Forum lop 12a4

Chào mừng các bạn đến với diễn đàn của lớp 12A4, PTTH Hùng Vương (1998-2001)
 
Trang ChínhPortalliCalendarGalleryTrợ giúpTìm kiếmĐăng kýThành viênNhómĐăng NhậpNintendo Games

Share | 
 

 SacomBank mất 1 triệu đô như thế nào

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down 
Tác giảThông điệp
Doan Du
Khâm sai đại nhân
Khâm sai đại nhân
avatar

Tổng số bài gửi : 728
Age : 34
Nơi sống : Ho Chi Minh
Nghề nghiệp : Web developer
Registration date : 17/09/2007

Thuộc tính
Máu:
1000/1000  (1000/1000)
Mana:
1000/1000  (1000/1000)
Exp:
1000/1000  (1000/1000)

Bài gửiTiêu đề: SacomBank mất 1 triệu đô như thế nào   Thu Nov 29, 2007 12:46 am

Chim mồi

Ngày 12-8, trong quá trình kiểm tra nhật ký các máy chủ, quản trị viên của SCB vô tình phát hiện 1 cuộc kết nối từ bên ngoài vào qua con đường chat hết sức phức tạp. Dù chỉ là 1 cuộc chat chit bình thường, nhưng bạn chat của nhân viên SCB sử dụng những công nghệ tinh vi nhất về mạng máy tính nhằm tìm kiếm một điều gì đó mà quản trị viên vẫn chưa rõ? Ngay lập tức, máy tính của nhân viên SCB kia bị đưa vào tình trạng theo dõi.

Ngày 13-8, toàn bộ nội dung chat của nhân viên SCB kia (tạm gọi là nhân viên X) được chuyển hướng về 1 máy chủ an toàn của SCB và tự động ghi lại tất cả dưới dạng plain text. Quá trình sử dụng thuật toán để dò tìm những nội dung nhạy cảm cho thấy: đây là một cuộc chat hoàn toàn thông thường. Có vẻ như nhân viên X và bạn chat vừa mới quen nhau. Mọi chuyện vẫn được "treo" ở mức an ninh số 2.

Ngày 19-8, qua đúng 1 tuần không phát hiện được gì thêm, các chính sách hệ thống (group policy) được áp dụng cho nhân viên X bị gỡ bỏ theo quy định của SCB. Tuy nhiên, lúc này một số server và router của SCB lại liên tục ghi nhận các cuộc càn quét dải cổng từ 5000 đến 5100 (dùng cho chat) và 1 loạt các gói tin broadcast ra toàn mạng nội bộ. Có vẻ như có kẻ nào đó, đang muốn "dựng" lại sơ đồ hệ thống mạng của SCB.

Ngày 20-8, chính sách hệ thống (GP) lại được tái áp dụng cho nhân viên X. Kết quả cho thấy, hacker đúng là có nhằm vào máy tính của nhân viên X. Nhưng không làm gì, ngoài mục đích trêu đùa và "quảng cáo" trình độ IT của bản thân. Nội dung cuộc chat cho thấy, họ thẳng thắn trao đổi về vấn đề này và thậm chí còn thách đố nhau nữa. Các câu lệnh hoàn toàn tường minh và đều không gây nguy hiểm...

Hacker giăng bẫy


23-8, Phòng IT của SCB quyết định hủy các "chính sách hệ thống" áp dụng cho máy tính của nhân viên X, đồng thời cũng không theo dõi các bản ghi log về tình trạng kết nối của nhân viên này nữa. Tuy nhiên, có 1 quản trị viên trong quá trình thử kết nối ngược lại với anh chàng kia để kiểm tra đã phát hiện 1 chi tiết quan trọng: Anh ta sử dụng NAT liên tục để che dấu nguồn gốc của mình. Sau 2 lần NAT ngược qua proxy server của VDC và 1 lần NAT qua Viettel thì anh ta mất dấu. Rất tiếc là chi tiết này đã không được admin của SCB báo cáo và lưu ý.

