TTCN – Trên tầng năm tòa nhà công nghệ cao của ĐHBK Hà Nội, tiếng máy kêu ro ro đến sáng, 40 “cảnh sát mạng” như bất động trước những con virus mới đánh vào các trang web Chính phủ…
Họ phát hiện, lần theo dấu vết, rồi truy bắt trên thế giới ảo, sống động, kịch tính.
Và không chỉ online, đôi khi những “cảnh sát” máy tính này lại được nhờ tham gia những cuộc giải cứu, tìm kiếm người mất tích và cả điều tra thủ phạm tống tiền ngoài đời thật.
Giữa năm 2005, hàng loạt trang web ở VN bỗng “sập” hoàn toàn, trong đó có cả trang web đuôi gov.vn (của Chính phủ). Dân hacker ngang nhiên để lại tin nhắn trên giao diện toàn một màu đen kịt. Sau vụ việc chấn động đó không lâu, lại có một âm mưu khác nhắm vào các trang web quan trọng, trong đó có cả mạng nội bộ của các ngân hàng, cơ quan nhà nước. www.bkav.com.vn cũng là đối tượng nên lần này Trung tâm an ninh mạng Đại học Bách khoa Hà Nội (Bkis – Bách khoa Internet Security) quyết định nhập cuộc.
Tóm cổ hacker
Sau một thời gian đi tiên phong trong lĩnh vực an ninh mạng, xử lý sự cố máy tính, Chính phủ vừa đầu tư gần 50 tỉ đồng trang bị những công cụ mạnh cho Trung tâm an ninh mạng của Đại học Bách khoa Hà Nội.
Nhiệm vụ của trung tâm này là đào tạo chuyên gia, phòng ngừa, ngăn chặn và xử lý các sự cố an ninh, tấn công trên mạng ở VN. Trung tâm này còn có nhiệm vụ nghiên cứu để hỗ trợ các đơn vị quốc phòng, an ninh các vấn đề về an ninh mạng.
Hiện Bkis đang trực tiếp hỗ trợ về an ninh mạng cho Văn phòng Quốc hội và Văn phòng Chính phủ.
Nguyễn Tử Quảng, giám đốc Bkis, quan niệm “không có gì không để lại dấu vết”. Cuộc điều tra bắt đầu từ chính những trang web bị tấn công. Bóc gỡ dần, hình thức tấn công của hacker lộ diện: tạo một flash đặt ở một server. Liên kết flash đó với một dòng tin nóng trên một diễn đàn nhiều người đọc. Ai kích vào tin đó là đã giúp flash hoạt động.
Với đoạn mã được tạo sẵn, flash liên tục gửi câu hỏi đến website bị tấn công. Mỗi giây nó gửi được cả chục lệnh nên chỉ cần vài chục người kích chuột vào tin chứa flash, website mục tiêu sẽ bị “đơ” vì quá tải. Nhưng điều dân hacker chủ quan là dù bị gì thì trang web vẫn lưu được flash với địa chỉ đã gửi nó đi. “Tóm” được thông tin “vũ khí” nằm ở đâu, tìm đến xóa để trang web hoạt động bình thường xong cũng là lúc cuộc truy tìm thủ phạm thật bắt đầu.
Tìm chủ sở hữu sever, tìm nickname của kẻ đã tải flash lên mạng, và với những thông tin về ngày giờ, địa điểm nickname đó ngồi (do nhà cung cấp dịch vụ Internet cung cấp), chỉ sau một thời gian ngắn danh tánh của các hacker đã được in ra. Nhiều tin tặc đã… sửng sốt và sợ đến líu lưỡi khi Trung tâm Bkis gọi điện đến tận nhà riêng thông báo: “Chúng tôi đã tóm được bạn”.
Đối tượng là một nhóm sinh viên ở Hà Nội, Hải Phòng, TP.HCM và cả từ Nhật Bản. Hồ sơ đã suýt được chuyển sang cơ quan cảnh sát điều tra nhưng thấy các đối tượng chỉ bồng bột nhất thời và thật sự ăn năn nên Bkis chỉ cảnh cáo.
Tòa nhà công nghệ cao của Đại học Bách khoa trông bên ngoài không có gì đặc biệt. Tường trắng phủ đầy rêu. Nhưng lên đến tầng năm thì khác hẳn. “Đại bản doanh” lớn nhất của các “cảnh sát bàn phím” VN này được lập trình như một căn nhà thông minh. Cả một thế giới những thiết bị an ninh mạng tối tân, án ngữ ở đó đang có hơn 40 “cảnh sát” thay nhau ngồi im lìm túc trực, sẵn sàng lôi chăn màn trong hộc tủ ra “sống” cả tuần với mạng không về nhà.
