31/10/2017

Các ứng dụng có quyền truy cập camera trên iPhone có thể bí mật chụp ảnh, quay camera

iPhone đang gặp phải một vấn đề quan trọng bảo mật, cho phép các nhà phát triển ứng dụng iOS có thể chụp ảnh và ghi lại video trực tiếp bằng cả camera phía trước và sau mà không hề thông báo hay cần sự đồng ý của người dùng.

Theo thông tin trong bài blog của nhà phát triển phần mềm người Úc và cũng là kỹ sư của Google Felix Krause, vấn đề tồn tại trong cách phần mềm của Apple xử lý quyền truy cập máy ảnh.

Rõ ràng, có một lý do chính đáng cho nhiều ứng dụng, như Facebook, WhatsApp, và Snapchat, yêu cầu truy cập vào máy ảnh để chụp ảnh trong ứng dụng.
Vì vậy, việc hệ thống cho phép không phải là lỗi hay lỗ hổng mà là một tính năng, và nó hoạt động chính xác theo cách mà Apple đã thiết kế nó, nhưng Krause cho biết bất kỳ ứng dụng độc hại nào cũng có thể tận dụng tính năng này để ghi lại hoạt động của người dùng.

Các ứng dụng trên iPhone đều có thể âm thầm bật camera bất cứ lúc nào
Krause giải thích rằng việc truy cập máy ảnh cũng có thể cho phép các nhà phát triển ứng dụng iOS có thể:
- truy cập cả camera trước và sau của thiết bị
- chụp ảnh, ghi hình bất cứ lúc nào ứng dụng đó được chạy
- tải và thu thập các nội dung đã được ghi và
- chạy phần mềm nhận diện khuôn mặt thời gian thực để đọc các biểu hiện trên khuôn mặt của bạn
mà không thông báo hay cảnh báo cho người dùng.
Do Apple chỉ yêu cầu người dùng cho phép truy cập máy ảnh một lần khi cấp phép cho một ứng dụng và cho phép truy cập thoải mái vào máy ảnh mà không yêu cầu đèn LED hoặc bất kỳ thông báo nào, Krause giải thích rằng một ứng dụng độc hại có thể tận dụng lỗi này để theo dõi gián điệp của người dùng.
Các nhà nghiên cứu thậm chí đã phát triển một ứng dụng PoC để chứng minh làm thế nào một ứng dụng độc hại có thể lạm dụng các quyền đó để âm thầm chụp ảnh của bạn, hoặc thậm chí quay video trực tiếp từ phía trước và phía sau của máy ảnh mà không thông báo cho bạn.

Cách bảo vệ quyền riêng tư
Krause đề nghị Apple nên đưa ra cách cấp phép tạm thời để truy cập vào máy ảnh, cho phép các ứng dụng chụp ảnh trong một khoảng thời gian giới hạn, và sau đó thu hồi quyền này sau đó.
Một cách khác là trang bị một đèn cảnh báo hoặc thông báo cho iPhone gửi cảnh báo cho người dùng khi ứng dụng thực hiện việc chụp ảnh hay ghi hình.
Quan trọng nhất là không cho phép các ứng dụng độc xâm nhập vào điện thoại bằng việc tải ứng dụng từ các kho chính thống và đọc các nhận xét của người dùng trước đó về ứng dụng và nhà phát triển.

Dịch WHVN - Theo THN

28/10/2017

Microsoft ra mắt Sonar cho phép kiểm tra hiệu năng và bảo mật của các website

Cha đẻ của trình duyệt Microsoft Edge đã chính thức tung ra một công cụ mã nguồn mở mới với công dụng kiểm tra hiệu năng và lỗ hổng bảo mật cho bất kỳ trang web nào.

Công cụ này có tên Sonar, đóng vai trò như một máy quét trang với mục đích giúp các lập trình viên xây dựng những trang web tốt hơn, nhanh hơn và an toàn hơn. Hiện tại, Sonar có thể được sử dụng như một dịch vụ web do Microsoft điều hành hoặc như một công cụ dòng lệnh cho những ai thích mày mò nghiên cứu sâu hơn để tích hợp nó vào nguyên tắc cũng như quy trình làm việc của chính họ.

Microsoft đã tài trợ dự án Sonar cho quỹ JS hồi đầu năm nay. Tuy nhiên, giờ đây bạn sẽ không cần phải là một lập trình viên “khủng” để sử dụng những dòng mã lệnh phức tạp nữa mà chỉ cần truy cập vào trang web của Sonar, nhập địa chỉ trang web của bạn vào và đợi hệ thống phân tích là xong.
Sonar là một công cụ hữu hiệu mà không hề khó sử dụng.

Đội ngũ đứng sau dự án Sonar cho biết cách tiếp cận để phân tích các trang web của họ không giống như những công cụ tương tự khác. Cụ thể, họ xử lý đoạn code ngay trong một container và tiến hành các bài thử nghiệm, đánh giá của mình song song với nhau. Bên cạnh đó, Sonar được tích hợp những công cụ tân tiến khác như aXe Core, AMP validator, snyk.io, SSL Labs và Cloudinary.

Nhóm nghiên cứu cũng nhấn mạnh ưu tiên hàng đầu của họ chính là người dùng và họ muốn đặt người dùng vào trung tâm của sự trải nghiệm. Ông Anton Molleda, trưởng dự án Microsoft Edge, giải thích rằng: “Không chỉ thông báo lỗi của trang web cho các lập trình viên, Sonar còn có khả năng phân tích và chỉ ra nguyên nhân của những lỗi đó. Điều này là vô cùng quan trọng vì từ những phân tích đó, các lập trình viên sẽ có thể quyết định đặc điểm, tính năng nào là tốt nhất cho trang web mà họ đang lập trình”.

Molleda cũng cho biết: “Các yêu cầu cho mỗi trang web luôn thay đổi liên tục. Ví dụ, một trang web mạng nội bộ và một trang web mua sắm sẽ có những nhu cầu cũng như chức năng khác nhau. Vì thế, Sonar cũng sẽ có những thiết lập và mở rộng dễ dàng dành riêng cho từng trang với cách sử dụng vô cùng đơn giản”.


Các bạn có thể trải nghiệm Sonar tại đây nhé!

Dịch GK - Theo: TechCrunch

26/10/2017

Cảnh báo các mã khai thác tiền ảo lợi dụng trình duyệt người dùng

“Vào thời điểm hiện tại, Cryptocurrencies là tất cả “. Bitcoin, altcoins, blockchain, ICO, trang trại khai thác, tỷ giá hối đoái tăng vọt - bạn thấy hoặc nghe điều này mỗi ngày trong tin tức bây giờ. Tất cả điều đó tạo thành một hiệu ứng bandwagon. Mọi người dường như đang cố gắng nhảy vào bandwagon này một cách điên cuồng, từ những nhà đầu tư cho đến những hacker...

Với xu thế đó dẫn tới một hệ quả đó là sự xuất hiện và nổi lên của các nền tảng trực tuyến dựa trên nền tảng web, cho phép những người quản trị web có thể cài đặt các công cụ đào tiền ảo vào trang web của họ như một phương tiện kiếm tiền.

Một số platform đáng chú ý cung cấp một số mã javascript cho các trang web đó là JSE và Coinhive.
Một điều moi người đều biết đó là các chương trình viết để khai thác GPU (Graphics Processing Unit) trong card màn hình máy tính đòi hỏi các công cụ đặc biệt phức tạp. Tại một cuộc thi Hackathon, một số lập trình viên đã tung ra một thư viện javascript cho phép bạn tạo ra các “kernel” function để thực thi trên GPU của hệ thống.

Tuy nhiên thời điểm gần đây, các mã javascript đã được thay đổi, các mã đó hoạt động trên nền của trình duyệt của client truy cập đến server, thực hiện việc khai thác coin bằng cách tận dụng CPU dư thừa của máy tính. Và đây là những gì sẽ xảy ra với máy tính của bạn khi truy cập trang web có JSE và Coinhive.
Trước đây, trang web PirateBay chuyên cung cấp các bản Torrent cũng đã có trường hợp như vậy.
Những điều trên dẫn đến việc một số mã javascript được chèn vào trang web do các hacker tấn công vào web server và để lại mã, thực thi đào coin và chuyển về cho hacker.

Malicious Injection với CoinHive.
Một số quản trị viên đã phát hiện ra việc các processing hoạt động ở mức cao hơn cho phép. Một số còn phát hiện thấy các mã của CoinHive trong trang web của họ.
Coinhive trên trang security.fblaster[.]com
Có thể đây không phải là cách sử dụng CoinHive đúng đắn bởi nó sử dụng một đường link dẫn từ script của trang CoinHive về.
Một điều mọi người tưởng chừng như tệ hại nhất đó là những hacker chỉ việc tiêm các mã javascript này chứa thêm các mã khóa trong mã của của coinhive thì vừa mới hôm qua đã có thêm một tin tức được thông báo. “CoinHive đã bị hack!”

