BKIS: Công hay Tội? (phần 2)

[sonnb]

Tranh luận với chã (@Tathy) thật là mệt. Mong bác Arkain xoá bớt các tranh luận không mang tính đọc/hiểu/suy luận.

Tôi xin được nhắc lại
+Bkis là một đơn vị sự nghiệp của Nhà nước, chịu sự điều chỉnh của Nghị định 64 và Luật CNTT.
+Bkis là một đơn vị an ninh mạng, có quyền hành động khẩn cấp khi có sự cố liên quan đến an ninh mạng quốc gia.
+Bkis đã tiến hành phân tích virus khi có sự yêu cầu của KrCert. Việc khống chế server chứa virus nằm trong tình huống khẩn cấp và có lợi chung cho lợi ích cộng đồng. Phía KrCert và các chủ server chưa đặt vấn đề về tính hợp pháp hay không hợp pháp này

+Bkis tham gia Apcert là việc thực hiện nhiệm vụ của Nhà nước giao cho, không phải Bkis tự tham gia khi không có chỉ đạo của Nhà nước. Như vậy Bkis cũng có chức năng là một đơn vị ứng cứu khẩn cấp máy tính tại Việt Nam (Đừng đánh đồng với chức năng quản lý nhà nước của Vncert). Chức năng này chỉ thu hồi khi Các cơ quan quản lý nhà nước yêu cầu Bkis phải làm đơn xin rút khỏi tổ chức Apcert. Bkis có quyền tham gia phân tích virus ngay cả khi KrCert không có yêu cầu chính thức vì một số máy tính tại Việt Nam cũng bị nhiễm virus loại này. Đó là hành động vì lợi ích quốc gia

+Trong việc phân tích và khống chế nguồn phát tán virus, Bkis không có tội vì đã thực hiện đúng chức năng và nhiệm vụ được giao cho khi thành lập Trung tâm. Khác với một doanh nghiệp thông thường, một đơn vị sự nghiệp của Nhà nước không có quyền tự đăng ký kinh doanh ngành nghề nào cả mà phải được thông qua của cơ quan quản lý nhà nước. Việc khống chế 2 server như đã nói trên nằm trong tình huống khẩn cấp nên Bkis có quyền hành động trước báo cáo sau theo đúng quy định và tiền lệ khi xảy ra vụ án/ sự cố, mà ở đây lại là vụ việc mang tính khủng bố nghiêm trọng toàn cầu

Đặt ngược lại câu hỏi, Vncert đã làm gì, hành động những gì khi nhận được đề nghị phối hợp của Krcert. Vncert có tiến hành điều tra, phân tích mã virus hay không theo đúng chức năng của mình ? Công văn của Vncert gửi cho ĐHBK mang tính trao đổi nghiệp vụ, như vậy có nghĩa là nội dung email của CHO chưa phải quan điểm chính thức của Vncert. Nếu chưa phải quan điểm chính thức của Vncert thì tại sao lại đưa vào nội dung công văn này mặc dù có thể Vncert chỉ cần làm một công văn đơn giản gửi cho Bkis attach nọi dung email của CHO là đủ, vì email đó đơn giản là quan điểm cá nhân

Theo trình tự khiếu nại tố cáo được quy định trong Luật khiếu nại tố cáo, Vncert là một cơ quan quản lý nhà nước có trách nhiệm gọi đương sự các bên giải trình/điều trần hoặc thành lập một tổ chuyên trách điều tra. Vncert chưa tiến hành yêu cầu Bkis giải trình/ điều trần đã gửi ngay một công văn mang nội dung như trên dễ dẫn đến hiểu là nội dung công văn là quan điểm chính thức của VNcert. Việc liên hệ với Bkis có lẽ khá đơn giản và nhanh hơn nhiều đường công văn. Phải chăng lãnh dạo Bkis và Vncert có mâu thuẫn hoặc không ưa nhau? Với trách nhiệm quản lý nhà nước của mình, VNcert cần phải đứng vai trò công tâm chứ không được phản ánh quan điểm cá nhân

