Posts

Showing posts from 2006

Con cá và cần câu

Tôi thấy sự kiện Bùi Minh Trí và dư luận xã hội xung quanh phản ánh rất rõ thói quen giải quyết vấn đề dựa theo cảm tính hoặc tình cảm cá nhân của một đại bộ phận xã hội. Tôi không cho rằng chúng ta nên gạt bỏ hẳn tình cảm sang một bên, tôi chỉ mong rằng chúng ta không nên để tình cảm lấn át tinh thần thượng tôn pháp luật khi giải quyết bất kì vấn đề gì.

Trí đã sai và đối với những người trẻ như Trí, tôi nghĩ xã hội phải có trách nhiệm huấn luyện cho họ một thói quen tôn trọng pháp luật trong bất kì trường hợp nào. Chúng ta không nên tung hô, cũng không nên vội gán cho họ những mỹ từ như tài năng hay nhân tài...Điều đó sẽ làm cho họ ngộ nhận về khả năng của mình, đồng thời sẽ khuyến khích những hành động phạm pháp từ những người muốn được xem là "nhân tài". Sự kiện virus lây lan trên Yahoo! Messenger đã chứng minh rằng nếu xã hội không nghiêm túc kiểm điểm những cá nhân sai phạm thì ngay lập tức sẽ xuất hiện nhiều cá nhân phạm phải lỗi lầm tương tự.

Trong suy nghĩ của Trí, Tr…

Người khai sáng

Tôi cứ suy nghĩ mãi về phần 2a trong ý kiến của anh Ngô Quang Hưng. Những người khai sáng, VN hay nói gọn lại, những người trẻ như tôi, thật sự cần họ. Anh Hưng có nói về vai trò của báo chí trong việc khai sáng tư tưởng, tôi nghĩ rằng báo chí khó làm tròn vai trò đó trong điều kiện thiếu tự do như hiện tại. Nếu người cầm trịch không sáng suốt và không biết lắng nghe thì kẻ bề tôi dù có sáng suốt cỡ nào cũng khó lòng làm ngược lại. Mọi thứ rồi sẽ thay đổi, nhưng chúng ta không thể chờ đợi được nữa, đã muộn lắm rồi.

Tôi sinh ra và lớn lên trong một gia đình lao động chân tay ở một khu vực nhập cư nổi tiếng về nạn trộm cướp và thiếu an ninh trật tự ở Sài Gòn. Từ nhỏ tôi đã quen với các hoạt động mê tín dị đoan như xin số đề ở các miếu cố hồn hay coi bói, lên đồng lên cốt...Ở nhà, bố mẹ hay ông bà tôi cũng tin vào những chuyện đó. Mọi chuyện nhanh chóng thay đổi khi tôi được đi học và trò chuyện với người thân của tôi về những gì thầy cô giáo đã dạy tôi. Gia đình tôi bắt đầu tin vào những…

Splunk: put the fun back into log analysis

Image
Email bị thất lạc là một trong những vấn đề mà tôi thường gặp nhất trong công tác sysadmin của mình. Ví dụ như hôm trước, một khách hàng gọi điện phàn nàn sao mà cô ấy không nhận được email của một đối tác gửi từ ngoài vào. Cách duy nhất để giải quyết những vấn đề như thế này là xem thông tin log của hệ thống email bao gồm máy chủ chuyển phát email đến từng khách hàng cũng như máy chủ chống spam và virus.

Thế là tôi mở console lên, ssh vào máy chủ log, tìm thư mục của hệ thống email, grep một hồi thì tìm được nguyên nhân là email đã bị hệ thống chống spam chặn lại vì máy chủ email của bên đối tác không tuân thủ theo RFC. Mất toi gần 5', chưa kể thời gian để quay lại công việc đang bỏ dở. Có cách nào ít mất thời gian hơn không? Hay tốt hơn, có cách nào để đội ngũ helpdesk giải quyết vụ này thay tôi? Hay tốt nhất, có cách nào để tôi dễ dàng thấy được bức tranh toàn cảnh những gì đã và đang diễn ra trên hệ thống của mình? Có ngay Splunk.