24-8, hacker vẫn miệt mài send các request tới máy của nhân viên X. Ít ai ngờ được rằng, câu lệnh tracert mà hacker sử dụng... không nhằm mục địch "dựng" lại sơ đồ mạng của SCB mà nhằm phát hiện: Khi nào thì nhân viên X sử dụng laptop cá nhân? Tại sao lại như vậy? Là bởi vì chính sách bảo mật của 1 laptop thì sơ sài, đơn giản và kém hơn rất nhiều so với 1 máy tính nằm trong 1 mạng LAN có bộ phận IT.

25-8, sau 1 hồi IN – OUT liên tục trên Yahoo và ngắt kết nối giả tạo, hacker đã dụ được nhân viên X sử dụng một đường truyền khác để chat. Hắn nhanh chóng xác định, X đang dùng wifi qua 1 kết nối ADSL công cộng của FPT. Không những vậy, hắn còn dụ được nạn nhân truy cập vào 1 cái bẫy (1 đường link giả trên Internet), qua đó thu thập được phiên bản hệ điều hành và trình duyệt của X.
Mọi thứ quả là như trong mơ! Nhân viên X vẫn sử dụng Windows và Internet Explore với cả 1 đống lỗ hổng an ninh chưa hề được patch. Và quả là chẳng khó khăn gì, hắn sử dụng tool thích hợp, chèn thêm 1 user có quyền cao nhất (admin) lên máy nạn nhân. Sau đó là tuồn vào hàng đống phần mềm mà mã nguồn đã được chỉnh sửa đôi chút với hành vi chỉ nhắm vào SCB – hầu qua mặt tất cả các trình AV và diệt spy, keylog hiện nay. Trước khi out, hắn không quên xóa đi tài khoản quản trị vừa tạo – đằng nào thì tạo lại cũng chỉ mất 1 câu lệnh command!

(còn típ)

_________________
Phận làm trai, gõ phím bình thiên hạ
Thân anh hùng, click chuột định giang san.

http://12a4hv.forumotion.com


Được sửa bởi ngày Thu Nov 29, 2007 8:30 am; sửa lần 1.
Về Đầu Trang Go down
Xem lý lịch thành viên http://www.banletructuyen.com
HanhKhat
Ngự tiền tứ phẩm đới đao hộ vệ
Ngự tiền tứ phẩm đới đao hộ vệ
avatar

Tổng số bài gửi : 1707
Age : 34
Nơi sống : London
Nghề nghiệp : Post-Student
Registration date : 17/09/2007

Thuộc tính
Máu:
90/120  (90/120)
Mana:
70/100  (70/100)
Exp:
19/100  (19/100)

Bài gửiTiêu đề: Re: SacomBank mất 1 triệu đô như thế nào   Thu Nov 29, 2007 3:59 am

Tiếp đi mày, giống đang coi phim tội phạm công nghệ cao của Mỹ quá!!
Về Đầu Trang Go down
Xem lý lịch thành viên http://360.yahoo.com/haidang121mt
duongquanglong
Ngự sử đại nhân
Ngự sử đại nhân
avatar

Tổng số bài gửi : 389
Age : 33
Nơi sống : cung trăng
Nghề nghiệp : xây dựng nhà cửa
Registration date : 20/09/2007

Thuộc tính
Máu:
1/1  (1/1)
Mana:
1/1  (1/1)
Exp:
1/1  (1/1)

Bài gửiTiêu đề: Re: SacomBank mất 1 triệu đô như thế nào   Thu Nov 29, 2007 4:05 am

ờh ờh tiếp đi mày đang hấp cái mà dẫn....
Về Đầu Trang Go down
Xem lý lịch thành viên
Doan Du
Khâm sai đại nhân
Khâm sai đại nhân
avatar

Tổng số bài gửi : 728
Age : 34
Nơi sống : Ho Chi Minh
Nghề nghiệp : Web developer
Registration date : 17/09/2007

Thuộc tính
Máu:
1000/1000  (1000/1000)
Mana:
1000/1000  (1000/1000)
Exp:
1000/1000  (1000/1000)

