Link Phần 1: http://www.ddth.com/showthread.php?t=289633

Topic trên đã quá dài và có nhiều ý kiến "loãng" do nhiều bạn không theo dõi hết hoặc không hiểu vấn đề.

Nhân bài trả lời của Mr. Nguyễn Tử Quảng trên báo Tuổi Trẻ (http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=327250&ChannelID=16) và nhiều báo khác, tôi xin trích lại 1 phản hồi của bạn đọc trên báo Pháp Luật. (http://www.phapluattp.vn/news/xa-hoi/view.aspx?news_id=262316)

Đây cũng là vấn đề thảo luận của topic phần 2 này, xoay quanh các trả lời chính thức của Mr. Nguyễn Tử Quảng đối với báo chí.




Đọc kỹ trả lời của Nguyễn Tử Quảng, Giám đốc BKIS trên các báo và khảo sát các tư liệu để tìm xem lý lẽ của Nguyễn Tử Quảng có thể tin cậy được không khi phản đối VnCERT, tôi có mấy nhận định sau :

1. Jinhyun CHO làm đồng thời cho mấy tổ chức KISA , cho KrCERT và là trưởng tiểu ban đặc trách an ninh (SPSG - Security and Prosperity Steering Group) của APEC TEL Working Group. Địa chỉ mail: hyuni@kisa.or.kr, jinhyun.cho@gmail.com

Cụ thể vai trò 3 tổ chức đó:

• KISA (Korea Information Security Agency): Cục An ninh Công nghệ thông tin Đại Hàn.

• KrCERT (Korea Computer Emergency Response Team): đơn vị đối ứng của Đại Hàn tham gia vô tổ chức APCERT (Á Châu-Thái Bình Dương, thành lập hồi 2003).

• APEC TEL Working Group: gọi là "nhóm làm việc", nhưng có thể coi như một ủy ban về các vấn đề viễn thông và CNTT của APEC.Trong cơ cấu APEC TEL chỉ có 4 tiểu ban gọi là Steering Group, đặc trách các vấn đề: Liberalization, ICT Development, MRATF và Security Prosperity. Chức vụ trưởng tiểu ban là convenor, được bầu và có nhiệm kỳ 2 năm. Jinhyun CHO làm deputy convenor từ 2006-2008 và tới tháng 3-2008 trúng chức convenor cho tới nay (đương nhiệm).

Theo trang nầy, (http://www.itu.int/osg/csd/cybersecurity/WSIS/3rd_meeting_speakers.html)

CHO từng có chân trong FIRST (Forum of Incident Response and Security Teams). CHO còn trực tiếp đứng lớp nhiều khóa huấn luyện cho các nước đang phát triển về phản ứng khẩn sự cố máy tính.

Việc CHO viết thơ cho VNCERT và APCERT với tư cách cá nhân càng cho thấy mức cẩn thận tối đa của CHO. Dọa lôi người khác ra tòa thì càng không thể cẩu thả được. Nguyễn Tử Quảng đánh giá hơi thấp hành động nầy của ông CHO.

2. Lỏng lẻo về luật pháp trong phần trả lời Tuổi Trẻ của Nguyễn Tử Quảng:

a. Jinhyun CHO khẳng định KrCERT không có yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra. Nguyễn Tử Quảng không đưa ra công văn nào mà chỉ trích email của "Terrence Park xưng danh thuộc KrCERT/CC", làm bộ coi như Park là đại diện chánh thức của KrCERT.

Trong khi đó, thư của Cho gởi từ KrCERT thì ông Quảng nhấn đi nhấn lại rằng đó chỉ là ý kiến riêng, không chính thức. Đó là thái độ tiền hậu bất nhất đối với 2 email cùng phát đi từ một nơi. Lập luận của ông Quảng tới đây có vẻ « lấp liếm », yếu lắm.

Hơn nữa, Terrence Park cũng không xa lạ gì với Jinhyun Cho. Trong file APEC TEL SPSG Workshop Report, trang 11 thấy Park đứng ngay sau Cho, đại diện cho Hàn Quốc tại hội thảo. Về Terrence Park, một tiểu sử tự thuật(1) cho hay: sanh năm 70, bắt đầu sự nghiệp ở KISA năm 2000, từ 2005 làm cho KrCERT và hiện phục vụ APEC TEL cũng như dạy các khóa huấn luyện về ICT của LHQ. Nói chung là rất gắn bó với CHO.

