Các website của chính phủ Hoa kỳ và Hàn Quốc bị hacker "tấn công" bắt đầu từ ngày Quốc Khánh Mỹ và kéo dài tới ngày 10 tháng 7. Đến ngày 12 tháng 7, Bkis chính thức nhận được mẫu virus do phía Hàn Quốc gửi đến.
<i>Các website của chính phủ Hoa kỳ và Hàn Quốc bị hacker "tấn công" bắt đầu từ ngày Quốc Khánh Mỹ và kéo dài tới ngày 10 tháng 7.</i>
Ngay lập tức, Đội Đặc Nhiệm (Taskforce) chỉ hơn 10 người, do ông Nguyễn Tử Quảng, Giám Đốc Trung Tâm An Ninh Mạng (Bkis) thuộc Trường Đại Học Bách Khoa Hà Nội, làm "tổng chỉ huy" đã vào cuộc.
Tại sao Bkis tham gia vào cuộc truy lùng hacker
Sau 25 giờ làm việc tích cực, Bkis đã phát hiện được trung tâm điều khiển vụ tấn công các trang Web này. Thế nhưng trong mấy ngày qua giới công nghệ thông tin Việt Nam và trên các diễn đàn Internet lại tranh luận việc Trung Tâm Ứng Cứu Máy Tính Khẩn Cấp Hàn Quốc (KrCERT) cho rằng Bkis phạm luật Việt Nam và luật quốc tế trong việc này
Quỳnh Như hỏi chuyện ông Nguyễn Tử Quảng về vấn đề này.
<em>Sau 25 giờ làm việc tích cực, Bkis đã phát hiện được trung tâm điều khiển vụ tấn công các trang Web này.</em> <br/>
Quỳnh Như : Thưa ông Giám Đốc Trung Tâm An Ninh Mạng, xin ông cho biết vì sao Bkis quyết định tham gia vào cuộc truy tìm này?
Ông Nguyễn Tử Quảng : Vào tuần trước, như chị cũng đã biết, các website của chính phủ Mỹ và Hàn Quốc bị tấn công "từ chối dịch vụ" (DDoS Attack) trong vòng một tuần, sau đó đơn vị gọi là đơn vị Ứng Cứu Sự Cố Máy Tính Hàn Quốc (KrCERT) có gửi đề nghị lên Hiệp Hội Các Tổ Chức Ứng Cứu Máy Tính Châu Á - Thái Bình Dương (APCERT) mà trong đó Bkis là một thành viên đồng thời là sáng lập viên, và chúng tôi khi nhận được đề nghị đó thì đã xúc tiến tham gia quá trình tìm kiếm nguồn phát động tấn công ở đâu.
Đơn vị Ứng Cứu Sự Cố Máy Tính Hàn Quốc (KrCERT) có gửi đề nghị lên Hiệp Hội Các Tổ Chức Ứng Cứu Máy Tính Châu Á - Thái Bình Dương (APCERT) mà trong đó Bkis là một thành viên đồng thời là sáng lập viên
<i>Ô. Nguyễn Tử Quảng, Giám Đốc Bkis<br/> </i>
Thế là sau hơn một ngày phân tích các mẫu mã virus đã gây ra các cuộc tấn công ấy thì chúng tôi đã chỉ ra được mô hình của hệ thống mạng botnet là hệ thống mạng máy tính dùng để huy động tấn công vào các website của Mỹ và hàn Quốc.
Sau đó chúng tôi đã tìm ra được server gốc là nơi chỉ huy cuộc tấn công này.
Quỳnh Như : Làm thế nào Bkis phát hiện được cơ chế mà hacker dùng để tấn công hệ thống website của chính phủ Hoa Kỳ và Hàn Quốc, thưa ông?
Ông Nguyễn Tử Quảng : Tức là mình phải phân tích cái lệnh của con virus để xem là nó thực thi những việc gì; thí dụ chúng tôi phân tích ra cứ 3 phút một là con virus lại nối lên 8 server để nó nhận các lệnh tấn công.
Ví dụ hôm nay nó đưa lên đấy lệnh tấn công website của Nhà Trắng chẳng hạn, thế thì lập tức là tất cả 168.000 máy tính đó sẽ nhận được lệnh đó và đồng thời nó tạo ra các truy vấn vào website của Nhà Trắng, và đồng thời có quá nhiều truy vấn như vậy thì có thể sẽ làm website ấy ngưng trệ hoạt động.
Thật ra thì thư chính thức của KrCERT chỉ có đề nghị Bkis xem xét và sửa một phần nội dung được đăng tải trên blog của Bkis.
<i>Ô. Nguyễn Tử Quảng, Giám Đốc Bkis</i>
Hàn Quốc kêu gọi toàn thế giới giúp họ chống lại hacker
Quỳnh như : Mới đây Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Hàn Quốc (KrCERT) cho rằng việc điều tra và công bố của Bkis là phạm luật. Ông có ý kiến như thế nào về việc này?
Ông Nguyễn Tử Quảng : Vâng. Thật ra thì thư chính thức của KrCERT chỉ có đề nghị Bkis xem xét và sửa một phần nội dung được đăng tải trên blog của Bkis. Ở trên đấy Bkis coi như là trung tâm ứng cứu máy tính KrCERT đề nghị Bkis phân tích mẫu virus đó, thì họ nói rằng họ không nhờ Bkis phân tích mẫu virus, tuy nhiên, chúng tôi có giữ các email mà KrCERt đã gửi cho Bkis và gửi cho các tổ chức cứu hộ máy tính trên toàn thế giới vào ngày 10 tháng 7, và họ tha thiết đề nghị các tổ chức như vậy và cả Bkis là phân tích mẫu virus, tìm nguồn tấn công và can thiệp vào trong đấy nữa, làm tất cả mọi thứ có thể để giúp họ khắc phục tình trạng mà họ cho là họ đã rất tuyệt vọng và họ rất là suy sụp khi mà trong một tuần lễ họ không phát hiện ra được nguồn tấn công ở đâu.
