2012/10/10

Liệu đường dây của QLB có bị an ninh phanh phui ra sau khi quanlambao.vn@gmail.com bị cướp lấy?


Ban Biên Tập No Firewall 
2012/10/10
Thông báo của trang Quan Làm Báo 
Ngày thứ Ba, 9 tháng 10, trang blog Quan Làm Báo (QLB) cho biết là trang blog của họ bị hack trong khoảng 12 tiếng đồng hồ, nhưng đã chạy lại bình thường. Mới đây QLB cho biết địa chỉ liên lạc chính của QLB là quanlambao.vn@gmail.com đã bị cướp mất. Tuy sự việc blog tạm ổn nhưng với sự việc email quanlambao.vn@gmail.com bị tin tặc chiếm lấy là một thất thoát lớn cho QLB. Từ email này công an CSVN có thể lấy dữ kiện như email liên lạc khác, các IP từng vào đọc email, google chat, v.v.... để phanh phui ra đường dây của QLB.  Chúng ta chờ xem diễn tiến sắp tới là gì.

Blog No Firewall có trao đổi với anh Châu Nguyên An, một chuyên viên về an ninh vi tính, về hư thật của vụ trang QLB bị hack.

NFW: Anh có theo dõi vụ blog QLB bị hack vừa qua và anh nghĩ là họ có thật sự bị hack không?

CNA: Tôi không phải là độc giả thường xuyên của blog QLB. Thỉnh thoảng thì có vào đọc một số tin tức. Gần đầy thì blog QLB được biết đến nhiều nên tôi cũng có ghé xem nhiều hơn. Lúc mà bà con trên mạng xôn xao là blog QLB bị đánh xập thì tôi cũng tò mò vào xem. Và tôi ngạc nhiên là trang blog còn nguyên đó.

NFW: Anh không bị dẫn qua bên trang quanlambao.info?

CNA: Không. Sau đó tôi mới biết lý do là vì trình duyệt của tôi có gắn plug-in NoScript thành ra nó chận lại hết tất cả các đoạn mã (script) trong trang QLB. Từ đo tôi suy ra là trang blog QLB bị cài cắm một đoạn mã nào đó mà nó dẫn người xem đi qua trang quanlambao.info. Tôi tìm hiểu thêm thì thấy thủ phạm là đoạn mã từ trang weekstats.com cài trong blog QLB. Nếu tôi ra lệnh cho NoScript cho phép đoạn mã từ weekstats.com chạy thì nó sẽ dẫn tôi qua trang quanlambao.info.

NFW: Trang www.weekstats.com của ai và để làm gì ?

CNA: Thoạt đầu tôi nghĩ đó là một widget server chứa những đoạn mã để làm thống kê. Các trang blog như Wordpress, Blogspot có rất nhiều 3rd-party widget/script để gia tăng thêm chức năng cho trang blog. Việc một trang blog có dùng các widget/script phụ trội khác là chuyện rất bình thường. Thành ra tôi nghĩ là tin tặc hack không được vào blogspot server của Google thì họ hack vào các trang phụ trội này để rồi từ đó lèo lái người xem đi qua chỗ khác.

NFW: Tức là trang blog QLB không thật sự bị hack ?

CNA: Lúc đầu thì tôi nghĩ vậy. Rồi sau đó trang blog QLB trở lại với độc giả ít lâu sau đó. Thành ra tôi cũng không lưu tâm đến chuyện này nữa. Nhưng sau đó tôi lại tìm thấy một số điều không ổn ... làm cho tôi thay đổi suy nghĩ.

NFW: Anh tìm ra những điều gì không ổn ?

CNA: Điểm thứ nhất là tôi xem lại cái trang www.weekstats.com. Trước đó nhìn cái tên thì tôi nghĩ đây chỉ là một trang chủ chứa các đoạn mã làm thống kê, nhưng khi tôi đi tìm thông tin về trang này thì thấy rất là khả nghi. Tên miền chỉ mới đăng ký hồi cuối tháng 7 năm nay. Chi tiết tên miền được dấu kín (whois-proof). Tôi nghi đây là trang do tin tặc dựng lên. Và nếu đây là trang do tin tặc dựng lên thì họ phải tìm cách xâm nhập vào blog QLB để cài cắm đoạn mã chuyển qua bên quanlambao.info. Tôi không nghĩ là tin tặc hack nỗi vào blogspot server của Google do đó họ phải hack vào tài khoản gmail của trang QLB vì các trang blogspot phải cần có tài khoảng gmail để login vào.

