Màn tấu hài về bảo mật của BKAV
Đầu tiên bạn cần coi qua một số tài liệu sau mà chúng tôi đã lấy từ Server của BKAV
Link tải về: http://www.mediafire.com/?h84wmv6zq7oh7ly
Password giải nén: bk@v
Cái ngu số 01
BKAV sử dụng Windows Server 2003 và Không thèm cập nhật bản vá nào, bản vá mới nhất là từ năm ... 2008
Khi thâm nhập BKAV server chúng tôi thực sự ngạc nhiên là BKAV dùng hệ điều hành lạc hậu hơn một thập kỷ là Windows Server 2003 cho một server tiếp diện với Internet.
Host Name: FORUM-D4AS7R6NX
OS Name: Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS Version: 5.2.3790 Service Pack 2 Build 3790
Họ còn cực kỳ "thông minh" khi tắt luôn dịch vụ Automatic Update của server, cũng như không hề cập nhật bản vá lỗi nào, bản cập nhật vá lỗi HDH cuối cùng mà BKAV cập nhật là bản KB941569 có cách đây ... 5 năm !
Cái ngu số 02
Sử dụng BKAV Pro làm Antivirus bảo vệ server , dùng phần mềm Crack trên server
Việc BKAV sử dụng đồ nhà cũng có lẽ là xuất phát từ niềm tự hào là "Chương trình diệt Virus đứng top 3 thế giới". Thế nhưng nó hoàn toàn không bảo vệ được BKAV server như mọi người đã thấy.
Bạn vui lòng tham khảo tệp tin "dir C programfile.txt" bạn sẽ thấy các chương trình cài trên BKAV
Trong đó đáng chú ý là
01/20/2012 06:05 PM BkavPro
...
02/24/2011 06:15 PM Internet Download Manager
Trong đó Internet Download Manager là phần mềm bị Crack. Lịch sử BKAV thường xuyên sử dụng phần mềm vi phạm bản quyền có lẽ ai cũng biết, ngày xưa BKAV từng lén gắn phần mềm WinRar vào trong BKAV Antivirus mà họ bảo là Top 3 thế giới mà không xin phép tác giả phần mềm (WinRar là phần mềm thương mại, phải trả tiền mới được sử dụng), mãi cho đến sau này một chuyên gia máy tính Việt Nam vô tình phát hiện và báo cáo việc này thì họ mới âm thầm gỡ bỏ WinRar khỏi BKAV Antivirus, do đó ngày nay BKAV Antivirus hoàn toàn bỏ qua việc diệt Virus trong các tệp tin .RAR do họ không biết cách giải nén định dạng RAR mà không phải dùng WinRAR.
Còn một chuyện vui khác nữa liên quan tới cái ngu khi tin tưởng vào BKAV Pro Antivirus của BKAV. Khi chúng tôi thâm nhập vào máy chủ của BKAV, chúng tôi phát hiện ra rằng trước chúng tôi có ... hàng chục hacker khác đã thâm nhập server của BKAV và cài cắm lại "một rừng" backdoor mà BKAV Pro Top 3 Thế giới không hề hay biết ! Cảnh tượng hệt như một cái chợ trời nơi người ta ra vô tấp nập vậy
Cái ngu số 03
Cài firewall mà chỉ dùng cấu hình mặc định, không biết tùy biến lại, thậm chí có lúc ... tắt luôn !
Tiếp tục với tệp tin "dir C programfile.txt" bạn sẽ dễ dàng thấy dòng sau
02/02/2012 12:30 AM Microsoft ISA Server
Cái hay ở đây là BKAV mới chỉ cài đặt ISA làm Firewall từ sau sự kiện ngày 02/02/2012 (ngày mà một hacker lịch thiệp đã thử thâm nhập vào BKAV Server và để lại một lời nhắn lịch sự giúp họ sửa lỗi). Họ cài đặt mà giữ nguyên cấu hình mặc định, điều này là cực kì nguy hiểm do hacker dễ dàng vô hiệu hóa Firewall. Nói cách khác họ cài Firewall cho có. Thậm chí trong lúc thâm nhập chúng tôi có lúc thấy dấu hiệu Firewall đã bị ngưng vận hành suốt nhiều ngày bởi người quản trị server
Cái ngu số 04
Administrator lướt web ngay trên server và trong giờ làm việc
Bạn vui lòng tham khảo tệp tin "tasklist.txt" , bạn sẽ thấy các dòng sau:
chrome.exe 4520 Console 0 42,804 K
chrome.exe 4588 Console 0 32,088 K
Sau khi thấy có quá nhiều process của trình duyệt Chrome đang vận hành trên server chúng tôi nghi ngờ là quản trị viên server đang lướt web ngay trên server nên thực hiện việc sniff gói tin trên server, kết quả khá thú vị khi thấy quản trị server đúng là đang lướt web đọc báo, thậm chí vô Facebook bằng Server của BKAV. Chúng tôi rất tiếc không thể cung cấp gói sniff đó lên đây do nó chứa nhiều thông tin có thể làm hại người vô tội.
Việc quản trị viên lướt web bằng trình duyệt ngay trên server thế này sẽ tạo cơ hội rất lớn cho hacker thâm nhập server bằng cách tấn công xuyên qua trình duyệt web. Đây là sự tắc trách và vô ý thức của người chịu trách nhiệm trông nom BKAV server
Cái ngu số 05
Cài đặt tất cả các dịch vụ trên server hoạt động dưới quyền hoạt động là Administrator
Cái ngu này dẫn tới việc hacker một khi đã khai thác được lỗi của một dịch vụ nào đó trên server và thâm nhập vào sẽ có toàn quyền điều khiển server như một Administrator mà không phải thông qua một bước rất khó khăn là "Leo thang đặc quyền"
Cái ngu số 06
Cài đặt MySQL hoạt động với quyền Root
Lúc dump cơ sở dữ liệu của BKAV Server chúng tôi phải cố gắng lắm mới không té khỏi ghế, do BKAV đã ngu muội mà cài đặt quyền sử dụng cơ sở dữ liệu MySQL là root. Thông tin trong tệp "configphp.txt" (tệp tin cấu hình VBB của forum BKAV)
$config['MasterServer']['servername'] = 'localhost';
$config['MasterServer']['port'] = 3306;
$config['MasterServer']['username'] = 'root';
$config['MasterServer']['password'] = 'bkav4rum2011';
Với quyền sử dụng MySQL là root, hacker sẽ dễ dàng truy cập mọi dữ liệu trên server BKAV thông qua khai thác lỗi Web Application
Cái ngu số 07
Dùng chung mật khẩu quản trị cho nhiều hạng mục, thậm chí chung với mật khẩu MySQL
Và cực ngu là mật khẩu quá dễ đoán
Các mật khẩu quản trị trên server của BKAV đều khá giống nhau và rất dễ đoán là:
bkav4rum2011
Cái ngu số 08
Không backup dữ liệu thường xuyên, bản sao lưu mới nhất của BKAV server là ngày 12/01/2012 và cất chung các bản sao lưu trên cùng server.
Thông tin trong tệp "" :
Volume in drive D is DATA
Volume Serial Number is E8B7-1C1D
Directory of D:\BackupServerBF_20120112
01/14/2012 09:56 AM .
01/14/2012 09:56 AM ..
01/13/2012 05:25 PM 1,590,685,562 AllDB_120113_All.7z
01/14/2012 03:05 AM 9,928,198,998 forumbkav.zip
01/14/2012 02:16 AM 123,298,522 server_smarthome.zip
01/14/2012 02:10 AM 600,441,586 UploadSample.zip
4 File(s) 12,242,624,668 bytes
2 Dir(s) 25,288,765,440 bytes free
Lần cuối BKAV sao lưu dữ liệu server của họ là 1 tháng trước khi chúng tôi công bố các thông tin này và thật đáng buồn là họ lại đặt tất cả các bản sao lưu này trên cùng server, nếu hacker ra tay xóa thì họ sẽ chẳng còn gì để mà khôi phục hoạt động. BKAV sẽ hoàn toàn trắng tay
Tại sao chúng tôi không làm BKAV hoàn toàn trắng tay ?
