- Nhúm BugSearch sẽ tiến hành kiểm tra (tức là thực hiện lại đỳng như cỏc thao tỏc mà cỏc hacker đĩ làm, kiểm tra cỏc dấu vết cỏc hacker đĩ để lại trờn hệ thống ) và gửi phỳc đỏp tớ
MỘT SỐ THAY ĐỔI ĐỐI VỚ
THỂ LỆ NỘP BÀI THI TèM SƠ HỞ “BUGSEARCH”
Thõn chào cỏc bạn,
Nhận được một số phản ỏnh của một số bạn yờu thớch tỡm hiểu về bảo mật hệ thống, Ban tổ chức cuộc thi bugsearch xin cú một số thay đổi “thoỏng hơn” về phương thức nộp bài thi như sau:
1/ Để nộp bài thi, cỏc bạn gửi về ban tổ chức theo địa chỉ bugsearch@hcm.vnn.vn bằng chứng cho phộp chứng tỏ việc xõm nhập thành cụng của cỏc bạn. Hỡnh thức trỡnh bày bằng chứng này hũan tũan theo ý của cỏc bạn và chỉ cần đủ rừ để Ban tổ chức cú thể xỏc định được kết quả,
2/ Cỏc bạn cần cho biết địa chỉ Email để Ban tổ chức cú thể gửi Email xỏc nhận kết quả của bạn và gửi thư mời bạn tới nhận giải. Địa chỉ Email cú thể là phương thức duy nhất cho phộp Ban tổ chức liờn hệ tới cỏc bạn nếu cỏc bạn muốn,
3/ Cỏc bạn cú thể ủy quyền cho người khỏc nhận giải hoặc đề nghị phương ỏn chuyển giải thưởng tới tay cỏc bạn,
Để tạo điều kiện cho nhiều người tham gia, chỳng tụi sẽ gia hạn cuộc thi tới 18h00 ngày 22/10/2003.
Chỳc cỏc bạn một cuộc thi hào hứng và thành cụng, Nhúm bugsearch
“VỀĐÍCH”
TèM SƠ HỞ “BUGSEARCH”
Thõn chào cỏc bạn,
Chỳng tụi đĩ nhận được một số emailcủa cỏc bạn tham gia cuộc thi bugsearch thụng bỏo về sơ hở dẫn đến cơ sở dữ liệu cỏc tài khoản đăng ký trong bugsearch bị thay đổi. Danh sỏch cỏc bạn tỡm được sơ hở này là :
Tờn/nickname Email address Thời gian
Quang Huy <quanghuy@thuthuy.net> Date: Thu, 16 Oct 2003 00:21:46 -0700 (PDT)
!!! Yeu Tram !!! <dantruongx@yahoo.com> Thu, 16 Oct 2003 01:48:37 -0700 (PDT) "::: PTV5 Website
:::"
<webmaster@ptv5online.com> Date: Thu, 16 Oct 2003 20:38:39 -0700 (PDT)
Huynh Quoc Khanh"
<huynh.quoc.khanh@quantic.com.vn >
Date: Sat, 18 Oct 2003 10:13:56 +0700
Tuy đõy chưa phải là trang chủ bị thay đổi, nhưng chỳng tụi cụng nhận là cỏc bạn đĩ cú khả năng thay đổi một nội dung quan trọng của Website bugsearch và bạn Quang Huy là người đoạt giải thay đổi nội dung Website trị giỏ 1 (một) triệu đồng. Nhắc lại theo thể lệ
46
cuộc thi, nếu Quang Huy xõm nhập được sõu hơn vào hệ thống thỡ giải này sẽ dành cho người thứ hai và v.v.
Để xem xột khả năng chống lại mất hũan tũan quyền kiểm soỏt mỏy bugsearch nếu hệ thống bị lộ mật khẩu của một tài khỏan, chỳng tụi xin cụng bố một tài khỏan guest với password guest trờn mỏy bugsearch. Cỏc bạn cú thể sử dụng tài khỏan này để kết nối vào bugsearch qua ssh và xem xột khả năng lấy root shell, cài Load Kernel Module, cài backdoor lờn bugsearch.
Thời gian khụng cũn nhiều (cuộc thi được gia hạn tới 18h00 ngày 22/10/2003), hĩy cố gắng “Về đớch” trong cuộc thi bugsearch này.
Chỳc cỏc bạn thành cụng, Nhúm bugsearch
Diễn biến của cuộc thi bugsearch lần tiếp theo như phản ỏnh thụng qua 3 thụng bỏo của bugsearch.
• Ngày 26/9/2003 vào lỳc 12h00, cuộc thi được nối lại. Mỏy bugsearch kết nối vào mạng
• Ngày 13/10/2003, được biết một số bạn ngại lộ danh tỏnh nờn chưa tớch cực tham gia cuộc thi, chỳng tụi đĩ thay đổi thể lệ nộp bài để cho phộp cỏc bạn cú thểđang ký kết quả với nickname và email address. Trờn thực tế, chỳng tụi nhận thấy cỏc bạn tham gia cuộc thi đĩ khụng ngần ngại thụng bỏo kết quả cũng như danh tỏnh của mỡnh khi tấn cụng thành cụng.