Điểm thứ nhì là khi trang QLB quay trở lại thì họ có nhìn nhận là trang blog bị xâm nhập trong khoảng gần 12 tiếng đồng hồ. Nếu họ không bị hack vào thì không có lý do gì phải thú nhận là bị hack.

Điểm thứ ba là trong phần THÔNG BÁO KHẨN của trang QLB có một thông báo như sau:

Địa chỉ quanlambao.vn@gmail.com đã bị Hacker giả mạo làm chủ chiếm giữ, do vậy mong các bạn có bài vở xin gởi về Email: vualambao@gmail.com! 

Địa chỉ quanlambao.vn@gmail.com là địa chỉ liên lạc chính của trang QLB. Với những điểm trên tôi nghĩ là trang QLB có bị hack thật.

NFW: Tức là trang blog QLB có bị hack trong vòng 12 tiếng như họ đưa tin. Rồi làm sao họ phục hồi lại được, trong khi đó trang blog Phạm Viết Đào tình nghi là cũng bị tin tặc xâm chiếm ?

CNA: Các tài khoản online như Gmail, Yahoo, Blog, v.v.... thường có những cách để giúp người chủ nhân tài khoản phục hồi lại được thí dụ như trả lời cho đúng câu hỏi bí mật (secret questions) đã soạn trước đó, hoặc giả gửi mật khẩu mới về địa chỉ email thứ nhì, hoặc gửi mã số về số điện thoại di động của mình, v.v... Rồi sau đó vào lại để phục hồi. Tôi thật sự không biết QLB có những động thái gì để lấy lại trang blog trong khi đó blogger Phạm Viết Đào thì không làm được.  Có khi chỉ là nhanh tay lẹ chân để phục hồi một khi phát hiện ra bị xâm nhập. Tuy nhiên email liên lạc quanlambao.vn@gmail.com đã bị tin tặc lấy mất. Đó là thất thoát của phía Quan Làm Báo.

NFW: Tại sao hai trang blog Quan Làm Báo và Phạm Viết Đào bị tấn công cùng lúc mà trang blog Phạm Viết Đào bị đóng cửa còn trang Quan Làm Báo lại được tin tặc sử dụng để chuyển hướng sang quanlambao.info ?

CNA: Trang blog Phạm Viết Đào gây khó chịu cho nhà nước. Khóa cửa trang blog đó lại thì không ai còn đọc được. Còn trang blog QLB là trang gây khó chịu nhiều hơn cho nhóm Nguyễn Tấn Dũng và lại có rất nhiều độc giả. Tôi nghĩ là có lượng độc giả người Việt nhiều nhất gần đây.  Thay vì khóa trang QLB lại thì dùng nó để chuyển số lượng độc giả này qua bên trang quanlambao.info

NFW: Blog Quan Làm Báo bị mất email liên lạc quanlambao.vn@gmail.com có gây thiệt hại gì không?

CNA: Có thể có. Trong tài khoản email đó có nhiều thứ để tin tặc nhà nước khai thác. Từ các email liên lạc gửi đến hoặc gửi ra cho đến các địa chỉ IP truy cập vào tài khoản đó. Đáng lẽ ra trang QLB phải thông báo ngay trang chủ về vụ email bị đánh cắp để những ai đang liên lạc với họ biết đường mà phòng thủ. Ngừng liên lạc với địa chỉ email đó. Cho một số trường hợp tế nhị phải bỏ các email đã từng liên lạc với QLB và không dùng nữa.

NFW: Cám ơn anh Châu Nguyên An rất nhiều đã chia sẽ với blog NoFireWall và độc giả về vụ việc này.