Vì chúng tôi thực tâm không muốn hủy diệt BKAV, mặc dù chúng tôi hoàn toàn có khả năng và cơ hội để phá hủy toàn bộ dữ liệu của toàn bộ các hệ thống máy chủ của BKAV
Chúng tôi chỉ đòi hỏi sự công bình và lòng trung thực
BKAV được yêu hay ghét hoàn toàn do họ lựa chọn
Tương lai của họ và hành động của chúng tôi hoàn toàn do họ lựa chọn
Lulzsec
http://bkavop.blogspot.com
Chúng tôi rất vui nếu bạn giúp chúng tôi chỉ ra thêm các cái ngu khác của BKAV khi bảo mật server của họ, bạn có thể dựa vào gói dữ liệu thông tin server BKAV mà chúng tôi cung cấp cho bạn, nó chứa rất nhiều thông tin
Đại học FPT: khi sinh viên gian lận và hack vào server trường -p1
Trường Đại Học FPT (FU) số 8 Tôn Thất Thuyết - Cầu Giấy - Hà Nội (Toà nhà Detect - đối diện bến xe Mĩ Đình)
Trong 3 năm nay, FU có thực hiện việc thi cử online bằng phần mềm chuyên dụng của trường, được nhà trường đặt hàng của Phan Trường Lâm (LamPT)
có 2 phiên bản đều được code bằng C# .NET:
1- bản EOS Client dùng thi môn Business English (BE).
2- bản IT Client thi các môn Software Engineering: Java, C#, C/C++, Computer Network, Operating System (OS), Introduction to Database, ...
Cả 2 bản này thì sẽ lấy đề từ Server trường về máy tính sinh viên, sinh viên làm trên máy, sau đó khi kết thúc, bài làm của sinh viên sẽ được lưu 1 bản thành file .dat tại máy sinh viên, và gửi bài thi của sinh viên về Server
Tóm tắt nội dung:
Sinh viên HieuDM và các sinh viên khác có hành vi gian lận thi cử tại FU, nổi lên đỉnh điểm là nhóm sinh viên này vì lý do thù hận với tôi nên lợi dụng 1 bug để tiến hành hack vào server FU để sửa bài thi của tôi và 1 người bạn của tôi, nhằm mục đích bắt chúng tôi học lại, nhóm này còn tuyên bố là sẽ không tôi này ra được trường vì sẽ sửa bài liên tục ở các kỳ thi, làm cho tôi không thể qua được 1 môn nào. Tôi đã phát hiện ra hành động này và báo cáo với FU để tiến hành giải quyết. Tuy nhiên, FU vẫn hợp tác với tôi để giải quyết. Sau đó, tôi đã tiến hành hack vào server FU rồi quay video lại và gửi cho BGH FU để giải quyết, BGH FU đã nhận video và cám ơn về sự hợp tác của tôi. Tuy nhiên sau thời gian dài chờ đợi hơn 2 tháng thì tôi có cảm giác như vụ việc vẫn chưa được giải quyết.
Bạn có thể Download toàn bộ tài liệu liên quan đến bài viết. Tất cả các file password giải nén đều làs: Code:
hvaonline.net
* Collection - HVA version.rar
Link Download:
Ubuntu One Server: http://ubuntuone.com/0J8ot5qlyqSH85dhUpY5uR
Mediafire Server: http://www.mediafire.com/?0uur4ip5aezjd31
Đây là file chứa toàn bộ dữ liệu gửi cho trường đại học FPT:
+, Video Hack vào Server trường đại học FPT để sửa bài thi của 1 sinh viên do chính tôi thực hiện (Phan Lê Việt Anh - Sinh viên năm 4 đại học FPT)
+, Phần Mềm EOS Client - Edited version Coded by Đỗ Minh Hiếu (HieuDM - Sinh viên năm thứ 3 đại học FPT, mã số sinh viên: 01570. Email: HieuDM01570@fpt.edu.vn)
+, 1 Loạt ảnh bằng chứng mà tôi đã tiến hành điều tra được nhóm sinh viên HieuDM đã gian lận, và hack vào Server sửa bài thi của sinh viên khác.
* IT Client Version 3 và 4.
Link Download:
Ubuntu One Server: http://ubuntuone.com/5DmWmrCC1F6uBBVkW7621P
Mediafire Server: http://www.mediafire.com/?os5553ef15s1vvw
Đây là Các bản IT Client nhà trường cung cấp cho sinh viên FU để tiến hành việc thử cử online trên laptop của sinh viên. Do đã trải qua 3 năm liền, nên mình chỉ còn lưu Version 3 và 4. mình up lên cho các bạn tham khảo.
* Send Email.rar
Ubuntu One Server: http://ubuntuone.com/35R2kPLveYhVpbkaqRtwO5
Mediafire Server: http://www.mediafire.com/?25hrxgy9w8pfsl7
Đây là 1 số ảnh để dẫn chứng 1 vài cuộc hội thoại và gửi tài liệu điều tra cho FU.
* gmail and reset hotmail.rar
Ubuntu One Server: http://ubuntuone.com/2p79M0RQYHq9G5WfNV00jd
Mediafire Server: http://www.mediafire.com/?876sao7by4sameu
Đây là video tôi login vào dohieu1991@gmail.com và kiểm tra email: dohieu1991@hotmail.com
Sau đây là toàn bộ câu chuyện đầy đủ:
I. Tìm ra list sinh viên gian lận môn Business English
Kết thúc buổi học vào 12h trưa. đang đói nên chạy vào thư viện rủ thằng bạn đi ăn.
XXX : thằng HieuDM mới có cái phần mềm gian lận BE, tao thấy bọn nó copy usb cho nhau dùng.
I : Đâu, có không? Mang đây tao xem xem nó làm gì nào.
XXX : Đây, trong usb tao có. vừa nãy có thằng mượn usb tao để copy. nó đã cut rồi nhưng chả hiểu sao vẫn còn.
I : Mày lại dùng recuva chứ gì. lol
XXX : Nhưng mà thằng đấy nó nói là phải đăng ký với thằng HieuDM mới dùng được mày ạ, thấy bảo nó mã hoá ác lắm, chắc là nó dùng cái Obfuscator rồi
I : Cứ đưa đây tao xem cho, có khi tao dùng wireshark là túm được cả đống sinh viên gian lận đấy chứ. (Trong đầu lúc này đang nghĩ, cái file chạy thì chúng nó copy usb cho nhau rồi, nên chắc license không nằm trong file chạy, thế thì HieuDM sẽ check license online, thằng này chắc mới code nên không mã hoá phần gửi nhận giữa Server với client đâu, cứ clear text là đọc được hết)
XXX : Dùng wireshark thế nào cơ? mày làm tao xem với.
I : OK.