Đồng thời cuộc thi được chớnh thức gia hạn thờm tới 22/10/2003.
• Ngày 18/10/2003 vào lỳc 16h00, nhúm đề tài quyết định “mạo hiểm” hơn bằng cỏch mở một tài khỏan guest với mật khẩu guest cho tất cả mọi người. Thụng tin này được chỳng tụi thụng bỏo tới một số bạn cụ thể, thụng tin trờn cỏc diễn đàn của hacker Việtnam, thụng bỏo bởi echip. Việc mạo hiểm này là nhằm thử thỏch khả năng chống lại việc mất quyền root của bugsearch, trong trường hợp một dịch vụ với quyền hạn chế bị xõm nhập và hacker cú được shell cựng quyền của người sử dụng hệ thống. • Tới đỳng 18h00 nhúm dự ỏn chấm dứt cuộc thi, cắt server ra khỏi mạng
và tiến hành thống kờ kết quả, tỡm cỏc backdoor cú thể
• Vào lỳc 18h00 ngày 24/10/2003, trước sự chứng kiến của phúng viờn tuần bỏo echip, nhúm dự ỏn tiến hành niờm phong ổ đĩa cứng của bugsearch nhằm bảo đảm việc tỡm kiếm cỏc backdoor sau này, nếu cú, tại hội thảo về bảo mật hệ thống.
• Ngọai trừ giải đặc biệt cho người cài được backdoor mà quản trị mạng khụng biết chưa được xỏc định, hiện nay nhúm quản trị đĩ cụng nhận 1 giải thuộc về bạn Quang Huy (tự Huyremy), người đầu tiờn trong 4 người
đĩ phỏt hiện sơ hở của chương trỡnh cập nhật danh sỏch người đăng ký vào web bugsearch và cú khả năng thay đổi cơ sở dữ liệu người đang ký của bugsearch.
Qua cuộc thi bugsearch chỳng tụi rỳt ra những bài học kinh nghiệm sau:
• Thi hacking là một hỡnh thức tốt cho phộp chỳng ta đỏnh giỏ được trỡnh
độ, sở trường của cỏc hacker tại một thời điểm. Vớ dụ như tại thời điểm của cuộc thi, phần khai thỏc lỗi lập trỡnh ứng dụng chạy trờn server của cỏc hacker là mạnh nhất.
• Tổ chức cuộc thi là hỡnh thức cho phộp thử thỏch một cấu hỡnh tốt nhất. Căn cứ trờn những thành cụng xõm nhập cựng với cỏc nhật ký của cỏc hệ
thống phỏt hiện xõm nhập (IDS), chỳng ta cú thể xỏc định được mức độ
an tũan của một hệ thống nếu chỳng ta triển khai.
• IDS là một thành phần quan trọng của một hệ thống . Khụng cú IDS khú mà cú thể phỏt hiện sớm, lượng giỏ được mức độ “quan tõm” của
cracker/hacker đối với hệ thống của chỳng ta. Từđú khú mà cú được một quan tõm, đầu tưđỳng với nhu cầu thực.
48
• Kinh nghiệm cỏn bộđối với việc phõn tớch cỏc log của IDS là rất quan trọng. Cỏc thụng bỏo về tấn cụng của IDS nhiều khi khụng sỏt với thực tế. Vớ dụ như cỏc phờin làm việc nhằm thay đổi cơ sở dữ liệu của Web
bugsearch được cỏc hệ thống bỏo động ở cấp trung bỡnh, thậm trớ thấp. • Tổ chức thi hacking một cỏch bài bản với một web site hấp dẫn là một
việc làm tốn kộm và vượt quỏ khả năng của một đơn vị/cụng ty. Đú là những khú khăn về chuyờn mụn (phải cú đủ chuyờn gia ở cỏc lĩnh vực mạng, hệđiều hành, cơ sở dữ liệu, lập trỡnh, lập trỡnh Internet …); khú khăn về tài chớnh (đường truyền riờng, thiết bị, chi phớ giải thưởng..); khú khăn về nhõn lực tổ chức theo dừi và khú khăn về thụng tin. Do đú, nếu chỳng ta muốn cú những cuộc thi hacking trong tương lai thỡ đú phải là sự
phối hợp của nhiều đơn vị, cụng ty và đặc biệt là cỏc nhà cung cấp dịch vụ Internet chuyờn nghiệp.
Chỳng tụi hy vọng rằng cuộc thi bugsearch chỉ là mởđầu cho những cuộc thi/nghiờn cứu về bảo mật hệ thống sau này. Đú là một cỏch làm hiệu quả
nhằm nõng cao khả năng bảo vệ của cỏc mạng tin học của chỳng ta.