Khó lòng có chuyện bất đồng giữa 2 người trong việc đề nghị hay không đề nghị nước ngoài giúp đỡ.

Coi trang Twitter của Park sẽ thấy câu kêu gọi đó mang tính cách cá nhân: Bất cứ ai sẵn lòng giúp chúng tôi thoát khỏi vụ ddos « cà chớn » nầy đều được hoan nghênh. Chúng tôi thực sự muốn nó chấm dứt. (10h55 ngày 9-7-2009, có liên hệ gì với email mà BKIS nhận được lúc 9h55 ngày 10-7, theo lời ông Nguyễn Tử Quảng?)

b. Về việc chậm trễ báo cáo lên VNCERT, do không có thời gian có thể đặt nghi vấn vì sao Nguyễn Minh Đức có thời giờ chụp hình « kiểng » trên báo,gởi thông báo cho các tổ chức quốc tế. Hành động không báo cáo cho VnCERT như đã nói là trái với các khoản 1, 2, 3 điều 43 của Nghị định 64-2007.

c. Điểm tiếp theo cũng đã nói, xoay quanh việc BKIS khống chế 2 servers có phạm pháp hay không. Ông Quảng nói rất mạnh rằng CHO võ đoán. Vậy phương pháp đó ra sao. Nói chung hơi khó hình dung chuyện khống chế để tiến hành phân tích nhưng không xâm nhập bất hợp pháp.

d. Không tự dưng CHO gởi thơ cho APCERT. Có thể giả định ông nhận thấy chuyện BKIS tự ý trả lời báo chí là trái điều lệ của APCERT, phải coi lại quy chế hợp tác của tổ chức nầy . BKIS giả sử có điều tra ra kết quả một cách hợp pháp thì sau đó chỉ cần thông báo cho các đối tác có liên quan là đủ, gấp rút đơn phương công bố thông tin như vừa rồi có lợi gì cho việc giải quyết sự vụ ngoài tác dụng PR cho bản thân? Hoàn toàn không « ăn nhậu » gì đến chuyện hòa bình thế giới Mỹ-Hàn-Bắc Triều Tiên như ông Nguyễn Tử Quảng tuôn một tràng ở cuối bài trả lời báo Tuổi trẻ.


Tôi cũng xin có vài ý kiến như sau:



Thực chất đây có lẽ là nội dung được dựa trên email của ông Jinhyun Cho, tuy nhiên, trong email ông Jinhyun Cho không khẳng định những điều này, mà chỉ nói rằng ông ấy phỏng đoán là như vậy. Thực tế ông Jinhyun Cho không hề biết phương pháp khống chế 02 server nói trên mà Bkis đã thực hiện, do đó phát biểu của ông Cho là hoàn toàn võ đoán và không có căn cứ. Chúng tôi sẽ làm việc với KrCERT/CC về việc này.

Cho dù BKIS sử dụng phương pháp nào để khống chế servers thì đó cũng là chiếm quyền điều khiển servers mà không có sự đồng ý của chủ servers hoặc không có giấy phép của tòa án. Xét theo điều 72 Luật CNTT Việt Nam thì rõ ràng BKIS đã vi phạm luật.

Hiện giờ vẫn chưa thấy BKIS nói rõ 2 servers đó ở đâu, nếu ở EU hoặc US thì chắc là cũng vi phạm luật của các nước đó. Ví dụ như ở UK thì có CMA (Computer Misuse Act, 1990 (http://www.opsi.gov.uk/ACTS/acts1990/ukpga_19900018_en_1#pb1-l1g1)), ở US thì có Computer Hacking and Unauthorized Access Laws (http://www.ncsl.org/IssuesResearch/TelecommunicationsInformationTechnology/ComputerHackingandUnauthorizedAccessLaws/tabid/13494/Default.aspx)

Như vậy, có 2 trường hợp xảy ra:

1/ BKIS nói mình kiểm soát được 2 servers trên blog là sự thật -> vi phạm luật.

2/ Việc nói rằng mình kiểm soát được 2 servers trên blog chỉ là "trò đùa" -> tự các bạn nhận xét nhé.



