Mấy ngày gần đây xuất hiện nhiều site lớn ở Việt nam có tình trạng như sau:
Search trên Google thì bị cảnh báo có virus "Trang web này có thể gây hại cho máy tính của bạn",
ví dụ như trang vtc.com.vn

Sau khi bấm vào link thì nó cảnh báo tiếp :


Ngoài trang này còn có một số trang khác như : vnexpress.net,saigontimes.com.vn,www.hoahoctro.vn,... đặc điểm là có khi bị vào một số giờ trong ngày, không phải tất cả thời gian.
Về mặt cảnh báo thì nó có hiện tượng tương tự như tôi đã cảnh báo trong bài : Một vài kiểu lợi dụng của hacker sau khi tấn công
có nghĩa là một số trang nó chèn vào các đoạn iframe trỏ đến trang của Trung Quốc có chứa mã độc nên Google cảnh báo.
Ở đây có một đặc điểm cần lưu ý là thời gian xuất hiện và hiện tượng này một số server kiểm tra thì khi view-code trên server không thấy xuất hiện thẻ iframe, nhưng người dùng đầu cuối thì lại thấy có, tại sao ?

Một lần tôi đã đề cập đến Man in the middle attack ở đây khả năng này là rất cao. Điều này có thể dễ dàng thực hiện bằng cách tấn công như sau :
- hacker kiểm soát một server sau đó cài virus có khả năng tấn công Man in the middle attack
- virus này có thể có khả năng lây qua mạng
- virus này sẽ tấn công các server cùng mạng

Tôi có thể tóm tắt nhiệm vụ con virus khi MIMT như sau :
- đầu tiên nó tấn công ARP Posioning (ví dụ Packet sniffing with Ettercap (arp spoofing basics)) làm cho các server cùng mạng nhầm tưởng nó là gateway --> tất cả dữ liệu sẽ đi qua server bị nhiễm virus trc khi đi ra ngoài
- nó biến server bị nhiễm thành 1 proxy, sau khi dữ liệu của các server đi qua nó sẽ thay đổi dữ liệu, như hiện tượng ta thấy là nó thêm vào thẻ iframe
--> Như vậy khi đến người sử dụng thì dữ liệu đã thay đổi.

Về thời gian thì có thể giải thích là virus được đặt lịch làm việc đó. Một điểm nữa là khi làm như vậy tốc độ của các trang web bị giảm xuống trông thấy.

Một khả năng khác là có gateway thực sự bị tấn công và nó làm việc tương tự.

Cách khắc phục : liên hệ nhà cung cấp dịch vụ, mô tả hiện tượng để họ giám sát và phát hiện server chứa virus và ngắt ra khỏi mạng.
Với người quản trị mạng của nhà cung cấp DV có thể dùng Wireshark để bắt gói tin và phân tích.
Tôi sẽ tiếp tục cập nhật khi có thông tin mới
Với người dùng Internet : nên cẩn thận khi vào các trang nó bảo download hay click cái gì đấy

Co Gai Den Tu Hom Qua-

hix dạo này chẳng có cảm hứng là việc jì cả lại có cả đống thứ linh tinh phải làm chánnnnnnnnnnnnnnnnnnn

Đây là phần tài liệu a Thanh dịch khá hay và bổ ích xin chia sẻ với mọi người
http://docs.google.com/View?docid=dg34rcvn_22cn7krtjs
phần 2 của nội dung này là các ví dụ cụ thể tôi sẽ gửi sau.
Cập nhật 30/06/2008
Phần 1 : Phân tích gói tin với WIRESHARK
Phần 2 : Xử lý các tính huống thực tế với WireShark (1)
Phần 3 : Xử lý các tính huống thực tế với WireShark (2)

Địa chỉ trên Google Docs:
http://docs.google.com/View?docid=dg34rcvn_22cn7krtjs
Xử lý các tính huống thực tế với WireShark (1)
http://docs.google.com/Doc?id=dg34rcvn_78hs7d6cgc
Xử lý các tính huống thực tế với WireShark (2)
http://docs.google.com/Doc?id=dg34rcvn_60c9v5jgcb

Wireshark home page

Giới thiệu qua một chút về Wireshark

WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark.

WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm.

Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau.

Các giao thực được hỗ trợ bởi WireShark:

WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào. Và có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ.

• Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu. Không như một số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức.

• Giá rẻ: Wireshark là một sản phẩm miễn phí GPL. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại.

• Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở.

• Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay.

Tài liệu về VoIP
Phần 1 : http://docs.google.com/Doc?id=dg34rcvn_47hc3k82cg
Phần 2 : http://docs.google.com/Doc?id=dg34rcvn_38d3bjm7cg

Tóm tắt :

Việc kết nối giữa điện thoại truyền thống PSTN (Public Switch Telephone Network) với mạng IP (Internet Protocol) được coi như là nói đến mạng thế hệ mới NGN (Next Generation Network). Cũng như việc kết nối giữa mạng Internet và mạng không dây là nói đến IMS (IP Multimedia Subsystem). Cả hai kiến trúc này đều giữ vai trò quan trọng trong việc phát triển từ thông tin liên lạc truyền thống nên thông tin liên lạc đa phương tiện. Thuật ngữ triple play là một dịch vụ bao gồm truyền tiếng nói, hình ảnh và dữ liệu đến người dùng hay thuật ngữ quad play là dịch vụ bao gồm truyền tiếng nói, hình ảnh và dữ liệu và truyền thông di dộng.

Dịch vụ VoIP là một dịch vụ chạy trên cả hai mạng dịch vụ NGN và IMS. VoIP là dịch vụ thời gian thực bao gồm đàm thoại, video và trò chơi. Với yêu cầu thời gian thực và tầm quan trọng của dữ liệu nên việc triển khai VoIP đòi hỏi phải có độ an toàn cao. Vấn đề bảo mật với VoIP là khá phức tạp, cần sự phối hợp chặt chẽ của nhiều chuyên gia thuộc nhiều lĩnh vực mới có thể đem lại hiệu quả, bao gồm các chuyên giao về bảo mật mạng, các kỹ sư, các nhà quản lý, các hãng cung cấp sản phẩm.

Trong khuôn khổ bài viết này tôi giới thiệu lại về VoIP ở chương 1 và nêu ra các phương thức, khả năng bị tấn công đối với VoIP ở chương 2, việc giải quyết các vấn đề này tôi sẽ đề cập ở một bài viết có phạm vi lớn hơn.