Bật laptop -> Copy EOS Client -> Chạy wireshark -> Capture -> chạy EOS Client -> Điền bừa cái Exam Code rồi nhấn Start Exam -> đợi khoảng 10s -> tắt EOS Client -> tắt capture -> bật đống wireshark vừa lên đọc -> tìm ngay mấy cái GET packet -> lấy được list sinh viên -> up list sinh viên này lên facebook -> đi ăn
Sau 3 ngày liền liên tục tranh cãi và chửi nhau với nhóm sinh viên này trên facebook, sau đó đã bị 1 nhóm rất đông sinh viên chặn đường hành hung, hiệu phó Nguyễn Xuân Phong (PhongNX) đã chỉ đạo 2 nhân viên của trường đưa đi viện, sau đó gia đình đã liên lạc với nhà trường để xử lý thì PhongNX có trả lời là do 1 nhóm bên ngoài vào đánh chứ không phải sinh viên của FU. Sau đó tôi đã đưa vụ việc này ra công an phường Dịch Vọng Hậu, Quận Cầu Giấy, Hà Nội để giải quyết ban đầu nhóm sinh viên chối tội và đều lôi bằng chứng ngoại phạm ra: có sinh viên thì vào thời điểm xảy ra hành hung sinh viên đó đang ngồi sửa máy cho 1 giảng viên trong trường??? có sinh viên thì có ông chủ phòng trọ làm chứng là vào giờ đấy đang ở nhà. Nhưng cuối cùng bằng biện pháp nghiệp vụ, Nhóm sinh viên đã phải thành khẩn nhận tội, và hứa sẽ không vi phạm. 2 bên đã tiến hành giản hoà. và nhóm sinh viên này bị FU xử phạt, nhưng hình phạt thì tôi không quan tâm, tôi không rõ là cảnh cáo hay kỹ luật trước toàn trường. Sau này tôi cũng không quan tâm xem, giảng viên nào làm chứng cho sinh viên đó đang ngồi sửa máy cho họ trong thời gian sinh viên đó đang hành hung tôi.
Những tưởng đến đây mọi việc sẽ kết thúc, nhưng đây mới chỉ là khởi đầu cho chuỗi ngày tệ hại đằng sau.
II. Hack vào Server trường sửa bài thi để trả thù cá nhân.
Sửa bài thi lần 1.
Sau khi buổi thi môn Software Quality Assurance and Testing (SQAT). vào buổi tối hôm đó tôi có bật yahoo, và có 1 thằng bạn BUZZ!!!
YYY : BUZZ!!!
YYY : mày làm gì mà để lộ password, tao thấy có thằng nó dùng cái gì đó, nó remote vào nó sửa bài thi của mày.
I : làm gì có nhỷ, chỉ có 1 hay 2 thằng bạn thân biết pass tao thôi, chả lẽ bị lộ ra.
YYY : mày đổi pass đi, tao thấy nó còn bảo là cho mày không ra được trường, cứ thi là nó sẽ sửa bài của mày.
I : thằng nào sửa bài tao thế, có trong list 20 sinh viên hôm trước không?
YYY : đâu đưa cái list tao nhìn mặt cho
I : đưa link ảnh.
YYY : đấy, thằng ở vị trí đấy đấy.
I : ừ tao biết rồi, để lần sau tao đổi pass.
Đến lúc này tôi vẫn tin tưởng rằng Server trường không có bug, vì thằng XXX nó kể LamPT đứng nói ở 1 lớp là: "Sinh viên trường này không bao giờ hack được vào Server trường, bởi vì các em chỉ biết đọc hướng dẫn trên mạng, vậy thì làm sao mà hack được vào Server trường".
Lần trước nghe XXX kể thì tôi cũng chỉ cười 1 cái rồi bảo nó: "ông đấy nói thế nghĩa là lão đấy cũng chỉ biết bảo mật theo TUT trên mạng".
Sửa bài thi lần 2.
Nhớ vụ hôm trước bị sửa bài môn SQAT nên trước khi thi 3 ngày, đến trường đổi mật khẩu 1 lần đã. rồi hôm sau đến thi.
Hôm nay sẽ thi môn Software Requirements (SR). thi xong thấy 1 nhóm lâu la ngồi ở ngoài sảnh tầng 2, toàn các gương mặt bất hảo, cảm thấy có gì đó chẳng lành, mấy hôm sau thấy trượt. thi được có 2.3, trong khi có thằng bạn nó làm kém hơn tôi mà nó được 4,7 -> PASSED (điểm của 2 thằng cuối kỳ đều chỉ cần 4 là PASSED) bắt đầu hoài nghi. nhưng chắc mình tại mình đổi pass trước 3 ngày, nên có khi trong 3 ngày đấy có cái gì mà nó lại có pass của mình. thôi lần sau đổi pass trước khi thi 5 phút cho an toàn. tất cả là lỗi tại mình, trường mình toàn các thầy giáo giỏi, giáo sư, tiến sĩ, nên chắc chắn Server không có bug, lại LamPT code phần mềm thi nên chắc chắn HieuDM không thể hack được.
Sửa bài thi lần 3.
Lần thi lại môn SR. vì lần trước không đủ 4 điểm để qua.
Trước khi thi 5 phút.
YYY : mày đổi pass luôn đi, không tý chúng nó sửa bài thi của mày đấy.
I : ừ, để tao đổi luôn.
YYY : thôi tao đi luôn đây, không bọn nó thấy phiền lắm.
I : ừ, cám ơn mày.
Lần này làm bài chắc chắn được 30/60 câu. ít nhất phải được 5 điểm. qua chắc rồi, cười rồi đi về. ra sảnh lại thấy mấy thằng lâu la nó ngồi tụ tập. đoán là quả này nếu teo thì chắc là server trường có bug thật rồi.
Chiều về nhà, lên ap.fpt.edu.vn xem điểm được có 2. quả này chắc chắn bị đổi bài.
Tiến hành reverse engineering EOS Client của HieuDM: lấy được email dohieu1991@gmail.com của HieuDM sau đó tiến hành login vào email của HieuDM -> lấy được cái ảnh nó sửa bài tôi. Á, à, mình bị nó sửa bài thật rồi -> gọi điện cho thầy Huỳnh Anh Dũng (DungHA). thầy là 1 người có tiếng nói trong trường. gọi điện trình bày toàn bộ vấn đề với thầy -> send mail cho thầy bài thi (file .dat) và file ảnh chứng minh nó edit bài thi của tôi, sáng mai đến trường gặp thầy.
Tối đến dùng 1 vài biện pháp kỹ thuật nghiệp vụ điều tra thêm về HieuDM có vài phát hiện lý thú:
+, 3,4h đêm cu cậu đi xem video hiếp dâm tập thể -> cái này thì tôi hình dung ra cảnh có vài cậu sinh viên ở cùng phòng trọ với nhau, nửa đêm bật lên xem với nhau rồi làm gì thì tôi không biết.
+, vào ngày: 22 Tháng 12 2011. cậu ta đang tìm cách dùng CCN mua garena shell,buy key kis online, tìm hiểu Mastercard là gì? tìm Zip Code của 1 thành phố ở US. -> cậu này chắc mới vào diễn đàn UG nào đấy, nhặt được mấy con CCN người ta share nên đang muốn sử dụng, và con CCN này đang thiếu Zip Code nên cậu ta đi tìm Zip Code của nó
+, nhớ lại có lần XXX nói: thằng HieuDM nó bảo là mày chỉ có thể dùng wireshark để tìm ra list sinh viên, bởi vì phần mềm nó đã mã hoá ác lắm rồi, mày không thể nào mà đọc code của nó được.
Từ 3 điểm này tôi đã hình dung ra cái khoảng trình độ của HieuDM, từ đây giúp tôi khoanh vùng để làm bàn đạp cho tôi tiến hành hack vào Server của FU.
Sáng hôm sau, đến trường gặp DungHA, đang ngồi đợi thì có anh làm bên phòng IT thấy mình rồi hỏi.
IT : Hôm trước thầy DungHA có bảo anh xem xét bảo mật Server vì vụ của em, em gửi cho anh 1 số thứ liên quan để anh xem xét chống gian lận, cho anh luôn số điện
thoại nhé. (Vụ này là vụ bị hành hung từ đợt EOS Client, chứ không phải vụ hack vào Server edit bài thi)
I : Vâng, email anh là gì?
IT : trungnq@fpt.edu.vn
I : Em gửi rồi nó báo fail anh ạ
IT : Thế thì send cho anh qua email của tập đoàn cũng được
I : Email là gì thế ạ?
