Bài viết này tôi không đề cập đến việc tấn công trực tiếp một hệ thống. Việc tấn công trực tiếp bao giờ cũng khó khăn, đặc biệt là những hệ thống lớn. Việc một site lớn để lộ lỗi bảo mật cho phép tấn công trực tiếp làm nguy hại đến cơ sở dữ liệu hay có thể deface,... thường là rất ít. Điểm yếu nhất của những hệ thống này là con người. Một thuật ngữ đã trở lên khá quen thuộc với những người làm bảo mật là Social Engineering. Hacker có thể tấn công được theo phương pháp này là do ý thức bảo mật của người dùng quá kém. Với những gì tôi đã gặp và đã thử nghiệm cho thấy ý thức bảo mật của người Việt mình còn rất thấp. Tôi chỉ nêu một phần rất nhỏ trong Social Engineering là ý thức của người dùng thôi vì phần này cũng khá nhiều.

Bắt đầu bằng việc đơn giản, bạn có ý thức bảo vệ địa chỉ mail và thông tin cá nhân của mình không ? Bạn nào đã vào trang web của tôi thì chắc sẽ thấy có phần "Bói tình củm", mới đầu tôi chỉ định làm cái này cho vui để trêu bạn bè thôi, sau tôi cứ để lại trên web và thu được kết quả bất ngờ. Bạn nếu thấy thì cũng có vẻ tò mò đúng không ? và tất nhiên bạn dễ dàng để lại thông tin thật và không chút suy nghĩ, hệ thống của tôi ghi nhận đã có hơn 3000 bạn điền thông tin vào đây (cái này mới được mấy tháng).

Đây chỉ là một ví dụ rất đơn giản, nhưng tại sao bạn lại tin ? Vì bạn tò mò, vậy đó .

Một ví dụ khác, thời điểm bắt đầu trò chơi Võ Lâm truyền kỳ bắt đầu thu phí, tôi nảy ra thử nghiệm độ cả tin của người dùng chơi game đến đâu. Tôi bắt đầu việc này bằng cách thu thập địa chỉ mail của người chơi game. Việc này có khó không ? Không hề khó, tại thời điểm đó tôi dùng một spider để thu thập email (cái này nếu bạn muốn thử thì có thể dùng phần mềm hoặc tự viết vì cũng không khó lắm) trên các diễn đàn game, một buổi sáng tôi đã lấy được khoảng 11.000 địa chỉ mail, điều này ngoài sức tưởng tượng của tôi.

Bước tiếp theo tôi tạo ra một phần mềm chỉ có chức năng gửi mail về cho tôi theo thời gian đặt trước, không keylog nhé. Tôi tạo cho chương trình này có tên và giao diện giống các chương trình như : autokiller, autolevel,OneHit,... (vì trước tôi có chơi MU tôi khoái mấy cái hack này) thậm trí là KeylogKiller. Sau đó tôi bắt đầu gửi mail cho số địa chỉ tôi đã thu được, với nội dung là tôi có mấy chương trình hack trên hay lắm. Sau đó tôi chờ đợi. Kết quả không ngờ, hầu hết các chương trình tôi đính kèm được người dùng cài đặt và chương trình định kỳ ngưởi mail về cho tôi. Chương trình của tôi dạng service có process giống tên các process của windows, nên ít bị phát hiện. Sau đến cả năm trời có chương trình vẫn hoạt động, thật là không thể tin nổi !!! Nếu là keylog và có ý định xấu thì bạn tính sao ?

À, chỗ này tôi xin nói ngoài lề một chút vì khi làm việc trên tôi có thu được một kết quả thú vị khác. Gmail chống spam tốt hơn Yahoo rất nhiều, trong số các mail tôi gửi thành công tỷ lệ thành công đối với Yahoo cao hơn rất nhiều. Một điều nữa là khi dùng SMTP của Gmail để spam thì hệ thống của Gmail sẽ tự động block tài khoản của bạn một thời gian (1 ngày thì phải, tôi không nhớ lắm) khi mà bạn gửi liên tục trên 500 thư một lúc. Bạn có thể thí nghiệm luôn bằng 1 chương trình send mail đơn giản mà tôi đã viết.

Ví dụ tiếp theo là về cách đặt mật khẩu của người dùng. Mật khẩu của bạn có đủ mạnh không ? Bạn có dùng chung mật khẩu cho các tài khoản không ? Tôi chắc rằng rất nhiều người đều vi phạm 2 quy tắc bảo mật trên. Có lần GuanYu thâm nhâm một số site, tôi có cũng check security site đó và tìm thấy trong db site đó một tài khoản mới, mật khẩu đã mã hóa MD5, như sau : 467415a57ad81475f51ca05d23e465ab . Tôi thử crack xem nó là cái gì ? Bắt đầu bằng Cain & Abel, tôi crack không được. Có thể là từ điển của bộ này quá ít từ ? Tôi tự tạo thêm từ cho bộ từ điển lên đến hơn 100MB, bao gồm toàn bộ các chữ số nhỏ hơn 10 chữ số và toàn bộ từ Tiếng Việt không dấu (lấy từ từ điển Hồ Ngọc Đức),... Sau đó tôi chạy lại Cain, ha ha lần này thì tôi đã có kết quả : 03041989 đây chính là ngày sinh của Guanyu đấy.

Một hôm khác tôi có một database có bảng user, tôi cũng dùng Cain để thử. Rât nhiều pass bị crack dễ dàng. Vậy nếu bạn dùng chung mật khẩu cho các tài khoản thì lúc này là lúc nguy hiểm đấy

Nghĩ rộng hơn một chút, nếu hacker có ý định tấn công một hệ thống lớn, họ sẽ tấn công từ phái những người dùng, khi đủ thông tin có thể xâm nhập hệ thống lớn.

Bất kỳ một site nào cũng phải có biên tập và có admin và phần này sẽ được nằm trong một mạng riêng ảo cùng với hệ thống chẳng hạn. Bạn cho dù có mật khẩu admin cũng không vào trực tiếp được. Vậy tấn công trực tiếp là không được rồi. Nếu tấn công từ mạng LAN rồi từ đó tấn công lên sẽ khả thi hơn đúng không nào.

Những điều tôi viết ở đây không mới nhưng không phải ai cũng ý thức được việc này. Hy vọng ai đó đọc được bài này sẽ có ý thức bảo vệ thông tin của mình hơn.