Trà đá Hacking - giải tỏa cơn khát kiến thức ATTT cho các bạn trẻ

Sáng ngày 06/9/2019 tại Hà Nội, Trà đá Hacking #8 đã chính thức khai mạc với sự tham gia của đông đảo các bạn trẻ đam mê lĩnh vực an toàn bảo mật thông tin. Trà Đá Hacking lần này được đồng tổ chức bởi VNSecurity cùng Trung tâm Giám sát an toàn không gian mạng quốc gia.

Toàn cảnh Hội thảo

Đây là một trong số rất ít hội thảo tại Việt Nam có bán vé, thu tiền của người tham gia, nhưng toàn bộ hội trường của Tòa nhà VNPT NET, số 30 đường Phạm Hùng, chật kín, hết chỗ. Những người tham dự Trà đá Hacking đều rất trẻ, nhiều bạn đang là sinh viên nhưng đã có hiểu biết chuyên môn sâu trong lĩnh vực ATTT. Điều đó cho thấy, “Trà đá hacking” giải toả cơn khát về kiến thức ATTT cho các bạn trẻ và cộng đồng cư dân mạng muốn tìm hiểu sâu về lĩnh vực này. Giới trẻ đang thực sự quan tâm đến lĩnh vực ATTT như một ngành nghề đầy sức hút, một tín hiệu đáng mừng cho giới CNTT Việt Nam.

Những người tham dự Hội thảo kiểm tra vé bằng điện thoại thông qua quét mã QRcode

Đúng như tiêu chí ban tổ chức đưa ra, đây là hội thảo “by hackers - for hackers”. Nếu người tham dự không phải hacker, không phải là lập trình viên nhiều kinh nghiệm thì sẽ khó hiểu được những nội dung chuyên sâu về ATTT được trình bày tại đây.

Diễn giả của Trà đá Hacking #8 hầu hết đều rất trẻ nhưng đã là chuyên gia bảo mật cấp cao với những kỹ năng, kinh nghiệm chuyên sâu. Có diễn giả đến từ các tập đoàn và tổ chức uy tín trong nước và quốc tế nhưng cũng có những diễn giả còn đang học Đại học. Điểm chung của các diễn giả lần này đều có những nghiên cứu và sản phẩm được cộng đồng trên thế giới đánh giá cao, số khác trong đó thường xuyên công bố các lỗ hổng bảo mật nghiêm trọng trong các giao thức xương sống và phần mềm phổ biến trên Internet.

Anh Nguyễn Hồng Quang (nick Quang Nguyễn) - Chuyên gia dịch ngược - là một lập trình viên thường tìm hiểu về các phần mềm mã độc và nghiên cứu các lỗ hổng phần mềm. Anh cũng hay tham gia đóng góp cho các dự án mã nguồn mở liên quan tới an toàn và bảo mật thông tin. Tại Hội thảo lần này, Quang Nguyễn chia sẻ về “Static Binary Instrumentation và WinAFL: Cặp đôi vàng trong làng tìm lỗ hổng”.

Anh Quang Nguyễn thuyết trình tại Hội thảo

Bài thuyết trình giới thiệu công cụ Static Binary Instrumentation (SBI) và ứng dụng của kĩ thuật này trong việc tìm lỗi trên các phần mềm closed source của nền tảng Microsoft Windows. Công cụ SBI cho phép thực hiện instrument một đoạn chương trình bất kì trong file thực thi để có thể đánh dấu quá trình thực thi của một tiến trình. Bài nói cũng trình bày kinh nghiệm khi fuzzing trên hệ điều hành Microsoft Windows bằng WinAFL. Phần kết thúc, bài thuyết trình giới thiệu về các lỗ hổng của Microsoft Jet database được tìm thấy dựa vào phương pháp này.

Nhà nghiên cứu bảo mật đến từ CyStack, Việt Nam, anh Đỗ Minh Tuấn (nick name: hardtobelieve) đang là một sinh viên sắp ra trường, nhưng anh đã có 4 năm kinh nghiệm làm việc đồng thời là một thành viên nhiệt huyết của nhóm CTF BabyPhD. Anh Đỗ Minh Tuấn thích khám phá kỹ thuật khai thác sâu và khai thác phần mềm. Anh đã chia sẻ về “Tiêm nhị phân tĩnh cho MacOS”.

Anh Đỗ Minh Tuấn chia sẻ nội dung về “Tiêm nhị phân tĩnh cho MacOS”

Tiêm nhị phân tĩnh là một kỹ thuật để sửa đổi vật lý và vá tệp thực thi, do đó, nó có thể thực thi thêm mã được tiêm khi chạy. Kỹ thuật này có tác động quan trọng đến an ninh mạng. Từ quan điểm của kẻ tấn công, điều này rất hữu ích để xây dựng sự lây nhiễm dai dẳng. Từ quan điểm quốc phòng, điều này đóng một phần quan trọng trong việc thực hiện thiết bị cho phân tích nhị phân.

Bài nói chuyện này giới thiệu cách tiếp cận để tiêm mã cấp cao (được xây dựng từ ngôn ngữ lập trình C/C , không chỉ là shellcode đơn giản) cho MacOS. Anh Đỗ Minh Tuấn trình bày các vấn đề kỹ thuật đã phải giải quyết, bao gồm hiểu các định dạng tệp MachO, cách mở rộng nhị phân ban đầu để chứa mã mới, cách liên kết tĩnh đơn giản hóa tận dụng trình liên kết động dyld để thực hiện tác vụ nặng. Bài thuyết trình này kết thúc với một số bản demo trực tiếp.