IT : trungnq3@fpt.com.vn
I : Em send rồi đấy ạ. (send bản EOS Client của HieuDM, và file Phantom.pcap hôm trước mình capture được)
IT : OK, có gì anh sẽ gọi lại cho em sau.
Sau này cũng không thấy TrungNQ này liên lạc gì nữa. chắc lão nghĩ tôi cũng chỉ dùng đến wireshark để tìm ra list sinh viên, tôi đoán chắc lão cũng thử resource, nhưng gặp cái Obfuscator của HieuDM nên thôi. sau khi send email này xong, tôi tiến hành thay đổi 1 loạt thông tin của email hack được từ HieuDM, để tránh sinh viên này login vào xoá đi toàn bộ bằng chứng. -> Đổi mật khẩu, đổi câu trả lời bí mật, đổi email forgot password, thay số điện thoại, bật xác minh 2 bước.
Gặp DungHA, thầy kêu copy lại file .dat của 2 đứa bị sửa bài cho thầy để chấm lại, thầy đi vào miền nam, thầy bảo: "sẽ có người gọi điện cho em để làm việc".
Ngày hôm sau đi xe máy về Mộc Châu, đang đi đường từ đoạn cây đa bắt đầu dốc Cun (Hoà Bình), đến hết dốc Cun tự dưng trong đầu lại nghĩ về HieuDM và cái server trường. Khi đi gần hết dốc Cun dường như ta đã phát hiện được bug của nó rồi, mà không cần nghiên cứu source -> làm được viêc này nhờ khoanh vùng được trình độ của HieuDM. rồi tôi mỉm cười và đi xe máy về nhà, hi vọng trường sẽ giải quyết tốt đẹp trước khi tôi vào học kỳ mới.
Gặp nhau cuối năm: Quách Tuấn Ngọc và Nguyễn Tử Quảng
Đâu phải thấy nhà mở cửa rồi tự nhảy vào* Em học sinh đột nhập vào trang web của Trung tâm khai rằng em phát hiện trang web này có lỗ hổng, đã từng cảnh báo cho cán bộ trung tâm Tin học (TT), với công ty VDC là đơn vị tài trợ nhưng không thấy khắc phục. Ông có biết việc này không?- Đấy là nó nói vậy, thực tế có hay không ai mà biết được. Kể cả có lỗ hổng hay không thì việc đột nhập của nócũng là phạm tội.* Thưa ông, các ông phát hiện ra có hacker tấn công vào lúc nào? Có nhất thiết phải phối hợp với Bộ Công an tìm đối tượng xâm nhập khi mà đối tượng đó không lẩn trốn, để lại nick và đã chấm dứt việc phá phách?- Việc gì tôi phải nhớ đến chuyện đó. Tôi chỉ biết rằng ngay sau khi nhận được thông tin có kẻ đã vào trang web của Bộ, thay ảnh Bộ trưởng Nguyễn Thiện Nhân, cán bộ TT đã kết hợp với BKIS (Trung tâm an ninh mạng của Đại học Bách khoa) tìm đối tượng rồi chuyển giao hồ sơ cho Phòng chống tội phạm công nghệ cao thuộc Cục Cảnh sát điều tra tội phạm kinh tế và chức vụ Bộ Công an C15.Chúng tôi hơi đâu mà vào tận Vĩnh Long để vồ nó. Chuyện đó là của bên Công an. Sau hai ngày điều tra, thủ phạm đã được xác định là Bùi Minh Trí, có nickname là GuanYu (Quan Vũ), học sinh lớp 12 tại thị xã Vĩnh Long, tỉnh Vĩnh Long. Tuy nhiên, muốn biết rõ thế nào thì hỏi nó.* Đối tượng tấn công đang là một học sinh. Việc mình khẳng định đó là tội phạm liệu có nặng quá không?- Nhà của mình là nhà đàng hoàng, mở cửa không có nghĩa là thằng trộm đi qua được quyền nhảy vào. Tất nhiên mình cũng có lỗi trong chuyện này. Bố con của nó ngày nào cũng điện thoại cầu xin bọn tôi nhưng luật hình sự đã ghi rõ rồi, cứ có tội là xử lý.* Là người quản trị trang web của Bộ, ông sẽ làm gì để không để xảy ra sự cố như vừa rồi, thưa ông? Và sau sự việc này, ông có “cẩn thận” hơn không?- Tôi không thể khẳng định được điều gì cả. Đến ngay như trang web của Quốc Hội Mỹ, của FBI hay CIA còn bị hacker tấn công đấy chứ. Hãng Microsoft là hãng sản xuất phần mềm nổi tiếng, hàng ngày, hàng tháng người ta còn phải cập nhật những lỗ hổng và định dạng những hacker mới để có cách chống nữa là. Đây là sự việc lần đầu tiên chúng tôi gặp.* Xin cám ơn ông.
Nhân vật tiếp theo là Nguyễn Tử Quảng:
Việc tấn công vào trang web dù dưới hình thức nào cũng bị coi là hacker. Phần lớn tội phạm trong lĩnh vực công nghệ thông tin sau khi bị bắt đổ cho lỗi này, lỗi kia. Việc một thanh niên còn ngồi trên ghế nhà trường vẫn có thể tấn công và quấy nhiễu một website mang tầm quốc gia là chuyện bình thường.
Haha, theo lời của ông Quảng nói, ta có thể suy ra việc BKIS tự ý kiểm tra hệ thống của người khác, một hành động tương tự như bạn Bùi Minh Trí, cũng là phạm pháp. Ai sẽ bắt BKIS nhỉ?
Tôi biết sẽ có nhiều người nhảy vào cho rằng tôi bênh vực bạn Bùi Minh Trí. Bản thân tôi không ủng hộ việc làm của bạn Trí, rõ ràng bạn ấy đã sai và sẽ phải chịu trách nhiệm về hành động của mình.
Điều nực cười ở đây là BKIS cũng đã sai, thậm chí họ lên báo tự nhận mình đã phạm pháp, nhưng cho đến giờ họ chẳng phải chịu trách nhiệm gì cả. Cũng phải thôi, họ chỉ kiểm tra thôi mà, đâu có phá hoại như bạn Trí. Xin lỗi, nếu bạn có kinh nghiệm làm bảo mật, bạn sẽ biết rằng chẳng có ranh giới nào giữa hành động kiểm tra và hành động phá hoại thực sự.
Ông Quách Tuấn Ngọc và những người ở cái trung tâm của ông ta cũng sai nốt, nói chính xác là thiếu trách nhiệm gây hậu quả nghiêm trọng, vậy mà ông ấy vẫn ung dung tự tại như chưa có chuyện gì xảy ra. Website www.moet.com.vn là tài sản của Nhà nước giao cho họ quản lí, vậy mà họ để người khác ra vô như cái chợ, thậm chí thông báo lỗ hổng cho họ nhiều lần nhưng vẫn không sửa, trách nhiệm của họ ở đâu? Ai sẽ xử phạt họ đây?
<nguồn: tuổi trẻ>
<nguồn: tuổi trẻ>
Vụ lừa đảo Macbook Air
Một vụ lừa đảo khá ly kỳ vừa được phanh phui trên diễn đàn HandHeld VN. Tóm gọn lại thì thủ đoạn lừa đảo khá khôn ngoan:
* A rao bán Macbook Air trên 5giay. Thủ phạm lấy thông tin Macbook Air này, và cả tên + số tài khoản ngân hàng của A, rồi tạo một cuộc đấu giá trên HandHeld VN. Đồng thời thủ phạm liên hệ với A để hỏi mua một laptop hiệu HP.
* B đấu giá thắng với số tiền 23 triệu. Thủ phạm gọi điện cho B, kêu B chuyển tiền vào số tài khoản của A, rồi sẽ giao hàng.