Bài gửiTiêu đề: Re: SacomBank mất 1 triệu đô như thế nào   Thu Nov 29, 2007 8:35 am

Dính chưởng

04-9, sau 10 ngày liên tục tỏ vẻ rất bình thường với những câu chuyện không đâu vào đâu. Hacker thử kích hoạt 1 phần mềm nói trên bằng cách dụ nhân viên X click vào 1 đường link trên cửa sổ Yahoo Messenger. Không có phản hồi !!! Hoặc là AV của SCB quá tốt, hoặc là firewall của SCB quá mạnh! Hacker tạm nghỉ, hầu tìm thêm con đường khác. Trước khi rút lui, hắn không quên nói thẳng vài câu giống như đùa cợt về hành vi vừa rồi. Một hành động hết sức khôn ngoan hòng đánh lừa admin SCB khi kiểm tra bản log (nếu có). Kiểu như đi thẳng vào nhà và nói rằng: Tôi đến để ăn trộm đây (sau khi tìm cách ăn trộm không thành).

06-9, đang ăn trưa hắn bật ra 1 ý nghĩ: không phải nhân viên X ngày nào cũng dùng laptop như mình. Có thể cô ấy chưa hề mang laptop trở lại và kết nối vào SCB. Ngay lập tức, hắn online và nói có chuyện cực kỳ quan trọng muốn nói. Câu chuyện cứ chập chà chập chờn lúc được lúc mất vì hắn cố tình như vậy. Lại dở chiêu bài cũ... Cuối cùng thì cũng toại nguyện: nhân viên X đã dùng đến laptop và kết nối vào LAN của SCB.

Như đã được lập trình trước, một loạt phần mềm gián điệp, virus, spy, trojan, keylog được chỉ định "leo" lên và nằm im mai phục trên ổ cứng PC của X tại văn phòng. Giai đoạn 1 coi như thành công tốt đẹp! Thử kích hoạt 1 chú. Kết quả mỹ mãn! Sau 20 phút "chạy thử" mà không bị phát hiện, hacker quyết định "tắt nó đi" và lên kế hoạch bước 2.

Càn quét

Vậy là coi như đã có nội gián bên trong. Kết hợp với 1 loạt câu lệnh được ngụy trang hết sức an toàn để vượt qua tường lửa. Hacker tiến hành khởi tạo 1 tài khoản cục bộ trên máy PC trong văn phòng nạn nhân (PC thuộc domain của SCB). Kết quả quá khiêm tốn. Một tài khoản với quyền hạn cực kỳ hạn chế được tạo ra! Hic... Tuy nhiên, không vào hang cọp sao bắt được cọp! Hắn hì hụi tấn công leo thang đặc quyền để nâng quyền cho chính tài khoản vừa tạo. Cuối cùng thì cũng xong nhưng đúng lúc đó thì nạn nhân hết giờ làm việc. Thậm chí, hắn còn suýt thì không kịp xóa tài khoản đó đi !!!

22-9, hôm nay nhân viên X ở lại làm ngoài giờ. Thật là cơ hội vài năm có một, khi mà tự do "lang thang" trong hệ thống lúc quản trị viên của SCB đã nghỉ ! Kích hoạt keylog, rồi khởi động lại PC của nạn nhân từ xa. Chỉ chưa đầy 2 phút sau, hắn đã có username và password truy cập vào domain của tài khoản mang tên X. Lặp lại các thao tác đã rất thành thục, hacker tạo tài khoản trên máy nạn nhân, nâng quyền lên thành admin cục bộ và bắt đầu càn quét.

Vừa sử dụng tài khoản local, vừa sử dụng tài khoản domain, hắn bắt đầu lang thang khắp nơi. Phải nói chính sách phân quyền (miền, vùng, OU, nhóm,..) của SCB khá là lỏng lẻo – hậu quả của sự thiết lập kế thừa chồng chéo quá phức tạp. Nhiều máy tính không cho truy cập vào thư mục gốc nhưng lại cho truy cập vào các thư mục con. Vì vậy, chỉ cần gõ thêm vài cái đuôi kiểu: Windows, System, Programs Files, Documents and Setting và vào bên trong được!

