prank call" prank phone calls to the home number of the new LOD upset HYPERLINK "http://en.wikipedia.org/wiki/Erik_Bloodaxe_%28hacker%29" \o "Erik Bloodaxe (hacker)" Goggans and prompted him to put out a call to find the personal information of the members of the HYPERLINK "http://en.wikipedia.org/wiki/Masters_of_Deception" \o "Masters of Deception" MOD. Peacemakers intervened and a conference call was arranged on an unnamed HYPERLINK "http://en.wikipedia.org/wiki/Regional_Bell_Operating_Company" \o "Regional Bell Operating Company" RBOC telephone HYPERLINK "http://en.wikipedia.org/wiki/Network_bridge" \o "Network bridge" bridge in the HYPERLINK "http://en.wikipedia.org/wiki/Midwestern_United_States" \o "Midwestern United States" Midwest. As members of the MOD silently joined the conference call, they overheard the members of the LOD using racial slurs to describe the ethnicity of members of the MOD. The peace conference quickly degenerated into threats and prank calls to members of the LOD, whose personal information had already been uncovered by the MOD.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=4" \o "Edit section: Event Three" edit] Event Three

A last-minute, late-night peace talk was held between Chris Goggans (LOD) and HYPERLINK "http://en.wikipedia.org/wiki/Mark_Abene" \o "Mark Abene" Mark Abene ("Phiber Optik") of MOD. Unbeknownst to Goggans, HYPERLINK "http://en.wikipedia.org/wiki/John_Threat" \o "John Threat" John Lee ("Corrupt") was listening in on HYPERLINK "http://en.wikipedia.org/wiki/Conference_call" \o "Conference call" three-way. Goggans became angry that Abene would not fulfill his numerous demands for the personal information of MOD members, and for the MOD's hacking information that he considered the property of LOD.

Goggans shouted loudly into the phone that Abene would be sorry for consorting with "niggers", "spics", and "white trash". Abene refused to meet Goggans's demands, and Goggans hung up. That night, prank phone calls began to Abene's house and a call went out to the hacker underworld putting a bounty on the heads of MOD members.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=5" \o "Edit section: Event Four" edit] Event Four

The members of the MOD decided to "listen in" on HYPERLINK "http://en.wikipedia.org/wiki/Erik_Bloodaxe_%28hacker%29" \o "Erik Bloodaxe (hacker)" Chris Goggans's phone calls to determine his true motives. Using the undocumented remote headset feature on a HYPERLINK "http://en.wikipedia.org/wiki/DMS-100" \o "DMS-100" DMS-100 phone switch local to Goggans, the MOD overheard what they had suspected in during Event 1. Goggans, Scott Chasin ("Doc Holiday"), and Jake Kenyon Shulman ("Malefactor") had decided to form a security company called HYPERLINK "http://en.wikipedia.org/w/index.php?title=ComSec&action=edit" \o "ComSec" ComSec, feeling that by turning over the Fifth Amendment bulletin board to the FBI and other federal agencies, and by reporting on activities of known hackers (especially their archenemy MOD), they would be able to secure government contracts. They would also contact all the companies that had been mentioned on Fifth Amendment and gain contracts with them by mentioning any exploits or weaknesses that had been discussed or theorized about on the board. The MOD attempted to go public with the information that had been found during this phone call, but it fell on deaf ears as the LOD name was well respected in the hacker community.

These events led the MOD's core members to the conclusion that only a "Great Hacker War" could expose the weakness and true duplicitious intent of Chris Goggans and the LOD, and on that day the war began in earnest. The war saw battles take place across networks around the world.

One key factor that led to the attrition of the LOD's resources in the war was that the MOD had usurped control of all HYPERLINK "http://en.wikipedia.org/wiki/Telephone" \o "Telephone" telephone, HYPERLINK "http://en.wikipedia.org/wiki/X.25" \o "X.25" X.25, and HYPERLINK "http://en.wikipedia.org/wiki/TCP_IP" \o "TCP IP" TCP/IP entry points in Texas, where most LOD members were located. Using these monitoring techniques, the MOD slowly took away all access to systems under LOD control and made them their own.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=6" \o "Edit section: Epilogue" edit] Epilogue

The war subsided after a swift defeat of the LOD. The MOD continued to operate underground with increased power using the resources usurped from the LOD, but their message of LOD's true intentions went mostly ignored by the general hacking community. The MOD's higher profile after their victory brought notoriety in the press, but their growing fame in turn increased monitoring from federal authorities, which would lead to their eventual downfall.

HYPERLINK "http://en.wikipedia.org/w/index.php?title=ComSec&action=edit" \o "ComSec" ComSec was still formed, but folded shortly thereafter from a public scandal involving the HYPERLINK "http://en.wikipedia.org/wiki/Social_engineering_%28security%29" \o "Social engineering (security)" social engineering of rival firms for their rates and services, which made it difficult for the fledgling firm to secure contracts. Jake Kenyon Shulman ("Malefactor"), a founding member of ComSec and a member of the faction of LOD involved in the Great Hacker War, later told HYPERLINK "http://en.wikipedia.org/wiki/Mark_Abene" \o "Mark Abene" Mark Abene ("Phiber Optik") that he was uncomfortable with HYPERLINK "http://en.wikipedia.org/wiki/Chris_Goggans" \o "Chris Goggans" Chris Goggans's habitual practice of informing on active hackers, mostly underage kids, by gaining their trust via the LOD name.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=7" \o "Edit section: Background" edit] Background

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=8" \o "Edit section: Legion of Doom" edit] Legion of Doom

See main article on the HYPERLINK "http://en.wikipedia.org/wiki/Legion_of_Doom_%28hacking%29" \o "Legion of Doom (hacking)" Legion of Doom.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=9" \o "Edit section: Masters of Deception" edit] Masters of Deception

The HYPERLINK "http://en.wikipedia.org/wiki/Masters_of_Deception" \o "Masters of Deception" Masters of Deception (MOD) were a HYPERLINK "http://en.wikipedia.org/wiki/New_York" \o "New York" New York-based multi-ethnic hacker group known for their panache and skill. MOD's strength over past hacking groups stemmed from the approach of hacking networks ( HYPERLINK "http://en.wikipedia.org/wiki/Telephony" \o "Telephony" Telephony-, HYPERLINK "http://en.wikipedia.org/wiki/X.25" \o "X.25" X.25-, and HYPERLINK "http://en.wikipedia.org/wiki/TCP_IP" \o "TCP IP" TCP/IP-based). Instead of hacking individual computers laboriously to gain control, the networks on which the computers rely for data transmission and all hosts on the network will fall. This unique "big picture" approach to hacking allowed the MOD to win all the major skirmishes of the Great Hacker War.

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=10" \o "Edit section: See also" edit] See also

HYPERLINK "http://en.wikipedia.org/wiki/Masters_of_Deception" \o "Masters of Deception" Masters of Deception - One side of the Great Hacker War

HYPERLINK "http://en.wikipedia.org/wiki/Legion_of_Doom_%28Hacking%29" \o "Legion of Doom (Hacking)" Legion of Doom - One side of the Great Hacker War

HYPERLINK "http://en.wikipedia.org/wiki/Erik_Bloodaxe_%28hacker%29" \o "Erik Bloodaxe (hacker)" Chris Goggans ("Erik Bloodaxe") - of note, his involvement with Nahshon Even-Chaim.

HYPERLINK "http://en.wikipedia.org/wiki/Mark_Abene" \o "Mark Abene" Mark Abene ("Phiber Optik") - A member of the MOD

HYPERLINK "http://en.wikipedia.org/wiki/Nahshon_Even-Chaim" \o "Nahshon Even-Chaim" Nahshon Even-Chaim ("Phoenix") - A well respected hacker whose bust may have been directly caused by his association with Chris Goggans

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=11" \o "Edit section: External links" edit] External links

HYPERLINK "http://www.textfiles.com/hacking/modbook4.txt" \o "http://www.textfiles.com/hacking/modbook4.txt" modbook4.txt - The Book of MOD: Part Four: End of '90-'1991

[ HYPERLINK "http://en.wikipedia.org/w/index.php?title=Great_Hacker_War&action=edit&section=12" \o "Edit section: References" edit] References

The Masters of Deception: The Gang that Ruled Cyberspace ( HYPERLINK "http://en.wikipedia.org/w/index.php?title=Special:Booksources&isbn=0060926945" ISBN 0-06-092694-5)

"Gang War in Cyberspace." Wired 2.12 HYPERLINK "http://www.wired.com/wired/archive/2.12/hacker_pr.html" \o "http://www.wired.com/wired/archive/2.12/hacker_pr.html" [1]

"Notorious M.O.D." Wired 9.06 HYPERLINK "http://www.wired.com/wired/archive/9.06/mustread.html?pg=7" \o "http://www.wired.com/wired/archive/9.06/mustread.html?pg=7" [2]

Hacker Vietnam Association (HVA)

LËch sí hacking ViÇt Nam

LÝi nói §u

Nh¯c ¿n hacker, mÍi ng°Ýi h³n liên t°ßng ¿n nhïng g°¡ng m·t tr», hi¿u th¯ng, cùng c·p kính c­n dày cÙm, suÑt ngày ngÓi "ôm" máy tính lÙc cÙc gõ bàn phím?! Nh¯c ¿n hacker có l½ b¡n s½ ngh) ngay ¿n nhïng "chuyên gia" xâm nh­p và phá ho¡i các hÇ thÑng máy tính. H³n b¡n còn nhÛ nhïng h­u qu£ nghiêm trÍng do hacker à l¡i khi hÍ t¥n công vào các hÇ thÑng m¡ng cça các c¡ quan chính phç, các hÇ thÑng máy chç các công ty, viÇn ¡i hÍc lÛn, nhïng hÇ thÑng phåc vå các giao dËch iÇn tí v.v... gây thiÇt h¡i nhiÁu triÇu ô la, cing nh° làm th¥t thoát nhiÁu thông tin quan trÍng.

Và cé m×i l§n có mÙt hÇ thÑng m¡ng hay mÙt website nÕi ti¿ng nào ó bË hack là cé y r±ng b¡n l¡i càng thêm "¥n t°ãng" khi nghe nh¯c ¿n hacker. Không dëng l¡i ß ó, các hacker - c£ giÛi hacker ViÇt Nam - còn ti¿n xa h¡n khi vi¿t các ch°¡ng trình dò tìm n c¯p m­t kh©u các ch°¡ng trình và mã sÑ cça credit card v.v... Tuy nhiên, nhïng iÁu ó chÉ là m·t trái cça v«n Á, ít ai bi¿t r±ng, Ñi l­p vÛi các hacker chuyên phá ho¡i (black hat) ¥y còn có mÙt Ùi ngi các hacker mi tr¯ng (white hat). Và chúng tôi tin ch¯c r±ng vÛi nhïng ng°Ýi ang t­p tÅnh làm quen vÛi CNTT ho·c network ViÇt Nam không h³n ai cing bi¿t ¿n sñ tÓn t¡i cça hÍ, nhïng hacker mi tr¯ng, HackerVN - HVA chân chính! Nào, chúng tôi mÝi các b¡n cùng nhau iÃm l¡i mÙt chút vÁ lËch sí hình thành HackerVN nói chung và HVA nói riêng à bi¿t thêm vÁ viÇc HVA ã chuyÃn të tÕ chéc hacking cñc hïu thuß ban §u sang ho¡t Ùng trong l)nh vñc b£o m­t (security) nh° th¿ nào.

Tr°Ûc tiên, chúng tôi xin tóm l°ãc s¡ qua vÁ lËch sí hình thành, các giai o¡n phát triÃn cça giÛi hacker ViÇt Nam nói chung. Có thà phân chia thành các iÃm mÑc chính sau:

ThÝi công xã nguyên thu÷: Hacker ViÇt Nam, hÍ là ai? À, ó là nhïng anh chàng "chuyên" s°u t§m các virus trên m¡ng d¡ng *.exe, ính kèm (attach) vào email và gíi cho ng°Ýi khác. Th¿ thôi! Nhïng "hacker" này chç y¿u tå t­p ß m¡ng "Trí TuÇ ViÇt Nam" cça FPT, và mÙt ít ß các m¡ng Intranet khác. HÍ có m·t të tr°Ûc khi Internet xu¥t hiÇn t¡i ViÇt Nam, kho£ng të nm 1997 vÁ tr°Ûc.

ThÝi hái l°ãm, sn b¯t: Cing xu¥t phát të m¡ng "Trí tuÇ ViÇt Nam", các user lão luyÇn ã b¯t §u nghiên céu vÁ mÙt thé mÛi mang l¡i cho hÍ nhiÁu lãi ích h¡n: trojan horse, các éng dång m¡ng v.v... ây cing là giai o¡n internet b¯t §u xu¥t hiÇn t¡i ViÇt Nam vÛi måc ích dân dång phÕ thông, kho£ng nm 1997-1998. TiÃu biÃu cho th¿ hÇ này có thà kà [email protected] hay còn gÍi là Trungonly.

ThÝi kó "Ó á": ¿n thÝi kó này thì mÙt sÑ ng°Ýi lên Internet lâu ngày b¯t §u n¯m b¯t mÙt sÑ kù thu­t c¡ b£n vÁ crack, virus v.v... HÍ d§n d§n ngh) ¿n viÇc tå t­p l­p hÙi, nhóm nh±m trao Ói thông tin, ý t°ßng vÁ nhïng kù thu­t ó. Tiêu biÃu có NVH©, Tamk, LPTV, nh°ng th°Ýng thì m×i ng°Ýi v«n gi¥u l¡i nhïng "tuyÇt chiêu" cho riêng mình. Nói chung, mÑi quan hÇ hay tính chuyên nghiÇp trong thÝi kó này còn s¡ khai l¯m, cing nh° ch°a Ënh hình rõ ràng "hacker" là gì? Làm th¿ nào à trß thành hacker? Và ã là hacker thì ph£i làm gì v.v...? Cho ¿n khi HackerVN chính théc thành l­p.

Giai o¡n ng°Ýi hiÇn ¡i (chúng tôi gÍi ây là giai o¡n HackerVN): ánh d¥u b±ng sñ xu¥t hiÇn cça HackerVN. ViÇc truyÁn ¡t các ki¿n théc vÁ l× hÕng b£o m­t v.v... không h¡n ch¿ ã em l¡i mÙt h°Ûng i và séc phát triÃn th§n kó cho tin hÍc ViÇt Nam, ·c biÇt trong l)nh vñc b£o m­t. iÃm nÕi b­t nh¥t cça giai o¡n này là ã b¯t §u xu¥t hiÇn viÇc giÛi hacker trong n°Ûc, g·p gá, hÍc hÏi nhiÁu të nhïng hacker trình Ù cao ß n°Ûc ngoài. Các hacker "ViÇt kiÁu" ã b¯t §u góp m·t. Nhïng ng°Ýi tiêu biÃu ß giai o¡n này có: 13013, Tim, Dark Angel v.v... ây cing là lúc Internet ang d§n t°¡ng Ñi phÕ bi¿n ß ViÇt Nam.

Giai o¡n hãp nh¥t (chúng tôi gÍi ây là giai o¡n HVA): Sñ hãp nh¥t cça HackerVN vÛi CLB m­t mã t¡o nên tên gÍi mÛi, HVA. ViÇc hãp nh¥t hai nhóm hacking lÛn nh¥t thÝi b§y giÝ, cùng vÛi viÇc phÕ bi¿n ¡i trà các ki¿n théc vÁ b£o m­t cça HackerVN ã d«n ¿n "v¥n n¡n account chùa" tëng mÙt thÝi làm iêu éng các ISPs (Internet Service Provider - Nhà cung c¥p dËch vå Internet) và nhïng ng°Ýi sí dång Internet ViÇt Nam. Ai ã tëng tham gia giai o¡n này h³n ã nghe nói: "SÑng vÛi Internet hay ch¿t vÛi VDC" - kh©u hiÇu cça "giáo chç" 13013 "thánh chi¿n" kình chÑng nhau vÛi các ISPs vì giá internet quá cao, ¿n n×i ã có ng°Ýi ·t d¥u hÏi vÁ t°¡ng lai cça Internet ViÇt Nam. Nhïng ng°Ýi tiêu biÃu xu¥t hiÇn trong giai o¡n này có: lthlthp, Zerone v.v...

Biên niên sí HackerVN - HVA

Bây giÝ, chúng tôi xin i sâu h¡n vào biên niên sí cça HackerVN - HVA thân yêu cça chúng ta! Th°a các b¡n! TÕ chéc nào thì cing ph£i tr£i qua mÙt quá trình hình thành và phát triÃn lâu dài n¿u muÑn tÓn t¡i °ãc. HackerVN.net - HVA, mÙt trong nhïng tÕ chéc lÛn nh¥t t¡i ViÇt Nam vÁ l)nh vñc hacking and security, cing không ngoài thông lÇ ó. Chúng ta ã tr£i qua nhïng giai o¡n h¿t séc cam go, nhïng thí thách vô cùng lÛn tr°Ûc khi ¡t °ãc °ãc nhïng thành tñu mà chúng ta ang cùng thå h°ßng nh° ngày hôm nay. Và mong r±ng t¥t c£ chúng ta hãy cùng nhau nhìn l¡i quá khé ó, hiÃu °ãc nó, Ã không ngëng ph¥n ¥u, h°Ûng ¿n mÙt t°¡ng lai tÑt ¹p h¡n cho HVA - HackerVN, cho nÁn CNTT n°Ûc nhà nói chung, và vÁ l)nh vñc hacking and security nói riêng. Nhïng gì chúng ta °ãc Íc ß ây chính là lËch sí mà các b­c àn anh i tr°Ûc ã làm, và nhïng gì chúng ta ang làm bây giÝ cing chính là lËch sí vÛi các th¿ hÇ ti¿p sau ó các b¡n ¡.

ThÝi kó Ç nh¥t cÙng hòa: HackerVN - Cái th°ß ban §u l°u luy¿n ¥y!

T¥t c£ chúng ta Áu bi¿t tr°Ûc khi mang tên HackerVN - HVA nh° hiÇn nay, HVA ã qua nhiÁu giai o¡n phát triÃn vÛi nhiÁu tên gÍi, và nhiÁu "hÙ kh©u" khác nhau. TiÁn thân cça HVA là forum HackerVN, l§n §u °ãc °a lên m¡ng và l°u trï t¡i Ëa chÉ www.thefreeforum.com/hackervn/ - ó là vào kho£ng tháng 5, 6 nm 1999. Måc ích thành l­p cça forum là qu£ng bá ki¿n théc vÁ IT nói chung và các ki¿n théc vÁ l× hÕng b£o m­t, hacking nói riêng trong iÁu kiÇn internet ViÇt Nam còn ch°a °ãc phÕ bi¿n rÙng. Nhïng nhân v­t chính ki¿n t¡o nên HVA lúc này ph£i kà ¿n 13013 và Dark Angel.

Tuy nhiên, vëa khai tr°¡ng ch°a ¿n mÙt tu§n, admin lúc ó cça HackerVN là "13013" ã công bÑ mÙt l×i b£o m­t nghiêm trÍng cça thefreeforum, và k¿t qu£ là website này sau ó ph£i t¡m óng cía. Và th¿ là ho¡t Ùng cça HackerVN cing t¡m dëng nên buÙc ph£i dÝi hÙ kh©u sang ch× khác an toàn h¡n. RÓi thÝi gian ti¿p theo chúng ta nghe nói ¿n HackerVN qua nhïng Ëa chÉ thân quen nh° braveman.hypermart.net rÓi zerone.hypermart.net v.v...

Cing trong thÝi gian này, HackerVN nÕi danh vÛi vai chính trong cái gÍi là "c¡n sÑt forum" t¡i ViÇt Nam. Ngay të r¥t sÛm, khoàng cuÑi tháng 6, §u tháng 7 nm 1999, HackerVN °ãc xem là mÙt trong nhïng forum §u tiên cça ViÇt Nam sí dång UBB (Ultimate Bulletin Board) à code forum cho riêng mình, vÛi nhiÁu chéc nng h¡n h³n nhïng Ñi thç cùng l)nh vñc °¡ng thÝi nh°: CLB m­t mã, HKC, Vncracking v.v... iÁu này em l¡i cho HackerVN sñ nÕi ti¿ng, sñ phát triÃn nh£y vÍt ¿n không ngÝ, và kéo theo ó là l°ãng thành viên tham gia ông £o. HackerVN nhanh chóng trß thành mÙt trong th¿ lñc hùng m¡nh nh¥t trong làng hacking ViÇt Nam. Không nhïng th¿, HVA còn là mÙt trong sÑ ít nhïng website phi th°¡ng m¡i ViÇt Nam có domain riêng: www.hackervn.com, kà të 1999. Tóm l¡i, HackerVN ã có mÙt b°Ûc khßi §u khá tÑt ¹p, khi gia nh­p làng hacking ViÇt Nam.

ThÝi kó Ç nhË CÙng hòa: HackerVN hãp nh¥t - CuÙc "cách m¡ng" Sex và Account chùa!

Giai o¡n mÛi này °ãc ánh d¥u b±ng sñ kiÇn nÕi ình nÕi ám nh¥t trong làng hacking lúc b¥y giÝ là HackerVN cùng vÛi CLB m­t mã (do Trungonly làm trùm) ã hãp nh¥t làm mÙt và Õi tên gÍi mÛi HVA, domain là hackervn.org. Sñ hãp nh¥t này ã gia tng thêm nhiÁu séc m¡nh cho tÕ chéc HVA mÛi. M·c nhiên, HVA ti¿p tåc °ãc xem là mÙt trong nhïng tÕ chéc hacking lÛn nh¥t t¡i ViÇt Nam cing nh° toàn cõi ông D°¡ng lúc b¥y giÝ :-) ThÝi iÃm này thì ß ViÇt Nam ã xu¥t hiÇn khá nhiÁu tÕ chéc ho¡t Ùng trong l)nh vñc hacking và cracking. Cing c§n l°u ý là tuy có xu¥t hiÇn nhiÁu th­t, nh°ng không hÁ có "chi¿n tranh" giïa các tÕ chéc vÛi nhau.

Sau khi hãp nh¥t, v°¡ng triÁu HVA °ãc ·t d°Ûi sñ iÁu khiÃn cça "trùm sò" 13013 và Trungonly, các ho¡t Ùng thì v«n tuân theo nhïng tiêu chí Á ra thí¡ ban §u. Tuy nhiên, vào thÝi iÃm mà "giá c°Ûc internet còn ¯t h¡n vàng", và quan trÍng h¡n là do cung cách tÕ chéc qu£n lý, Ùi ngi qu£n trË forum ch°a có nhiÁu kinh nghiÇm, n¿u không muÑn nói là qu£n lý quá kém, Óng thÝi l¡i ch°a t¡o °ãc Ënh h°Ûng ho¡t Ùng nghiêm túc, nên các thành viên cça HVA nhanh chóng bË lôi vào vòng xoáy cça cái gÍi là "v¥n n¡n account chùa", gây nên khá nhiÁu thiÇt h¡i cho các cá nhân, ¡n vË, tÕ chéc v.v... Các hacker "thu§n" mi en ã ti¿n hành phát tán, tuyên truyÁn account chùa, sex, bommail v.v... mÙt cách iên cuÓng nh° là à chéng minh mình vÛi th¿ giÛi bên ngoài r±ng HackerVN - HVA ã có m·t và ang tÓn t¡i. Không chÉ có th¿, mÙt sÑ thành viên còn liên ti¿p t¥n công vào hÇ thÑng các websites ViÇt Nam b¥t kà lý do v.v...

ây có thà nói là thÝi gian "diÅu võ, gi°¡ng oai", mÙt kiÃu thà hiÇn cái "tôi", cái "ngông" cça tuÕi tr» bÓng bÙt, hi¿u th¯ng cça HVA vÛi bàn dân thiên h¡ v.v... Và cing ch³ng có gì l¡ khi HackerVN bË các ph°¡ng tiÇn truyÁn thông, nhïng công dân ng°Ýi sí dång internet ViÇt Nam chÉ trích n·ng nÁ tr°Ûc nhïng ho¡t Ùng có thà nói là h¿t séc phi pháp ó! NhiÁu ng°Ýi lúc ó ã ·t d¥u hÏi ph£i chng internet ViÇt Nam ã i vào ngõ cåt. Tr°Ûc áp lñc ó, các c¡ quan chéc nng có th©m quyÁn ã m¡nh tay xí lý các hành vi vi ph¡m cça HVA (và nhiÁu tÕ chéc khác ho¡t Ùng trong cùng l)nh vñc). MÙt vài ng°Ýi (không ph£i member chính théc cça forum) ã bË c¡ quan công an "sÝ gáy", riêng forum thì bË firewall&

Nh°ng ó không ph£i là òn m¡nh cuÑi cùng giáng vào HackerVN - HVA, ngày 13/06/2001 - ngày Ënh mÇnh, nh°ng cing là cÙt mÑc ánh d¥u sñ bi¿n chuyÃn trong ho¡t Ùng cça HVA - hackervn.org bË hack, và bË mÙt ng°Ýi tên vnhacker (lúc ó có tin Ón là phái nï, nh°ng th­t ra "trm ph§n trm& ñc rña", h×n danh là Thçy - [email protected]) deface b±ng nhïng ngôn të làm tan nát cõi lòng nhïng ai yêu quý HVA chúng ta!

ThÝi kó Ç tam công hòa: Khçng ho£ng - Suy thoái - Tan rã

Sau l§n ó, HVA ã g§n nh° såp Õ, "tái tê" trong sñ "h£ hê" cça giÛi CNTT và ng°Ýi sí dång internet ViÇt Nam - vÑn ác c£m vÛi HVA tr°Ûc ây chÉ vì "¡i dËch" account "chùa", vì cái CLB m­t mã ­m ch¥t "chùa mi¿u" ¥y! R¥t nhiÁu anh em - kà c£ các "trùm" - sinh ra n£n lòng nên ã "ría tay gác ki¿m", có ng°Ýi i du hÍc, có chàng làm design, có k» vÁ vÛi VDC/FPT v.v...

Có thà nói ây là thÝi kó "en tÑi" nh¥t trong lËch sí HVA. VÛi sÑ anh em ít Ïi còn l¡i, cùng sñ cÑ g¯ng cça Onin, Zerone, TTL, forum ã °ãc trß l¡i ho¡t Ùng, tuy khá ch­p chÝn, có lúc ph£i t¡m ng°ng. Forum ã °ãc c£i ti¿n t¡o nhiÁu sñ Õi mÛi so vÛi thÝi kó tr°Ûc, ·c biÇt là vÁ nÙi quy, °Ýng lÑi ho¡t Ùng v.v... nh°ng do Ënh h°Ûng không kËp thÝi nên dù h¡n ch¿ °ãc r¥t nhiÁu n¡n account chùa, sex, thì v«n v°Ûng ph£i tình tr¡ng hack lung tung các website khác, ·c biÇt là hack các site chính thÑng cça ViÇt Nam mà không thà nào kiÃm soát nÕi. Lúc này sÑ l°ãng thành viên còn l¡i r¥t ít, thành viên mÛi thì không nhiÁu, nh°ng l¡i hay x£y ra viÇc "chíi bÛi", chÉ trích l«n nhau, làm m¥t tình oàn k¿t trong sÑ anh em ít Ïi còn l¡i này.

Nói tr¯ng ra, ho¡t Ùng cça HVA thÝi gian này chÉ mang tính c§m cñ chÝ ãi thÝi c¡ phåc h°ng! Và ã có lúc ng°Ýi ta t°ßng trên b£n Ó hacking ViÇt Nam s½ không còn tÓn t¡i cái tên HVA nïa. Nh°ng iÁu áng nói h¡n c£ là sñ trÕi d­y cça Viethacker (VHF) vÛi hành Ùng "âm sau l°ng chi¿n s) " không thà ch¥p nh­n °ãc cça hÍ. Không hiÃu vì lý do gì mà VHF ã ngang nhiên t¥n công HVA (ang host ß can-host.com) mà không hÁ tuyên chi¿n. iÁu này vi ph¡m tr¯ng trãn lu­t b¥t thành vn trong làng hacker ViÇt Nam: "Không xen vào công viÇc nÙi bÙ, không xâm h¡i l«n nhau giïa các tÕ chéc hacking ViÇt Nam". Và ây chính là iÃm mÑc kh¡i màu cho "chi¿n tranh" giïa hai tÕ chéc sau này. Sau l§n bË t¥n công ó, HVA t¡m dëng ho¡t Ùng, còn domain hackervn.org cing ã không cánh mà bay.

Tóm l¡i, ây là kho£ng thÝi gian mà ai trong sÑ chúng ta ß ây cing không muÑn g·p l¡i, nh°ng dù gì thì chúng ta cing ph£i can £m nhìn l¡i à th¥y r±ng HVA ã ph£i ph¥n ¥u r¥t nhiÁu à có °ãc nhïng thành tñu nh° ngày hôm nay, và t¥t c£ chúng ta ph£i trân trÍng vì iÁu ó! Thay m·t các anh em, xin °ãc nói lÝi tri ân ¿n nhïng anh em chi¿n hïu ã h¿t lòng cùng vÛi HVA sÑng và v°ãt qua giai o¡n h¿t séc khó khn và §y thí thách này. Chính nhïng cÑ g¯ng này cça anh em ã là Ùng lñc giúp HVA chúng ta có thà mß ra mÙt trang sí mÛi, mÙt giai o¡n phát triÃn mÛi ß nhïng thÝi kó ti¿p theo.

ThÝi kó Ç té cÙng hòa: Ùc l­p, Tñ chç, và làn gió Õi mÛi!

Vâng, thÝi kó khçng ho£ng ó °ãc ch¥m dét b±ng mÙt sñ kiÇn lÛn diÅn ra vào mÙt chiÁu cuÑi ông l¡nh l½o cça nm 2001. MÙt trang sí mÛi cça HVA °ãc mß ra - HVA tái xu¥t giang hÓ d°Ûi sñ "ch¥p chính" cça hai lãnh tå là admin TriÇu Tí Long, và admin JAL. HVA ã chính théc sí dång domain mÛi hackervn.net, và "sang" h¡n là ã có thà quên i cái c£nh "n nhÝ ß ­u" khi "s¯m" server riêng - A Dedicated Server! ây °ãc xem là nét ch¥m phá mÛi, nó thÕi vào mÙt luÓng gió mÛi, héa h¹n mß ra mÙt t°¡ng lai mÛi: thÝi kó Ùc l­p và tñ chç cça HVA.

Trong l§n trß l¡i này, HVA ã mang bên mình mÙt phong cách mÛi, mÙt Ùi ngi lãnh ¡o mÛi, mÙt dàn "c§u thç" mÛi, nhïng lu­t lÇ, nÙi quy có nhiÁu mÛi m» và thñc sñ nghiêm túc. Rút kinh nghiÇm të nhïng sai l§m khi không °ãc Ënh h°Ûng ho¡t Ùng ß forum ci, Ënh h°Ûng mÛi cça cça forum ã nhanh chóng °ãc thi¿t l­p: "PhÕ bi¿n, nâng cao ki¿n théc vÁ b£o m­t CNTT cho mÍi ng°Ýi, và Óng thÝi vÛi viÇc kh¯c phåc nhïng h­u qu£, sai trái mà HackerVN (ci) ã gây ra". Song song, BQT mÛi cça HVA ã thi¿t l­p và thi hành nhiÁu lu­t lÇ r¥t nghiêm túc nh°: khi xâm nh­p mÙt website hay mÙt hÇ thÑng m¡ng nào ó thì không °ãc sía Õi (deface); xóa (delete) nÙi dung, dï liÇu; tìm °ãc l× hÕng b£o m­t (security holes) nào thì không thông báo công khai mà ph£i báo cho webmaster, và n¿u có thà thì giúp hÍ sía l×i (fix) v.v... RÓi nhïng "chi¿n tích" mÙt thÝi vang bóng nh°: sex, account chùa, và mÛi ây là credit chùa v.v... Áu liÇt vào "sách c¥m". ó không chÉ là nÙi quy trên gi¥y mà ã °ãc BQT thñc hiÇn r¥t nghiêm túc, tính pháp ch¿ ã °ãc thi¿t l­p và thi hành r¥t ch·t ch½ trên toàn diÅn àn. iÁu ó thà hiÇn quy¿t tâm cça BQT và toàn thà members nh±m xây dñng mÙt HVA Õi mÛi, vì quyÁn lãi cça mÍi ng°Ýi, và vì sñ phÓn vinh cça CNTT ViÇt Nam.

NhÝ nhïng quy¿t tâm ó, ho¡t Ùng cça HVA ã khßi s¯c lên h³n, các thành viên ci ã d§n d§n tìm l¡i vÛi mái ¥m nm nào, các thành viên mÛi b°Ûc §u cing tham gia khá nhiÁu. Ùi ngi BQT forum bÕ sung thêm nhiÁu anh tài tu¥n kiÇt nh°: Zerone, UFO, Beowulf, Mixter, và nhiÁu nhïng nhân v­t "sëng sÏ" khác nh°: heineken, nbthanh, mirro, luke v.v... Ùi ngi super/moderator/elite cing °ãc bÕ sung thêm nhiÁu "cao nhân" mÛi, r¥t tài nng, a d¡ng trong phong cách, t¥t c£ hÍ Áu nhiÇt huy¿t vÛi ho¡t Ùng cça diÅn àn. Cing không thà không kà ¿n nhiÁu "©n s)", nhiÁu members khác ã cÑng hi¿n séc lñc cho diÅn àn mà chúng tôi không thà kà h¿t tên tuÕi, sñ óng góp lÛn lao cça hÍ vì t°¡ng lai t°¡i sáng cça HVA thân yêu.

Giai o¡n này cing x£y ra mÙt sñ kiÇn áng chú ý trong làng hacker ViÇt Nam. ó là "¡i hÙi hacker ViÇt Nam" - tÕ chéc t¡i Hà NÙi, ngày 1.11.2002, do VHF éng ra tÕ chéc. Vì nhiÁu lý do, nh¥t là do sñ b¥t c­p, tính "xôi thËt" cça ban tÕ chéc nên HVA ã t©y chay không tham dñ. Các thành viên HVA n¿u có m·t ß ó thì chÉ là vÛi t° cách cá nhân, còn b£n thân HVA hoàn toàn không có dính dáng gì ¿n sñ kiÇn này c£.