6 comments:

  1. Kính chào BBT No Firewall và các bạn,
    Tôi mới tìm ra "nhà" này, quả thực có nhiều điều hay, bổ ích cần thiết cho anh em góp phần trong công cuộc đấu tranh dẹp bỏ Việt cộng- mà phần lớn họ ít được trang bị các kiến thức IT security tối yếu để an toàn cho mình và bạn hữu.
    Tuy nhiên, qua vụ QLB (được cho là "bị hack"), các dẫn giải của BBT No Firewall và ngay cả trong bài này (p/v anh Châu Nguyên An), tôi thấy có nhiều lý giải còn sót và rất không hợp lý, cụ thể như sau:

    Không hợp lý

    1/ Về mặt Kỹ Thuật: Ai cũng biết để làm chủ 1 Blog(spot) thì phải có 1 Gmail Account. Mất Gmail Account là mất luôn Blogspot, không thể có chuyện "phục hồi" hay "đã chạy trở lại". Vậy chiếm 1 Blogspot nghĩa là chiếm Gmail Account. Chiếm Gmail Account nghĩa là phải change password tức khắc.
    Vậy nếu "ai đó" có thực, với cả ý định thực "tấn công" QLB Blog thì dĩ nhiên họ phải chiếm cho được Gmail Account của QLB dùng để quản trị Blog này (bằng nhiều cách hoặc online -nhử mồi bằng Troijan, keylogger v.v...hoặc offline- lân la dọ thám 1 hoặc nhiều các đồng chủ nhân của Gmail Account của QLB để đoạt cho được password). Ngay khi lấy được password, chắc chắn rằng việc đầu tiên là họ vào thay đổi ngay password rồi về sau mới ung dung tiến hành các việc “dọn dẹp” khác như chỉnh sửa những Setting general, disable các Authority được ủy quyền post bài (tôi được biết CXN là 1 “user được mời” như vậy, đăng bài vào mục Kinh Tế với 1 bút danh khác, và rồi CXN Blog -ở wordpress- cũng bị đoạt luôn, giao diện chính của CXN Blog cũng bị đăng cùng 1 nội dung về bà Yến như bên QLB Blogspot), rồi mới back up hoặc xóa bài, rồi lọ mọ vào các Inbox mail, các Contact để lần mò ra mối quan hệ giữa QLB với những ai v.v…Sau đó mới đăng bài (bài bôi nhọ bà ĐTH Yến).
    Tức là họ chỉ cần chừng 5, 10 phút mau lẹ nhẹ nhàng để thao tác y hệt chủ nhân thực của QLB vẫn thường làm hằng ngày khi quản trị trang Blog vậy, chả khó khăn gì cả.
    Việc hôm nay, QLB đăng tin “khẩn cấp” báo mất Gmail Account quanlambao.vn là 1 nghịch lý coi thường dư luận nhất. Mất Gmail vậy anh lấy cái gì mà vào mà đăng bài đăng tin?
    Chuyện liên quan đến những đấu đá bẩn thỉu từ trên nóc của chế độ Việt cộng Hanoi khả dĩ khơi mào cho sự sụp đổ thượng tầng của cả 1 chế độ độc ác tàn bạo phi nhân chớ có phải chuyện trẻ con giỡn chơi tí thôi đâu mà có chuyện QLB Blogspot bị hack chừng 1 ngày rưỡi rồi bỗng dưng: "phục hồi" hay "đã chạy trở lại"???!!!
    (còn tiếp)