+ Không bàn
+ Đây không phải là vấn đề liên quan tới an ninh quốc gia, mà là TRỢ GIÚP với sự cố của thành viên khác trong tổ chức.
+ Không bàn
+ Khi một ai đó NHỜ sự TRỢ GIÚP, chúng ta có thể trợ giúp hoặc từ chối. Tất nhiên từ chối là một việc khó chấp nhận vì cùng là thành viên nhưng không có nghĩa TRỢ GIÚP là tung hết thông tin thu thập được ra TOÀN THẾ GIỚI trong khi chưa nắm bắt hết được thông tin và nguồn gốc của nhóm hacker, làm mất manh mối điều tra những đồng phạm còn lại

Cần thay đổi có lẽ là cách thức làm việc và công bố thông tin của BKIS với các thành viên trong hội cũng như các phương tiện thông tin đại chúng.

[vragon]

khống chế 2 server có 2 trường hợp
1.hack
2.mở cửa tự do , dạng như web
(2 lý do được đăng tải trên báo tto)
Hỏi các bác dân cntt liệu trường hợp 2 có thể xảy ra không ?
Có thể lấy được file log bằng cách 2 ?

1)tui chưa thấy dịch vụ chia sẻ công khai nào mà để toang cái log ra.
thường file log bị hạn chế truy cập. nếu có chia sẽ thì cũng chỉ thấy dứoi dạng liệt kê thôi. không thể truy cập vào nội dung được.
file log thường để dưới quyền của root hoặc tương đương.
nếu ko lấy dc root thì ngắm thôi
tới đây thì hiểu rồi nhỉ, ít ra là phải "gain control" cái đã
2)đọc ở trên có bạn nói BKIS là cơ quan chức năng sao lại đi bán BKAV với eOffice, rồi BKIS và BKAV là 2 đơn vị khác nhau...
Thực ra cái này là cái cách tổ chức ma.
Một đơn vị thực tế núp bóng dưới 2 cái hình thức.
hình thức núp bóng nhà nước để lãnh được tiền từ chính phủ, được bảo vệ quyền lợi như cơ quan nhà nước.
hình thức thứ hai là một dạng doanh nghiệp kinh doanh-> kiếm tiền.
vấn đề cực kì ma là, vừa lãnh tiền được của nhà nước vừa giữ phần lời kinh doanh cho riêng mình mà ko phải nộp lại.
Vụ này cũng là điển hình: nếu có sai phạm gì giơ cái khiên nhà nước lên mà đỡ.

mấy bạn ở topic trước cứ cãi là doanh nghiệp hay nhà nước thì rõ rành là thực tế trên giấy tồn tại 2 cái đó.
nhưng mà thực tế thì cũng chỉ có một, mọi thứ liên quan đến BKIS hay BKAV gì đó đều do 1 tay Mr Quảng đứng ra phát ngôn cả.

[ChayChamLam]

To thuoc579:

- Bạn nói sai rồi, cho dù BKIS có quyền điều tra như C15 cũng ko thể nào tự ý xâm nhập trái phép vào server người khác khi chưa đc quyền của chủ quản hoặc cơ quan có thẩm quyền đồng ý.

- Ví dụ đơn giản: không phải CA lúc nào cũng có quyền bắt hoặc khám xét nhà người khác. Phải có lệnh của tòa án thì mới đc nhé. Lơ mơ ko có lệnh là bị kiện sặc máu đấy. --> BKIS hoàn toàn có tội. Tội ở đây thật ra không lớn nhưng mà bác Quảng cứng đầu ko chịu nhận sai cho nên mới bị nhìu người công kích. Đã thế bác ý còn tung bom, PR 1 cách hèn kém vô đạo đức nên mới bị ghét. Bác ý đã vi phạm rất nghiêm trọng đến đạo đức trong kinh doanh rồi.