Như tôi đã trả lời ở trên, Bkis đã giúp Hàn Quốc và Mỹ truy tìm nguồn gốc của các cuộc tấn công dựa trên đề nghị chính thức từ đại diện của KrCERT/CC. Với tư cách là đồng sáng lập của Hiệp hội các Tổ chức cứu hộ khẩn cấp sự cố máy tính khu vực Châu Á - Thái bình dương (APCERT), Bkis có trách nhiệm và có đầy đủ quyền hạn để thực hiện những việc này.


Cho dù KrCERT và cả US-CERT hay APCERT có đề nghị các thành viên APCERT (trong đó có BKIS) giúp đỡ truy tìm nguồn gốc các cuộc tấn công thì cũng không có nghĩa là BKIS CÓ QUYỀN chiếm quyền điều khiển các servers ở nước ngoài.

Có nhiều phương pháp để truy tìm, nếu phát hiện ra servers và muốn kiểm tra log thì hoặc là phải liên hệ với chủ servers để xin phép, hoặc là phải có sự đồng ý của các cơ quan pháp luật tại quốc gia mà servers đó đang đặt. BKIS không thể tự ý chiếm quyền điều khiển các servers như vậy để xem log được.



- Chúng tôi cho rằng, là một đơn vị làm việc trong lĩnh vực an ninh mạng hay một cơ quan quản lý nhà nước về lĩnh vực an ninh mạng thì không nên có quan điểm “sợ” hacker. Vì việc này sẽ khiến hacker có thể coi thường pháp luật. Với luật hình sự sửa đổi vừa được Quốc hội thông qua, Việt Nam hiện đã có tương đối đầy đủ hành lang pháp lý để xử lý các loại tội phạm trên mạng với hình phạt nghiêm khắc, có thể phạt tù tới 12 năm đến chung thân.

Đúng là các cơ quan làm về an ninh mạng không nên "sợ" hacker. Tuy nhiên, là người làm về an ninh mạng thì không nên "thách thức" hacker tấn công mình làm gì, và càng tránh được các cuộc tấn công thì càng tốt.

Thử hình dung các cuộc tấn công vào website Kr, US vừa rồi mà chuyển hướng sang các website Việt Nam thì có lẽ Internet của cả Việt Nam sẽ tê liệt hoàn toàn chứ không chỉ có các trang web bị tấn công.

Đường truyền của chúng ta chỉ bằng 1 phần rất nhỏ so với Kr và US, các hệ thống của chúng ta cũng thế.

Mr. Quảng ám chỉ VNCERT "sợ" hacker như thế là không đúng. Với vai trò là CERT của 1 quốc gia thì phải nghĩ đến nhiều cái khác xa hơn nữa chứ không chỉ đơn giản là việc chống hacker tấn công.

Tạm thời thì tôi có những ý kiến như vậy dựa trên các trả lời của Mr. Nguyễn Tử Quảng.

Xin mời các bạn thảo luận tiếp, tuy nhiên lần này các Mod của DDTH sẽ thắt chặt hơn việc kiểm soát các bài spam hoặc bàn luận không đúng chủ đề.

Bạn nào thích bàn chuyện bên lề kiểu như BKIS đồng sáng lập APCERT thì mời vào đây:
http://www.ddth.com/showthread.php?t=289677

mình cũng vừa đọc lại phần 1, và đọc các bài báo trên tuổi trẻ và pháp luật, thì thấy rằng mọi việc đang dần đần sáng tỏ và có vẻ như bkis đang cố gắng lách luật đây, có nhiều công và ko ít tội nhưng công ko thể bù tội được,
hy vọng mọi việc sẽ sáng tỏ trong 1,2 ngày tới

Nguyên tắc của việc điều tra là không công bố khi chưa được sự đồng ý của các bên liên quan.

Thời gian gần đây, có lẽ BKIS được mọi người "ưu ái chê" nhiều nên cần phải lấy lại thanh danh mà không biết rằng việc mình làm là vi phạm luật. Ông Cho của KrCERT vì tính lịch sự nên chỉ nói rằng là ý kiến cá nhân ông ta thôi, chứ mà ông ta dùng quyền của KrCERT mà complain thì mặt mũi của mình để đâu cho được?

Đọc cái câu trả lời của Mr. Quảng trên báo Thanh niên Chủ nhật 19/07/2009 nghe tức anh ách. Đã làm sai thì chấp nhận "em sai", người ta còn châm chước, đằng này còn nói: "... Chúng tôi cho rằng, là một đơn vị làm việc trong lĩnh vực an ninh mạng hay một cơ quan quản lý nhà nước về lĩnh vực an ninh mạng thì không nên có quan điểm 'sợ' hacker..."