    ReplyDelete
  2. 2/ Còn Sót
    Về mặt chính trị
    : Trong chính trị, không ai không biết rằng: “Lừa dối là vũ khí chính yếu của địch” .
    Với những diễn biến đầy rẫy những biểu hiện không bình thường như vừa nói trên, ta thấy thực giả lẫn lộn lung tung, do đó chớ vội cả quyết 1 sự thể gì.
    Nếu như anh Châu Nguyên An và BBT No Firewall đã có phán đoán đúng về lỗ hổng nơi QLB Blog là bởi mã độc mà tin tặc đã cài vào trong weekstats.com để redirect sang trang quanlambao.info, thì tại đây chúng ta lại có những suy luận khác:
    Hoặc chính QLB tự mình redirect blogspot sang .info. Vì lý do gì ư? Ngay tại bây giờ, hôm nay, ta chưa thể hiểu rõ lý do nhưng xem lại phần 1/ ở trên thì điều này khả dĩ xảy ra. QLB là ai, dựng lên mục đích gì, thuộc phe nào? Bây giờ chưa lộ rõ. Những biểu hiện của họ hoạt động mấy tháng nay vẫn chưa cho ta thấy rõ tung tích và mục đích thực của họ nhưng tổng quan họ là biểu hiện của chiến tranh phe nhóm thượng tầng cộng sản hanoi.
    Ngay từ đầu, QLB bị quy cho là thuộc phe 4 Sang, đánh 3 Dũng. Nay QLB redirect sang trang đăng bài đánh đệ tử ruột của Sang (là chị em Yến và Tâm, Đặng thành Tâm còn được biết là Tâm Tân Tạo) tức là tự sút vào lưới nhà…Thoạt nhìn thì có vẻ khó tin nhưng vẫn có thể xảy ra, hoặc chủ động “khổ nhục kế” hoặc bị các nhóm nhỏ hơn phá thối hay hãm lại vì bất đồng nội bộ nhất thời gì đó chớ không nhằm phá hủy luôn QLB…Nên nhớ, ngay trong 1 phe nhóm “cung vua, “phủ chúa”, những tranh giành đấu đá nhơ nhớp và quyết liệt vẫn không ngừng xảy ra đấy nhé!
    Tuy nhiên nếu giả thiết vừa nói này mà đúng thì QLB vẫn hoạt động bình thường chứ không mất mail account. Nếu mất mail account mà vẫn hoạt động thì đó là 1 QLB giả. Bài cũ, chủ mới sẽ không xóa, nhưng sẽ lần lượt cho đăng những bài khác với các quan điểm dần dần khác đi hòng lái dư luận và quần chúng nào đơn giản, ngây thơ, thiếu hiểu biết, dễ tin …chuyển sang 1 mục đích khác nào đó của họ.
    Hãy chờ xem!
    Ngoài ra, còn nhiều tác dụng khác nữa khi QLB tự mình gây scandal như vậy... mà trong phạm vi 1 comment tôi không thể nói hết được.
    Cho đến nay với con mắt của tôi thì vụ QLB này là 1 vụ "giả hack" hoặc dàn dựng với 1 dụng mưu nào đó chớ không có thật. Những anh ku nào nổi 1 tí mà lân là kết thân, liên lạc với họ thời gian quan qua thì nay đã bị triệt luôn (CXN và PVĐ), vì họ (QLB) chỉ muốn đánh nhau hòng tranh giành đấu đá quyền lợi chớ không phải họ cùng mục tiêu lật đổ cộng sản và dân chủ hóa đất nước như đại đa số dân Việt Nam mong muốn.

    LTC

    ReplyDelete
  3. Theo tôi thì QLB dùng 2 acc gmail 1 là quanlambao.vn@gmail.com để nhận tin từ độc giả, 2 là dùng để quản trị quanlambao.blogspot.com. Khi 1 email quanlambao.vn@gmail.com mất đi thì blog vẫn hoạt động được, trường hợp đăng được bài trong blog thì đúng phải có tài khoản quản trị.

    Trường hợp email gmail bị ăn cắp được thì những email gửi đến từ tài khoản gmail khác thì google không show địa chỉ ip/ thời gian của người. Mà tự hiển thị địa chỉ/ thời gian mà máy chủ google nhận được.

    Xem kỹ phần details của 1 địa chỉ gmail gửi đến sẽ có thông tin tương tự như sau:

    Received: from mr.google.com ([10.182.49.7])
    by 10.182.49.7 with SMTP id q7mr3479700obn.68.1349791076862 (num_hops = 1);
    Tue, 09 Oct 2012 06:57:56 -0700 (PDT).

    Nhưng người gửi từ email khác như yahoo.com thì gmail sẽ show ra đúng ip/ thời gian của người gửi, nên các nên dùngl gmail nhiều hơn.
    Không tin bạn có thể kiểm tra.

