Hoàng Ngọc Diêu: Dân Luận: Hình ảnh trên đây là trang web NguyenTanDung.org, một trong nhiều trang "giả mạo" trang web chính thức của các vị lãnh đạo Đảng và Nhà nước Việt Nam. Những trang web này đã tồn tại khá lâu, nhưng cơ quan chức năng dường như không bận tâm và không chủ động đính chính công khai về tính chính danh của chúng. Chuyện gì xảy ra nếu các trang web này một ngày kia đăng tải những thông tin vu khống hay thiếu trung thực về các vị lãnh đạo Đảng và Nhà nước kia? Ảnh hưởng của những thông tin này tới dư luận ra sao, nếu họ không biết rằng đây là những trang web giả mạo?
Như phân tích của chuyên gia bảo mật Hoàng Ngọc Diêu dưới đây, thì đằng sau các trang web này là cùng một tổ chức, với kinh phí khá lớn cho cơ sở hạ tầng (chưa kể là nhân sự). Họ là ai và mục đích của họ là gì?
Sáng nay rảnh, ngồi táy máy một tí các trang "lãnh đạo" thì thấy khá nhiều điểm lý thú.
1. Tên miền:
Dựa vào trang khởi đầu là nguyentandung.org, lần theo những đường dẫn đến hàng loạt các trang khác như: trandaiquang.net, nguyenthiennhan.net, nguyensinhhung.net, truongtansang.net, nguyenphutrong.net, nguyenbathanh.net. Tất nhiên các tên miền trong "bộ" như. com,. org,. biz,. info,. biz, thậm chí. us cũng có đầy đủ cho hầu hết các tên miền trên (ngoại trừ nguyentandung chỉ có. biz và. info, có lẽ ai đó thuổng mất mất tên miền "đẹp" của đồng chí X trước đó rồi). Tính ra ngót nghét gần 50 cái tên miền (thật sự bao nhiêu thì chưa rõ). Nếu tính theo "giá thị trường" thì cỡ $7 / năm, suy ra "ngân sách" cho tên miền không cũng phải là $7 x 7 x 6 # $294 / năm. Đó là chưa kể có vài tên miền đăng ký sẵn 2, 3 năm. Kinh phí chỉ cho tên miền chừng vài trăm đô la là chuyện nhỏ ;).
2. Thử đào sâu thêm thì thấy:
nguyenphutrong.net
173.212.212.196184.82.202.136
trandaiquang.net
173.212.212.197184.82.202.137
nguyentandung.org
173.212.212.198184.82.202.130
truongtansang.net
173.212.212.200184.82.202.132
nguyensinhhung.net
173.212.212.201184.82.202.133
nguyenthiennhan.net
184.82.50.8664.191.87.66
nguyenbathanh.net
184.82.50.8264.191.87.117
Nhìn xuyên qua thì thấy:
- Những trang này nhất định do 1 nhóm quản lý vì không có cách gì nhiều nhóm mà có những IP sát nhau như vậy được. Nếu thuê mướn VPS thì chắc chắn không thể có IP liên tiếp sát nhau mà phải là những IP trải rộng ra.
- Những trang ở trên được host trên ít nhất là 4 dedicated servers mỗi server có một chuỗi 5 hoặc 6 IP thuộc mạng 173.212.212., 184.82.202., 184.82.50. và 64.191.87.
- Mỗi site được cân bằng tải bằng 2 IP khác nhau.
Với 4 con dedicated servers thế này, giá bèo lắm mỗi tháng phải $60 / con nhưng thực tế cần phải share ra nhiều site và mỗi site có hàng chục triệu "page view" như thế thì chắc chắn không phải là loại $60 / tháng mà phải là loại $150 - $200 / tháng là tối thiểu. Cứ cho trung bình 1 con là $ 175 / tháng thì:
$175 x 4 x 12 = $8400 / năm.
3. Thử xem "static" contents thì thấy:
cdn9.trandaiquang.net CNAME cdn.trandaiquang.net.
184.82.202.21
64.120.131.24
cdn9.nguyenthiennhan.net CNAME cdn.nguyenthiennhan.net.
184.22.148.22
cdn9.nguyensinhhung.net CNAME cdn.nguyensinhhung.net.
184.82.202.25
64.120.131.19
static9.nguyentandung.org CNAME static.nguyentandung.org.
173.212.204.116
184.82.202.22
184.82.167.100
64.120.131.22
64.120.231.132
cdn9.truongtansang.net CNAME cdn.truongtansang.net.
64.120.131.25
184.82.202.24
cdn9.nguyenphutrong.net CNAME cdn.nguyenphutrong.net.
184.82.202.20
64.120.131.18
cdn9.nguyenbathanh.net CNAME cdn.nguyenbathanh.net.
184.22.148.18
Điều này cho thấy, ngoài các con servers ở trên, hệ thống này có có những con dedicated servers chứa static contents, ít nhất là 5 con ở 5 mạng: 184.22.148., 64.120.131., 184.82.167.100, 64.120.231.132, 173.212.204.116.
