BKIS : CÔNG hay TỘI ?

BKIS: Công hay Tội?
Diễn Đàn Tin Học
16-07-2002
http://www.ddth.com/showthread.php?t=289633
Trong thời gian vừa qua Trung tâm An ninh mạng ĐHBK Hà Nội (BKIS) đã tiến hành công bố rộng rãi trong và ngoài nước về việc BKIS phát hiện nguồn gốc vụ tấn công website Mỹ, Hàn (http://blog.bkis.com/?p=718).Vào ngày 15/07/2009 Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) nhận được khiếu nại của ông J.Cho thuộc Trung tâm điều phối ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT/CC) gửi đến Trung tâm BKIS (có đồng gửi cho VNCERT).Vào ngày 16/07/2009 Trung tâm VNCERT tiếp tục nhận được khiếu nại của ông J.Cho gửi đến Hiệp hội các tổ chức ứng cứu máy tính Châu Á-Thái Bình Dương (APCERT) và thư khiếu nại yêu cầu đính chính thông tin chính thức của KrCERT/CC gửi đến Trung tâm BKIS (có đồng gửi cho VNCERT).
…

Trong tất cả các thư khiếu nại trên đề cập đến các vấn đề sau:

- KrCERT không có yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra thủ phạm như các thông tin mà BKIS công bố. KrCERT đã tự tiến hành các hoạt động nghiên cứu của mình và chỉ cung cấp mã độc cho BKIS tham khảo sau khi BKIS đã nhiều lần gọi điện để xin (nguyên văn: BKIS begged the DDoS malware)
……- Việc BKIS thừa nhận tấn công và chiếm quyền điều khiển 02 server để tiến hành phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế. Cách BKIS công bố thông tin khiến công chúng hiểu rằng BKIS thực hiện các hành vi tấn công trái pháp luật và đồng thời gây nhầm lẫn là KrCERT và APCERT cũng tham gia vào các hành vi phạm pháp này.- KrCERT đề nghị BKIS đưa ra giải thích và đính chính các thông tin đã công bố trên các phương tiện truyền thông trong thời gian sớm nhất trước khi kiện BKIS theo luật pháp quốc tế.Trên thực tế KrCERT chỉ gửi yêu cầu trực tiếp đến VNCERT (có đồng gửi cho BKIS do là thành viên của APCERT) để yêu cầu hỗ trợ tháo gỡ mã độc tại một số địa chỉ IP của Việt Nam đang tham gia đợt tấn công. Trung tâm VNCERT với trách nhiệm là trung tâm điều phối cấp quốc gia đang thực hiện điều phối các ISP tại Việt Nam để xử lý yêu cầu của KrCERT trong khuôn khổ hợp tác của tổ chức APCERT.

…..

Trung tâm VNCERT là đầu mối của Việt Nam thực hiện các hoạt động hợp tác quốc tế về ứng cứu sự cố máy tính. Khi tham gia các hoạt động hợp tác quốc tế trong lĩnh vực này BKIS cần báo cáo các nội dung với Trung tâm VNCERT. Nếu tự ý tham gia thì Trung tâm BKIS phải tự chịu trách nhiệm về các hậu quả gây ra do các hoạt động của mình.
…..

Việc BKIS tham gia phân tích và tìm nguồn tấn công là rất đáng quý và cần khuyến khích, tuy nhiên theo quy định của Nghị định 64/2007/NĐ_CP BKIS cần cung cấp thông tin cảnh báo và sự cố về cho trung tâm điều phối quốc gia-VNCERT đồng thời giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần mà các tổ chức ứng cứu máy tính trên thế giới tôn trọng.
....

Việc tham gia xử lý sự cố quốc tế rất nhạy cảm và nguy hiểm, thậm chí tội phạm mạng có thể chuyển hướng tấn công vào Việt Nam để trả đũa nên Việt Nam phải tham gia phối hợp quốc tế theo những nguyên tắc tổ chức đã được cân nhắc và giữ bí mật nghiêm ngặt. BKIS không nên vì mục đích quảng bá thương hiệu mà công bố thông tin rộng rãi và không chính xác dẫn đến gây nguy hiểm cho các hệ thống thông tin trong nước và khiếu kiện quốc tế.
…..