    Chỉ có điều hơi lạ là tin tặc khi chiếm được tài khoản của người khác, điều đầu tiên sẽ là change password, tiếp theo là sẽ xóa hết các bài viết, xóa các media file, nhưng blog QLB hiện tại không mất 1 bài viết nào, điều đó khản năng QLB hiện tại là trang fake.

    ReplyDelete
  4. Dĩ nhiên rằng Blogspot chỉ chấp nhận 1 Gmail Account có quyền quản trị.
    Ngoài "Account" chính, User có thể dùng thêm bao nhiêu Mail Account khác (cho các mục đích khác nhau) là tùy ý. Thậm chí với đa số trang Blog quan trọng, các User cẩn thận chả bao giờ publish email address (quản trị) vì muốn giữ kín cho việc quản trị Blog mà thôi.
    Do đó, tôi viết mở như 2 còm bên trên là để ngỏ nhiều khả năng khả dĩ xảy ra khác mà bạn đọc bốn phương có thể suy luận cho hợp luận lý, từ mặt Kỹ Thuật cho tới mặt Chính trị, chiến thuật (lừa phỉnh) của hiện tượng. Trong vụ này, còn không thể không phối hợp cả 2 mặt này mới may ra có 1 phán đoán đúng bộ mặt thực.
    Buồn cười là ở chỗ, trong vụ QLB, ba cái Mail Account "cùi" dùng liên lạc thì bị mất luôn, còn Mail Account chính dùng quản trị Blog thì chỉ bị "mất cắp" có 12 hours rồi trả lại!!! Hix, vậy mà cũng có khối người tin, rồi tự tung hê là QLB "bị hack" chả khác nào làm phát tán cho mau sự rối tung lên giúp cho chúng!
    Giả sử hacker đã đánh cắp thì cắp cho được cái Premium Gmail Account chứ cắp ba cái ba dớ kia mà làm gì?
    Nếu QLB không bị đánh cắp Gmail Account quản trị Blog thì chỉ duy có 1 lý giải như trong bài p/v trên đây: "cài mã độc vào pluggin weekstats.com nơi QLB Blogspot để redirect sang QLB info" rồi sau đó (tới những 12 hours) QLB mới "phát hiện" và delete cái pluggin weekstats.com kia đi! Nhưng nếu vậy thì tại sao CXN (wordpress) và PVĐ (Blogspot) cũng bị chiếm gần như đồng thời và CXN thì hiện hôm nay "có vẻ" như đã "khôi phục" dần bài vở (nhưng theo tôi CXN Blog vẫn có thể hiện đang là 1 CXN Blog giả như QLB vậy), còn PVĐ thì chết tịt luôn? 2 Blogs này bị chiếm nghĩa là có vấn đề liên quan tới mail account của họ. Do vậy không thể nói QLB chỉ bị cắm mã độc vào pluggin weekstats.com để chuyển hướng khách thăm, mà chắc chắn phải có vấn đề về Mail Account. Tới đây, đưa ta trở lại với những lập luận của tôi (đã post ở trên).
    Nói gọn lại, chả có chuyện QLB "bị hack" như bà kon tung hê mấy bữa nay. Tung hê như thế chỉ là mắc lừa cái mưu què nào đấy mà thôi!
    (Có vẻ như lần này VC lại có chiêu mới, nghĩa là sau khi chiếm được Blog hay Web thì không treo STL hay đăng tin vớ vẩn chó chết như vài năm qua nữa, mà cứ giữ lại làm 1 thứ Web hay Blog GIẢ MẠO, MẠO DANH hòng dùng làm phương tiện lung lạc, phân hóa khối bạn đọc đông đảo căm ghét chúng, chí ít cũng cứ giữ liên lạc qua email của nạn nhân đã bị chúng chiếm để dò la ra những ai vẫn còn tiếp tục liên lạc. Một cảnh báo không thừa là bạn đọc nào từng có mối liên hệ email, bài vởi với QLB, CXN và PVĐ thời gian qua thì kể từ sau khi vụ lùm xùm QLB này, trước hết hãy delete tất cả các email đến từ 3 nơi này. Theo tôi biết là các email từ 3 nơi này vẫn cứ tiếp tục gởi cho List như lúc chưa có gì xảy ra đấy. Delete all ngay vì chúng ta chả biết chắc đó là email của các tác giả Blog kia thực hay của bọn kẻ cắp vừa chiếm được rồi cứ gởi mail đi kèm mã độc, spyware?)

