07/08/2024
BKAV bị hack
Giới thiệu
Hacker 'đột nhập' website của Bkav
Từ một lỗ hổng trên website, một hacker đã tải lên thành công file html vào máy chủ Webscan của Bkav kèm theo lời khẳng định "đã bị hack".
Vụ việc diễn ra từ 2/2 nhưng đường dẫn và lời bình vẫn tồn tại đến sáng 3/2. Việc tải được dữ liệu lên chứng tỏ lỗi bảo mật này khá nghiêm trọng. Tuy nhiên, hacker chỉ dừng lại ở việc cảnh cáo cho công ty an ninh mạng nổi tiếng của Việt Nam.
Trang web của Bkav bị hack sáng 3/2.
(Ảnh 1)
Đại diện của Bkav cho hay, sau khi nhận được cảnh báo từ thành viên có nick kataro92, họ đã kiểm tra và xác nhận thông tin đó là chính xác. Lỗ hổng xuất hiện trên website WebScan, một nhánh con của Bkav.com.vn, chuyên cung cấp dịch vụ đánh giá lỗ hổng đang trong gian đoạn chạy thử nghiệm beta.
Bkav quyết định thưởng 3,5 triệu đồng cho kataro92 vì cung cấp thông tin. Chính sách trao thưởng phát hiện lỗ hổng được Bkav bắt đầu áp dụng từ tháng 10/2010 với mức thưởng từ 500.000 đồng đến tối đa 5 triệu đồng, tùy mức độ nguy hiểm của lỗi.
Châu An
http://vnexpress.net/.../hacker-dot-nhap-website-cua-bkav/
Hacker lên tiếng
We are Anonymous
We are Legion
Chúng tôi tấn công BKAV vì mục đích đòi lại sự công bằng cho một hacker đã bị họ bắt vô lý vì hành động lịch thiệp của mình (chỉ để lại file hacked.html) , chúng tôi không lịch sự với kẻ vô văn hóa. Chúng tôi tôn trọng luật pháp và không trách cứ các cơ quan an ninh, họ chỉ làm đúng phận sự của mình khi có người yêu cầu họ phải thực hiện điều tra, kẻ đáng căm phẫn là BKAV. Kẻ tự vỗ ngực cho rằng mình là tổ chức an ninh mạng giỏi nhất tại Việt Nam và trên thế giới.
Chúng tôi đã lấy đi của họ rất nhiều dữ liệu, và sẽ từng bước công bố tùy theo sự cứng đầu và thiếu ăn năn của họ, chúng tôi sẽ cho bạn thấy sự yếu kém và ngây thơ của họ trong việc thực hiện bảo mật cho chính server của họ
Yêu cầu của chúng tôi ?
Rút đơn kiện hacker lịch thiệp đã giúp đỡ họ, và chính thức xin lỗi cộng đồng mạng vì sự thiếu chín chắn của mình trong việc cư xử với những người lịch thiệp trên trang chủ của BKAV
BKAV nên tôn trọng cộng đồng và trung thực với những hành động của mình
Nếu không ?
Chúng ta sẽ có trò vui
Kỳ 1
Cơ sở dữ liệu forum của BKAV
Toàn bộ thông tin quan trọng nằm ở đây, hãy down nhanh để được một phần của chiếc bánh
http://forum.bkav.com.vn/includes/dump.sql
hoặc
www.mediafire.com/?sv2l2yc48u3jiya
Pass giải nén: bk@v
Download : http://eu.anti-bkav.com/dump.zip
Bkav cầu cứu Mediafire xóa file trong vụ hack ngày 14/2?
Vào ngày 14/02 vừa qua, nhóm hacker tự xưng là Lulzsec Việt Nam đã công bố một liên kết tải về dữ liệu database của forum Bkav trên trang blog của nhóm, sau khi thực hiện tấn công.
Tập tin này được nén với định dạng RAR và tải lên một trong những dịch vụ lưu trữ và chia sẻ rất có uy tín, đó là Mediafire.