Vậy điều gì đã xảy ra?
Một hacker nào đó đã chiếm quyền kiểm soát tài khoản CloudFlare của Coinhive cho phép hacker này sửa đổi các bản ghi của máy chủ DNS và thay thế mã javascript chính thức của CoinHive được nhúng vào hàng ngàn Website có chứa phiên bản mã độc.

Có một điều thức sự bất ngờ đó là hacker đã sử dụng lại một mật khẩu cũ để truy cập tài khoản CloudFlare của CoinHIve đã bị rò rỉ trong vụ vi phạm dữ liệu trên Kickstarter vào năm 2014.

Theo các báo cáo, vào đêm 23 tháng 10, các bản ghi DNS đã bị thay đổi để chuyển hướng các request của url “coinhive.min.js” tới máy chủ bên thứ ba. Máy chủ bên thứ ba này lưu trữ một phiên bản sửa đổi của tệp Javascript với web key được mã hóa. Kết quả là hàng ngàn website với việc sử dụng script từ CoinHive đã bị lừa.

Các trình duyệt website của bạn có thể khai thác bí mật các mã Cryptocurrencies cho các hacker.
“Sáng tạo nhưng lại bị lạm dụng!”​
Làm thế nào để tránh được các trang web sử dụng mã Javascript để đào coin.?
Do những quan ngại đã được đề cập, một số sản phẩm antivirus, bao gồm cả MalwareBytes và Kaspersky cũng đã bắt đầu chặn script CoinHive và các mã javascript khác liên quan đến sử dụng process của CPU bất hợp pháp nhằm ngăn chặn việc bị quá tải trên hệ thống.


Bạn có thể cài đặt NoCoin hoặc minerBlock, một plugins nhỏ để chặn coin miner cũng như CoinHive.

Kết luận
Nếu một điều gì đó có thể cài đặt lên một trang web và kiếm tiền(ads, miner coin,….), hacker sẽ thực hiện nó trên các trang web mà họ đã hack được. Vì vậy, cách tốt nhất để để các quản trị web đó là “giám sát toàn vẹn” các trang web. Sucuri cũng đã cung cấp một dịch vụ liên quan đến vấn đề này, đường link dưới đây các bạn có thể tham khảo:
https://sucuri.net/website-security-platform/malware-scanning-and-detection

Chung quy lại, điều này cũng phụ thuộc vào trách nhiệm của các quản trị viên web. Nếu thực sự họ muốn làm điều xấu đối với các client thì chính họ cũng có thể chèn các mã này vào trang web của chính họ để trục lợi bởi tiền ảo đã,đang và vẫn sẽ là cơn sốt trên toàn thế giới. Người sử dụng hay truy cập đến các trang web cũng nên tự tìm cách bảo vệ mình trong thế giới đầy rẫy những hiểm họa này!.


Bài viết có tham khảo một số nguồn dẫn trên mạng bao gồm: Thehackernews, SucuriBlog - Tg: krone từ Whitehat 

Mã độc mã hóa dữ liệu Bad Rabbit đang lan rộng

Bad Rabbit, mã độc mã hóa dữ liệu với 67% mã nguồn tương tự mã độc Petya đã khiến cả thế giới “điên đảo” hồi tháng 6, đang tấn công Nga và Ukraine, cùng nhiều quốc gia khác như Bungari, Đức và Thổ Nhĩ Kỳ…

Đến thời điểm hiện tại, nạn nhân là các kênh tin tức lớn như: Hãng thông tấn Interfax của Nga, hệ thống Kiev Metro của Ukraine, Sân bay Quốc tế Odessa và các bộ hạ tầng và tài chính của Ukraine.
Tin nhắn đòi tiền chuộc của Bad Rabbit

Tuy nhiên, các chuyên gia nhận định Bad Rabbit sẽ không lây lan như WannaCry do thiếu cơ chế lan truyền qua EternalBlue.
Thay vào đó, Bad Rabbit sử dụng các thông tin đăng nhập bị đánh cắp được mã hóa cứng thông qua SMB, trước tiên là từ xa ăn cắp mật khẩu từ máy tính bị nhiễm thông qua công cụ khai thác mật khẩu Mimikatz và sử dụng một danh sách tên người dùng/mật khẩu được mã hóa cứng trong mã nhị phân.
Ngoài ra còn có một kết nối Adobe Flash Player giả mạo: một dropper của Diskcoder.D hiện ra như một trình cài đặt Flash Player.

Theo các nhà nghiên cứu tại Kaspersky, đây là một cuộc tấn công nhắm mục tiêu vào các mạng công ty, sử dụng các phương pháp tương tự như trong cuộc tấn công ExPetr hồi tháng 6. “Dropper của ransomware được phân phối với sự trợ giúp của các cuộc tấn công drive-by. Trong khi mục tiêu đang truy cập vào một trang web hợp pháp, một dropper độc hại được tải xuống từ hạ tầng của tin tặc. Nạn nhân sẽ phải tự thực thi dropper độc hại đang giả mạo là trình cài đặt Adobe Flash".

Adam Meyers, phó chủ tịch tình báo tại CrowdStrike, cho biết Bad Rabbit dường như đã được lây nhiễm thông qua trang web argumentiru.com, một trang web về người nổi tiếng và tin tức ở Nga và Đông Âu. "CrowdStrike Intelligence có thể khẳng định rằng trang web này đã lưu trữ một gói JavaScript độc hại vốn là một cuộc tấn công Web Strategic Web Compromise (SWC) vào ngày 24 tháng 10 năm 2017".


CrowdStrike cũng tìm thấy nhiều bằng chứng về mối liên hệ với kẻ tấn công sử dụng NotPetya: Bad Rabbit và NotPetya DLL "chia sẻ 67% mã nguồn, điều này có khả năng là cùng một tin tặc đứng sau cả hai cuộc tấn công", Meyers cho biết.

Theo Dark Reading​

24/10/2017

Mã độc móc túi thuê bao Android vô tư xuất hiện trên Google CH Play

Theo ước lượng từ số lượt tải thì có ít nhất 640.000 và nhiều nhất là 2.6 triệu thuê bao Android đã bị dính dòng mã độc này. Nếu tính giá subscribe dịch vụ chỉ 2000 VNĐ/ngày thì mỗi ngày thuê bao đã bị móc 1.2–5.2 tỉ VNĐ, cứ đều đều thế này thì không biết 1 năm bao nhiêu tỉ.

Thực ra loại mã độc này không phải là quá mới lạ. Nó được được rất nhiều tổ chức bảo mật trên thế giới và ngay cả Việt Nam cảnh báo. Chỉ là không ngờ nó lại ngang nhiên tồn tại trên Google Store dẫn tới số lượng người bị ảnh hưởng lớn đến như vậy. Tính theo thời gian của version gần nhất có mã độc thì ít nhất việc này đã xảy ra từ tháng 3, tháng 4 năm nay.

Cách thức hoạt động của nó là?
Các mã độc được ẩn mình trong các ứng dụng Android. Thậm chí có ứng dụng còn có tên là “Diệt Virus — Quét Virus 2017”. Khi người dùng cài đặt và chạy ứng dụng, mã độc sẽ thực hiện tự động tắt wifi để chuyển sang dùng Mobile Data. Mục đích là để tận dụng các tiện ích nhận dạng thuê bao tự động của các nhà mạng để đăng ký tự động các dịch vụ VAS mà người dùng không hề hay biết. 

Mã độc giả mạo hành vi truy cập trang web dịch vụ VAS, sau đó giả mạo luôn hành vi đăng ký dịch vụ của người dùng. Nhìn từ phía các server sẽ không thể phân biệt được đó là người dùng tự đăng ký hay do mã độc bởi nó giả mạo mọi thông tin trong bản tin HTTP request gửi về server, y hệt như cách người dùng vào trình duyệt và truy cập. Bởi thế, ngay cả các phương pháp phòng vệ bước 2 của nhà mạng cũng bị mã độc này vượt qua.

Chi tiết luồng kỹ thuật
Mọi người có thể tham khảo lịch sử kết nối của 1 trường hợp như dưới đây:
Đây là case khi cài phần mềm AppLock Hide Pictures & Videos. Ngay sau khi cài đặt, chạy ứng dụng này lên, lập tức ứng dụng xin được tắt Wifi để chạy Mobile Data. Test thử nghiệm ứng dụng “Diệt Virus — Quét Virus 2017” trên 1 máy đã root thì thậm chí không có cảnh báo nào, máy tự tắt Wifi, bật Mobile Data. (Theo như reverse thì nó còn chủ động chuyển máy về trạng thái Silent) Sau đó:
1. Nó truy cập đến C&C Server 139.162.12.9 để báo danh:
/JXEnterprise/sdk/853d221d2f4f4ea8/com.hidepicturesandvideos.applocker/5101
 — Trong đó đoạn đầu là fix bởi JXSDK, 1 SDK chắc dành riêng cho lậu, vì tôi đã search nhưng không tìm ra kết quả
 — 5101 là mã do developer truyền vào. Tất cả các app dính lậu được phát hiện đều truyền vào tham số này. Phải chăng họ cùng 1 team, chỉ là chia ra nhiều account Google Develope? Hoặc cùng được 1 người thuê?

