BBT No Firewall
Thông báo của trang Quan Làm Báo
Ngày thứ Ba, 9 tháng 10, trang blog Quan Làm Báo (QLB) cho biết là
trang blog của họ bị hack trong khoảng 12 tiếng đồng hồ, nhưng đã chạy
lại bình thường. Mới đây QLB cho biết địa chỉ liên lạc chính của QLB là quanlambao.vn@gmail.com đã bị cướp mất. Tuy sự việc blog tạm ổn nhưng với sự việc email quanlambao.vn@gmail.com
bị tin tặc chiếm lấy là một thất thoát lớn cho QLB. Từ email này công
an CSVN có thể lấy dữ kiện như email liên lạc khác, các IP từng vào đọc
email, google chat, v.v.... để phanh phui ra đường dây của QLB. Chúng
ta chờ xem diễn tiến sắp tới là gì.
Blog No Firewall có trao đổi với anh Châu Nguyên An, một chuyên viên về an ninh vi tính, về hư thật của vụ trang QLB bị hack.
NFW: Anh có theo dõi vụ blog QLB bị hack vừa qua và anh nghĩ là họ có thật sự bị hack không?
CNA: Tôi không phải là độc giả thường xuyên của blog QLB. Thỉnh
thoảng thì có vào đọc một số tin tức. Gần đầy thì blog QLB được biết đến
nhiều nên tôi cũng có ghé xem nhiều hơn. Lúc mà bà con trên mạng xôn
xao là blog QLB bị đánh xập thì tôi cũng tò mò vào xem. Và tôi ngạc
nhiên là trang blog còn nguyên đó.
NFW: Anh không bị dẫn qua bên trang quanlambao.info?
CNA: Không. Sau đó tôi mới biết lý do là vì trình duyệt của tôi có
gắn plug-in NoScript thành ra nó chận lại hết tất cả các đoạn mã
(script) trong trang QLB. Từ đo tôi suy ra là trang blog QLB bị cài cắm
một đoạn mã nào đó mà nó dẫn người xem đi qua trang quanlambao.info. Tôi
tìm hiểu thêm thì thấy thủ phạm là đoạn mã từ trang weekstats.com cài
trong blog QLB. Nếu tôi ra lệnh cho NoScript cho phép đoạn mã từ
weekstats.com chạy thì nó sẽ dẫn tôi qua trang quanlambao.info.
NFW: Trang www.weekstats.com của ai và để làm gì?
CNA: Thoạt đầu tôi nghĩ đó là một widget server chứa những đoạn mã để
làm thống kê. Các trang blog như Wordpress, Blogspot có rất nhiều
3rd-party widget/script để gia tăng thêm chức năng cho trang blog. Việc
một trang blog có dùng các widget/script phụ trội khác là chuyện rất
bình thường. Thành ra tôi nghĩ là tin tặc hack không được vào blogspot
server của Google thì họ hack vào các trang phụ trội này để rồi từ đó
lèo lái người xem đi qua chỗ khác.
NFW: Tức là trang blog QLB không thật sự bị hack?
CNA: Lúc đầu thì tôi nghĩ vậy. Rồi sau đó trang blog QLB trở lại với
độc giả ít lâu sau đó. Thành ra tôi cũng không lưu tâm đến chuyện này
nữa. Nhưng sau đó tôi lại tìm thấy một số điều không ổn... làm cho tôi
thay đổi suy nghĩ.
NFW: Anh tìm ra những điều gì không ổn?
CNA: Điểm thứ nhất là tôi xem lại cái trang www.weekstats.com.
Trước đó nhìn cái tên thì tôi nghĩ đây chỉ là một trang chủ chứa các
đoạn mã làm thống kê, nhưng khi tôi đi tìm thông tin về trang này thì
thấy rất là khả nghi. Tên miền chỉ mới đăng ký hồi cuối tháng 7 năm nay.
