[Funland] Công ty chuyên về bảo mật bị hack.

PVN.OTF

Xe tải
Biển số
OF-776276
Ngày cấp bằng
5/5/21
Số km
205
Động cơ
50,367 Mã lực
Nơi ở
Hà Nội
Chuxong đang đợi động thái tiếp theo của wảng nổ, mà wảng nó cứ lờ đi vụ hack, ko xin lỗi khách hàng, ko giải thích.... lái sang đang là chuyên gia chống dịch. 😆 có vẻ sợ hacker Chùi xoong rồi.
 

HoiLamGiLam

[Tịch thu bằng lái]
Biển số
OF-786678
Ngày cấp bằng
5/8/21
Số km
86
Động cơ
28,170 Mã lực
Để tìm đích xác IP một máy chủ cụ cần thu thập càng nhiều thông tin có liên quan tới máy chủ đích càng tốt. Có nhiều kĩ thuật, ví dụ như này:
- Dựa vào các website public để lần ra vết máy chủ đích (ví dụ từ website xác định xem nó đang được phục vụ trên aws hay tự host, có đi qua Loadbalance hay không,...).
- Tìm xem website đang dùng công nghệ gì, phiên bản bao nhiêu (framework)
- Từ phiên bản framework mà website đang sử dụng thử tìm trên mạng xem có lỗ hổng gì không
- Dò xem nó có lỗi gì không (SQL injection chả hạn)
- Dùng social engineering để lừa đảo, trộm mật khẩu của user/admin của trang web (Xem thêm về Social engineering ở đây https://securitybox.vn/3363/tong-quan-ve-social-engineering/)
- Ví dụ cụ đã vào được site hoặc dò ra được sơ đồ mạng của hệ thống thì lần xem database nằm đâu (kiểu gì nó cũng phải mở một kết nối từ site vào db)
....
Hệ thống càng "thủng" nhiều thì kẻ tấn công càng có cơ hội đi sâu được hơn vào mạng nội bộ của cty.
Nói chung không phải cứ khơi khơi bảo muốn hack là hack được đâu :D trừ khi hệ thống bị thủng rồi. Như cái ông nào ngu ngu trên kia bảo là tôi có website đấy ông dò hộ tôi thì mình đánh giá là ngu khó đào tạo :)) Một kẻ tấn công sẽ dành rất nhiều thời gian đề tìm hiểu, lục lọi thông tin về mục tiêu. Khi có đủ thì đánh thôi còn chưa đủ thì ngồi chờ tiếp.
Tóm lại là ý bác Bkav có hị hack bằng kỹ thật hay ko, hay lộ password
Vala chat là thật hay giả

Tức là ko hack, mà lộ password?
 

tqv8

Xe tải
Biển số
OF-396290
Ngày cấp bằng
11/12/15
Số km
295
Động cơ
236,830 Mã lực
Nơi ở
Hà Nội
Để tìm đích xác IP một máy chủ cụ cần thu thập càng nhiều thông tin có liên quan tới máy chủ đích càng tốt. Có nhiều kĩ thuật, ví dụ như này:
- Dựa vào các website public để lần ra vết máy chủ đích (ví dụ từ website xác định xem nó đang được phục vụ trên aws hay tự host, có đi qua Loadbalance hay không,...).
- Tìm xem website đang dùng công nghệ gì, phiên bản bao nhiêu (framework)
- Từ phiên bản framework mà website đang sử dụng thử tìm trên mạng xem có lỗ hổng gì không
- Dò xem nó có lỗi gì không (SQL injection chả hạn)
- Dùng social engineering để lừa đảo, trộm mật khẩu của user/admin của trang web (Xem thêm về Social engineering ở đây https://securitybox.vn/3363/tong-quan-ve-social-engineering/)
- Ví dụ cụ đã vào được site hoặc dò ra được sơ đồ mạng của hệ thống thì lần xem database nằm đâu (kiểu gì nó cũng phải mở một kết nối từ site vào db)
....
Hệ thống càng "thủng" nhiều thì kẻ tấn công càng có cơ hội đi sâu được hơn vào mạng nội bộ của cty.
Nói chung không phải cứ khơi khơi bảo muốn hack là hack được đâu :D trừ khi hệ thống bị thủng rồi. Như cái ông nào ngu ngu trên kia bảo là tôi có website đấy ông dò hộ tôi thì mình đánh giá là ngu khó đào tạo :)) Một kẻ tấn công sẽ dành rất nhiều thời gian đề tìm hiểu, lục lọi thông tin về mục tiêu. Khi có đủ thì đánh thôi còn chưa đủ thì ngồi chờ tiếp.
Website thuê hosting còn máy chủ dùng vào việc khác thì dò IP máy chủ bằng niềm tin à? Website thì oánh sập thoải mái vì có backup và chả có gì bí mật :))
Có vẻ cụ dalmate hiểu sai chút. IP mà server bị tấn công khác so với IP của Domain mà BKAV đăng ký.
Hôm qua em có thử dò mấy Domain của BKAV thì không có Domain nào trỏ về IP mà hacker tấn công cả, hoặc đến thời điểm hiện tại Domain đã chuyển hướng sang 1 server khác. IP bị tấn công đến hôm qua em quét thử đã không còn được sử dụng.
Nếu đúng là ip hacker tấn công không đăng ký Domain, trên Domain không có dẫn link về ip bị hack thì hoàn toàn hacker không thể biết được ip của BKAV trừ khi hack được vào ISP. (ý của cụ thichduthu2011).
 

