Hoài niệm về kỷ nguyên vàng của các công cụ hacking cuối thập niên 90

Hãy ngồi lại đây, các bạn trẻ. Hãy gác lại những đầu dò eBPF biên dịch bằng Rust, những quy tắc Sigma và các bảng điều khiển EDR trị giá hàng tỷ đô la. Hãy ngồi lên đống đĩa mềm cũ kỹ này để tôi kể cho bạn nghe một câu chuyện. Một câu chuyện về thời mà modem 56k là vũ khí hủy diệt hàng loạt, khi toàn bộ cơ sở hạ tầng vận hành của bạn chỉ là một chiếc máy Windows 98 đầy bụi bẩn, và kênh chỉ huy và điều khiển (C2) tinh vi nhất mà bạn có được là một phòng chat đầy những thiếu niên tranh cãi về Linkin Park.

Hồi đó, chúng tôi hack với cá tính riêng.

Kỷ niệm về công cụ hack thập niên 90

Kỷ nguyên vàng của các công cụ truy cập từ xa (RAT)

Mọi chuyện bắt đầu vào khoảng năm 1998, khi một nhóm gọi là Cult of the Dead Cow phát hành một thứ gọi là Back Orifice tại DEF CON. Tên gọi là một cách chơi chữ có chủ đích nhại lại Microsoft BackOffice—trẻ con, chính xác và hoàn toàn đúng chất của một nhóm hiểu rằng việc đặt tên hay là một nửa trận chiến. Đây là một công cụ quản trị từ xa cho phép bạn kiểm soát máy Windows 95/98 từ xa: duyệt tệp, chụp màn hình, ghi nhật ký nhấn phím, chuyển hướng cổng. Nó chạy âm thầm, không cần chuyên môn cao để triển khai và dung lượng dưới 100KB.

Giới bảo mật lúc bấy giờ đã "điên đầu" một cách dễ đoán. Microsoft gọi nó là phần mềm độc hại (malware). Cult of the Dead Cow gọi đó là minh chứng cho những thất bại bảo mật của Windows. Cả hai đều đúng.

Sau đó đến Back Orifice 2000 (BO2K), được trình bày tại DEF CON vào tháng 7 năm 1999, phát hành dưới dạng mã nguồn mở, có thể mở rộng thông qua các plugin và khả năng truyền thông mã hóa. Lúc bấy giờ, nó giàu tính năng hơn hầu hết các công cụ quản trị từ xa hợp pháp trên thị trường.

Cũng trong năm đó, NetBus đã lưu hành. Được tạo ra năm 1998 bởi một lập trình viên người Thụy Điển tên là Carl-Fredrik Neikter, nó chia sẻ tiền đề cơ bản của Back Orifice—kiểm soát từ xa âm thầm các máy Windows—nhưng đi kèm với giao diện đồ họa (GUI) đủ sạch sẽ để cảm thấy khá uy tín. NetBus trở nên nổi tiếng một phần vì nó được dùng để cắm tài liệu khiêu dâm trẻ em vào máy tính của một giáo sư luật ở Thụy Điển, một vụ việc đã kéo công cụ này vào tòa án hình sự thực sự và buộc mọi người liên quan phải nghiêm túc hơn nhiều về ý nghĩa của "quản trị từ xa". Giáo sư đó được trắng án. Vụ việc là một bản xem trước cho các cuộc thảo luận pháp lý và đạo đức sẽ mất thêm một thập kỷ nữa để trưởng thành thành bất cứ thứ gì giống như một chính sách.

Tuy nhiên, không Back Orifice hay NetBus là RAT được triển khai rộng rãi nhất thời đó. Danh hiệu đó thuộc về Sub7 (hay SubSeven), được viết bằng Delphi bởi một thiếu niên người Rumani với biệt danh mobman và phát hành lần đầu vào tháng 2 năm 1999. Đến năm 2000, nó ở khắp mọi nơi. Nó có giao diện người dùng được trau chuốt. Nó có sổ địa chỉ để theo dõi nạn nhân nào đang trực tuyến. Nó có trình chỉnh sửa máy chủ để tùy chỉnh payload trước khi triển khai, mượn ý tưởng trực tiếp từ BO2K. Nó thậm chí còn hỗ trợ thông báo qua ICQ khi nạn nhân lên mạng, điều bất thường tinh tế đối với một phần mềm độc hại. Nguồn gốc chính xác của cái tên "Sub7" chưa bao giờ được mobman xác nhận chắc chắn, và các lời giải thích khác nhau lưu hành trên các diễn đàn chủ yếu là dân gian. Điều quan trọng là nó hoạt động, nó miễn phí và việc cấu hình nó cực kỳ đơn giản.

Những con dao đa năng của người điều hành tầng hầm

RAT là phần hào nhoáng của bộ công cụ. Dưới chúng là một lớp công cụ thực sự hữu ích, đôi khi rất tinh tế, và trong nhiều trường hợp vẫn được sử dụng tích cực ngày nay—bằng chứng cho thấy cơ sở hạ tầng cốt lõi của Internet phát triển chậm như thế nào.