* Sau khi B đã chuyển tiền, thủ phạm thay SIM, dùng một SIM khác gọi cho A, báo rằng mới chuyển tiền, và đến chỗ A để lấy máy laptop HP. Tada, thủ phạm bỏ SIM, rồi lặn. Àh không, hắn còn quay lại Handheld VN để thách thức theo kiểu "Catch me if you can".
Rốt cuộc thủ phạm cũng bị bắt. Có nhiều vấn đề thú vị ở đây.
Thứ nhất, đọc tường thuật của HandHeld VN, họ thể hiện rõ họ có thể lấy thông tin của bất kỳ ai từ Internet ISP, tổng đài, ngân hàng...Không rõ họ là ai mà có thể làm chuyện đó một cách dễ dàng như vậy. Dẫu vậy đọc cách họ làm thì ai cũng có thể thấy, mấu chốt vẫn là họ đã có lưu trữ những thông tin gì. Chính nhờ thông tin nhiều và đầy đủ họ mới có thể kết nối các điểm rời rạc lại mà tìm ra thủ phạm. Đây cũng là điều mà tôi muốn nhấn mạnh trong bài viết về giám sát an ninh.
Thứ hai, thủ phạm có sự chuẩn bị rất tốt, và một kịch bản tương đối hoàn hảo. Tôi cũng từng xử lý một vụ việc tương tự, thủ phạm chuẩn bị rất tốt, hắn gần như hoàn toàn vô hình trên các hệ thống giám sát của tôi.
Dẫu vậy, như tôi có nói trong bài tội phạm, vấn đề không phải là anh chuẩn bị tốt như thế nào, anh cẩn thận ra sao, mà là trình độ của những người truy tìm anh, và họ có thể truy xuất đến những thông tin nào.
Nhìn lại thì toàn bộ kịch bản của thủ phạm chỉ có điểm yếu nhất là hắn vô tình đăng nhập vào một tài khoản khác, ngay sau khi hắn đăng nhập vào tài khoản hắn dùng để lừa đảo. Chỉ vậy thôi.
Chỗ này có hai sai lầm mấu chốt mà tội phạm thường mắc phải:
* Tội phạm không biết là người ta lưu trữ thông tin gì về chúng, và càng không biết thủ thuật điều tra của những người truy tìm chúng. Thủ phạm trong vụ này không biết là người ta có thể phát hiện được việc hắn đăng nhập vào nhiều tài khoản cùng một lúc.
Người ta sợ tội phạm nội bộ là vì tội phạm nội bộ hiểu rõ những thủ thuật, những biện pháp nghiệp vụ của phía điều tra. Giống như khi coi film Hollywood, những người từng làm việc cho các cơ quan an ninh một khi đã muốn lẫn trốn thì rất khó truy tìm ra họ. Sự thật là mỗi ngày chúng ta để lại rất nhiều dấu vết, và có rất nhiều nơi ngoài tầm kiểm soát của chúng ta lưu trữ lại tất cả những dấu vết đó.
* Tội phạm thường không có ý đồ phạm tội ngay từ khi hắn mới sinh ra ;-). Nhìn lại thủ phạm trong vụ Macbook Air, trong một tài khoản cũ của hắn, hắn có liệt kê thông tin cá nhân thật.
Hắn làm như thế là vì hắn không hề có ý phạm tội ngay từ khi mới tham gia Handheld VN. Hắn chỉ bắt đầu lên kế hoạch khi hắn nhìn thấy điểm yếu trong việc giao dịch trên mạng. Và khi đó, hắn bắt đầu mua SIM giả, đăng ký nickname giả, dùng Internet ở những nơi công cộng...Nhưng lúc đó thì đã quá muộn, bởi vì hắn không thể nhớ hết được, trước đó, trước khi hắn muốn phạm tội, hắn đã để lại thông tin thật ở những nơi nào. Và như đã nói ở trên, hắn cũng không biết, những thông tin đó đã được ai lưu trữ lại.
Cuối cùng rồi, dẫu cẩn thận đến đâu, một người không thể phòng ngừa cái mà họ không biết!
* A rao bán Macbook Air trên 5giay. Thủ phạm lấy thông tin Macbook Air này, và cả tên + số tài khoản ngân hàng của A, rồi tạo một cuộc đấu giá trên HandHeld VN. Đồng thời thủ phạm liên hệ với A để hỏi mua một laptop hiệu HP.
* B đấu giá thắng với số tiền 23 triệu. Thủ phạm gọi điện cho B, kêu B chuyển tiền vào số tài khoản của A, rồi sẽ giao hàng.
* Sau khi B đã chuyển tiền, thủ phạm thay SIM, dùng một SIM khác gọi cho A, báo rằng mới chuyển tiền, và đến chỗ A để lấy máy laptop HP. Tada, thủ phạm bỏ SIM, rồi lặn. Àh không, hắn còn quay lại Handheld VN để thách thức theo kiểu "Catch me if you can".
Rốt cuộc thủ phạm cũng bị bắt. Có nhiều vấn đề thú vị ở đây.
Thứ nhất, đọc tường thuật của HandHeld VN, họ thể hiện rõ họ có thể lấy thông tin của bất kỳ ai từ Internet ISP, tổng đài, ngân hàng...Không rõ họ là ai mà có thể làm chuyện đó một cách dễ dàng như vậy. Dẫu vậy đọc cách họ làm thì ai cũng có thể thấy, mấu chốt vẫn là họ đã có lưu trữ những thông tin gì. Chính nhờ thông tin nhiều và đầy đủ họ mới có thể kết nối các điểm rời rạc lại mà tìm ra thủ phạm. Đây cũng là điều mà tôi muốn nhấn mạnh trong bài viết về giám sát an ninh.
Thứ hai, thủ phạm có sự chuẩn bị rất tốt, và một kịch bản tương đối hoàn hảo. Tôi cũng từng xử lý một vụ việc tương tự, thủ phạm chuẩn bị rất tốt, hắn gần như hoàn toàn vô hình trên các hệ thống giám sát của tôi.
Dẫu vậy, như tôi có nói trong bài tội phạm, vấn đề không phải là anh chuẩn bị tốt như thế nào, anh cẩn thận ra sao, mà là trình độ của những người truy tìm anh, và họ có thể truy xuất đến những thông tin nào.
Nhìn lại thì toàn bộ kịch bản của thủ phạm chỉ có điểm yếu nhất là hắn vô tình đăng nhập vào một tài khoản khác, ngay sau khi hắn đăng nhập vào tài khoản hắn dùng để lừa đảo. Chỉ vậy thôi.
Chỗ này có hai sai lầm mấu chốt mà tội phạm thường mắc phải:
* Tội phạm không biết là người ta lưu trữ thông tin gì về chúng, và càng không biết thủ thuật điều tra của những người truy tìm chúng. Thủ phạm trong vụ này không biết là người ta có thể phát hiện được việc hắn đăng nhập vào nhiều tài khoản cùng một lúc.
Người ta sợ tội phạm nội bộ là vì tội phạm nội bộ hiểu rõ những thủ thuật, những biện pháp nghiệp vụ của phía điều tra. Giống như khi coi film Hollywood, những người từng làm việc cho các cơ quan an ninh một khi đã muốn lẫn trốn thì rất khó truy tìm ra họ. Sự thật là mỗi ngày chúng ta để lại rất nhiều dấu vết, và có rất nhiều nơi ngoài tầm kiểm soát của chúng ta lưu trữ lại tất cả những dấu vết đó.
* Tội phạm thường không có ý đồ phạm tội ngay từ khi hắn mới sinh ra ;-). Nhìn lại thủ phạm trong vụ Macbook Air, trong một tài khoản cũ của hắn, hắn có liệt kê thông tin cá nhân thật.