Sau một hồi càn quét, hacker đã có trong tay thêm 1 cơ số tài khoản thuộc domain. Và một điều cực kỳ bất ngờ xảy ra: Trên một PC có vẻ như của một admin thiếu kinh nghiệm, hacker đã tìm thấy 1 file script dùng để khởi tạo hàng loạt tài khoản người dùng. Như vậy, chắc chắn sẽ có 1 file TXT hoặc XLS chứa thông tin về các tài khoản này!

Tiếp tục mò mẫm trong bóng tối, cuối cùng hacker cũng tìm thấy 1 cái file như thế! Rất hớ hênh! Download toàn bộ những file trong thư mục D:Tuan** về máy của mình, hacker mở lần lượt xem và... Woa... Không thể tin vào mắt mắt: hàng trăm tài khoản domain của SCB vẫn còn nguyên password mặc định – Trong đó có cả tài khoản của nhân viên X kia!
(còn típ)

_________________
Phận làm trai, gõ phím bình thiên hạ
Thân anh hùng, click chuột định giang san.

http://12a4hv.forumotion.com
Về Đầu Trang Go down
Xem lý lịch thành viên http://www.banletructuyen.com
Doan Du
Khâm sai đại nhân
Khâm sai đại nhân
avatar

Tổng số bài gửi : 728
Age : 34
Nơi sống : Ho Chi Minh
Nghề nghiệp : Web developer
Registration date : 17/09/2007

Thuộc tính
Máu:
1000/1000  (1000/1000)
Mana:
1000/1000  (1000/1000)
Exp:
1000/1000  (1000/1000)

Bài gửiTiêu đề: Re: SacomBank mất 1 triệu đô như thế nào   Thu Nov 29, 2007 10:05 am

Thử nghiệm & ra đòn...

30-9, thử nghiệm lần đầu với các tài khoản tìm được. Qua hơn 60 tài khoản, tất cả vẫn access denied! Có vẻ chính sách về password của SCB quá đơn giản nên không có quy tắc nào mà lần mò ra được! Hãy suy nghĩ xem nào: Ai là người lười đổi password nhất? Lãnh đạo! Đúng, các sếp cực kỳ chủ quan trong cái việc đổi mật khẩu này.

Dò ngược lại danh sách hôm trước, lọc ra các user từ Trưởng phòng trở lên. Lại tiếp tục thử. Eureka... Tài khoản của 1 sếp Phó chủ tịch Hội đồng Quản trị đã được chấp nhận! Vừng ơi, mở cửa ra! Vậy là kết quả đến đây thành công gần như mỹ mãn. Trong đó có phần đóng góp không nhỏ của 2 nhân viên SCB: nhân viên X và quản trị viên tên Tuấn** kia.

12-10, đường hoàng đăng nhập từ cửa chính của SCB, hacker (lúc này trong "vai" vị Phó chủ tịch kia) thực hiện 1 loạt các giao dịch trực tuyến với các đối tác nước ngoài. Hàng loạt các yêu cầu chuyển tiền được gửi đi từ Hội sở làm hệ thống giám sát của SCB lúng túng. Tuy nhiên, các giao dịch này rất nhỏ, chỉ 1 vài chục đến gần trăm ngàn đô lại dưới tên Phó chủ tịch HĐQT nên hầu như không ai có thắc mắc hay biện pháp ngăn chặn gì...

... Trở về hiện tại

Now!

Các chuyên gia của Bộ công an (C15), VNCERT, BKIS, VNS,.. đang miệt mài làm việc, tranh thủ từng phút để định danh hacker và lần theo dấu vết số tiền đã chuyển ra nước ngoài. Các khoản thanh toán kia thì gần như tuyệt vọng vì nó đã được chuyển rất lòng vòng qua nhiều ngân hàng và nó quá nhỏ để được các ngân hàng quốc tế lưu tâm.