Sự cố này là một vấn đề có thể ảnh hưởng đến quan hệ quốc tế giữa Việt Nam và Hàn Quốc, cũng như gây ảnh hưởng đến uy tín của cộng đồng doanh nghiệpCNTT của Việt Nam. Phía KrCERT/CC đã yêu cầu BKIS phải trả lời chính thức từ ngày 15/07/2009 nhưng cho đến 16 giờ ngày 16/07/2009 vẫn chưa có phản hồi.
…..

Trên website của BKIS có câu:
Được gửi bởi BKIS
Bkis, as a member of APCERT, received a request from KrCERT (Korean Computer Emergency Response Team) to investigate the incident that was performing DDoS attacks on websites of South Korea and the US.
…..

Thực ra KrCERT chỉ yêu cầu gỡ bỏ mã độc hại và điều tra lây nhiễm tại 1 số dải IP của VN, và gửi cho VNCERT và BKIS. Hơn nữa, theo nguyên tắc làm việc của CERT thì "BKIS cần cung cấp thông tin cảnh báo và sự cố về cho trung tâm điều phối quốc gia-VNCERT đồng thời giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần mà các tổ chức ứng cứu máy tính trên thế giới tôn trọng".

Như vậy, có vẻ như phía BKIS đã "hiểu lầm" yêu cầu điều tra của KrCERT và chỉ vì mục đích muốn PR cho mình mà BKIS đã tự công bố kết quả ra public, bất chấp nỗ lực của các nước đang điều tra (US & Kr), làm "bứt dây động rừng", ảnh hưởng nghiêm trọng đến việc điều tra của các nước. Chưa kể đến việc hack vào 2 servers là vi phạm luật pháp Việt Nam và luật pháp quốc tế.
…..

Được gửi bởi BKIS
In order to locate the source of the attacks, we have fought against C&C servers and have gained control of 2 in 8 of them.
…..

Sự việc của BKIS vừa qua, công hay tội, các bạn cùng tiếp tục thảo luận, phân tích để từ đó có thể góp phần đúc rút bài học lớn trong quá trình hội nhập với quốc tế.

---------------------------

THEO DÒNG SỰ KIỆN :

Hàn Quốc: “Kết quả điều tra của Bkis đáng tin cậy”
Thứ Tư, 15/07/2009, 12:22
http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=326671&ChannelID=65
TTO - Hôm qua (14-7), Ủy ban truyền thông quốc gia Hàn Quốc xác nhận kết quả điều tra của Bkis về máy chủ gốc từ Anh thực hiện cuộc tấn công vào các website Mỹ, Hàn là “đáng tin cậy”.
Qua báo cáo của Bkis, Ủy ban Truyền thông quốc gia Hàn Quốc đã đề nghị cơ quan pháp luật có thẩm quyền phối hợp với chính phủ Anh để xúc tiến tìm thủ phạm thực hiện các cuộc tấn công vào các website chính phủ Mỹ và Hàn trong tuần qua.
Trước đó, Tổ chức cứu hộ khẩn cấp sự cố máy tính của Hàn Quốc (KrCERT) đã đề nghị Bkis trợ giúp phân tích mã độc được dùng trong đợt DDos này và các chuyên gia an ninh mạng của Việt Nam xác định được 8 server điều khiển hệ thống botnet (mạng máy tính ma) cũng như địa chỉ IP của máy chủ gốc (master server) đặt tại Anh.
Ông Nguyễn Minh Đức, Giám đốc Bkis Security, khẳng định Bkis là cơ quan an ninh đầu tiên tìm ra sự xuất hiện của master server. Tuy nhiên, phát hiện này của Bkis có vài điểm khác biệt với các báo cáo của chính phủ Hàn Quốc về mã độc. Các báo cáo đó cho rằng mã độc tự động hoạt động mà không cần nhận lệnh từ các server điều khiển.
“Chúng tôi không chắc những kẻ tấn công có thực sự ở Anh hay không. Rất có thể chúng đã hack một máy tính của Anh và sử dụng nó để điều khiển các cuộc tấn công”, một thành viên của Ủy ban Truyền thông quốc gia Hàn Quốc cho biết.
M.PHI (Theo Korea Times)


Bkis phát hiện nguồn gốc vụ tấn công website Mỹ, Hàn
Thứ Ba, 14/07/2009, 14:56
http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=326529&ChannelID=16
TTO - Chiều 14-7, ông Nguyễn Minh Đức, Giám đốc Bkis Security, khẳng định, nguồn gốc các vụ tấn công vào các hệ thống website chính phủ của Mỹ và Hàn Quốc thời gian vừa qua xuất phát từ nước Anh.

