Thứ Tư, 10 tháng 10, 2012

Bài học từ vụ trang Quan Làm Báo và Phạm Viết Đào bị hack

Nguồn: No Firewall
2012/10/09

Trang quanlambao.blogspot.com đã chạy trở lại.



Cư dân mạng xôn xao về tin trang blog Quan Làm Báo bị tin tặc chiếm đoạt.  Ai vào trang
quanlambao.blogspot.com bị đưa qua trang quanlambao.info. Trong trang này có bài viết, dữ kiện và hình ảnh cá nhân của gia đình bà Đặng Thị Hoàng Yến.

Sau khi Blog No Firewall tìm hiểu thì thấy là trang
quanlambao.blogspot.com thật ra không bị tin tặc chiếm đoạt. Tin tặc chỉ hack vô một trang web khác để làm thống kê là trang weekstats.com mà Quan Làm Báo sử dụng. Do đó khi bạn vào trang Quan Làm Báo, trình duyệt được lệnh chạy đoạn mã (script) từ trang weekstats.com để hiển thị các thống kê. Đó là lúc đoạn mã độc mà tin tặc đã gài vào trong weekstats.com bắt đầu chạy và dẫn người xem qua trang quanlambao.info của tin tặc.

Cho đến thời điểm này thì quanlambao.blogspot.com đã tháo gỡ đoạn mã từ weekstats, cho nên nếu bạn vào quanlambao.blogspot.com, thì trang đã hiện ra trở lại. 


Trang blog Phạm Viết Đào bị chiếm đoạt
Cùng lúc đó trang blog của blogger Phạm Viết Đào thì dường như đã bị tin tặc chiếm lấy.  Có lẽ tin tặc đã đánh cắp mật khẩu vào Gmail/Blogspot của blogger Phạm Viết Đào. Vào trang blog đó bạn chỉ thấy trang sign in của blogger.  Tin tặc đã biến trang blog này thành trang kín (private) không cho phép mọi người xem.

Rút tỉa kinh nghiệm cho giới blogger:

Nếu bạn đang làm blog, xin lưu ý các điểm sau đây:

  • Dùng khóa 2-chìa của Gmail/Blogspot (còn gọi là khóa đôi, login 2-bước, 2-step authentication) để gia tăng an ninh. Tin tặc có đánh cắp được password của người dùng thì vẫn chưa đủ, phải đánh cắp thêm mã số thứ nhì, mà chuyện này không dễ. 
  • Không nên dùng scripts và dịch vụ ngoài Blogspot (như ở đây Quan Làm Báo dùng weekstats.com) nếu bạn không thật sự cần.  Đây là điểm yếu nhất của trang Quan Làm Báo. Họ đã phát hiện kịp thời và tắt đi các chức năng này.
  • Nên dùng FireFox có gắn NoScript plugin, hoặc Chrome có gắn NotScripts. Dùng cả 2 loại trình duyệt cùng lúc. Chia ra: dùng một trình duyệt cho các việc quan trọng, dùng browser kia cho các việc lướt mạng còn lại.
  • Dich vụ blogspot.com an toàn hơn các dịch vụ blog khác vì hạ tầng cơ sở IT của Google đủ mạnh để không bị tin tặc tấn công từ chối dịch vụ (DoS hay DDoS)
  • Xem thêm thông tin cũ:

Blog Quanlambao bị hacker chiếm đoạt

Posted: 09 Oct 2012 10:40 AM PDT


VRNs
2012/10/10
Blog quanlambao.blogspot.com đã bị tấn công. Hiện nay ai truy cập vào địa chỉ của blog này sẽ tự động chuyển đến một website khác có domain là www.quanlambao.info. Tại đây có một bài duy nhất với tựa đề: “Yêu cầu bà Đặng Thị Hoàng Yến dừng ngay các hành vi bôi nhọ, bịa đặt, vu khống nhằm đẩy đất nước Việt Nam vào nguy cơ nội chiến một lần nữa. Những hành động của bà đã vi phạm nghiêm trọng luật phát quốc tế trong đó có luật pháp Hoa Kỳ, nơi bà đang tỵ nạn".
Nội dung chính là bôi xấu bà Yến và gia đình của bà.

Theo facebooker Lương Trọng Nghĩa thì người đứng tên chủ sở hữu của domain quanlambao.info là một nickname chứ không phải tên thật là “Quan Bao”. Domain này chỉ mới mua từ 15.09.2012, tức chưa đầy một tháng. Cũng theo thông tin này, thì “Quan Báo” là người đang sử dụng địa chỉ ở Hoa Kỳ như sau: 5858 Edison Pl, Carlsbad, TX, postal code là 92008, US.

Tuy vậy, một facebooker khác cho biết, chủ của quanlambao.info đang ở Pháp, dựa trên các thông tin địa phương nơi và ngày giờ post bài đánh bà Yến như sau: IP Information 87.98.186.12. IP location: France Roubaix Ovh Sas. ASN: AS16276. Resolve host: 87-98-186-12.ovh.net. IP Address: 87.98.186.12 W.R.P.D.T.

VRNs cho rằng với thông tin trên không thể kết luận người chủ thật của quanlambao.info là công dân Mỹ hay là người đang ở Pháp trực tiếp làm việc tấn công blog quanlambao.blogspot.com được.

Có thể người lấy nickname “Quan Bao” đang ở tại Việt Nam, vì địa chỉ khai báo như thông tin trên không đúng. Tại tiểu bang Texas không hề có địa chỉ 5858 Edison Pl, Carlsbad, TX, postal code là 92008, US. Ở nước Mỹ có địa chỉ gần giống địa chỉ này, nhưng ở tiểu bang California,và là bản doanh của công ty cung cấp dich vụ domain và hosting “101domain.com” như sau: “101domain, Inc. 5858 Edison Place Carlsbad, CA 92008. Phone: Toll Free US 1-877-983-6624, Phone: International ++1-760-444-8674, Fax: 1-760-579-4996″.

Còn dựa trên thông tin về IP địa phương để kết luận người tấn công blog quanlambao đang ở Pháp cũng không ổn, vì hầu hết những người sử dụng internet thường xuyên ở Việt Nam phải dùng công cụ vượt tường lửa, mà công cụ này thường xuyên thay đổi IP location cho người sử dụng, nhằm giúp vượt qua tường lửa của nhà cầm quyền để truy cập vào những trang bị ngăn chặn.

Theo facebooker Uyên Vũ thì chủ nhân của domain quanlambao.info, đồng thời cũng làm chủ cả các domain cùng tên với cá đôi khác là .com và .net

Với nội dung tấn công trực tiếp vào bà Yến khi hack được blog quanlambao thì chắc chắn người điều khiển cuôc tấn công bất hợp pháp này là lực lượng đang săn đuổi chủ nhân quanlambao ở Việt Nam trong suốt tuần qua.

Hiện nay, khi vào blog qualambao bằng proxy thì thấy trang bị hack với bài đầu tiên như chúng tôi đã nói ở trên, nhưng các bài đã đăng của quanlambao.blogspot.com vẫn còn như phát hiện của blogger Huỳnh Công Thuận: http://4.hidemyass.com/ip-1/encoded/Oi8vcXVhbmxhbWJhby5ibG9nc3BvdC5jby51ay8%3D.

1 nhận xét:

Cảm ơn bạn đã ghé thăm Già!
:)