Nmap, trình quét mạng của Gordon Lyon, đã có mặt trong kỷ nguyên này và nhanh chóng trở thành thứ đầu tiên bất kỳ ai chạy chống lại mục tiêu. Nếu bạn có một mạng con và năm phút, bạn biết chính xác thứ gì đang đang lắng nghe. Netcat là công cụ không thể chết: đọc từ mạng, ghi vào mạng, lắng nghe trên cổng, chuyển tệp, tạo shell sơ khai. Nó thường được gọi là "con dao đa năng TCP/IP" đến mức cụm từ đó trở thành sáo rỗng, nhưng sự sáo rỗng đó là chính xác. Cả hai công cụ này vẫn còn trên mọi máy của chuyên gia thâm nhập (pentester) vào năm 2026.

John the Ripper xử lý bẻ khóa mật khẩu. Cain & Abel làm mọi thứ khác trên Windows: đầu độc ARP, khôi phục mật khẩu, nghe lén mạng, chặn tin nhắn VoIP. dsniff và ettercap bao phủ phía nghe lén trên Unix. Hping cung cấp cho bạn khả năng thao tác gói tin TCP/IP thô. Aircrack, trong các phiên bản đầu, đã bắt đầu chứng minh rằng WEP không nhiều là một giao thức mã hóa mà là một lời gợi ý lịch sự.

Đối với các mục tiêu hướng web, có các trình quét và bộ khai thác lỗ hổng có chất lượng khác nhau. Hầu hết hoạt động bằng cách lặp qua danh sách các lỗ hổng CGI đã biết lẽ ra phải được vá từ nhiều tháng trước nhưng không phải, vì quản lý vá lỗi vào năm 2001 là "cháu trai của ai đó sẽ nhìn vào nó cuối cùng". Whisker, Nikto và các trình quét lỗ hổng khác lưu hành qua cùng các kênh với mọi thứ khác.

Toàn bộ hệ sinh thái hoạt động dựa trên giả định ngầm rằng mục tiêu chưa cập nhật bất cứ thứ gì kể từ khi cài đặt, điều—để công bằng—thường là đúng.

IRC: Trung tâm chỉ huy, câu lạc bộ xã hội và hiện trường vụ án

Để hiểu cách mọi thứ hoạt động, bạn cần hiểu về IRC, Internet Relay Chat, và cụ thể là ý nghĩa của việc dành thời gian trên EFnet, DALnet, Undernet và các mạng nhỏ hơn khác tập trung xung quanh các sở thích cụ thể. IRC là nơi "scene" sống: trong các kênh như #hack, #warez, #sub7, #bo2k và một số kênh khác có tên quá sáng tạo để in ra đây.

Sự tích hợp IRC của Sub7 không phải là ngẫu nhiên. Bắt đầu từ phiên bản 2.1, thành phần máy chủ của con ngựa (trojan) có thể kết nối với một kênh IRC cụ thể và lắng nghe lệnh từ người điều hành, phản hồi như một bot. Điều này rất tinh tế, theo một cách hơi đáng sợ: các máy bị xâm nhập của bạn chỉ là các máy khách IRC. Cơ sở hạ tầng C2 của bạn là một máy chủ chat miễn phí mà bạn không kiểm soát và không thể truy xuất nguồn gốc. Thực thi pháp luật phải tìm cách trát đòi hầu tòa một mạng IRC trước khi họ có thể bắt đầu hiểu họ đang nhìn vào cái gì.

Đó là tiền đề về mặt khái niệm của mọi khung C2 hiện đại ẩn mình bên trong các dịch vụ đám mây hợp pháp—kiến trúc, không phải công nghệ, là sự đổi mới. Sự đổi mới không phải về mặt kỹ thuật. Nó là về mặt kiến trúc: sử dụng cơ sở hạ tầng đã tồn tại, đã tạo ra lưu lượng, mà những người bảo vệ không giám sát vì họ tập trung vào các bề mặt tấn công rõ ràng hơn. Các tác nhân đe dọa ngày nay làm điều tương tự với Slack, Telegram và Google Drive. Hồi đó, chúng tôi làm điều đó với một phòng chat gọi là #r00t trên EFnet.

Ngoài hoạt động thuần túy, IRC cũng là một không gian xã hội với văn hóa, nghi thức và phân cấp của riêng nó. Bạn chứng minh bản thân bằng cách chia sẻ thông tin, bằng cách có quyền truy cập vào các công cụ trước người khác, bằng cách có mặt khi điều gì đó thú vị xảy ra. Các kênh thường xuyên hỗn loạn, đôi khi độc hại, và cũng là một thời gian học việc tàn khốc về bảo mật mạng cho bất kỳ ai không đủ tiền mua vé hội nghị. Nhiều người hiện là các chuyên gia được tôn trọng trong DFIR, tình báo đe dọa và đội đỏ (red teaming) đã học được những điều cơ bản ở đó.

