Thủ phạm hack website Bộ GĐ-ĐT là học sinh cấp 3

Tôi có cảm giác....hụt hẫng khi đọc bài của Bộ trưởng đến chi tiết thời gian em Trí hack trang MOET. Ông đã dẫn dắt lại bối cảnh ra đời "nỗi đau" của mình theo dòng các sự kiện và cho thấy "nỗi đau" đó gắn chặt với cảm xúc ngày 20-11... Chuyện nữa, lời khuyên dành cho báo chí "báo chí nên dành nhiều quan tâm cho tổn thất này hơn là đã dành cho sự kiện website của Bộ Giáo dục - Đào tạo bị tấn công vào ngày 20-11" lẽ ra không nên có, vì mấy lẽ: 1 - Ban đầu, chuyện hack trang MOET cũng chỉ là một tin nhỏ trong hàng nghìn tin thời sự trên các báo nhưng do cách xử lý không tốt (thiếu thông tin từ ban quản trị MOET, bài trả lời PV của ông Ngọc,...) nên mới to chuyện ra; 2 - Các báo cũng không phải không quan tâm nhiều đến thiệt hại của đồng bào do bão gây ra (thông tin, quyên góp,...); 3 - Chuyện bảo mật, chuyện hack trang web là một vấn đề mới mẻ đối với xã hội thời CN thông tin (khía cạnh trách nhiệm, kỹ thuật, pháp lý...), sự quan tâm của dư luận đông đảo là đương nhiên, nếu không nói sự quan tâm này sẽ đem lại một số bài học nhất định...
Dù quý trọng Bộ trưởng nhưng tôi cho rằng ông đã hơi thiếu suy nghĩ trong viêc viết và gửi đăng lá thư này.
donhat

Tuổi Trẻ Online
​

bác sam thua e, rùi nhé ổng sorry rùi kìa ,coi như em đoán đúng rùi nha,bác thua em rùi fạt bác clcik 1 cái thanks,theo lluật ăn nhậu thì fạt bác 3 ly,em mà về việt nam được thế nào cũng phải nhậu với hộian 1 bữa thui,và fạt bác 3 ly

xin lỗi ở đây là do dư luận thui , có nhìu người pót trên tuoitre đòi phải cách trức ổng nên ổng phải sorry thui , chớ ko thì đừng có mơ nhé CON người đó ko còn j để nói rùi
tui mà gặp mặt là binh vô mặt ổng liền thấy ghét

Ông Quách Tuấn Ngọc này hồi trước còn là kỹ sư viết cuốn lập trình pascal rất ư là lịch sự và có học , sao bây giờ ăn nói như dân vô học thế này , uổng công tui hồi trước coi là thầy , thảo nào trên báo Tuổi trẻ có đăng ý kiến của 1 độc giả yêu cầu cách chức "khứa" này đi , hay là lên chức cao nên rơi rớt mất hết nên mới thành vô học thế này.

Vấn đề việc xâm nhập đã rõ: Trí lỗi vì xâm nhập bất hợp pháp vào web của bộ GD-ĐT.
Vấn đề phát ngôn của Quách Tuấn Ngọc: đã công khai xin lỗi gia đình Trí trên báo chí. Dù có như lời zazaza nói thì dầu sao, CÓ vẫn hơn là KHÔNG. :hug:
Vấn đề cuối cùng để anh em quan tâm đó là AN NINH MẠNG. Anh em IT đừng học theo cách là ... RÚT DÂY ĐIỆN cho an toàn nha, bẩn không thể thường tượng
Vẫn còn những CON người đang làm việc trong Bộ đấy các bạn. Chuyện không dễ kết thúc như vậy đâu.
------------------------------------------------
Báo cáo tổng hợp các lần xâm nhập trái phép website của Bộ GD&ĐT của học sinh Bùi Minh Trí
Chử Trần Kiên
ctkien@moet.edu.vn
Chuyên viên admin của website www.moet.gov.vn
(Báo cáo cập nhật ngày 27/12/2006)

Trước một số thông tin trên báo, theo chúng tôi là chưa đúng và có phần sai lệch sự thật về việc xâm nhập trái phép và có hành vi phá hoại nghiêm trọng website www.moet.gov.vn của học sinh Bùi Minh Trí. Là người quản trị website này, tôi thấy cần phải góp tiếng nói của mình để công luận rõ hơn về sự việc này.

Vào tháng 7/2006, chúng tôi phát hiện ra một account lạ có tên là Guanyu trên hệ thống máy chủ của website www.moet.gov.vn. Đây là thời điểm hệ thống máy chủ bị hở do cơ quan chuyển giao người quản trị website. Máy chủ này chỉ dùng cho nhóm phát triển.