Thường các con servers chạy static contents thì không cần cấu hình cao nhưng để phục vụ cho ít nhất 7 sites với hàng chục triệu "page view" cho mỗi site như thế thì mỗi con cũng phải ít lắm là $100 / tháng. Vậy thì:
$100 x 5 x 12 = $6000 / năm.
Tổng cộng 1, 2 và 3: $294 / năm + $8400 / năm + $6000 / năm = $14,694 / năm.
Bọn amateur nào mà lắm tiền thế? Đó là chưa kể thời gian thu thập hình ảnh, viết bài, đăng bài, copy bài, chăm sóc sites v.v... Kinh phí này là bao nhiêu?
______________________
- Điều lý thú là tất cả các sites trên, kể cả những trang chứa static contents tiếp diện với Internet hoàn toàn chạy trên nginx. Các trang chính có vẻ như chạy trên nền wordpress và sử dụng một template tương tự nhau.
- Tất cả các tên miền đều sử dụng chức năng "privacy" để che giấu danh tính của người đăng ký và quản lý tên miền. Tại sao phải che giấu?
- Đặc biệt tên miền nguyenthiennhan.net thì có thông tin whois như sau:
Registrant Contact Details:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - Visit PrivacyProtect.org to contact the domain owner/operator
Nobby Beach
Queensland,QLD 4218
AU
Tel. +45.36946676
đây là "chữ ký" đặc thù đã được phân tích trên trang hvaonline.net về việc hvaonline bị tấn công từ chối dịch vụ nặng nề trong khoảng giữa năm 2011 (http://www.hvaonline.net/hvaonline/posts/list/39641.hva). Những "masters" chứa khẩu lệnh cho botnet tấn công hvaonline hầu hết sử dụng cùng "chữ ký" trên.
Những dấu tích, biểu hiện của những thông tin trên làm tôi phải nhớ đến các "anh hùng" STL một thời lừng lẫy.
a. Tiền ở đâu ra và nhân lực ở đâu ra mà STL đã duy trì hàng loạt các tên miền, các máy chủ? Và tiền ở đâu ra, nhân lực ở đâu ra mà các vị "lãnh đạo" ở trên duy trì hàng loạt các tên miền, các máy chủ như trên?
b. Tại sao cũng là nginx? Trong quá trình phân tích mã của những "sản phẩm" [mã độc] của Sinh Tử Lệnh (STL) ở trên diễn đàn HVA từ 2010 đến 2011, TẤT CẢ những cơ sở hạ tầng của mà STL dùng đều chạy trên nginx. Có lẽ họ nghĩ rằng nginx bảo mật, khó tấn công.
c. Tại sao cũng là che đậy danh tính người đăng ký và quản lý tên miền?
d. Tại sao cũng là "chữ ký" Nobby Beach, Queensland AU" mà lại có số điện thoại của Đan Mạch?
e. Tại sao cũng là bơm thổi chế độ và những trò "bạch hoá" sặc mùi như nhau?
Như phân tích của chuyên gia bảo mật Hoàng Ngọc Diêu dưới đây, thì đằng sau các trang web này là cùng một tổ chức, với kinh phí khá lớn cho cơ sở hạ tầng (chưa kể là nhân sự). Họ là ai và mục đích của họ là gì?
Sáng nay rảnh, ngồi táy máy một tí các trang "lãnh đạo" thì thấy khá nhiều điểm lý thú.
1. Tên miền:
Dựa vào trang khởi đầu là nguyentandung.org, lần theo những đường dẫn đến hàng loạt các trang khác như: trandaiquang.net, nguyenthiennhan.net, nguyensinhhung.net, truongtansang.net, nguyenphutrong.net, nguyenbathanh.net. Tất nhiên các tên miền trong "bộ" như. com,. org,. biz,. info,. biz, thậm chí. us cũng có đầy đủ cho hầu hết các tên miền trên (ngoại trừ nguyentandung chỉ có. biz và. info, có lẽ ai đó thuổng mất mất tên miền "đẹp" của đồng chí X trước đó rồi). Tính ra ngót nghét gần 50 cái tên miền (thật sự bao nhiêu thì chưa rõ). Nếu tính theo "giá thị trường" thì cỡ $7 / năm, suy ra "ngân sách" cho tên miền không cũng phải là $7 x 7 x 6 # $294 / năm. Đó là chưa kể có vài tên miền đăng ký sẵn 2, 3 năm. Kinh phí chỉ cho tên miền chừng vài trăm đô la là chuyện nhỏ ;).
2. Thử đào sâu thêm thì thấy:
nguyenphutrong.net
173.212.212.196184.82.202.136
trandaiquang.net
173.212.212.197184.82.202.137
nguyentandung.org
173.212.212.198184.82.202.130
truongtansang.net
173.212.212.200184.82.202.132
nguyensinhhung.net
173.212.212.201184.82.202.133
nguyenthiennhan.net
184.82.50.8664.191.87.66
nguyenbathanh.net
184.82.50.8264.191.87.117
Nhìn xuyên qua thì thấy:
- Những trang này nhất định do 1 nhóm quản lý vì không có cách gì nhiều nhóm mà có những IP sát nhau như vậy được. Nếu thuê mướn VPS thì chắc chắn không thể có IP liên tiếp sát nhau mà phải là những IP trải rộng ra.