[onlyAnh]

Lỗi thì đã phơi ra đấy rồi, còn lách luật thế nào là chuyện của bác Quảng, xử lí ra sao thì do bác ấy ngoại giao.
Văn hóa "Phê Bình và Tự Phê Bình" không biết có còn hay ko

Tội ở đây thật ra không lớn nhưng mà bác Quảng cứng đầu ko chịu nhận sai cho nên mới bị nhìu người công kích. Đã thế bác ý còn tung bom, PR 1 cách hèn kém vô đạo đức nên mới bị ghét. Bác ý đã vi phạm rất nghiêm trọng đến đạo đức trong kinh doanh rồi.

Nói như bác là khá động chạm và xúc phạm đấy. Đạo đức và lòng tự trọng thì ai lại không có. Tuy nhiên ở khía cạnh những người như bác Quảng thì phải gạt 2 thứ xa xỉ đó đi, vì thật sự nó không có lợi cho việc kinh doanh và nghề của bác ấy.

[Clarious]

Một điều quá đơn giản mà hình như nhiều người không chịu hiểu đó là hai cái server kia không thuộc VN, muốn thực hiện bất kì điều gì thì phải tuân theo luật quốc tế và được phép của nước chủ quản. Nên nhớ interpol muốn thực thi bất kì nhiệm vụ nào cũng phải được phép của nước đó.

Chứ cứ nói kiểu "vì lợi ích quốc gia", mai chắc mấy bạn chống khủng bố của Hoa Kỳ cũng nói là 'toilet nhà tớ là nơi trú ẩn của khủng bố', sau đó cho 3 quả tomahawk biến cái nhà thành cái lỗ to đùng mà không cần hỏi ý VN ra sao quá.

[vragon]

@fantasy_nano:
tới j cũng chưa có thông tin gì cụ thể
nhưng với hiểu biết của tui thì tui tin là BKIS đã có hành động xâm nhập bất hợp pháp.
@all: qua vụ này thì thấy thêm cái kiểu tổ chức ma của BKIS.
ai mà cạnh tranh nổi chài

[dinhlocphp]

Đề tài rất hot, cho phép tôi tham gia tranh luận cùng với mọi người chút

Có hai luồng dư luận : Một là việc xử lý của Bkis trong trường hợp này là trái pháp luật và thông lệ quốc tế. Việc dùng sự kiện này để PR cho thương hiệu Bkis là quá đà dẫn đến nguy cơ tiềm ẩn về hình ảnh CNTT Việt Nam trong mắt thế giới không tốt – Các khả năng trả đũa của hacker quốc tế đối với Việt Nam là có -> Việc này sẽ gây tổn thất cho nước mình. Ý kiến này khá nhiều và được sự ủng hộ nhiều hơn (xin lỗi nếu nhận xét của tôi không đúng)

Thông tin khác – Cho rằng Bkis cũng có đóng góp nhất định (có công) trong sự kiện này – Ý kiến này ít và thường được mọi người cho rằng đó là những người của Bkis biện hộ hoặc gây lệch định hướng tranh luận của chủ đề.

Tôi thử tiếp cận vấn đề từ một cách nhìn khác xem thế nào :

Một là : Bkis bằng kỹ thuật (phương pháp đúng hay chưa đúng sẽ bàn sau ) đã cùng với cộng đồng chuyên môn tìm ra nguyên nhân DDoS sau khi nhận được yêu cầu non-officer từ phía Hàn quốc. Như vậy khả năng kỹ thuật của các nhân viên cúa trung tâm BKIS là đáng được ghi nhận.

Hai là phương pháp tiến hành xử lý của BKISSbằng chiếm quyền điều khiển của 2 server đúng hay sai. Có vi phạm luật quốc tế ? – Phía Korea có đưa vấn đề này ra kiện ra quốc tế hay không? Theo tôi cần có thông tin nhiều hơn nữa và nên để cho chủ thể là phía Hàn quốc phát biểu chính thức. Có hai khả năng xẩy ra : Luật quốc tế về việc này đã có -> Xử lý tương đối đơn giản. Chưa có -> là cơ hội để bổ sung vào luật. Chưa có ý kiến của phía Hàn quốc thì chúng ta cũng không nên quá lo lắng cho những việc của người khác.