=> Như vậy, máy chủ đã bị "hở" trong giai đoạn chuyển đổi admin, mình đang thắc mắc "hở" ở đây nghĩa là gì? Ngoài ra, máy chủ dùng cho nhóm phát triển thì nó không nên public, nếu đã public thì phải lockdown security lại, điều này bất kỳ 1 admin nào cũng phải biết!

Sau khi phát hiện ra dấu hiệu bất thường và qua kiểm tra cho thấy hệ thống bị thay đổi và đã bị bổ sung một account đủ quyền hệ thống có tên là Guanyu, để lại backdoor (một dạng virus) để dễ bề xâm nhập về sau.
=> Chỗ này cho thấy chú Trí đã có quyền system TRƯỚC KHI MÁY CHỦ CHUYỂN LẠI CHO ADMIN MỚI, bà con chú ý điểm này nhá

Để xử lý tình huống này, từ tháng 7 đến tháng 11/2006, chúng tôi đã tiến hành việc quét lại mã nguồn của tất cả các website con trên máy chủ, đồng thời cũng đã thiết lập thêm một tầng đệm giữa máy chủ với internet, trên máy chủ phát hiện có hai phiên bản EXE của Hacktool.Cat32 do Trí để lại.
=>Theo như trên thì admin đã biết lỗi nó là gì và đã mất 04 tháng để fix lỗi! Ấy thế mà vào ngày 27/11 lại có kẻ vào tiếp được => Vậy 04 tháng fix lỗi đó admin đã làm được những gì? Bà con cũng chú ý điểm này nhá

Về hệ thống máy chủ, do một số yếu tố phụ thuộc vào kế hoạch duy tu và thay thế phần cứng nên các lỗi thuộc về hệ thống trên máy chủ đã không thể khắc phục triệt để ngay được. Đây là trách nhiệm và lỗi của chúng tôi, đội ngũ quản trị máy chủ. Hiện nay cơ quan chúng tôi đang trong quá trình lắp và gài đặt hệ thống máy chủ mới.
=> Như vậy là không ổn: máy chủ này được đặt ngay TT Bộ GDDT, không phải để ở VDC, tức bản thân admin nếu cần thì đều có thể login trực tiếp vào làm việc (logon locally) không phải qua remote. 1 cái lỗi server mà mất 04 tháng để fix trong khi server nó nằm ngay trước mũi mình! Ấy thế mà cũng không xong.

Trong suốt thời gian từ tháng 7 đến ngày 27/11/2006, ngày xảy ra sự việc thay đổi nội dung ảnh của Bộ trưởng Bộ GD&ĐT, tôi không hề nhận được sự liên hệ, trao đổi nào của Trí. Điều này, bằng biện pháp kỹ thuật, chúng ta hoàn toàn có thể kiểm tra lại qua hệ thống điện thoại, e mail.
=> Càng chứng tỏ chú Trí là một bác hacker hơi bị nhân đạo vì chẳng làm gì cả trong 04 tháng đó mặc dù đã có thể tạo tài khoản với quyền system!

Ngày Trí bị phát giác qua nick quan_vu_XXX cùng toàn bộ thông tin cá nhân và bị các cơ quan chức năng điều tra, Trí đã có hành động "đổi mũ" (biến mình từ hacker phá hoại thành hacker mũ trắng). Sau này, khi đã bị phát giác, Trí đã thừa nhận toàn bộ quá trình vi phạm của mình. Trí thú nhận rằng lần đột nhập cuối hoàn toàn bắt đầu từ việc khai thác lại thông tin người dùng mà Trí đã trộm được từ website. Trí đã dùng thông tin này để lấy ra mật khẩu người dùng của cán bộ trong Bộ GD&ĐT để có quyền tải lên mạng (upload) và đã dùng cách này để tải phần mềm đột nhập lên máy chủ của Bộ GD&ĐT. Đây là một hành vi phá hoại có chủ ý.

Vào cuối tháng 11/2006, Trí tiếp tục có hành vi xâm nhập website, bổ sung account hệ thống và ngày 27/11/2006 đã thay hình ảnh Bộ trưởng Bộ GD&ĐT tại Lễ chúc mừng ngày Nhà giáo Việt Nam bằng hình ảnh một cậu bé cởi trần.
=> Cái này càng chứng tỏ rằng 04 tháng fix lỗi của admin là vô dụng (hay nói khác đi là chẳng làm gì cả!)