KrCERt đã gửi cho Bkis và gửi cho các tổ chức cứu hộ máy tính trên toàn thế giới vào ngày 10 tháng 7, và họ tha thiết đề nghị các tổ chức như vậy và cả Bkis là phân tích mẫu virus, tìm nguồn tấn công và can thiệp vào trong đấy nữa
<i>Ô. Nguyễn Tử Quảng, Giám Đốc Bkis</i>
Rõ ràng là họ đã nhờ điều đó nhưng mà sau đó rất tiếc họ lại nói rằng họ không nhờ.
Còn về vấn đề khác nữa thì đó là một nhân viên của KrCERT chứ không phải là đại diện của KrCERT nói rằng cách mà Bkis đã khống chế các server của hacker là vi phạm luật, nhưng mà vấn đề ở chỗ người nêu lên ý kiến đó lại không hề biết là Bkis đã dùng những kỹ thuật như thế nào để khống chế các server đó, và chúng tôi cho rằng nói như thế là võ đoán.
Về thực chất, để khống chế các server đó thì chúng tôi đã phải khảo sát, chỉ chọn những server của hacker mà trước đó nó cung cấp những dịch vụ mà với những dịch vụ đó thì mình có thể truy nhập vào máy tính của hacker đó và bằng cách hoàn toàn hợp pháp chứ không hề có một rào cản nào hay một cảnh báo gì cả. Điều đó là hoàn toàn hợp pháp, đó là một dịch vụ thông thường mà bất kỳ ai cũng có thể sử dụng.
Quỳnh Như : Thưa ông, cho đến giờ thì cả hai trung tâm ứng cứu khẩn cấp máy tính của Việt Nam và của Hàn Quốc có đưa ra thông tin gì mới chưa ạ?
Ông Nguyễn Tử Quảng : Hiện nay chúng tôi đều đã phản hồi nhưng họ chưa có những thông tin gì mới nên Trung Tâm Ứng Cứu Máy Tính Việt Nam (VNCERT) họ nói đó là việc nội bộ nên họ không có trả lời.
Còn bên KrCERT thì họ cũng không có trả lời gì thêm. Tôi nghĩ rằng sự việc rất là rõ. Vấn đề ở chỗ là cái email của KrCERT họ nhờ là họ gửi trên toàn thế giới cho các hiệp hội và các tổ chức cứu hộ máy tính trên toàn thế giới, và ai cũng cũng có thể thấy trong danh sách email đó có cả Bkis nữa, cho nên họ không thể nào phủ nhận điều đó được.
Sự việc rất là rõ. Vấn đề ở chỗ là cái email của KrCERT họ nhờ là họ gửi trên toàn thế giới cho các hiệp hội và các tổ chức cứu hộ máy tính trên toàn thế giới, và ai cũng cũng có thể thấy trong danh sách email đó có cả Bkis nữa, cho nên họ không thể nào phủ nhận điều đó được.
<i>Ô. Nguyễn Tử Quảng, Giám Đốc Bkis</i>
Hacker áp dụng thể loại "tấn công DDoS"
Quỳnh Như : Là một chuyên gia trong lĩnh vực chống virus, ông đánh giá như thế nào về hacker này, và theo nhận định của ông thì các hacker hiện nay đã lên tới trình độ nào?
Ông Nguyễn Tử Quảng : Nếu như mọi người quan sát thì cũng thấy là cái đợt tấn công này rất là quy mô và nó diễn ra ở trên diện rộng, như vậy là các máy tính được huy động để tấn công xuất hiện ở 74 nước, thế mà cái mã của virus này cũng không phải là dễ phân tích. Và thực tế là trong vòng hơn một tuần các chuyên gia của Hàn Quốc và có thể là chuyên gia của Mỹ cũng đã phân tích mà cũng chưa tìm ra được cái hệ thống botnet này như thế nào.
Quỳnh Như : Thưa, ông có lời khuyên như thế nào để chống lại những loại virus như lần này?
Ông Nguyễn Tử Quảng : Thể loại tấn công này thực chất gọi là "tấn công DDoS" tức là "từ chối dịch vụ phân tán", thì hacker huy động rất là nhiều máy tính để đồng thời truy nhập vào một địa chỉ và làm cho địa chỉ đấy bị quá tải.
Thế thì để chống được loại tấn công DDoS này thì thứ nhất là hệ thống mạng phải sử dụng các thiết bị dạng như là thiết bị gọi là IPS, là thiết bị phát hiện ra những truy nhập mà không phải là những truy nhập bình thường và nó có thể ngăn chận lại.
Quan trọng hơn nữa thì là để tấn công DDoS được chấm dứt thì phải truy lùng ra được nguồn gốc của tấn công đó xuất phát từ đâu. Như trong trường hợp vừa rồi chúng tôi phải truy lùng và biết được nó chia làm ba tầng lớp như thế, và mình tìm được cái gốc của nó và khống chế cái gốc của nó thì cuộc tấn công đó sẽ bị ngăn chặn.
Quỳnh Như : Xin chân thành cảm ơn ông Giám Đốc đã dành thời gian cho thính giả nghe Đài.