2. C&C Server sẽ trả về cho nó link dịch vụ VAS cần kích hoạt lậu
gamestore.vn/?page=wapreg&mm=2201
(Có 1 điểm rất đặc biệt là nếu các bạn vào thăm trang web này, truy cập mục game Tải nhiều thì sẽ thấy tất cả các game đều có lượt mua bằng nhau: 41220 lượt. F5 thử vài lần cũng không thấy có gì thay đổi)
3. Các bạn có thể thấy trong bảng list lịch sử kết nối, các trường User-agent và Refferer đều được điền đầy đủ, clone y hệt một luồng đăng ký bằng trình duyệt của người dùng thông thường. Qua 1 loạt các bước hoạt động theo chỉ dẫn của C&C Server, mã độc đã giả mạo được người dùng để vượt qua các bước đăng ký dịch vụ của GameStore.VN và các bước xác thực của nhà mạng.

4. Và ting ting, thuê bao nhận được thông báo chúc mừng mà đa phần mọi người sẽ coi là tin nhắn rác.
Tìm thử 1 loạt các ứng dụng khác trên Google CH Play, appstore chính thống cho smartphone Android của Google, vẫn thấy 1 loạt các ứng dụng sau có hành vi tương tự
vn.lichvannien.lichamduongvietnam (GooglePlay, 50.000–100.000 lượt cài)
com.antivirus.virusremover.security (GooglePlay, 100.000–500.000 lượt cài)
com.weatherforecast.weatherwidget (GooglePlay, 50.000–100.000 lượt cài)
com.captain.qrcodescanner.barcodescannerreader (GooglePlay, 100.000–500.000 lượt cài)
com.captainstudio.musicplayerandvideoplayer (GooglePlay, 10.000–50.000 lượt cài)
com.captain.lovebyte.lovedaycounter (GooglePlay, 100.000–500.000 lượt cài)
com.captain.callrecorder (GooglePlay, 10.000–50.000 lượt cài)
com.crackscreen.prankscreencrack (GooglePlay, 50.000–100.000 lượt cài)
com.weed.assistivetouch.easytouch (GooglePlay, 100.000–500.000 lượt cài)
com.hidepicturesandvideos.applocker (GooglePlay, 10.000–50.000 lượt cài)
com.cameraselfie.filtercamera (GooglePlay, 50.000–100.000 lượt cài)
com.memorycleaner.speedbooster.memorybooster (GooglePlay, 10.000–50.000 lượt cài, )
Các ứng dụng này đến từ 3 nhà phát triển:
- Captain Studio
- Weed Studio
- Pontus Studio

Đôi lời nhắn gửi
 — Với các nhà mạng: hãy nhanh chóng chặn C&C để bảo vệ khách hàng Việt Nam và cả vì an ninh quốc gia. Tưởng tượng nửa triệu thuê bao này được huy động vào 1 chiến dịch tấn công nào đó thì ảnh hưởng sẽ lớn đến thế nào. Các công ty cung cấp nội dung (CP) đôi khi chỉ là công cụ, bị lợi dụng để các đối tượng có mục tiêu lớn hơn phát triển botnet. Bởi lẽ kiểm soát mạng lưới các điện thoại nhiễm mã độc này là 1 C&C đặt tại Singapore chứ không phải các CP.
 — Với đông đảo người dùng: hãy kiểm tra xem mình có sử dụng các ứng dụng này không bằng cách lấy tên các gói phần mềm ở trên cho vào link này để lấy tên app hiển thị và logo ứng dụng:
 https://play.google.com/store/apps/details?id=<tên gói ở trên>
VD: https://play.google.com/store/apps/details?id=com.hidepicturesandvideos.applocker
 + Nếu thấy hãy lập tức gỡ bỏ ứng dụng và kiểm tra tài khoản của mình. Nếu bị trừ tiền oan, hãy liên hệ với nhà mạng đòi lại tiền cho mình. Các CP tham gia móc túi người dùng cần phải chịu trách nhiệm cho các hành động gian trá ấy.
 — Với Google: các bạn hãy làm tốt hơn công tác kiểm duyệt và hậu kiểm, xử lý cả app và các nhà phát triển bẩn

 Update:
-18/10/2017: Jason, Phụ trách chương trình chống Mã độc của Google CH Play đã xác nhận cảnh báo này. Google đã gỡ bỏ toàn bộ các apps được cảnh báo. Search thử WeesStudio, không thấy có kết quả nào. Có lẽ Google đã xử cả nhà phát triển ;)
- 13/10/2017: Các ứng dụng của Weed Studio đã mới được cập nhật lại hôm 10/10/2017 và hạn chế thị trường Việt Nam, tức là đúng hôm chúng tôi gửi cảnh báo. Chúng chỉ được mở lại ở Việt Nam vào 13/10/2017.

Theo: kindachubbytiger

18/10/2017

Lỗ hổng mã hóa nghiêm trọng cho phép phục hồi khóa riêng tư RSA trên thiết bị

Nếu bạn nghĩ rằng tấn công KRACK trên các thiết bị WiFi là lỗ hổng nguy hiểm nhất năm nay thì bạn đã nhầm … Một lỗ hổng nghiêm trọng mới trong thư viện mã hóa RSA được các công  ty Microsoft, Google, Lenovo, HP và Fujitsu cảnh báo, ảnh hưởng tới hàng tỷ thiết bị.

Lỗ hổng CVE-2017-15361 là lỗ hổng liên quan tới mã hóa nằm trong phương thức tạo cặp khóa RSA bởi Trusted Platform Module (TPM) thuộc công ty Infineon. TPM Infineon được sử dụng rỗng rãi, thiết kế vi xử lý chuyên biệt nhằm bảo vệ phần cứng bằng cách tích hợp khóa mã hóa vào thiết bị và được sử dụng cho quá trình mã hóa an toàn.

Lỗ hổng “5 tuổi” được phát hiện bởi các nhà nghiên cứu tại đại học Masaryk, cộng hòa Séc. Các nhà nghiên cứu cũng đã phát hành bài đăng chi tiết về lỗ hổng cũng như một công cụ trực tuyến nhằm kiểm tra khóa RSSA có bị ảnh hưởng bởi lỗ hổng hay không.
ROCA: Tấn công khôi phục khóa riêng tư RSA
Tấn công khôi phục khóa được các nhà nghiên cứu đặt tên ROCA (Return of Coppersmith’s Attack), cho phép tin tặc tính toán ngược khóa mã hóa riêng tư thông qua khóa công khai. Tin tặc từ đó có thể giả mạo, giải mã dữ liệu của nạn nhân, đưa mã độc vào chứng chỉ kí số và vượt các cơ chế bảo vệ.

Tấn công ROCA ảnh hưởng hàng tỷ thiết bị
Tấn công ROCA ảnh hưởng trên các chip xử lý sản xuất bởi Infineon kể từ năm 2012, được sử dụng rộng rãi trong thẻ căn cước, bo mạnh chủ để lưu trữ mật khẩu, mã ủy quyền, khi duyệt web an toàn, khi các phần mềm và ứng dụng kí số và cơ chế bảo vệ tin nhắn như PGP.

Lỗ hổng làm suy yến an ninh chính phủ và các tổ chức sử dụng thư viện và chip mã hóa của Infineon. Hầu hết các phiên bản Windows, thiết bị Google Chromebook phát triển bởi HP, Lenovo và Fujitsu có nguy cơ bị tấn công. Số lượng khóa mã hóa được xác định bị ảnh hưởng khoảng 760,000 nhưng có khả năng cao hơn nhiều lần.

Công cụ phát hiện, giảm thiểu và cách khắc phục

Các công cụ kiểm tra:
  - Offline testers: Ứng dụng Python/Java/C++ và hướng dẫn (https://github.com/crocs-muni/roca).
  - Online testers: Upload public key lên địa chỉ https://keychest.net/roca hoặc https://keytester.cryptosense.com để kiểm tra.
  - Email S-MIME/PGP tester: Gửi email chứa khóa công khai vào địa chỉ [email protected] và nhận phản hồi phân tích tự động.

Nếu khóa công khai của bạn có nguy cơ bị tấn công, hãy liên hệ ngay với nhà sản xuất thiết bị để có tư vấn nâng cao.
  - Cập nhật phần mềm.
  - Thay thế thiết bị.
  - Tạo ra một cặp khóa RSA bên ngoài thiết bị (ví dụ thông qua thư viện OpenSSL) và đưa vào thiết bị.
  - Sử dụng thuật toán mã hóa khác (ví dụ ECC) thay thế RSA trên thiết bị.
  - Sử dụng khóa có độ dài không bị ảnh hưởng (ví dụ 3936 bit).

