Hướng dẫn thống kê, tìm kiếm lỗ hổng website qua công cụ search Google
Thời gian gần đây, hàng trăm website của các cá nhân, doanh nghiệp, thậm chí là tổ chức giáo dục, cơ quan của chính phủ của Việt Nam đã bị tin tặc Trung Quốc tấn công. Điều này đã gây hoang mang trong cộng đồng mạng, không ít người cho rằng đây chính là sự khởi đầu cho một cuộc chiến tranh mạng với quy mô lớn. Vậy thực hư của vấn đề này ra sao, liệu đây đã đủ căn cứ để xác định nguy cơ chiến tranh mạng hay chưa?
Những ngày đầu tháng 5 năm 2014 cùng với việc giàn khoan dầu khí Hải Dương(HD 981) của khai thác trái phép biển Đông của Việt Nam thì hơn 220 website của Việt Nam cũng bị tin tặc Trung Quốc đánh sập. Chúng ta có thể thấy rõ hai vấn đề đáng chú ý ở đây:
Thứ nhất: các website kể trên điều có chung một hình thức tấn công khi tin tặc tiến hành upload một file dạng index.php hoặc index.html lên webserver.
Thứ hai: đứng đằng sau thực hiện các cuộc tấn công mạng này chính là nhóm hacker 1937cn của Trung Quốc.
Qua xác minh thông tin cũng như kiểm thử lỗ hổng trên các website trên các chuyên gia an ninh mạng của Bkav đã đưa tới một số kết luân như sau: Lỗ hổng mà các website trên bị tấn công phần lớn đều thông qua WebDav và Fckeditor. Đây là hai công cụ được các quản trị web thường sử dụng để tương tác với các tài nguyên trên webserver. Và chúng tồn tại lỗ hổng cho phép upload một tài nguyên trực tiếp từ bất kỳ phía client nào, không qua xác thực lên webserver.
Một câu hỏi được đặt ra ở đây đó là bằng cách nào hacker lại có thể tìm được chính xác các website có chứa lỗ hổng để tấn công. Câu trả lời đến từ một công cụ search khá thông dụng đối với chúng ta đó là Google.
Google dork là một thuật ngữ khá quen thuộc đối với cả các WhiteHat cũng như BlackHat, nó giống như một luật tìm kiếm các website có cùng một đặc điểm chung nào đó thông qua các toán tử tìm kiếm của Google. Ở đây tôi xin đưa ra một ví dụ cụ thể với trường hợp tìm kiếm Fckeditor được sử dụng trên các website của Việt Nam.
Đầu tiên ta cần phải biết rằng lỗ hổng cho phép upload file của Fckeditor tới từ hai file với đường dẫn như sau :
Công việc này vô cùng đơn gian khi bạn chỉ cần dùng một Google-dork đơn giản như sau :
Kết quả search trả về chính là hang loạt website có tồn tại đường dẫn như trên. Việc thứ hai là chúng ta cần lọc ra xem những website đến từ Việt Nam. Bạn chỉ cần kết hợp thêm một Dork đơn gian nữa đó là :
Với các thức tương tự như trên nhóm hacker 1937cn của Trung Quốc đã tiến hành lọc ra được danh sách các website của Việt Nam có tồn tại lỗ hổng.
Với những thông tin phân tích trên ta có thể nhận thấy:
Các website của Việt Nam bị tấn công đa phần là những website nhỏ lẻ, thậm chí không được bao trì và cập nhật thường xuyên các bản vá lỗ hổng cho hệ thống website.
Chủ trì việc tấn công chỉ là một nhóm hacker tuy là một trong những nhóm hacker lớn của Trung Quốc nhưng chỉ với quy mô nhỏ và cường độ ít do đó chưa thể kết luận đây là một cuộc chiến tranh mạng
Những ngày đầu tháng 5 năm 2014 cùng với việc giàn khoan dầu khí Hải Dương(HD 981) của khai thác trái phép biển Đông của Việt Nam thì hơn 220 website của Việt Nam cũng bị tin tặc Trung Quốc đánh sập. Chúng ta có thể thấy rõ hai vấn đề đáng chú ý ở đây:
Thứ nhất: các website kể trên điều có chung một hình thức tấn công khi tin tặc tiến hành upload một file dạng index.php hoặc index.html lên webserver.
Thứ hai: đứng đằng sau thực hiện các cuộc tấn công mạng này chính là nhóm hacker 1937cn của Trung Quốc.
Qua xác minh thông tin cũng như kiểm thử lỗ hổng trên các website trên các chuyên gia an ninh mạng của Bkav đã đưa tới một số kết luân như sau: Lỗ hổng mà các website trên bị tấn công phần lớn đều thông qua WebDav và Fckeditor. Đây là hai công cụ được các quản trị web thường sử dụng để tương tác với các tài nguyên trên webserver. Và chúng tồn tại lỗ hổng cho phép upload một tài nguyên trực tiếp từ bất kỳ phía client nào, không qua xác thực lên webserver.
Một câu hỏi được đặt ra ở đây đó là bằng cách nào hacker lại có thể tìm được chính xác các website có chứa lỗ hổng để tấn công. Câu trả lời đến từ một công cụ search khá thông dụng đối với chúng ta đó là Google.
Google dork là một thuật ngữ khá quen thuộc đối với cả các WhiteHat cũng như BlackHat, nó giống như một luật tìm kiếm các website có cùng một đặc điểm chung nào đó thông qua các toán tử tìm kiếm của Google. Ở đây tôi xin đưa ra một ví dụ cụ thể với trường hợp tìm kiếm Fckeditor được sử dụng trên các website của Việt Nam.
Đầu tiên ta cần phải biết rằng lỗ hổng cho phép upload file của Fckeditor tới từ hai file với đường dẫn như sau :
/fckeditor/editor/filemanager/connectors/uploadtest.html
/fckeditor/editor/filemanager/connectors/test.html
Do vậy công việc đầu tiên bạn cần phải thống tìm những website mà có chứa đường dẫn như trên.Công việc này vô cùng đơn gian khi bạn chỉ cần dùng một Google-dork đơn giản như sau :
inurl : /fckeditor/editor/filemanager/connectors/uploadtest.html
Kết quả search trả về chính là hang loạt website có tồn tại đường dẫn như trên. Việc thứ hai là chúng ta cần lọc ra xem những website đến từ Việt Nam. Bạn chỉ cần kết hợp thêm một Dork đơn gian nữa đó là :
site:.vn
Khi kết hợp hai Dork này với nhau chúng ta sẽ có một tập hợp kết quả search đầy đủ những website của Việt Nam và có tồn tại đường dẫn tới Fckeditor như trên :inurl : /fckeditor/editor/filemanager/connectors/uploadtest.html + site:.vn
Với các thức tương tự như trên nhóm hacker 1937cn của Trung Quốc đã tiến hành lọc ra được danh sách các website của Việt Nam có tồn tại lỗ hổng.
Với những thông tin phân tích trên ta có thể nhận thấy:
Các website của Việt Nam bị tấn công đa phần là những website nhỏ lẻ, thậm chí không được bao trì và cập nhật thường xuyên các bản vá lỗ hổng cho hệ thống website.
Chủ trì việc tấn công chỉ là một nhóm hacker tuy là một trong những nhóm hacker lớn của Trung Quốc nhưng chỉ với quy mô nhỏ và cường độ ít do đó chưa thể kết luận đây là một cuộc chiến tranh mạng