Vào ngày 25/02, nhóm hacker này đã công bố ảnh chụp nội dung bức thư được cho là của người đại diện Bkav gửi cho Mediafire với yêu cầu ban quản trị Mediafire xóa bỏ tập tin database của forum Bkav. Nội dung nguyên văn bức thư đó như sau:
"The file dump.zip identified by the key (t85mx5vnr24d4fg) has been deleted by MediaFire support.
The reason for deletion was:
My name is Bach Thanh Le, the representative of Bkav Corporation antivirus software company from Vietnam.
1. We indentify that the content of the file at following addresses is the database of our forum (forum.bkav.com.vn). The database has been stolen by hackers and has been uploaded to MediaFire. http://www.mediafire.com/?t85mx5vnr24d4fg
2. We indentify that the file containing our database is owned by Bkav and it has been infringed. It contains private/personal information of our members (emails, encrypted passwords and discussion contents) on our forum (forum.bkav.com.vn).
3. We indentify that Bkav is the owner of the database, which has been stolen and uploaded to MediaFire at addresses above . The file needs to be removed from the link at addresses above.
4. Our Contact information: Dr. Bach Thanh Le Director - Bkav Contact Center Tel : (84 4) 3767 7090 - Ext: 1221 Fax : (84 4) 3868 4755 Mobile: (84) 913 55 22 22 Email: [email protected]: http://www.bkav.com.vn/ Address: Bkav Contact Center, Bkav , Bkav Building, Yen Hoa New Town, Cau Giay Dist, Hanoi, Vietnam
5. We state that the distribution of our private database by hackers is not authorized by Bkav.
6. We state that the information we have provided is accurate, and we request MediaFire to remove the abused file from your system. Dr. Bach Thanh Le Director - Bkav Contact Center Tel : (84 4) 3767 7090 - Ext: 1221 Fax : (84 4) 3868 4755 Mobile: (84) 913 55 22 22 Email: [email protected] : http://www.bkav.com.vn/ Address: Bkav Contact Center, Bkav , Bkav Building, Yen Hoa New Town, Cau Giay Dist, Hanoi, Vietnam
Nguồn: http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/61966/bkav-yeu-cau-mediafire-xoa-file-trong-vu-hack-ngay-14-2-.html
Kỳ 2
Màn tấu hài về bảo mật của BKAV
Đầu tiên bạn cần coi qua một số tài liệu sau mà chúng tôi đã lấy từ Server của BKAV
Link tải về (cập nhật link ngày 25/2/2012): http://www.mediafire.com/?c8izc95pddubd53
hoặc link multiple-services: http://www.rapidspread.com/file.jsp?id=wd5hkgc4wc
Password giải nén: bk@v
Download: http://eu.anti-bkav.com/BKAV Server info.rar
Cái ngu số 01
BKAV sử dụng Windows Server 2003 và Không thèm cập nhật bản vá nào, bản vá mới nhất là từ năm ... 2008
Khi thâm nhập BKAV server chúng tôi thực sự ngạc nhiên là BKAV dùng hệ điều hành lạc hậu hơn một thập kỷ là Windows Server 2003 cho một server tiếp diện với Internet.
Host Name: FORUM-D4AS7R6NX
OS Name: Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS Version: 5.2.3790 Service Pack 2 Build 3790
Họ còn cực kỳ "thông minh" khi tắt luôn dịch vụ Automatic Update của server, cũng như không hề cập nhật bản vá lỗi nào, bản cập nhật vá lỗi HDH cuối cùng mà BKAV cập nhật là bản KB941569 có cách đây ... 5 năm !
Cái ngu số 02
Sử dụng BKAV Pro làm Antivirus bảo vệ server , dùng phần mềm Crack trên server
Việc BKAV sử dụng đồ nhà cũng có lẽ là xuất phát từ niềm tự hào là "Chương trình diệt Virus đứng top 3 thế giới". Thế nhưng nó hoàn toàn không bảo vệ được BKAV server như mọi người đã thấy.
Bạn vui lòng tham khảo tệp tin "dir C programfile.txt" bạn sẽ thấy các chương trình cài trên BKAV
Trong đó đáng chú ý là
01/20/2012 06:05 PM BkavPro..