Cảnh hacker Ý: Sự hỗn loạn sáng tạo bị gián đoạn

Ý có một chiều kích riêng trong tất cả những điều này. Trước khi IRC thay thế mọi thứ, cộng đồng hacker và "smanettone" (người thích vọc vạch) Ý đã tự xây dựng xung quanh các BBS (Hệ thống Bảng tin) chạy trên Fidonet, với một văn hóa pha trộn giữa sự tò mò kỹ thuật, hoạt động chính trị và thái độ Địa Trung Hải đặc trưng đối với các quy tắc.

Sau đó đến ngày 11 tháng 5 năm 1994.

Vào buổi sáng hôm đó, các sĩ quan từ Guardia di Finanza đã gõ cửa đồng thời các nhà điều hành hệ thống trên khắp cả nước, thực hiện các lệnh khám xét như một phần của cái được gọi là Chiến dịch Hardware 1. Đ acting trên một lệnh do một công tố viên từ Pesaro phát hành, họ đã đột kích 119 nút Fidonet vì nghi ngờ hai cá nhân đang sử dụng mạng để phân phối phần mềm lậu. Chiến lược rất đơn giản và tàn bạo: lấy toàn bộ danh sách các nút Fidonet và đột kích tất cả. Hai người bị nghi ngờ; phần còn lại là vấn đề vạ lây. Thiết bị bị tịch thu bao gồm modem, đĩa mềm, CD-ROM, băng cassette âm thanh và trong ít nhất một trường hợp được ghi nhận, một thanh kéo điện, rõ ràng bị tịch thu là "phù hợp để tái tạo tài liệu bất hợp pháp".

Tác động đối với cộng đồng BBS Ý là tàn khốc. Nhiều sysop (người quản trị hệ thống) đơn giản là dừng lại. Nhiều năm chia sẻ kiến thức không chính thức, lưu trữ tệp và xây dựng cộng đồng đã bốc hơi sau một đêm. Đó là một cộng đồng kỹ thuật bị tháo dỡ bởi một hành động pháp lý mà, về mặt pháp lý, hầu như không chịu được sự kiểm chứng. Hai người ban đầu bị nghi ngờ cuối cùng bị truy tố. Hơn một trăm nạn nhân vạ lây nhận được lời xin lỗi có sức nặng tương đương một cái bắt tay.

Cuộc trấn áp của Ý đã không giết chết scene này. Trong vài tháng sau các cuộc đột kích, các mạng như CyberNet thấy số lượng người dùng tăng lên, một phần từ những người đã phát hiện ra rằng Internet khó đột kích hơn một BBS tại số điện thoại cố định. Đến lúc IRC trở thành phương tiện thống trị vào cuối những năm 1990, các hacker và nhà nghiên cứu bảo mật Ý đã quay lại, phân bổ trên các kênh quốc tế, hơi thận trọng hơn về nơi họ lưu trữ tệp của mình và nói chuyện khéo léo hơn nhiều về quyền kỹ thuật số.

Những gì chúng ta học được

Các công cụ của kỷ nguyên đó trông sơ khai bây giờ. GUI của Sub7 trông giống một bài tập Visual Basic. Kiến trúc plugin của Back Orifice 2000 rất thông minh vào năm 1999 và sẽ bị phát hiện ngay lập tức bởi bất kỳ sản phẩm bảo mật điểm cuối hiện đại nào. Cain & Abel ngừng được bảo trì vào năm 2014 và chỉ chạy trên các hệ điều hành mà bạn không nên chạy anyway.

Nhưng các mô hình tư duy thì không sơ khai. Ý tưởng rằng bạn có thể sử dụng máy bị xâm nhập làm nút chuyển tiếp, rằng lưu lượng C2 nên hòa trộn vào lưu lượng hợp pháp, rằng người điều hành nên tránh tái sử dụng cơ sở hạ tầng: những điều này đã có trong bộ công cụ cuối những năm 1990 và chúng có trong sách chơi của mọi tác nhân đe dọa nghiêm túc ngày nay. Những người xây dựng tích hợp bot IRC của Sub7 hiểu an ninh vận hành (OpSec) tốt hơn nhiều người bảo mật doanh nghiệp hiểu nó một thập kỷ sau đó.

Cuộc trấn áp của Ý, với tất cả sự vụng về về mặt pháp lý, đã sản sinh ra một thế hệ các chuyên gia thực sự suy nghĩ nghiêm túc về mối quan hệ giữa các cộng đồng kỹ thuật, hệ thống pháp luật và các quyền tự do dân sự. Một số trở thành nhà báo. Một số trở thành luật sư. Một số trở thành người phản hồi sự cố. Một vài người trở thành cả ba.

Hồi đó, bạn học bằng cách làm những việc bạn lẽ ra không nên làm, trong các kênh bạn chắc chắn không nên xuất hiện, với các công cụ bạn tải xuống từ các trang web hiện là khảo cổ học kỹ thuật số. Và bằng cách nào đó, từ tất cả sự hỗn loạn đó, một nghề nghiệp đã nổi lên.

Không có chi.