Dịch Securitydaily - Theo THN

17/10/2017

Cuộc tấn công KRACK được thực hiện như thế nào và tác hại của nó ra sao?

Thay vì nhắm đến việc dò ra mật khẩu Wi-Fi, KRACK nhắm đến cơ chế bắt tay 4 bước của WPA2 và nó đặc biệt nguy hiểm đối với Android phiên bản từ 6.0 trở lên và Linux.

Giao thức bảo mật WPA2, bức tường thành bảo vệ mọi mạng Wi-Fi trên toàn cầu đã có thể bị xâm nhập. Những thông tin nhạy cảm tưởng chừng như bảo mật, an toàn khi được truyền qua lại giữa thiết bị của người dùng và điểm truy cập Wi-Fi, giờ đây hoàn toàn có thể bị kẻ xấu nghe lén.

Bằng phương thức tấn công KRACK (Key Reinstallation attacks: tấn công cài đặt lại khóa), kẻ xấu chỉ cần nằm trong phạm vi phủ sóng với thiết bị của nạn nhân, là có thể khai thác các điểm yếu trong giao thức bảo mật này để xâm nhập vào kết nối giữa thiết bị và điểm truy cập. Phụ thuộc vào cấu hình của mạng lưới, thậm chí kẻ tấn công có thể “tiêm” vào các ransomware hay các malware vào website mà người dùng truy cập.

Nghiêm trọng hơn, các điểm yếu này nằm trong bản thân chuẩn Wi-Fi hiện tại, chứ không phải trong các sản phẩm hay hệ thống riêng lẻ, do vậy, bất kỳ thiết bị nào áp dụng giao thức WPA2 đều bị ảnh hưởng – điều này có nghĩa là hầu hết các thiết bị hỗ trợ Wi-Fi. Và để ngăn chặn cuộc tấn công, người dùng phải cập nhật thiết bị của mình ngay khi các cập nhật bản mật có mặt.
Hầu hết các nền tảng phổ biến như Android, Linux, iOS và OS X của Apple, Windows, OpenBSD, MediaTek, Linksys và những tên tuổi khác đều bị tác động bởi cách tấn công này. Vậy cuộc tấn công KRACK này được thực hiện như thế nào? Các nhà nghiên cứu bảo mật Mathy Vanhoef và Frank Piessens đã trình diễn một cuộc tấn công bằng KRACK để cho thấy họ vượt qua bức tường thành bảo mật WPA2 ra sao.

Android và Linux là hai nền tảng bị ảnh hưởng nặng nề nhất
Để chứng minh về khả năng này, các nhà nghiên cứu thực hiện cuộc tấn công cài đặt lại khóa trên chiếc smartphone Android. Một trong những lý do họ chọn nền tảng này vì Android (đặc biệt là phiên bản từ 6.0 trở lên) và Linux là hai nền tảng bị ảnh hưởng trầm trọng nhất bởi phương thức tấn công KRACK, khi chúng dễ dàng bị lừa cài đặt lại toàn bộ khóa mã hóa không có mật mã.

Do vậy, khi tấn công các thiết bị này, kẻ xấu có thể đọc được toàn bộ dữ liệu truyền đi từ thiết bị nạn nhân. Trong khi đó, nếu tấn công các thiết bị trên nền tảng khác, các gói tin khó giải mã hơn, cho dù vậy, một số lượng lớn tập tin vẫn có thể bị giải mã.

Cuộc tấn công này có thể đọc được không giới hạn các thông tin xác nhận đăng nhập (như địa chỉ email và mật khẩu). Nói chung, bất kỳ dữ liệu thông tin nào truyền đi từ thiết bị của nạn nhân cũng có thể bị giải mã. Thêm vào đó, phụ thuộc vào thiết bị nạn nhân sử dụng và thiết lập của mạng lưới, nó cũng có thể giải mã toàn bộ dữ liệu gửi đến thiết bị nạn nhân (như nội dung website), cho dù có HTTPS hay các lớp bảo vệ khác hay không, khi chúng đều có thể bị qua mặt.
Cuộc tấn công bằng KRACK nhằm qua mặt WPA2 trên Android 6.0 và Linux.
(ví dụ HTTPS trước đây đã từng bị vượt qua trên các phần mềm không phải trình duyệt, trong iOS và OS X, ứng dụng Android và trong các ứng dụng ngân hàng, thậm chí trong ứng dụng VPN).

Chi tiết cuộc tấn công bằng KRACK
Điều đầu tiên cần lưu ý về cuộc tấn công này, đó là các nhà nghiên cứu không nhắm đến việc khôi phục hay dò ra mật khẩu Wi-Fi của kết nối, thay vào đó họ nhắm đến cơ chế bắt tay 4 bước (4-way handshake) trong giao thức WPA2 – cơ chế bảo mật được sử dụng trong gần như toàn bộ mạng Wi-Fi được bảo vệ hiện tại. Điều này có nghĩa là các mạng Wi-Fi doanh nghiệp cũng như cá nhân, với các chuẩn WPA cũ và WPA2 mới hơn, thậm chí cả các mạng sử dụng AES đều có thể bị tấn công.

Để triển khai cuộc tấn công bằng KRACK, kẻ tấn công sẽ đánh lừa nạn nhân cài đặt lại một khóa đã được sử dụng. Điều này được thực hiện bằng cách thao túng và phát lại nhiều lần các thông điệp bắt tay được khóa mã. Khi nạn nhân cài đặt lại mã khóa, các thông số liên quan như số gói tin truyền đi gia tăng (ví dụ số nonce: number used once) và số gói tin nhận về (ví dụ bộ đếm phát lại) được reset về giá trị ban đầu của chúng.
Về cơ bản, để đảm bảo an ninh, một khóa chỉ nên được cài đặt và sử dụng một lần. Thật không may, các nhà nghiên cứu nhận ra rằng, điều này không được đảm bảo trong giao thức WPA2. Bằng cách thao túng các thông điệp bắt tay khóa mã, các nhà nghiên cứu có thể tận dụng điểm yếu này trong thực tế.

Tấn công cài đặt lại khóa: ví dụ cụ thể nhắm vào cơ chế bắt tay 4 bước
Ý tưởng đằng sau cuộc tấn công cài đặt lại khóa là có thể được tóm tắt như sau: khi một máy khách (client) muốn truy cập vào một mạng Wi-Fi được bảo mật, nó sẽ thực thi việc bắt tay 4 bước để thương lượng về một khóa mã hóa mới. Máy khách sẽ cài đặt khóa mã hóa này sau khi nhận được tin nhắn message 3 của cơ chế bắt tay 4 bước.

Khi khóa này được cài đặt, nó sẽ được sử dụng để mã hóa các khung dữ liệu bình thường sử dụng một giao thức mã hóa. Tuy nhiên, vì tin nhắn bị mất hoặc bị rớt, điểm truy cập sẽ truyền lại tin nhắn 3 nếu nó không nhận được phản hồi phù hợp từ máy khách. Kết quả là, máy khách sẽ nhận được tin nhắn message 3 nhiều lần.
Mỗi lần nhận được tin nhắn này, máy khách sẽ cài đặt lại cùng một khóa mã hóa, và vì vậy nó sẽ thiết lập lại số gói tin truyền đi gia tăng (mã nonce) và nhận về bộ đếm phát lại sử dụng cho giao thức mã hóa. Một kẻ tấn công có thể buộc mã nonce phải reset lại về 0 lại bằng cách thu thập và phát lại tin nhắn truyền lại message 3 của cơ chế bắt tay 4 bước.

Vì mã nonce là mã số được dùng để bảo mật dữ liệu bằng cách đính kèm một mã số sử dụng một lần bên cạnh chúng, bằng cách buộc mã nonce phải reset về giá trị 0, một khóa mã hóa đã từng được dùng có thể bị sử dụng lại, và kẻ xấu dò ra khóa mã hóa đó. Do vậy, giao thức bảo mật có thể bị ấn công, làm cho các gói tin có thể bị phát lại, giải mã hoặc bị giả mạo. Kỹ thuật tương tự cũng có thể được sử dụng để tấn công một nhóm mã khóa, PeerKey, TDLS và bắt tay giao dịch nhanh BSS.

Những tác hại khó lường
Từ khả năng giải mã và nghe trộm các gói tin được truyền đi và nhận lại giữa thiết bị nạn nhân và điểm truy cập, kẻ tấn công còn có thể thực hiện một dạng tấn công phổ biến khác vào mạng lưới Wi-Fi: tiêm các dữ liệu độc hại vào trong các kết nối HTTP không được mã hóa. Ví dụ, kẻ tấn công có thể đưa vào các ransomware hay malware vào các website mà nạn nhân đang truy cập.