MÙt v¥n Á mà các b¡n cing h¿t séc quan tâm ó là các cuÙc "chi¿n tranh" cça HVA. Kà të giai o¡n này, b£o m­t cça HVA ã v°¡n tÛi Énh cao nh¥t trên "toàn cõi" hÇ thÑng m¡ng ViÇt Nam. HVA không còn tình tr¡ng "dÝi nhà" hay bË "Ùt nh­p" nïa, dù thñc t¿ không ngày nào là không bË t¥n công, tình tr¡ng DoS, flood& h§u nh° x£y ra liên miên không dét. L§n duy nh¥t HVA "bË hack" là khi domain hackervn.net bË VHF l¥y m¥t do sñ ti¿p tay h¿t séc phi pháp cça mÙt tÕ chéc Internet trong n°Ûc và sñ b¥t c©n không áng có cça c¡ quan qu£n lý domain HVA, dù tr°Ûc ó HVA ã nhiÁu l§n c£nh báo vÛi hÍ vÁ nhïng l× hÕng nguy hiÃm trên hÇ thÑng cça hÍ. VHF ã lãi dång viÇc chi¿m o¡t °ãc domain này à ra các tuyên cáo h¿t séc sai sñ th­t nh°: viÇc hãp nh¥t cça HVA và VHF, VHF ã hack °ãc HVA v.v... Trong khi sñ th­t thì server cça HVA lúc này vïng vàng h¡n bao giÝ h¿t. VHF ã không xâm nh­p °ãc vào nên chÉ có thà "i d¡o" lòng vòng ß ngoài rÓi tìm cách hack domain (vÑn không thuÙc quyÁn qu£n lý hay nh­n °ãc °ãc sñ b£o vÇ trñc ti¿p cça HVA) rÓi rêu rao nhïng thông tin h¿t séc sai lÇch không xéng vÛi t° cách, vÛi nhïng gì mà hÍ ã hô hào vÁ hÍ. Còn nhÛ cing t¡i ¡i hÙi 1.11, MicrosoftVN - admin VHF - cing ã công khai thëa nh­n r±ng là anh ta không tài nào hack °ãc HVA. V­y mà...

Chúng tôi xin m¡n phép m°ãn lÝi cça cÑ nh¡c s) DiÇp Minh TuyÁn à nói lên béc xúc cça HVA tr°Ûc nhïng hành Ùng gây h¥n cça VHF:

"Dù r±ng Ýi ta thích hoa hÓng,

K» thù buÙc ta ôm cây súng"

Vâng, chúng tôi muÑn hòa bình, chúng tôi không muÑn x£y ra xung Ùt vÛi VHF hay các tÕ chéc khác! Nh°ng sñ Ýi âu có °ãc nh° ý chúng tôi mong muÑn! Chúng tôi thích hoa hÓng mà hÍ l¡i muÑn chúng tôi ph£i ôm kh©u súng à kình chÑng nhau vÛi hÍ. éng tr°Ûc tình hình ó, BQT HVA - không còn cách nào khác - quy¿t Ënh s½ dùng chính cách mà VHF ã sí dång à Ñi phó l¡i vÛi VHF - téc là s½ hack à l¥y l¡i domain ché không ti¿n hành kiÇn cáo gì c£! Và k¿t qu£ nh° th¿ nào thì các b¡n cing ã rõ - chúng ta ã thành công! Không nhïng th¿ chúng ta còn d¡y cho VHF mÙt bài hÍc - bài hÍc "Ñi nhân xí th¿", bài hÍc làm ng°Ýi, b±ng cách hack l¥y toàn bÙ kho£ng chåc domain cça hÍ, Óng thÝi chi¿m l¥y toàn bÙ database, khi¿n cho VHF không bi¿t ¿n bao giÝ mÛi ngóc §u lên °ãc. ây là mÙt k¿t cåc h¿t séc phù hãp, nhïng k» gieo gió thì ph£i nh­n g·t l¥y bão thôi. VHF vÑn chuyên i hack các site khác à bÕ sung vào bÙ s°u t­p "thành tích" phá ho¡i cça hÍ thì bây giÝ hÍ bË hack l¡i cing không có gì là l¡ c£. Gieo gió thì g·t bão - ó là quy lu­t cça muôn Ýi. VHF ã làm nhïng gì thì nay hÍ ph£i nh­n l¥y k¿t qu£ ó!

ThÝi kó Ç ngi cÙng hòa: Quá Ù të hacking sang security! ThÝi cñc thËnh! Hd

v

| † ˆ Ú®†Ì¢ª!0!à$8%Ø%*&ø'>(¶,¾,ü,z-¨-¸.À0Ê0Ì0.1 7ª7¬7„<Ô<Þ<à<v@Â@FXFbFdF2G4GÞGàGëÙÊÙÊÙʹÊÙÊÙʦÊÙÊ"ÊÙÊÙʦÊÙÊ"ÊÙʹÊÙʹÊÙʹÊÙÊÙʹ¹)jhRF„h'oCJ OJQJU^JaJ "hRF„h'o6CJOJQJ]aJ%hRF„h'oB* CJOJQJaJphÿ¥ hRF„h'oCJ OJQJ^JaJ hRF„h'oCJOJQJaJ"hRF„h'o5CJOJQJ\aJ(hRF„h'o5B*CJ$OJQJaJ$phÿ1HJˆ ¢¼ÖÚÌ0*1.1¬7Ú7ô7+8@8'8Æ8ß8÷899‹9:r:Œ:úúúÛÛÛÛúÛÛúÛÛÛÛÛÛÛÛÛÛÛÛÛÛ-

Æ2"( ¼

P äx

4 È#\'ð*„.2¬5@9gd'ogd'oB‰ ýŒ:;...;<€<„<à<Ä=S>Å>/?¥?@r@[email protected]ÅH,I-I

JJ"J¦ZÎZàààààÛààààààààÛààààààààÛàgd'o-

Æ2"( ¼

P äx

4 È#\'ð*„.2¬5@9gd'oàG,H-H/H0H†H‡HÃHÄH"JNKPKüKþK;L<L>LDNšZ¤Z¦Z¦câcôcþcd'd deëÖÅÖÅÖëÖŶ£¶££¶}¶k¶Å¶Y¶Y¶I¶-hRF„h'o>*CJOJQJaJ"hRF„h'o6CJOJQJ]aJ"hRF„h'o5CJOJQJ\aJ%hRF„h'oB*CJOJQJaJphÿ$hRF„h'o>*B*CJOJQJphÿ%jhRF„h'oCJOJQJUaJhRF„h'oCJOJQJaJ hRF„h'oCJ OJQJ^JaJ )jhRF„h'oCJ OJQJU^JaJ (hRF„h'o>*B*CJ OJQJ^JphÿÎZÒZ-[

\l\«\

]L]®]ú]9^›^æ^&_ˆ_È_*'i'Ë'-aaÎa'bÞb¢c¦cààààààààààààààààààààààààà-

Æ2"( ¼

P äx

4 È#\'ð*„.2¬5@9gd'oe effjÆjôjk

k kFnNn

oZo\o^oôoöoþopppppbpïàÎà¼àÎà©à©à¼à-à-}-àmaSB h'oh'o5B*OJQJphÿh'o5B*OJQJphÿhRF„h'o5OJQJ-hRF„h'o5CJOJQJaJ0hRF„h'o56>*B*CJOJQJ\]phÿ%jhRF„h'oCJOJQJUaJ%hRF„h'oB* CJOJQJaJphÿ¥"hRF„h'o6CJOJQJ]aJ"hRF„h'o5CJOJQJ\aJhRF„h'oCJOJQJaJ-hRF„h'o>*CJOJQJaJ¦cppbpdp¤ìîö4>B†FˆG¢GâGlH-HÆH0I4IJ™'™"™-™j¥úúúúúúúúÛÛÛúÛÛÛÛÛÛÛÛúúúúú-

Æ2"( ¼

P äx

4 È#\'ð*„.2¬5@9gd'ogd'obpdpˆp€wx6z^z¸zÀzªÌò‚ ƒt†-†ÜˆøˆnŠŠ'™š™4œ-œx¢@£N£®£¼£X¤f¤x¤Æ±0²¨²^³ì'.µ4µXµb·j·¹4¹Ä¼¨½-¿š¿>ÌFÌ‚ã†ã>îFî'üýÜþ ÿÜÿÖÆ|óåÚÌÚåÚ½ÚåÚåÚåÚåÚåÚ½ÚåÚ̮̮̮ÌÚåÚÌÚÌ®ÌÚ½ÚåÚåÚŸÚ½ÚŸÚ½ÚåÚåÚåÚåÚåh'oh'oB*OJQJphÿh'oh'o6>*OJQJ]h'oh'oB* OJQJphÿ¥h'oh'o6OJQJ] h'oh'oOJQJh'oh'o5OJQJ\h'oh'oOJQJ\>|Þ

ò

ö

þ

öþî ö -æèꀂŠŒ¢êFŒêôöBD $!ü(˜*7 7-AõçõØõØõØõÊõ»õ»¦»õšõˆyˆyˆyhyˆyVyˆy"h'oh'o6CJOJQJ]aJ h'oh'oCJ OJQJ^JaJ h'oh'oCJOJQJaJ"h'oh'o5CJOJQJ\aJh'oh'o5OJQJ)h'oh'o56B*OJQJ\]phÿjh'oh'oOJQJUh'oh'o6OJQJ]h'oh'oB* OJQJphÿ¥h'oh'o5OJQJ\ h'oh'oOJQJ!-AüAzF„F†F4IˆM@NDp\pðT€€€²€Ê€2T‚'‚Ä...î... ‡"‡¨‡ª‡ü‡þ‡˜0˜L˜œ˜ž˜ ˜6™8™@™B™H™J™îßÍß¼ßÍßÍßîßîßîßÍßÍß©ß©-©ßîßîß©ß©}©ßqh'oh'o5OJQJ0h'oh'o56>*B*CJOJQJ\]phÿ$h'oh'o>*B*CJOJQJphÿ%jh'oh'oCJOJQJUaJ h'oh'oCJ OJQJ^JaJ "h'oh'o5CJOJQJ\aJh'oh'oCJOJQJaJ"h'oh'o6CJOJQJ]aJ%J™'™'™^¥h¥j¥£©Pª¦­z±Š±ä±ò±J²V²~³Œ³®Å¸ÅºÅÝɸÍÎXÒ¨ÒªÒ¬ÒBÓDÓLÓNÓTÓfÓhÓëÙÊÙʹÊÙÊÙÊÙÊÙÊÙÊÙʹʧʧÊ"Ê"{"Êk_h'oh'o5OJQJ-h'oh'o5CJOJQJaJ0h'oh'o56>*B*CJOJQJ\]phÿ%jh'oh'oCJOJQJUaJ"h'oh'o6CJOJQJ]aJ h'oh'oCJ OJQJ^JaJ h'oh'oCJOJQJaJ"h'oh'o5CJOJQJ\aJ(h'oh'o5B*CJ$OJQJaJ$phÿ!j¥Œ¥¦¥¦¦9¦~¦-¦¯¦È¦Ê¦D§µ§.¨š¨©x©¡©£©ºÅúÅ

Æ;ÆPÆpÆÒÆààààààààààààààààààÛààààààgd'o-

Æ2"( ¼

P äx

4 È#\'ð*„.2¬5@9gd'oÒÆçÆÿÆÇÇ-ÇÈ‚ÈÔÈ?ɲÉÛÉÝÉhÓ°Ó²ÓL؊ؤØ$ÙTنٰÙ'ÙLÚŒÚààààààààààààÛÛÛÛàààààààÛàgd'o-

Æ2"( ¼

P äx

4 È#\'ð*„.2¬5@9gd'ohÓ®Ó°ÓÆÓöÔÕ@ØJØLØ'Ù@ÚJÚLÚ˜ÜpÞ|Þ:ôNô'úØúìúûF„ʘn

x

z

œ

¶

À

Â

-

@\^ˆŠŽïÙǸǸǸ§¸Ç¸§¸Ç¸Ç¸Ç¸Ç¸•¸•¸Ç¸§¸Ç¸§¸••i•*h'oh'o6>*B*CJOJQJ]phÿ+jh'oh'o6CJOJQJU]aJ"h'oh'o6CJOJQJ]aJ h'oh'oCJ OJQJ^JaJ h'oh'oCJOJQJaJ"h'oh'o5CJOJQJ\aJ+h'oh'o5B*CJOJQJ\aJphÿ h'oh'o5B*OJQJphÿ)ŒÚ¦ÚÛ.ÛnÛîÛ ÜP܂܆Ü"ܘÜz

˜

œ

Â

'

-

~&Æ&È&_J_N_ÈwxàààààààààààÛààÛààÛÛÛÛààÛÛgd'o-

Æ2"( ¼

P äx

4 È#\'ð*„.2¬5@9gd'oŽJ L ¢¤ÎЀ‚æè

E-F-'-a-

#0#z$Ö$p%À%Â%Ä%Z&\&d&f&j&|&~&Ä&Æ&ñÞñÞËÞñÞñÞËÞñÞñÞËÞñ¹ñ¹ñ¹ñÞñÞ Þñ„s]+h'oh'o5B*CJOJQJ\aJphÿ h'oh'o5B*OJQJphÿh'oh'o5OJQJ-h'oh'o5CJOJQJaJ0h'oh'o56>*B*CJOJQJ\]phÿ"h'oh'o6CJOJQJ]aJ$h'oh'o>*B*CJOJQJphÿ%jh'oh'oCJOJQJUaJh'oh'oCJOJQJaJ#Æ&Ú&L,Ž/N1¶17î72JFJdX€XfY¼Yö^__N_la-aeeºh

iÚklZm~m¼pŠqÀrÈrârêrÒtætêtòt&v(v†vˆv²v'vºv

w

w w¤w¦wîßÍßîßîßîßîßÍßîß¼ßÍßîßÍßÍßÍßÍßîß©ßîß©ß-ß-ƒ-ßÍß-ß-$h'oh'o>*B*CJOJQJphÿ%jh'oh'oCJOJQJUaJ%h'oh'oB* CJOJQJaJphÿ¥ h'oh'oCJ OJQJ^JaJ "h'oh'o6CJOJQJ]aJh'oh'oCJOJQJaJ"h'oh'o5CJOJQJ\aJ1¦w®w°w'wÆwÈw xx0xÖ}Ü}

ƒº„Ä„Æ„ ...'˜¾˜À˜™˜œ œçÔŵ©˜‚pÅpÅ^ÅpÅMÅpÅMÅ:%h'oh'oB* CJOJQJaJphÿ¥ h'oh'oCJ OJQJ^JaJ "h'oh'o6CJOJQJ]aJ"h'oh'o5CJOJQJ\aJ+h'oh'o5B*CJOJQJ\aJphÿ h'oh'o5B*OJQJphÿh'oh'o5OJQJ-h'oh'o5CJOJQJaJh'oh'oCJOJQJaJ%jh'oh'oCJOJQJUaJ0h'oh'o56>*B*CJOJQJ\]phÿxxÆ„...... ...À˜™™™²œ 4­|­ˆ­Œ­ÈNÈXÈ\ÈX٠٪ٮÙÐÙúúÛÛÛúÛÛÛúÛÛúÛÛÛúÛÛÛúÛÛÛú-

Æ2"( ¼

P äx

4 È#\'ð*„.2¬5@9gd'ogd'o œ¦œ°œ²œ ¾Âr£Â£ô£ ¤ø§p¨(­2­4­Œ­Üµäµh¾v¾HÀtÀœÀªÀºÅôÅúÇÈÈ\È8ËšË*жÐÑRÑŠÑÐÑäÑÒ4ÒRÒLÙVÙXÙ®ÙÄÙÎÙÐÙ ÚªÞþÞ&ß.ß^ߘßHáZáüá â~â†â°âÂâ:æNæñßñÎñßñ¼ñßñßñßñÎñ©ñßñßñßñßñßñÎñ¼ñßñ¼ñ¼ñ¼ñßñßñÎñßñÎñßñ©ñßñßñßñ©ñßñß%h'oh'oB* CJOJQJaJphÿ¥"h'oh'o6CJOJQJ]aJ h'oh'oCJ OJQJ^JaJ "h'oh'o5CJOJQJ\aJh'oh'oCJOJQJaJBÐÙÚÚ Úbývý"ý-ýæFG àààÛÛÏÏϽx½Ekdä $$If--ÖÓÿc€

6 "øÿ"øÿ"- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'o$„øÿ„øÿ& #$/„-Ifgd'o

¤d ¤d[$\$gd'ogd'o-

Æ2"( ¼

P äx

4 È#\'ð*„.2¬5@9gd'o

Næ éÊé²ì

íÐïâïÖñ

òúò óóó@õ\õbõjõòöôöV÷X÷†÷ˆ÷Ž÷-÷òú0ûÎûÜû-üÂübýtývý"ýèýêýTþVþñßñÍñÍñßñÍñºñÍñºñ§ñ§"§ñºñÍñÍñÍñ„xcñ§ñ§(h'oh'o5B*

CJ(OJQJaJ(ph€h'oh'o5OJQJ-h'oh'o5CJOJQJaJ$h'oh'o>*B*CJOJQJphÿ%jh'oh'oCJOJQJUaJ%h'oh'oB* CJOJQJaJphÿ¥"h'oh'o5CJOJQJ\aJ"h'oh'o6CJOJQJ]aJh'oh'oCJOJQJaJ&VþnþˆþŠþæèBEFGHž¨© "hj 02$&ÂÄÆÈÊÌúü QRSTU68"$ÂÄí×ĵĵĵ¦ÄµÄíĵ¦µÄµÄíĵĵÄ"ĵ¦µ¦µÄµÄ€Äµ¦µ¦µÄµÄ%jG(h'oh'oCJOJQJUaJ%jÌh'oh'oCJOJQJUaJh'oh'oCJ OJQJaJ h'oh'oCJOJQJaJ%jh'oh'oCJOJQJUaJ*h'oh'o5>*B*CJOJQJ\ph$h'oh'o>*B*CJOJQJphÿ. "$ÊÌúº® _ Akdo'$$If--ÖÓÿ_€

6 "- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'o $& #$/„-Ifgd'o

¤d ¤d[$\$gd'oEkdX$$If--ÖÓÿc€

6 "øÿ"øÿ"- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'oúüÌ

UV6¾²² [ Ekdó=$$If--ÖÓÿK€

6 "øÿ"øÿ"- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'o$„øÿ„øÿ& #$/„-Ifgd'o

¤d ¤d[$\$gd'oAkdÛ'$$If--ÖÓÿ_€

6 "- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'o68J "ÊÌüº®® _ Akd Q$$If--ÖÓÿG€

6 "- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'o $& #$/„-Ifgd'o

¤d ¤d[$\$gd'oEkdg>$$If--ÖÓÿK€

6 "øÿ"øÿ"- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'oÄÆÈÊÌüþ¼¾\-^-'-b-d-f-Ž--ª-¬-V X r t !! !¢!¸!º!F&H&²&'&ä&æ&P*|*~*ìÙʻʻÊÙÊÙ¨ÙʻʻÊÙÊÙ•ÙÊÙÊÙ•ÙÊÙÊÙ•ÙÊ}h(h'oh'o5B*

CJOJQJaJph€/h'oh'o5B*

CJHOJPJQJaJHo(ph€$h'oh'o>*B*CJOJQJphÿ%jßQh'oh'oCJOJQJUaJh'oh'oCJ OJQJaJ h'oh'oCJOJQJaJ%jh'oh'oCJOJQJUaJ%jÛ>h'oh'oCJOJQJUaJ%üþ¼d-f-Ž-¾² [ Ekdªe$$If--ÖÓÿG€

6 "øÿ"øÿ"- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'o$„øÿ„øÿ& #$/„-Ifgd'o

¤d ¤d[$\$gd'oAkdsQ$$If--ÖÓÿG€

6 "- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'oŽ--Ä#b'P*~*1,N- /u0:2Á3S5C6P7›7œ7·7º®®®®®®®®®®®®®©©œ

¤d ¤d@&[$\$gd'ogd'o

¤d ¤d[$\$gd'oEkdf$$If--ÖÓÿG€

6 "øÿ"øÿ"- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'o~*0,1,M-N-/ /t0u092:2À3Á3R5S5B6C6O7P7Q7{7|7˜7™7œ7·7Ý7ß7é7888o8p8w8ñâñâñâñâñâñâñâñâñâÓÈÓ·ÓÈ£'ÈââlâlW(h'oh'o>*B*CJOJQJaJphÿ%jh'oh'oCJOJQJUaJ"h'oh'o5CJOJQJ\aJ"h'oh'o5CJOJQJ\aJ&h'oh'o5CJ0KH$OJQJ\aJ0 h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJUh'oh'oCJOJQJaJh'oh'oCJOJQJaJ"·7Ý7Þ7ß7ã9ä9í9:...:á:=;™;õ;Q<­< =e=Á=>òííááÑÈ'' '

F¤d ¤d$If[$\$gd'o

F¤d ¤d$If[$\$gd'o $Ifgd'o$¤ð ¤<$@&Ifgd'o

¤d ¤d[$\$gd'ogd'o

¤d ¤d@&[$\$gd'ow8x8}8~8Í8Î8Ý8Þ8÷8ø8?9@9J9K9L9M9Ž99˜9™9ä9í9î9ï9: :::::s:t:‚:ƒ:...:†:Ö:×:Þ:ß:á:â:1;2;:;;;=;>;;Ž;-;-;™;š;é;ìÝìÝìÈìÝìÝìÈìÝìÝìÈìݵª›ª›Š›ª›ª›Š›ª›ª›Š›ª›ª›Š›ª›ª›Š›ª›ª h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ$h'oh'o56OJQJ\]^J(h'oh'o>*B*CJOJQJaJphÿh'oh'oCJOJQJaJ%jh'oh'oCJOJQJUaJ6é;ê;ò;ó;õ;ö;E<F<N<O<Q<R<¢<£<ª<«<­<®<ý<þ<= = =

=Y=Z=b=c=e=f=µ=¶=¾=¿=Á=Â=>>>>>>m>n>v>w>y>z>É>Ê>Ò>Ó>Õ>Ö>%?&?.?/?1?2??‚?Š?‹??Ž?Ý?Þ?æ?ç?é?ê?:@;@B@C@E@F@•@-@ž@Ÿ@¡@¢@ñ@ðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔ h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJUT>y>Õ>1??é?E@¡@ý@YAµABmBÉB%CCÞC:D-DòDNEªEFbF¾Fëëëëë×ëëëëëëëëëë×ëëëëëëë

F¤d ¤d$If[$\$gd'o

F¤d ¤d$If[$\$gd'oñ@ò@ú@û@ý@þ@MANAVAWAYAZA©AªA²A³AµA¶ABB BBBBaBbBjBkBmBnB½B¾BÆBÇBÉBÊBCC"C#C%C&CuCvC~CCC‚CÑCÒCÛCÜCÞCßC/D0D7D8D:D;DŠD‹D"D"D-D-DæDçDïDðDòDóDBECEKELENEOEžEŸE§E¨EªE«EúEðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔ h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJUTúEûEFFF FVFWF_F'FbFcF²F³F»F¼F½F¾F¿FÀFÁFÂFJGKGOGPG_GHðßðÔðÔðßðÔðÔðßðÔŶ›ˆqˆqXqˆIh'oh'oCJOJQJaJ0h'oh'o56>*B*OJQJ\]^Jphÿ-jh'oh'o56OJQJU\]^J$h'oh'o56OJQJ\]^J5jøfh'oh'o56CJOJQJU\]^JaJh'oh'oCJ OJQJaJ h'oh'oCJOJQJaJ h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU¾F¿F_G"JÔJeKôK

Q™Q3T­U<VÚWÁµ©©µœœ~~œo

F¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

¤d ¤d@&[$\$gd'o

¤d ¤d[$\$gd'o

$¤ð ¤<@&gd'o>kd'f$$IfÖÓÿ¨

€ ö6ÖÿÖÿÖÿÖÿ2Ö3Ö4Öaöyt'o

HH\H]HqHrH‰HŠHËHÌHÙHÚH#I=IIIJIIŽI˜I™IÔJÕJÖJWKXK\K]KeKfKgKìÝìÈìÝìÝìÈìݶÝìÝìÈìÝ£Œ£ŒsŒ£aK+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ0h'oh'o56>*B*OJQJ\]^Jphÿ-jh'oh'o56OJQJU\]^J$h'oh'o56OJQJ\]^J"h'oh'o5CJOJQJ\aJ(h'oh'o>*B*CJOJQJaJphÿh'oh'oCJOJQJaJ%jh'oh'oCJOJQJUaJgKçKèKìKíKôKöK÷K>L?LJLKLZL[L¢L£L®L¯LÍLÎL

M MMMMMfMgMsMtMuMvM³M'MºM»MÞMßMNN N!N9N:N{N|N„N...NÒNÓNOOO-OHOîØÀØµ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ6HOIO¢O£OªO«OÀOÁOGPHPfPgP-P-PÜPÝPçPèP

Q

Q

QŒQQ'Q'Q™QšQåQæQóQôQRRiRjRˆR‰RŠRíßíËíÀ±À± ±À±À± ±ÀŽxŽx'xŽ±À± ±À±À± ±À.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ&h'oh'o6>*B*OJQJ]phÿh'oh'o6OJQJ]#jh'oh'o6OJQJU]%ŠR‹RÐRÑRÛRÜRüRýRUSVS]S^SSSTT/T0T7T8T¼T½TÚTÛTUUbUcUnUoU­U®U¯U/V0V4V5V<VIVJV•V-V£V¤V©VªVïVðVúVûVWW^W_WmWnW‰WŠWËWðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔð嬬"¬ÂåðåðÔðåðåðÔðåðåðÔðåðå.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU:ËWÌWÖW×WÚWÛWÜW\X]XaXbXiXœXXàXáXêXëX÷XøX3Y4Y:Y;Y Z

ZWZXZgZhZ|Z}ZÌZÍZÜZÝZâZãZ$[%[-[.[Ì[Í[\\&\'\=\>\\‚\'\'\\ž\é\ê\÷\ðßðÔ¬¬"¬ÂÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðß.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU:ÚWiX ZÌ[]®]=^__•a%bEcddôd6hŠiÝj-n&pòããã×òÈò¹òªªò›››››

F ¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

F ¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

$¤ð ¤<@&gd'o

F¤d ¤d[$\$gd'o

¤d ¤d@&[$\$gd'o÷\ø\]]-] ]¡]¥]¦]®]¯]°]0^1^5^6^=^>^•^-^©^ª^'^µ^ô^õ^ü^ý^___‚_ðåÒ»Ò»¢»ÒzzbzðåðQðåðåðQðåz h'oh'o>*B*OJQJphÿ.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ0h'oh'o56>*B*OJQJ\]^Jphÿ-jh'oh'o56OJQJU\]^J$h'oh'o56OJQJ\]^J h'oh'oOJQJjh'oh'oOJQJU-‚_ƒ_‡_ˆ__'_"_Ö_×_à_á_''P'Q'T'U'Ö'×'TaUa{a|a•a-a-abbbb%b+b,bmbnbvbwbEcéÑé¿'¥'¥"¥'¥'¥"¥'¥'¥"¥'¿é¿éÑé¿'‚t‚'‚'&h'oh'o6>*B*OJQJ]phÿh'oh'o6OJQJ]#jh'oh'o6OJQJU] h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ"h'oh'o5CJOJQJ\aJ.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ%EcFc"c"c¢c£c»c¼cddddd-dZd[d'dadddedfdçdèdìdídôd

eReSe]e^ejekeÐeÑeßeàeŠf‹fÔfÕfáfâfggcgdgqgrgÃgÄghh2h3h:h;hÃhðåðÔðåðåðÔðåðåðÔð嬬"¬ÂåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðå.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU:ÃhÄhãhähiiwixi†i‡iŠi‹iäiåiùiúijjTjUjcjdjj€jÓjÔjÙjÚjájâj-k k&k'k1k2kkklkpkqk™kškll l!lQlUlXlYl®l¯lÁlÂlØlÙl.m/m:m;mtmumÀmÁmðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔÂ' ÂÔðÔðßðÔ'ÔðÔðßðÔðÔðßðÔðÔð&h'oh'o6>*B*OJQJ]phÿh'oh'o6OJQJ]#jh'oh'o6OJQJU] h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU?ÁmÎmÏmfnjn n¡n

o'o(oaobo¹oºoÍoÎoÛoÜopp#p$p&p'p(p©pªp®p¯p¶pÇpÈpqq

q

q-q q}q~q"q"q­q®q¯q0r1r5r6r=r^r_r¤rïàÕÇÕàÕàïàÕàÕàïàÕàÕàïàÕµŸµŸ‡ŸµÕàÕàïàÕàÕàïàÕµŸµŸ‡ŸµÕàÕ.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJh'oh'o6OJQJ] h'oh'oOJQJjh'oh'oOJQJU h'oh'o>*B*OJQJphÿ5&p¶p-q­q=rt2vÂvwéxyy†}¹倻K‚܆؇'‰òããòÔÔòÅÅò¶¶¶¶ò§§§

F ¤d ¤d[$\$gd'o

F

¤d ¤d[$\$gd'o

F

¤d ¤d[$\$gd'o

F

¤d ¤d[$\$gd'o

F

¤d ¤d[$\$gd'o

¤d ¤d@&[$\$gd'o¤r¥r¯r°rµr¶rýrþr ss(s)s's"s¯s°s;t<tt‚tŒttètét@uAuSuTulumuªu«u±u²u2v3v4vµv¶vºv»vÂvÃv-w.w>w?wJwKw†w‡wŒww"w•wx x'x(xðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔ¬¬"¬ÂðÔðßðÔðÔðßðÔðÔðßð.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU:(x*x+xdxexixjx‚xƒxÔxÕxåxæxéxêxëxlymyqyryyy}y~yÅyÆyÑyÒyÔyÕy2z3zHzIzKzLzƒz„z‡zˆzõæõæÕæõæõæÕæõíí•­ÃõƒuƒaƒõæõæÕæõæõæÕæ&h'oh'o6>*B*OJQJ]phÿh'oh'o6OJQJ]#jh'oh'o6OJQJU].h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ&ˆz¡z¢z÷zøz

{

{>{?{ {¡{¹{º{ñ{ò{1|2|9|:|m|n|§|¨|¬|­|†}‡}Ò}Ó}à}á}~~X~Y~k~l~q~r~Ý~Þ~û~ü~rs°±µ¶¹º€€€ €'€(€€'€ €¡€å€æ€lm‹Œ»¼õæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõÃ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJD¼½>‚?‚C‚D‚K‚O‚P‚‚‚-‚˜‚¡‚¢‚Ù‚Ú‚Ý‚Þ‚í‚î‚;ƒ<ƒJƒKƒ}ƒ~ƒÇƒÈƒÔƒÕƒóƒôƒK„L„_„'„„‚„̈́΄҄ӄԄՄ......%...&...o...p...¹...º...À...Á...܆݆5‡6‡é×é¿é×'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ.h'oh'o5>*B*CJOJQJ\aJphÿ"h'oh'o5CJOJQJ\aJ+jh'oh'o5CJOJQJU\aJ:6‡=‡>‡L‡M‡œ‡‡¬‡­‡Ø‡Ù‡ ˆ!ˆ,ˆ-ˆ@ˆAˆŠˆ‹ˆ-ˆ˜ˆ ˆ¡ˆæˆçˆñˆòˆ‰‰y‰z‰Ž‰‰'‰"‰"‰ŠŠŠŠ$Š%ŠïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕ««'«Â€"h'oh'o5CJOJQJ\aJ0h'oh'o56>*B*OJQJ\]^Jphÿ-jh'oh'o56OJQJU\]^J$h'oh'o56OJQJ\]^J h'oh'oOJQJjh'oh'oOJQJU h'oh'o>*B*OJQJphÿ)'‰$Š'Š#µ'E"Â"•@-·-G˜šzš"›#œšžqŸ× ï¡¢óæ××æÈÈÈÈæ¹¹¹æªªªªæ

F¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

¤d ¤d@&[$\$gd'o

$¤ð ¤<@&gd'o%Š&Š§Š¨Š¬Š­Š'ŠµŠ

‹

‹‹‹š‹›‹ö‹÷‹û‹ü‹ŒŒƒŒ„Œ'Œ"Œ©ªŽŽŽŽ0Ž1Ž„Ž...Ž'Ž'ŽžŽŸŽîŽïŽþŽÿŽ'"- #$qruv{|ÕÖÙé×é¿é×°¥°"°¥°¥°"°¥°¥°"°¥°¥°"°¥°¥°"°¥°¥°"°¥°¥°"°¥°¥°"°¥°¥°" h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU.h'oh'o5>*B*CJOJQJ\aJphÿ"h'oh'o5CJOJQJ\aJ+jh'oh'o5CJOJQJU\aJ:ÙÚ''9':'A'B'S'T'¡'¢'§'¨'¼'½'þ'ÿ'

'

'n'o'¬'­'±'²'µ'¶'·'8"9"=">"E"a"b"¿"À"Ì"Í"õ"ö"5"6"=">"@"A"z"{""€"Â"Ã" ••••M•ðåðåðÔðåðåðÔðåðåðÔðåðåðÔð嬬"¬ÂåðåðÔðåðåðÔðåðåðÔðåðåðÔðå.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU:M•N•••™•š•¤•¥•ò•ó•--

-

-_-'-q-r-†-‡-Ò-Ó-à-á-ô-õ-4-5-<-=-·-¸-¹-:˜;˜?˜@˜G˜\˜]˜²˜³˜ðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔð嬬"¬Âå‚t‚h'oh'o6OJQJ]#jh'oh'o6OJQJU].h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU)³˜»˜¼˜ø˜ù˜e™f™w™x™}™~™Ã™Ä™Î™Ï™Ð™Ñ™ ššššššZš[šbšcššŽšÇšÈšÌšÍšÏšÐš ›

› ›› ››Š›‹›››"›"›•›œœìÚÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÀÏÀ¯Àχ‡+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ#jh'oh'o6OJQJU]&h'oh'o6>*B*OJQJ]phÿ1œœœ#œÇœÈœ ''øùžž žžMžNžRžSžTžUžž'ž-ž-žšž›žöž÷ž