Hắn làm như thế là vì hắn không hề có ý phạm tội ngay từ khi mới tham gia Handheld VN. Hắn chỉ bắt đầu lên kế hoạch khi hắn nhìn thấy điểm yếu trong việc giao dịch trên mạng. Và khi đó, hắn bắt đầu mua SIM giả, đăng ký nickname giả, dùng Internet ở những nơi công cộng...Nhưng lúc đó thì đã quá muộn, bởi vì hắn không thể nhớ hết được, trước đó, trước khi hắn muốn phạm tội, hắn đã để lại thông tin thật ở những nơi nào. Và như đã nói ở trên, hắn cũng không biết, những thông tin đó đã được ai lưu trữ lại.
Cuối cùng rồi, dẫu cẩn thận đến đâu, một người không thể phòng ngừa cái mà họ không biết!
Hướng dẫn sử dụng Command Prompt
Ẩn sâu trong Windows là một thế giới dòng lệnh mà ít người biết đến. Trong bài viết này, chúng tôi sẽ hướng dẫn cách giải quyết các lỗi và giúp máy tính được bảo mật hơn.
Thời điểm trước khi Windows xuất hiện, khi bật một chiếc máy tính lên chúng ta sẽ chẳng thấy gì ngoài C:\>prompt cùng với một con trỏ chuột. Nó được biết đến với tên gọi command prompt (hoặc đôi khi là Dos prompt). Để máy tính có thể thực hiện công việc, người dùng sẽ phải điền lệnh từ bộ nhớ trong.
Tuy nhiên, phương pháp sử dụng máy tính này thực sự thiếu hấp dẫn và một vài người thậm chí còn muốn quay trở lại sử dụng Dos prompt.
Dẫu vậy, liệu bạn có tin rằng dòng lệnh vẫn còn tồn tại trên tất cả các phiên bản của Windows? Tại sao vậy? Lý do nằm ở chỗ các lệnh vẫn là cách nhanh chóng và mạnh mẽ để quản lý rất nhiều mặt của Windows mà không phải dùng tới giao diện đồ họa gây phức tạp.
Như nội dung trong bài sẽ viết, dòng lệnh có thể là công cụ hãu ích để sửa và kiểm tra, giám sát các lỗi và thậm chí là cải thiện khả năng bảo mật.
Dẫu vậy, chúng tôi cũng phải thừa nhận rằng các lệnh của dòng lệnh là các công cụ miễn phí; mặc dù không phải lúc nào chúng cũng cần thiết, việc học những điều cơ bản còn giúp người dùng khám phá ra những điều bí ẩn ở hoạt động bên trong của Windows.
Trước khi bắt tay vào thực hiện, có 2 điều bạn nên nhớ. Trước tiên, bài viết này không dành cho người mới dùng hay những người ngại thay đổi. Thứ 2, sao lưu máy tính trước khi làm: chúng tôi không chịu trách nhiệm cho bất kì vấn đề nào nảy sinh khi bạn sử dụng dòng lệnh.
Windows Command Prompt
Trước khi Windows xuất hiện, hệ điều hành có tên MS-Dos – rút gọn của từ Microsoft Disk Operating System– đã thống trị thế giới máy tính. Nó sẽ cung cấp đường link kết nối giữa người dùng và phần cứng máy tính và dựa trên chữ viết, chỉ yêu cầu bàn phím để hoạt động.
Về mặt kỹ thuật, MS-Dos sử dụng một dạng giống như command-line interface (CLI – giao diện dòng lệnh), trong khi Windows lại khai thác graphical user interface (GUI – giao diện người dùng đồ họa).
Các phiên bản của hệ điều hành Windows trước XP cần MS-Dos để hoạt động bởi chính Windows không thể truy cập vào Bios của máy tính. BIOS là viết tắt của cụm từ tiếng Anh (Basic Input/Output System) có nghĩa là hệ thống xuất nhập cơ bản.
Người dùng có thể chọn chạy Dos hoặc Windows khi máy tính khởi động và hiển nhiên là mọi người đều chọn Windows.
Windows XP giới thiệu một công cụ có tên Command Prompt, hiện tại vẫn tồn tại trong cả Windows Vista và Windows 7. Nó tương đối giống với MS-Dos nhưng nó thực chất chỉ là một bộ giả lập của MS-Dos chạy bên trong Windows.
Ngoài mặt kỹ thuật, Command Prompt cho phép truy cập một vài công cụ và cài đặt ít được biết đến. Do nó không cần đến đồ họa, Command Prompt rất nhanh và trong một số trường hợp, nó có thể sử dụng để thực hiện các tác vụ mà Windows không thể thực hiện.
Tất nhiên, vẫn có một vài khuyết điểm, không ít trong số đó là bản chất bí ẩn của các lệnh. Microsoft cung cấp một danh sách lệnh toàn diện, cách sử dụng chúng và rất nhiều lựa chọn khác nhau. Kích vào đây để nhận danh sách của Windows XP và kích vào đây để nhận phiên bản dành cho Windows Vista/7.
Khi Windows Explorer là tốt nhất
Mặc dù Command Prompt là công cụ mạnh mẽ, chúng tôi không cho rằng nó là phương pháp dễ dàng hoặc tốt nhất để thực hiện các tác vụ. Một số lệnh dường như hơi phức tạp, có thể là do một chuỗi ký tự dài hoặc có quá nhiều thông số.
Sẽ rất dễ xảy ra lỗi do người dùng không để ý khi đánh máy vậy nên tốt hơn hết bạn nên sử dụng Windows Explorer để quản lý file hàng ngày.
Bên cạnh đó, các tác vụ liên quan tới dòng lệnh cũng tiềm ẩn những nguy hiểm – có một số hộp thoại xác nhận “No, Yes or Cancel” và không có lệnh Undo (các file bị xóa trong Commpand Prompt không thể phục hồi lại từ Recycle Bin), vậy nên đôi khi những hành động đã thực hiện không thể thu hồi lại được.
Chẳng may sử dụng sai thông số và file sai cũng có thể bị ghi đè – thậm chí có thể làm hỏng cả file hệ thống của Windows.
Bắt đầu với Bios
Còn nhớ chúng tôi đã nhắc tới Bios bên trên? Mặc dù không hẳn là một công cụ dòng lệnh, nhưng Bios là một phần rất quan trọng trong Windows và phụ thuộc vào nhà sản xuất cùng mẫu máy tính, nó có thể bao gồm một vài công cụ bảo mật rất hữu ích.
Để tìm ra chúng, khởi động lại máy tính, sau đó nhấn phím dành riêng cho Bios để truy cập nó – thường sẽ là phím F2 hoặc Delete (Del). Khi màn hình Bios xuất hiện, hãy tìm mục có tên Security và điều hướng tới nó bằng phím mũi tên.
Trong hầu hết các trường hợp, sẽ có các lựa chọn giúp người dùng đặt mật khẩu Supervisor và mật khẩuUser. Nếu bạn đặt mật khẩu User, mật khẩu này cần được nhập trước khi Windows hoạt động (tất nhiên, Windows cũng có mật khẩu).
Nếu bạn đặt mật khẩu Supervisor, mật khẩu này cần được nhập trước khi truy cập vào Bios – giúp cải thiện bảo mật.
Mặc dù có nhiều cách để đặt lại hoặc disable những mật khẩu này, kỹ thuật này vượt quá khả năng của hầu hết các kỹ thuật hiện hành nên chúng sẽ cung cấp thêm khả năng bảo mật rất hữu ích. Cũng với lý do đó, người dùng nên cẩn trọng tối đa khi sử dụng những công cụ này: quên mật khẩu và bạn có thể bị khóa máy tính hoàn toàn. Vậy nên hãy cẩn thận.