- Những trang ở trên được host trên ít nhất là 4 dedicated servers mỗi server có một chuỗi 5 hoặc 6 IP thuộc mạng 173.212.212., 184.82.202., 184.82.50. và 64.191.87.
- Mỗi site được cân bằng tải bằng 2 IP khác nhau.
Với 4 con dedicated servers thế này, giá bèo lắm mỗi tháng phải $60 / con nhưng thực tế cần phải share ra nhiều site và mỗi site có hàng chục triệu "page view" như thế thì chắc chắn không phải là loại $60 / tháng mà phải là loại $150 - $200 / tháng là tối thiểu. Cứ cho trung bình 1 con là $ 175 / tháng thì:
$175 x 4 x 12 = $8400 / năm.
3. Thử xem "static" contents thì thấy:
cdn9.trandaiquang.net CNAME cdn.trandaiquang.net.
184.82.202.21
64.120.131.24
cdn9.nguyenthiennhan.net CNAME cdn.nguyenthiennhan.net.
184.22.148.22
cdn9.nguyensinhhung.net CNAME cdn.nguyensinhhung.net.
184.82.202.25
64.120.131.19
static9.nguyentandung.org CNAME static.nguyentandung.org.
173.212.204.116
184.82.202.22
184.82.167.100
64.120.131.22
64.120.231.132
cdn9.truongtansang.net CNAME cdn.truongtansang.net.
64.120.131.25
184.82.202.24
cdn9.nguyenphutrong.net CNAME cdn.nguyenphutrong.net.
184.82.202.20
64.120.131.18
cdn9.nguyenbathanh.net CNAME cdn.nguyenbathanh.net.
184.22.148.18
Điều này cho thấy, ngoài các con servers ở trên, hệ thống này có có những con dedicated servers chứa static contents, ít nhất là 5 con ở 5 mạng: 184.22.148., 64.120.131., 184.82.167.100, 64.120.231.132, 173.212.204.116.
Thường các con servers chạy static contents thì không cần cấu hình cao nhưng để phục vụ cho ít nhất 7 sites với hàng chục triệu "page view" cho mỗi site như thế thì mỗi con cũng phải ít lắm là $100 / tháng. Vậy thì:
$100 x 5 x 12 = $6000 / năm.
Tổng cộng 1, 2 và 3: $294 / năm + $8400 / năm + $6000 / năm = $14,694 / năm.
Bọn amateur nào mà lắm tiền thế? Đó là chưa kể thời gian thu thập hình ảnh, viết bài, đăng bài, copy bài, chăm sóc sites v.v... Kinh phí này là bao nhiêu?
______________________
- Điều lý thú là tất cả các sites trên, kể cả những trang chứa static contents tiếp diện với Internet hoàn toàn chạy trên nginx. Các trang chính có vẻ như chạy trên nền wordpress và sử dụng một template tương tự nhau.
- Tất cả các tên miền đều sử dụng chức năng "privacy" để che giấu danh tính của người đăng ký và quản lý tên miền. Tại sao phải che giấu?
- Đặc biệt tên miền nguyenthiennhan.net thì có thông tin whois như sau:
Registrant Contact Details:
PrivacyProtect.org
Domain Admin (contact@privacyprotect.org)
ID#10760, PO Box 16
Note - Visit PrivacyProtect.org to contact the domain owner/operator
Nobby Beach
Queensland,QLD 4218
AU
Tel. +45.36946676
đây là "chữ ký" đặc thù đã được phân tích trên trang hvaonline.net về việc hvaonline bị tấn công từ chối dịch vụ nặng nề trong khoảng giữa năm 2011 (http://www.hvaonline.net/hvaonline/posts/list/39641.hva). Những "masters" chứa khẩu lệnh cho botnet tấn công hvaonline hầu hết sử dụng cùng "chữ ký" trên.
Những dấu tích, biểu hiện của những thông tin trên làm tôi phải nhớ đến các "anh hùng" STL một thời lừng lẫy.
a. Tiền ở đâu ra và nhân lực ở đâu ra mà STL đã duy trì hàng loạt các tên miền, các máy chủ? Và tiền ở đâu ra, nhân lực ở đâu ra mà các vị "lãnh đạo" ở trên duy trì hàng loạt các tên miền, các máy chủ như trên?
b. Tại sao cũng là nginx? Trong quá trình phân tích mã của những "sản phẩm" [mã độc] của Sinh Tử Lệnh (STL) ở trên diễn đàn HVA từ 2010 đến 2011, TẤT CẢ những cơ sở hạ tầng của mà STL dùng đều chạy trên nginx. Có lẽ họ nghĩ rằng nginx bảo mật, khó tấn công.
c. Tại sao cũng là che đậy danh tính người đăng ký và quản lý tên miền?
d. Tại sao cũng là "chữ ký" Nobby Beach, Queensland AU" mà lại có số điện thoại của Đan Mạch?
e. Tại sao cũng là bơm thổi chế độ và những trò "bạch hoá" sặc mùi như nhau?
Không có nhận xét nào: