Không hiểu sao cái Solaris server lại có thể chứa đến hơn 300.000 email còn nằm trong hàng đợi (email báo kết quả cron job) từ đời tám hoánh đột nhiên lại được gửi ra một lúc. Đến độ 8GB RAM + 8GB swap bị đầy nghẹt, process mail không thể gửi vì lỗi hết bộ nhớ (cannot fork: not enough space). Lỗi này là nghiêm trọng (critical) và hệ thống tự động ... gửi email để thông báo cho root (stupid!) dẫn đến vòng lặp không thể thoát được, một local DoS kiểu "tự mình hại mình". May mắn là vẫn còn có thể cứu được mà không phải reboot server cực kỳ quan trọng này nhờ vẫn còn shell trên đó.
Trước hết là thêm swap để có thể chạy các lệnh khác:
# mkfile 1500m /swapfile
# swap -a /swapfile
Kết quả ps cho thấy hàng trăm process sendmail và mail.local đang chạy, phải kill hết chúng trước:
# pkill -9 sendmail
# pkill -9 mail.local
Phải dọn dẹp đống 300.000 file trong /var/spool/mqueue và /var/spool/clientmqueue để không bị lấy ra xử lý khi sendmail chạy lại (may mà toàn cron email):
# cd /var/spool/clientmqueue
# find . -type f | xargs -n 1000 rm
(Lý thuyết thì rm -rf /var/spool/clientmqueue sẽ nhanh hơn nhưng thực tế thì cũng giống lệnh trên)
Cuối cùng bỏ bớt cái swapfile vì có thể làm chậm hệ thống và start lại các service:
# swap -d /swapfile
Hú hồn!
Tuesday, July 17, 2007
Wednesday, July 11, 2007
Tại sao hacker nội không mặn mà với Capture The Flag?
VNSECON 07 Capture The Flag đã thông báo mở cửa nhận đăng ký các đội chơi được 2 tháng nhưng vẫn chưa có đội nào trong nước đăng ký tham gia. Qua tìm hiểu và phỏng đoán của tôi, có thể có một số nguyên nhân sau:
- Hacker nội thích "chiến đấu" một mình thay vì theo đội: teamwork (làm việc nhóm) là điểm còn yếu của người Việt, hacker lại thường không "phục" nhau khó lòng lập thành một nhóm phối hợp ăn ý.
- Hacker nội "sở trường" Windows: Linux/Unix vẫn chưa được phổ biến dù trong giới làm bảo mật, với hình thức khai thác các lỗ hổng trên Linux của CTF (HITB, VNSECON), đa số chuyên gia Windows không mặn mòi tham gia.
- Hacker nội thiếu kỹ năng viết chương trình khai thác lỗ hổng: một số trung tâm đào tạo bảo mật dạy các học viên sử dụng Metasploit nhoay nhoáy nhưng là để khai thác các lỗi "ăn sẵn", tìm ra lỗ hổng và viết chương trình khai thác là một chuyện khác.
- Hacker nội mang tâm lý sợ "mất mặt": một số hacker có "số" trên các diễn đàn bảo mật có thể sợ "quê" (trước một số lượng đông người hâm mộ) nếu không có điểm ở CTF. Không có điểm ở CTF cũng là điều bình thường, nó chỉ là một trò chơi và đôi khi rất khó. Có thể xem tâm tư của một đội tham gia HITB Dubai 2007 CTF (không có đội đoạt giải) ở đây.
- Hacker nội không muốn lộ diện: các hacker "mũ đen" thực sự chắc chắn sẽ không tham gia, những hacker khác không muốn công khai danh tính để giữ tính "huyền bí" của nickname.
- Hacker nội sợ bị quy chụp là "mũ đen": nếu thể hiện những kỹ năng tấn công khai thác lỗ hổng của mình công khai người ngoài sẽ nghĩ ngay mình là "mũ đen" (mới rành tấn công như thế :)) và dễ bị lưu ý khi có site nào đó bị hack. Đây là quan niệm hết sức sai lầm, cũng giống như ai có võ người đó đều có thể chủ động đánh người khác.
- Giải thưởng không hấp dẫn: hiện tại ban tổ chức vẫn chưa thể công bố chính xác mức thưởng cho VNSECON CTF (dự kiến bằng hiện vật thay vì tiền mặt) nên chưa kích thích được sự tham gia. Bên cạnh đó, giải thưởng tinh thần mang ý nghĩa là đội chiến thắng không có tính động viên lắm do đây là lần tổ chức đầu tiên và VNSECURITY (nhóm tổ chức) còn ít được biết đến.
- Và cuối cùng, sẽ là điều rất đáng buồn, có thể tất các hacker nội đã ... "giải nghệ" nên không còn ai!
Tuesday, July 10, 2007
Những chủ đề "nóng" ở VNSECON 07
Chương trình hội thảo VNSECON 07 đã được công bố, chuyên đề kỹ thuật đã khá đầy đủ với hầu hết các báo cáo do diễn giả nước ngoài trình bày, chuyên đề chính sách và thương mại điện tử với chủ yếu các báo cáo trong nước hiện vẫn đang tiếp tục được cập nhật. Một số chủ đề khá "nóng" và thời sự được trình bày tại hội thảo lần này hứa hẹn sẽ thu hút được sự tham dự đông đảo của giới chuyên môn và giới lãnh đạo.
Sau cơn bão khai thác lỗi tràn bộ đệm của Microsoft IIS và SQL Injection trong ASP các web site trong nước hiện khá yên ổn do phần lớn đã nâng cấp hệ điều hành Windows 2003 và sử dụng .NET cho ứng dụng web. Do đó, báo cáo "Next Generation .NET Attacks" (Tấn công .NET thế hệ kế tiếp) của Paul Craig hứa hẹn sẽ đem đến cho cả giới quản trị mạng/bảo mật và hacker sự quan tâm đặc biệt. Paul sẽ trình bày các phương pháp khai thác lỗ hổng bảo mật dành cho .NET chưa từng được công bố.
Virus luôn là mối quan tâm lo lắng hàng đầu của các tổ chức và cá nhân khi mà các thông kê số lượng virus mới luôn tăng lên mỗi ngày. Làm thế nào các tổ chức như Symantec, Sophos, Message Lab, BKIS phát hiện và khống chế các virus mới? Paul Barrie Ducklin đến từ Sophos Australia sẽ mang đến một trình bày rất hấp dẫn và thú vị đối với tất cả người nghe: "Live Malware Attack" (Xem trực tiếp chương trình mã độc tấn công). Hẳn người dùng vẫn còn nhớ sự lây lan nhanh chóng mặt của virus Code Red khai thác lỗ hổng Windows, hay virus nội Gaixinh qua Yahoo Messenger. Làm thế nào các chương trình mã độc làm được điều đó? Làm thế nào các tổ chức phản ứng nhanh có thể khống chế chúng? Tất cả sẽ có trong phần minh họa trực quan hết sức sống động với các công cụ của Sophos - một trong các nhà cung cấp phần mềm nổi tiếng thế giới.
Cũng về chủ đề mã độc nhưng ở một khía cạnh khác: phân tích tĩnh thay vì phân tích động (trực tiếp). Dr. Jose Nazario, Kỹ sư bảo mật cao cấp của công ty bảo mật Arbor Networks sẽ cho thấy sức mạnh của công cụ tìm kiếm Google trong việc tìm kếm các lỗi bảo mật cũng như các chương trình mã độc với báo cáo "Googling for Malware and Bugs" (Tìm kiếm chương trình mã độc và lỗi bảo mật bằng Google). Đây là một phương pháp rất hữu ích cho những người nghiên cứu về bảo mật bởi cơ sở dữ liệu khổng lồ và sức mạnh tìm kiếm của Google là một công cụ vô song nếu biết khai thác.
Game online đang là một thị trường béo bở với rất nhiều nhà cung cấp trong nước nhảy vào cuộc chơi, việc thương mại hoá các đồ chơi trong game cũng đang được thừa nhận và bảo vệ. Việc chống gian lận trong game online vì thế hết sức được quan tâm từ cả phía người chơi lẫn nhà cung cấp. Các công cụ nhằm qua mặt sự kiểm soát của nhà cung cấp, chơi tự động trình độ cao luôn được giới game thủ săn lùng. Mikado và ReD Dragon của nhóm VNSECURITY sẽ trình bày chi tiết về các kỹ thuật chống gian lận trong game online cũng như những phương pháp, kỹ thuật để qua mặt các hệ thống này trong báo cáo "Cheating Massively Multiplayer Online Game for Fun and Profit" (Gian lận game online nhiều người chơi để tiêu khiển và kiếm lợi). Báo cáo này cũng đề cập đến một vấn đề hầu như còn rất ít được quan tâm ở Việt Nam là bảo mật và tính riêng tư của người chơi khi mà một số hệ thống chống gian lận của nhà cung cấp đang sử dụng kỹ thuật rootkit để ngăn chặn và phát hiện gian lận.