Virus W32.Blaster.worm xuất hiện trên thế giới vào ngày 11-8-2003 thì ngay từ 7g30 ngày 12-8, Bkis đã liên tục nhận được điện thoại kêu cứu từ VN và email thông báo từ nước ngoài. Dấu hiệu mô tả của các “nạn nhân” đều như nhau: máy tính chỉ bật được vài phút liền tự động shutdown. Một số mạng quan trọng của ngành hàng không, bưu chính viễn thông bỗng có hàng trăm máy tính bị vô hiệu hóa.
Những lệnh điều khiển dây chuyền, những dữ liệu kinh doanh bị mất có thể đem đến thảm họa cho không chỉ một công ty. Ngay lập tức, toàn bộ nhân viên của Bkis được huy động ngồi trước bàn phím. Đầu tiên phải lấy mẫu virus. Giới tin tặc có khi viết virus hàng tháng trời nhưng những chiếc máy tính đang bị virus tấn công không thể đợi lâu như thế.
Thời gian tìm ra cách diệt virus phải được tính bằng giờ. Từng đoạn mã nhị phân của con virus được mổ xẻ. Hacker dùng chương trình mạnh nhất để viết ra virus, nhưng để giải mã chúng buộc phải đưa dữ liệu về dạng thông tin nguyên thủy, đánh vật với những con số 0101 dày đặc trên màn hình. Tất cả chiêu thức tấn công, cách ẩn và biến hóa của virus phải được nhận diện.
Với con virus nổi tiếng W32.Blaster.worm mà đến nay chắc nhiều người còn nhớ, phải mất cỡ tám giờ “hoa mắt, chóng mặt”, công việc phân tích mới hoàn tất và phương án diệt được cập nhật vào phiên bản Bkav 476. Nhưng thế chưa xong, phải thử trên các hệ điều hành xem hiệu quả diệt có như nhau không và quan trọng nhất là phải đảm bảo không một lỗi nào khi phần mềm chạy.
Chỉ cần một phép toán sai, có thể máy của người sử dụng sẽ bị treo cứng. 24g, sau 16 tiếng liên tục, phiên bản bkav mới diệt virus W32.Blaster.worm đã được đưa lên website www.bkav.com.vn. Cả trung tâm dịu xuống, tiếng điện thoại thưa dần, hàng loạt hệ thống máy tính trên khắp VN trở lại hoạt động như cũ…
Những cuộc truy lùng trên không gian số
Từ tháng 3-2005, trong hộp thư điện tử của ông H. – giám đốc một doanh nghiệp lớn – liên tiếp xuất hiện những bức thư lạ. Mở ra, ông H. run bắn người vì người gửi biết tường tận gia thế, con cái ông.
Cuối mỗi bức email luôn là những câu đe dọa, hằn học. Nhờ công an, nhưng kẻ giấu mặt không dùng tên thật để đăng ký hộp thư điện tử. Chịu đựng mấy tháng trời, cuối cùng ông H. thử gọi điện nhờ Bkis. Không hề có chức năng “thám tử” nhưng trước sự bình an của một gia đình, Nguyễn Tử Quảng chấp nhận dấn thân vào cuộc đuổi bắt chưa có tiền lệ trên không gian số.
Buộc phải vào vai cảnh sát điều tra, Bkis quyết định điểm bắt đầu vẫn là hộp thư mà kẻ khủng bố qua mạng dùng để gửi thư hăm dọa – đầu mối mông lung nhưng duy nhất của “vụ án”. Tất cả dữ liệu để đăng ký hộp thư đó là giả. Tưởng vào ngõ cụt nhưng một logic được hình thành: trên các bức thư điện tử luôn để lại giấu vết địa chỉ IP của máy tính mà kẻ giấu mặt sử dụng để gửi.
Mà thông tin về việc ai sở hữu các địa chỉ này thì do các nhà cung cấp dịch vụ Internet quản lý. Liên hệ, “rất may, nhà cung cấp dịch vụ đã cho thông tin”. Từ địa chỉ số đó, hỏi nhà cung cấp dịch vụ mạng ở VN đã ra địa chỉ thật. Lần theo dấu vết, kết quả không ngoài dự đoán: kẻ giấu mặt không bao giờ ngồi ở nhà gửi thư mà ra các quán Internet công cộng.
Tưởng phải “bó tay”, nhưng xâu chuỗi lại nhân viên Bkis nhận ra đối tượng gửi thư chủ yếu ở ba nơi: thứ nhất là phường X của quận Đống Đa, Hà Nội; thứ hai là gần Trường đại học H; và thứ ba, một lần hắn đã vào tận Quảng Ngãi để thực hiện hành vi đe dọa.