02/24/2011 06:15 PM Internet Download Manager
Trong đó Internet Download Manager là phần mềm bị Crack. Lịch sử BKAV thường xuyên sử dụng phần mềm vi phạm bản quyền có lẽ ai cũng biết, ngày xưa BKAV từng lén gắn phần mềm WinRar vào trong BKAV Antivirus mà họ bảo là Top 3 thế giới mà không xin phép tác giả phần mềm (WinRar là phần mềm thương mại, phải trả tiền mới được sử dụng), mãi cho đến sau này một chuyên gia máy tính Việt Nam vô tình phát hiện và báo cáo việc này thì họ mới âm thầm gỡ bỏ WinRar khỏi BKAV Antivirus, do đó ngày nay BKAV Antivirus hoàn toàn bỏ qua việc diệt Virus trong các tệp tin .RAR do họ không biết cách giải nén định dạng RAR mà không phải dùng WinRAR.
Còn một chuyện vui khác nữa liên quan tới cái ngu khi tin tưởng vào BKAV Pro Antivirus của BKAV. Khi chúng tôi thâm nhập vào máy chủ của BKAV, chúng tôi phát hiện ra rằng trước chúng tôi có ... hàng chục hacker khác đã thâm nhập server của BKAV và cài cắm lại "một rừng" backdoor mà BKAV Pro Top 3 Thế giới không hề hay biết ! Cảnh tượng hệt như một cái chợ trời nơi người ta ra vô tấp nập vậy
Cái ngu số 03
Cài firewall mà chỉ dùng cấu hình mặc định, không biết tùy biến lại, thậm chí có lúc ... tắt luôn !
Tiếp tục với tệp tin "dir C programfile.txt" bạn sẽ dễ dàng thấy dòng sau
02/02/2012 12:30 AM Microsoft ISA Server
Cái hay ở đây là BKAV mới chỉ cài đặt ISA làm Firewall từ sau sự kiện ngày 02/02/2012 (ngày mà một hacker lịch thiệp đã thử thâm nhập vào BKAV Server và để lại một lời nhắn lịch sự giúp họ sửa lỗi). Họ cài đặt mà giữ nguyên cấu hình mặc định, điều này là cực kì nguy hiểm do hacker dễ dàng vô hiệu hóa Firewall. Nói cách khác họ cài Firewall cho có. Thậm chí trong lúc thâm nhập chúng tôi có lúc thấy dấu hiệu Firewall đã bị ngưng vận hành suốt nhiều ngày bởi người quản trị server
Cái ngu số 04
Administrator lướt web ngay trên server và trong giờ làm việc
Bạn vui lòng tham khảo tệp tin "tasklist.txt" , bạn sẽ thấy các dòng sau:
chrome.exe 4520 Console 0 42,804 K
chrome.exe 4588 Console 0 32,088 K
Sau khi thấy có quá nhiều process của trình duyệt Chrome đang vận hành trên server chúng tôi nghi ngờ là quản trị viên server đang lướt web ngay trên server nên thực hiện việc sniff gói tin trên server, kết quả khá thú vị khi thấy quản trị server đúng là đang lướt web đọc báo, thậm chí vô Facebook bằng Server của BKAV. Chúng tôi rất tiếc không thể cung cấp gói sniff đó lên đây do nó chứa nhiều thông tin có thể làm hại người vô tội.