Điện thoại di động đang và sẽ là dịch vụ có tốc độ phát triển phi mã ở Việt Nam khi kho số đã "cháy" sau hàng loạt "cuộc đua" khuyến mãi của các nhà cung cấp dịch vụ. Bên cạnh đó, điện thoại di động đang được xem như một bước đệm của thanh toán trực tuyến với các hình thức mobile banking, thanh toán qua SMS do vẫn được xem là bảo mật (dựa trên sim) và tiện dụng, phổ biến với đại đa số người dùng. Có thể sau khi nghe báo cáo của Skyper (cựu tổng biên tập tạp chí Phrack) "Build your own GSM interceptor for $900" (Tự tạo bộ chặn bắt sóng GSM với giá 900 USD) sẽ có cái nhìn dè dặt hơn về tính bảo mật của giao thức viễn thông này.
Với sự bùng nổ của thị trường chứng khoán Việt Nam trong năm qua, nhiều ngân hàng thương mại, công ty chứng khoán được mở và ăn nên làm ra. Khác với kiểu ngân hàng truyền thống trước đây, ngày nay các ngân hàng phải kết nối với các ngân hàng khác và nối vào mạng để cung cấp nhiều dịch vụ hơn cho khách hàng. Các ngân hàng ở các nước đang có tốc độ phát triển nhanh thường "đi tắt đón đầu" ở bước này và để lộ ra những lỗ hổng có thể bị lợi dụng. Với kinh nghiệm làm việc trong lĩnh vực bảo mật ngân hàng, Fabrice A. Marie qua báo cáo "Banking Security in Fast Developing Countries" (Bảo mật ngân hàng cho các nước đang phát triển nhanh) sẽ đề cập đến những "vết xe đổ" cần tránh cho các ngân hàng trong vấn đề bảo mật. Các nguy cơ thực tế như gian lận ATM, thẻ tín dụng, ứng dụng nghiệp vụ, bảo mật mạng ngân hàng cũng được đưa thảo luận kèm với các giải pháp. Đây là chủ đề rất đáng quan tâm đối với giới lãnh đạo công nghệ thông tin và tài chính của các ngân hàng.
Mặc dù gặp khó khăn về tài trợ do tổ chức lần đầu và không chấp nhận các báo cáo giới thiệu sản phẩm, ban tổ chức hội thảo đang cố gắng để đạt được mục tiêu đề ra: một hội thảo bảo mật chất lượng mang tầm quốc tế.
Sau cơn bão khai thác lỗi tràn bộ đệm của Microsoft IIS và SQL Injection trong ASP các web site trong nước hiện khá yên ổn do phần lớn đã nâng cấp hệ điều hành Windows 2003 và sử dụng .NET cho ứng dụng web. Do đó, báo cáo "Next Generation .NET Attacks" (Tấn công .NET thế hệ kế tiếp) của Paul Craig hứa hẹn sẽ đem đến cho cả giới quản trị mạng/bảo mật và hacker sự quan tâm đặc biệt. Paul sẽ trình bày các phương pháp khai thác lỗ hổng bảo mật dành cho .NET chưa từng được công bố.
Virus luôn là mối quan tâm lo lắng hàng đầu của các tổ chức và cá nhân khi mà các thông kê số lượng virus mới luôn tăng lên mỗi ngày. Làm thế nào các tổ chức như Symantec, Sophos, Message Lab, BKIS phát hiện và khống chế các virus mới? Paul Barrie Ducklin đến từ Sophos Australia sẽ mang đến một trình bày rất hấp dẫn và thú vị đối với tất cả người nghe: "Live Malware Attack" (Xem trực tiếp chương trình mã độc tấn công). Hẳn người dùng vẫn còn nhớ sự lây lan nhanh chóng mặt của virus Code Red khai thác lỗ hổng Windows, hay virus nội Gaixinh qua Yahoo Messenger. Làm thế nào các chương trình mã độc làm được điều đó? Làm thế nào các tổ chức phản ứng nhanh có thể khống chế chúng? Tất cả sẽ có trong phần minh họa trực quan hết sức sống động với các công cụ của Sophos - một trong các nhà cung cấp phần mềm nổi tiếng thế giới.