Hình ảnh này tồn tại trên website hàng tiếng đồng hồ (từ khoảng 10h sáng theo nhật ký ghi nhận thời điểm tao account Guanyu tới gần 2h chiều). Hoàn toàn không phải chỉ có 5 phút rồi Trí tự động tháo xuống như Trí đã nói trên báo chí. Vào thời gian này (đầu giờ chiều ngày 27/11), chúng tôi nhận được nhiều điện thoại của các phóng viên thông báo cho chúng tôi biết về sự việc trên. Đây cũng là bằng chứng cho thấy Trí đã nói không đúng sự thật.
=> Theo trên báo thì 2 giờ chiều website bị hack, theo admin thì là 10 giờ sáng! Vậy nếu đúng như admin đi thì từ 10 giờ sáng đến 2 giờ chiều TẤT CẢ MỌI NGƯỜI TRONG TT CHẲNG AI BIẾT GÌ CẢ, cứ để vậy cho đến khi các phóng viên điện thoại!!! Như vậy theo admin thì không lẽ bên đó vô trách nhiệm đến mức không hề hay biết gì cả từ 10 sáng đến 2 giờ chiều???


Ngoài ra, chúng tôi cho rằng Trí hoàn toàn không có thiện ý đối với hệ thống bởi các thông tin để lại là những hình đầu lâu, hình tượng kỳ quái, không có dấu hiệu nào giúp chúng tôi liên hệ với Trí. Trong khi thông tin liên hệ để báo lỗi cho người quản lý có sẵn trên tất cả các trang web của Bộ.
=> Anh đã có 04 tháng để fix lỗi! CHÚ TRÍ ĐÃ CÓ QUYỀN SYSTEM TRƯỚC KHI MÁY CHỦ CHUYỂN GIAO, thì chú ấy có thể drop server bất kỳ lúc nào! Ấy thế nhưng server nó vẫn "sống" đến 04 tháng!

Sau khi bị phát hiện và ngăn chặn, do sợ bị truy tìm, Trí đã xoá thư mục chứa tệp ảnh mà Trí đã dùng, đồng thời xoá luôn rất nhiều văn bản pháp qui dạng PDF đang được lưu ở thư mục đó. Cho đến nay, chúng tôi vẫn chưa phục hồi hết, còn rất nhiều văn bản có đường dẫn chết (died-link) tới các tệp toàn văn. Các thông tin nhật ký hệ thống, mẫu virus đã được kịp thời gửi cho Trung tâm An ninh Mạng – Bkis.
=> Chỗ này quả thực mình NO HIU: nếu admin đã phát hiện và "ngăn chặn" được Trí, thế tại sao lại có vụ Trí xóa file trên đó được? Ngăn chặn ở đây là ngăn chặn gì thế?

Đến 7h tối cùng ngày Trí tiếp tục đột nhập. Do cảnh giác cao độ nên cán bộ kỹ thuật - admin đã ngăn chặn được. Trí đã dành giật với admin từng account để vào website. Hành vi tấn công trực diện này chỉ dừng lại khi admin tắt dịch vụ đăng nhập để đóng website tạm dừng qua đêm.
=>Tức là admin đã phải sử dụng đến giải pháp hạ sách là đóng website tạm dừng qua đêm, bởi vì ngoài ra thì cả đội ngũ quản trị chẳng thể nào chống lại được chú Trí! Và đây được coi là đã "bảo vệ được website" => no hiu!

Đến 10h trưa ngày hôm sau (28/11), Trí tiếp tục đột nhập và thay trang index bằng một trang đen với nội dung hết sức thách thức là "Cứ bắt tôi nếu anh có thể" (Cach me if you can). Trước các hành vi phá hoại thách thức của Trí, các cán bộ kỹ thuật của Trung tâm Tin học đã một mặt tìm lỗi của hệ thống, một mặt đã tự truy tìm Trí trên mạng. Lúc này cán bộ của Trung tâm an ninh mạng - BKIS cũng được thông báo để cùng theo dõi.
Chúng tôi cho rằng việc làm này của Trí là vi phạm nghiêm trọng luật pháp Nhà nước, là hành vi không thể chấp nhận được.

Sau ngày Trí bị phát giác, trong những dịp trao đổi với Trí (qua chat) chúng tôi luôn khuyên răn Trí từ góc độ những người đi trước, cảm thông nhưng cũng tỏ ra cứng rắn để Trí thực sự thấy được lỗi lầm của mình để sửa chữa. Cách mà chúng tôi trao đổi với Trí hoàn toàn không có nghĩa là ‘nhờ’ hay ‘hỗ trợ’, chúng tôi có chủ định giữ lại log của các lần chat với Trí, câu từ liên quan vẫn chỉ là ‘cứ hack nếu site bị thì thông báo cho anh’, ‘tuyệt nhiên không phổ biến cho người khác’. Tuy nhiên, qua theo dõi các nguồn tin, các diễn đàn thì thấy Trí chưa hiểu sự nghiêm trọng của vấn đề, chưa biết ăn năn, hối lỗi.
=> Anh đã không sửa được lỗi của chú Trí, mà vẫn sĩ diện thế!