Các bản ghi trong cơ sở dữ liệu của SCB cho thấy, hacker tiến hành tấn công bằng tài khoản của Phó chủ tịch HĐQT. Dĩ nhiên, dễ dàng chứng minh ông này không phải là người trực tiếp thực hiện vì thời điểm đó ông đang chủ trì một cuộc họp triển khai kế hoạch với sự chứng kiến của hơn 40 người. Tuy nhiên, các dấu vết khác cho thấy, cứ 5 phút địa chỉ IP của hacker lại thay đổi 1 lần!

Rõ ràng hắn đã sử dụng phần mềm thay đổi IP. Với tốc độ nhanh chóng và độ rủi ro thấp như vậy, có thể nói chính xác hắn đã dùng phần mềm Hide IP Platium phiên bản mới nhất. Cảnh sát Việt Nam phối hợp với Interpol nhanh chóng có câu trả lời: Trong 1 tháng qua, chỉ có 2 trường hợp đặt mua Hide IP Platium từ Việt Nam. Đồng thời, 2 IP đã đặt mua phần mềm đó cũng nhanh chóng nằm trên bàn của các điều tra viên đầy kinh nghiệm.

Lần tìm theo địa chỉ IP thứ nhất, rà soát lại bản ghi cấp phát IP từ DHCP server của Viettel, chỉ chưa đầy 1h30' sau cảnh sát đã lần ra 1 cậu sinh viên chuyên ngành CNTT đang học tại TP Hồ Chí Minh. Khám xét khẩn cấp cộng với lấy khẩu cung, cảnh sát kết luận: Sinh viên này chỉ mua phần mềm đó nhằm mục đích học tập và nghiên cứu.

Địa chỉ IP thứ 2 dẫn đến Hà Nội. Tra cứu lịch sử cấp phát IP, địa chỉ đó dẫn đến proxy server VNN-HN01 của VDC, sau đó NAT tiếp qua VNN-HN05, rồi chuyển qua đường GPRS kết nối di động sử dụng 10 line đồng thời, có thiết bị cân bằng tải, của Viettel đặt tại quận Ba Đình. Tiếp tục cô lập 10 SIM di động kia, kích hoạt tính năng định vị, phát hiện chúng cùng nằm ngay gần Trung tâm Hội nghị Quốc Gia. Khi cảnh sát ập đến và khám xét thì phát hiện tại đó chỉ có 10 máy di động rẻ tiền và đúng 1 PC + 1 router không dây băng rộng!

Xung quanh khu vực đó là hàng trăm văn phòng, công sở, khu dân cư. Có thể nói hacker đã rất khôn ngoan và tính toán kỹ càng. Việc đưa thiết bị kia về cơ quan điều tra để tiến hành phân tích và nghiên cứu sẽ tốn rất nhiều thời gian mà kết quả thì gần như vô ích. Hiện tại, hệ thống mạng nội bộ của SCB đã được hạ xuống offline và đang được tiến hành rà soát toàn bộ một cách hết sức kỹ càng.

Theo tin chúng tôi mới nhận được, nhân viên X bị nghi ngờ có tham gia vào quá trình tấn công này. Hiện, cô đang bị tạm giữ để thẩm vấn vì có tin: cô đã đặt 1 vé máy bay đi Hongkong trong khi lịch công tác của cô chỉ đến Hà Nội.
HẾT

_________________
Phận làm trai, gõ phím bình thiên hạ
Thân anh hùng, click chuột định giang san.

http://12a4hv.forumotion.com
Về Đầu Trang Go down
Xem lý lịch thành viên http://www.banletructuyen.com
hoa moc lan
Quan tri phủ
Quan tri phủ
avatar

Tổng số bài gửi : 73
Age : 34
Registration date : 20/10/2007

Thuộc tính
Máu:
1/1  (1/1)
Mana:
1/1  (1/1)
Exp:
1/1  (1/1)

Bài gửiTiêu đề: Re: SacomBank mất 1 triệu đô như thế nào   Mon Dec 31, 2007 8:17 pm

trời! Công nhận hấp dẫn thiệt! Sao Niên biết chuyện này vậy?
Về Đầu Trang Go down
Xem lý lịch thành viên
Dao Co Tu
Thừa tướng
Thừa tướng
avatar