Điều đáng lưu ý hơn cả là phương thức tấn công này có khả năng thực hiện trên nhiều nền tảng khác nhau, trong đó có cả những nền tảng nổi tiếng và phổ biến như: Windows, Android, Linux, MacOS và iOS của Apple. Trong đó đặc biệt đáng chú ý là Android với khoảng 41% số thiết bị dễ bị tổn thương với một biến thể từ cách tấn công nguy hiểm này.

Người dùng nên làm gì?
Để ngăn chặn cuộc tấn công này, bản thân người dùng phải cập nhật các bản vá ngay khi có thể. Đừng chủ quan, nếu thiết bị của bạn hỗ trợ Wifi thì nó rất có thể đã bị ảnh hưởng. Còn không thì hãy hạn chế sử dụng kết nối Wifi ở công ty hay quán cà phê, hãy sử dụng cáp mạng hay 3G-4G gì đó thay thế, và tuyệt đối không dùng Wifi công cộng (dù trước hay sau khi có KRACK). Thật ra thì cũng không có gì quá nghiêm trọng trong vấn đề này, vì lý do là các yếu tố yêu cầu để thực hiện kỹ thuật này khá phức tạp, nên mình nghĩ sẽ ít có hacker nào lại chủ động đi đến ngồi cùng quán cà phê với bạn để hack bạn đâu.


Dịch GK - Tham khảo KRACKATTACKs

16/10/2017

Một nhóm tù nhân đã dùng những chiếc máy tính trên trần nhà để lật tung cả nhà tù như thế nào?

Từ một dự án tốt đẹp, các hacker đang thụ án đã tận dụng các máy tính trong nhà tù để hack khắp nơi, thậm chí lập ra một chợ đen.

Bên dưới đây là một câu chuyện có thật, xảy ra trong một nhà tù ở bang Ohio, Mỹ. Trong đó nhân vật chính đều là những tù nhân đang thụ án từ vài chục năm tới chung thân. Họ làm việc trong một dự án tái chế rác thải làm xanh hóa nhà tù, dần dần tìm ra những kẻ hở, vận dụng những kỹ năng công nghệ thông tin – chủ yếu là tự học – để xâm nhập vào hệ thống mạng của nhà tù, tự cấp quyền đi khắp mọi nơi, tạo ra cả một chợ đen kinh doanh phim khiêu dâm, game trong nhà tù, đồng thời còn dùng máy tính “tự chế” để xâm nhập, đánh cắp tiền ở những ngân hàng, tổ chức bên ngoài. Tất cả đều bắt đầu từ một dự án tái chế rác thải tốt lành…

Khởi nguồn cho một câu chuyện khó tin

Mùa hè năm 2015, Stan Transkiy bị kết án từ 16 năm tới chung thân cho tội giết người. Khi thụ án tại nhà tù Marion nằm tại miền quê hẻo lánh bang Ohio, Transkiy đã nảy ra sáng kiến chạy một chương trình tái chế phân loại rác. Từ đó, người ta gọi Transkiy là “The Garbage Man” – một người đàn ông được mô tả là hói, để râu, đôi khi làm việc liên tục 14 tiếng. Transkiy ước tính bản thân đã phân loại hàng chục ngàn ký rác thải trong nhiều năm. Người ta đánh giá Transkiy đã làm tốt công việc của mình, bất kể là đôi khi giải quyết vấn đề hơi cảm tính.

Các thanh tra liên bang thậm chí còn khen ngợi nhà tù Marion vì “có tư duy sáng tạo” và “thân thiện với môi trường”. Transkiy đã giúp nhà tù Marion được cải thiện hơn so với những nơi khác mà ông từng thụ án.

Bên cạnh chương trình tái chế, nhà tù này còn có những chương trình giáo dục, thể thao, tin tức và cả làm vườn. Tuy nhiên, những ngày tháng đáng tự hào nhanh chóng chấm dứt vào một ngày tháng 8, khi Transkiy nghe tiếng loa gọi từng người trong nhóm tái chế của ông lên điều tra, trong số đó bao gồm cả Randy Canterbury, một nhân viên tổ chức phi lợi nhuận mang tên RET3 nằm ngoài nhà tù. Rõ ràng đang có một cuộc điều tra về những sai phạm trong chương trình tái chế.

Và không lâu sau đó, chính Transkiy cũng bị kêu lên thẩm vấn. Ông được đưa vào một căn phòng, đối diện với điều tra viên liên bang để hỏi về những câu như “Có biết mật khẩu máy tính của Canterbury không? Có hiểu tường lửa là gì không? Canterbury có máy polygraph không?” Sau đó, các nhân viên đưa Transkiy tới một nhà giam tách biệt gọi là O Block, 9 ngày sau ông tiếp tục bị kêu lên thẩm vấn thêm lần nữa bởi một điều tra viên khác.

Transkiy bị tra hỏi về một vụ chuyển đồ trái phép vào tù với quy mô lớn. Ai đó thậm chí còn giấu cả những chiếc máy tính tân trang tại trần nhà giam và bằng cách nào đó, họ đã đăng nhập được vào mạng của nhà tù, có được quyền truy cập vào các hoạt động nội bộ tại đây, bao gồm cơ sở dữ liệu về các tù nhân và công cụ cấp quyền để đi vào những khu vực cấm.

Những chiếc máy tính này còn có được cả quyền truy cập vào thế giới bên ngoài và ai đó còn dùng nó để sử dụng thẻ tín dụng bằng thông tin nhận dạng đánh cắp từ những tù nhân. Kế hoạch này được thực hiện không chỉ trong nhà tù mà lan ra cả cộng đồng phi lợi nhuận và ngân hàng bên ngoài,… tất cả đều được thực hiện mà quản lý không hề biết.

Khi các điều tra viên bày ra hết các manh mối tìm được, Transkiy một mực khẳng định rằng ông không thể tin được điều này. Transkiy lắp bắp: “Điều đó… điều đó… điều đó nhảm nhí thật. Đây là thứ… thứ… thứ… thứ không có thật.”

Khi toàn bộ vụ việc được điều tra và công bố hồi tháng 4 năm nay, các điều tra viên cho rằng một trong những nguyên nhân là do năng lực quản lý yếu kém của những nhân viên nhà tù. Đồng thời, từ những cuộc phỏng vấn với các tù nhân, điều tra viên, các nhân viên cũng như các văn bản trong số hàng ngàn trang hồ sơ vụ án, dù chỉ là một phần của sự thật nhưng cũng đủ để nói lên rằng, quá trình phạm tội diễn ra một cách phức tạp và đòi hỏi sự hiểu biết đáng kể về mặt kỹ thuật mới thực hiện được.

Chung quy lại, đó là cả một câu chuyện về việc một nhà tù với đầy đủ công nghệ tiên tiến, bảo mật vô tình lại là cơ hội cho các tù nhân học tập và “nghịch phá”. Thậm chí, chính các điều tra viên đã phải thừa nhận rằng: “Những tù nhân thông minh hơn đội ngũ kỹ thuật của chúng tôi.”
Mọi thứ dần sáng tỏ

Trong chương trình tái chế rác thải trong nhà tù, Transkiy đã làm việc cùng với 2 đồng nghiệp tài năng là Scott Spriggs và Adam Johnston, vốn đã là những người bạn thân từ khi còn ở nhà tù tại Lebanon. Spriggs và Johnston là bạn thân với nhau, bởi đều bị bắt giam từ năm 18 tuổi vào đầu những năm 2000 do tội giết người. Với tội danh này, họ sẽ ngồi tù từ ít nhất là vài chục năm cho tới chung thân. Spriggs cho biết cả 2 người đều rất thích máy tính.

Transkiy dùng từ “Zen” để diễn tả Johnson như một người rất tĩnh tâm, khó bị làm phiền bởi những thứ khác. Johnson có vóc dáng cơ bản, tóc đen, bị kết án do giết người liên quan tới ma túy, thích đọc sách và sở thích cá nhân lệch lạc do gen.

Trong những bức thư trao đổi với một người bạn online, Johnson cho biết hắn thích đọc sách khoa học viễn tưởng và giả tưởng, đặc biệt là thích Games of Thrones. Chưa hết, Johnson còn có quãng thời gian 20 năm chơi guitar, lại thích thiên văn học và triết học.

Johnson vẫn còn liên lạc với mẹ là Karen Gallienne khi ngồi tù. Gallienne sống cách nhà tù 2 tiếng lái xe tại miền quê yên tĩnh Dayton và thường xuyên đi thăm nuôi con mình. Vào năm 2015, Johnson bị kết án 15 năm nhưng vẫn thường xuyên gọi về nhà, hắn hay gọi mẹ một cách trìu mến là “woman”.