JiuWei, Giám đốc phòng thí nghiệm của The ShepherdLab, của JD Security, chia sẻ tại Hội thảo nội dung: “Công cụ điều hành Shellcode đa nền tảng và đa kiến trúc”. Chủ đề nghiên cứu của anh chủ yếu về thiết bị nhúng, bảo mật phần cứng, bảo mật blockchain, kỹ thuật đảo ngược và các chủ đề bảo mật khác nhau. JiuWei đã từng trình bày những phát hiện của mình trong các hội nghị bảo mật quốc tế khác nhau như Defcon, HITB, Codegate, QCon, KCon, Brucon, H2HC, Hitcon, v.v. Anh cũng là chủ sở hữu của hackersbadge.com và tích cực tham gia vào sự phát triển của Unicorn (http://unicorn-engine.org).

Anh JiuWei chia sẻ về “Công cụ điều hành Shellcode đa nền tảng và đa kiến trúc”

Hoạt động như giai đoạn đầu tiên trong khai thác, shellcode đóng vai trò quan trọng trong việc kích hoạt thành công lỗ hổng phần mềm. Vì phần tải trọng này được viết bằng mã máy cấp thấp, việc hiểu cách thức hoạt động của nó để phân tích không đơn giản.

Bài trình bày của JiuWei giới thiệu một công cụ phân tích mã máy đa nền tảng và đa kiến trúc. Dựa trên trình giả lập Unicorn (http://unicorn-engine.org), công cụ của này có thể thực thi và phân tích tất cả các loại mã, bất kể Hệ điều hành (Windows, Mac, Linux, Android, v.v.) hay kiến trúc CPU (Intel, Cánh tay, Aarch64, Mips). Nhờ một công cụ thiết bị mạnh mẽ, báo cáo đầu ra có thể hiển thị những gì shellcode làm bên trong. Trong buổi nói chuyện này, JiuWei giới thiệu ngắn gọn về thiết kế và triển khai cũng như một số thách thức kỹ thuật mà phải giải quyết và một số bản demo trực tiếp thú vị về shellcode hiện đại.

Anh Tạ Quang Khánh, đến từ Công ty An ninh mạng của Viettel, chia sẻ: Anh đã tiếp cận Capture The Flag và Reverse Code Engineering vài năm cuối đại học. Sau đó, anh được nhận vào làm việc tại một số công ty với công việc chính là phân tích mã độc hại, tập trung chủ yếu vào nền tảng Windows, phần lớn thời gian làm static analysis.

Trao đổi về “Mối đe dọa Panda tiên tiến”, anh Tạ Quang Khánh cho biết : “Giữa năm 2018, tôi bắt đầu làm việc cho một công ty an ninh mạng của Viettel. Sau đó vài tháng tôi có đi thực hiện tác vụ rà soát và xử lý mã độc (chỗ tôi làm gọi là cleanup, đúng theo nghĩa đen của nó) cho một cơ quan chính phủ, có khá nhiều mẫu mã độc chúng tôi thu được trên hệ thống của họ tại thời điểm đó. Một số dấu hiệu ban đầu cho thấy đây là một tấn công APT (Advanced Persistent Threat). Đến khoảng thời gian khoảng đầu năm nay (2019), tôi quyết định dành một số thời gian để phân tích các mẫu này và xa hơn là đánh giá về nhóm hacker đứng đằng sau tấn công".

"Bài nói sẽ trình bày nhanh một số thông tin mà tôi đã thu được về nhóm này trong quá trình phân tích. Ngoài ra tôi cũng chia sẻ một số vấn đề mà tôi gặp phải trong việc xử lý case APT, với tư cách là một newbie (người mới) - đây là lần đầu tiên tôi tiếp cận và có một cái nhìn rõ hơn về tấn công APT thay vì việc đọc các bài báo, báo cáo đã được công bố của nước ngoài hay nghe người khác nói về nó, hi vọng có thể cùng trao đổi với các chuyên gia có mặt tại hội thảo”, anh Tạ Quốc Khánh cho biết thêm.

Các bạn trẻ tham dự Hội thảo tranh thủ “khai thác chất xám” của các diễn giả với những câu hỏi ngay sau khi kết thúc bài thuyết trình

Dự định ban đầu của anh Tạ Quang Khánh là hoàn thiện bản báo cáo (với nhiều thông tin kỹ thuật chi tiết hơn, dưới dạng whitepaper) trước thời điểm diễn ra Trà Đá Hacking #8, tuy nhiên, vì một số lý do mà không thể hoàn thành kịp tiến độ. Anh hứa sẽ hoàn thành và công bố trong thời gian sớm

Các bạn trẻ yêu thích an ninh mạng có dịp được gặp gỡ, thảo luận với những tên tuổi quen thuộc trong đội ngũ hacker mũ trằng như: Dương Quốc Thái, Nguyễn Anh Quỳnh, Trần Trung Kiên... Họ đã biết tranh thủ khai thác thêm kiến thức từ các diễn giả với những câu hỏi ngay tại Hội thảo

Trà đá Hacking #8 tạo được cầu nối giữa các chuyên gia tầm cỡ và chuyên sâu trong lĩnh vực an toàn thông tin, CNTT và cộng đồng, thúc đẩy niềm đam mê của không chỉ người trong giới chuyên môn mà còn giới trẻ về lĩnh vực an toàn, an ninh mạng, góp phần nâng chất lượng nguồn nhân lực ATTT cho Việt Nam.