thichduthu2011

Tầu Hỏa
Biển số
OF-126262
Ngày cấp bằng
1/1/12
Số km
43,390
Động cơ
803,127 Mã lực
Có vẻ cụ dalmate hiểu sai chút. IP mà server bị tấn công khác so với IP của Domain mà BKAV đăng ký.
Hôm qua em có thử dò mấy Domain của BKAV thì không có Domain nào trỏ về IP mà hacker tấn công cả, hoặc đến thời điểm hiện tại Domain đã chuyển hướng sang 1 server khác.
Nếu đúng là ip hacker tấn công không đăng ký Domain, trên Domain không có dẫn link về ip bị hack thì hoàn toàn hacker không thể biết được ip của BKAV trừ khi hack được vào ISP. (ý của cụ thichduthu2011).
Em không biết rõ tổ chức của BKAV như thế nào nên không dám khẳng định nhưng trong thực tế đầy doanh nghiệp dùng nhiều máy chủ cho từng công việc cụ thể khác nhau :))
 

thunm

Xì hơi lốp
Biển số
OF-419713
Ngày cấp bằng
29/4/16
Số km
880
Động cơ
-139,296 Mã lực
Blacklist thành phần này từ lâu, nãy thấy mấy cụ cứ quote tưởng chuyện j nên mở lại xem, hóa ra ông quote comment của tôi. Xin lỗi là tôi ko tiếp ông, nếu ông làm về CNTT thì với những gì ông thể hiện ở otofun này thì tôi càng ko có lý do j để tranh luận với ông cả. Đôi lời hay ý đẹp gửi tới ông, người bị phần lớn các cụ ở đây cho vào blacklist.
Screenshot_20210819-101528_Chrome.jpg


Chặn như này à cụ
 

HoiLamGiLam

[Tịch thu bằng lái]
Biển số
OF-786678
Ngày cấp bằng
5/8/21
Số km
86
Động cơ
28,170 Mã lực
Có vẻ cụ dalmate hiểu sai chút. IP mà server bị tấn công khác so với IP của Domain mà BKAV đăng ký.
Hôm qua em có thử dò mấy Domain của BKAV thì không có Domain nào trỏ về IP mà hacker tấn công cả, hoặc đến thời điểm hiện tại Domain đã chuyển hướng sang 1 server khác. IP bị tấn công đến hôm qua em quét thử đã không còn được sử dụng.
Nếu đúng là ip hacker tấn công không đăng ký Domain, trên Domain không có dẫn link về ip bị hack thì hoàn toàn hacker không thể biết được ip của BKAV trừ khi hack được vào ISP. (ý của cụ thichduthu2011).
Cái này ko ai quét theo DNS cụ ơi, cụ kia nói đúng qui trinh hack đấy
1 IP của bkav là 123.30.245.48 thì có thể scan theo dải 123.30.245.xxx/24
Cụ dùng app android cũng scan đc. Ví dụ thế
 

tqv8

Xe tải
Biển số
OF-396290
Ngày cấp bằng
11/12/15
Số km
295
Động cơ
236,830 Mã lực
Nơi ở
Hà Nội
Tóm lại là ý bác Bkav có hị hack bằng kỹ thật hay ko, hay lộ password
Vala chat là thật hay giả