Câu hỏi tiếp theo của bạn chắc hẳn là: Splunk l…

Bước ra khỏi chiếc giếng và những giấc mơ con

Tất cả có thể bắt đầu bằng một ước mơ – ước mơ không đi chậm hơn phần còn lại của thế giới. -Ngô Quang HưngViệt Nam gia nhập WTO, người ta nói nhiều về chuyện "làm thuyền to ra biển lớn" của các ngành nghề khác nhau, vậy mà tuyệt nhiên lại không thấy nhắc đến việc gia nhập WTO của khoa học và đại học Việt Nam:
Áp lực đè nặng lên nhà khoa học ở các nước là sự xuất hiện trên các diễn đàn khoa học danh tiếng trên thế giới. Không phải để lấy danh, mà là lẽ sống, là niềm đam mê, và vì nếu không nghiên cứu khoa học ở tầm quốc tế như thế, nhà trường không thể đào tạo ra những sản phẩm có chất lượng.

Vậy, tại sao trong khi giới doanh nhân của ta đang phải nhảy lên các sân chơi quốc tế, nắm rõ luật chơi và đẳng cấp các đối thủ của mình, thì những "nhà trí thức" vẫn còn luẩn quẩn ở sân nhà và bằng lòng với luật chơi của mình? Bảo mật là một ngành khoa học kĩ thuật và nó cũng chịu chung số phận với các ngành khoa học kĩ thuật khác ở VN: nhập siêu. Chúng ta đóng góp quá ít …

Không có đường tắt nào đâu

Khi được một sinh viên hỏi có cách nào đạt được trình độ cao về bảo mật trong một thời gian ngắn, Richard Bejtlich, một trong những chuyên gia bảo mật hàng đầu thế giới, đã trả lời thế này:In my opinion, it seems like this question seeks to learn some sort of "hidden truth" that I might possess, and acquire it in record time. The reality is that there are really no shortcuts to learning as complex a topic as digital security. I have been professionally involved with this topic for almost ten years, yet I consider myself halfway to the level of skill and proficiency I would prefer to possess. In another ten years I'll probably still be halfway there, since the threats and vulnerabilities and assets will have continued to evolve!
Quá chính xác, không có con đường tắt nào đâu! Muốn thành công thì bắt buộc phải luôn luôn làm việc siêng năng và chăm chỉ. Tài năng là do sự khổ luyện mà thành, tôi vẫn luôn nghĩ như vậy. Dẫu bạn có thông minh hơn người, điều đó cũng sẽ trở nên vô…

Oracle lên dĩa

Đầu tiên là H D Moore mở hàng với Month of Browser Bugs, rồi LMH với Months of Kernel Bugs và bây giờ là Weeks of Oracle Database Bugs:
What is the WoODB about?
An Oracle Database 0day will be released every day for a week on December.

Why are you doing this?
We want to show the current state of Oracle software ("in")security also we want to demostrate Oracle isn't getting any better at securing its products (you already know the history: two years or more to fix a bug, not fixing bugs, failing to fix bugs, lying about security efforts, etc, etc, etc.).
Tuy nhiên có vẻ như mục tiêu của dự án này khác với hai dự án về browser và kernel: Why not the Month of Oracle Database Bugs?
We could do the Year of Oracle Database Bugs but we think a week is enough to show how flawed Oracle software is, also we don't want to give away all our 0days:), anyways if you want to contribute send your Oracle 0days so this can be extended for another week or more.Tội nghiệp các bác DBA quá :p.

VXers cạn ý...

Theo công ty Kaspersky Lab của Nga, dân viết virus đã cạn kiệt sáng kiến mới cho việc tạo malware.

Kaspersky cho rằng cho dẫu cộng đồng hacking đang phát triển mã nguồn thử nghiệm cho các hệ ứng dụng mới, dạng mã này có lẽ sẽ không có khả năng tạo dung hại lớn lao.

"Thống kê nặng ấn tượng suốt năm 2006 cho thấy rằng những sáng kiến mới quả thật đã cạn kiệt. Dân viết virus đang sốt vó cố gắng chống chọi với những công nghệ bảo vệ mới bằng cách tạo ra mã thử nghiệm cho các hệ ứng dụng mới. Tuy nhiên, những sáng tạo này chưa hiển dụng trên thực tế: chúng tôi chưa thấy những đe doạ có thể tạo hàng triệu triệu hư hoại như Klez, Mydoom, Lovesan [the Love Bug] và Sasser tàn phá trước đây," Alex Gostev, nhà phân tích trưởng của Kaspersly Lab cho biết.