Ÿ

Ÿ{Ÿ|Ÿ»Ÿ¼ŸÃŸÄŸçŸèŸ+ , 5 6 × Ø ¡¡¡ ¡/¡0¡m¡n¡t¡u¡...¡èÒÀµ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ"h'oh'o5CJOJQJ\aJ+jh'oh'o5CJOJQJU\aJ.h'oh'o5>*B*CJOJQJ\aJphÿ:...¡†¡Ù¡Ú¡ë¡ì¡ï¡ð¡ñ¡r¢s¢w¢x¢¢‡¢ˆ¢Å¢Æ¢Í¢Î¢Ï¢Ð¢+£,£4£5£'£'£ß£à£î£ï£¤¤G¤H¤R¤S¤›¤œ¤Û¤Ü¤ã¤ä¤é¤ê¤'¥(¥.¥/¥K¥L¥-¥˜¥¥¥¦¥/¦0¦}¦ðåðÔð嬬"¬ÂåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðå.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU:¢

¦@§qª«6­ ®Û®þ®Ž¯'°²r³Û'_µïµ·Ø·¯¸âºr»ðððãÔÔÔÔãÅÅÅÅÅ㶶¶¶ã

F¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

F ¤d ¤d[$\$gd'o

¤d ¤d@&[$\$gd'o

F¤d ¤d[$\$gd'o }¦~¦Œ¦¦ð¦ñ¦2§3§<§=§@§A§~§§...§†§-§-§Ø§Ù§á§â§ã§ä§=¨>¨I¨J¨{¨|¨Ç¨È¨Ö¨×¨ê¨ë¨8©9©G©H©¨©©©ì©í©÷©ø©ªª_ª'ªdªeªqªrªsªôªõªùªúªðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔ¬¬"¬.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU:úª«]«^«³«'«Ç«È«I¬J¬‹¬Œ¬"¬•¬š¬›¬ì¬í¬ý¬þ¬A­B­"­"­›­œ­¡­¢­õ­ö­ý­þ­ ®®†®‡®ª®«®þ®ÿ®¯¯‚¯îãÔãÔÃÔãÔãÔÃÔãÔãÔÃÔã±£±±ã±£±±ãÔãÔÃÔãîyîy+jh'oh'o5CJOJQJU\aJ&h'oh'o6>*B*OJQJ]phÿh'oh'o6OJQJ]#jh'oh'o6OJQJU] h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ"h'oh'o5CJOJQJ\aJ*‚¯†¯‡¯Ž¯í¯î¯1°2°;°<°=°>°ƒ°„°Ž°°±°²°)±*±M±N±]±^±•±-±™±š±®±¯±ü±ý±

²

²²²X²Y²a²b²q²r²¹²º²Å²Æ²Ø²Ù²L³M³n³o³v³w³ý³þ³''_µèÒÀµ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ"h'oh'o5CJOJQJ\aJ+jh'oh'o5CJOJQJU\aJ.h'oh'o5>*B*CJOJQJ\aJphÿ:_µ'µaµâµãµçµèµïµýµþµ=¶>¶F¶G¶h¶i¶¶¶·¶Å¶Æ¶Ï¶Ð¶ ·

· ····©·ª·¾·¿·õ·ö·;¸<¸F¸G¸H¸I¸š¸›¸«¸¬¸âºãºäºe»f»j»k»r»'»'»ú»û»

¼

¼f¼îØîØÀØµ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µ¦µ¦•¦µîØîØÀØµ¦•¦µ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ:f¼g¼Ü¼Ý¼½½1½2½ž½Ÿ½°½±½²½³½ù½ú½ý½þ½„¾...¾Ä¾Å¾Ë¾Ì¾+¿,¿q¿r¿|¿}¿‚¿ƒ¿¼¿½¿Á¿Â¿,À-ÀÀŽÀ™ÀšÀ§À¨ÀùÀúÀ

Á

ÁÁÁ...Á†Á¢Á£Á¸Á¹ÁöÁ÷ÁýÁþÁÂÂ-˜¾¿ÂËÂÌÂÃÃÃÃCÃDÃÎÚÛÃËÃÌÃÄÄÄ-Ä6ÄðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðå h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJUTr»{¾#À

Á!ÃÎÈ

ʦÌkÍ...ΩÏØÒÔ9ÕàÖ¬×åÙeÝ=ßäàÝá{ãŒä¾æ êððððððððððððððãÔÔÔÔÔÔÔÔÔ

F¤d ¤d[$\$gd'o

¤d ¤d@&[$\$gd'o

F¤d ¤d[$\$gd'o6Ä7Ä›ÄœÄ©ÄªÄ ÅřŚŷŸŹźÅÿÅÆ

Æ

ÆDÆEÆÆ'ƞƟƯưƱÆÇÇ"Ç#Ç$Ç„Ç...ÇÎÇÏÇÛÇÜÇâÇãÇ0È1È?È@ÈÕÈÖÈ!É"É/É0ÉiÉjÉÖÉ×ÉèÉéÉÊÊoÊpʂʃʚʛÊëÊðåðÔðåðåðÔðåðåðÔðåðåðÔðåÈ·È·¢·ÈåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðå)h'oh'o6>*B*H*OJQJ]phÿ jh'oh'oH*OJQJUh'oh'oH*OJQJ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU@ëÊìÊïÊðÊòÊóÊcËdËwËxËßËàË!Ì"Ì*Ì+ÌKÌLÌ•Ì-̢̣Ì×ÌØÌÍ ÍÍÍ¡Í¢Í

Î

ÎÎΞΟÎ!Ï"Ï>Ï?ÏVÏWϚϛϤϥÏÃÏÄÏÐÐ2Ð3ÐAÐBЧШÐ'епÐÀÐ Ñ

ÑÑÑÑÑ[Ñ\ÑcÑdÑ¡Ñ¢ÑçÑèÑòÑóÑ÷ÑøÑ=Ò>ÒHÒIÒkÒlÒ·ÒðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔ h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJUT·Ò¸ÒÅÒÆÒâÒãÒ>Ó?ÓTÓUÓVÓWÓœÓÓ§Ó¨Ó³Ó'ÓPÔQÔzÔ{Ô‰ÔŠÔÅÔÆÔËÔÌÔ9Õ:ÕÕ‚ÕÕŽÕ¾Õ¿ÕÖÖ Ö

Ö ÖÖHÖIÖMÖNÖSÖTÖÖÖ•Ö-ÖàÖáÖâÖc×d×h×i×ðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔðÔðßðÔ¬¬"¬.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU:i×k×lץצת׫׬׭×ØØ+Ø,ØÙÙMÙNÙRÙSÙéÙêÙ~ÚÚ¤Ú¥Ú±Ú²Ú&Û'Û<Û=Û>Û?Û‚ÛƒÛŒÛÛ¯Û°ÛýÛþÛ

Ü

ÜpÜqܮܯܵܶÜßÜàÜ!Ý"Ý*Ý+Ý„Ý...ÝÞÝßÝîØîØÀØ±•±¦±¦±•±¦±¦±•±¦±¦±•±¦±¦±•±¦±¦±•±¦±¦±•±¦±¦±•±¦±¦± h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ:ßÝóÝôÝøÝùÝPÞQÞ\Þ]Þ_Þ'ޛޜޡޢÞ=ß>ßߞߵ߶ßààfàgàxàyàéàêà1á2á=á>áìáíá6â7âCâDâ€ââÔâÕâæâçâ¬ã­ãä ä"ä#ä+ä,äyäzäˆä‰äŒääÞäßäðäñäòäóäVåWåïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕõÃh'oh'o6OJQJ]#jh'oh'o6OJQJU] h'oh'oOJQJjh'oh'oOJQJU h'oh'o>*B*OJQJphÿBWåpåqå~ååâåãåæåçåææEæFæNæOæ'æaæ¬æ­æºæ»æ¾æ¿æçç

ç

ç@çAçšç›ç¯ç°ç²ç³çìçíçñçòçýçþç;è<èBèCèDèMèNè‰èŠèèèšè›èòèóèé é#é$é¤é¥é¨é©éìÚÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÚ¡ÚìÚÏÚ¡ÚìÚ¡ÏÀÏÀ¯ÀÏÀÏÀ¯ÀÏÀÏÀ¯Àh'oh'o6OJQJ] h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ#jh'oh'o6OJQJU]&h'oh'o6>*B*OJQJ]phÿ?©éêê\ê]êiêjêöê÷ê.ë/ë2ë3ë=ë>ë...ë†ë'ë'ëéëêëCìDìXìYìcìdì·ì¸ìÉìÊìÎìÏì íííí$í%ílímíxíyí€ííÑíÒíóíôí>î?î¤î¥î¿îÀîÂîÃî=ï>ïAïBïMïNïŸï ï°ï±ïÈïÉï ððððìðíð\ñ]ñkñlñéñêñ%ò&ò+ò,òõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæõæõæÕæ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJT ê¶êãëíDïTðâð/òÁòQóoö_ùïûpþýÿŽZ=• å- à

V

æ

ðððððððä×ÈÈÈÈÈÈÈÈÈÈÈÈÈ×

F¤d ¤d[$\$gd'o

¤d ¤d@&[$\$gd'o

$¤ð ¤<@&gd'o

F¤d ¤d[$\$gd'o,ò/ò0ò1ò³ò'ò¸ò¹òÁòÂòÃòDóEóIóJóQó\ó]óšó›ó¢ó£óÍóÎó)ô*ô?ô@ôAôBô¢ô£ô®ôõâËâ˲Ëâ Š ŠrŠ õcõcRcõcõcRcõcõcR h'oh'o>*B*OJQJphÿjh'oh'oOJQJU.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ0h'oh'o56>*B*OJQJ\]^Jphÿ-jh'oh'o56OJQJU\]^J$h'oh'o56OJQJ\]^J h'oh'oOJQJ ®ô¯ôßôàô'õ(õ3õ4õPõQõõ'õ˜õ™õ¬ö­ö ÷÷(÷)÷3÷4÷q÷r÷z÷{÷ƒ÷„÷Å÷Æ÷Î÷Ï÷øø=ø>øBøCø‚øƒøÈøÉøÏøÐøÒøÓø

ù

ù ùù ùùTùUù[ù\ù_ù'ù¡ù¢ù«ù¬ù°ù±ùòùóùûùüùúúMúNúYúZú}ú~ú¹úºúÀúÁúÆúÇúûû

ûðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJUT

û

û3û4ûsûtû{û|ûû‚ûáûâûëûìû+ü,üsütüü€üœüüðüñüýýý ýZý[ýkýlý­ý®ý÷ýøýþþwþxþËþÌþÝþÞþøþùþ6ÿ7ÿ=ÿ>ÿ'ÿaÿ°ÿ±ÿÀÿÁÿ no‰ŠÄÅ*+01pqxy˜™ýþ

*+pq{ðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJUT{|™šÕÖÛÜxy...†ÿIJVW}~23hilmÃÄÊËÒÓ

GH²³ÃÄÍÎ4 5 C D Ÿ í î ü ý ‰Š ¡åæ7 8 H I Î Ï )

*

2

3

G

H

¨

©

'

µ

à

á

,

-

:

ðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJUT:

V

W

X

Ù

Ú

Þ

ß

æ

5

6

‹

Œ

ž

Ÿ

Ž

Ù

Ú

ç

è

j k z { õ ö 34;<=>{|‚ƒ'"ÊËÎÏÖ×*+<=z{²³¶·ÖðåÓ½Ó½¥½Óåðåð"ðåðåð"ðåðåð"ðåðåð"ðåðåð"ðåðåð"ðåðåð"ðåðåð"ðå h'oh'o>*B*OJQJphÿ.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'oOJQJjh'oh'oOJQJU:æ

„

ó

‹Ë£ ÌÔ Riöâju>

›Tô...-È ðððððððáááðððððááÔÅÅÅÅ

F¤d ¤d[$\$gd'o

¤d ¤d@&[$\$gd'o

F¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'oÖ×$%\]--›œ@AÏÐòóEF'µÇÈáâ; < M N kl»¼ËÌqr½¾ËÌBC'Ÿ

ðåðÔðåðåðÔðåðåðÔðåÂ' ÂåðåðÔðåðåðÔðåðåðÔðåðåðÔðåŽ"h'oh'o5CJOJQJ\aJ&h'oh'o6>*B*OJQJ]phÿh'oh'o6OJQJ]#jh'oh'o6OJQJU] h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU1

Ž""›¤¥êëõö QRXY--ØÙáâçè78GHmnøùqrÞßðñÿCDMN^_ÉÊÚÛ'-(-s-t-é×é¿é×'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥"¥'¥'¥ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ.h'oh'o5>*B*CJOJQJ\aJphÿ"h'oh'o5CJOJQJ\aJ+jh'oh'o5CJOJQJU\aJ:t--‚-Š-‹-á-â-è-é-2 3 r s z { !!q!r!'!'!è!é!F"G"I"J"K"L"™"š"¨"©"µ"¶"##$#%#'#µ#ö#÷#ÿ#$$$?$@$G$H$x$y$Ù$Ú$å$æ$%%S%T%c%d%Ž%%ù%ú%

&†&‡&Î&Ï&Ú&Û&Þ&ß&F'G'b'c'}'~'û'ü'ïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕà h'oh'oOJQJjh'oh'oOJQJU h'oh'o>*B*OJQJphÿTÈ ¬"e$w&O(ç)w*7,á-Á.Q/±0Ð1'2é4H8Ø8Œ<t>x@ðððððãÔÔÔãÅÅ㶶㧧§

F-¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

F¤d ¤d[$\$gd'o

¤d ¤d@&[$\$gd'o

F¤d ¤d[$\$gd'oü'"(#(\(](-).)q)r)")")Ï)Ð)Õ)Ö)ç)è)é)j*k*o*p*w*~**Ø*Ù*í*î*ó*ô*;+<+G+H+e+f+ß+à+,,7,8,{,|,...,†,µ,¶,

-

---á-â-).*.5.6.ïàÕàÕàïàÕàÕàïàÕíí•­ÃÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïàÕàÕàïà.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'oOJQJjh'oh'oOJQJU h'oh'o>*B*OJQJphÿ:6.8.9.™.š.¥.¦.Á.Â.Ã.D/E/I/J/Q/X/Y/Ã/Ä/Ô/Õ/

0

0T0U0'0a0±0²0ñ0ò0ù0ú011a1b1e1f1Ð1Ñ1Ò1S2T2X2Y2'2a2ª2«2·2¸2þ2ÿ2S3T3b3c3{3õæõæÕæõíí•­ÃõæõæÕæõæõæÕæõæõæÕæõæõæÕæõíí•­ÃæõæÕæõæõæÕæõ.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU h'oh'oOJQJ:{3|3Å3Æ3Ô3Õ3Ö3×3*4+434444‚4Ç4È4Ó4Ô4X5Y5¤5¥5³5'5å5æ5D6E6P6Q6r6s6Ê6Ë6Ï6Ð677A8B8E8F8H8I8J8Ë8Ì8Ð8Ñ8Ø8¨9©9::::-<-<æ<ðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔðåðåðÔð嬬"¬ÂåðåðÔðåðå.h'oh'o5>*B*CJOJQJ\aJphÿ+jh'oh'o5CJOJQJU\aJ"h'oh'o5CJOJQJ\aJ h'oh'o>*B*OJQJphÿ h'oh'oOJQJjh'oh'oOJQJU:æ<ç<ö<÷<ý<þ<==>=I=J=g=h=§=¨=¯=°=¹@º@AA!A"A†A‡AãAäAìAíA>C~CCÊCËCÕCÖCØCÙC%D&D,D-D.D>D?DðßðÔÂ' ÂÔÂ' ÂÔðÔðßðÔðÔðßðÔœ"œ"Ž"œ"œ"Ž"œƒq"h'o5CJOJQJ\aJwhÿ h'o5CJ\aJ

h'o0Jjh'oUh'o&h'oh'o6>*B*OJQJ]phÿh'oh'o6OJQJ]#jh'oh'o6OJQJU] h'oh'oOJQJ h'oh'o>*B*OJQJphÿjh'oh'oOJQJU+x@fA+C>COCuC.D?D@DððëæáëÍN~kdj$$If-ÖÖâÿí€ Öà

6 "øÿ"øÿ""ðÖ

ÿÿÿ™Ö0ªªªªªªªªªªªªÿÿ ö

6ÖÿÖÿÖÿÖÿ"--"ð4ÖaöbÖpÖ

ÿÿÿ™yt'o $$„øÿ„øÿ& #$.„ð/„Ifa$gd'ogd'ogd'o

F-¤d ¤d[$\$gd'o?D@DHDIDYDZD[D_D'DaDšD›DŸD D¡D¢DÛDÜDàDáDâDãDèDéDêD+E,E4E5E7E8EqErEvEwE}E~EÁEÂEËEÌEÍEÎE-F F(F)F;F<F=FCFDFmFnFoFpF€FF‚FƒFôìÝìÝôìÝÑìÑÇÑìÑìÑÇÑÝôìÝÑìÑÇÑìÑìÑÇÑìÑìÑÇÑìÑìÑÇÑìÝôìÝìÃÝô¸¦ô-jh'o5CJU\aJ"h'o5CJOJQJ\aJwhÿ h'o5CJ\aJh'oh'o0JCJaJjh'oCJUaJh'oCJOJQJaJwhÿ h'oCJaJh'oCJ OJQJaJ ;@DIDZD[D'DâDîîjîî„kdèj$$If-ÖÖ0âÿg 퀀

6 "øÿ"øÿ""ðÖ0ªªªªªªªªªªªªÿÿ ö

6ÖÿÿÖÿÿÖÿÿÖÿÿ"--"ð4ÖaöbÖyt'o$„øÿ„øÿ& #$.„ð/„IfâDãDéD<F{jj$„øÿ„øÿ& #$.„ð/„If„kdªk$$If-ÖÖ0âÿg 퀀

6 "øÿ"øÿ""ðÖ0ªªªªªªªªªªªªÿÿ ö

6ÖÿÿÖÿÿÖÿÿÖÿÿ"--"ð4ÖaöbÖyt'o<F=FDFoF{jN

F ¤d ¤d$„øÿ„øÿ& #$.„ð/„If[$\$$„øÿ„øÿ& #$.„ð/„If„kdll$$If-ÖÖ0âÿg 퀀

6 "øÿ"øÿ""ðÖ0ªªªªªªªªªªªªÿÿ ö

6ÖÿÿÖÿÿÖÿÿÖÿÿ"--"ð4ÖaöbÖyt'ooFpFF{g $$„øÿ„øÿ& #$.„ð/„Ifa$„kd.m$$If-ÖÖ0âÿg 퀀

6 "øÿ"øÿ""ðÖ0ªªªªªªªªªªªªÿÿ ö

6ÖÿÿÖÿÿÖÿÿÖÿÿ"--"ð4ÖaöbÖyt'oF‚FúFFG¸GtIuI4K5K€lllllll $$„øÿ„øÿ& #$.„ð/„Ifa$~kdðm$$If-ÖÖâÿí€ Öà

6 "øÿ"øÿ""ðÖ

ÿÿÿ™Ö0ªªªªªªªªªªªªÿÿ ö

6ÖÿÖÿÖÿÖÿ"--"ð4ÖaöbÖpÖ

ÿÿÿ™yt'oƒFèFéF÷FøFùFúFûFBGCGDGEGFGGG G¡GµG¶G·G¸G¹GÿGHHoIpIqIrIsIuIvI½I¾I¿I/K0KõæÙæѶѶ¢¶ÂæõæÙæѶѶŽŽkŽ¶Ñ¶Ñ¶ŽŽ&j[oh'oB*CJUaJphÿwhh'oB*CJaJphÿwh&jh'oB*CJUaJphÿwh&jÃnh'oB*CJUaJphÿwhjh'oCJUaJh'oCJOJQJaJwhÿ h'oCJaJh'o0J5CJ\aJjh'o5CJU\aJ h'o5CJ\aJ#0K1K2K3K4K5K6K>K?K˜K™K­K®K¯K°K'KÄKËKÌKLL

L

L

L

LFLGLKLLLbLcL L¡L§L¨LìØÌĵ©žž‚p©lel]l]W]l]l]W]l]l]W]

h'o0Jjh'oU

h'o5\h'o"h'o5CJOJQJ\aJwhÿh'o0J5CJ\aJjh'o5CJU\aJ h'o5CJ\aJh'oCJ OJQJaJ h'oCJOJQJaJwhÿ h'oCJaJjh'oCJUaJ&jh'oB*CJUaJphÿwh&jY¥h'oB*CJUaJphÿwh"5K6K¯K{g $$„øÿ„øÿ& #$.„ð/„Ifa$„kd¢·$$If-ÖÖ0âÿg íÄ Ä

6 "øÿ"øÿ""ðÖ0ªªªªªªªªªªªªÿÿ ö

6ÖÿÿÖÿÿÖÿÿÖÿÿ"--"ð4ÖaöbÖyt'o¯K°KÊOÓOPYPµPQqQÏQ)R‹...n]]]]]

F!¤d ¤d$If[$\$

F!¤d ¤d$If[$\$$If$Ifgd'ookd^¸$$If-ÖÖâÿí€

6 "øÿ"øÿ""ðÖ0ªªªªªªªªªªªªÿÿ ö

6ÖÿÖÿÖÿÖÿ"--"ð4ÖaöbÖyt'o

¨LµL¶LMM$M%MZM[MÀMÁMÏMÐMïMðMSNTNXNYNwNxN¹NºNÂNÃNÅNÆNÿNOOO

O

OOOPOYOZO[O\O­O®O¶O·OÒOÓOÔOÕOùOúOþOÿOPPPKPLPMPNPVPWPYPZP¤P¥P¨P©P²P³PµP¶PQQQQ QQQQ^Qüôüôîôüôüôîôüôüôîôüôüôîôüôüôîôüôüôîôüôüôîôüçá×á×î×áüôüôÑîÅôüôüôÑîÅôüôüôÑîÅôüôüh'o0J>*B*phÿ

h'o0Jjh'o0J U

h'o0J

h'owhÿ

h'o0Jjh'oUh'oN^Q_QbQcQnQoQqQrQ½Q¾QÁQÂQÌQÍQÏQÐQRRRR&R'R)R*RuRvRwRxR‚RƒR...R†RÕRÖRÙRÚRèRéRëRìRASBSESFSZS[S]S^S§S¨S©SªS²S³SµS¶STT TTTTTTeTfTgThTrTsTtTuTvT÷ñëß÷Û÷Û÷ñëß÷Û÷Û÷ñëß÷Û÷Û÷ñëß÷Û÷Û÷ñëß÷Û÷Û÷ñëß÷Û÷Û÷ñëß÷Û÷Û÷ñëß÷Û÷Û÷ñëß÷ÛÌÀh'oCJ OJQJaJ h'oCJOJQJaJwhÿh'oh'o0J>*B*phÿ

h'o0J

h'o0Jjh'oUH)R...RëR]SµSTuTvTUeUôUX«[:\Á'Ta¸cîÝÝîî•••••gd'ogd'ogd'o>kd¹$$IfÖÓÿ΀ ö6ÖÿÖÿÖÿÖÿ2Ö3Ö4Öaöyt'o

F!¤d ¤d$If[$\$

F!¤d ¤d$If[$\$vTwTxTyTóTôTøTùTúTûTUUUUeUfUgUâUãUçUèUéUêUóUWW‚WƒW†W‡W W¡WXXXX(X)XzX{X‹XŒXÉXÊXYYYY/Y0Y‰YŠYYŽYZZnZoZwZxZ

[ [Q[R[\[][«[¬[­[(\)\-\.\/\ïéßéßÙßéÕÏÈÕÁÕéßéßÙßéÕÏÕ¹Õ¹Ù¹Õ¹Õ¹Ù¹Õ¹Õ¹Ù¹Õ¹Õ¹Ù¹Õ¹Õ¹Ù¹Õ¹Õ¹Ù¹Õ¹Õ¹Ù¹ÕéßéßÙßéjh'oU

h'o5\

h'owhÿ

h'o0Jh'o

h'o0Jjh'o0JU

h'o0J-jx¹h'oCJOJQJUaJI/\0\9\@\A\†\‡\˜\™\Â\Ã\$]%],]-]ˆ]‰]â]ã]æ]ç]1^2^¡^¢^¦^§^²^³^__ ____r_s_z_{_Á'Â'Ã'@aAaEaFaGaHaSa¢a£aèaéaóaôa&b'bnbobwbxb™bšbébêbóbôbeeee€e„e...e†e‡e'eÃeÄe%f&f3f4f•f-fÕfüöüîüîèîüîüîèîüîüîèîüîüîèîüîüîèîüîüîèîüâØâØèØâüöüîüîèîüîüîèîüîüîèîüâØâØèØâüöüîüîèîüîüjh'o0JU

h'o0J

h'o0Jjh'oU

h'o0Jh'oU¸ce'ej¦k'mAnps!tºtJuïucyñy†z!{Ú{U|6}Ð}~~úõúúúõúúðõúõúðáááááðÒð

F#¤d ¤d[$\$gd'o

F"¤d ¤d[$\$gd'ogd'ogd'ogd'oÕfÖfÝfÞf·g¸g hhhhllalblklllnlol¨l©l­l®l'lµlòlólùlúl'mµm¶m0n1n5n6n7n8n@npp[p\pbpcp¸p¹p(q)q;q<q>r?r„r...rrrÁrÂr

s ssss's's ttt ttt t!t"t#t£t¤t¨t©tªt«t¹tºt÷ñ÷í÷í÷ñ÷í÷í÷ñ÷í÷í÷ñ÷í÷í÷ñ÷íçÝçÝñÝçí×í÷í÷ñ÷í÷í÷ñ÷í÷í÷ñ÷í÷í÷ñ÷íçÝçÝñÝçí×íçÝçÝñÝçí×í

h'o0Jjh'o0JU

h'o0Jh'o

h'o0Jjh'oURºtÒtÓt8u9uGuHuIuJuKuLuÒuÓu×uØuÙuÚuîuóuôuMvNvbvcvqvrv³v'v¼v½vXwYwœww¦w§wªw«wäwåwéwêwñwòw/x0x6x7xcydyeyàyáyåyæyçyèyðyñyòyKzLz'zaz†z‡zìzízûzüz!{"{ƒ{„{'{ùîùîåîùáÛÑÛÑËÑÛáÅá½á½Ë½á½á½Ë½á½á½Ë½á½á½Ë½á½á½Ë½áÛÑÛÑËÑÛáÅá½á½Ë½á½á½Ë½á½á½Ëjh'oU

h'o0J

h'o0Jjh'o0JU

h'o0Jh'oh'o0J6]jh'o6U]

h'o6]J'{'{Ú{Û{ |!|+|,|U|V|«|¬|¾|¿|6}7}8}¹}º}¾}¿}À}Á}Ï}Ð}Ñ}?~@~L~M~P~|~~~~€~ý~þ~HJK¦§¹º×Üâãc€d€g€h€}€‚€ˆ€‰€‚r‚<¥r¥Ì¬÷ó÷ó÷í÷ó÷ó÷í÷óçÝçÝíÝçó×ó÷ó÷í÷óÐóçÝçÝíÝçó×óÐó÷ó÷í÷óÐó÷ó÷í÷óÐó÷ó÷í÷óÀ±À±h'oh'oCJOJQJaJ-h'oh'o5CJOJQJaJ

h'o6]

h'o0Jjh'o0JU

h'o0J

h'o0Jh'ojh'oUF½j€œØÚðððëßÑ$$& #$/„-Ifa$gd'oAkdXÙ$$If--ÖÓÿÊ €

6 "- ö6ÖÿÖÿÖÿÖÿ"-3Ö4Ö-aöyt'o $& #$/„-Ifgd'o

¤d ¤d[$\$gd'ogd'o

F$¤d ¤d[$\$gd'o̬R­¼¤¼¬ÑÒ¢åæJÞô"œÐÒÔÖØÚþ..ì0î0ð0ò0ô0ö0Ø1þ122

6"6b7d7Î7Ð7ïàïàïàïàïÞàïàËà˸Ëà©-à©à-àËàË„Ëà©à-à©à-àËàË%j0Úh'oh'oCJOJQJUaJ"h'oh'o6CJOJQJ]aJh'oh'oCJ OJQJaJ %j•¼h'oh'oCJOJQJUaJ%jh'oh'oCJOJQJUaJUh'oh'oCJOJQJaJ-h'oh'o5CJOJQJaJ+

Giai o¡n này có thà kà të nhïng tháng cuÑi ông 2002, °ãc kh¡i mào b±ng cuÙc thi HVA Contest - mÙt sñ kiÇn h¿t séc nÕi b­t vì ch°a hÁ có tiÁn lÇ nào x£y ra tr°Ûc ó trong làng hacking and security ViÇt Nam c£. NÙi dung cuÙc thi xoay quanh v¥n Á hacking and security cing nh° các ki¿n théc bÕ trã nh±m nâng cao kh£ nng b£o m­t máy tính tÑt h¡n. Có thà kh³ng Ënh vào thÝi iÃm CNTT ViÇt Nam - cå thÃ ß ây là an ninh trong CNTT - ang trên à hÙi nh­p th¿ giÛi thì mÙt cuÙc thi nh±m khu¥y Ùng, phát triÃn phong trào tìm hiÃu, nghiên céu cing nh° phát hiÇn, bÓi d°áng thêm nhiÁu tài nng mÛi trong lãnh vñc hacking và security nh° th¿ này là h¿t séc c§n thi¿t. Bßi HVA contest có thà t¡o nên sân ch¡i lành m¡nh, mÙt c¡ hÙi hÍc hÏi, giao l°u cÍ sát cho lÛp tr» vÑn ham hÍc hÏi, tò mò tìm hiÃu lãnh vñc mÛi m½ và §y nhïng thách théc nh° hacking và security này. HiÇn cuÙc thi v«n ang °ãc ti¿p tåc, và chúng tôi hy vÍng sñ thành công cça nó s½ là mÙt b°Ûc khßi s¯c mÛi vÁ hacking và security ViÇt Nam.

Theo nh­n xét cça nhiÁu ng°Ýi, giai o¡n này °ãc xem là "cñc thËnh" nh¥t trong lËch sí HVA të tr°Ûc tÛi nay, và nó cing °ãc cho là ã ¡t °ãc tÛi Énh cao cça công nghÇ b£o m­t ViÇt Nam nói chung. HVA trß thành t°ãng ài sëng sïng thách théc t¥t các hacker cñc hïu, nhïng hacker mi en ang lm le phá ho¡t ho¡t Ùng cça Internet ViÇt Nam.

NhÝ có nhiÁu chính sách kËp thÝi và úng ¯n nên sÑ l°ãng thành viên cça HVA ã gia tng r¥t nhanh - nhanh chóng v°ãt qua con sÑ v¡n ng°Ýi, tính ¿n thÝi iÃm giïa tháng 4/2003 thì ã v°ãt quá con sÑ 18 000 members. Nh°ng không chÉ có quân ông thôi mà t°Ûng còn cñc kó hùng m¡nh nïa, BQT ã trình làng thêm hai nhân v­t sëng sÏ là "cñu trùm" khoaimi mÙt thÝi lëng l«y, và "chuyên gia gá rÑi& kù thu­t" thesun. RÓi mÙt lo¡t nhïng super/mod/elite tài nng cing theo nhau xu¥t hiÇn làm cho ho¡t Ùng cça diÅn àn h¿t séc sôi nÕi, vÛi ch¥t l°ãng ngày càng cao h¡n. SÑ l°ãng thành viên trung bình online cùng lúc trên diÅn àn ã ¿n hàng trm, và không dëng l¡i ß ó mà ang ti¿p tåc gia tng tëng ngày. Thñc ra, sÑ l°ãng online thñc còn cao h¡n nhiÁu vì forum tính sÑ l°ãng thành viên online dña vào IP ché không ph£i vào session nh° các forum khác, mà IP ViÇt Nam l¡i trùng nhau r¥t nhiÁu nên bË bÏ sót. H§u h¿t các thành viên cao c¥p - nhïng "¡i cao thç" cça HVA - cing nh° nhiÁu "©n s)" khác Áu ã và ang du hÍc ß n°Ûc ngoài, r¥t nhiÁu ng°Ýi trong ó ang công tác ß các HÍc viÇn, các viÇn H, các công ty hàng §u trong n°Ûc cing nh° các công ty nÕi ti¿ng ngoài n°Ûc. ây là nguÓn "ch¥t xám" vô cùng lÛn mà n¿u có nhïng chính sách °u ãi thích hãp thì ch¯c ch¯n r±ng s½ góp ph§n không nhÏ vào sñ phát triÃn cça nÁn CNTT n°Ûc nhà. Khi ¿n thÝi iÃm thích hãp, n¿u °ãc phép, chúng tôi s½ công khai tên tuÕi th­t cça hÍ, và chúng tôi tin r±ng các b¡n s½ ph£i h¿t séc ng¡c nhiên vì có nhïng nhân v­t nÕi ti¿ng mà th°Ýng ngày các b¡n r¥t hâm mÙ này.