Lại nói tới Johnson và Spriggs, cả hai đều đã có kinh nghiệm về kỹ thuật máy tính khi cùng nhau học ở Lebanon. Spriggs khi đó được học một khóa C và C++, đồng thời còn học cách tạo cơ sở dữ liệu và sau đó còn làm nhập liệu cho một khách hàng của nhà tù là AFL-CIO. Với những kỹ năng khác do Spriggs tự mày mò học hỏi, hắn đã tự viết một chương trình để dọn dẹp các file âm thanh bị hư và sau đó còn làm cả một hệ thống tìm kiếm bằng hình ảnh cho văn phòng cảnh sát Georgia.
Các thành viên của nhóm sáng kiến tái chế tại nhà tù Marion, Stan Transkiy (thứ hai từ trái qua) và Adam Johnston (ngoài cùng bên phải)​

Spriggs cho biết Johnston đã học Visual Basic – một thứ dễ bắt đầu, và sau đó cả 2 cùng nhau hoàn thiện những kỹ năng máy tính của họ. Spriggs sau đó đã trở thành quản trị máy chủ và mạng thông qua một chương trình của nhà tù, đồng thời còn ráp máy tính mới cho bộ phận IT và đây chính là cơ hội để hắn có thể bí mật giấu phần cứng để phục vụ mục đích khác.


Nguồn tin từ một tù nhân khác cho biết hai người này còn có cả một mảng kinh doanh khác là lén ghi đĩa game hoặc phim khiêu dâm để bán (Spriggs phủ nhận thông tin này, còn Johnsons thì không hồi đáp). Khi không làm việc có liên quan tới máy tính thì hai người này thường cùng nấu ăn và tập gym với nhau. Spriggs cho biết: “cả 2 chúng tôi đều tìm cách học mọi thứ có thể để sau này được về nhà thì sẽ rất có ích.”

Về phía các nhà chức trách, họ vẫn chưa thật sự hiểu rõ về khả năng tiếp cận công nghệ của các tù nhân, tuy nhiên các nhà tù vẫn đang thử nghiệm đưa chương trình giảng dạy về máy tính vào và tất nhiên là giới hạn việc truy cập internet. Nhưng với sự phát triển của công nghệ trong những năm gần đây thì quy định có phần thoáng hơn, các nhà quản lý trại giam nhận thấy rằng máy tính chính là một công cụ quan trọng trong giáo dục, và nó ngày càng trở nên cần thiết cho các tù nhân, giúp họ có thêm hy vọng quay trở lại xã hội một cách đàng hoàng hơn. Dù vậy, các mối quan ngại về an ninh vẫn còn tồn tại.


Tuy nhiên, với vỏ bọc là một chương trình xanh hóa nhà tù từ việc tái chế rác thải, bộ ba nhân vật chính của chúng ta lại có công trong việc đánh bóng tên tuổi nhà tù Marion. Lúc bấy giờ, Transkiy đảm nhận việc tái chế, Johnston làm thủ quỹ còn Spriggs thì làm IT.
Thậm chí một cựu nhân viên xã hội, cai ngục còn ca ngợi việc làm của nhóm này trên chương trình TEDx, nói họ đã đến Marion để làm nó hiện đại hơn: “Những người quản lý không đồng ý, anh ấy lý luận, họ có thể đã bắn anh ấy. Tuy nhiên cuối cùng nhà tù đã hoàn thành 509.000 giờ dịch vụ cộng đồng trong một năm.”

Trong quá trình hoạt động, nhà tù Marion có hợp tác với các tổ chức phi lợi nhuận bên ngoài, bao gồm cả RET3 để dùng các tù nhân tháo dỡ máy tính cũ, sắp xếp lại và gởi trả. Các tù nhân trong chương trình này được huấn luyện để tìm ra các linh kiện máy tính còn tốt, có thể tận dụng để tái sử dụng tại nhà tù.

Và mọi chuyện bắt đầu phức tạp thêm từ đây, khi nó tạo cơ hội cho những linh kiện bị đánh cắp cho mục đích xấu. Spriggs và Transkiy kể lại rằng những chiếc thẻ SD có chứa nội dung khiêu dâm bằng cách nào đó đã được thu lấy, lén trao đổi với nhau trong tù để xem trên các máy Nintendo Wii. Những tù nhân nào có USB cũng có thể dùng để đi thuê chép phim khiêu dâm hoặc phim mới ra để về xem.

Kỳ thực, sự tồn tại của cả một nền kinh tế kín bên trong nhà tù không phải là hiếm, nhưng tại Marion thì “chợ đen” này đặc biệt và sôi động hơn hẳn. Tuy nhiên trong quá trình điều tra, các điều tra viên đã sớm phát hiện ra những chiếc máy tính giấu trên trần nhà do kích thước của chúng lớn hơn nhiều so với USB, đĩa CD hoặc thẻ nhớ.
Thị trường chợ đen sôi động của Marion vẫn hoạt động êm xuôi cho tới ngày 3/7/2015, khi hệ thống an ninh mạng vừa cài đặt gởi một thông báo cho nhóm hỗ trợ rằng có một máy tính đã đăng nhập bằng tài khoản “canterburyrl” quá số lần quy định. Đây là tên đăng nhập của Randy Canterbury, một nhân viên tại RET3.

Vài ngày sau, tình trạng này lại trở nên nghiêm trọng hơn, các nhân viên IT nhận được 7 cảnh báo hack tài khoản canterburyrl và 59 cảnh báo có sự xuất hiện của proxy. Tiến hành điều tra, các nhân viên nhận thấy có người dùng nào đó đã dành ra hàng giờ đồng hồ để lướt qua những trang web nguy hiểm, thí dụ như các trang chia sẻ tập tinh và tất cả đều cố tránh bị phát hiện bằng cách dùng proxy.

Đội IT vẫn không xác định được vị trí chính xác của các người dùng này. Canterbury thì từ chối bình luận vào câu chuyện này, nhưng rõ ràng ông không đi làm vào ngày đầu tiên có cảnh báo. Cảm thấy có điều không ổn, vượt quá tầm kiểm soát của cả đội ngũ IT địa phương, họ đã nhờ tới sự giúp đỡ từ xa của đội IT cấp liên bang. Cuối cùng, họ phát hiện ra một chiếc máy tính mà trong tên gọi có các ký tự “lab9”.

Có được thông tin này, nhân viên IT tại nhà tù Marion là Gene Brady đã biết phải làm gì. Ông cho biết: “Chỉ có một nơi ở chỗ tôi làm việc mà máy tính được đặt tên theo kiểu đó. Nó chính là phòng máy tính của nhân viên trên tầng 3. Nhưng ở đó chỉ có 6 máy tính, không phải là 9 như cách đặt tên của chiếc máy bí ẩn đó.” Lầu 3 hay P3 là một khu vực khá nổi tiếng tại nhà tù Marion, đôi khi còn được gọi là “tháp ngà voi”, có thể do đây là nơi khá biệt lập và được dùng để đào tạo.

Dù đã có được manh mối trong tay nhưng Brady vẫn không truy ra được chính xác vị trí của máy tính phạm tội. Cuối cùng, nhóm IT liên bang chọn cách tiếp cận là xác định cổng và switch cắm vào máy tính. Để tìm ra được máy tính vi phạm, Brady đã phải thực hiện một công việc đơn giản là: lần theo dây dẫn.

Một tù nhân được gọi để giúp nhóm điều tra cho biết: “Chúng tôi đã kéo cáp và bắt đầu lần theo từng sợi cáp trên trần nhà. Trung tâm mạng là nơi chằng chịt dây dẫn, đủ màu xanh, cam, xanh lá, và tổ chức không theo bất cứ quy luật nào.” Kết quả cũng dần lộ diện, Brady đã lần ra được một sợi dây dẫn tới trần của một phòng thay đồ trong khu tập luyện. Tới nơi, ông bắt thang và lật một mảnh trần ra. Bên trong, đập vào mắt ông đầu tiên là một chiếc thùng máy Dell, sau đó là nhiều thứ khác.

Ngay lập tức, Brady báo động tới các nhân viên khác và một viên sĩ quan đã chui vào không gian chật hẹp đó, chụp ảnh lại những bằng chứng vừa phát hiện. Tiếp theo, một vài tù nhân được yêu cầu leo lên khuâng máy cùng các thiết bị xuống và đưa đi. Tuy nhiên. Brady sau này nói ông không ngờ rằng hành động này lại làm cho quá trình điều tra bị gián đoạn.
Những ngày sau đó, các nhân viên cứ liên tục điều tra từ những bằng chứng tìm được. Một nhân viên IT đã phát hiện ra những miếng decal dán trên chiếc thùng máy tính. Một cái là của trường học địa phương, một cái khác là từ một công ty cũng đang hoạt động tại đây.