    Tất cả những bình luận, suy luận, suy diễn về vụ này ...phải khởi đi từ sự thật này thì mới đáng nói và đáng chú ý tới.
    Tôi càng buồn cười hơn khi bên trang DLB có 1 bài ("Sự phản phé của tay sai 'phủ chúa'?") của 1 tay ký tên "Trần Phong", viết chửi bới vô tội vạ mà chả có 1 tí giá trị kỹ thuật hay suy luận chính trị nào cả, uổng công (người) viết và (DLB) đăng để tạo thêm rối loạn cho nhận định của dư luận, vì bài viết chấp nhận không 1 chút suy nghĩ, rằng, QLB là có bị hack thực! Buồn cười!
    Đúng thật là, trong 2 bên đấu tranh, bên nào ngu hơn sẽ bị bên ít ngu hơn lừa và thủ thắng!
    Người đấu tranh chỉ biết mắng chửi Việt cộng mà không sáng trí tỉnh táo hòng thắng được VC thì chỉ xứng là kẻ dưới trình độ của VC dù VC chỉ là thứ trình độ của lũ điếm đàng chó vườn!

    ReplyDelete
  5. Blogspot vẫn có thể có 2 hoặc 3 mail quản trị cơ mà, sở dĩ tôi nói vậy vì hiện blog của tôi có những 2 gmail quản trị và 3 mail của cộng tác viên đăng bài. Tôi là người hoạt động trong lĩnh vực IT chỉ chịu trách nhiệm về kĩ thuật, còn mail kia là của đồng sự tôi, anh ta là biên tập viên. Bởi vậy blog của chúng tôi có 2 mail quản trị và có khả năng loại trừ vai trò quản trị của nhau. Bởi vậy nên khả năng bị mất 1 mail quản trị thì vẫn có thể lấy lại quyền kiểm soát blog và hủy quyền quản trị của mail kia đi, nhưng lại nổi lên một nghịch lí là nếu chiếm được 1 trong 2 mail quản trị thì sao hacker lại không chuyển quyền quản trị sang 1 mail thứ 3 rồi hủy luôn quyền quản trị của 2 mail còn lại ??? Do vậy khả năng QLB bị hack nửa ngày rồi lại lấy lại quyền kiểm soát là k thực tế cho lắm, hoặc giả nếu QLB lấy lại được quyền kiểm soát thực sự thì cũng chỉ là VC "để ngỏ" cho họ lấy lại mà thôi...
    Đây quả thực là một cuộc chiến nơi hoàng cung rắc rối và phức tạp vô cùng, nhưng cuối cùng thì cũng chỉ vì lợi ích của một bộ phận nhỏ độc ác mà thôi, hơn 90 triệu dân VN vẫn chịu kiếp nô lệ cho dù phe nào thắng thua.

    ReplyDelete
  6. to Anonymous October 31, 2012 9:31 AM,

    Bạn nhầm rồi. Blogspot không có thể có 2 hoặc 3 mail quản trị, mà chỉ 1 mà thôi. Blogspot cho phép chủ Blog (tức chủ của Mail Acc. quản trị vừa nói trên) mời các Google User khác tham gia quyền Post bài, và các User này chỉ có độc 1 quyền post bài chứ ngoài ra không thể can thiệp bất cứ gì vào nội tình Blog. Đó là tình hình mà trước khi xảy ra chuyện redirect sang QLB.info, QLB đã "mời" CXN tham gia như 1 Authority được ủy quyền post bài, và vừa mới đây, CXN đã cho hay, him đã tham gia post bài cho QLB độ 1 tháng dưới tên Nguyễn Kinh Hoàng.
    Nghĩ cũng phải, Blogspot mà cho tới 2, 3 Mail AQcc. có quyền quản trị thì có mà loạn cào cào lên mất thôi!
    LTC

    ReplyDelete