Tính ¿n thÝi iÃm này (04/2003) có thà kh³ng Ënh chúng ta ã ¡t °ãc nhïng thành công nh¥t Ënh trong viÇc "lèo lái" ho¡t Ùng cça con tàu HVA të thu§n túy hacking sang h°Ûng security - trong khi VHF hay các tÕ chéc hacker cñc hïu khác l¡i i theo h°Ûng "find and hack" (chi¿n thu­t tìm và diÇt). Quan iÃm cça chúng ta r¥t là h¿t séc rõ ràng: "bi¿t hack cing chính là cách à chÑng hack", và r±ng không ph£i hacking, mà chính security mÛi chính là måc ích thñc sñ mà chúng ta muÑn h°Ûng ¿n. VÛi quan iÃm ó, måc ích ho¡t Ùng cça chúng ta là r¥t rõ: h°Ûng d«n, c­p nh­t, phÕ bi¿n các ki¿n théc vÁ hacking and sucrity cho mÍi ng°Ýi. Tôn chÉ ho¡t Ùng cça chúng ta cing ã chÉ ra nhïng hành vi không °ãc phép làm: không °ãc phép t¡o và phát tán virus, c¥m phát tán credit card, account "chùa", c¥m delete hay deface các website khác. Nhïng thành công b°Ûc §u này s½ là tiÁn Á cho phép chúng ta ti¿p tåc v°¡n tÛi thành mÙt tÕ chéc security chính thÑng, hùng m¡nh, °ãc sñ thëa nh­n cça cÙng Óng, xã hÙi. Ch¯c ch¯c là chúng ta và àn em ti¿p theo s½ v«n ti¿p tåc tñ hào mà "khoe" r±ng mình cing là mÙt thành viên cça DiÅn àn HackerVN - HVA. Chúng ta hãy cùng nhau hãp tác, ti¿p tåc ph¥n ¥u vì sñ tr°Ýng tÓn cça HVA, vì mÙt nÁn security bÁn vïng, vì nÁn CNTT hùng m¡nh cça n°Ûc nhà, à không chÉ là sánh vai cùng bè b¡n kh¯p nm châu mà còn c§n ph£i v°ãt lên i tr°Ûc c£ hÍ nïa.

HVA

'Ân oán giang hÓ' giÛi IT ph¡i bày trên Chã iÇn tí

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/01.Chodientu.com%20was%20hacked.mht!http://www.vnexpress.net/Vietnam/Vi-tinh/2006/09/3B9EE90C/Anh-chup-man-hinh.jpg" \* MERGEFORMATINET ¢nh chåp màn hình. Ngày 23/9, website Chã iÇn tí (chodientu.com) cça công ty Gi£i pháp ph§n mÁm PeaceSoft (Hà NÙi) bË hacker t¥n công c°Ûp tên miÁn. NÙi dung trang th°¡ng m¡i iÇn tí bË bi¿n thành mÙt béc th° ngÏ vÛi nhïng lÝi l½ châm chÍc Giám Ñc công ty này.

Theo phân tích cça giÛi công nghÇ thông tin (CNTT), mâu thu«n phát sinh të bên trong công ty. K» phá ho¡i ã cài ph§n mÁm theo dõi lÇnh gõ bàn phím keylogger à ánh c¯p tài kho£n Gmail cça Giám Ñc PeaceSoft NguyÅn Hòa Bình, rÓi sí dång thông tin có °ãc trong e-mail à kiÃm soát tên miÁn chodientu.com và peacesoft.net.

Vì v­y, có ng°Ýi dñ oán chodientu.com "ã v)nh viÅn ra i". Trao Õi vÛi VnExpress, ng°Ýi éng §u PeaceSoft l¡i cho r±ng vå viÇc có thà b¯t nguÓn të sñ c¡nh tranh không lành m¡nh cça Ñi thç kinh doanh. Hacker khai thác l×i máy chç tên miÁn (DNS) và "mÙt l×i cça Gmail", trÏ tên miÁn chodientu.com sang mÙt Ëa chÉ khác. Kho£ng 10h ngày 23/9, Ùi ngi nhân viên cça công ty n¡n nhân ã phát hiÇn nguyên nhân và giành l¡i quyÁn kiÃm soát lúc 12h cùng ngày. Nhïng tên miÁn bË ánh c¯p °ãc chuyÃn ¿n mÙt nhà cung c¥p DNS mÛi. Vå phá ho¡i khi¿n PeaceSoft ph£i óng cía "chã" m¥t mÙt ngày. ¿n nay, "cía chính" vào chodientu.com v«n ch°a truy c­p °ãc bình th°Ýng. "Ng°Ýi i chã" ph£i truy c­p qua "cía ngách" nh° chodientu.com.vn, chodientu.info ho·c ánh trñc ti¿p Ëa chÉ IP 203.162.1.156 lên thanh Ëa chÉ cça trình duyÇt web.

Sñ viÇc v«n ch°a k¿t thúc khi PeaceSoft l¥y l¡i domain cça hÍ. ¿n r¡ng sáng ngày 24/9, mÙt sÑ ng°Ýi truy c­p vào trang chodientu.com th¥y website này v«n ch°a trß vÁ vÛi giao diÇn bình th°Ýng. K» "thç ác" ã gá bÏ béc th° khi¿m nhã và t£i lên kho£ng 300 MB dï liÇu gÓm mÙt file nén °ãc tuyên bÑ ó là c¡ sß dï liÇu và mã nguÓn cça website Chã iÇn tí Ã chéng tÏ mình ã t¥n công vào máy chç ché không chÉ Ënh h°Ûng l¡i domain, kèm theo là 2 e-mail trong tài kho£n Gmail có nÙi dung liên quan ¿n viÇc ban lãnh ¡o PeaceSoft lên k¿ ho¡ch sí dång công cå gíi th° spam qua Yahoo Messenger nh±m tng l°ãng truy c­p cho website và rao bán domain chodientu.com vÛi giá 1 triÇu USD.

¡i diÇn cça PeaceSoft phç nh­n hoàn toàn viÇc tr£ lÝi th° rao bán domain cing nh° k¿ ho¡ch sí dång spam. ViÇc thông tin hacker ng t£i trên website v«n ¿n vÛi ng°Ýi truy c­p sau khi PeaceSoft tuyên bÑ ã kiÃm soát domain °ãc ông Bình gi£i thích do sñ ch­m trÅ trong c­p nh­t giïa các máy chç DNS, khi¿n nhïng truy c­p trong thÝi gian này v«n h°Ûng ¿n trang cça hacker thay vì nÙi dung úng cça Chã iÇn tí. Thông tin °ãc ng t£i chÉ là nhïng b£n nháp ho·c sao l°u dñ phòng cça Chã iÇn tí nên còn r¥t nhiÁu file rác. Th­m chí mÙt thành viên cça diÅn àn tin hÍc ddth.com còn phát hiÇn có keylogger ©n chéa bên trong.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/01.Chodientu.com%20was%20hacked.mht!http://www.vnexpress.net/Vietnam/Vi-tinh/2006/09/3B9EE90C/E-mail-su-dung-spam.jpg" \* MERGEFORMATINET Hacker tung e-mail cáo buÙc Ban giám Ñc PeaceSoft lên k¿ ho¡ch dùng spam à tng l°ãng truy c­p cho Chã iÇn tí. ¢nh chåp màn hình. ViÇc Chã iÇn tí bË ánh c¯p domain s½ không áng chú ý n¿u không kéo theo mÙt cuÙc kh©u chi¿n ngay sau ó. Dù ng°Ýi quan tâm Áu ph£n Ñi cách phá ho¡i cça hacker, nh°ng nÙi dung cça béc th° ngÏ và nhïng thông tin °ãc ng t£i sau khi website này bË t¥n công l¡i §y nhïng "ân oán giang hÓ" trong th¿ giÛi CNTT lâu nay. NÕi cÙm nh¥t là viÇc cá nhân, tÕ chéc chÉnh sía l¡i ph§n mÁm n°Ûc ngoài em dñ thi và giành gi£i cao trong các cuÙc thi ph§n mÁm lÛn trong n°Ûc, khi¿n ng°Ýi thua cuÙc không "tâm phåc kh©u phåc". Disater Map, s£n ph©m tham gia cuÙc thi TTVN 2003, bË chÉ trích là mÙt ph§n mÁm chÉnh sía l¡i cça n°Ûc ngoài. Tuy nhiên, giÛi CNTT cho r±ng ph§n mÁm này quá bé nhÏ so vÛi HYPERLINK "http://www.vnexpress.net/Topic/?ID=2948" iCMS khi ó nên bË "chìm xuÓng". S£n ph©m E4Portal cça PeaceSoft cing bË coi là chÉ g¯n k¿t 2 s£n ph©m n°Ûc ngoài Rainbow và Sharepoint Portal. MÙt thành viên có nick vuonggialong trên ddth.com nh­n là ng°Ýi tëng làm viÇc t¡i PeaceSoft kh³ng Ënh mình ã phát triÃn ph§n mÁm cho Chã iÇn tí ¿n phiên b£n 2.0, cing th¥y "h¡i buÓn" khi th¥y tên tác gi£ trong mã nguÓn hacker °a trên m¡ng mang tên TuatNH.

"MÙt công ty §u t° vào s£n ph©m lâu dài, có ng°Ýi ß ng°Ýi i là iÁu t¥t nhiên", ông Bình nói. "Nh°ng dù sao ó cing là s£n ph©m cça công ty ché không ph£i mÙt cá nhân nào h¿t. Còn trong Disater Map, chúng tôi có sí dång mÙt vài thành ph§n trong hÇ thÑng xây dñng b£n Ó quÑc t¿, font-end à giao ti¿p °ãc trên m¡ng do PeaceSoft tñ phát triÃn".

M·c dù khá béc xúc vì bË phá ho¡i, PeaceSoft v«n ch°a chính théc thông báo vå viÇc ¿n c¡ quan chéc nng. Tuy nhiên, ¡n vË phòng chÑng tÙi ph¡m công nghÇ cao thuÙc C15 BÙ Công an ã vào cuÙc iÁu tra thç ph¡m cça cuÙc t¥n công này. à tránh nhïng hành vi phá ho¡i nh° vëa rÓi, ông Bình cho bi¿t s½ dËch chuyÃn toàn bÙ Chã iÇn tí vÁ sí dång dËch vå trong n°Ûc cça VNNIC. "ViÇc làm cça nhïng hacker ViÇt Nam nh° tr°Ýng hãp này là c£n lñc cho CNTT phát triÃn", Giám Ñc PeaceSoft béc xúc. "Sau thÝi gian t¥n công các website n°Ûc ngoài khi¿n ViÇt Nam bË ngn ch·n IP và không thà mua hàng t¡i eBay hay Yahoo, hacker 'nÙi' bây giÝ quay sang t¥n công các site th°¡ng m¡i trong n°Ûc. Còn ai dám làm nïa".

Chia s» vÛi ông Bình, cÙng Óng nhïng ng°Ýi làm viÇc trong giÛi CNTT thì tÏ ra chán c£nh "gà nhà á nhau". " HYPERLINK "http://www.vnexpress.net/Topic/?ID=4023" ¡i dËch virus lây lan qua Yahoo Messenger ch°a dËu, hacker thì t¥n công búa xua. Cé 1 ng°Ýi làm thì 10 ng°Ýi phá nh° th¿ thì ai mà chËu nÕi", mÙt sinh viên ¡i hÍc Bách khoa chán n£n nói.

H°ng H£i

(vnexpress)

Diendantinhoc.com bË hack

09:32' 11/01/2005 (GMT+7)

VietNamNet) - Të ngày 6/1, tên miÁn cça diendantinhoc.com ã bË hack, c°Ûp quyÁn iÁu khiÃn và rao bán trên WebHostingTalk.com vÛi giá 9.000 EUR.

Tintucvietnam.com bË treo

HYPERLINK "http://vietnamnet.vn/dataimages/original/images441561_Hacker_1.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/02.Diendantinhoc.com%20was%20hacked.mht!http://vietnamnet.vn/dataimages/normal/images441561_Hacker_1.jpg" \* MERGEFORMATINET Të ngày thé 7 tu§n tr°Ûc (8/1), t¥t c£ ng°Ýi dùng web t¡i ViÇt Nam và n°Ûc ngoài khi truy c­p vào Ëa chÉ www.tintucvietnam.com Áu nh­n °ãc mÙt thông báo "Server hiÇn ang bË quá t£i"! HiÇn server bË quá t£i. MÝi b¡n quay l¡i trong ít phút nïa ho·c ¥n vào ây à vào l¡i Tin Téc ViÇt Nam...". Tuy nhiên, không ph£i "ít phút" nh° trong thông báo, mà 3 ngày qua, thông báo ó v«n n±m nguyên xi trên tintucvietnam.com t¡i mÍi thÝi iÃm, të mÍi n¡i truy c­p.

Theo mÙt sÑ nguÓn tin riêng không chính théc cça VietnamNet, thì ây không ph£i là sñ cÑ liên quan ¿n v¥n Á kù thu­t nh° l°ãng truy c­p quá t£i (vì không thà quá t£i ß mÍi thÝi iÃm trong 3 ngày) hay bË t¥n công, hack (vì không có d¥u hiÇu bË t¥n công nào trên website). VietnamNet ã thí liên hÇ tÛi ¡n vË qu£n lý qua måc góp ý, gíi th° duy nh¥t trên website qua Ëa chÉ email HYPERLINK "mailto:[email protected]" [email protected] à tìm hiÃu vÁ cá nhân, tÕ chéc chç qu£n trñc ti¿p cça website này. Tuy nhiên, sau khi gíi tÛi Ëa chÉ này, chúng tôi nh­n °ãc thông báo ph£n hÓi vÁ mail là không thà gíi °ãc tÛi Ëa chÉ HYPERLINK "mailto:[email protected]" [email protected], và do ó không có cách nào à xác minh chç nhân cça tintucvietnam.com là ai?.

Ai mua diendantinhoc.com... không?

HYPERLINK "http://vietnamnet.vn/dataimages/original/images441565_Hacker_2.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/02.Diendantinhoc.com%20was%20hacked.mht!http://vietnamnet.vn/dataimages/normal/images441565_Hacker_2.jpg" \* MERGEFORMATINET Të hôm 6/1, tên miÁn chính cça DiÅn àn Tin hÍc (www.diendantinhoc.com) ã bË hack, c°Ûp quyÁn qu£n lý, chuyÃn °Ýng d«n tÛi mÙt sÑ website khác và rao bán domain vÛi giá... 9.000 EUR.

Các thành viên cça DiÅn àn tin hÍc (DDTH) khi truy c­p vào Ëa chÉ www.diendantinhoc.com cho bi¿t website này ã bË redirect (tái iÁu h°Ûng) tÛi mÙt vài website khác t¡i ViÇt Nam, có liên quan tÛi ph§n mÁm iCMS, và sau cùng °ãc chuyÃn tÛi mÙt website quÑc t¿ vÁ bán và chuyÃn nh°ãng tên miÁn. T¡i website này, domain diendantinhoc.com °ãc rao bán vÛi giá 9.000 EUR.

Thç ph¡m cing ã sí dång nick name rangdong vÛi Ëa chÉ email HYPERLINK "mailto:[email protected]" [email protected] gíi lên WebHostingTalk.com (diÅn àn lÛn nh¥t th¿ giÛi vÁ tên miÁn và l°u trï web - WHT) bài rao bán theo kiÃu ¥u giá domain diendantinhoc.com. Rangdong ã nói r±ng mình sß hïu r¥t nhiÁu tên miÁn nh°ng bây giÝ thi¿u tiÁn nên c§n bán bÛt mÙt sÑ domain, trong ó diendantinhoc.com là tên miÁn có x¿p h¡ng r¥t cao trong Alexa. Sau khi °ãc mÙt sÑ ng°Ýi trên WHT hÏi thêm thông tin thì thç ph¡m nói r±ng ã ng ký tên miÁn này ¿n nm 2007 và hiÇn giÝ không có tiÁn à tr£ host nên ã bË c¯t host, bây giÝ chÉ bán tên miÁn mà thôi.

Anh D°¡ng Vi Khoa, Admin qu£n trË DDTH cho VietnamNet bi¿t: Thñc t¿, tên miÁn diendantinhoc.com ã bË chuyÃn i (transfer) të ngày 3/1, nh°ng ph£i tÛi 6/1 thì thç ph¡m mÛi Õi DNS d«n ¿n Ëa chÉ khác, và ng°Ýi truy c­p b¯t §u bË chuyÃn h°Ûng truy c­p të r¡ng sáng ngày 7/1. Cing theo anh Vi Khoa, viÇc t¥n công vào Network Solutions (NetSol), máy chç ng ký tên miÁn diendantinhoc.com ã diÅn ra vào kho£ng cuÑi tháng 9-2004, "thông qua viÇc t¥n công b±ng cách i °Ýng vòng, hack domain mandafet.com ·t bên Yahoo, rÓi transfer domain này qua NetSol à không bË hack l¡i, sí dång email HYPERLINK "mailto:[email protected]" [email protected] à l¥y account qu£n lý domain diendantinhoc.com và it4vn.com bên Netsol". Anh cing ã gíi bài vi¿t lên WHT à nói rõ r±ng ó là domain n c¯p và khuyên mÍi ng°Ýi không nên mua, Óng thÝi cing liên hÇ vÛi Admin cça WHT à yêu c§u xóa bài vi¿t ó i.

Sau khi xu¥t hiÇn sñ cÑ bË chuyÃn tên miÁn sang website khác, ng°Ýi truy c­p không thà vào DDTH b±ng Ëa chÉ www.diendantinhoc.com nh°ng v«n vào °ãc b±ng tên miÁn HYPERLINK "http://ddth.com/" http://ddth.com/. ây là tên miÁn vi¿t t¯t cça DDTH ã có të r¥t lâu nh°ng chÉ có các members g¡o cÙi bi¿t ¿n vì ít phÕ bi¿n. HiÇn t¡i, các thành viên cça DDTH ã truy c­p °ãc và gíi bài trß l¡i nh° bình th°Ýng qua Ëa chÉ HYPERLINK "http://ddth.com/" http://ddth.com. DDTH cing ã °ãc nâng c¥p lên phiên b£n 3.0.5 vëa mÛi có à sía mÙt sÑ l×i b£o m­t.

HiÇn t¡i, thç ph¡m cça vå hack và c°Ûp tên miÁn diendantinhoc.com tuy ch°a °ãc xác minh cå thÃ, nh°ng theo anh Vi Khoa thì có thà là ang ß Hà NÙi ho·c Thái Nguyên qua mÙt sÑ Ùng tác iÁu tra kà të tháng 9-2004. Ùng c¡ cça vå hack cing ch°a °ãc sáng tÏ, nh°ng Vi Khoa cho bi¿t ang tìm cách liên hÇ th°¡ng l°ãng vÛi thç ph¡m à l¥y l¡i tên miÁn ci. à bi¿t thêm chi ti¿t, b¡n Íc có thà tham kh£o t¡i các Ëa chÉ sau:

HYPERLINK "http://ddth.com/t=58315" http://ddth.com/t=58315

HYPERLINK "http://www.hvaonline.net/forum/showtopic_40772_st_0.html" http://www.hvaonline.net/forum/showtopic_40772_st_0.html

VietnamNet

C¡ sß dï liÇu cça HVA bË rao bán vÛi giá 1.700 USD

DiÅn àn cça HiÇp hÙi hacker lâu Ýi và có ti¿ng trong n°Ûc vëa bË l¥y m¥t toàn bÙ c¡ sß dï liÇu và em rao bán trên m¡ng. Sñ kiÇn làm xôn xao cÙng Óng online trong khi Ban qu£n trË HVA ang tìm mÍi cách céu vãn tình th¿.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/03.HVA%20Database%20bi%20rao%20ban%20voi%20gia%201700%20USD.mht!http://vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2006/05/3B9E954C/data.jpg" \* MERGEFORMATINET MÙt o¡n c¡ sß dï liÇu cça HVA °ãc gíi lên m¡ng làm hàng m«u rao bán.

(¢nh chåp màn hình) Sñ viÇc b¯t §u të r¡ng sáng ngày 1/5, thÝi iÃm °ãc cho là khá nh¡y c£m khi mà h§u h¿t mÍi ng°Ýi Áu trong kó nghÉ lÅ kéo dài, diÅn àn HVA ã bË mÙt nhóm hacker lãi dång l×i IPB 2.x và dùng các công cå t¥n công cça m¡ng milw0rm.com làm hÏng trÍn bÙ c¡ sß dï liÇu (database).

"V¥n Á là ß ch× HVA ·t ch¿ Ù script backup l°u 7 b£n cho 7 ngày. ¿n ngày thé 8, nó xóa h¿t các b£n ci và b¯t §u l¡i të §u", mÙt thành viên trong Ban qu£n trË HVA buÓn bã nói. "K» t¥n công thuÙc nhóm hacker Vniss ã lãi dång iÁu này, Óng thÝi tính toán r¥t kù viÇc lña chÍn thÝi iÃm t¥n công. Và khi ng°Ýi cça chúng tôi phát hiÇn, ng nh­p vào server thì ã quá muÙn. Database ã bË tàn phá".

Theo nhïng ng°Ýi cÑt cán cça HVA, sau thÝi gian HYPERLINK "http://vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2005/12/3B9E4A6D/" bË t¥n công të chÑi dËch vå (DDoS) n·ng nÁ và liên tåc vëa qua, máy chç cing nh° website (forum) cça diÅn àn này ã ph£i c¥u hình, iÁu chÉnh l¡i, cài ·t bÕ sung mÙt sÑ tiÇn ích b£o m­t. Nh°ng do kinh phí có h¡n nên quá trình nâng c¥p hÇ thÑng ch°a hoàn t¥t. ó là mÙt trong nhïng y¿u tÑ khi¿n các hacker cça Vniss thâm nh­p thành công vào hÇ thÑng. HiÇn t¡i, truy c­p vào hvaonline.net, ng°Ýi ta chÉ th¥y thông báo diÅn àn ngëng ho¡t Ùng. Ban qu£n trË cça hÙi hacker này cing ã ng trên website cça các thành viên thân c­n lÝi cáo l×i vÛi member: "Chúng tôi thành th­t xin l×i các thành viên và cÙng Óng b£o m­t vì ã khinh xu¥t trong công tác b£o m­t hÇ thÑng. Ban qu£n trË s½ nhanh chóng tìm cách kh¯c phåc sñ cÑ Ã °a máy chç - forum vào ho¡t Ùng sÛm".

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/03.HVA%20Database%20bi%20rao%20ban%20voi%20gia%201700%20USD.mht!http://vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2006/05/3B9E954C/hva.jpg" \* MERGEFORMATINET Trang chç cça hvaonline.net lúc 13h50 ngày 3/5.

(¢nh chåp màn hình) Tuy nhiên, nía ngày sau khi bË m¥t dï liÇu, Ban qu£n trË HVA ã nh­n °ãc e-mail xin l×i cça "k» phá ho¡i" mang nickname hackernohat. Lá th° có o¡n: "Xin l×i vì ã t¡o c¡ hÙi cho hacker mi en hack HVA. Tôi thành th­t xin l×i vì sau khi thâm nh­p vào máy chç các anh, tôi ã em hình £nh tôi hack HVA giao cho mÙt ng°Ýi b¡n. Ng°Ýi này ã em nó ng trên VnISS+ forum nên chúng ã dña vào nó à phát hiÇn l×i cça forum software cça các anh. L×i IPB mà tôi ã dùng à hack HVA là Invision Power Board Func_msg.PHP SQL Injection Vulnerability ( HYPERLINK "http://www.securityfocus.com/bid/17719" securityfocus.com/bid/17719)"

Ng°Ýi mang biÇt danh hackernohat cing ã ng bài "khoe công trình" hack HVA lên Vniss nh°ng sau ó bài này ã bË chuyÃn vào ph§n th° måc bË xóa cça diÅn àn. Trong khi ó, kho£ng 19h30 ngày 2/5, trên ddth.com xu¥t hiÇn m©u qu£ng cáo "gây sÑc" rao bán toàn bÙ bài vi¿t cça forum HVA cùng 70.000 e-mail thành viên vÛi m­t kh©u ã °ãc mã hóa và box kín cça Ban qu£n trË... vÛi giá 1.700 USD.

Tuy nhiên, hành Ùng cça ng°Ýi mang nick Bill house ng m©u rao v·t này ã không nh­n °ãc sñ Óng tình cça nhiÁu c° dân m¡ng. a sÑ thành viên cça ddth.com ã tÏ thái Ù b¥t bình. Nick Samba8000 th³ng thëng tuyên bÑ: "Dù là Bill có thu nh·t °ãc vài kù thu­t xâm nh­p b¥t hãp pháp nào ó thì cing không nên sí dång à chui vào mÙt trang web cça ng°Ýi ViÇt Nam. ±ng này l¡i còn em rao bán nhïng ch× sai sót cça HVA thì không ph£i hành Ùng cça ng°Ýi quân tí, không áng m·t nam nhi".

Hacker có nick hero_zero thì phÏng oán Vniss muÑn thông qua viÇc này à l¥y l¡i ti¿ng tm và chéng minh sñ trß l¡i "phong Ù" sau mÙt nm dài im h¡i l·ng ti¿ng. "ViÇc rao bán dï liÇu cça HVA trên ddth.com khi¿n c° dân m¡ng r¥t quan tâm và °¡ng nhiên Vniss không bÏ qua måc ích bôi nhÍ uy tín diÅn àn này", hero_zero kh³ng Ënh.

N¿u nh° viÇc hacker chuyên dùng DDoS HYPERLINK "http://vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2006/04/3B9E94D4/" DantruongX "bË tóm" g§n ây °ãc a ph§n cÙng Óng m¡ng çng hÙ thì nhïng hành Ùng công khai khiêu khích, ¥u á l«n nhau giïa các tÕ chéc ng§m cça th¿ giÛi £o l¡i bË chính các hacker lên ti¿ng ph£n bác. "Sñ sát ph¡t nhau gây ra nhïng mâu thu«n khó hòa gi£i và h­u qu£ là tÕn th¥t do m¥t uy tín, danh dñ, công séc l«n tiÁn cça §u t° cho diÅn àn. Còn nhïng thành viên tham gia s½ thi¿u mÙt n¡i giao l°u hÍc hÏi", hacker mang nick hero_zero nh­n Ënh. "N¿u cé liên tåc ¥u á nhau thì khó có diÅn àn nào trå vïng và phát triÃn".

Có ý ki¿n cho r±ng, Ã các diÅn àn tin hÍc thñc sñ là mÙt sân ch¡i lành m¡nh, bÕ ích và ch¥m dét nhïng viÇc ¥u á, chéng tÏ mình thì c§n thi¿t có sñ b¯t tay giïa các admin. "H¡n lúc nào h¿t chúng tôi hy vÍng s½ có mÙt tÕ chéc kêu gÍi admin các diÅn àn cùng ngÓi l¡i vÛi nhau và Ënh h°Ûng thành viên", hero_zero bày tÏ.

"Lu­t không thà ngn ch·n hay ch¥m dét viÇc ¥u á giïa các forum, mà nh¥t thi¿t ph£i do cÙng Óng hacker tñ thÏa hiÇp", thành viên cça mÙt nhóm hacker có nick là Wilsoninlove Óng tình. "C§n có mÙt HÙi hacker thÑng nh¥t t¡i ViÇt Nam, quy tå các nhóm hacker ho¡t Ùng vì lãi ích cça cÙng Óng IT".

Song H±ng

(vnexpress)

iCMS có th­t sñ là Trí tuÇ VN?

13:41' 02/12/2004 (GMT+7)

Nh° các ph°¡ng tiÇn báo chí ã thông tin, të ngày 30/11, trên diÅn àn chính théc cça cuÙc thi Trí tuÇ VN 2004 liên tåc xu¥t hiÇn các bài vi¿t tÑ cáo s£n ph©m iCMS cça Công ty Vinacomm ã ¡o ph§n mÁm cça n°Ûc ngoài.

HYPERLINK "http://vietnamnet.vn/dataimages/original/images410297_bgk.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/04.iCMS%20dao%20phan%20mem.mht!http://vietnamnet.vn/dataimages/normal/images410297_bgk.jpg" \* MERGEFORMATINET Ban tÕ chéc cuÙc thi hÍp báo tr£ lÝi ch¥t v¥n cça báo chí t¡i Hà NÙi ngày 1-12-2004 - ¢nh: M.N (TTO). Sñ th­t ra sao? Và câu hÏi này °ãc tr£ lÝi nh° th¿ nào trong cuÙc hÍp báo sáng 1/12 cça Ban tÕ chéc cuÙc thi Trí tuÇ VN?

Copy ¿n h¡n 80%?!

Ngay të tr°Ûc lÅ trao gi£i cuÙc thi TTVN 2003, trên nhiÁu diÅn àn trñc tuy¿n ã có d° lu­n cho r±ng s£n ph©m iCMS là hàng nhái , th­m chí ngay c£ tài liÇu giÛi thiÇu s£n ph©m cing xào l¡i cça công ty khác. Tuy nhiên, k¿t qu£ là iCMS v«n ung dung o¡t vË trí cao nh¥t cça cuÙc thi.

Þ cuÙc thi nm nay, nhïng thông tin t°¡ng tñ l¡i rÙ trên các diÅn àn. Và êm 30/11/2004, mÙt qu£ bom ã nÕ trên m¡ng khi mÙt nhóm chuyên gia °a lên Ëa chÉ

HYPERLINK "http://www.diendantinhoc.com/icms/" http://www.diendantinhoc.com/icms/ mÙt bài so sánh mã nguÓn cça iCMS và mã nguÓn cça CMSNET, mÙt ph§n mÁm mã nguÓn mß, cho download miÅn phí trên m¡ng.

K¿t qu£ phân tích cho th¥y t¥t c£ các file mã nguÓn cça CMSNET Áu có trong iCMS, mÙt b±ng chéng cho th¥y iCMS có thëa k¿ cça CMSNET. Khi phân tích thí mÙt file mã gÓm 73 dòng lÇnh thì k¿t qu£ là: copy nguyên v¹n không sía Õi 63 dòng; Õi tên të CMSNET sang TTVNCMS: 3 dòng; Õi thông báo l×i të ti¿ng Anh sang ti¿ng ViÇt: 3 dòng; và thay Õi mã lÇnh à h× trã gõ ti¿ng ViÇt: 4 dòng. TÕng sÑ thay Õi th¥p h¡n 15% và không có thay Õi vÁ logic ph§n mÁm.

Sñ giÑng nhau ¿n kó l¡ cça hai hÇ thÑng mã nguÓn khi¿n ng°Ýi ta không thà không nghi ngÝ vÁ viÇc iCMS có tham kh£o CMSNET.

Bên c¡nh viÇc iCMS bË buÙc tÙi copy l¡i mã nguÓn miÅn phí cça n°Ûc ngoài, trên m¡ng còn nhiÁu thông tin khác hoài nghi vÁ tính chính áng cça s£n ph©m này khi dñ thi Trí tuÇ VN 2003 .

iCMS ã tham dñ cuÙc thi nói trên (các công ty không °ãc phép tham gia) d°Ûi danh ngh)a s£n ph©m cça mÙt nhóm l­p trình viên Ùc l­p, có tr°ßng nhóm là NguyÅn Công Kha.

Th¿ nh°ng, theo ng ký cça Sß K¿ ho¡ch -§u t° Hà NÙi, Công ty Vinacomm °ãc c¥p gi¥y phép kinh doanh ngày 23/9/2003 vÛi HYPERLINK "http://www.hapi.gov.vn/portals/default.aspx?portalid=11&tabid=146&action=view&enpid=0103002881" NguyÅn Công Kha là mÙt trong ba thành viên sáng l­p?!

MÙt chi ti¿t gây nghi v¥n khác là Vinacomm ã nhanh chóng chính théc hóa quyÁn sß hïu iCMS b±ng cách tuyên bÑ vÛi báo chí mua l¡i iCMS vÛi giá 10 tÉ Óng, trong khi sÑ vÑn cça công ty chÉ là 15 tÉ Óng?!

Nhïng ng°Ýi liên quan nói gì?

Tr°Ûc ó, tr£ lÝi phÏng v¥n cça chúng tôi vÁ nhïng th¯c m¯c cça d° lu­n, ông Vi M¡nh C°Ýng, thành viên th°Ýng trñc Ban tÕ chéc, tuyên bÑ: BÑn em o¡t gi£i vÛi s£n ph©m iCMS nm 2003 khi ó là sinh viên. Sau khi hÍ o¡t gi£i xong mÛi b¯t §u thi tÑt nghiÇp, và hoàn toàn không có iÁu gì chéng tÏ các em ó là nhân viên Công ty Vinacomm .

Tr£ lÝi câu hÏi vÁ viÇc copy mã, ông C°Ýng kh³ng Ënh: Các cáo buÙc iCMS sao chép cça n°Ûc ngoài chÉ là tin Ón. iCMS hoàn toàn minh b¡ch. Ban giám kh£o kiÃm tra kù s£n ph©m tr°Ûc khi trao gi£i và ã ánh giá r¥t chính xác, công b±ng.

Ban giám kh£o Trí tuÇ VN là nhïng chuyên gia hàng §u vÁ tin hÍc, hÍ có trách nhiÇm vÁ nhïng gì hÍ ch¥m, hÍ không chËu b¥t kó mÙt áp lñc nào và làm viÇc hoàn toàn Ùc l­p. ViÇc hÍ trao gi£i nh¥t cho s£n ph©m nào là hÍ có toàn quyÁn. Ban tÕ chéc không có nhu c§u xác minh vÁ sñ không trong s¡ch cça s£n ph©m .

Trong thông cáo báo chí gíi tÛi giÛi truyÁn thông ngày 30/11/2004, V°¡ng Vi Th¯ng, giám Ñc Vinacomm, cing tuyên bÑ: Chúng tôi kh³ng Ënh ph§n mÁm hÇ qu£n trË nÙi dung iCMS hoàn toàn do Ùi ngi kù thu­t cça nhóm iCMS xây dñng, và °ãc Công ty Vinacomm ti¿p tåc nghiên céu, phát triÃn và th°¡ng m¡i hóa sau khi nhóm o¡t gi£i. ó hoàn toàn không ph£i là mÙt s£n ph©m °ãc copy ho·c l¥y mã nguÓn mß të b¥t cé âu .

Th¿ nh°ng, trong cuÙc hÍp báo tÕ chéc ngày 1/12/2004, Ban tÕ chéc Trí tuÇ VN l¡i thông báo nhóm iCMS ã khai báo vÛi ban giám kh£o có sí dång ph§n mÁm mã nguÓn mß CMSNET khi tham dñ Trí tuÇ VN 2003. Tuy th¿, s£n ph©m này không ph¡m lu­t thi?!

Khi °ãc phÏng v¥n vÁ viÇc Công ty Vinacomm ã che gi¥u vÛi công lu­n sñ th­t vÁ nguÓn gÑc s£n ph©m, ông Vi M¡nh C°Ýng kh³ng Ënh ban tÕ chéc không quan tâm tÛi các ho¡t Ùng cça s£n ph©m sau khi o¡t gi£i.