Ba là Việc BKIS dùng việc này để PR sẽ được đánh giá thế nào ? : Về mặt bản chất mọi DN đều phải tận dụng mọi cơ hội để PR cho mình – Các tiến hành PR thành công hay thất bại sẽ tự DN đó hưởng thành quả hay hứng chịu. Một trong những điểm yếu của doanh nghiệp CNTT Việt Nam nay khi muốn PR vươn ra khỏi phạm vi quốc gia là ở chỗ chưa có hoặc chưa hiểu hết các thông lệ quốc tế. Tôi thiên về suy nghĩ là Anh Quảng chưa có kinh nghiệm hoặc hiểu biết về thông lệ quốc tế nhiều hơn. Nếu có những kiện tụng xảy ra thì cũng là một bài học lớn cho BKIS nói riêng và những doanh nghiệp CNTT Việt nam nói chung trong cách tiếp thị hình ảnh của mình trên một đấu trường rộng và khốc liệt hơn. Nói gì thì nói chúng ta vẫn phải có ước mơ đến một lúc nào đó Việt Nam mình có một chỗ đứng nào đó dù rất khiêm tốn trong nền CNTT thế giới. Chắc chắn các bạn trẻ ở diễn đàn. Các bạn đang đi du học, các bạn, các anh chị đang công tác ở các nước phát triển sẽ giúp một phần nào cho việc để không xẩy ra những sơ suất do chưa có hiểu biết kỹ càng về thông lệ quốc tế kiểu như thế này.

Bốn là chúng ta lo lắng trả đũa của các hacker thế giới với Việt Nam : Việc đối đầu với hacker tôi cho là đương nhiên phải đối mặt của mọi quốc gia, DN, tổ chức chính phủ… Trước sau gì thì cũng phải có xây có chống. Các hãng Security vì thế mới lớn mạnh và đưa ra các giải pháp ngày càng tốt hơn được. Việt Nam cũng vậy

Năm là dù chưa biết kết luận thế nào thì hình ảnh về kỹ thuật của CNTT Việt Nam trong an ninh mạng cũng được cải thiện trong cộng đồng CNTT quốc tế - Ở đây tôi muốn nói đến các chuyên gia an ninh mạng , các kỹ sư đã tham gia vào xử lý vụ việc chứ không muốn lồng các yếu tố pháp lý vào đây. Tôi có nhớ một số hacker ở Đức, Mỹ khi xâm nhập vào một số hệ thống an ninh quốc gia họ vẫn bị xử theo pháp luật nhưng không ai đánh giá thấp năng lực kỹ thuật của họ cả

[vragon]

sorry vì nhảy vào lại, tại đang rảnh với lai hình như tui chưa nó vấn đề này :P

Có vi phạm luật quốc tế ? – Phía Korea có đưa vấn đề này ra kiện ra quốc tế hay không? Theo tôi cần có thông tin nhiều hơn nữa và nên để cho chủ thể là phía Hàn quốc phát biểu chính thức. Có hai khả năng xẩy ra : Luật quốc tế về việc này đã có -> Xử lý tương đối đơn giản. Chưa có -> là cơ hội để bổ sung vào luật. Chưa có ý kiến của phía Hàn quốc thì chúng ta cũng không nên quá lo lắng cho những việc của người khác.

tui tin rằng BKIS vi phạm luật quốct tế dẫn ra vì tui tin là BKIS chiếm quyền điều khiển bất hợp pháp.
tui khẳng định là luật pháp quốc tế có phạm trù này rồi
nhưng tui ko tin rằng HQ sẽ kiện hay có bất cứ điều gì liên quan tới kiện tụng ở đây