Nhấc điện thoại gọi vị giám đốc: “Anh có quen ai đang trú tại khu vực gần Đại học H, làm ở phường X và quê Quảng Ngãi không?”. Ông giám đốc “à” một tiếng, Bkis khẳng định: “Đó chính là kẻ đã gửi thư hăm dọa anh”. Thì ra đó là một nhân viên cũ bị ông H. đuổi việc, đâm ra thù hằn. Quá tự tin “mình ra Internet công cộng” nên anh chàng nhân viên kia đã đứng như trời trồng khi công an ập đến tận nhà mời đi lấy lời khai.
Mới đây là một nhiệm vụ ly kỳ hơn mà chắc chưa có trung tâm an ninh mạng nào trên thế giới từng tham gia nhưng Bkis đã giải quyết êm thấm. Một cậu quí tử ở Hà Đông bỗng bặt tăm cả tuần. Trước cậu này hay trốn học chơi game nhưng chưa bao giờ bỏ học hẳn. Gia đình huy động tối đa người đi tìm. Vẫn bặt tăm. Cùng lúc gọi điện nhờ Bkis giúp “có cách nào tìm trên mạng không”, gia đình còn đăng báo tìm trẻ lạc.
Ban đầu cũng hơi ngỡ ngàng vì có người nhờ trung tâm an ninh mạng “tìm trẻ lạc”. Song, trước vẻ lo lắng của gia đình và “nghe họ nói đến game, có vẻ cũng liên quan đến công nghệ thông tin nên tôi nhận” – anh Quảng kể lại. Hỏi được username và “cháu nó hay chơi trò Gunbown”, đó là hai thông tin duy nhất gia đình và bạn bè có thể cung cấp. Nguyễn Tử Quảng online, cố tìm cách liên lạc với game thủ nhưng vô vọng.
Trong khi đó, người nhà cậu quí tử nhận được một cú điện thoại nặc danh: “Đúng 12g trưa mai phải đem tiền đến công viên thị xã Hà Đông đặt ở thùng rác”. Cả nhà hoảng loạn, một vụ bắt cóc! Công an Hà Tây vào cuộc. Gia đình quên hẳn đã nhờ Bkis.
Thế là trong lúc Công an Hà Tây mật phục ở công viên thì Nguyễn Tử Quảng vẫn miệt mài truy tìm trên không gian ảo. Gọi điện đến nhà cung cấp game “cho tôi biết username này đăng nhập chơi vào những lúc nào, địa chỉ IP của máy tính đang chơi”. Lúc đầu nhà cung cấp không đồng ý giúp. Nhưng nghe giới thiệu Bkis, cùng dân trong nghề thì “OK”.
Với địa chỉ IP của máy tính, nhà cung cấp dịch vụ Internet dễ dàng tìm ra thuê bao đó nằm ở đâu. Nhưng cậu quí tử ham chơi lại không ngồi một máy, mà địa chỉ máy tính được thông báo lúc ở phố Tôn Đức Thắng, lúc ở khu phố cổ Hà Nội. Liên tiếp truy vấn, cuối cùng, sau 27 giờ, Nguyễn Tử Quảng gọi điện đến nhà người phụ nữ đang đỏ mắt chờ con: “Chị đến ngay quán cà phê Internet ở phố Mã Mây, cháu nó đang ở đấy”.
Cả nhà đang đợi công an phá án với bao tưởng tượng khủng khiếp về một vụ bắt cóc tống tiền nên chỉ cử một người đi “xem sao”. 25 phút sau, bà mẹ tức tốc đi tiếp khi có điện thoại gọi về “cậu quí tử đây rồi, vẫn vô tư ngồi chơi game”. Thì ra cậu ta ham Gunbown quá, đánh quên cả trời đất.
Tiền không mang nhưng với những chiến tích trên mạng, đem đồ đó đi bán cũng đủ tiền ăn bánh mì, chơi game suốt gần hai tuần… “Đến bây giờ tôi vẫn chưa biết mặt cậu nhóc đó – Nguyễn Tử Quảng cười – Công nghệ thông tin không biên giới và khả năng của nó cũng không giới hạn”!…
Nhiều người ở VN lo ngại với những vụ ăn cắp tài khoản thẻ, mạng Internet sẽ đem lại những cuộc chơi không lề lối. Nhưng có lẽ tư tưởng dùng mạng với những hoạt động tự do không biên giới đã khép lại, bắt đầu từ những “điệp vụ” truy tìm đầy hiệu quả và số lượng tin tặc vừa “sa lưới” Bkis thời gian gần đây…
BÚT ĐÀM
(nguồn http://nhipsongso.tuoitre.com.vn)