Bên cạnh đó, hãy tìm lựa cọn có tên “Boot Sector Virus Protection”. Khi kích hoạt lựa chọn này, sẽ không có bất kì một phần mềm nào có khả năng ghi lên những phần khởi động quan trọng của ổ cứng giống như một số loại virus thực hiện. Dẫu vậy, hãy chú ý rằng một số phần mềm – cụ thể là phần mềm chia phân vùng – có lý do chính đáng để thực hiện công việc này. Do đó hãy cẩn thận với những thông báo giả.
Khi hoàn thành, thoát Bios (thường là sử dụng phím Esc) và chọn lưu những thay đổi vừa tạo.
Tìm kiếm công cụ dòng lệnh
Giờ đây, chạy Windows để truy cập vào công cụ dòng lệnh: bạn sẽ thấy nó trong menu Accessories từ All Programs ở menu Start. Hoặc, người dùng có thể sử dụng phím Windows + R, sau đó gõ cmd.exe vào trong hộp thoại Open và kích OK.
Trong Windows Vista/7, đôi khi người dùng sẽ cần phải sử dụng quyền admin để mở nó. Để thực hiện, phải chuột vào icon của dòng lệnh và chọn “Run as administrator”.
Bên trong hộp thoại
Command Prompt có một số nhược điểm. Trong Windows XP, nó khởi động và hiển thị C:\Windows folder(hoặc “directory”, giống như nó thường gọi trong môi trường này) nhưng trong Windows Vista/7, nó mở trong sổ địa chỉ chủ của người dùng (C:\Users\[tên người dùng]) trừ phi chế độ Administrator được sử dụng, khi nó mở trong sổ địa chỉ C:\Windows\system32. Cho dù nó được mở ở đâu đi chăng nữa, sổ địa chỉ này được coi là đường dẫn.
Tuy nhiên, trong Windows Vista/7 Command Prompt có thể mở được ở bất kì folder nào trong Windows Explorer bằng cách nhấn phím Shift trong khi phải chuột vào folder, sau đó chọn “Open command window here” từ menu dạng pop-up.
Để chuyển sang folder hoặc đường dẫn khác, lệnh CD được sử dụng – để đổi sang sổ địa chỉ có tên C:\My Directory, gõ cd c:\My Directory và nhấn Enter. Để chuyển giữa các ổ, chỉ cần gõ tên ký tự đại diện cho ổ và một dấu hai chấm (ví dụ D:) sau đó nhấn enter.
Đối với hầu hết các lệnh, gõ /? sau nó (hoặc help trước đó) sẽ hiển thị thông tin hỗ trợ rất chi tiết. “Help” sẽ hiển thị một danh sách tất cả các lệnh hiện có. Khi chuyển giữa các lệnh cần phải đặt trước đó một dấu / hoặc –(dấu trừ); kiểm tra văn bản hỗ trợ để xem nên sử dụng lệnh nào.
Một số ký tự văn bản đặc biệt thường được sử dụng trong dòng lệnh. Ký tự ống dẫn ¦ sẽ gửi kết quả của một lệnh nào đó để sử dụng với một lệnh khác. Ở hầu hết các loại bàn phím, nó được gõ bằng cách nhấn phím Alt Gr và phím ở bên trái của số 1 trên bàn phím.
Một ký tự khác cũng hay được sử dụng, nhất là khi làm việc với các file là dấu hoa thị *, đại diện cho bất kì dãy ký tự nào.
Ví dụ, *.xls có nghĩa là các file có đuôi file mở rộng là XLS. Letter.* có nghĩa là bất kì file nào có tên là Letter, và*.* có nghĩa là tất cả các file. Dấu hỏi là đại diện cho một ký tự đơn – vậy nên Letter?.* sẽ bao gồm Letter1.doc, Letter2.pdf,...
Nhấn Enter luôn là cách để thực thi các lệnh, vậy nên để không phải lặp lại chúng tôi sẽ không nhắc tới nó nữa. Để xóa màn hình, sử dụng lệnh CLS, để thoát dòng lệnh gõ exit (hoặc chỉ cần kích vào dấu nhân màu đỏ để đóng cửa sổ phần mềm).
Sử dụng Internet an toàn
Một trong những lệnh mạnh mẽ nhất để thực thi trong cửa sổ dòng lệnh là net. Nó có rất nhiều lệnh phụ. Ví dụ, thực thi lệnh net user, sẽ liệt kê tất cả các tên tài khoản, trong khi net config workstation sẽ hiển thị tên máy tính, người dùng và workgroup.
Tiện ích hơn về mặt bảo mật, nó còn được sử dụng để ngăn chặn người dùng đăng nhập vào một số thời điểm cụ thể. Để hạn chế người dùng Janet sử dụng máy tính trong khoảng thời gian từ 9 giờ sáng đến 6 giờ tối trong tuần và 10 giờ sáng đến 9 giờ tối vào ngày cuối tuần, gõ net user Janet /times:M-F,09-18;Sa-Su,10-21.
Lệnh net accounts rất tuyệt vời để cải thiện khả năng bảo mật cho mật khẩu. Nó cần dòng lệnh được mở với quyền administrator (như đã giải thích bên trên) và nó sẽ hiển thị thông tin mật khẩu về người dùng hiện tại.
Mọi người có xu hướng chọn mật khẩu ngắn và gắn bó với chúng trong một thời gian dài. Tuy nhiên lệnh net accounts có thể sử dụng để loại bỏ thói quen này. Ví dụ, để bắt mỗi người dùng đặt mật khẩu với độ dài ít nhất là 10 ký tự và đổi mật khẩu của mình trong vòng 90 ngày, gõ net accounts /MAXPWAGE:90 /MINPWLEN:10.
Người dùng sử dụng mật khẩu quá ngắn sẽ được thông báo cần phải tạo mật khẩu mới ở lần đăng nhập tiếp theo. Để loại bỏ hạn chế này, gõ net accounts /MAXPWAGE:unlimited /MINPWLEN:0. (chú ý tới đoạn cách sau “accounts).
Windows cũng có một tài khoản Guest được tích hợp sẵn, không có mật khẩu vào nó không thể thay đổi trong Windows. Mặc dù tài khoản này không được kích hoạt theo mặc định, bảo vệ mật khẩu của nó sẽ góp phần tăng bảo mật.
Trong dòng lệnh administrator, gõ net user guest *, sau đó gõ mật khẩu 2 lần khi có cửa sổ xuất hiện (các ký tự sẽ không xuất hiện trên màn hình). Để loại bỏ mật khẩu, nhấn Enter 2 lần khi có màn hình nhập mật khẩu xuất hiện. Bên cạnh đó, lệnh này còn được sử dụng để đổi hoặc loại bỏ mật khẩu của bất kỳ người dùng nào bằng cách thay guest với tên người dùng cần thay.
Copy an toàn và sao lưu nhanh hơn
Mặc dù chúng ta có lệnh copy, del (delete) và move đối với các file (gõ lệnh + /? để tìm hiểu thêm), xcopy là lệnh thay thế mạnh mẽ hơn. Người dùng có thể áp dụng lệnh này vào rất nhiều công việc và nó thậm chí còn đáng tin cậy hơn là sử dụng Windows Explorer.
Đối với những người mới dùng, xcopy có thể copy toàn bộ folder hoặc ổ cứng, bao gồm tất cả những file ẩn, sang khu vực lưu trữ mới. Nó thậm chí còn copy file có chọn lọc dựa vào việc file cũ hoặc mới hơn bản copy.
Ví dụ, nếu muốn copy mọi thứ trên ổ C: sang ổ D:, sử dụng lệnh xcopy c: d: /d /s. Sau một vài ngày, sử dụng lệnh xcopy c: d: /d /e /s để copy những file mới được tạo. Đây là một cách sao lưu nhanh chóng và rất an toàn.