Tức là ko hack, mà lộ password?
Em có up video đoạn quay lại chat vala ở trang 1.
Nhìn vào đấy em thấy thật giả 50/50 vì có ai biết mô hình trong BKAV thế nào đâu.
Với em thì có khả năng hack vào thật là cao, không thì ông chunxong cũng chịu khó ngồi gõ chat phết :))
 

tqv8

Xe tải
Biển số
OF-396290
Ngày cấp bằng
11/12/15
Số km
295
Động cơ
236,830 Mã lực
Nơi ở
Hà Nội
Cái này ko ai quét theo DNS cụ ơi, cụ kia nói đúng qui trinh hack đấy
1 IP của bkav là 123.30.245.48 thì có thể scan theo dải 123.30.245.xxx/24
Cụ dùng app android cũng scan đc. Ví dụ thế
Thế cụ làm thế nào để biết được IP đấy của BKAV :))
 

tqv8

Xe tải
Biển số
OF-396290
Ngày cấp bằng
11/12/15
Số km
295
Động cơ
236,830 Mã lực
Nơi ở
Hà Nội
Em không biết rõ tổ chức của BKAV như thế nào nên không dám khẳng định nhưng trong thực tế đầy doanh nghiệp dùng nhiều máy chủ cho từng công việc cụ thể khác nhau :))
Chuyện đấy là bình thường. 1 IP có thể cung cấp service từ nhiều máy chủ khác nhau.
Vấn đề IP server đấy ko có domain mà hacker cố ý tấn công Bkav thì tấn công bằng niềm tin hoặc hack vào ISP.
 

thichduthu2011

Tầu Hỏa
Biển số
OF-126262
Ngày cấp bằng
1/1/12
Số km
43,390
Động cơ
803,127 Mã lực
Chuyện đấy là bình thường. 1 IP có thể cung cấp service từ nhiều máy chủ khác nhau.
Vấn đề IP server đấy ko có domain mà hacker cố ý tấn công Bkav thì tấn công bằng niềm tin hoặc hack vào ISP.
Câu chuyện về quả trứng và con vịt. Hỏi con vịt ở đâu thì bảo do quả trứng nở ra còn hỏi quả trứng ở đâu thì bảo do con vịt ... đẻ :))
 

detector

Xe tăng
Biển số
OF-318852
Ngày cấp bằng
8/5/14
Số km
1,229
Động cơ
320,267 Mã lực
Website
woodsoft.vn
Bkav xua đuổi quân vào tổ lái sang IP và port à? Còn cái root cause là SQL injection lờ đi sao nổi. Vỗ ngực làm bảo mật mà như thế thì chẳng oan đâu. Ngay đến việc ko có log server để xác định bị hack từ đâu và bị hack những gì cũng ko xác định nổi, ròii bàn nhau đổ cho nv cũ =)) Vụ này lưu danh sử sách bảo mật nước nhà :))
Cái SQLi đúng là lỗi nhưng không phải root cause cụ ơi. Thực ra trong hệ thống, Web Module là thành phần chường mặt ra public internet, không gặp lỗi này thì lỗi khác và phải xác định là trước sau rồi cũng sẽ bị hack. Developer làm web cũng thường là thành phần non nghề nhất trong công ty trừ các công ty web truy cập lớn như kiểu Shopee (sorry các cụ frontend :D). Một số công ty còn không nuôi đội làm Web mà outsource luôn cho tiện.

Chính vì thành phần Web coi như bị hack sẵn rồi, nên người ta mới phải thiết kế hệ thống để cho dù có hack được cái Web thì cũng chỉ deface được, cùng lắm thì ăn cắp được database, source code của chính cái web đó là hết. Còn đằng này BKAV để cho bọn nó RCE, lấy hết source code trấn môn như thế thì đúng như cụ HoiLamGiLam đã phân tích, lỗi là của một đống ông có trách nhiệm cao hơn mấy ông làm web nhiều: Ít nhất là 2 ông: quản trị OS, Network, Database (gọi chung là System Administrator) và ông System/Software Architect.
 

tqv8

Xe tải
Biển số
OF-396290
Ngày cấp bằng
11/12/15
Số km
295
Động cơ
236,830 Mã lực
Nơi ở
Hà Nội
Cụ hỏi thế, tất nhiên phải có clue đầu vào web site của nó.
Những IP khác nó có đăng ký trong DNS đâu =))
Còm đầu tiên đã nói là NẾU domain trỏ về IP bị hack hoặc có dẫn link.
Còn không có liên kết thì clue lại là có người trợ giúp rồi.
 

tqv8

Xe tải
Biển số
OF-396290
Ngày cấp bằng
11/12/15
Số km
295
Động cơ
236,830 Mã lực
Nơi ở
Hà Nội
Câu chuyện về quả trứng và con vịt. Hỏi con vịt ở đâu thì bảo do quả trứng nở ra còn hỏi quả trứng ở đâu thì bảo do con vịt ... đẻ :))
Như còm đầu tiên, Bkav nó đổi ip rồi, domain có khi đổi rồi, hoặc các anh ý rút dây mạng, "lái" vào server rồi thì anh em chỉ ngồi đoán già đoán non thôi =))
 