Tổng số bài gửi : 2220
Age : 34
Nghề nghiệp : Java dummy
Registration date : 17/09/2007

Thuộc tính
Máu:
170/200  (170/200)
Mana:
-40/50  (-40/50)
Exp:
29/100  (29/100)

Bài gửiTiêu đề: Re: SacomBank mất 1 triệu đô như thế nào   Tue Jan 01, 2008 1:07 am

trời, chuyện này ầm ầm trên NET lâu ùi thím Hai, tại thím Hai ít dạo Blog thui. Còn đoạn kết nữa kìa, ko biết có thật hay ko hay do tụi nó xào nấu thêm vô. Đại ý nói rằng đây là 1 cốt truyện mà hãng phim Phước Sang đã đặt để làm phim trong 1 tương lai gần. Theo tui cốt truyện vầy thì cũng được, vấn đề là thêm mắm muối sao cho vừa với khẩu vị người xem, ngon thì ko dám chắc vì thế loại phim như vầy thì ko biết có được đánh giá cao hay ko.

_________________
Lãng tử đào hoa Đào Hoa Tử
Kiếm khách phong trần Phong Trần Khách

Blog nhà văn Nam Cao
http://12a4hv.forumotion.com
Về Đầu Trang Go down
Xem lý lịch thành viên
quanglong
Thái sư
Thái sư
avatar

Tổng số bài gửi : 1130
Age : 34
Nơi sống : HCM city
Nghề nghiệp : Civil Engineer
Registration date : 01/10/2007

Thuộc tính
Máu:
10/80  (10/80)
Mana:
110/200  (110/200)
Exp:
17/100  (17/100)

Bài gửiTiêu đề: Re: SacomBank mất 1 triệu đô như thế nào   Sun Feb 17, 2008 12:42 am

CÁI NÀY HÌNH NHƯ TRÊN BÁO CHÍ CÓ ĐĂNG NHIỀU LẮM. NÓI CHUNG TAO TIN THẰNG BIDV HƠN THẰNG SACCOMBANK
Về Đầu Trang Go down
Xem lý lịch thành viên
Dao Co Tu
Thừa tướng
Thừa tướng
avatar

Tổng số bài gửi : 2220
Age : 34
Nghề nghiệp : Java dummy
Registration date : 17/09/2007

Thuộc tính
Máu:
170/200  (170/200)
Mana:
-40/50  (-40/50)
Exp:
29/100  (29/100)

Bài gửiTiêu đề: Re: SacomBank mất 1 triệu đô như thế nào   Mon Feb 18, 2008 12:31 am

lựu đạn cái thằng mọi rợ này angry mày có đọc kỹ bài tao post chưa mà quăng bom um sùm vậy, tao chém mài chắc cũng phải 99 nhát gòi đó con

_________________
Lãng tử đào hoa Đào Hoa Tử
Kiếm khách phong trần Phong Trần Khách

Blog nhà văn Nam Cao
http://12a4hv.forumotion.com
Về Đầu Trang Go down
Xem lý lịch thành viên
Sponsored content




Bài gửiTiêu đề: Re: SacomBank mất 1 triệu đô như thế nào   

Về Đầu Trang Go down
 
SacomBank mất 1 triệu đô như thế nào
Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang 
Trang 1 trong tổng số 1 trang
 Similar topics
-
» Tính thủy triều theo lịch thủy triều Anh
» Bài toán tính thủy triều theo Lịch thủy triều Anh (excel)
» Phần mềm tính thủy triều đơn jan ko cần bảng thủy triều
» Admiralty Easy Tide - trang web giúp dự báo thủy triều trực tuyến
» Ai biết nguyên lý tính thủy triều theo phương pháp harmonic chia sẻ với mình với

Permissions in this forum:Bạn không có quyền trả lời bài viết
Forum lop 12a4 :: Trò chuyện - Tâm sự :: Nói chuyện linh tinh-
Chuyển đến