Sơ đồ hệ thống botnet tấn công DDoS vào website chính phủ Hàn Quốc và Mỹ
http://nhipsongso.tuoitre.com.vn/ImageView.aspx?ThumbnailID=347846

Theo ông Đức, ngay sau khi KrCERT, Trung tâm cứu hộ máy tính khẩn cấp của Hàn Quốc, mời BKIS tham gia vào cuộc điều tra kẻ đứng sau các cuộc tấn công vừa qua, vào sáng thứ bảy (11-7), các chuyên gia của Bkis đã lập tức bắt tay vào phân tích code của virus MyDoom và đã chỉ ra được có 8 server điều khiển các máy tính ma trong loạt tấn công này. Quan trọng hơn, các chuyên gia của Bkis đã tấn công ngược trở lại 2 trong số 8 sever đó để thu thập được nhật ký của các cuộc tấn công.
Mỗi 1 bot ngẫu nhiên kết nối với một trong 8 server điều khiển 3 phút một lần để nhận lệnh sẽ tấn công website nào tiếp theo. Các server điều khiển nhận lệnh từ chỉ huy thông qua server chủ.
Dựa vào phân tích các log đó, các chuyên gia đã tìm ra được một máy tính đặt ở Anh Quốc đã điều khiển 8 máy này (theo sơ đồ trên). Đó chính là máy tính gốc (master server) phát động cuộc tấn công vào website của chính phủ Mỹ và Hàn Quốc trong tuần trước. Master Server này chạy trên hệ điều hành Windows.

Ông Đức cho biết "sau 25 giờ đồng hồ, các chuyên gia Bkis đã nắm được toàn bộ hoạt động của hệ thống botnet. Từ đó, đã truy ra được Master Server, nơi phát động cuộc tấn công. Tất cả những thông tin này đã được Bkis cung cấp cho chính phủ Mỹ và Hàn Quốc để họ xúc tiến các công việc tiếp theo ở Anh".

Sẽ tìm ra thủ phạm

Địa chỉ IP cuả Master Server
http://nhipsongso.tuoitre.com.vn/ImageView.aspx?ThumbnailID=347871

Ông Nguyễn Minh Đức cho hay: “Khi đã xác định được nguồn tấn công nằm tại Vương quốc Anh, chúng tôi tin rằng việc tìm ra hacker là hoàn toàn có thể thực hiện được.” Địa chỉ IP nghi ngờ là nguồn phát tán là 195.90.118.xxx.
Tuy nhiên điều này còn phụ thuộc vào chính phủ Mỹ và chính phủ Hàn Quốc bởi máy chủ được đặt tại Anh nhưng điều đó không có nghĩa là người Anh tham gia vào vụ tấn công.
Đến nay, theo ông Đức, Bkis là cơ sở an ninh đầu tiên trên thế giới tìm ra được Master Server đó. Đó chính là lý do các hãng thông tấn thế giới như: ComputerWorld, PCWorld, USAToday... đều quan tâm kết quả điều tra này của Việt Nam.

Theo một điều tra cụ thể của BKIS từ hệ thống máy chủ được xem là nguồn gốc của sự tấn công, có tổng cộng 166.908 máy và đặt tại 74 quốc gia trên thế giới đã "mắc bệnh" để tham gia vào cuộc tấn công này.
Dưới đây là top 10 quốc gia có số lượng máy tính bị nhiễm bệnh nhiều nhất:

1 Hàn Quốc
2 Hoa Kỳ
3 Trung Quốc
4 Nhật Bản
5 Canada
6 Úc
7 Philippines
8 New Zealand
9 Anh
10 Việt Nam

M.PHI - QUỐC TRUNG