Và khi các phóng viên ·t câu hÏi liÇu Ban tÕ chéc có t°Ûc gi£i th°ßng n¿u s£n ph©m bË chéng minh chôm cça n°Ûc ngoài và vi ph¡m b£n quyÁn ph§n mÁm mã mß, câu tr£ lÝi là nhïng v¥n Á này ch°a có trong iÁu lÇ cça gi£i Trí tuÇ VN, vì th¿ chúng tôi ch°a có qui ch¿ xí lý .

Theo thông tin të Vinacomm, ph§n mÁm iCMS ã °ãc cung c¥p cho nhiÁu báo iÇn tí lÛn nh° Công An Nhân Dân, TiÁn Phong, B°u Chính ViÅn Thông, Công NghiÇp, cùng nhiÁu c¡ quan nhà n°Ûc, trong ó có c£ ài truyÁn hình VN. VÛi viÇc các hacker có thà tham kh£o tho£i mái mã nguÓn s£n ph©m này, ây s½ là mÙt v¥n Á áng l°u tâm cça các website sí dång iCMS.

(Theo TTO)

"Lo¡n virus nÙi" lây lan qua chat Y!M, vì âu?09:25' 16/09/2006 (GMT+7)

(VietNamNet) - Hàng chåc phiên b£n virus nÙi lây lan qua chat hoành hành trong vài tháng vëa qua, d°Ýng nh° ã lôi ng°Ýi dùng YM ß ViÇt Nam vào mÙt thÝi kó "náo lo¡n" thñc sñ.

>> HYPERLINK "http://www3.vietnamnet.vn/cntt/2006/08/607828/" Virus nÙi" lây qua Yahoo Messenger tái xu¥t

>> HYPERLINK "http://www3.vietnamnet.vn/cntt/2006/08/597831/" Tác gi£ virus VLove ¿n VietNamNet "gi£i trình" sñ viÇc

>> HYPERLINK "http://www3.vietnamnet.vn/cntt/2006/08/597427/" Ng°Ýi dùng Yahoo Messenger t¡i VN bË virus mÛi t¥n công

>> HYPERLINK "http://www.vnn.vn/cntt/2006/04/565407/" Ph¡t tác gi£ virus Xrobots 10 triÇu Óng

>> HYPERLINK "http://www.vnn.vn/cntt/2006/04/558990/" C£nh báo virus mÛi lây qua Yahoo Messenger t¡i VN

¡i a sÑ d° lu­n cho r±ng ó là mÙt cuÙc ganh ua giïa nhïng hacker "mÛi lÛn", bÑc Óng, thích nÕi danh và các trung tâm an ninh m¡ng, các c¡ quan chéc nng. Không ai chËu hiÃu r±ng, Ã tiêu diÇt t­n gÑc "c¡n bão" virus nÙi, y¿u tÑ then chÑt nh¥t chính là ý théc cça cÙng Óng ng°Ýi dùng!

"Lo¡n" virus nÙi

HYPERLINK "http://www3.vietnamnet.vn/dataimages/200609/original/images1097025_Virus.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/05.Loan%20Virus%20noi%20lay%20lan%20qua%20chat%20YM.mht!http://www3.vietnamnet.vn/dataimages/200609/original/images1097025_Virus.jpg" \* MERGEFORMATINET Báo chí lên ti¿ng vÁ tình tr¡ng "lo¡n" virus nÙi lây qua chat thÝi gian qua. Khßi §u të vå phát tán virus Xrobots (nhiÁu ng°Ýi còn gÍi là virus GaiXinh) cça mÙt sinh viên Khoa Tin HÍc Kinh T¿ (H KTQD) hÓi §u tháng T° nm 2006, ng°Ýi dùng và giÛi an ninh m¡ng ViÇt Nam l§n §u tiên síng sÑt tr°Ûc mÙt lo¡i hình phát tán virus mÛi có nguyên lý h¿t séc ¡n gi£n nh°ng lây lan cñc nhanh.

Xrobots °ãc vi¿t b±ng Autoit, mÙt ch°¡ng trình khá phÕ bi¿n và có Ù phéc t¡p không cao, nh°ng virus này lãi dång các ·c tính cça ph§n mÁm chat trñc tuy¿n YahooMessenger, tñ Ùng cài virus vào máy thông qua các link gíi të list YM cça máy n¡n nhân à phát tán, nên có tÑc Ù lây nhiÅm cñc m¡nh.

Trong khi vå viÇc B.H.N - Ñi t°ãng phát tán virus nói trên, bË BKIS phÑi hãp vÛi C15 phát giác và xí ph¡t hành chính 10 triÇu Óng còn ch°a l¯ng xuÑng, hàng lo¡t virus nÙi lây lan qua chat khác l¡i xu¥t hiÇn và hoành hành dï dÙi.

CuÑi tháng 7/2006, virus Vlove vÛi b£n ch¥t t°¡ng tñ Xrobots l¡i làm m°a làm gió trong cÙng Óng c° dân m¡ng, ti¿p sau ó là hàng chåc virus t°¡ng tñ °ãc phát tán qua các website. Chúng tôi ã có mÙt sÑ thÑng kê vÁ các link phát tán virus trong thÝi gian qua: (Á nghË b¡n Íc không click vào vì hiÇn t¡i mÙt sÑ link v«n sÑng và ang chéa virus.)

http://nguoiiu.com/funny

http://www.freewebtown.com/killerking1/funny/funni.exe

http://nhut.be

http://minhnhut.be

http://daokhuc.be

http://thuviennhac.biz

http://viet8x.evonet.ro

http://www.traoluumoi.com/YMBEST/

http://vuichoivn.com

Nguy hiÃm h¡n, càng vÁ sau, các lo¡i virus này càng tinh vi, khó nh­n bi¿t và gây tác h¡i lÛn h¡n, ¡n cí nh° virus °ãc gíi të trang Viet8x, vuichoivn có kh£ nng c°Ûp status (tr¡ng thái) cça nick yahoo máy bË nhiÅm nh±m lëa ng°Ýi khác click vào, ho·c có nÙi dung "gi£ danh hiÇp s)" då ng°Ýi dùng truy c­p web chéa virus à diÇt mÙt lo¡i virus tr°Ûc ó.

Virus Funni HYPERLINK "http://www3.vietnamnet.vn/cntt/2006/08/607828/" phát tán të HYPERLINK "http://www3.vietnamnet.vn/cntt/2006/08/607828/" trang Freeweb...com còn có kh£ nng lây nhiÅm ngay khi ng°Ýi dùng b¥m vào °Ýng link vì nó lãi dång mÙt l×i b£o m­t MS06-014 cça Windows à tng kh£ nng lây lan. Các virus mÛi Óng thÝi còn t£i thêm các ph§n mÁm keylog ánh c¯p thông tin ng°Ýi dùng và DDoS

NhiÁu ng°Ýi dùng béc xúc, t¡i sao tung virus qua YM l¡i thành mÙt cái "mÑt" trong giÛi hacker háo danh thÝi gian qua?

Vì sao thành "¡i dËch"?

HYPERLINK "http://www3.vietnamnet.vn/dataimages/200609/original/images1097013_virus3.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/05.Loan%20Virus%20noi%20lay%20lan%20qua%20chat%20YM.mht!http://www3.vietnamnet.vn/dataimages/200609/original/images1097013_virus3.jpg" \* MERGEFORMATINET NhiÁu nguÓn tin cho r±ng, viÇc "lo¡n" virus lây lan qua YM thÝi gian qua, d°Ýng nh° có ph§n là hành Ùng "ph£n kháng" cça các nhóm hacker Ñi vÛi BKIS và c¡ quan qu£n lý.

Tr°Ûc khi bË xí lý, tác gi£ cça Xrobots tëng °a mã nguÓn cça virus này lên mÙt diÅn àn an ninh m¡ng, m·c dù ng°Ýi này ã l°ãc bÏ mÙt vài ph§n trong mã nguÓn. Nh°ng nhiÁu hacker sau ó ã sí dång ph°¡ng pháp phân tích ng°ãc virus à có mã nguÓn hoàn chÉnh và phát tán chúng.

MÛi ây, trên diÅn àn "H...group" còn có mÙt bài post chi ti¿t các mã nguÓn này có kèm theo... h°Ûng d«n sí dång. ChÉ c§n có trình Ù l­p trình cá... ABC cing có thà có ngay mÙt phiên b£n virus nÙi tung lên m¡ng "nÕi ình nÕi ám".

"ViÇc mã nguÓn virus YM bË phát tán tràn lan mÛi là nguyên nhân chính khi¿n virus nÙi thi nhau xu¥t hiÇn và hoành hành trong thÝi gian qua" - Ông NguyÅn Tí Qu£ng - giám Ñc trung tâm BKIS kh³ng Ënh.

Ông Qu£ng cho r±ng, ngoài ra, mÙt ph§n nguyên nhân cing do giÛi chéc ch°a thñc sñ có các biÇn pháp m¡nh tay, ch°a có tính rn e cao.

iÁu này cing tëng °ãc ông Tr§n Vn Hòa, thç tr°ßng Phòng chÑng tÙi ph¡m công nghÇ cao (thuÙc C15) trong mÙt buÕi trao Õi vÛi PV VietNamNet, thëa nh­n: "T¥t c£ các lo¡i hình tÙi ph¡m công nghÇ cao, cho ¿n nay mÛi chÉ có méc xí lý cao nh¥t là ph¡t hành chính mà thôi".

Nh° v­y, nhiÁu khi nhïng thanh niên mÛi lÛn thích m§y mò máy tính à qu­y phá, gia ình cing có chút iÁu kiÇn tài chính, s½ dÅ có tâm lý chç quan, yên tâm không bË xí án hình sñ hay ph¡t tù, cùng l¯m là bË ph¡t mÙt vài chåc triÇu Óng. Có thà ây cing là lý do khiên virus nÙi lây qua YM bùng phát m¡nh thÝi gian qua.

Theo mÙt nguÓn tin riêng khác cça VietNamNet, mÛi ây Phòng chÑng tÙi ph¡m công nghÇ cao thuÙc C15 cing ã b¯t giï mÙt sÑ Ñi t°ãng phát tán virus YM (ngoài hai Ñi t°ãng ã triÇu t­p tr°Ûc ó là tác gi£ cça Xrobots và Vlove). T¥t c£ nhïng ng°Ýi này Áu có Ù tuÕi r¥t tr», Áu là thành viên tëng tham gia mÙt vài toppic phân tích vÁ mã nguÓn virus phát tán trên mÙt forum b£o m­t và ua nhau "thí nghiÇm".

NguÓn tin cho hay, chÉ có duy nh¥t mÙt Ñi t°ãng t°¡ng Ñi lÛn tuÕi, phát tán virus YM thông qua website Freeweb.. vÛi måc ích muÑn l¥y các thông tin bí m­t cça ng°Ýi dùng. Còn l¡i các Ñi t°ãng khác Áu chÉ sinh nm 1990, 1991 và r¥t thi¿u hiÃu bi¿t.

ChÉ ti¿c thay, ¿n khi hÍ bË c¡ quan chéc nng triÇu t­p, "n°Ûc m¯t l°ng tròng", n nn hÑi h­n thì ã muÙn.

"Sao báo chí nói hoài mà cé làm liÁu, làm rÓi mÛi xin l×i. Bao nhiêu ng°Ýi dùng ã dính virus và chËu sñ bñc bÙi lo l¯ng? bao nhiêu tài nguyên ã bË lãng phí? bao nhiêu chi phí ph£i bÏ ra à gi£i quy¿t h­u qu£? Ai s½ là ng°Ýi ph£i chËu trách nhiÇm cho nhïng hành Ùng thi¿u hiÃu bi¿t cça các b¡n ¥y?" - mÙt chatter béc xúc.

"CuÙc chi¿n" cça cÙng Óng

HYPERLINK "http://www3.vietnamnet.vn/dataimages/200609/original/images1097019_Virus4.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/05.Loan%20Virus%20noi%20lay%20lan%20qua%20chat%20YM.mht!http://www3.vietnamnet.vn/dataimages/200609/original/images1097019_Virus4.jpg" \* MERGEFORMATINET Mã nguÓn Virus YM °ãc phát tán trên mÙt forum có kèm theo c£... "h°Ûng d«n sí dång"!? ChÉ trong vòng vài tháng, BKIS ã thÑng kê có kho£ng 200 ngàn máy tính ß ViÇt Nam tëng bË các lo¡i virus nÙi này "vi¿ng thm". Qu£ là mÙt con sÑ áng gi­t mình! Ph§n mÁm diÇt virus BKAV liên tåc c­p nh­t các bi¿n thÃ, nh°ng d°Ýng nh° ch°a thà ¡t hiÇu qu£ nh° mong muÑn. R¥t nhiÁu ng°Ýi th­m chí không bi¿t cách diÇt virus theo úng ph°¡ng pháp.

Ông Tr§n Vn Hòa (C15) cho r±ng, Ã xí lý m¡nh tay h¡n, mang l¡i sñ Õn Ënh cho môi tr°Ýng m¡ng, c¡ quan chéc nng c§n có sñ sía Õi các lu­t liên quan nh±m tng tính nghiêm minh và có giá trË rn e h¡n nïa.

"ViÇc xí lý vi ph¡m phå thuÙc vào vn b£n pháp lu­t, mà các vn b£n pháp lu­t liên quan ¿n tÙi ph¡m công nghÇ cao hiÇn nay Áu chÉ °a ra các hình théc xí lý ph¡t hành chính. MuÑn có méc án cao h¡n là tù giam, buÙc ph£i chéng minh °ãc bÑn y¿u tÑ c¥u thành tÙi ph¡m hình sñ, áp dång Ñi vÛi d¡ng tÙi ph¡m công nghÇ cao là r¥t phéc t¡p" - Ông Hòa nói.

HiÇn t¡i, BÙ T° Pháp ang chç trì mÙt dñ án bÕ sung và c­p nh­t các vn b£n lu­t liên quan ¿n tÙi ph¡m công nghÇ cao. Dñ án này n±m trong n× lñc cça giÛi chéc nh±m qu£n lý tÑt h¡n các ho¡t Ùng vi ph¡m pháp lu­t trên môi tr°Ýng m¡ng.

Trung tâm VNCERT (BÙ BCVT) cing ã gíi công vn ¿n 6 ISP lÛn cça ViÇt Nam yêu c§u thñc hiÇn các biÇn pháp nh±m ngn ch·n sñ lây lan cça các lo¡i virus nÙi lây lan qua chat. Công vn này ã chÉ rõ mÙt sÑ biÇn pháp kù thu­t c§n °ãc các ISP phÑi hãp áp dång Óng bÙ Ã ngn ch·n sñ lây lan ngay t¡i các cÕng cung c¥p các lo¡i hình truy xu¥t Internet.

"Các biÇn pháp kà trên s½ ph£i °ãc ti¿n hành và báo cáo vÁ VNCERT tr°Ûc 17 giÝ ngày 15/09/2006. Trong thÝi gian s¯p tÛi VNCERT s½ °a vào triÃn khai hÇ thÑng nh­n báo cáo sñ cÑ 24/7 cho cÙng Óng Internet ViÇt Nam, xúc ti¿n thành l­p nhóm các ¡n vË phÑi hãp ph£n éng nhanh sñ cÑ máy tính à có kh£ nng iÁu phÑi nhanh và hiÇu qu£ nh¥t."

"VÁ lâu dài, ho¡t Ùng iÁu phÑi các ISP là mÙt trong các biÇn pháp hiÇu qu£ mà VNCERT s½ ti¿n hành à ph£n éng ngn ch·n các t¥n công m¡ng trên diÇn rÙng" - ¡i diÇn VNCERT kh³ng Ënh.

T¥t c£ Áu cho th¥y, c¡ quan chéc nng ch¯c ch¯n s½ có nhïng ho¡t Ùng m¡nh tay và quy¿t tâm h¡n trong cuÙc chi¿n chÑng virus nÙi nói riêng và chÑng tÙi ph¡m công nghÇ cao nói chung.

Các virus lây lan qua chat chç y¿u ho¡t Ùng theo nguyên lý là tìm ¿n nhïng ch°¡ng trình nào có tên là Yahoo Messenger trên máy ng°Ýi dùng rÓi active nó. Vì th¿ có ng°Ýi nêu ý ki¿n r±ng n¿u nh° Yahoo có thà cho phép ng°Ýi dùng tñ ý thay Õi dòng title cça Yahoo Messenger (ng°Ýi dùng muÑn iÁn gì thì iÁn) virus YM s½ không nh­n bi¿t °ãc mà t¥n công. Song viÇc này d°Ýng nh° là không thÃ, vì hiÇn t¡i dòng tít "Yahoo Messenger with voice" ã là th°¡ng hiÇu cÑ Ënh cça Yahoo.

MÙt chân lý hiÃn nhiên mà nhiÁu ng°Ýi Áu Óng tình: ¥u tranh vÛi ¡i dËch virus nÙi lây lan qua chat, (cing nh° vÛi các hành vi x¥u qua Internet nói chung) y¿u tÑ then chÑt là ý théc cça cÙng Óng ng°Ýi dùng.

"ChÉ c§n ng°Ýi dùng có ý théc, ai ó vi¿t ra mÙt ph§n mÁm t°Ýng lía ho¡t Ùng ¡n gi£n theo kiÃu nh­n diÇn các link virus à ngn ch·n trên máy ng°Ýi dùng cho mÍi ng°Ýi down vÁ. Ai lá bË nhiÅm virus, s½ c­p nh­t link lên ph§n mÁm này, sau ó nó tñ Ùng update lên máy ng°Ýi dùng khi online, nh° th¿ m×i con virus xu¥t hiÇn s½ bË c­p nh­t vào danh sách en trong hÇ thÑng ngay, cùng l¯m chÉ có vài trm ng°Ýi bË nhiÅm" - MÙt b¡n Íc VietNamNet nêu lên sáng ki¿n.

Thay vì Õ trách nhiÇm lên vai c¡ quan chéc nng và các tÕ chéc an ninh m¡ng, chính cÙng Óng ng°Ýi dùng nên oàn k¿t à tñ b£o vÇ mình, vëa ¡n gi£n vëa hiÇu qu£!

Quan trÍng h¡n, là ki¿n théc và ý théc tñ b£o vÇ cça ng°Ýi dùng hiÇn t¡i ß ViÇt Nam còn r¥t th¥p. Thñc t¿ là có ng°Ýi liên tåc "dính".. c£ 9 lo¡i virus nÙi lây lan qua chat trong thÝi gian qua mà không rút ra °ãc kinh nghiÇm. ã nhiÁu l§n chúng tôi trích lÝi các chuyên gia khuy¿n cáo ng°Ýi dùng vÁ ý théc b£o vÇ. Nay xin nh¯c l¡i mÙt l§n nïa:

- Không nên click vào các °Ýng link l¡ gíi qua chat, file ính kèm trong email khi ch°a ch¯c ch¯n vÁ Ù tin c­y. (TÑt nh¥t là hÏi l¡i ng°Ýi gíi n¿u ó là ng°Ýi quen).

- Sí dång ít nh¥t mÙt ph§n mÁm diÇt virus, quét Ënh kó, và th°Ýng xuyên c­p nh­t các thông tin mÛi. Th°Ýng xuyên download ch°¡ng trình sía l×i cça các nhà cung c¥p ph§n mÁm, ·c biÇt të các nhà cung c¥p hÇ iÁu hành nh° Microsoft.

- Khi bË nhiÅm virus, ng¯t các hÇ thÑng có thà truyÁn nhiÅm, phát tán virus (YM, Outlook Express, webmail...) báo ngay cho bÙ ph­n kù thu­t, tìm cách thông tin cho các c¡ quan có chéc nng, tìm thông tin à diÇt virus.

Th¿ Phong

Vietnamnet

S½ khßi tÑ mÙt hacker VN t¥n công të chÑi dËch vå

Cåc c£nh sát iÁu tra tÙi ph¡m kinh t¿, BÙ Công an (C15), vëa b¯t giï NguyÅn Thành Công, mÙt hacker nÕi danh trong n°Ûc vÛi nickname DantruongX, vì tÙi t¥n công të chÑi dËch vå (DDoS) nhiÁu site th°¡ng m¡i iÇn tí. ây là l§n §u tiên ß VN, lo¡i tÙi ph¡m này bË b¯t và nhiÁu kh£ nng chËu xí lý hình sñ.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/06.Se%20khoi%20to%20mot%20hacker%20Vietnam%20tan%20cong%20DDOS.mht!http://vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2006/04/3B9E94D4/sodo.jpg" \* MERGEFORMATINET S¡ Ó thi¿t l­p m¡ng botnet và t¥n công DDoS (¢nh do BKIS cung c¥p) Ngay trong ngày bË b¯t (28/4), hacker DantruongX (trú t¡i k Lk) ã nh­n tÙi. C¡ quan c£nh sát kh³ng Ënh NguyÅn Thành Công còn dính líu tÛi mÙt vå viÇc khác liên quan ¿n °Ýng dây làm gi£ th» ATM. HiÇn nhân v­t này °ãc cho t¡i ngo¡i.

Ông Tr§n Vn Hòa, Tr°ßng phòng chÑng tÙi ph¡m công nghÇ cao thuÙc C15, cho bi¿t: "Chúng tôi s½ ph£i làm viÇc vÛi ViÇn kiÃm sát tÑi cao à có ph°¡ng án xí lý thích áng. Tr°Ýng hãp cça NguyÅn Thành Công ç iÁu kiÇn à khßi tÑ hình sñ. ây cing là bài hÍc à nhïng hacker có ý Ó x¥u c§n ph£i coi chëng".

Sau khi website th°¡ng m¡i iÇn tí cça Công ty TNHH ViÇt C¡ bË HYPERLINK "http://vnexpress.net/Search/?p=1&r=1&a=1&s=t%26%237845%3Bn%20c%26%23244%3Bng%20t%26%237915%3B%20ch%26%237889%3Bi%20d%26%237883%3Bch%20v%26%237909%3B" t¥n công DDoS hôm 12/3, khi¿n toàn bÙ ho¡t Ùng cça doanh nghiÇp này bË tê liÇt, C15 ã cùng Trung tâm An ninh m¡ng ¡i hÍc Bách khoa BKIS k¿t hãp iÁu tra. K¿t qu£ phân tích file log (nh­t ký trên máy chç) të website cça ViÇt C¡ cho th¥y ây không ph£i là hình théc 'ánh' sí dång xflash v«n th°Ýng x£y ra ß ViÇt Nam. Các thông tin ghi nh­n °ãc và viÇc l§n theo d¥u v¿t të c¡ ch¿ t¥n công ã giúp tìm ra thç ph¡m là NguyÅn Thành Công, mÙt thành viên trong nhóm hacker Bé Yêu, vÑn r¥t có ti¿ng tm trong giÛi "giang hÓ m¡ng".

NguyÅn Thành Công cùng mÙt sÑ hacker khác ã xây dñng mÙt hÇ thÑng m¡ng máy tính ma (botnet), téc là ã chi¿m °ãc quyÁn iÁu khiÃn cça r¥t nhiÁu máy tính nÑi m¡ng ß ViÇt Nam mà chç nhân không hay bi¿t. Nhïng máy tính này s½ °ãc chúng iÁu khiÃn të xa à t¥n công vào b¥t kó website nào. "Trong h¡n 1 tháng quan sát, chúng tôi nh­n th¥y chúng thay Õi các måc tiêu t¥n công h±ng ngày. ó có thà là các website th°¡ng m¡i, ôi khi n¡n nhân l¡i là trang web cça mÙt tr°Ýng phÕ thông", ông NguyÅn Tí Qu£ng cho bi¿t.

Dù không m¥y b¥t ngÝ nh°ng giÛi hacker cing r¥t xôn xao tr°Ûc thông tin DantruongX bË "tóm" bßi l½ ây là DDoSer §u tiên t¡i ViÇt Nam sa l°Ûi pháp lu­t. Trao Õi cùng VnExpress, mÙt hacker bÙc b¡ch: "Có thà DantruongX xem viÇc DDoS Vietco chÉ nh±m thà hiÇn mình. Tuy nhiên không có gì ng¡c nhiên khi ng°Ýi này bË b¯t giï bßi sñ hi¿u th¯ng luôn là iÃm y¿u cça hacker".

MÙt hacker có quen bi¿t NguyÅn Thành Công nh­n Ënh: "Chúng tôi chÝ ãi và theo dõi nhïng k» tÕ chéc DDoS §u tiên sa l°Ûi và viÇc b¯t DantruongX là r¥t úng. Ng°Ýi này tëng là nhân viên cça Vietco và Ùng c¡ 'ánh' Vietco không gì khác là thù h±n cá nhân vÛi n¡i làm viÇc ci" .

Cing theo ng°Ýi này, DantruongX là tác gi£ cça mÙt lo¡i code DDoS m¡nh nh¥t t¡i ViÇt Nam hiÇn nay, và vÛi 10 PC có thà ánh s­p mÙt website trong 10 phút. NhiÁu diÅn àn tin hÍc nh° HVA, VHS... cing là måc tiêu cça hacker này.

Ý ki¿n cça nhiÁu chuyên gia IT cho r±ng tr°Ûc ây, nhïng thiÇt h¡i do DDoS gây ra Ñi vÛi các website cá nhân, forum, doanh nghiÇp quy mô nhÏ không nhiÁu. H¡n nïa, chç website bË DDoS cing ch³ng thi¿t tha khai báo sñ viÇc nên mÍi viÇc chìm vào quên lãng. Riêng nhïng ãt t¥n công g§n ây liên quan tÛi các website th°¡ng m¡i iÇn tí gây thiÇt h¡i n·ng và £nh h°ßng ¿n sñ tÓn t¡i cça doanh nghiÇp nên các c¡ quan chéc nng ã thñc sñ vào cuÙc.

"ViÇc tìm ra ng°Ýi §u tiên sí dång công cå DDoS vào måc ích x¥u này có ý ngh)a lÛn trong viÇc rn e, c£nh báo nhïng DDoSer khác, làm s¡ch h¡n môi tr°Ýng th°¡ng m¡i iÇn tí và chÑng l¡i sñ c¡nh tranh không lành m¡nh giïa các doanh nghiÇp", ông Tr§n Hùng C°Ýng, Giám Ñc Trung tâm Céu hÙ máy tính 911, ¡n vË tëng bË t¥n công DDoS, bày tÏ. "N¿u iÁu tra °ãc thç ph¡m là doanh nghiÇp éng ±ng sau viÇc này, thi¿t ngh) cing c§n có biÇn pháp xí lý th­t thích áng".

"Nhïng k» t¥n công DDoS hiÇn r¥t xem th°Ýng pháp lu­t, nên m×i khi Á c­p ¿n DDoS là các website liên tåc chËu òn. Ph£i coi hacker phá ho¡i là tÙi ph¡m và nghiêm kh¯c trëng trË", bà Lê ThË UyÃn, ng°Ýi iÁu hành website muabanraovat.com, Óng tình. "Và n¿u iÁu tra °ãc tÕ chéc DDoS thuê, ph£i truy t­n gÑc ng°Ýi thuê mÛi mong gi£m thiÃu tình tr¡ng này. ëng à DDoS trß thành v¥n n¡n ngn c£n b°Ûc ti¿n cça th°¡ng m¡i iÇn tí ViÇt Nam".

Song H±ng

(vnexpress)

Th¿ giÛi cça nhïng Gamehacker 23:47' 23/03/2006 (GMT+7)

Xu¥t hiÇn ß ViÇt Nam ch°a §y 4 nm, nh°ng game online có tÑc Ù phát triÃn n HYPERLINK "http://tintuconline.com.vn/vn/cuocsongso/83093/" hanh ¿n chóng m·t và theo ó, n¡n hackgame cing lan nhanh không kém các lo¡i bÇnh dËch.

Sau khi FPT tuyên bÑ Ùc quyÁn khai thác MU t¡i ViÇt Nam và dÍa s½ khßi kiÇn các sever MU tñ do trên c£ n°Ûc, "¿ ch¿" MUVN vÛi hàng triÇu HYPERLINK "http://tintuconline.com.vn/vn/cuocsongso/83008/" ng°Ýi ch¡i g§n nh° ã såp Õ. ây qu£ là c¡ hÙi có mÙt không hai cça các nhà cung c¥p hÙi HYPERLINK "http://tintuconline.com.vn/news/newsSearch.aspx?str=online%20games" game online mÛi, ¿ ch¿ vàng MU ã i vào quá khé nh°Ýng b°Ûc cho nhïng tân binh tr» vÛi cuÙc c¡nh tranh khÑc liÇt, lôi kéo nhïng ng°Ýi ch¡i game vÁ vÛi mình.

CuÙc chi¿n không ti¿ng súng nh°ng không kém ph§n quy¿t liÇt này không chÉ diÅn ra giïa các nhà cung c¥p game mà còn giïa các game thç trong th¿ giÛi £o.

Khát khao thà hiÇn mình và mong ¡t tÛi Énh cao mà không c§n bÏ ra nhiÁu công séc ã s£n sinh ra gamebuyer, nhïng game sµn sàng bÏ tiÁn th­t à mua °ãc nhïng món Ó trong game. Có c§u ¯t có cung, các gamehacker ã vào cuÙc vÛi trò gian l­n công nghÇ cao cça mình. Không chÉ hack game à ki¿m tiÁn, hÍ còn hack à thÏa mãn tham vÍng mong muÑn trß thành nhïng tên tuÕi lÛn cça th¿ giÛi £o.

Tôi i... hack

Trß thành k» có séc m¡nh và nh­n °ãc sñ ng°áng mÙ cça các game thç khác qu£ là mÙt sñ cám d× khó c°áng. R¥t nhiÁu game thç ã i tìm cho mình nhïng con °Ýng t¯t và th­t áng ti¿c hÍ ã... thành công.

Trong vai mÙt tay ch¡i game cùng vÛi H., mÙt chuyên gia cài keyloger, chúng tôi h¡ cánh t¡i quán game 112 Lê Thanh NghË (Hà NÙi). ChÉ m¥t ch°a §y 5 phút, H ã vô hiÇu hóa chéc nng quét virut vÛi v» th£n nhiên, Óng thÝi b­t ch°¡ng trình chat lên à t£i keyloger. Chung quanh, c£ chç hàng l«n nhïng ng°Ýi ch¡i không ai hay bi¿t. Xem H "biÃu diÅn" xong, tôi Ënh éng lên tr£ tiÁn thì H níu l¡i b£o: "NgÓi thêm 1-2 ti¿ng nïa, mÛi vào mÙt chút mà ã éng lên bÍn nó s½ nghi".

Qu£ th­t tr°Ûc màn biÃu diÅn say s°a cça H và sñ "ngây th¡" cça chç hàng tr°Ûc nhïng thç o¡n nh° v­y, tôi chãt hiÃu ra t¡i sao n¡n hackgame l¡i có thà hoành hành ¿n nh° v­y. H§u h¿t các chç hàng game Áu r¥t mù mÝ vÁ công nghÇ m¡ng, t¥t c£ nhïng gì hÍ có thà làm là c¥m ng°Ýi ch¡i không °ãc nÑi các thi¿t bË ngo¡i vi nh° USB, )a mÁm.

HÍ không bi¿t r±ng nhïng hacker tinh quái ã n¯m °ãc iÃm y¿u này, khi thñc hiÇn hack h§u h¿t các ph§n mÁm gián iÇp °ãc hacker l°u sµn trên m¡ng hay thñc hiÇn giao théc chuyÃn file qua chat. ViÇc quá tin vào nhïng ph§n mÁm b£o vÇ nh° Norton Anti Virut hay Mc Afee mà không có ki¿n théc và kinh nghiÇm qu£n lý m¡ng ã khi¿n nhiÁu chç hàng ph£i tr£ giá ¯t vì khách ch¡i game cça hÍ mÙt i không trß laË do lo sã bË hack.

Gamehacker, hÍ là ai?

Nói nôm na thì gamehacker là nhïng ng°Ýi có hiÃu bi¿t vÁ l­p trình và kù nng sí dång các ph§n mÁm chuyên dång à v°ãt qua lÛp b£o m­t và tìm cách thay Õi ho·c ánh c¯p các thông tin trong game.

Tuy nhiên, vÛi mÙt cái nhìn sâu h¡n thì trong giÛi gamehacker luôn có nhïng c¥p b­c riêng và c¥p Ù phá ho¡i cça các thé b­c này cing khác nhau. Cao thç nh¥t ph£i kà ¿n là các coder, tuy chi¿m sÑ l°ãng r¥t ít nh°ng l¡i óng vai trò r¥t quan trÍng, chính hÍ là nhïng ng°Ýi vi¿t ra ph§n mÁm hackgame.

Sau coder, chi¿m sÑ ông là gamepirate hay còn °ãc gÍi là cheatuser, là nhïng ng°Ýi không có kh£ nng l­p trình và chç y¿u sí dång các ph§n mÁm và tài liÇu có sµn do coder vi¿t ra à ti¿n hành hack. Tùy theo trình Ù mà méc Ù cça cheatuser mà méc Ù xâm nh­p và ánh c¯p cing khác nhau.

MÙt gamer bi¿n thành gamehacker nh° th¿ nào?

V­y công séc, tiÁn cça bÏ ra h¡n bÑn tháng trÝi cÙng vÛi bao êm "gåc bên bàn phím bÏ quên Ýi" ã bay theo gió. C°Ýng th­m chí không dám tin r±ng mình ã m¥t t¥t c£, v«n còn nhà, còn xe nh°ng trong th¿ giÛi £o, c­u ã trß thành tay tr¯ng. Sau mÙt êm m¥t ngç vì ti¿c, C°Ýng ã lao vào hÍc hackgame và t­p hack à mong tìm l¡i nhïng gì mình ã m¥t.