Vẫn còn rất nhiều áp dụng khác người dùng có thể sử dụng với xcopy – để copy file ẩn (hoặc file hệ thống), sử dụng /h switch, và để copy chỉ những file đã tồn tại ở một địa điểm, sử dụng /u switch.
Khi sử dụng tên sổ địa chỉ, người dùng sẽ phải đóng những lệnh này với dấu ngoặc kép. Ví dụ, xcopy “C:\Old Documents” “D:\Backup Documents” /e /s. (chú ý, có dấu cách sau xcopy).
Dò tìm những hoạt động đáng ngờ
Cho tới nay, chúng ta đã tìm kiếm những cách để sử dụng dòng lệnh nhằm cải thiện bảo mật cũng như thực hiện một số tác vụ nhanh chóng và an toàn hơn. Tuy nhiên, biết cách sử dụng, vận hành máy tính bằng dòng lệnh cũng sẽ giúp xác định và tìm ra những mối nguy hại về bảo mật.
Ví dụ, tìm ra phần mềm hoặc dịch vụ nào đó có kết nối với internet là một tác vụ tốn nhiều thời gian trong Windows – nhưng lệnh netstat lại giúp đơn giản hóa công việc này. Trong dòng lệnh administrator, gõ netstat -bđể hiển thị tất cả các kết nối đang hoạt động: phần mềm này chịu trách nhiệm cho mỗi kết nối hiển thị trong cộtProto.
Cột Foreign Address sẽ hiển thị địa chỉ URL hoặc địa chỉ IP của trang chủ từ xa (thông tin chi tiết về bất kì địa chỉ IP nào cũng được nắm bắt từ trang web kiểm tra IP hoặc với công cụ ‘whois’ Sysinternals).
Trong khi đó, công cụ tạo bản ghi khởi động của Windows lại cung cấp cách mạnh mẽ để tìm ra những driver và dịch vụ hoạt động lỗi hoặc lừa đảo, ví như những dịch vụ/driver cài đặt phần mềm mã độc (spyware, virus,...). Nó không yêu cầu cụ thể việc sử dụng hướng dẫn lệnh nhưng hiểu được cách hoạt động của dòng lệnh, giúp công cụ dễ dàng đọc và dịch file được tạo bởi chế độ boot-logging.
Để hiểu được điều này, hãy khởi động lại máy tính của bạn và nhấn phím F8 trước khi logo Windows xuất hiện. Khi menu Advanced Options xuất hiện, sử dụng phím mũi tên để chọn Enable Boot Logging và nhấn Enter. (Trong Windows XP, nếu có menu nào khác xuất hiện chỉ cần chọn Enter để tiếp tục).
Khi Windows hoạt động, mở cửa sổ dòng lệnh ra với quyền administrator và gõ cd %windir% để chuyển sang sổ địa chỉ Windows. Tiếp đến, gõ start notepad ntbtlog.txt để mở file boot-log trong Notepad.
Tất cả các driver theo thứ tự tải, lặp lại đường dẫn đầy đủ, sẽ được liệt kê – và thông tin này có ích hơn nhiều khi khái niệm đường dẫn sổ địa chỉ (đã nêu bên trên) được chấp nhận. Tuy nhiên, điều này có ích thế nào về mặt bảo mật?
Nếu máy tính hoạt động bình thường, lưu lại file bản ghi này vào nơi nào đó để so sánh sau này khi có vấn đề nảy sinh. Đóng Notepad và quay trở lại dòng lệnh. Gõ del ntbtlog.txt để xóa file bản ghi (nếu không xóa, lần ghi khởi động tiếp theo, kết quả sẽ được thêm vào phí cuối của file hiện tại).
Nếu bạn cho rằng máy tính mình gần đây đã bị lây nhiễm virus, phương pháp này có thể sử dụng để chỉ ra những driver hoặc dịch vụ mới có hoạt động đáng ngờ: so sánh file boot-log (ntbtlog.txt) trước đó với file được tạo gần nhất.
Chạy phần mềm Windows bằng dòng lệnh
Gần như tất cả các phần mềm của Windows đều có thể khởi động bằng dòng lệnh. Điều này nghe có vẻ hơi điên rồ đôi chút nhưng thực tế nó rất hữu ích.
Rất nhiều phần mềm hỗ trợ chuyển dòng lệnh có thể kích hoạt hoặc disable một số tính năng, cho dù là để tiện dụng hơn hoặc phục vụ mục đích giải quyết vấn đề và bảo mật. Công thức thực hiện là sử dụng lệnh start, tiếp đến là tên của phần mềm. Ví dụ, để khởi động Wordpad, gõ start write.exe. Đối với Notepad, sử dụng start notepad.exe và đối với Word sử dụng start winword.exe.
Một số phần mềm có chế độ chẩn đoán đặc biệt. Để chạy Internet Explorer với tất cả các add-on đã được disable, gõ start iexplore.exe -extoff và để mở Excel trong chế độ Safe Mode, gõ start excel.exe /s.
Bên cạnh đó, để khám phá tên phần mềm của một ứng dụng, phải chuột vào entry của nó trong menu All Program và chọn Properties. Tìm kiếm hộp thoại Target để tìm tên file có đuôi .exe.
Có thể bạn sẽ thất vọng nhưng thực tế không có cách dễ dàng nào để khám phá lệnh chuyển cho một phần mềm cụ thể. Nếu nhà sản xuất phần mềm không cung cấp thông tin trên trang web của họ, hãy thử tìm kiếm trên mạng với từ khóa “command-line options” cùng với tên của phần mềm.
Chiến đấu với lây nhiễm
Tương tự, các tác vụ đang diễn ra của Windows cũng được liệt kê khi người dùng sử dụng lệnh tasklist. Lệnh này sẽ hiển thị những phần mềm đang chạy và lượng memory chúng sử dụng. Đây cũng là cách rất hữu ích để phát hiện ra những phần mềm nguy hại – chúng có thể hoạt động mà bạn không biết.
Sử dụng tasklist /svc để liệt kê các dịch vụ liên quan với mỗi phần mềm. Ký tự (>) có thể sử dụng để lưu danh sách này thành một file – ví dụ, tasklist > tasklist.txt. Sử dụng thông tin này để so sánh với một công cụ tìm kiếm như Google để tìm ra những tác vụ hoặc dịch vụ đáng ngờ.
Cuối cùng, có lựa chọn đặc biệt Safe Mode có thể tải dòng lệnh thay cho Windows Desktop, một cách rất hữu ích nếu phần mềm mã độc đã disable chế độ graphical Safe Mode (một số phần mềm diệt virus giả thực hiện điều này để gây khó khăn cho người dùng trong việc gỡ bỏ). Ở menu Advanced Options chọn Safe Mode With Command Prompt.
Một áp dụng cho việc này là chạy System Restore. Từ cửa sổ lệnh, gõ cd %windir%\system32\restore.
Sau khi nhấn Enter, thực thi lệnh rstrui.exe để chạy wizard System Restore. Để chạy Windows Desktop, gõstart explorer. Để tắt máy tính bằng lệnh, sử dụng shutdown -s để tắt nó hoặc shutdown -r để khởi động lại máy.
Kết luận
Trong bài viết này chúng tôi đã hướng dẫn cách khám phá “thế giới ngầm” của Windows để giúp cải thiện bảo mật cho máy tính cũng như thực hiện một vài tác vụ. Nghe có vẻ hơi lỗi thời nhưng nó vẫn là một trong những cách tốt nhất để biết được những gì đang xảy ra với Windows. Bỏ ra một chút thời gian để học những điều cơ bản sẽ được trả lại rất nhiều lần sau này khi muốn ngăn chặn hoặc giải quyết các vấn đề liên quan tới bảo mật.
Đăng ký:
Bài đăng (Atom)