Lần đầu tiên tại Việt Nam, một cuộc thi ''hợp pháp'' thử tài các hacker đã được nhóm ''BugSearch'' thuộc Đại học Quốc gia TP.HCM (ĐHQG-HCM) công bố. Nội dung của cuộc thi là thách đố các hacker xâm nhập một máy chủ Web đặt tại mạng tin học của ĐHQG-HCM.
Theo nhóm BugSearch, mục đích của cuộc thi là tạo ra một sân chơi lành mạnh cho phép các bạn yêu thích tin học tự đánh giá được khả năng hiểu biết của mình về xâm nhập một hệ thống Unix; kiểm tra khả năng phòng thủ một máy chủ Web. Trong ''lời dẫn'' của mình, nhóm BugSearch viết: ''Phải đã từng là một quản trị viên hệ thống nhiều máy chủ với các dịch vụ trên đó đang bị xâm nhập, ta mới hiểu được cảm giác giận dữ, lo lắng, lúng túng không biết bắt đầu từ đâu và làm như thế nào để loại bỏ kẻ xâm nhập khỏi hệ thống khi mà ta không có quyền cắt kết nối mạng vì phải đảm bảo liên tục dịch vụ trên đó. Kẻ xâm nhập đã vào qua sơ hở nào? Từ lúc nào? Đã chiếm quyền điều khiển máy chủ nào? Máy chủ nào còn an toàn? Liệu các giải pháp sắp áp dụng đã đủ để loại trừ kẻ xâm nhập? Với một hệ thống bắt buộc phải hoạt động liên tục, người quản trị không có nhiều ưu thế so với kẻ xâm nhập, và đây là một cuộc đấu trí thực sự giữa admin và hacker. Để chiến thắng, chúng ta phải có sự chuẩn bị nghiêm túc từ trước cho công tác bảo mật. Đó là hệ thống log, hệ thống cơ sở dữ liệu ghi lại trạng thái của hệ thống khi còn �sạch sẽ�, hệ thống phát hiện xâm nhập � và bên cạnh đó, ta phải là người ''trên cơ'' đối thủ, hiểu được các ngón nghề của những kẻ xâm nhập...''
Quy chế của cuộc thi
Theo quy định của nhóm BugSearch, những người tham dự cuộc thi phải tuân thủ các điều kiện sau:
1/ Đối tượng tham gia cuộc thi là tất cả các công dân Việt nam.
2/ Không sử dụng các phương thức tấn công kiểu Từ chối Dịch vụ (DoS) và các biến tấu của nó vì các phương thức này sẽ làm ảnh hưởng tới họat động bình thường của mạng ĐHQG-HCM.
3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao. Một người chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ là người đạt được đầu tiên, trừ giải đặc biệt. Một xâm nhập thành công phải đảm bảo sự hoạt động bình thường của hệ thống, không làm ''treo'' máy chủ, xóa đĩa cứng...
4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ tương ứng, trừ giải đặc biệt. Với hai điều kiện 3 và 4, nếu một hacker thành công ở mức thứ nhất đầu tiên thì giải thưởng đó thuộc về anh ta; tuy nhiên nếu anh ta thành công đầu tiên ở mức cao hơn thì giải thưởng mức cao hơn sẽ dành cho anh ta và giải thưởng mức thấp hơn mà anh ta đã đạt được sẽ dành cho người thứ hai đã đạt được hoặc lại trở thành ''mở'' để chờ đón những người khác.
5/ Trong quá trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay đổi hệ thống phòng thủ của mình cho phù hợp như trong điều kiện làm việc thực tế.
6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các hacker phải :
- Ghi lại toàn bộ các màn hình ghi các lệnh đã thực hiện
- Gửi ngay các bằng chứng của cuộc tấn công của mình cho tnminh@vnuhcm.edu.vn. Thời gian nhận được e-mail ghi bởi máy chủ e-mail của ĐHQG sẽ được coi là thời điểm đang ký kết quả dự thi.
- Nhóm BugSearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao tác mà các hacker đã làm, kiểm tra các dấu vết các hacker đã để lại trên hệ thống�) và gửi phúc đáp tới tác giả. Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm thực hiện của hacker đó.
7/ Cuộc thi bắt đầu từ 12h00 ngày 18/8/2003 và chấm dứt khi tất cả các giải đề ra đã được thực hiện hết hoặc vào thời điểm hội thảo về bảo mật hệ thống vào khoảng giữa tháng 9/2003. Đây cũng là thời điểm trao giải thưởng của cuộc thi.
8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên viên tổ chức bảo vệ máy chủ.
9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết luận cuối cùng.
Cơ cấu giải thưởng
- 1 giải trị giá 500.000 đồng cho ai chiếm được shell quyền một user thông thường trên máy chủ.
- 1 giải trị giá 1 triệu đồng cho ai thay được nội dung trang chủ của Webserver này. Redirect truy cập web của một số client qua máy webserver khác không nằm trong phạm vi cuộc thi.
- 1 giải trị giá 1 triệu cho ai thay đổi được nội dung tập tin /etc/shadow, nhưng chưa có root shell
- 1 giải trị giá 1,5 triệu đồng cho ai kiếm được shell quyền root
- 1 giải trị giá 2 triệu đồng cho hacker cài được backdoor dạng Load Kernel Module trên máy chủ
- 1 giải đặc biệt trị giá 3 triệu đồng dành cho người cài được backdoor dạng bất kỳ mà nhóm quản trị không phát hiện được ra. Hai ngày trước khi tổ chức hội thảo và kết thúc cuộc thi, nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra toàn hệ thống. Vào ngày trao giải, nhóm quản trị sẽ công bố các backdoor hiện đang có trong hệ thống. Giải đặc biệt sẽ trao cho người có backdoor không trong danh sách backdoor mà nhóm quản trị công bố và vẫn đang họat động. Demo sự tồn tại của backdoor sẽ được thực hiện ngay tại hội thảo. Nếu có nhiều người thực hiện được điều này thì giải sẽ được chia đều cho mọi người cùng đạt kết quả trên. Các hacker được quyền thực hiện các kỹ thuật để mình trở thành người duy nhất có backdoor mà quản trị mạng không phát hiện được.
Đăng Khoa