C°Ýng ã ¡t °ãc måc ích là "tìm l¡i °ãc cái ã m¥t", nh°ng xem ra cái giá C°Ýng ph£i tr£ còn lÛn h¡n nhiÁu, ó là niÁm say mê game thuß ban §u. C­u tâm sñ: "Bây giÝ, vÛi em, game online nào cing v­y thôi. Em th¥y ó ¡n gi£n chÉ là nhïng món hàng bán °ãc vÛi giá hÝi". MÙt cách vô théc, không ít gamer cing ang tñ bi¿n mình thành nhïng k» c¯p trên m¡ng. Khi n¡n hackgame tràn lan và ngày càng có xu h°Ûng lan rÙng, r¥t nhiÁu gamer ngh) r±ng n¿u cé "l°¡ng thiÇn" thì khó mà sÑng nÕi. Trên các diÅn àn ho·c trên m¡ng chat, các gamer th°Ýng truyÁn kh©u cho nhau các "bí kíp" cça mình và cùng nhau thñc hành. Ã lý gi£i cho hành Ùng cça mình, Gunbound - mÙt gamer phát biÃu: ""MuÑn chÑng hack °ãc tÑt thì tr°Ûc tiên ph£i hiÃu vÁ nó ã ché. Xem ra hÍc ít "ngón nghÁ" Ã phòng thân ang °ãc coi là mÑt trong giÛi ch¡i game online.

"Thiên h¡ vô t·c" trong th¿ giÛi game online - liÇu có quá xa vÝi?

ViÇc FPT chính théc công nh­n và b£o hÙ quyÁn sß hïu tài s£n £o cing nh° viÇc trao Õi mua bán Ó £o b±ng tiÁn m·t ã em ¿n mÙt b°Ûc phát triÃn mÛi cho game online ViÇt Nam. Tuy nhiên, bên c¡nh h°Ûng tích cñc là t¡o ra các gamer chuyên nghiÇp, theo kËp xu th¿ cça th¿ giÛi thì tuyên bÑ này cing vô hình trung trß thành òn b©y cho bÍn ¡o chích game online có ¥t dång võ.

Nhìn toàn c£nh công nghiÇp game online VN, có thà ví nh° mÙt cái cây phát triÃn quá nhanh, l°ãng thì thëa nh°ng ch¥t l¡i thi¿u. H¡n nïa Ùi ngi gamemaster ph§n lÛn là nhïng ng°Ýi ch¡i game giÏi, nh°ng nng lñc qu£n trË m¡ng và xí lý các tình huÑng ngoài dñ ki¿n thì không nhiÁu.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/07.The%20gioi%20Gamehacker%20vietnam.mht!http://www3.vietnamnet.vn/dataimages/200603/original/images932923_Hacker2.jpg" \* MERGEFORMATINET MÙt GameHacker ang "làm viÇc" Vô hình trung, të sñ b¥t lñc cça mình, các gamemaster và nhà cung c¥p dËch vå ã Ã cho mÙt thé "lu­t rëng" tñ phát trong th¿ giÛi game online. MÍi ng°Ýi tñ chËu trách nhiÇm và gi£i quy¿t mÍi khúc m¯c theo cách riêng và ôi khi r¥t... rëng cça mình.

BË l¥y m¥t Ó thì tñ i hack à ki¿m l¡i, còn n¿u nh° kém may m¯n, lá bË b¯t qu£ tang thì chÉ còn n°Ûc i vô bÇnh viÇn mà... rút kinh nghiÇm. ó là nhïng hành vi ph¡m pháp nh°ng cing không ph£i là cách gi£i quy¿t hiÇu qu£ à xí lý gÑc rÅ cça n¡n hacker.

(Theo E-Chip)

Theo chân hacker làm "¡o chích" online16:05' 05/07/2006 (GMT+7)

(VietNamNet) - "Anh thích Laptop IBM hay Ipod nano 60 GB?" - Dak nói, giÍng không có v» gì là ang ùa - "Em ang có h¡n ngàn con "CC chùa" (mã th» tín dång trñc tuy¿n bË n c¯p) còn ngon, ch°a xài, ship th³ng hàng vÁ ViÇt Nam ¡n gi£n. Anh chÉ ph£i ra h£i quan làm thç tåc nh­n hàng. TÉ lÇ thành công kho£ng 60%, có gan thì em làm liÁn!"

T­p làm "Newbie"

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/08.Theo%20chan%20hacker%20lam%20'dao%20chich'%20online.mht!http://vietnamnet.vn/dataimages/200607/original/images1026065_RaoBanCCV.jpg" \* MERGEFORMATINET "CC chùa" °ãc rao bán trên nhiÁu diÅn àn... Sñ thñc là Dak (nickname cça mÙt chàng thanh niên ViÇt Nam sinh nm 1984) không hÁ ùa, tr°Ûc ó chÉ vài phút, Dak h°Ûng d«n tôi b±ng mÙt vài të khóa search trên Google à l§n ¿n mÙt shop bán hàng online n°Ûc ngoài bË l×i l­p trình Jet Database - MÙt d¡ng cça l×i SQL Injection. B±ng mÙt vài câu lÇnh khác, anh ta b¯t §u thay Õi các sÑ të nhÏ cho ¿n lÛn à tìm ra cÙt có chéa giá trË usename và password cça admin. Và Dak ã chi¿n th¯ng.

"ViÇc ti¿p theo là tìm ra link Cpanel", cing b±ng kinh nghiÇm. Dak nói: "Các shop thông th°Ýng hay có các link Cpanel kiÃu m·c Ënh ban §u cça mã nguÓn. Th°Ýng thì các shop ã thay Õi link, nh°ng thñc t¿ là không ph£i ai cing m·n mà vÛi nhïng công viÇc r¯c rÑi cça quy trình b£o m­t. Sai l§m ch¿t ng°Ýi th°Ýng ¿n të nhïng l× hÕng ¡n gi£n nh¥t". Dak gi£ng gi£i và b¯t §u l¥y të database cça shop này các mã tài kho£n tín dång (CC - Credit Card) có thà dùng à thanh toán trñc tuy¿n.

Cho ¿n tr°Ûc khi nhïng chç tài kho£n này kËp phát hiÇn ra v¥n Á và Õi m­t kh©u, Dak có toàn quyÁn sí dång chúng à order b¥t cé m·t hàng nào có giá th¥p h¡n tÕng sÑ tiÁn cça tài kho£n. Và th°Ýng thì anh ta ship hàng të mÙt vài shop lÛn khác, thông qua các dËch vå chuyÃn phát trung gian à gíi nó vÁ ViÇt Nam d°Ûi d¡ng gift (quà t·ng).

MÍi viÇc chÉ diÅn ra ch°a §y 30 phút. Nh°ng thñc ra, kinh nghiÇm và may m¯n ã giúp Dak l§n này, th°Ýng thì nhïng l§n khác ph£i khá v¥t v£, trình Ù b£o m­t ngày càng cao khi¿n viÇc hack shop không ph£i lúc nào cing thành công, có khi hacker ph£i ngÓi ló vài ngày, viÇc thay các giá trË të th¥p ¿n cao vào câu lÇnh tìm ra b£ng chéa giá trË cÙt pass admins có khi të 1 ¿n vài trm, m¥t r¥t nhiÁu thÝi gian. "Không có b¥t cé shop nào dám tuyên bÑ là mình b£o m­t b¥t kh£ xâm ph¡m, và nhïng l×i phÕ bi¿n nh¥t th°Ýng là Jet database và SQL Injection". Dak nh­n Ënh.

Dak mÛi 22 tuÕi, c­u ta bi¿t chat l§n §u tiên cách ây 4 nm, khi ang hÍc lÛp 11, sau ó, mày mò hÍc làm web t·ng b¡n gái trên mÙt sÑ diÅn àn, Dak b¯t §u có nhu c§u sí dång các tên miÁn dài h¡n và °ãc host t°¡ng Ñi tÑt. C­u °ãc mÙt sÑ àn anh trong "th¿ giÛi ng§m" chÉ d¡y viÇc sí dång các "CC chùa" Ã mua tên miÁn và host.

"ó là nhïng tài s£n vô hình (tên miÁn, dung l°ãng hosting - NV), em g§n nh° không c£m th¥y áy náy và có l×i vì em không tråc lãi gì vÁ v­t ch¥t khi muÑn có nhïng thé Ã xây dñng forum và web âm nh¡c miÅn phí cho b¡n bè" - Dak tâm sñ.

Nâng cao trình Ù

Quá trình i lên të "newbie" (lính mÛi) cça Dak diÅn ra b±ng con °Ýng tñ hÍc hÏi và mò m«m trên các diÅn àn là chính. ôi khi cing có nhïng b­c àn anh có trình Ù và nhiÁu kinh nghiÇm chÉ d¡y t­n tình. Song à ship °ãc thành công, òi hÏi nhiÁu kinh nghiÇm tñ mày mò h¡n là ki¿n théc.

Dak nói: "Nguyên viÇc fake IP (dùng Ëa chÉ IP £o trên Internet) khi mua hàng trñc tuy¿n b±ng tài kho£n "chùa" ã là mÙt yêu c§u s¡ ³ng, ph£i làm sao à IP không ph£i là IP ß ViÇt Nam, quan trÍng h¡n, State (Ëa chÉ) cça IP sí dång ph£i trùng vÛi state cça CC sí dång mÛi ¡t ¿n Ù tin c­y cao nh¥t, song ó v«n ch°a ph£i là t¥t c£, l§n ship hàng nào cing c§n thêm y¿u tÑ may rçi".

Tr°Ûc ây, Dak và c° dân th¿ giÛi ng§m CC "chùa" th°Ýng dùng mÙt sÑ tool nh° Findnot, nh°ng hiÇn t¡i, chç y¿u hÍ dùng các d¡ng "private sock", téc là dùng sock riêng b±ng cách remote qua mÙt Host trung gian do shipper tñ mua. Nh° th¿ khi shop trñc tuy¿n check IP s½ chÉ th¥y °ãc IP cça host, còn Shipper sau khi xóa log të Host s½ b£o m­t °ãc IP mà không ai bi¿t, và các IP luôn có "Ù s¡ch" cao!

"CC chùa" °ãc phát tán §y trên m¡ng, ph§n lÛn trong sÑ ó không còn xài °ãc nïa, song có nhïng ng°Ýi chuyên hack shop à bán CCV (mã th» tín dång ã °ãc chéng thñc) và nhïng thé này th°Ýng là áng tin c­y." - Dak nói ti¿p và kh³ng Ënh: "Nhïng ng°Ýi có ç trình Ù hack shop ngày càng ít i, ph§n lÛn dân shipper th°Ýng xài CC có sµn do ng°Ýi khác share ho·c bán cho, iÁu ó làm cho c° dân th¿ giÛi ng§m ngày càng h×n lo¡n. Nhïng tay chuyên nghiÇp b¯t §u giï mi¿ng à làm riêng và viÇc này vì th¿ ngày càng khó phát hiÇn".

Sau vài nm nghiên céu vÁ l­p trình và hacking, Dak - vÑn r¥t có nng khi¿u b¯t §u tñ hack °ãc nhïng shop hàng §u tiên à có CC cça riêng mình. D§n d§n, trình Ù cça Dak à sí dång chúng sao cho hiÇu qu£ cing b¯t §u nâng lên. T¥t nhiên, nó cing Óng ngh)a vÛi viÇc c­u ta ngày càng lún sâu vào vòng xoáy cça ma lñc và tÙi l×i.

T¥t nhiên không ph£i b¥t kó thông sÑ nào cça "CC chùa" cing dùng °ãc ngay. Tr°Ûc khi sí dång nó vào måc ích mong muÑn. Các shipper c§n có mÙt công o¡n quan trÍng và cing h¿t séc s¡ ³ng là... Íc CC. Dak nói: "CC chia làm nhiÁu lo¡i nh° Visa, Amex (American Express) , Master Card,... M×i lo¡i th» có con sÑ §u tiên khác nhau . Do v­y c§n chú ý khi chÍn lo¡i mã th» tín dång phù hãp. Sau ó là ¿n công o¡n kiÃm tra xem CC live or died. N¿u các thông sÑ là chính xác, dËch vå mua bán trñc tuy¿n s½ ch¥p nh­n CC cça c­u ta - ngh)a là CC ó hoàn toàn có thà mang ra sí dång.

MÙt thç thu­t khác à bi¿t sÑ tiÁn hiÇn có trong tài kho£n là so sánh giá c£: "Anh hãy thí ti¿n hành nhïng b°Ûc §u mua hàng b±ng CC hack °ãc ß mÙt shop online" Dak gi£i thích - và chÍn món hàng b¥t kó, n¿u shop ch¥p nh­n viÇc mua hàng, ngh)a là sÑ tiÁn trong tài kho£n lÛn h¡n ho·c b±ng giá tiÁn món hàng trong shop ó. Khi ó, anh có thà hoàn t¥t viÇc mua bán ho·c cancel à chÍn món hàng khác ß b¥t kó shop nào.

Lu­t lÇ cça "Th¿ giÛi ng§m"

HYPERLINK "http://vietnamnet.vn/dataimages/200607/original/images1024297_Mail2.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/08.Theo%20chan%20hacker%20lam%20'dao%20chich'%20online.mht!http://vietnamnet.vn/dataimages/200607/original/images1024297_Mail2.jpg" \* MERGEFORMATINET ...và °ãc các shipper share cho nhau vô tÙi v¡ qua email! T¥t c£ viÇc trao Õi cça tôi và Dak Áu °ãc diÅn ra qua chat YahooMessenger. ó là mÙt trong nhïng lu­t lÇ quy °Ûc cça "th¿ giÛi ng§m". N¿u không thñc sñ c§n thi¿t thì tÑt nh¥t không c§n bi¿t thông tin th­t vÁ nhau, không webcam, gÍi nhau b±ng nick và t¥t nhiên, r¥t khó Ã hai shipper g·p nhau ngoài Ýi.

Tôi và Dak quen nhau qua mÙt diÅn àn vÁ hacking, Dak b¯t §u liên l¡c th°Ýng xuyên vÛi tôi khi tôi ngÏ ý muÑn °ãc c­u ta h°Ûng d«n thí ship hàng "chùa", thñc ra thì chúng tôi chÉ thñc sñ thân nhau sau khi tôi giúp c­u ta không bË block nick trên mÙt diÅn àn do mÙt ng°Ýi b¡n cça tôi l­p ra.

Ngay c£ nh° v­y, Dak v«n gi¥u tên th­t và cho r±ng viÇc g·p nhau là phiÁn hà. Nh°ng viÇc chia s» thì luôn là mÙt ph§n không thà thi¿u trong "th¿ giÛi ng§m", cho dù tôi mÛi chÉ thuy¿t phåc °ãc Dak coi tôi là newbie (ng°Ýi mÛi vào nghÁ). "T¥t c£ mÍi ng°Ýi mÛi Áu ph£i hÍc cách chia s». Không ai n h¿t °ãc c£ ngàn CC trong mÙt cái shop c£. Nên chia chác nó cho nhïng ng°Ýi khác, ai nhanh chân ng°Ýi ó h°ßng. Nh° th¿ b¥t cé khi nào anh c§n anh cing có thà có "hàng" à xài të nhïng sñ chia s» trß l¡i." Dak b¯t §u nhÓi nhét vào §u tôi.

Lu­t b¥t thành vn thé hai: tinh th§n màu cÝ s¯c áo! Có mÙt iÁu mÉa mai là t¥t c£ nhïng tài kho£n do ng°Ýi ViÇt Nam mß ß n°Ûc ngoài là nhïng tài kho£n "ngon" nh¥t. S½ ch³ng ai nghi ngÝ mÙt chç tài kho£n ng°Ýi ViÇt mua hàng gíi vÁ cho Óng h°¡ng n°Ûc nhà! Nh°ng shipper "th¿ giÛi ng§m" quy °Ûc vÛi nhau là không bao giÝ xài tài kho£n cça ng°Ýi ViÇt. Th­m chí, k» nào xài mà bË phát hiÇn, ch¯c ch¯n s½ nh­n °ãc thái Ù ghét bÏ và kó thË të a sÑ nhïng shipper khác.

Dak cho bi¿t c­u ta là mÙt thành viên cça diÅn àn hiÇn ang qui tå nhïng shipper giÏi nh¥t ß ViÇt Nam. "Nh°ng nhïng lu­t lÇ ß ó r¥t nghiêm kh¯c, anh ph£i có nhiÁu ng°Ýi giÛi thiÇu, mình tôi không °a anh vào °ãc! Þ ó có r¥t nhiÁu kinh nghiÇm cça các b­c àn anh, nhiÁu tài nguyên và "CC chùa". QuyÁn truy c­p vào các box kín trong diÅn àn này phå thuÙc vào ch¥t l°ãng các bài vi¿t cça anh và sÑ l°ãng các bài c£m ¡n sau m×i bài vi¿t ó".

CuÙc thí nghiÇm §u tiên

Trong lúc chat và trao Õi vÛi tôi, Dak °a ra mÙt quy¿t Ënh b¥t ngÝ, c­u ta muÑn thí ship món hàng §u tiên vÁ ViÇt Nam. "Các b­c àn anh trong th¿ giÛi ng§m tëng nhiÁu l§n h°Ûng d«n em, bài hÍc ã thuÙc lòng, nh°ng ch°a thí l§n nào" - Dak b¯t §u bài hÍc mÛi cho tôi.

Sau khi có §y ç thông sÑ chính xác cça mÙt CC còn expire date (h¡n sí dång), shipper ti¿n hành giao dËch trên các website bán hàng trñc tuy¿n, (Apple.com, eBay.com, iPod.com...) và các dËch vå chuyÃn hàng (nh° Fedex...) n¿u suôn s», sau kho£ng 3 ngày thông tin s½ °ãc xí lý và hàng "lên °Ýng". MÙt tu§n ho·c sÛm h¡n, nó s½ có m·t ß ViÇt Nam, chÝ °ãc l¥y vÁ.

GiÝ mÛi là khâu quy¿t Ënh! Sau khi nh­n °ãc gi¥y báo nh­n hàng, shipper s½ ¿n c¡ quan h£i quan à nh­n. Ph£i làm sao à các cán bÙ h£i quan tin món hàng có giá trË th¥p và hoàn toàn trong s¡ch...

Dak kh³ng Ënh, a sÑ giÛi shipper còn ho¡t Ùng hiÇn nay Áu giÑng nh° c­u ta: r¥t tr» và manh Ùng, th°Ýng thì d°Ûi 25, và am hiÃu nhiÁu thé, të kù nng IT ¿n các công o¡n giao dËch hàng hóa trñc tuy¿n. Dak b£o: "Ph§n lÛn các b­c àn anh có tuÕi mà em bi¿t Áu ã gi£i nghÇ, hÍ buÙc ph£i ngh) cách làm n chân chính, h¡n là ngày càng m¡o hiÃm vÛi trò ch¡i phù phi¿m nh°ng §y ma lñc cça th¿ giÛi ng§m".

"Anh thích Ipod Nano 60 GB hay TD?" Dak hÏi.

"C­u ã check xong CC rÓi à?"

"CC cça em luôn live b¥t cé lúc nào, iPod hay iÇn tho¡i?"

"Em Ënh ship vÛi sÑ hàng có giá trË bao nhiêu?"

"Kho£ng 2000 USD, em s½ nh­n hàng b±ng Ëa chÉ nhà trÍ cça em. Ëa chÉ cça anh là gì, em gíi t·ng anh mÙt con iPod làm quà, có gì em chËu, anh vô can".

"Uhm...3h êm rÓi. Anh ph£i i ngç", tôi signout và bi¿n.

BÑn ngày sau, Dak cho bi¿t chuy¿n hàng 5 con iPod mua të châu Âu cça c­u ta ã bË tr£ l¡i n¡i xu¥t sau khi ¿n Mù mà không rõ lý do. "ChÉ có thà nói là em thi¿u may m¯n, có l½ shop này ã quá c£nh giác vÛi nhïng Ëa chÉ nh­n hàng ß ViÇt Nam".

Trên thñc t¿, viÇc ship hàng trñc ti¿p vÁ ViÇt Nam ã trß nên quá nguy hiÃm, và g§n nh° không còn shipper có kinh nghiÇm nào còn dám liÁu l)nh. Dak ã tìm ra lÝi gi£i cho th¥t b¡i l§n §u tiên cça mình, vài ngày sau c­u ta b¯t §u tìm ki¿m nhïng nhËp c§u móc nÑi xuyên quÑc gia. Dak gi£ng gi£i vÛi tôi vÁ Drop (danh të dành cho nhïng ng°Ýi nh­n "hàng" thuê ß n°Ûc ngoài. Và héa s½ giÛi thiÇu tôi vÛi mÙt "cao thç" dày d¡n trong th¿ giÛi ng§m!

Th¿ Phong

(vieNAMnet)

ViÇt C¡ - Nguy c¡ phá s£n vì bË t¥n công DdoS

01:39' 13/03/2006 (GMT+7)

(VietNamNet) MÙt doanh nghiÇp t° nhân làm th°¡ng m¡i iÇn tí (TMT) quy mô lÛn nh°ng mÛi ß nhïng b°Ûc i §u tiên thì bË phá ho¡i §y ác ý b±ng nhïng ãt t¥n công HYPERLINK "http://www.vnn.vn/cntt/2006/03/549525/" DDoS khçng khi¿p trong nhiÁu ngày. TÛi méc doanh nghiÇp nÍ ang éng tr°Ûc nguy c¡ phá s£n và& "không dám làm TMT nïa"!

LÝi kêu céu të mÙt doanh nghiÇp TMT

LÝi kêu céu °ãc giám Ñc công ty cÕ ph§n ViÇt C¡ (TP. HCM), anh Phùng Minh B£o °a ra §y béc xúc: Chúng tôi không thà chÑng á tr°Ûc hành vi t¥n công DDoS §y ác ý vào hÇ thÑng TMT cça công ty, mà theo tôi là có chç tâm và °ãc chu©n bË kù. Tình tr¡ng này ti¿p diÅn chÉ h¡n tháng nïa thôi là công ty éng tr°Ûc nguy c¡ phá s£n hoàn toàn .

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/09.Viet%20Co%20-%20Nguy%20co%20pha%20san%20vi%20DDOS.mht!http://www.vietnamnet.vn/dataimages/200603/original/images924809_VietCO1.jpg" \* MERGEFORMATINET "Trang chç VietCO.com cho ¿n thÝi iÃm 17h ngày 12/3/2006 v«n chÉ up lên °ãc mÙt b£n HTML ng ký host të Yahoo mà không hÁ có chút dï liÇu nào và cing không bi¿t b£n HTML này còn tÓn t¡i °ãc bao lâu". Anh B£o tÑt nghiÇp H Kinh t¿ TP. HCM nm 2000, sau khi ra tr°Ýng và công tác trong mÙt sÑ c¡ quan nhà n°Ûc, có °ãc sÑ vÑn kha khá, anh éng ra l­p công ty riêng. VÛi c£m quan cá nhân và tñ nh­n r¥t mê TMT , tháng 12/2005, anh l­p ra sàn giao dËch th°¡ng m¡i iÇn tí Vietco.com.

Khi lu­t Giao dËch iÇn tí °ãc QuÑc hÙi thông qua tháng 11/2005 và có hiÇu lñc të §u tháng 3/2006, n¯m b¯t thÝi c¡ và quy¿t i theo am mê kinh doanh mình lña chÍn, anh B£o dÑc toàn bÙ vÑn li¿ng tích liy trong h¡n 5 nm trÝi làm viÇc và cùng các cÙng sñ §u t° cho ho¡t Ùng TMT cça Vietco.

Công ty cÕ ph§n ViÇt C¡.

Giám Ñc Phùng Minh B£o.

Gi¥y phép kinh doanh sÑ 410 300 4326 do Sß K¿ ho¡ch §u t° TP. HCM c¥p ngày 10/2/2006.

NÙi dung ho¡t Ùng cça doanh nghiÇp:

T° v¥n §u t° xúc ti¿n th°¡ng m¡i, t° v¥n qu£n lý doanh nghiÇp, cung c¥p dËch vå gia tng trên Interrnet: DËch vå truy c­p dï liÇu và thông tin trên m¡ng, dËch vå xí lý dï liÇu và thông tin trên m¡ng, DËch vå trao Õi dï liÇu iÇn tí. (Không kinh doanh ¡i lý cung c¥p dËch vå truy nh­p Internet). S£n xu¥t ph§n mÁm. Qu£ng cáo th°¡ng m¡i. Hôm khai tr°¡ng, chúng tôi nh­n °ãc sñ quan tâm cÕ vi r¥t áng mëng të phía các c¡ quan chéc nng và giÛi truyÁn thông, c£ lãnh ¡o Trung tâm xúc ti¿n TM §u t° Thành phÑ cing ¿n Ùng viên, VTV phát sóng h¡n 10 phút& Anh B£o tñ hào giÛi thiÇu.

Cho ¿n §u tháng 3, vÛi các ho¡t Ùng chç y¿u liên quan ¿n giÛi thiÇu bán hàng Online các m·t hàng iÇn tho¡i di Ùng và Ó iÇn tí. Sàn giao dËch cça Vietco.com có °ãc h¡n 300 thành viên chç eStore (thành viên tham gia giÛi thiÇu hàng hóa trên Vietco) và 67 ngàn thành viên th°Ýng. ây là mÙt sÑ thành tích không nhÏ Ñi vÛi mÙt m§m non TMT vëa thành l­p ß ViÇt Nam.

Tôi ã Íc mÙt thông tin trên báo chí vÁ viÇc eBay lên ti¿ng cuÑi nm 2006 có thà s½ §u t° vào TMT ViÇt Nam. Chúng tôi cùng mÙt sÑ m§m non TMT khác ß ViÇt Nam có tham vÍng muÑn phát triÃn th­t nhanh chóng v°¡n mình nh° Thánh Gióng à khi ó, có t° cách c¡nh tranh và hãp tác vÛi nhïng nguÓn të n°Ûc ngoài. Và chúng tôi ã khßi §u áng tñ hào, nh°ng hiÇn t¡i tôi ang Ñi diÇn vÛi nguy c¡ phá s£n không ph£i vì chi¿n l°ãc kinh doanh sai l§m .

Tai hÍa vì DDoS

MÍi viÇc ang ti¿n triÃn h¿t séc tÑt ¹p vÛi chi¿n l°ãc kinh doanh TMT cça Vietco. à phát triÃn h¡n, ngày 4/3/2006, sau khi lu­t Giao dËch iÇn tí có hiÇu lñc °ãc ba ngày, công ty cÕ ph§n ViÇt C¡ quy¿t Ënh tÕ chéc mÙt cuÙc hÙi th£o vÛi h¡n 60 ¡i lý iÇn tho¡i di Ùng t¡i TP. HCM nh±m ©y m¡nh viÇc hãp tác TMT. Nh°ng tÑi hôm tr°Ûc ó, ngày 3/3/2006, ban lãnh ¡o ViÇt C¡ phát hiÇn ra site Vietco.com bË t¥n công të chÑi dËch vå vÛi mÙt méc Ù khçng khi¿p. Sàn giao dËch này l­p téc bË quá t£i và không thà truy c­p. K¿t qu£ là sáng hôm sau cuÙc hÙi th£o ph£i demo b±ng máy chi¿u.

- "£m b£o an ninh, an toàn trong giao dËch iÇn tí: C¡ quan, tÕ chéc, cá nhân không °ãc thñc hiÇn b¥t kó hành vi nào nh±m c£n trß ho·c gây ph°¡ng h¡i ¿n viÇc £m b£o an ninh, an toàn trong giao dËch iÇn tí." (iÃm 3, iÁu 44 Lu­t Giao dËch iÇn tí - có hiÇu lñc të 1/3/2006)

- "C¡ quan tÕ chéc cá nhân không °ãc thñc hiÇn b¥t kó hành vi nào gây ph°¡ng h¡i ¿n sñ toàn v¹n cça thông iÇp dï liÇu cça c¡ quan tÕ chéc cá nhân khác" (iÁu 45) Nh°ng ch°a h¿t, ti¿p sau ó Vietco l¡i bË t¥n công vÛi c°Ýng Ù lÛn h¡n nhiÁu l§n.

BÙ ph­n kù thu­t tìm mÍi cách chÑng á nh°ng vô hiÇu. Chúng tôi ã chuyÃn Server liên tåc lên các hÇ thÑng khác, nh°ng không thà duy trì quá hai ti¿ng. M×i IP t¡o ra kho£ng 10 ngàn truy xu¥t vào hÇ thÑng, và có hàng ngàn IP (Chç y¿u ¿n të ViÇt Nam) cùng h°Ûng vào Vietco.com mÙt lúc. L°ãng truy xu¥t này lÛn g¥p nhiÁu l§n kh£ nng áp éng tÑi a cça hÇ thÑng, và không thà chÑng á vÁ m·t kù thu­t - Nhân viên kù thu­t cça Vietco b¥t lñc.

Anh Phùng Minh B£o nh­n Ënh: ây có nhiÁu kh£ nng là hành Ùng ch¡i x¥u cça mÙt Ñi thç c¡nh tranh. Các IP chç y¿u ¿n të ViÇt Nam, và tr°Ûc ó, chúng tôi ã ph£i chÑng á hàng lo¡t vå t¥n công m¡ng, xâm nh­p vào hÇ thÑng qua WebServer, SQL, Apacher, Domain& sau khi may m¯n b£o m­t °ãc hÇ thÑng thì bË k» x¥u t¥n công të chÑi dËch vå.

MÙt chuyên gia an ninh m¡ng sau khi phân tích vå viÇc, cing nh­n Ënh vÛi VietNamNet r±ng ây là mÙt vå t¥n công có chu©n bË kù và khá chuyên nghiÇp . Kh£ nng chÑng á HYPERLINK "http://www.vietnamnet.vn/cntt/2006/01/528692/" vÁ m·t kù thu­t là v°ãt quá giÛi h¡n cça hÇ thÑng.

H­u qu£ là të ngày 3/3/2006 cho tÛi nay, h¡n 40 nhân viên cça ViÇt C¡ ngÓi ch¡i x¡i n°Ûc , toàn bÙ ho¡t Ùng th°¡ng m¡i bË ình trÇ. Ùi ngi kù thu­t thì túc trñc ngày êm mà không có hiÇu qu£. Chi phí cho m×i ngày ho¡t Ùng cça công ty là 3 triÇu Óng. TiÁn thuê t° v¥n, chi phí Õi server liên tåc& khi¿n chúng tôi thiÇt h¡i kho£ng të 50 70 triÇu Óng të khi bË DDoS ¿n nay. Nh°ng không th¥m tháp gì so vÛi thiÇt h¡i vÁ uy tín. Khách hàng liên tåc gÍi iÇn ¿n ch¥t v¥n, có ng°Ýi hiÃu thì thông c£m, nh°ng a sÑ Áu yêu c§u ph£i Án bù thiÇt h¡i& N¿u cé kéo dài th¿ này, chÉ không §y hai tháng nïa, chúng tôi s½ phá s£n hoàn toàn! Giám Ñc ViÇt C¡ cay ¯ng!

Ai s½ giúp á chúng tôi?

HYPERLINK "http://www.vietnamnet.vn/dataimages/200603/original/images924811_01.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/09.Viet%20Co%20-%20Nguy%20co%20pha%20san%20vi%20DDOS.mht!http://www.vietnamnet.vn/dataimages/200603/original/images924811_01.jpg" \* MERGEFORMATINET DDoS: HiÃm hÍa cça nÁn TMT non tr» ß ViÇt Nam?! (£nh: Conmaz.com) Chúng tôi bi¿t kêu ai, k» t¥n công n±m trong bóng tÑi anh B£o ng­m ngùi. M·c dù ngay sau ó anh ã có liên hÇ vÛi r¥t nhiÁu b¡n bè ß DiÅn àn tin hÍc, VNCoder, ITVNweb& xong không gi£i quy¿t °ãc ¡i n¡n. Vietco quy¿t Ënh nhÝ ¿n các c¡ quan chéc nng giúp á xong kh£ nng gi£i quy¿t triÇt à trong ngày mÙt ngày hai là r¥t th¥p.

Anh B£o cho bi¿t anh ã báo cho Ùi phòng chÑng tÙi ph¡m công nghÇ cao (C15) cça BÙ Công an, liên hÇ vÛi trung tâm An ninh m¡ng BKIS, VSEC và gõ mÍi cánh cía mà ng°Ýi khác mách b£o. Xong ai cing nh­n ra, viÇc gi£i quy¿t triÇt à mÙt vå viÇc nh° th¿ này c§n có sñ phÑi hãp cça r¥t nhiÁu c¡ quan, tÕ chéc mÙt cách nhËp nhàng, mà ß ViÇt Nam ch°a có tiÁn lÇ.

Trao Õi vÁ v¥n Á này, giám Ñc trung tâm an ninh m¡ng BKIS NguyÅn Tí Qu£ng cho bi¿t, m·c dù ch°a nh­n °ãc các thông tin cå thÃ, xong anh cho r±ng v¥n Á r¥t khó gi£i quy¿t nhanh chóng vì Vietco ·t Hosting ß n°Ûc ngoài.

Chúng tôi cho r±ng, viÇc mÙt doanh nghiÇp m§m non TMT ho¡t Ùng àng hoàng và úng pháp lu­t bË t¥n công të chÑi dËch vå ¿n nguy c¡ phá s£n, là mÙt vå viÇc nghiêm trÍng. DDoS có kh£ nng trß thành hiÃm hÍa cça nÁn TMT non tr» cça ViÇt Nam nh° HYPERLINK "http://www.vnn.vn/cntt/2005/12/525272/" VietNamNet ã nói r¥t nhiÁu và ây là b±ng chéng cå thÃ. N¿u không °ãc xí lý triÇt Ã, liÇu r±ng còn ai dám ngh) ¿n làm TMT nïa?!

NhiÁu lúc tôi có c£m giác nh° làm th°¡ng m¡i iÇn tí giÑng nh° ang sÑng ß miÁn Tây hoang dã cça n°Ûc Mù cách ây hàng th¿ k÷. Ph£i sÑng theo lu­t tñ b£o vÇ l¥y mình, m¡nh °ãc y¿u thua... ông giám Ñc Vietco chua chát.

ã ¿n lúc các c¡ quan chéc nng, các tÕ chéc có kh£ nng nên phÑi hãp l¡i à gi£i quy¿t triÇt v¥n Á này. Ch³ng h¡n b±ng cách dò tìm hÇ thÑng à bi¿t °ãc nguÓn t¥n công và có sñ rn e, xí lý theo lu­t Ënh?!