Ba là Việc BKIS dùng việc này để PR sẽ được đánh giá thế nào ? : Về mặt bản chất mọi DN đều phải tận dụng mọi cơ hội để PR cho mình – Các tiến hành PR thành công hay thất bại sẽ tự DN đó hưởng thành quả hay hứng chịu. Một trong những điểm yếu của doanh nghiệp CNTT Việt Nam nay khi muốn PR vươn ra khỏi phạm vi quốc gia là ở chỗ chưa có hoặc chưa hiểu hết các thông lệ quốc tế. Tôi thiên về suy nghĩ là Anh Quảng chưa có kinh nghiệm hoặc hiểu biết về thông lệ quốc tế nhiều hơn. Nếu có những kiện tụng xảy ra thì cũng là một bài học lớn cho BKIS nói riêng và những doanh nghiệp CNTT Việt nam nói chung trong cách tiếp thị hình ảnh của mình trên một đấu trường rộng và khốc liệt hơn. Nói gì thì nói chúng ta vẫn phải có ước mơ đến một lúc nào đó Việt Nam mình có một chỗ đứng nào đó dù rất khiêm tốn trong nền CNTT thế giới. Chắc chắn các bạn trẻ ở diễn đàn. Các bạn đang đi du học, các bạn, các anh chị đang công tác ở các nước phát triển sẽ giúp một phần nào cho việc để không xẩy ra những sơ suất do chưa có hiểu biết kỹ càng về thông lệ quốc tế kiểu như thế này.

vấn đề này tui đã đề cập ở đâu rồi, nói chung là PR dưới góc nhìn doanh nghiệp thì tui chả bình luận nhưng dưới góc nhìn của một cơ quan thuộc chính phủ như BKIS vin vào thì tui nghĩ là cực kì nhảm nhí, phản tác dụng.
thực tế là những người điều hành của BKIS chưa có thời gian hoạt động ở nứoc ngòai làm việc trong môi trường quốc tế. (đang xem CV mấy anh lớn ở BKIS)
-> tự kết luận, hòai bão của BKIS lên tầm quốc tế có còn thiếu điều gì chăng.

Bốn là chúng ta lo lắng trả đũa của các hacker thế giới với Việt Nam : Việc đối đầu với hacker tôi cho là đương nhiên phải đối mặt của mọi quốc gia, DN, tổ chức chính phủ… Trước sau gì thì cũng phải có xây có chống. Các hãng Security vì thế mới lớn mạnh và đưa ra các giải pháp ngày càng tốt hơn được. Việt Nam cũng vậy

sẽ có vài vụ thử ddos cho xem.

Năm là dù chưa biết kết luận thế nào thì hình ảnh về kỹ thuật của CNTT Việt Nam trong an ninh mạng cũng được cải thiện trong cộng đồng CNTT quốc tế - Ở đây tôi muốn nói đến các chuyên gia an ninh mạng , các kỹ sư đã tham gia vào xử lý vụ việc chứ không muốn lồng các yếu tố pháp lý vào đây. Tôi có nhớ một số hacker ở Đức, Mỹ khi xâm nhập vào một số hệ thống an ninh quốc gia họ vẫn bị xử theo pháp luật nhưng không ai đánh giá thấp năng lực kỹ thuật của họ cả

tui ko biết bác nói hình ảnh nào, chứ tui thấy có vấn đề về sự thiếu chuyên nghiệp rất lớn. Thực ra các tổ chức làm việc với nhau, họ ko bao giờ nghi ngờ hay đánh giá thấp năng lực của đối tác cả. Vấn đề là làm ăn như thế nào thôi. Mà cái này thì con sâu làm rầu nồi canh.
p.s: tây thấy vậy mà thù dai lắm,
mấy anh châu á thì khỏi nói

[edavn]

@dinhlocphp: theo dõi topic này giờ mới tìm được bài viết của anh là hợp lý nhất

[pavietnam]

@dinhlocphp: theo dõi topic này giờ mới tìm được bài viết của anh là hợp lý nhất

Bạn coi là hợp lý nhất nhưng mình coi Vikhoa hợp lý hơn