Chi tiết tên miền được dấu kín (whois-proof). Tôi nghi đây là trang do
tin tặc dựng lên. Và nếu đây là trang do tin tặc dựng lên thì họ phải
tìm cách xâm nhập vào blog QLB để cài cắm đoạn mã chuyển qua bên
quanlambao.info. Tôi không nghĩ là tin tặc hack nổi vào blogspot server
của Google do đó họ phải hack vào tài khoản gmail của trang QLB vì các
trang blogspot phải cần có tài khoảng gmail để login vào.
Điểm thứ nhì là khi trang QLB quay trở lại thì họ có nhìn nhận là
trang blog bị xâm nhập trong khoảng gần 12 tiếng đồng hồ. Nếu họ không
bị hack vào thì không có lý do gì phải thú nhận là bị hack.
Điểm thứ ba là trong phần THÔNG BÁO KHẨN của trang QLB có một thông báo như sau:
Địa chỉ quanlambao.vn@gmail.com đã bị Hacker giả mạo làm chủ chiếm giữ, do vậy mong các bạn có bài vở xin gởi về Email: vualambao@gmail.com!
Địa chỉ quanlambao.vn@gmail.com là địa chỉ liên lạc chính của trang QLB. Với những điểm trên tôi nghĩ là trang QLB có bị hack thật.
NFW: Tức là trang blog QLB có bị hack trong vòng 12 tiếng như họ
đưa tin. Rồi làm sao họ phục hồi lại được, trong khi đó trang blog Phạm
Viết Đào tình nghi là cũng bị tin tặc xâm chiếm?
CNA: Các tài khoản online như Gmail, Yahoo, Blog, v.v.... thường có
những cách để giúp người chủ nhân tài khoản phục hồi lại được thí dụ như
trả lời cho đúng câu hỏi bí mật (secret questions) đã soạn trước đó,
hoặc giả gửi mật khẩu mới về địa chỉ email thứ nhì, hoặc gửi mã số về số
điện thoại di động của mình, v.v... Rồi sau đó vào lại để phục hồi. Tôi
thật sự không biết QLB có những động thái gì để lấy lại trang blog
trong khi đó blogger Phạm Viết Đào thì không làm được. Có khi chỉ là
nhanh tay lẹ chân để phục hồi một khi phát hiện ra bị xâm nhập. Tuy
nhiên email liên lạc quanlambao.vn@gmail.com đã bị tin tặc lấy mất. Đó là thất thoát của phía Quan Làm Báo.
NFW: Tại sao hai trang blog Quan Làm Báo và Phạm Viết Đào bị tấn
công cùng lúc mà trang blog Phạm Viết Đào bị đóng cửa còn trang Quan Làm
Báo lại được tin tặc sử dụng để chuyển hướng sang quanlambao.info ?
CNA: Trang blog Phạm Viết Đào gây khó chịu cho nhà nước. Khóa cửa
trang blog đó lại thì không ai còn đọc được. Còn trang blog QLB là trang
gây khó chịu nhiều hơn cho nhóm Nguyễn Tấn Dũng và lại có rất nhiều độc
giả. Tôi nghĩ là có lượng độc giả người Việt nhiều nhất gần đây. Thay
vì khóa trang QLB lại thì dùng nó để chuyển số lượng độc giả này qua bên
trang quanlambao.info
NFW: Blog Quan Làm Báo bị mất email liên lạc quanlambao.vn@gmail.com có gây thiệt hại gì không?
CNA: Có thể có. Trong tài khoản email đó có nhiều thứ để tin tặc nhà
nước khai thác. Từ các email liên lạc gửi đến hoặc gửi ra cho đến các
địa chỉ IP truy cập vào tài khoản đó. Đáng lẽ ra trang QLB phải thông
báo ngay trang chủ về vụ email bị đánh cắp để những ai đang liên lạc với
họ biết đường mà phòng thủ. Ngừng liên lạc với địa chỉ email đó. Cho
một số trường hợp tế nhị phải bỏ các email đã từng liên lạc với QLB và
không dùng nữa.
NFW: Cám ơn anh Châu Nguyên An rất nhiều đã chia sẽ với blog NoFireWall và độc giả về vụ việc này.