Th¿ Phong

DNS - Vi khí mÛi cça dân DDOS ánh thuê01:39' 28/03/2006 (GMT+7)

Ngày càng nhiÁu, nhïng vå t¥n công të chÑi dËch vå ang °ãc giÛi tÙi ph¡m m¡ng sí dång à h¡ gåc k» thù và phá ho¡i công viÇc kinh doanh trñc tuy¿n theo ·t hàng.

>> HYPERLINK "http://vietnamnet.vn/cntt/2006/03/549745/" \t "_blank" Nguy c¡ phá s£n vì bË t¥n công DDoS

>> HYPERLINK "http://vietnamnet.vn/cntt/2006/03/550469/" \t "_blank" "Hãy nói KHÔNG vÛi DDos!"

>> HYPERLINK "http://vietnamnet.vn/cntt/2006/03/551867/" \t "_blank" ''Quái thú DDoS'' và b£n ngã cça con ng°Ýi

HYPERLINK "http://vietnamnet.vn/dataimages/200603/original/images935643_DDOS270306.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/10.DNS%20-%20Vu%20khi%20moi%20cua%20dan%20DDOS%20danh%20thue.mht!http://vietnamnet.vn/dataimages/200603/original/images935643_DDOS270306.jpg" \* MERGEFORMATINET NguÓn: Pctipp Lãi dång các máy chç DNS - vÑn °ãc coi là danh b¡ cça m¡ng internet, hacker ã khu¿ch ¡i séc m¡nh cça các cuÙc t¥n công DDOS lên méc tÑi a, và t¥t nhiên, måc tiêu cça chúng không có b¥t cé mÙt c¡ hÙi kháng cñ nào c£.

§u nm nay, VeriSign ã n¿m tr£i "th°¡ng au" khi hÇ thÑng m¡ng cça hãng này v¥p ph£i mÙt làn sóng t¥n công dÓn d­p và quy mô lÛn ch°a tëng th¥y. Mãi ¿n t­n tu§n tr°Ûc, VeriSign mÛi phát hiÇn ra r±ng nhïng "sóng ¡n" này không xu¥t phát të máy tính botnet nh° th°Ýng lÇ. Thay vào ó, hÍ ã ph£i "héng ¡n" të máy chç hÇ thÑng tên miÁn DNS.

Vi khí mÛi, hình théc mÛi

"DNS giÝ ã trß thành vi khí mÛi cça DDOS", chuyên gia b£o m­t Dan Kaminsky cho bi¿t. Cùng vÛi vi khí mÛi, t¥n công të chÑi dËch vå cing có khá nhiÁu thay Õi, të måc tiêu cho ¿n Ù khó. "GiÝ ây, ngay c£ nhïng k» không có máy tính nô lÇ Ã sai khi¿n cing có thà ti¿n hành t¥n công".

Dù là ti¿n hành b±ng m¡ng botnet hay máy chç DNS, hÇ thÑng måc tiêu (có thà là máy chç Web, máy chç tên ho·c máy chç mail) Áu chËu chung mÙt k¿t cåc - chúng bË cuÑn phng bßi mÙt dòng dï liÇu khÕng lÓ, Óng lo¡t dÓn vÁ të nhiÁu n¡i trên m¡ng Internet. H­u qu£ là website n¡n nhân s½ không thà truy c­p °ãc d°Ûi b¥t cé hình théc nào, ho·c là treo ¡ khi cÑ g¯ng xí lý nguÓn dï liÇu dÓn vÁ.

HÏi nhanh - áp gÍn Vì sao DNS có thà bË lãi dång à thñc hiÇn DDOS?

Có tÛi 75% tÕng sÑ máy chç DNS quá cßi mß tr°Ûc nhïng yêu c§u gíi vÁ të m¡ng Net. Tính nng phúc áp yêu c§u này c§n °ãc vô hiÇu hóa bßi nhà qu£n trË càng sÛm càng tÑt.

Có ch¿ t¥n công DDOS sí dång DNS nh° th¿ nào?

§u tiên, hacker sí dång botnet à gíi nhiÁu yêu c§u vÁ máy chç DNS, làm cho máy chç "mß" ra. Nhïng yêu c§u này °ãc làm gi£ khéo léo à DNS t°ßng r±ng chúng xu¥t phát të måc tiêu bË t¥n công. Khi ó, máy chç DNS s½ phúc áp tÛi chính Ëa chÉ måc tiêu và gây låt Ëa chÉ này.

Méc Ù khu¿ch ¡i cça DNS ¿n âu?

MÙt yêu c§u gíi i të m¡ng bot có thà °ãc khu¿ch ¡i tÛi 70 l§n bßi máy chç DNS cá nhÏ.

Vì sao sí dång DNS l¡i giúp b£o vÇ hacker?

Vì l°u l°ãng dï liÇu gây låt n¡n nhân không xu¥t phát të m¡ng botnet cça hacker, mà l¡i të máy chç DNS. Chúng ta s½ r¥t khó l§n ra m¡ng máy tính thç ph¡m thñc sñ.

T¡i sao không thà ngn ch·n °ãc hình théc t¥n công này?

Bßi DNS óng mÙt vai trò sÑng còn vÛi m¡ng Internet. N¿u mÙt hãng tñ ch·n máy chç DNS cça mình, ng°Ýi dùng hãp pháp s½ không thà gíi email cing nh° truy c­p vào website cça hãng ó nïa. T¥n công të chÑi dËch vå tëng là công cå "Ó ch¡i" cça nhïng gã choai choai chán Ýi, coi viÇc h¡ gåc website nh° mÙt trò tiêu khiÃn qua ngày. Nh°ng giÝ ây, t¥n công DDOS nhiÁu khi ã °ãc giÛi tÙi ph¡m m¡ng ti¿n hành à tÑng tiÁn các doanh nghiÇp th°¡ng m¡i iÇn tí, nh¥t là nhïng doanh nghiÇp nhiÁu tiÁn nh° site ánh b¡c hay xxx. N¿u các doanh nghiÇp të chÑi tr£ cho chúng mÙt kho£n tiÁn, website cça hÍ s½ låt trong DDOS.

Þ mÙt sÑ tr°Ýng hãp khác, chính các Ñi thç cça website måc tiêu ã tung tiÁn thuê hacker ti¿n hành t¥n công DDOS, t¥t nhiên là mÙt cách bí m­t và kín k½.

Khác vÛi máy tính nô lÇ, máy chç DNS là mÙt "công dân tÑt và giá trË" cça m¡ng Internet. HÇ thÑng này giï vai trò thi¿t y¿u trong viÇc k¿t nÑi ng°Ýi dùng Web vÛi nhau, l­p b£n Ó các tên miÁn ký tñ nh° HYPERLINK "http://www.cnet.com/" www.cnet.com vÛi nhïng Ëa chÉ IP b±ng sÑ mà máy tính th°Ýng sí dång.

Trong d¡ng t¥n công mÛi, k» hacker th°Ýng sí dång mÙt botnet à gíi cùng lúc nhiÁu yêu c§u vÁ máy chç DNS, khi¿n cho máy chç mß ra. Nhïng yêu c§u này °ãc làm gi£ khéo léo à máy chç DNS t°ßng r±ng chúng ¿n të måc tiêu bË h¡i (ang bË låt trong dòng dï liÇu). Theo quy trình thông th°Ýng, máy chç DNS s½ phúc áp (hay phân gi£i të Ëa chÉ ký tñ sang chu×i sÑ IP) l¡i Ëa chÉ m¡ng ó, và dÓn t¥t c£ các k¿t qu£ truy v¥n (request) phân gi£i Ëa chÉ tÛi måc tiêu bË h¡i.

Sí dång máy chç DNS có r¥t nhiÁu lãi ích vÛi k» t¥n công. Chúng không chÉ che gi¥u °ãc hÇ thÑng th­t sñ cça mình, khi¿n cho n¡n nhân r¥t khó truy ra °ãc nguÓn gÑc cça vå t¥n công, mà quan trÍng h¡n, máy chç DNS s½ khu¿ch ¡i séc m¡nh cça vå t¥n công lên hàng chåc l§n so vÛi botnet.

Hình théc b©n thÉu

ViÇc sí dång máy chç DNS à khu¿ch ¡i c°Ýng Ù t¥n công có thà so sánh vÛi viÇc nhÓi nhét hÙp th° cça ai ó b±ng cách vi¿t th­t nhiÁu mail rÓi gíi chúng i. Tuy nhiên, mail thì r¥t dÅ bË truy ra nguÓn gÑc, h¡n nïa, b¡n cing m¥t r¥t thÝi gian ngÓi vi¿t.

Cách hiÇu qu£ h¡n là gíi i mÙt lo¡t b°u thi¿p xin phúc áp (kiÃu nh° các t¡p chí), có iÁn sµn Ëa chÉ ng°Ýi gíi là måc tiêu s½ bË t¥n công. Máy chç DNS s½ bË lëa và nó s½ phúc áp l¡i yêu c§u ó.

Th°Ýng thì ng°Ýi ta v«n có thà ch·n éng các vå t¥n công DDOS b±ng m¡ng botnet nhÝ viÇc ch·n dòng dï liÇu gíi i të máy tính zombie (ViÇc nh­n d¡ng zombie là kh£ thi). Tuy nhiên, ch·n yêu c§u të máy chç DNS thì au §u h¡n nhiÁu. Bßi l½, máy chç DNS có vai trò cñc lÛn trong sñ v­n hành bình th°Ýng cça m¡ng Internet. N¿u ch·n l°u l°ãng (i và ¿n) cça máy chç DNS, b¡n s½ vô tình ngn c£ ng°Ýi dùng hãp pháp gíi email ho·c ghé thm các website khác.

"ó là lý do khi¿n cho hình théc t¥n công này th­t b©n thÉu", giám Ñc công nghÇ Rob Fleischman cça Simplicita phát biÃu. "Ch¯c ch¯n trong t°¡ng lai, hÇ thÑng DNS s½ còn bË l¡m dång nhiÁu, và chúng ta c§n có c¡ ch¿ kiÃm soát b£o m­t cho DNS nhiÁu h¡n".

Không thà l°Ýi nhác

HiÇn có kho£ng 7,5 triÇu máy chç DNS ang ho¡t Ùng, và sÑ l°ãng máy chç "hi¿u khách", sµn sàng nh­n mÍi yêu c§u të bên ngoài không thà °Ûc l°ãng °ãc, có thà là 600.000 mà cing có thà là 5,6 triÇu máy.

LÝi khuyên mà giÛi b£o m­t °a ra là nhïng tÕ chéc nào ang sí dång máy chç DNS nên t¯t ngay tính nng "Ç quy" nói trên, ho·c là iÁu chÉnh cài ·t b£o m­t à chÉ có ng°Ýi hïu trách mÛi truy c­p °ãc tính nng này. Còn måc tiêu cça các vå t¥n công DDOS có thà tñ b£o vÇ mình b±ng cách éng dång nhïng công nghÇ phòng thç ·c biÇt cça nhïng hãng nh° Prolexic Technologies.

DNS ang ngày càng bË khai thác rÙng rãi trong các vå t¥n công DDOS và ã ¿n lúc các nhà qu£n trË không thà l°Ýi nhác làm ng¡ °ãc nïa.

Thiên Ý (Theo CNET)

Hacker Mù tranh tài t¥n công toàn c§u 13:34' 02/08/2004 (GMT+7)

N¿u mÍi viÇc diÅn ra úng nh° k¿ ho¡ch ã Ënh, trong 72 giÝ liên tåc cça tháng 2/2005, hacker trên toàn n°Ûc Mù s½ Óng lo¡t t¥n công vào các måc tiêu Ënh sµn trên m¡ng Internet, cÑ g¯ng "l°u danh'' vÛi cuÙc ch¡i có quy mô lÛn b­c nh¥t trong lËch sí hacker të tr°Ûc ¿n nay.

Tuy nhiên, chËu h­u qu£ s½ không ph£i m¡ng nÙi bÙ hay máy chç Web cça các t­p oàn mà chính là nhïng chi¿c máy tính do hacker phe Ñi ph°¡ng thi¿t l­p và b£o trì. Khi "sóng gió tan'', hai nhóm hacker BÝ ông và BÝ Tây s½ có thà phân Ënh k» th¯ng ng°Ýi thua và xác Ënh ai là k» dành "v°¡ng miÇn" vô Ëch.

HYPERLINK "http://www3.vietnamnet.vn/dataimages/original/images305965_hacker020804.gif" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/11.Hacker%20My%20tranh%20tai%20tan%20cong%20toan%20cau.mht!http://www3.vietnamnet.vn/dataimages/normal/images305965_hacker020804.gif" \* MERGEFORMATINET Xâm nh­p vào máy tính Ñi ph°¡ng, h¡ gåc hÇ thÑng phòng thç, coi nh° giành °ãc mÙt lá cÝ cho phe mình.

"Chúng tôi s½ xâm nh­p vào máy tính cça Ñi ph°¡ng, giành quyÁn kiÃm soát và ch¡i trò "Giành cÝ'' të máy ó.'' - D.D, mÙt thành viên cça nhóm Ghetto Hacker cho bi¿t. Tr°Ûc ó, nhóm này tëng ch¡i thí trò này, t¥t nhiên là vÛi quy mô nhÏ h¡n, khi tám Ùi hack l«n nhau trong mÙt m¡ng khép kín liên tåc trong... ba nm.

Sang nm tÛi, Ghetto Hacker hy vÍng s½ mß rÙng ph¡m vi "cuÙc ¥u'' ra toàn c§u. VÛi tên gÍi mù miÁu "Mega Root Fu", ây s½ là cuÙc thi hack (t¥n công, xâm nh­p) quy mô lÛn §u tiên °ãc ti¿n hành công khai trên toàn m¡ng Internet. Các Ùi Hacker trên toàn n°Ûc Mù Áu có thà ng ký tham gia t¡i website cça Ghetto. Dñ oán con sÑ hacker tham gia có thà lên tÛi hàng ngàn ng°Ýi, nh¥t là sau khi cuÙc ¥u này ã °ãc qu£ng cáo r§m rÙ và §m ) là "HÙi diÅn hacker lÛn nh¥t quÑc gia''. Tuy nhiên, các nhà tÕ chéc ã có gi£i pháp ngn không cho nó rò rÉ ra ngoài Internet, khi lên k¿ ho¡ch xây dñng mÙt hÇ thÑng m¡ng riêng biÇt ch¡y trên nÁn Internet, sí dång công nghÇ mã hoá và c§u d«n t¡o m¡ng £o - VPN.

áng ng¡c nhiên là kh£ nng bË các hacker quay sang t¥n công hàng lo¡t ã không làm cho các chuyên gia b£o m­t lo ng¡i. "NhiÁu kh£ nng tình huÑng này s½ x£y ra. Ch¯c ch¯n kh£ nng mÙt sÑ ng°Ýi lãi dång à ch¡y ra ngoài làm x±ng làm b­y là không thà tránh khÏi, song ây không ph£i mÙt cuÙc t¥n công ngoài vòng kiÃm soát trên quy mô lÛn nh° sâu hay virus.'' - Bruce Schneier, mÙt chuyên gia b£o m­t máy tính danh ti¿ng kiêm ng°Ýi sáng l­p ra dËch vå giám sát m¡ng Counterpane Internet Security nh­n Ënh. Trên thñc t¿, cuÙc thi này có thà giúp các chuyên gia b£o m­t hÍc °ãc nhiÁu kù thu­t t¥n công trñc tuy¿n cça dân hacker h¡n, cing nh° cách théc hoá gi£i chúng và b£o vÇ các hÇ thÑng khÏi bË t¥n công.

Nm ngoái, ¡i hÍc California ã hãp tác cùng ViÇn Khoa hÍc Thông tin (ISI) cça H Nam California và ViÇn ISI Virginia nghiên céu vÁ m¡ng 1.000 nút quy mô lÛn theo mô hình Internet. VÛi tên gÍi M¡ng Nghiên céu Công nghÇ Phòng thç M¡ng (DETER), sáng ki¿n này s½ cho phép các tác gi£ nghiên céu nhïng vå t¥n công trñc tuy¿n, të ó b£o vÇ và °a m¡ng trß l¡i tr¡ng thái "s¡ch'' mÙt cách dÅ dàng.

"ây là mÙt thí nghiÇm thú vË.'' - Doug Tygar, giáo s° khoa hÍc máy tính và qu£n lý thông tin ¡i hÍc California, kiêm tr°ßng nhóm nghiên céu dñ án DETER ã nh­n xét nh° v­y vÁ cuÙc thi tài giïa hacker BÝ ông và BÝ Tây - "Tôi tin hÍ s½ c° xí hãp ¡o lý, cing nh° c©n trÍng trong viÇc tuyÃn lña hacker tham gia". Tuy nhiên, thú vË thì cing có thú vË, nh°ng không vì th¿ mà cuÙc thi °ãc khuy¿n khích trong giÛi hÍc gi£. Nói cho cùng, ai bi¿t °ãc chúng s½ i xa tÛi âu và méc Ù kiÃm soát °ãc s½ nh° th¿ nào?

VÁ m·t pháp lý, cuÙc thi kiÃu này r¡i ngay vào vùng xám - vùng gây tranh cãi. N¿u mÙt virus Ùc h¡i trÑn ra khÏi °ãc m¡ng £o nÙi bÙ nói trên và gây ra tÕn th¥t cho m¡ng Internet thñc, ó s½ là c¡ sß cho mÙt vå kiÇn. Nhïng ng°Ýi không ph£i là hacker thì tÏ ra hào héng và çng hÙ cuÙc thi ra m·t. VÛi hÍ, ây là mÙt trò ch¡i không h¡n không kém và ch³ng có gì ph£i lo c£. "R¥t khó óng cía nhïng ho¡t Ùng kiÃu này, chúng ta chÉ có thà phòng ngëa và tuó c¡ éng bi¿n mà thôi.'' - GS Tegar nói.

C§m Thi (Theo CNET)

Vietnamnet

Muôn m·t hacker qua b£ng chï cái

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/12.Muon%20mat%20Hacker%20qua%20bang%20chu%20cai.mht!http://vnexpress.net/Vietnam/Vi-tinh/2004/01/3B9CF027/computer2.jpg" \* MERGEFORMATINET Tin t·c và virus, nhïng vå xâm nh­p và phá mã, giÝ ây không còn là iÁu bí hiÃm Ñi vÛi nhiÁu ng°Ýi. Th¿ nh°ng, v«n còn nhiÁu góc khu¥t trong th¿ giÛi "rÇp iÇn tí" ít °ãc nh¯c ¿n. Hãy cùng rÍi èn vào nhïng kho£ng tÑi ¥y qua mÙt sÑ sñ kiÇn và thu­t ngï g¯n liÁn vÛi lËch sí hacker, liÇt kê theo v§n Alphabet sau.

Anti-virus (diÇt virus): Ng°Ýi ta °Ûc tính chÉ riêng các doanh nghiÇp ß Mù m×i nm thiÇt h¡i tÛi 550 triÇu USD do các ch°¡ng trình phá ho¡i trên máy tính. Cing vì v­y, ph§n mÁm diÇt virus hiÇn trß thành mÙt ngành công nghiÇp béo bß. MÙt khi virus ã °ãc phân tích và mã cça nó °ãc xác Ënh thì ph§n mÁm quét s½ ngn không cho nó ti¿p tåc phát tán. à khÑng ch¿ nhïng lo¡i virus mÛi, ph§n mÁm an ninh th°Ýng °ãc phát triÃn theo ph°¡ng théc "úc rút kinh nghiÇm" à sn tìm nhïng file kh£ nghi trong hÇ thÑng mÙt cách t°¡ng Ñi và vì th¿ cing v«n có kh£ nng nó lo¡i c£ nhïng file "s¡ch" trong khi l¡i à sót nhïng file ã lây nhiÅm.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/12.Muon%20mat%20Hacker%20qua%20bang%20chu%20cai.mht!http://vnexpress.net/Vietnam/Vi-tinh/2004/01/3B9CF027/1.jpg" \* MERGEFORMATINET Bart Simpson. Bart Simpson: ây nhân v­t ho¡t hÍa tinh quái ã °ãc tác gi£ virus HYPERLINK "http://vnexpress.net/Vietnam/Vi-tinh/2002/05/3B9BB9C8/" Melissa sí dång à chÍc téc ng°Ýi sí dång máy tính khi¿n hÍ mß file ã nhiÅm. Melissa là virus §u tiên xâm nh­p hÇ thÑng máy gia ình. Séc m¡nh c¡ sß cça nó có thà làm m×i máy tính phát ra të 50 ¿n 100 e-mail, khi¿n cho m¡ng cça nhiÁu công ty lÛn t¡i Mù tê liÇt.

Cracker: GiÛi truyÁn thông v«n coi ây là lo¡i hacker nguy hiÃm nh¥t. ó là nhïng chuyên gia phá ho¡i hÇ thÑng. Chúng r¥t tinh quái và ho¡t Ùng ho·c vì måc ích tài chính ho·c à tr£ thù.

Daemons: Vi¿t t¯t cça cåm të )a (disk) và màn hình thñc hiÇn (execution monitor). Tho¡t nghe ng°Ýi ta có thà nh§m ây là tên cça mÙt ISP lÛn ß Anh. Th­t ra, daemons là mÙt ch°¡ng trình bí m­t ©n trong hÇ thÑng và th°Ýng làm nhïng iÁu có ích, ch³ng h¡n nh° h× trã viÇc truy c­p vào các website. Tuy nhiên, ß m¡ng dËch vå Yahoo hiÇn nay, daemons nhiÁu khi °ãc lãi dång cài ·t à t¡o ra nhïng yêu c§u thông tin gi£.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/12.Muon%20mat%20Hacker%20qua%20bang%20chu%20cai.mht!http://vnexpress.net/Vietnam/Vi-tinh/2004/01/3B9CF027/2.jpg" \* MERGEFORMATINET Hacker có thà làm m¥t iÇn diÇn rÙng. Electrabel: ây là tên cça mÙt công ty iÇn cça BÉ, bË mÙt cracker t¥n công và e dÍa s½ làm gián o¡n toàn bÙ các kênh cung c¥p iÇn cça hÍ trong 2 ti¿ng. Sau khi công ty nÍ n× lñc thuy¿t phåc r±ng n¿u iÁu ó x£y ra s½ có nhïng thiÇt h¡i vô cùng lÛn, th­m chí c£ tính m¡ng cça ng°Ýi dân, tin t·c tñ x°ng Red Attack mÛi không có hành Ùng cñc oan nào nh°ng v«n cÑ phô trình Ù cça mình b±ng cách gíi cho Electrabel b£n sao mã máy tính cça hãng nh° mÙt lÝi c£nh cáo.

Fallout (Båi phóng x¡): M·c dù ã °ãc c£nh báo të tr°Ûc, châu Á và Trung ông v«n héng chËu ãt bùng phát virus HYPERLINK "http://vnexpress.net/Vietnam/Vi-tinh/2002/12/3B9C30C3/" Chernobyl nm 1999, úng vào dËp k÷ niÇm l§n thé 13 ngày x£y ra sñ kiÇn bi th£m ß nhà máy iÇn nguyên tí t¡i Liên Xô ci. Các file quan trÍng trong hÇ thÑng ß nhiÁu n¡i bË xóa s¡ch và mÙt sÑ máy tính th­m chí còn bË ch¿t h³n, không thà b­t lên °ãc nïa.

Girlies: ây là tên mÙt nhóm hacker ã xâm nh­p và °a nhïng hình £nh khiêu dâm vào website cça tÝ New York Times vì mÙt phóng viên cça tÝ báo này vi¿t mÙt cuÑn sách vÁ siêu hacker HYPERLINK "http://vnexpress.net/Vietnam/Vi-tinh/2003/02/3B9C4EC3/" Kevin Mitnick. Hành Ùng này °ãc coi là Ã chéng minh r±ng bÍn chúng mÛi là ng°Ýi siêu nh¥t.

Hacker: C©n th­n b¡n có thà ánh Óng nhóm này vÛi cracker và coi t¥t c£ Áu là tin t·c nh° nhau. Hacker là nhïng k» luôn coi mình thuÙc lo¡i cao c¥p, có giáo dåc h¡n, °ãc hÍc hành vÁ tin hÍc tí t¿ và sí dång kù nng l­p trình cça mình à phô bày cho mÍi ng°Ýi th¥y nhïng l× hÕng cça hÇ thÑng. Ùng lñc cça các hacker chính thÑng (theo nh° mÙt sÑ kh³ng Ënh) là niÁm say mê khám phá, hÍc hÏi ché không ph£i vì tiÁn hay à phá ho¡i. NhiÁu hacker ã °ãc tuyÃn dång vào các công ty à làm nhiÇm vå kh¯c phåc khi¿m khuy¿t cho hÇ thÑng và ph§n mÁm.

Internet ethics (¡o éc Internet): éng tr°Ûc sÑ l°ãng và méc Ù ngày càng nguy hiÃm cça các cuÙc t¥n công m¡ng, Phó tÕng ch°ßng lý Mù nm 2000 là Eric Holder ã ra lÝi kêu gÍi thñc hiÇn mÙt chi¿n dËch giáo dåc ¡o éc Internet cho thanh thi¿u niên. Ông này phát biÃu: BÍn tr» bi¿t r±ng xâm nh­p vào nhà ng°Ýi khác là có tÙi, nh°ng chúng l¡i không hiÃu r±ng xâm nh­p vào máy tính cça ng°Ýi khác cing là sai .

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/12.Muon%20mat%20Hacker%20qua%20bang%20chu%20cai.mht!http://vnexpress.net/Vietnam/Vi-tinh/2004/01/3B9CF027/7.jpg" \* MERGEFORMATINET Kevin Mitnick - g°¡ng m·t ã i vào lËch sí an ninh m¡ng. Kevin Mitnick: HYPERLINK "http://vnexpress.net/Vietnam/Vi-tinh/2003/01/3B9C46FE/" Cái tên này ã trß thành mÙt huyÁn tho¡i trong giÛi hacker và cÙng Óng Internet. MÙt thÝi éng §u trong danh sách bË truy nã cça FBI, Mitnick bË buÙc t¥t c£ mÍi tÙi danh liÇt kê trong danh måc tÙi ph¡m iÇn tí cça Mù. Hai l§n ngÓi "bóc lËch": 1989 và 1995. °ãc th£ sau 5 nm ngÓi tù, anh chàng này bË c¥m sí dång máy tính và th­m chí bË c¥m làm viÇc ß b¥t kó c¡ quan nào có PC nÑi m¡ng.

Losing face (M¥t m·t, m¥t khách): Các chuyên gia °Ûc tính 2/3 sÑ công ty tëng là con mÓi cça hacker ã không báo cáo sñ vå vÛi nhà chéc trách vì sã r±ng viÇc thëa nh­n nhïng thi¿u sót an ninh hÇ thÑng cça mình cing Óng ngh)a vÛi m¥t khách hàng, nh¥t là nhïng ng°Ýi vÑn hay dË éng vÛi th°¡ng m¡i iÇn tí.

Maxus: Cracker 19 tuÕi ng°Ýi Nga này nÕi ti¿ng vÛi mÙt trong nhïng vå trÙm Internet lÛn nh¥t. Tháng 1/2000, thông tin cça hàng nghìn th» tín dång ã bË n c¯p të c¡ sß dï liÇu cça mÙt cía hàng bán )a nh¡c trñc tuy¿n. Thç ph¡m Maxus ngay sau ó yêu c§u cía hàng nÍ ph£i nÙp 100.000 USD n¿u không s½ công bÑ t¥t c£ nhïng thông tin này.

NATO: Trong cuÙc chi¿n tranh Kosovo (Nam T° ci), m¡ng thông tin tuyên truyÁn vÑn °ãc qu£n lý mÙt cách r¥t c©n th­n cça khÑi quân sñ B¯c ¡i Tây D°¡ng ã bË gián o¡n khi website cça tÕ chéc này bË mÙt sÑ hacker cho i viÇn . GiÛi chuyên gia nh­n Ënh nhóm thç ph¡m là ng°Ýi Serbi sÑng ß Belgrade.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/12.Muon%20mat%20Hacker%20qua%20bang%20chu%20cai.mht!http://vnexpress.net/Vietnam/Vi-tinh/2004/01/3B9CF027/5.jpg" \* MERGEFORMATINET Bill Gates: "Chúng tôi luôn là måc tiêu bË t¥n công sÑ 1". Orifice: GÍi §y ç là Back Orifice và Back Orifice 2000. ây là nhïng cái tên mù miÁu dành cho hai phát minh cça nhóm hacker tñ x°ng Giáo phái con bò ch¿t . Ch°¡ng trình này °ãc vi¿t ra nh±m phô bày nhïng l× hÕng an ninh trong các s£n ph©m cça Microsoft. MÙt khi ã cài °ãc ph§n mÁm này, tin t·c có thà khÑng ch¿ máy tính n¡n nhân të xa.

Ping: Thu­t ngï này chÉ viÇc gíi mÙt thông iÇp ¡n gi£n tÛi mÙt máy tính khác và nó s½ gíi thông tin vÁ cho ng°Ýi gíi. °ãc sí dång nh° mÙt công cå kiÃm tra xem hai máy tính có thà liên l¡c °ãc vÛi nhau không, nhïng ch°¡ng trình ping nguy hiÃm có thà gây rÑi lo¡n hÇ thÑng. Tr°Ýng hãp website tuyên tuyÁn cça NATO nói trên cing bË t¥n công theo kiÃu ping.

Quack (Ti¿ng vËt kêu quác quác): Hình £nh con vËt n±m kêu la trong vn hóa ph°¡ng Tây °ãc dùng à chÉ nhïng Ñi t°ãng y¿u Ût không thà tñ b£o vÇ tr°Ûc k» thù, chÉ bi¿t n±m rên chÝ ch¿t. Con vËt ß ây là mÙt lo¡t Ëa chÉ cça Yahoo, Amazon, CNN, eBay và nhiÁu website khác. Tháng1/2000, các cuÙc t¥n công të chÑi dËch vå (thu­t ngï kù thu­t chÉ tình tr¡ng ngh½n m¡ch do dï liÇu gi£ gây ra) ã khi¿n nhïng trang web này tê liÇt và cracker có thà ã khai thác °ãc nhiÁu thông tin nh¡y c£m.

Routers: Còn gÍi là bÙ d«n °Ýng, là nhïng máy tính có nhiÇm vå °a các sÑ 1 và 0 trong hÇ nhË phân bi¿t cách tìm ¿n n¡i c§n thi¿t trên không gian £o. Tin t·c tëng dùng hình théc t¥n công sí dång nhïng máy tính ã bË khÑng ch¿ (gÍi là zombie - xem ß d°Ûi) Ã ánh lëa các router gíi thông tin gi£ tÛi nhiÁu trang web trong m¡ng Yahoo.

Smurf: ây là nhïng ch°¡ng trình °ãc dùng trong viÇc oanh t¡c các website b±ng mÙt sÑ l°ãng lÛn yêu c§u (request). Smurf có chéc nng che gi¥u xu¥t xé và nhân b£n các yêu c§u à t¡o ra mÙt núi thông tin khÕng lÓ.

Track (D¥u v¿t): B±ng cách chuyÃn Õi (switch) giïa các máy tính và c©n th­n xóa h¿t b¥t kó d¥u hiÇu nào có thà °ãc sí dång à truy tìm nguÓn gÑc, các cracker có thà che gi¥u °ãc nhïng ho¡t Ùng ã thñc hiÇn cça mình. Tuy nhiên, dù có th¿ nào thì công cå sn lùng cça các c¡ quan an ninh hiÇn nay cing ã ti¿n bÙ không ngëng và v«n có thà moi ra manh mÑi.

United Loan Gunmen: Tên cça mÙt nhóm hacker tëng t¥n công website cça kênh truyÁn hình Mù ABC, thay th¿ trang nh¥t b±ng mÙt béc tranh £ kích.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/12.Muon%20mat%20Hacker%20qua%20bang%20chu%20cai.mht!http://vnexpress.net/Vietnam/Vi-tinh/2004/01/3B9CF027/6.jpg" \* MERGEFORMATINET David Smith - tác gi£ cça virus Melissa. Virus: Nhïng lo¡i nh° Melissa có thà gây ra nhïng tác Ùng ghê gÛm, nh°ng cing có nhiÁu lo¡i vô h¡i, tùy theo thái Ù và måc ích cça k» vi¿t ra nó. HiÇn nay, v¥n Á nguÓn gÑc và Ùng c¡ cça các lo¡i virus v«n là chç Á tranh cãi trên nhiÁu diÅn àn và các phòng chat Internet. MÙt sÑ ng°Ýi th­m chí cho r±ng không thà trách °ãc m¥y c­u choai choai vô công rÓi nghÁ, ngÓi ß nhà vi¿t và phát tán virus. Ng°ãc l¡i, c§n ph£i chÉ trích sñ qu£n lý cça nhà n°Ûc và sñ t¯c trách cça các hãng ph§n mÁm.

Wobbler: Là mÙt trong nhïng trò lëa virus phát tán b±ng e-mail xu¥t hiÇn §u tiên. Ng°Ýi sí dång máy tính bË tiêu tÑn nhiÁu giÝ vô bÕ vào viÇc b£o vÇ máy tính khÏi nhïng cái tên nh° "e-flu", "Irina" và "Hitler" mà trên thñc t¿ không mÙt virus nào nh° v­y tÓn t¡i.

X-Force: VÏ quýt dày có móng tay nhÍn. Có hacker thì có các lñc l°ãng ph£n éng nhanh chÑng sñ cÑ. Công ty an ninh m¡ng Internet Security Systems (Mù) cho bi¿t Ùi ph£n éng nhanh X-Force cça hÍ, gÓm nhiÁu l­p trình viên xu¥t s¯c, ã gi£i mã °ãc Back Orifice 2000 (xem ß trên) trong ch°a §y mÙt ngày.

Yahoo: M·c dù có nhïng máy chç cñc m¡nh, m¡ng dËch vå nÕi ti¿ng này ã bË dìm cho ch¿t uÑi trong mÙt cuÙc t¥n công të chÑi dËch vå vÛi c°Ýng Ù 1 GB dï liÇu/giây hÓi cuÑi nm 1999. Con sÑ này còn lÛn h¡n l°ãng dï liÇu mà h§u h¿t các website bình th°Ýng trên th¿ giÛi nh­n °ãc trong c£ mÙt nm.