Cũng về chủ đề mã độc nhưng ở một khía cạnh khác: phân tích tĩnh thay vì phân tích động (trực tiếp). Dr. Jose Nazario, Kỹ sư bảo mật cao cấp của công ty bảo mật Arbor Networks sẽ cho thấy sức mạnh của công cụ tìm kiếm Google trong việc tìm kếm các lỗi bảo mật cũng như các chương trình mã độc với báo cáo "Googling for Malware and Bugs" (Tìm kiếm chương trình mã độc và lỗi bảo mật bằng Google). Đây là một phương pháp rất hữu ích cho những người nghiên cứu về bảo mật bởi cơ sở dữ liệu khổng lồ và sức mạnh tìm kiếm của Google là một công cụ vô song nếu biết khai thác.
Game online đang là một thị trường béo bở với rất nhiều nhà cung cấp trong nước nhảy vào cuộc chơi, việc thương mại hoá các đồ chơi trong game cũng đang được thừa nhận và bảo vệ. Việc chống gian lận trong game online vì thế hết sức được quan tâm từ cả phía người chơi lẫn nhà cung cấp. Các công cụ nhằm qua mặt sự kiểm soát của nhà cung cấp, chơi tự động trình độ cao luôn được giới game thủ săn lùng. Mikado và ReD Dragon của nhóm VNSECURITY sẽ trình bày chi tiết về các kỹ thuật chống gian lận trong game online cũng như những phương pháp, kỹ thuật để qua mặt các hệ thống này trong báo cáo "Cheating Massively Multiplayer Online Game for Fun and Profit" (Gian lận game online nhiều người chơi để tiêu khiển và kiếm lợi). Báo cáo này cũng đề cập đến một vấn đề hầu như còn rất ít được quan tâm ở Việt Nam là bảo mật và tính riêng tư của người chơi khi mà một số hệ thống chống gian lận của nhà cung cấp đang sử dụng kỹ thuật rootkit để ngăn chặn và phát hiện gian lận.
Điện thoại di động đang và sẽ là dịch vụ có tốc độ phát triển phi mã ở Việt Nam khi kho số đã "cháy" sau hàng loạt "cuộc đua" khuyến mãi của các nhà cung cấp dịch vụ. Bên cạnh đó, điện thoại di động đang được xem như một bước đệm của thanh toán trực tuyến với các hình thức mobile banking, thanh toán qua SMS do vẫn được xem là bảo mật (dựa trên sim) và tiện dụng, phổ biến với đại đa số người dùng. Có thể sau khi nghe báo cáo của Skyper (cựu tổng biên tập tạp chí Phrack) "Build your own GSM interceptor for $900" (Tự tạo bộ chặn bắt sóng GSM với giá 900 USD) sẽ có cái nhìn dè dặt hơn về tính bảo mật của giao thức viễn thông này.
Với sự bùng nổ của thị trường chứng khoán Việt Nam trong năm qua, nhiều ngân hàng thương mại, công ty chứng khoán được mở và ăn nên làm ra. Khác với kiểu ngân hàng truyền thống trước đây, ngày nay các ngân hàng phải kết nối với các ngân hàng khác và nối vào mạng để cung cấp nhiều dịch vụ hơn cho khách hàng. Các ngân hàng ở các nước đang có tốc độ phát triển nhanh thường "đi tắt đón đầu" ở bước này và để lộ ra những lỗ hổng có thể bị lợi dụng. Với kinh nghiệm làm việc trong lĩnh vực bảo mật ngân hàng, Fabrice A. Marie qua báo cáo "Banking Security in Fast Developing Countries" (Bảo mật ngân hàng cho các nước đang phát triển nhanh) sẽ đề cập đến những "vết xe đổ" cần tránh cho các ngân hàng trong vấn đề bảo mật. Các nguy cơ thực tế như gian lận ATM, thẻ tín dụng, ứng dụng nghiệp vụ, bảo mật mạng ngân hàng cũng được đưa thảo luận kèm với các giải pháp. Đây là chủ đề rất đáng quan tâm đối với giới lãnh đạo công nghệ thông tin và tài chính của các ngân hàng.
Mặc dù gặp khó khăn về tài trợ do tổ chức lần đầu và không chấp nhận các báo cáo giới thiệu sản phẩm, ban tổ chức hội thảo đang cố gắng để đạt được mục tiêu đề ra: một hội thảo bảo mật chất lượng mang tầm quốc tế.
Subscribe to:
Posts (Atom)