Tới ngày 17/8 thì Stephen Gray, cố vấn trưởng của nhà tù mới được báo cáo phát hiện này. Gray đã viết một báo cáo gởi lên cơ quan điều tra liên bang và khi đọc nó, Randall J. Meyer, giám đốc cơ quan điều tra đã phải thốt lên: “Đùa hả?”

Trong quá trình làm việc, Meyer không còn xa lạ gì với nhà tù Marion. Hồi năm 2014, nhà tù này xảy ra một vụ gian lận tài chính khá kỳ lạ và có ai đó đã đánh cắp danh tính của các tù nhân.

Lúc này, một nhóm pháp chứng đã được điều tới để nghiên cứu phần cứng tại nhà tù. Qua điều tra, họ xác định rằng đây là một vụ lớn với mạng lưới xâm nhập rộng, phức tạp. Những ngày sau đó, các điều tra viên còn phát hiện ra hàng trăm ổ cứng tại nhà tù Marion. Và cho tới thời điểm này, các điều tra viên khác đã dành ra vài tuần để thẩm vấn bất kỳ người nào tại nhà tù có thể liên quan tới những chiếc máy tính. Họ tra hỏi về nguồn gốc của nó và tìm hiểu xem ai đã giấu chúng trên trần nhà.

Dù vậy, quá trình điều tra đã có một kẽ hở khi đã để cho Transkiy và Johnston cùng ở chung một căn phòng giam, tạo điều kiện cho họ thông cung với nhau. Bởi thế, ngay cả khi chuyển các tù nhân sang nhà giam mới thì câu trả lời của họ vẫn có thể được phối hợp với nhau. Có lúc, các điều tra viên phải khóa một số khu vực trong nhà tù nếu tình nghi có bằng chứng, đồng thời yêu cầu các quản giáo không được vào. Và một nhân viên nhà tù đã bước vào đó bằng mọi giá, quản giáo thì bảo là họ cần một vài tài liệu.
Một trong những chiếc máy tính lậu được phát hiện trên trần nhà​

Và nhóm pháp chứng đã phát hiện ra một bằng chứng quan trọng nhất: Những chiếc máy tính trên trần nhà có chứa mọi thứ mà một hacker đầy tham vọng có thể cần, bao gồm cả công cụ mã hóa, trình duyệt Tor, các công cụ gởi mail và bẻ mật khẩu. Quan trọng hơn hết, trong đó có cả một phần mềm nhắn tin từ máy tính tới tin nhắn điện thoại.

Từ các tin nhắn này, nhóm điều tra đã đọc được những cuộc nói chuyện giữa Adam Johnston và Karen Gallienne. (bạn còn nhớ 2 mẹ con này không nhỉ?) Trong một tin nhắn, Gallienne đã gởi cho Johnston một địa chỉ, sau đó Johnston nói rằng “có vẻ gần nhà mẹ đấy.” Đồng thời, nhóm pháp chứng còn phát hiện ra những ứng dụng có chưa thông tin thẻ tín dụng ngân hàng dưới tên gọi Kyle Patrick, một tù nhân có tên trong danh sách của bang Ohio.

Từ đây, nhóm điều tra chuyển hướng sang bản ghi âm những cuộc gọi từ Johnston tới Gallienne. Kết hợp kết quả điều tra này tới những nội dung của máy tính, họ đã vẽ nên một bức tranh của vụ án. Trong một cuộc điện thoại, Gallienne nói rằng bà đã nhận được một lá thư từ chối thẻ tín dụng từ Chase do người nộp đơn không có lịch sử tín dụng.


Khi đó, Johnston đáp lại rằng: “Được rồi, con biết rồi. Con đang tìm cách. Chậm mà chắc.” Sau đó, một chiếc thẻ dưới tên gọi Kyle Patrick đã xuất hiện và Gallienne đã đọc lại những con số cho con của bà.

Đưa thủ phạm ra ánh sáng

Vào một ngày mát trời của tháng 11, bốn tháng kể từ khi phát hiện ra những chiếc máy tính, nhóm điều tra đã tìm tới nhà Gallienne. Các nhân viên tuần tra đường cao tốc liên bang đã lục soát căn nhà, tịch thu các món đồ điện tử và phát hiện ra một thẻ tín dụng đứng tên Kyle Patrick.

Sau đó, họ ngồi xuống nói chuyện với Gallienne và em trai của Johnston là Jason. Một viên cảnh sát bắt đầu dẫn dắt các câu hỏi nhưng chưa vội nói nhiều về Johnston. Viên cảnh sát này nói với Gallienne rằng: “Rõ ràng, qua quá trình điều tra, chúng tôi phát hiện rằng các người đã tham gia, giúp đỡ quá trình phạm tội trộm cắp của anh ta. Các người có nhận ra điều đó không?”

Tất nhiên là người mẹ đã phủ nhận, nói Johnston chỉ gởi có một chiếc thẻ tín dụng để “cố giúp” cho người mẹ. Đồng thời theo bà thì hắn đã “bán những món đồ tại đó vì hắn có các thiết bị, đàn guitars,… vậy thôi.” Theo bà thì thẻ này chỉ là một cách mà Johnston gởi số tiền bán đồ về cho bà. Viên cảnh sát đáp lại rằng “nghe có vẻ tốt đẹp nhỉ. Vậy còn tên Kyle Patrick trên chiếc thẻ thì sao? Tại sao anh ấy lại không lấy tên bà?”

“Vì nó nói lấy tên tôi sẽ có chuyện xấu.”

“Tại sao lại vậy?”

Gallienne ngập ngừng một chút. Bà giải thích Johnston không nói chi tiết, chỉ thừa nhận rằng đã cho hắn tên và địa chỉ của một người hàng xóm (không hề tham gia gì trong vụ án này, chỉ là nơi nhận thư) Khi chiếc thẻ về tới nơi, bà đã lấy nó thông qua người hàng xóm.

Bà kể rằng Johnston đã bảo “đừng lo về nó”. Và bà khai tiếp rằng: “Đó là tất cả những gì nó nói. Tôi phải làm gì khi nó nhắn cho tôi? Chỉ nói là dừng nhắn mẹ nữa hả? Ý tôi là, đó vẫn là con trai tôi.”

Các điều tra viên đẩy mạnh nhịp độ, họ hỏi: “Điều tồi tệ nhất đã đưa bà vào rắc rối là gì?”

Gallienne đáp lại: “Không có gì cả. Tôi chưa bao giờ vướng vào rắc rối.”

“Không có vé phạt quá tốc độ?”

“Không từ khi tôi 16 tuổi.”

“Bà có biết cái gì là đánh cắp danh tính và gian lận?”

“Có, tôi biết”

“Đặc biệt là khi nó có liên quan tới các tổ chức tài chính?”

“Có tôi biết chứ. Tôi chắc là nó sẽ tệ lắm.”

“Và nó tệ cỡ nào. Bà có nghĩ nó tới mức tội phạm không?”

“Có lẽ.”

“OK. Anh ấy đã làm điều đó với bà đó.”

“Tôi biết.”

“Bà có nghĩ bà có thể phải ngồi tù 18 tháng?”

“Tôi hả, không đâu.”

“Bà bao nhiêu tuổi rồi?”

“54”

Vị cảnh sát đáp, “Kỳ thực bà khó lòng mà ngồi tù 18 tháng ở tuổi 54. Bà không nghĩ vậy sao?”


Sau khi làm việc với người mẹ xong, các điều tra viên bắt đầu chuyển sang phỏng vấn Johnston, vốn bấy giờ đã được chuyển sang Trung tâm giáo dưỡng Grafton – cũng thuộc hệ thống nhà tù bang Ohio. Tuy nhiên, hắn nói chuyện một cách miễn cưỡng và trước khi khai báo, hắn yêu cầu phải “có sự bảo đảm” cho mẹ hắn. Tất nhiên các điều tra viên nói họ không thể làm thế được, hắn hỏi tiếp rằng vậy tại sao hắn phải hợp tác.

Điều tra viên dùng chiến thuật, nói Johnston đã phản bội lòng tin của mẹ hắn: “Bà ấy không tin điều đó. Bà ấy cứ luôn miệng nói ‘Nó không bao giờ đưa tôi vào con đường nguy hiểm.’ Tôi thì bảo rằng ‘Hãy ngồi xuống đây Karen. Nghe nè, đáng tiếc là anh ấy đã làm điều đó. Anh ấy không quan tâm đủ tới việc đưa bà vào con đường nguy hiểm.

Còn em của anh, người mà anh lúc nào cũng chửi qua điện thoại, thứ mà anh chỉ coi là đồ rác rưởi, thì vẫn đang ngồi bất động đấy, nhưng ít nhất là có đủ ý thức để không đưa mẹ anh vào những thứ nguy hiểm.”