Bản tường trình malware: http://www.viruslist.com/en/analysis?pubid=204791907

Gostev cho rằng đám viết virus đang lâm vào tình trạng cạn kiệt sáng tạo, điều này có nghĩa những sáng tác gia malware - cũng giống như các phòng làm phim Holl…

Dịch ngược AutoIt

Một người bạn ở REAOnline vừa chỉ cho tôi cách dịch ngược tất cả các loại virus viết bằng AutoIt. Tôi đã thử và thành công với tất cả mẫu virus viết bằng AutoIt mà tôi có. Qui trình như sau:

1. Sử dụng file, objdump và strings trên Linux (hoặc PeID nếu bạn sử dụng Windows) để xác định xem virus được pack bằng packer nào. Tất cả AutoIt virus mà tôi gặp phải đều sử dụng UPX.

2. Unpack con virus, nhớ sao lưu lại nguyên bản.

3. Load con virus đã unpack vào OllyDBG.

4. Right click --> Search for --> All referenced text strings.

5. Right click --> Search for text --> gõ vào >autoit script<, bỏ chọn Case sensitive, chọn Entire scope rồi Enter và double click vào dòng có hàng chữ ASCII ">AUTOIT SCRIPT<".

6. Nhìn vào cửa sổ CPU của OllyDBG, bạn sẽ thấy những dòng sau đây:
PUSH game-enc.0045222C ; |Arg1 = 0045222C ASCII ">AUTOIT SCRIPT<" LEA EAX,DWORD PTR SS:[EBP-18] ; | CALL game-enc.0043F025 ; \game-enc.…

Dùng MP3 Player để exploit ATM

Một người đàn ông ở Manchester, Anh Quốc đã bị kết án vì tội sử dụng một thiết bị nghe nhạc MP3 để thâm nhập máy rút tiền. Maxwell Parsons, 41 tuổi đã tiêu xài hơn hai trăm ngàn bảng Anh tiền của thiên hạ bằng cách dùng máy rút tiền để đọc thông tin từ thẻ tín dụng.

Parson gắn thiết bị nghe nhạc MP3 của mình vào sau máy rút tiền (loại máy đứng độc lập) và có thể dùng cách này để đọc dữ liệu các thẻ tín dụng của khách hàng rút tiền. Dữ liệu thu thập được dùng để tạo thẻ tín dụng giả mạo cho các cuộc mua bán bất hợp lệ.

Loại máy rút tiền đứng độc lập rất phổ biến ở các siêu thị và quán bar, Parsons có thể gắn thiết bị của hắn vào sau máy rút tiền dễ dàng với dạng máy này trong khi dạng máy đính vào tường thì hoàn toàn bất khả thi để thâm nhập.

Thiết bị nghe nhạc MP3 thu nhận tất cả các chi tiết khi dữ liệu được truyền tải qua đường dây điện thoại đến nhà băng. Ở đây, tầng độ âm thanh được đọc và ghi nhận trong lúc chúng được chuyển tải và từ đó, dùng để giả mạo thẻ tín dụng.

Vụ án này đã đư…

Rootkit ẩn mình trong card PCI

Bạn tưởng rằng chỉ cần format lại ổ cứng là có thể diệt trừ được mọi loại rootkit? Hãy nghĩ lại:
Security researcher John Heasman released a paper this week describing a way to hide malicious code on graphics and network cards in such a way as to avoid detection and survive a full re-installation of the operating system. The paper (PDF), published on Wednesday, builds on the work presented by Heasman earlier this year, describing ways to use the Advanced Configuration and Power Interface (ACPI) functions available on almost all motherboards to store and run a rootkit that could survive a reboot. The current paper outlines ways to use the expansion memory available on Peripheral Component Interconnect (PCI) cards, such as graphics cards and network cards.Phòng bệnh bao giờ cũng hơn chữa bệnh.

Hãy nhanh chân nâng cấp Windows!

eWeek vừa xác nhận dự đoán Patch Tuesday Often Becomes Exploit Thursday:
Proof-of-concept exploit code offering step-by-step instructions to attack worm holes in Microsoft Windows have started appearing on the Internet, prompting a new round of "patch-now-or-else" warnings from computer security experts.
The exploits, publicly released on the Milw0rmWeb site and privately available to partners of penetrating testing firm Immunity, target a pair of critical vulnerabilities patched by Microsoft on Nov. 14.The Milw0rm exploit, released by a hacker called "cocoruder," takes aim at the high-severity bug covered in the MS06-070 bulletin and can be used to launch a network worm against unpatched Windows 2000 systems.
"It [an attack] can be launched remotely over the Internet, without any user action whatsoever," Sarwate said in an interview with eWEEK.The "cocoruder" exploit code has been tested against Chinese-language versions of Windows but, with minor…

Security từ A đến Z

Đối với các chuyên gia bảo mật thì những thông tin này không có gì mới nhưng tất cả chúng ta có thể học được một chút gì trong đó:
A is for AntivirusB is for BotnetsC is for CMAD is for DDoS

Microsoft sửa 9 lổ hổng

Đánh giá của SANS về những miếng vá này:

#AffectedContra IndicationsKnown ExploitsMicrosoft ratingISC rating(*)clientsserversMS06-066Netware client services - remote code execution & DoS

CVE-2006-4688
CVE-2006-4689
No known problems

KB 923980PoC exploits available in for pay programImportantLess UrgentLess Urgent
MS06-067Internet Explorer - remote code execution

CVE-2006-4446
CVE-2006-4777
CVE-2006-4687
No known problems

KB 922760Actively exploited on websites in the wild

websense
CriticalPATCH NOWImportantMS06-068Microsoft Agent - remote code execution

CVE-2006-3445
No known problems

KB 920213
No known exploits
CriticalCriticalLess urgentMS06-069Adobe flash player - remote code execution

CVE-2006-3014
CVE-2006-3311
CVE-2006-3587
CVE-2006-3588
CVE-2006-4640
No known problems

KB 923789
No known exploits
CriticalCriticalLess urgentMS06-070Workstation service - remote code execution

CVE-2006-4691
No known problems

KB 924270
Vulnerability details are public ;
Exploit publicly available
CriticalCriticalCritical

BKIS đảm bảo an ninh mạng cho APEC 2006

Hiệp sĩ Quảng nhà mình lại có dịp bắt virus rồi:
Theo một chuyên gia của BKIS, sự cố nếu có sẽ được phát hiện rất nhanh sau khi xảy ra và lập tức được khoanh vùng để xử lý, không để lây lan ra toàn mạng. BKIS phải chịu trách nhiệm đảm bảo “sức khỏe” cho gần 500 máy tính để bàn và khoảng 70 máy tính xách tay do ban tổ chức cung cấp. Hiện nay, vấn đề phức tạp nhất với BKIS là hàng trăm máy tính xách tay của các phóng viên trong nước và quốc tế mang vào trung tâm báo chí quốc tế tại hội nghị.Mà an ninh mạng chỉ là bắt virus thôi sao?

Ngày Thứ Ba Đen Tối sắp đến

Đến hẹn lại lên, ngày thứ ba của tuần thứ hai trong tháng Microsoft lại phát hành các bảng vá cho những lổ hổng bảo mật được phát hiện trước đó. Thứ ba ngày 14/11/2006 tuần sau, Microsoft sẽ phát hành:
One Microsoft Security Bulletin affecting Microsoft XML Core Services. The highest Maximum Severity rating for this is Critical. These updates will be detectable using the Microsoft Baseline Security Analyzer. These updates will require a restart.Five Microsoft Security Bulletins affecting Microsoft Windows. The highest Maximum Severity rating for these is Critical. These updates will be detectable using the Microsoft Baseline Security Analyzer and the Enterprise Scan Tool. Some of these updates will require a restart.New "Malicious Software Removal Tool"
2 additional "non-security high-priority updates" will be released, but only on Microsoft Update and WSUSTrong danh sách các lổ hổng này, chỉ có "XML Core Services" là đã được biết trước (và đã có mã khai th…

Nếu tôi là Huyremy

Ấy chết, bạn đừng nghi oan cho tôi, tôi nào dám tranh giành chức vị "hacker số 1 VN" với Huyremy. Chẳng qua tôi chỉ tự hỏi, nếu ở vị trí của Huyremy, tôi sẽ làm gì để tự bảo vệ mình?

Trước khi bắt đầu, tôi nghĩ cần phải đặt ra một số giả thuyết như thế này: a) C15 rất lành nghề trong lĩnh vực computer forensic và data recovery; b) Toàn bộ hoạt động đi lại của tôi ở ngoài đời đều bị theo dõi; c) Điện thoại của tôi bị nghe lén, thư tay + SMS bị đọc trộm; d) Kênh liên lạc duy nhất của tôi với thế giới bên ngoài là Internet, tuy nhiên toàn bộ Internet traffic của tôi cũng bị C15 log lại và phân tích kĩ lưỡng. Tôi phải làm gì để đảm bảo privacy cho mình? Tôi phải làm gì để an tâm thực hiện công việc của mình? Câu trả lời là mã hóa, mã hóa và mã hóa. Mã hóa cái gì? Tất cả. Tôi nghĩ rằng không cần phải nhắc đến firewall, IDS, VPN hay anti-virus, bởi lẽ đây là điều đương nhiên cần phải thực hiện ngay cả khi bạn không phải là "hacker số 1 VN".

Trước tiên tôi sẽ torify cuộc đ…

Vụ án Huyremy

Chắc hẳn sự kiện rùm beng nhất trong giới IT "loi choi" của VN vài ngày qua là việc Cục Phòng Chống tội phạm công nghệ cao C15 kếtluậnHuyremy, người được mệnh danh là "hacker số 1 VN", chính là thủ phạm đã tấncôngvàoChợ Điện Tử. Tuy nhiên, Huyremy phủ nhận việc này:
Tuy nhiên, Huy remy vẫn không chịu thừa nhận các bằng chứng của cơ quan điều tra về vụ tấn công vào tên miền chodientu.com ngày 23/9 và việc truyền bá văn hoá phẩm đồi truỵ thông qua website gmetal.net. Trong biên bản làm việc, Huy cho rằng "chứng cứ mà cơ quan điều tra đưa ra là không khách quan, không rõ nét."
....

Tuy nhiên, trong buổi làm việc với các cơ quan chức năng sáng 8/11, Huyremy đã không thừa nhận mình là thủ phạm thực hiện vụ tấn công vào tên miền chodientu.com. Huy đưa ra giả thiết phủ định rằng máy tính của mình đã bị hacker xâm nhập vào thông qua đường mạng Wi-fi chia sẻ kết nối
ADSL trong nhà và điều khiển máy tính của Huy làm phương tiện tấn công chodientu.com.Ngay lập tức trên

Lỗi nghiêm trọng trong device driver của hãng Broadcom

Dự án Month of Kernel Bug vừa mới thông báo một lổ hổng nghiêm trọng trong driver cho card wireless của hãng Broadcom:
The Broadcom BCMWL5.SYS wireless device driver is vulnerable to a stack-based buffer overflow that can lead to arbitrary kernel-mode code execution. This particular vulnerability is caused by improper handling of 802.11 probe responses containing a long SSID field. The BCMWL5.SYS driver is bundled with new PCs from HP, Dell, Gateway, eMachines, and other computer manufacturers. Broadcom has released a fixed driver to their partners, which are in turn providing updates for the affected products. Linksys, Zonenet, and other wireless card manufactures also provide devices that ship with this driver.

All tests were performed with version 3.50.21.10 of the BCMWL5.SYS driver. Although this driver is for the Windows operating system, Linux and FreeBSD users of the ndiswrapper tool should determine if they are using BCMWL5.SYS …

Bản quyền của blog

This blog uses this version of the Creative Commons License. This license has four main points:
You're free to copy, distribute, and edit all entries on this blog.
If you use my entries, please cite and link to the original entries on this blog.You may not use my entries for commercial purposes. Please contact me if you want to use my entries for commercial purposes.If you alter, transform, or build upon my entries you may distribute the resulting work only under the same or similar license to this one.
Blog Bảo Mật Thông Tin dùng phiên bản này của Creative Commons Lisence. Bản quyền này có bốn điểm chính: Bạn được toàn quyền sao chép, phán tán và chỉnh sửa các bài viết trên blog.
Nếu bạn sử dụng các bài viết thì xin ghi rõ nguồn (và liên kết) đến Blog Bảo Mật Thông Tin. Bạn không được sử dụng các bài viết vì lợi nhuận. Nếu muốn sử dụng vì lợi nhuận thì xin liên hệ với tác giả. Các bạn có thể sửa đổi bổ sung thêm vào các bài viết (ví dụ dùng tư liệu để viết bài khác) với điều kiện…