thichduthu2011

Tầu Hỏa
Biển số
OF-126262
Ngày cấp bằng
1/1/12
Số km
43,390
Động cơ
803,127 Mã lực
Như còm đầu tiên, Bkav nó đổi ip rồi, domain có khi đổi rồi, hoặc các anh ý rút dây mạng, "lái" vào server rồi thì anh em chỉ ngồi đoán già đoán non thôi =))
Đọc còm thì sẽ biết ngay ai là ai. Người biết bầu trời bao la luôn nếu thì còn ngược lại luôn khẳng định :))
 

trinhpcl

Xe tăng
{Kinh doanh chuyên nghiệp}
Biển số
OF-342616
Ngày cấp bằng
13/11/14
Số km
1,333
Động cơ
350,660 Mã lực
Nơi ở
TP HCM
Cái quét QR đáng ra phải làm từ lâu rồi phổ biến đến từng nhà hàng, quán ăn, siêu thị, từng địa điểm công cộng đều phải có mã. Khách đến chỉ cần quét QR 1 phát là ghi lại lịch sử. Lúc truy vết mới nhanh. Đây các bố dùng bluetooth thì nửa ngày hết pin cmnr, mà có phải ai cũng bật đâu.
Rồi lại còn đẻ ra trò khai báo phải gõ từng mục một thì em cũng đến lạy.
 

thichduthu2011

Tầu Hỏa
Biển số
OF-126262
Ngày cấp bằng
1/1/12
Số km
43,390
Động cơ
803,127 Mã lực
Cái quét QR đáng ra phải làm từ lâu rồi phổ biến đến từng nhà hàng, quán ăn, siêu thị, từng địa điểm công cộng đều phải có mã. Khách đến chỉ cần quét QR 1 phát là ghi lại lịch sử. Lúc truy vết mới nhanh. Đây các bố dùng bluetooth thì nửa ngày hết pin cmnr, mà có phải ai cũng bật đâu.
Rồi lại còn đẻ ra trò khai báo phải gõ từng mục một thì em cũng đến lạy.
Nhầm thớt cụ ơi :))
 

htc4

Xe buýt
Biển số
OF-373487
Ngày cấp bằng
13/7/15
Số km
655
Động cơ
255,517 Mã lực
Đoạn nổ thì e ko dám nói gì, nhưng mặt sức khoẻ tâm thần thì em khẳng định là a ý sáng suốt, có khi sáng suốt hơn hầu hết member ofun. Em nói nghiêm túc chứ ko có ý bỉ bôi bất kỳ ai.
Chứng vĩ cuồng nó gần với bệnh thần kinh lắm, quê em từng chứng kiến 1 số bác thời trẻ làm được một vài việc thành công nên càng về sau càng nghĩ mình giỏi và có thể giải quyết được mọi thứ. Tuy trời mưa vẫn biết chạy vào nhà nhưng nhiều khi ngáo quá không khác gì tâm thần cả.
AQ thì em nghĩ vẫn đang ở giai đoạn vĩ cuồng thôi, nhưng với 1 người được học hành đầy đủ (mà ngáo về khoa học như vậy thì bệnh cũng khá nặng rồi đấy. Nếu cụ có quen biết thì hãm anh ấy dùm xã hội :D
 

langtoilangtoi

Xe điện
Biển số
OF-520012
Ngày cấp bằng
6/7/17
Số km
3,607
Động cơ
44,205 Mã lực
Tuổi
48
Cái SQLi đúng là lỗi nhưng không phải root cause cụ ơi. Thực ra trong hệ thống, Web Module là thành phần chường mặt ra public internet, không gặp lỗi này thì lỗi khác và phải xác định là trước sau rồi cũng sẽ bị hack. Developer làm web cũng thường là thành phần non nghề nhất trong công ty trừ các công ty web truy cập lớn như kiểu Shopee (sorry các cụ frontend :D). Một số công ty còn không nuôi đội làm Web mà outsource luôn cho tiện.

Chính vì thành phần Web coi như bị hack sẵn rồi, nên người ta mới phải thiết kế hệ thống để cho dù có hack được cái Web thì cũng chỉ deface được, cùng lắm thì ăn cắp được database, source code của chính cái web đó là hết. Còn đằng này BKAV để cho bọn nó RCE, lấy hết source code trấn môn như thế thì đúng như cụ HoiLamGiLam đã phân tích, lỗi là của một đống ông có trách nhiệm cao hơn mấy ông làm web nhiều: Ít nhất là 2 ông: quản trị OS, Network, Database (gọi chung là System Administrator) và ông System/Software Architect.
Trong các đội mà cụ kể thì đội kiểm thử (Pentesting) ở đội nào cụ nhỉ ? Em nghĩ Tập đoàn to to phải có đội An toàn bảo mật riêng chứ.
 
Thông tin thớt
Đang tải
Top