Là những người có trách nhiệm về kỹ thuật của website Bộ, sau khi có những diễn biến trên, ảnh hưởng không tốt đến ngành, chúng tôi đã có những biện pháp và đã có hiệu quả nhất định.Cụ thể là đã bảo vệ được website và phát hiện ra Trí, trước khi các cơ quan hữu quan vào cuộc. Rất đáng tiếc là em Trí đã có những biện bạch quanh co sau đó.
=> Anh đã "bảo vệ được website" bằng cách đóng website! Cách này là cực kỳ xiềng, khâm phục khâm phục!

Sau bài viết đầu tiên xuất hiện trên báo, Trí đã liên hệ với tôi và Trí ngại ngùng thanh minh rằng họ nói sai nhiều quá. Thời gian đầu, sau ngày 27/11 xảy ra sự việc, Trí còn chủ động thông báo cho tôi các sự việc diễn ra. Khi đó tôi cũng đã định nói với Trí là nguy cơ các lỗi (bug) đối với biến SCRIPT là không có. Bởi trước khi dùng đã có mã kiểm tra. Những ngày này, Trí đã không tự tin để chat với tôi nữa.
Các thủ thuật, hack tool và script mà Trí dùng đều là những thứ có sẵn trên Internet. Những ai có kiến thức và có ý định xấu thì có thể khai thác sử dụng vào mục đích của mình.
=> Theo admin thì đó đều là những công cụ rất phổ biến trên internet, vậy chú Trí chẳng có gì gọi là tài năng cả, hỉ? Ấy thế mà đội ngũ admin lại mất những 04 tháng mà không làm được gì cả mặc dù đã biết đó chỉ là "những thứ có sẵn trên Internet"!

Ặc, sao năm nay được nghe nhìu lần cái thành ngữ:"Kiểm điểm nghiêm khắc-Rút kinh nghiệm" của mấy Mr.TO thế không bít, động 1 cái là kiểm điểm nghiêm khắc, động 1 cái lại rút kinh nghiệm.Ặc, ĐỂ LÀM GÌ?????????Chẳng nhẽ mấy MR.Tiến sĩ-Giáo sư đó không thể kím ra 1 cái hình thức kỷ luật nào khác nữa à?????Nghe mà ngứa hết cả mấy cái lỗ trên người!!!BÙN THAY

luẩn quẩn luẩn quẩn quá đi mất.........
Nói chung sau vấn đề này ku Trí sẽ dc các giám đốc an ninh mạng quan tâm chăm sóc đặc biệt....hy vọng các anh sẽ giúp nó thành tài và góp ích cho xã hội,đặc biệt là trong lãnh vực an ninh mạng.Mình tin là nó sẽ thành tài.

Còn về mặt anh isman..góp ý 1 chút với anh là qua cách nói chuyện của anh thì em công nhận anh thuộc tuýp người sống khép kín.bảo thủ quá,đa nghi quá....sống mà cứ nghi ngờ người khác là ko tốt đâu anh à...
vài lời góp ý nếu có gì sai sót mong anh bỏ qua ch o

Đến tận thời điểm này, ông vẫn còn cảm thấy bất ngờ khi trang website này bị hack, mà lại do một học sinh thực hiện trong những ngày kỷ niệm Ngày Nhà giáo Việt Nam 20/11.

Cái ông này có vẻ khoái ngày Nhà giáo Việt Nam hay lợi dụng Ngày Nhà Giáo VN không biết nữa khi đến tận ngày 27/11 vẫn được coi là trong những ngày kỷ niệm Ngày Nhà Giáo Việt Nam. Xin lỗi chứ thật xấu hổ khi Ngành GD Việt Nam có những Ông Thầy như vậy.

trích: zazaza

:hug:
anh giai ơi cho em gửi 1 cú nữa nha chọn con mắt phải dùm em nha càng đen càng tốt

Hacker thì mãi vẫn là hacker,nói chung cũng cần có hình phạt cho tội của Trí.Tôi thấy ngại vì trang Web của bộ mà lại có thách thức Cach me if you can vì nó là bộ mặt của ngành giáo dục nước ta.
http://diendan.edu.net.vn/forums/thread/311652.aspx