Zombie: Thu­t ngï này xu¥t phát të vå t¥n công të chÑi dËch vå vào Yahoo nói trên. T¥t c£ nhïng máy tính bË xâm nh­p và khÑng ch¿ të xa °ãc cracker sí dång làm bàn ¡p b¯n i hàng núi dï liÇu tÛi måc tiêu. Nhïng máy tính sÑng nh°ng không ph£i là chính mình nh° v­y °ãc gÍi là các zombie (tên mÙt trò ma thu­t ß châu Phi làm ng°Ýi ch¿t sÑng l¡i). C§n phân biÇt PC zombie và website zombie. ây là nhïng trang web ã qua thÝi gian sí dång, nh°ng v«n °ãc duy trì vì mÙt måc ích nào ó.

Phan Kh°¡ng

(vnexpress)

Mánh khóe Social Engineering: Thô thiÃn mà hiÇu qu£!10:43' 18/07/2005 (GMT+7)

Kù thu­t lëa £o (Social Engineering) là mÙt thç thu­t °ãc nhiÁu hacker sí dång cho các cuÙc thâm nh­p vào các hÇ thÑng m¡ng, máy tính. ây là mÙt trong nhïng ph°¡ng théc hiÇu qu£ Ã ánh c¯p m­t kh©u, thông tin, t¥n công vào hÇ thÑng.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/07.Tin%20tuc%20-%20Bai%20Viet/22.Social%20Engineering%20Trick.mht!http://vietnamnet.vn/dataimages/original/images686865_kevin.jpg" \* MERGEFORMATINET Kevin Mitnick - hacker nÕi ti¿ng vÛi kù thu­t Social Engineering. D°Ûi ây là câu chuyÇn có th­t vÁ mÙt trong nhïng hacker nÕi ti¿ng nh¥t th¿ giÛi trong vài nm trß l¡i ây - Kevin Mitnick (Mù, tëng bË 8 nm tù vì tÙi t¥n công vào hÇ thÑng máy tính), chuyên gia hàng §u vÁ kù thu­t Social Engineering. Lên k¿ ho¡ch t¥n công vào công ty X, Kevin v­n dång kù nng này à dò tìm thông tin liên quan ¿n ông tÕng giám Ñc và mÙt trã lý cça ông này. Lãi dång lúc hai ng°Ýi i công tác, anh ta sí dång Call ID gi£, nhái giÍng nói cça viên trã lý à gÍi ¿n qu£n trË m¡ng công ty, yêu c§u gíi m­t kh©u ng nh­p vào hÇ thÑng cça tÕng giám Ñc vì ngài ã quên m­t kh©u. Qu£n trË viên kiÃm tra mÙt vài thông tin vÁ "viên trã lý", nh°ng Kevin ã có ç thông tin và sñ khôn ngoan à tr£ lÝi. K¿t qu£ là Kevin ã l¥y °ãc m­t kh©u và kiÃm soát toàn bÙ hÇ thÑng m¡ng cça công ty X.

MÙt hình théc lëa £o khác: MÙt ngày... x¥u trÝi nào ó, b¡n nh­n °ãc iÇn tho¡i, §u dây bên kia là mÙt giÍng nói ngÍt ngào: "Chào anh, dËch vå mà anh ang sí dång t¡i công ty chúng tôi hiÇn ang bË tråc tr·c vÛi account (tài kho£n) cça anh. Á nghË anh gíi g¥p thông tin vÁ tài kho£n cho chúng tôi à iÁu chÉnh l¡i". MÛi nghe qua t°ßng nh° ây là mÙt kiÃu lëa thô thiÃn, nh°ng xác su¥t thành công r¥t cao, ·c biÇt khi giÍng nói ó dÅ th°¡ng nh° m¥y cô trñc tÕng ài 1080! Ph°¡ng cách lëa £o t°¡ng tñ là dùng kù thu­t "Fake Email Login". VÁ nguyên t¯c, m×i khi ng nh­p vào hÙp th° thì chúng ta ph£i iÁn thông tin tài kho£n gÓm username và password rÓi gíi thông tin ¿n mail server à xí lý. Lãi dång iÁu này, hacker ã thi¿t k¿ các trang ng nh­p gi£ (Fake Login) à các thông tin °ãc gíi ¿n cho hÍ.

Tóm l¡i, kù thu­t Social Engineering r¥t a d¡ng, phong phú và cing h¿t séc nguy hiÃm do tính hiÇu qu£ và sñ phÕ bi¿n. Kù thu­t này không òi hÏi ph£i sí dång quá nhiÁu y¿u tÑ kù thu­t, th­m chí không có liên quan ¿n kù thu­t thu§n túy (non-technical). Hacker có thà thñc hiÇn ph°¡ng cách này thông qua th° tín, e-mail, iÇn tho¡i, ti¿p xúc trñc ti¿p, thông qua ng°Ýi quen, các mÑi quan hÇ cá nhân... nh±m d«n då, khai thác các thông tin do vô tình bË ti¿t lÙ të phía ng°Ýi dùng. Þ VN, kù thu­t này còn khá mÛi nên không hi¿m tr°Ýng hãp bË ánh lëa mÙt cách dÅ dàng. Ch³ng h¡n nm ngoái, hàng lo¡t game thç MU Global ã m¥t s¡ch sành sanh tài s£n (£o), khi ngây th¡ iÁn thông tin tài kho£n cça mình vào mÙt e-mail gi£ m¡o admin MU cça hacker!

(Theo Thanh Niên)

Chàng Romeo thÝi hacking sa l°Ûi! (*)

Trung là nhân viên b£o m­t và an ninh m¡ng (security) cho công ty Z mÙt nhà cung c¥p dËch vå Internet (ISP) - ß Hà NÙi. Anh tëng tham gia vå truy tìm mÙt hacker Ùt nh­p hÇ thÑng cça công ty Z. Tuy quy mô và h­u qu£ gây ra không lÛn, nh°ng sau khi buÙc k» qu¥y rÑi khai nh­n hành vi xâm nh­p trái pháp lu­t, chàng nhân viên b£o m­t này l¡i tÏ ra r¥t thông c£m vÛi gã hacker si tình và Á nghË h¯n hãp tác. Dù sao câu chuyÇn này cing là lÝi c£nh báo cho nhïng ai có ý Ënh vi ph¡m quy Ënh b£o m­t và xâm nh­p an ninh m¡ng trái phép... ChuyÇn tình thÝi công nghÇ Ngô Vi¿t Quang là mÙt thanh niên có ki¿n théc vÁ m¡ng r¥t khá. Kho£ng hai nm tr°Ûc khi chat qua m¡ng ang là mÑt sành iÇu cça giÛi tr» - mÙt ngày ¹p trÝi, Trung g·p H°¡ng lantim_199... trên chat room. Sau vài giÝ gõ bàn phím vÛi nàng, anh chàng Romeo bË ti¿ng sét ái tình ánh ngay t¯p lñ. Liên ti¿p nhïng ngày sau ó, hÍ g·p nhau th°Ýng xuyên trên m¡ng và... nàng th¿ nào thì ch³ng rõ, ché chàng thì ã ch¿t é ë . Ch³ng bao lâu, không gian £o không ç ch× cho Quang tÏ bày nhïng lÝi nÓng th¯m và chàng nh¥t quy¿t ph£i g·p nàng cho b±ng °ãc à bày tÏ t¥m chân tình! KhÕ n×i nàng nh° quá råt rè, nh¥t quy¿t không cho bi¿t Ëa chÉ cå thÃ. Trong mÙt l§n chat vÛi H°¡ng, Quang bí m­t kiÃm tra các thông tin vÁ IP cça nàng. Khi phát hiÇn máy tính ß nhà H°¡ng sí dång dËch vå Internet cça công ty Z cung c¥p, séc m¡nh tình yêu mãnh liÇt ã khi¿n Quang ánh liÁu... hack th³ng vào máy chç cça ISP. Thông th°Ýng, các ISP không bao giÝ dám ch¯c ch¯n r±ng mình là chÑn b¥t kh£ xâm ph¡m. KiÃu gì cing có l× hÕng không lÛn thì nhÏ, v¥n Á là hacker có ph£i tay cao thç bi¿t cách khai thác hay không. Quang vÑn r¥t có nng khi¿u, chÉ sau vài ngày tìm ki¿m, anh chàng ã tìm °ãc l× hÕng trong hÇ thÑng cça ISP và trñc ti¿p t¥n công vào l×i SQL injection trên web (mÙt l×i khá phÕ bi¿n vào thÝi iÃm ó). Ti¿p tåc tñ xoay sß, sau hàng giÝ tìm hiÃu qua truy v¥n trñc ti¿p các thông tin vÁ tài kho£n sí dång Internet cça H°¡ng. CuÑi cùng Quang cing tìm °ãc sÑ iÇn tho¡i và Ëa chÉ cça gia ình H°¡ng t¡i Hà NÙi. Th¿ là tình yêu c¥t cánh , Quang l·n lÙi ra Hà NÙi tìm H°¡ng ngay sau ó. LiÇu H°¡ng có xiêu lòng vì xúc Ùng tr°Ûc t¥m chân tình cça Quang hay không thì ch³ng bi¿t, nh°ng câu chuyÇn tình lãng m¡n nh° m¡ ¥y có nguy c¡ bi¿n thành bi kËch chia c¯t chàng Romeo và nàng Juliet thÝi công nghÇ sÑ. Vì tình, Quang ã v°Ûng vào chuyÇn pháp lu­t! Theo d¥u k» si tình Trung kÃ, nhïng nm tr°Ûc, nhiÇm vå Security ch°a °ãc các ISP coi trÍng nên th°Ýng giao cho admin kiêm luôn phå trách b£o m­t và an ninh m¡ng. M·c dù luôn b­n rÙn, hàng ngày Trung v«n thñc hiÇn kù l°áng viÇc kiÃm tra các giao dËch, k¿t nÑi ¿n máy chç trong ngày. Ngay buÕi sáng hôm sau êm Quang ti¿n hành cuÙc xâm nh­p trái phép, Trung ã phát hiÇn d¥u v¿t cça vË khách không mÝi này. T¥t nhiên, khi ó Trung không thà bi¿t gã si tình qu­y ISP chÉ Ã tìm Ëa chÉ b¡n gái, nên nhïng d¥u hiÇu máy chç bË xâm nh­p °ãc anh ghi nh­n vÛi tính cách nghiêm trÍng. Óng thÝi Trung cing phát hiÇn máy chç cça anh tr°Ûc ó ã nhiÁu l§n bË k» l¡ tìm cách xâm nh­p không thành. Quang cing là mÙt hacker có h¡ng ¥y. Anh chàng ã cÑ g¯ng xóa log, tiêu hçy mÍi d¥u v¿t sau khi xâm nh­p máy chç cça chúng tôi - Trung nh­n xét vÁ Quang. Nh°ng mÏ quýt dày có móng tay nhÍn , Quang không ngÝ r±ng tr°Ûc ó ISP - n¡i Trung làm viÇc - ã có cài ·t éng dång monitoring. MÙt lo¡i éng dång ghi nhÛ t¥t c£ k¿t nÑi, các °Ýng vào ra và truy c­p máy chç trái phép. Công viÇc §u tiên là kiÃm tra t¥t c£ nhïng n¡i mà k» l¡ vëa i qua. Sau vå Ùt nh­p cça Quang, Trung mÝi mÙt Óng nghiÇp khá cao tay tham gia - kiÃm tra Ùc l­p vÛi anh th­t kù l°áng. Và anh chÉ thß phào nh¹ nhõm khi th¥y nÙi dung website cça ISP không bË sía Õi, khai thác thông tin bí m­t gì - ngoài ph§n tính c°Ûc cça khách hàng ã bË låc tung lên. Ph§n vì tò mò, ph§n vì tñ ái nghÁ nghiÇp, Trung quy¿t Ënh ph£i tìm ra hacker vëa t¥n công êm tr°Ûc. Vào kho£ng cuÑi 2002 §u 2003, các cuÙc xâm nh­p trái phép cça hacker ng°Ýi ViÇt vào các website, ISP trong n°Ûc x£y ra nh° c¡m bïa. Ph§n lÛn là hÍ muÑn chéng tÏ tài nng, hack Ã... gây thành tích. Coi ó nh° mÙt hành Ùng t¡o dñng tên tuÕi trong th¿ giÛi ng§m IT ViÇt. Nh°ng càng vÁ sau, càng xu¥t hiÇn nhiÁu cuÙc xâm nh­p trái phép vì måc ích tråc lãi. Th­m chí hÍ t¥n công nh±m khai thác sía Õi các thông tin bí m­t à l¡i h­u qu£ nghiêm trÍng, hay n c¯p account mua hàng chùa qua m¡ng, hack à l¥y thông tin quay th°ßng xÕ sÑ tråc lãi,...vv. Vì v­y tôi °ãc lÇnh ph£i ti¿n hành mÙt vå truy b¯t hacker có b±ng chéng xác thñc nh° mÙt vå iÃn hình nh±m rn e các cao thç th¿ giÛi ng§m - Trung nhÛ l¡i. Cõi IT âu ph£i chÑn không ng°Ýi Trung ti¿n hành cuÙc truy tìm theo kiÃu g­y ông ­p l°ng ông . Anh kiÃm tra IP ã truy nh­p máy chç, l¥y toàn bÙ thông tin vÁ cuÙc t¥n công cça chàng hacker si tình này mà Quang v«n không hÁ hay bi¿t. ¿n khi Trung công bÑ t¥t c£ b±ng chéng anh l°u giï °ãc të cuÙc t¥n công cça Quang cho Quang xem. Óng thÝi °a toàn bÙ thông tin vÁ nhân thân, Ëa chÉ và gia ình Quang t¡i à Nµng, Quang mÛi i¿ng ng°Ýi. Nhïng b±ng chéng Trung °a ra xác thñc ¿n méc n¿u mÙt hacker vào ko¡i xoàng nh¥t nhìn vào cing bi¿t Quang ã t¥n công tëng b°Ûc ra sao - cå thà ¿n tëng chi ti¿t. Không còn gì à chÑi cãi, Quang ành khai nh­n t¥t c£ vÛi Trung. Vëa b¥t ngÝ, vëa... thích thú tr°Ûc câu chuyÇn tình lãng m¡n, Trung Óng ý không °a vå này ra xí lý, mà chÉ yêu c§u Quang xin l×i ISP công khai trên m¡ng và hãp tác. LÝi xin l×i và câu chuyÇn cça Quang sau này °ãc kà l¡i khá chi ti¿t trên nhiÁu diÅn àn IT ViÇt. MÑi tình cça chàng Romeo Ùi mi hacker ViÇt sau này °ãc mÍi ng°Ýi gÍi là mÑi tình ·c s¯c nh¥t thÝi hacking . Vå viÇc Óng thÝi cing trß thành lÝi c£nh báo hacker iÃn hình cça nhïng ng°Ýi làm an ninh m¡ng ViÇt Nam. Trong mÙt bài vi¿t ng t£i trên diÅn àn. Quang ¡i diÇn nhïng ng°Ýi làm an ninh m¡ng ã lên ti¿ng: Cõi IT ViÇt âu ph£i chÑn không ng°Ýi! Xin hãy coi chëng vì t¥t c£ các ho¡t Ùng xâm nh­p, khai thác thông tin trái phép cça các vË n¿u x£y ra - tr°Ûc sau s½ bË °a ra ánh sáng. Các hacker hãy hãp tác vÛi chúng tôi trong n× lñc cùng nhau xây dñng mÙt th¿ giÛi công nghÇ thông tin ViÇt Nam an toàn, vn minh và úng pháp lu­t .

Th¿ Phong (*) Tên các nhân v­t trong bài ã °ãc thay Õi

Huy remy "phç nh­n" viÇc t¥n công ChoDienTu.com00:46' 09/11/2006 (GMT+7)

(VietNamNet) - Trong buÕi làm viÇc vào 8h sáng qua (8/11) t¡i trå sß Phòng ChÑng tÙi ph¡m công nghÇ cao C15 - BÙ Công an, tr°Ûc các b±ng chéng do c¡ quan iÁu tra thu th­p °ãc, Ñi t°ãng NguyÅn Quang Huy, sinh nm 1984 (téc Huy remy), ã ký vào biên b£n thëa nh­n viÇc thi¿t l­p trang tin iÇn tí teen.net.vn không có gi¥y phép và sao chép ph§n mÁm máy tính không có b£n quyÁn.

>> HYPERLINK "http://www.vnn.vn/cntt/2006/09/615015/" Chodientu.com bË hacker c°Ûp tên miÁn

>> HYPERLINK "http://www.vnn.vn/cntt/2006/09/617078/" ChoDienTu.com ti¿p tåc bË t¥n công

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/08.Nhan%20vat/12.Nguyen%20Quang%20Huy%20(Huyremy).mht!http://images.vietnamnet.vn/dataimages/200611/original/images1155403_Huyremy.jpg" \* MERGEFORMATINET Huy remy xu¥t hiÇn trên báo chí khi nh­n Ënh vÁ vå t¥n công Chodientu.com ß góc Ù mÙt "chuyên gia b£o m­t". ¢nh: VTV. Tuy nhiên, Huy remy v«n không chËu thëa nh­n các b±ng chéng cça c¡ quan iÁu tra vÁ vå t¥n công vào tên miÁn chodientu.com ngày 23/9 và viÇc truyÁn bá vn hoá ph©m Ói truõ thông qua website gmetal.net. Trong biên b£n làm viÇc, Huy cho r±ng "chéng cé mà c¡ quan iÁu tra °a ra là không khách quan, không rõ nét."

Quá trình iÁu tra b¯t §u të vå viÇc hacker t¥n công vào website chodientu.com r¡ng sáng ngày 23/9/2006, të các thông tin thu th­p và d¥u v¿t có °ãc të quá trình t¥n công vào tên miÁn chodientu.com, c¡ quan công an, cå thà là Phòng chÑng tÙi ph¡m công nghÇ cao C15, ã thu th­p chéng cé, xác Ënh các Ñi t°ãng tình nghi.

Sau h¡n 1 tháng xác minh, të các dï liÇu thu th­p và khôi phåc °ãc të máy tính cá nhân cça Huy remy, c¡ quan iÁu tra ã có các b±ng chéng rõ ràng à k¿t lu­n chi¿c máy tính ·t t¡i nhà riêng Huy remy ã °ãc dùng à thñc hiÇn viÇc c°Ûp tên miÁn chodientu.com, sau ó trÏ tÛi mÙt website có nÙi dung bôi nhÍ uy tín cça Công ty PeaceSoft và Giám Ñc NguyÅn Hoà Bình.

INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/08.Nhan%20vat/12.Nguyen%20Quang%20Huy%20(Huyremy).mht!http://images.vietnamnet.vn/dataimages/200611/original/images1155401_noidungthungo.jpg" \* MERGEFORMATINET NÙi dung béc th° ngÏ mà thç ph¡m t¥n công Chodientu.com à l¡i trên website. Tên máy tính truy c­p vào server và Ëa chÉ IP cça thç ph¡m vå t¥n công chodientu.com à l¡i trên logfile cça máy chç hosting cing trùng khÛp vÛi tên chi¿c máy tính và Ëa chÉ IP dùng °Ýng truyÁn ADSL FPT t¡i nhà NguyÅn Quang Huy.

Tuy nhiên, trong buÕi làm viÇc vÛi các c¡ quan chéc nng sáng 8/11, Huy remy ã không thëa nh­n mình là thç ph¡m thñc hiÇn vå t¥n công vào tên miÁn chodientu.com. Huy °a ra gi£ thi¿t phç Ënh r±ng máy tính cça mình ã bË hacker xâm nh­p vào thông qua °Ýng m¡ng Wi-fi chia s» k¿t nÑi ADSL trong nhà và iÁu khiÃn máy tính cça Huy làm ph°¡ng tiÇn t¥n công chodientu.com.

Do tính ây là vå t¥n công vào website mÙt doanh nghiÇp TMT ang ho¡t Ùng kinh doanh và có t° cách pháp nhân, quá trình iÁu tra cça C15 ã °ãc triÃn khai nhanh chóng, áp dång các biÇn pháp nghiÇp vå phòng chÑng tÙi ph¡m công nghÇ cao à truy tìm thç ph¡m.

Theo nguÓn tin cça c¡ quan iÁu tra, các vi ph¡m và Huy remy thëa nh­n s½ °ãc chuyÃn cho Thanh tra BÙ B°u chính viÅn thông và Thanh tra BÙ VHTT xí ph¡t hành chính vÛi méc ph¡t có thà lên tÛi hàng chåc triÇu Óng. Ngoài ra, c¡ quan iÁu tra cing s½ phÑi hãp vÛi ViÇn KiÃm sát ánh giá các chéng cé trong vå t¥n công tên miÁn chodientu.com, n¿u ç y¿u tÑ s½ khßi tÑ xí lý hình sñ Ñi vÛi NguyÅn Quang Huy.

Nm 2003, NguyÅn Quang Huy, khi ó mÛi 19 tuÕi, là sinh viên nm thé nh¥t mÙt tr°Ýng H t¡i Hà NÙi - thành viên nhóm VHA tëng tham gia HYPERLINK "http://www.vnn.vn/khoahoc/2003/10/31122/" hÙi th£o an ninh m¡ng do báo HYPERLINK "http://www.vnn.vn/giaoluu/2003/10/31088/" TiÁn Phong và VietnamNet tÕ chéc - ã hack thành công vào trang web cça HYPERLINK "http://www.vnn.vn/cntt/xalo/2003/10/214559/" cuÙc thi hack do nhóm BugSearch cça tr°Ýng H QuÑc gia TP.HCM tÕ chéc.

CuÙc thi hack công khai nm ó do HQG TP.HCM phát Ùng të ngày 26/9 ¿n 22/10, gi£i th°ßng cao nh¥t cho ng°Ýi th¯ng cuÙc là 5 triÇu Óng.

Thông tin chi ti¿t vÁ thç ph¡m t¥n công Chodientu.com s½ °ãc VietNamNet ti¿p tåc ph£n ánh. MÝi quý Ùc gi£ chú ý theo dõi.

B.M

DanTruongX hÑi l×i, gi£i mã X-Flash DDoS15:36' 07/05/2006 (GMT+7)

Sau khi thëa nh­n hành vi sai trái cça mình và °ãc t¡i ngo¡i, HYPERLINK "http://vietnamnet.vn/cntt/2006/05/566939/" NguyÅn Thành Công vÛi biÇt danh DanTruongX ã tÏ ra h¿t séc hÑi h­n vÁ l×i l§m ã gây ra cho cÙng Óng sí dång Internet trong thÝi gian qua. Công ã gíi th° ¿n TuÕi Tr» Online nhÝ chuyÃn nÙi dung xin l×i này ¿n b¡n Íc.

HYPERLINK "http://vietnamnet.vn/dataimages/200603/original/images924811_01.jpg" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/08.Nhan%20vat/13.Nguyen%20Thanh%20Cong%20(DantruongX).mht!http://vietnamnet.vn/dataimages/200603/original/images924811_01.jpg" \* MERGEFORMATINET T¥n công DDoS: HiÃm hÍa cça nÁn TMT non tr» ß ViÇt Nam. LÝi §u tiên tôi muÑn gíi lÝi xin l×i tÛi công ty ViÇt C¡ và nhïng khách hàng cça hÍ. Tôi r¥t hÑi h­n vÁ nhïng viÇc mà mình ã làm, nhïng hành Ùng nông nÕi, hi¿u th¯ng gây £nh h°ßng x¥u tÛi môi tr°Ýng Th°¡ng m¡i iÇn tí ViÇt Nam. Tôi r¥t mong có mÙt sñ tha thé të mÍi ng°Ýi. Và tôi mong r±ng tôi s½ có mÙt c¡ hÙi à h°Ûng thiÇn và óng góp mÙt ph§n séc mình cho sñ phát triÃn công nghÇ thông tin ß ViÇt Nam.

Vào nm 2002, trong quá trình nghiên céu vÁ tin hÍc, tôi và nhóm Bé yêu phát hiÇn °ãc nhïng l× hÕng b£o m­t cça IE và Flash, nhïng éng dång të mã l­p trình Action Script trong Macromedia Flash. Nhïng l×i ó nhanh chóng °ãc nhóm Bé yêu éng dång vào các thí nghiÇm nh±m thà hiÇn kh£ nng cça mình, mÙt måc ích tr» con hi¿u th¯ng, và háo danh.

Nhïng hành Ùng nông nÕi, nhïng cuÙc t¥n công thi¿u suy ngh) ¥y ã giúp chúng tôi nhanh chóng có °ãc ti¿ng tm trong giÛi "Giang hÓ M¡ng". Lúc ó tôi chÉ ngh) mình °ãc mÍi ng°Ýi thán phåc, e dè mà không nh­n théc °ãc ó là mÙt hành Ùng sai trái, gây nguy hiÃm tÛi tình hình Th°¡ng m¡i iÇn tí ß ViÇt Nam sau này cing nh° vi ph¡m pháp lu­t.

Tuy nhiên të khi nhóm Bé yêu phát hiÇn l×i, xây dñng công cå t¥n công të chÑi dËch vå të xFlash à phá phách và thà hiÇn mình, chúng tôi cam k¿t tuyÇt Ñi không bao giÝ t¥n công hay hack vào nhïng hÇ thÑng m¡ng cça chính phç, tên miÁn hay máy chç °ãc ·t t¡i ViÇt Nam.

VÛi nhïng l×i l§m ã gây ra, giÝ ây tôi thñc sñ r¥t hÑi h­n, tôi hiÃu tôi s½ ph£i nh­n nhïng hình théc xí lý nghiêm minh cing nh° sñ chê trách nghiêm kh¯c të mÍi ng°Ýi. Dù ã muÙn, nh°ng tôi v«n xin °ãc l°ãng thé.

Và nhân tiÇn ây tôi muÑn gíi lÝi nh¯n ¿n nhïng ng°Ýi hiÇn ang là Attacker và ang có ý Ënh làm Attacker nên suy ngh) mÙt cách chín ch¯n h¡n, ëng vì nhïng mâu thu«n cá nhân ho·c vì danh ti¿ng mà nông nÕi hành Ùng thi¿u suy ngh) nh° tôi. Danh dñ và t°¡ng lai cça b¡n có thà s½ bË ánh m¥t chÉ vì mÙt phút bÓng bÙt. Tôi mong muÑn các b¡n hacker mi en ß ViÇt Nam nhïng hành Ùng h°Ûng thiÇn à có mÙt t°¡ng lai tÑt ¹p và có ích cho cuÙc sÑng, hãy làm nhïng viÇc có ích à óng góp vào sñ phát triÃn cça nÁn tin hÍc ViÇt Nam.

N¿u các b¡n có th¯c m¯c hay c§n sñ h× trã liên quan tÛi viÇc phòng chÑng DDoS të xFlash, tôi xin h× trã cho các b¡n h¿t mình. H¡n bao giÝ h¿t ây là mÙt mong muÑn, mÙt hành Ùng, mÙt lÝi xin l×i chân thành gíi ¿n t¥t c£ mÍi ng°Ýi të mÙt ng°Ýi thñc sñ hÑi h­n. Xin mÍi ng°Ýi hãy nh­n lÝi xin l×i cça tôi và mß rÙng vòng tay, t¥m lòng giúp tôi làm l¡i të §u.

Ngoài ra, tôi cing xin gßi lÝi c£m ¡n ¿n gia ình, b¡n bè ã Ùng viên, khuyên b£o và h°Ûng d«n tôi i theo con °Ýng chân chính.

Và d°Ûi ây là mÙt sÑ ph°¡ng pháp, phòng chÑng và h¡n ch¿ nhïng tác h¡i do DDoS të xFlash gây nên.

- N¿u b¡n dùng Server Linux có sí dång CPanel khi phát hiÇn ra có DDoS n¿u b¡n có quyÁn root ngay l­p téc b¡n hãy Suppend Site ang bË t¥n công và cài Password t¡m thÝi lên sau khi thao tác xong ph§n cài password cho folder ho·c site bË t¥n công thì b¡n có thà Unsuppend à ti¿p tåc theo dõi.

T¡o mÙt file .htaccess ·t vào th° måc ho·c site ang bË Flood nh° sau:

.htaccess|

****************************

AuthUserFile /forum/.htpasswd

AuthGroupFile /dev/null

AuthName "Password Protected Area"

AuthType Basic

****************************

và t¡o mÙt file .htpasswd

****************************

@domain::@dGdK8ZQg/FjU

****************************

user và pass ß trên là : @domain:

Trên ây chÉ là ví då b¡n có thà vào HYPERLINK "http://google.com/" http://google.com và Search vÛi të khóa .htaccess Generator à tñ t¡o password theo ý muÑn.

B¡n nên à password có ký tñ @ phía tr°Ûc và d¥u : phía sau vì WinXP ã fix lÕi cho nh­p Password d¡ng URL HYPERLINK "http://user:[email protected]/" http://user:[email protected]/, n¿u có @ và : thì Attacker s½ không thà v°ãt qua b±ng cách nh­p trñc ti¿p User và Pass b±ng URL.

Sau ó công viÇc cça b¡n ph£i làm là lên mÙt c¥u hình Firewall phù hãp cho site cça b¡n.

.htaccess

********************************************************

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tenmienbitancong.com [NC]

RewriteRule \.(php|html|asp)$ HYPERLINK "http://sitefirewall.com/" http://sitefirewall.com [NC,R,L]

********************************************************

VÛi dòng Mod Rewrite trên b¡n có thà chÑng tÛi 95% tác h¡i cça DDoS gây nên të xFlash. Nó giúp b¡n ngn c£n sñ nguy h¡i të viÇc truy c­p tñ Ùng cça xFlash ¿n site cça b¡n.

Gi£i thích vÁ c¡ ch¿ ho¡t Ùng: Máy chç cça b¡n ch¡y mã l­p trình cça PHP, ASP, HTML khi mÙt Attacker t¥n công vào site b¡n, cå thà ví då nh° t¥n công vào HYPERLINK "http://tenmienbitancong.com/" http://tenmienbitancong.com/ nó s½ Íc file index.php lúc này Mod Rewrite s½ ho¡t Ùng và Foward vÁ HYPERLINK "http://sitefirewall.com/" http://sitefirewall.com sau ó të HYPERLINK "http://sitefirewall.com/" http://sitefirewall.com b¡n ·t mÙt o¡n mã nh° sau:

HYPERLINK "http://vietnamnet.vn/cntt/2006/05/568109/%3C/FONT%3E%3CA%20href=%27http:/tenmienbitancong.com" vao/'>http://tenmienbitancong.com">Vao Web SIte

N¿u là khách truy c­p th­t thì hÍ s½ Click vào "Vao Web SIte" à °ãc truy c­p vào site. Còn n¿u vào "hiden xFlash" và nó s½ không vào °ãc. B¡n có thà nghiên céu 1 sÑ kiÃu ModRewrite k¿t hãp vÛi mã nguÑn trên site cça b¡n à config site cça b¡n chÑng xFlash tÑt h¡n.

VÛi 2 cách trên b¡n có thà yên tâm là site cça b¡n s½ v°ãt qua °ãc xFlash.

Còn vÁ ph°¡ng pháp phòng thì duy nh¥t chÉ có 1 ph°¡ng pháp : truy c­p vào Ëa chÉ HYPERLINK "http://macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash&promoid=BIOW" http://macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash&promoid=BIOW và nâng c¥p lên phiên b£n "FLASH PLAYER" mÛi nh¥t b¡n s½ hoàn toàn yên tâm là b¡n s½ không còn bË là mÙt Client hidden cho DDoS cça xFlash. Và viÇc nâng c¥p này là hoàn toàn miÅn phí.

NGUYÄN THÀ

Giám Ñc Trung tâm Bkis - NguyÅn Tí Qu£ng( HYPERLINK "http://www.bkav.com.vn/" www.bkav.com.vn )

NguyÅn Tí Qu£ng sinh nm 1975 t¡i Hoa L° Ninh Binh, 42 ngày sau ngày gi£i phóng MiÁn nam.

Là cñu hÍc sinh cça khÑi PhÕ thông Chuyên toán Tr°Ýng ¡i hoc S° ph¡m Hà NÙi 1 (1989 - 1992)

Là cñu sinh viên Khoa Công nghÇ Thông tin Tr°Ýng ¡i hÍc Bách khoa Hà NÙi (1992 - 1997), cao hÍc (1997 - 1999).

Të nm 1997 ¿n nay là gi£ng viên Khoa Công nghÇ Thông tin Tr°Ýng HBK Hà NÙi. Giám Ñc Trung tâm An ninh m¡ng - BKIS Center - HBK Hà NÙi.

MÙt sÑ thông tin khác Tính tình : Th­t thà, th³ng th¯n, kiên trì, hiÁn lành + nóng n£y INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/08.Nhan%20vat/14.Nguyen%20Tu%20Quang%20(BKIS).mht!http://www.bkav.com.vn/Pictures/icon_smile.gif" \* MERGEFORMATINET ... Sß thích : Tin hÍc, gi£ng d¡y, yêu âm nh¡c, hay hát, nghe nh¡c các thà lo¡i ... MÙt sÑ hình £nh : HYPERLINK "http://www.bkav.com.vn/Pictures/Tokyo.jpg" \t "_blank" INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/08.Nhan%20vat/14.Nguyen%20Tu%20Quang%20(BKIS).mht!http://www.bkav.com.vn/Pictures/intokyo.jpg" \* MERGEFORMATINET INCLUDEPICTURE "mhtml:mk:@MSITStore:D:\\My%20Documents\\Downloads\\SoTayHacker1.0.chm::/SoTayHacker1.0/27.Phong%20su%20-%20Ky%20su%20-%20Tin%20tuc%20-%20Lich%20su%20Hacker%20-%20Nhan%20vat/08.Nhan%20vat/14.Nguyen%20Tu%20Quang%20(BKIS).mht!http://www.bkav.com.vn/Pictures/intokyowle.jpg" \* MERGEFORMATINET T¡i Tokyo (chÍn "nÁn" khéo quá ) K c¡, K rô

NH CÔNG (Theo TuÕi Tr» Online)