Việc quản trị viên lướt web bằng trình duyệt ngay trên server thế này sẽ tạo cơ hội rất lớn cho hacker thâm nhập server bằng cách tấn công xuyên qua trình duyệt web. Đây là sự tắc trách và vô ý thức của người chịu trách nhiệm trông nom BKAV server
Cái ngu số 05
Cài đặt tất cả các dịch vụ trên server hoạt động dưới quyền hoạt động là Administrator
Cái ngu này dẫn tới việc hacker một khi đã khai thác được lỗi của một dịch vụ nào đó trên server và thâm nhập vào sẽ có toàn quyền điều khiển server như một Administrator mà không phải thông qua một bước rất khó khăn là "Leo thang đặc quyền"
Cái ngu số 06
Cài đặt MySQL hoạt động với quyền Root
Lúc dump cơ sở dữ liệu của BKAV Server chúng tôi phải cố gắng lắm mới không té khỏi ghế, do BKAV đã ngu muội mà cài đặt quyền sử dụng cơ sở dữ liệu MySQL là root. Thông tin trong tệp "configphp.txt" (tệp tin cấu hình VBB của forum BKAV)
$config['MasterServer']['servername'] = 'localhost';
$config['MasterServer']['port'] = 3306;
$config['MasterServer']['username'] = 'root';
$config['MasterServer']['password'] = 'bkav4rum2011';
Với quyền sử dụng MySQL là root, hacker sẽ dễ dàng truy cập mọi dữ liệu trên server BKAV thông qua khai thác lỗi Web Application
Cái ngu số 07
Dùng chung mật khẩu quản trị cho nhiều hạng mục, thậm chí chung với mật khẩu MySQL
Và cực ngu là mật khẩu quá dễ đoán
Các mật khẩu quản trị trên server của BKAV đều khá giống nhau và rất dễ đoán là:
bkav4rum2011
Cái ngu số 08
Không backup dữ liệu thường xuyên, bản sao lưu mới nhất của BKAV server là ngày 12/01/2012 và cất chung các bản sao lưu trên cùng server.
Thông tin trong tệp "" :
Volume in drive D is DATA
Volume Serial Number is E8B7-1C1D
Directory of D:\BackupServerBF_20120112
01/14/2012 09:56 AM .
01/14/2012 09:56 AM ..
01/13/2012 05:25 PM 1,590,685,562 AllDB_120113_All.7z
01/14/2012 03:05 AM 9,928,198,998 forumbkav.zip
01/14/2012 02:16 AM 123,298,522 server_smarthome.zip
01/14/2012 02:10 AM 600,441,586 UploadSample.zip
4 File(s) 12,242,624,668 bytes
2 Dir(s) 25,288,765,440 bytes free
Lần cuối BKAV sao lưu dữ liệu server của họ là 1 tháng trước khi chúng tôi công bố các thông tin này và thật đáng buồn là họ lại đặt tất cả các bản sao lưu này trên cùng server, nếu hacker ra tay xóa thì họ sẽ chẳng còn gì để mà khôi phục hoạt động. BKAV sẽ hoàn toàn trắng tay
Tại sao chúng tôi không làm BKAV hoàn toàn trắng tay ?
Vì chúng tôi thực tâm không muốn hủy diệt BKAV, mặc dù chúng tôi hoàn toàn có khả năng và cơ hội để phá hủy toàn bộ dữ liệu của toàn bộ các hệ thống máy chủ của BKAV
Chúng tôi chỉ đòi hỏi sự công bình và lòng trung thực
BKAV được yêu hay ghét hoàn toàn do họ lựa chọn
Tương lai của họ và hành động của chúng tôi hoàn toàn do họ lựa chọn
Kỳ 3
1. APCERT 2009: Nguyễn Minh Đức và Đỗ Mạnh Dũng đã biểu diễn những gì?
2. Korea DDoS: Bkis đã tìm thấy gì trong vụ này để trở thành "niềm tự hào" của giới bảo mật Việt Nam?
3. TC5: Nhóm "Task Force" của Bkis đã huấn luyện TC5 như thế nào? Họ đã thể hiện đạo đức nghề nghiệp ra sao?
4. Underground Team: Nhóm "Underground" của Bkis đã thực hiện những phi vụ điều tra công nghệ cao gì?
Toàn bộ thông tin nằm ở đây, mời cư dân mạng xem xét và đánh giá để có một góc nhìn khác hơn về BKIS!
https://mega.nz/... (Special thanks to phanledaivuong)Mrs. Anonymous
Kỳ 4
NHÂN SỰ VÀ KHÁCH
1. BKIS's Employees: Danh sách 795 nhân viên chính thức, 110 cộng tác viên thường trực và 55 cộng tác viên bán thời gian (may be "Chị Thiến"?).
2. CCS - Contact Center System: Hệ thống hỗ trợ khách hàng, bao gồm:
- Mã nguồn (ngôn ngữ ASP.NET trên nền Microsoft Studio, SQL Server cracked). Xin lỗi vì cục .mdf quá khổ không cách nào share được.
Tài liệu trong bài viết này được gom trên internet.