Có mặt tại buổi thẩm vấn, một nhân viên IT liên bang còn nói thêm rằng, rõ ràng Johnston đang đưa Gallienne tới cái đích tội phạm: “Nó giống như rán cá vậy ah. Nếu anh ăn nhiều quá rồi thì anh sẽ không ăn những con cá khác được nữa.” Cuối cùng thì Johnston cũng chịu nhượng bộ và khai nhận, tuy nhiên lời thú tội vẫn chưa hoàn chỉnh.

Các điều tra viên hỏi tiếp rằng liệu hắn ta phạm tội một mình hay có đồng bọn nào khác nữa không, hắn hỏi lại rằng có thông tin, lời khai hoặc chứng cứ gì của những nghi phạm khác hay không. Giấu đầu nhưng lòi đuôi từ đây. Và tất nhiên, các điều tra viên trả lời không, chỉ nói rằng mới tìm được chứng cứ và thông tin từ những chiếc máy tính trên trần nhà.

Từ lời khai của Johnston, người ta nhận thấy những âm mưu tinh ranh trong quá trình phạm tội của nhóm. Spriggs đã ráp một số máy tính từ những linh kiện của RET3 với danh nghĩa là xài trong nhà tù, nhưng sau đó lại chuyển sang cho Johnston.

Khi Canterbury rời khỏi khu vực P3 mà không bị giám sát, Johnston đã đưa những chiếc máy tính này vào, mang chúng trên trần nhà, kết nối mạng và truy cập từ xa. Johnston khai đã lén nhìn mật khẩu của Canterbury khi ông này đăng nhập vào làm việc. Tất nhiên việc lấy mật khẩu bằng cách nhìn lén này phải được làm từ từ, mỗi lần một ít ký tự.

Sau khi đã có được quyền truy cập, lại có sẵn máy tính để điều khiển từ xa, Johnston có thể truy cập vào mạng nội bộ của nhân viên nhà tù từ văn phòng gần đó, vốn đã được cấp quyền cho hắn ra vào làm việc. Johnston khai đã đánh cắp thông tin cá nhân của một tù nhân khác từ hệ thống nội bộ gọi là DOTS. Tất nhiên, các thông tin này đã được mã hóa để giấu đi, nhưng đối với Johnston, đơn giản là chỉ cần code trên trang đó là được.
Sơ đồ các khu vực của nhà tù Marion​

Câu hỏi đặt ra là làm thế nào Johnston chuyển máy tính từ RET3 tới khu P3?

“Bằng một chiếc xe đẩy”. Hắn khai với các điều tra viên.

Một trong những xảo thuật của Johnston chủ yếu dựa vào chiếc xe đẩy vệ sinh có thể đi nhiều nơi, từ khu vực tái chế tới các khu vực khác. Để tới được P3, hắn phải đi qua một “crash gate” – cánh cổng có máy dò kim loại. Johnston khai rằng hắn đã nhét những phụ kiện máy tính vào trong hộp lẫn với các sản phẩm vệ sinh và “trông cũng khá hợp lệ” nên đã được khoát tay cho qua. Johnston nói Transkiy hoàn toàn không nhận ra điều này.

Vậy còn Spriggs thì có liên quan gì tới vụ án này?

Spriggs phủ nhận sự liên quan tới vụ này. Tuy nhiên, trong báo cáo cuối cùng của cơ quan điều tra thì Spriggs là một đồng lõa, còn khi được phỏng vấn thì Spriggs lại bảo rằng chỉ liên quan tới việc ráp máy tính, còn để sử dụng làm gì thì không biết được.

Tuy nhiên, trên đây chỉ là một phần trong kế hoạch. Johnston còn khai rằng đã dùng các phần mềm phục hồi mật khẩu để đánh cắp quyền truy cập vào mạng nội bộ, sau đó thậm chí còn tự in các tấm thẻ ra vào khu vực cấm, cho phép hắn được đi khắp mọi nơi trong nhà tù. Tuy nhiên, Johnston khai chỉ dùng nó để đẩy nhanh quá trình hợp thức hóa công việc.

Sau này, khi điều tra sâu hơn về các ổ cứng, USB và thẻ nhớ thu được, một trong số đó có chứa phim khiêu dâm và đang được giữ bởi một tù nhân khác, Johnston khai do chính hắn đã tải về. Johnston cho biết nếu chưa bị bắt thì hắn còn có kế hoạch làm giả cả những tờ khai thuế để kiếm tiền. Tuy nhiên, hắn thừa nhận do không có kiến thức chuyên môn nên không thực hiện được mưu đồ.

Một trong số các điều tra viên đã nói với Johnston rằng: “Ông thật sự thông minh. Ông thông minh. Tôi biết ông rất thông minh.”

Và Johnston đáp rằng: “Nếu tôi thông minh thì đã không phải ngồi đây nói chuyện với các ông rồi.”​

Kết thúc vụ án

Tới tháng 8 vừa rồi, mấy anh bên Theverge đã đến văn phòng của tổng thanh tra Meyer. Kéo mấy anh bên Theverge ra sát cửa sổ, Meyer bảo rằng công việc của ông về cơ bản là sự giám sát của Chính phủ theo đúng nghĩa đen: “Tôi vẫn còn ngạc nhiên. Đây là một vụ rất đặc biệt” Meyer đặt câu hỏi rằng liệu các tù nhân chung thân có nên được truyền tiếp cận tới các chương trình tái hòa nhập cộng đồng hay không. Nếu họ không có đóng góp gì cho nền kinh tế bên ngoài thì phải làm sao?

Vụ việc của Johnston không chỉ có liên quan tới nhóm 3 người mà còn ảnh hưởng tới rất nhiều nhân viên, quản lý và cả uy tín của khu vực. Ngay cả trước khi báo cáo đầu tiên của các điều tra viên được tiết lộ thì nhiều nhân viên có tham gia đã nghỉ hưu hoặc xin từ chức. Có quản giáo đã rời khỏi nhà tù để chuyển sang một chương trình dành cho người khuyết tật.

Canterbury giờ đây đã chuyển sang một chương trình tái chế cấp hạt tại Ohio. Về phía các bị cáo có liên quan trực tiếp thì sau báo cáo, rất có thể Johnston và có lẽ là Gallienne cũng sẽ đứng trước nguy cơ phạm tội hình sự. Tuy nhiên, Meyer cho rằng có thể đánh giá tùy trường hợp những người liên quan mà có mức hình phạt phù hợp, thí dụ như đối với người quản giáo thì có thể đánh giá dựa trên mức độ xao nhãng công việc.

Còn Johnston, Spriggs và Transkiy thì đã được chuyển tới các nhà tù khác. Đối với Transkiy, việc phải rời khỏi chương trình tái chế của ông tại Marion là mất mát không hề nhỏ. Transkiy khi xưa bị kết tội do giết chết chủ công ty máy tính mà ông đang làm việc, và đây cũng là một trong những vụ án đặc biệt tại thời điểm đó. Tuy nhiên, sau khi ngồi tù 10 năm thì mức độ nguy hiểm của Transkiy được hạ xuống và được đưa tới Marion. Transkiy viết: “Khi tôi tới MCI, rất ít công việc có ý nghĩa dành cho những người nhiều thời gian.” Bởi thế khi tới, Transkiy đã dành ra 6 tháng để thăm dò khắp nhà tù để khởi động chương trình tái chế – điều mà sau đó làm ông cực kỳ tự hào.


Transkiy nói ông không biết gì về những chiếc máy tính trên trần nhà, mặc dù trước đó ông cũng nghi ngờ thứ gì đó đang diễn ra. Tuy nhiên, theo các nhà điều tra thì Transkiy đã từng sử dụng máy tính của Canterbury và rõ ràng là đã phạm quy. Tuy nhiên theo Transkiy thì ông dùng rất ít và khi đó đều có sự giám sát.
Trước khi chương trình tại Marion khởi động, hệ thống của nhà tù không hề có thứ gì giống như vậy, Transkiy khẳng định: “Trước đó, không hề có quy định hoặc quá trình để điều chỉnh tất cả những nhu cầu của chúng tôi, cũng như chỉ ra toàn bộ những vấn đề, các mối quan tâm. Những gì mà tôi muốn nói chính là chương trình Nhà tù xanh MCI của tôi chỉ đơn giản là phát triển quá nhanh, nảy sinh ra nhiều vấn đề mà hệ thống an ninh cũng chưa thể đáp ứng.”

Và đây có lẽ chỉ là một kết cục đáng buồn đối với một trong những sáng kiến mang tính tiên phong, cho thấy cần phải có sự đồng bộ trong quá trình phát triển không chỉ của nhà tù mà nhiều lĩnh vực khác. Trên thực tế, sau này Johnsons cũng viết thư xin lỗi Transkiy, nói rằng: “Tôi xin lỗi, một ngày nào đó tôi sẽ bù đắp cho anh.” Và dù sao đi nữa thì đối với Transkiy, chương trình tại nhà tù Marion vẫn là niềm tự hào của ông.



Dịch: Tinhte - Theo: Theverge