Cái này rõ ràng là theo ông bà mình nói là "cãi chày cãi cối", hay là nói ngang.

Mặt khác Mr. Quảng và BKIS rất mâu thuẩn khi đưa ra chứng cứ e-mail là KrCERT "khẩn thiết" yêu cầu. OK, người ta khẩn thiết yêu cầu giúp đỡ để tìm ra nguồn gốc sự tấn công chứ người ta có nói là sau khi tìm ra thì công bố ra cho công chúng đâu? Người ta có nói là hãy tấn công ngược lại đâu?

Tôi cũng rất tin rằng dân security VN rất là OK, nhưng thử hỏi các bác sẽ như thế nào nếu giả sử các bác là một võ sư cao cường, khét tiếng giang hồ bị một đám đông các võ sư cũng cao cường không kém bu vào đánh các bác? Lúc đó các bác dám nói rằng các bác còn sống nổi con trăng này không?

Được gửi bởi Nguyễn Tử Quảng @ TTO
- Chúng tôi cho rằng, là một đơn vị làm việc trong lĩnh vực an ninh mạng hay một cơ quan quản lý nhà nước về lĩnh vực an ninh mạng thì không nên có quan điểm “sợ” hacker. Vì việc này sẽ khiến hacker có thể coi thường pháp luật. Với luật hình sự sửa đổi vừa được Quốc hội thông qua, Việt Nam hiện đã có tương đối đầy đủ hành lang pháp lý để xử lý các loại tội phạm trên mạng với hình phạt nghiêm khắc, có thể phạt tù tới 12 năm đến chung thân.
Đúng rồi, không nên sợ hacker.
Việc bkis tấn công vào 2 server kia thì chẳng là Hack còn gì.
Chính bởi vì anh em diễn đàn tin học không sợ hack. Nên mới lên tiếng phản đối các ông đó.

Nói chung vấn đề quan trọng bây giờ là BKIS có hack 2 sv đó ko ?
Chờ 1 câu trả lời, mong rằng ngày mai sẽ có !

Tôi thừa nhận BKIS có công nhưng công này chưa cáo thành thì đã bị chính BKIS tự tay phá bỏ bởi tính háo danh ấu trĩ quá mức, và trên thực tế nếu nó thành hậu quả gây cản trở quá trình điều tra của an ninh mạng thế giới thì thiệt hại không để đâu cho hết. Đó là nói trên phương diện kĩ thuật và kinh tế, còn chính trị thì tôi không dám bàn tới

Còn việc Quảng ám chỉ VNCERT sợ tội phạm là 1 điều vô cùng trịnh thượng. Nhiệm vụ của ngành an ninh là truy bắt tội phạm tất nhiên họ sẽ không ngán tội phạm nhưng họ cũng không phải vì sợ thất nghiệp (hay 1 lí do nào khác) mà phải khiêu khích giới tội phạm nổi dậy. Giả sử thật sự giới tội phạm chuyển hướng tấn công sang VN thật thì ai gánh chịu ? Bắt được hacker thì sao ? Xử tội hắn thì có xóa hết những hậu quả đã gây ra không ? Pháp luật để răn đe người ta sẽ tốt hơn để đem ra hành xử người ta. À mà dám Quảng cũng đang mong chờ tụi hacker quay sang VN để Quảng bắt và BKIS lại được vinh danh lắm à

* "Việc BKIS thừa nhận tấn công và chiếm quyền điều khiển 02 server để tiến hành phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế. Cách BKIS công bố thông tin khiến công chúng hiểu rằng BKIS thực hiện các hành vi tấn công trái pháp luật và đồng thời gây nhầm lẫn là KrCERT và APCERT cũng tham gia vào các hành vi phạm pháp này". Ông có nghĩ rằng việc làm của BKIS đã sai?

- Thực chất đây có lẽ là nội dung được dựa trên email của ông Jinhyun Cho, tuy nhiên, trong email ông Jinhyun Cho không khẳng định những điều này, mà chỉ nói rằng ông ấy phỏng đoán là như vậy. Thực tế ông Jinhyun Cho không hề biết phương pháp khống chế 02 server nói trên mà Bkis đã thực hiện, do đó phát biểu của ông Cho là hoàn toàn võ đoán và không có căn cứ. Chúng tôi sẽ làm việc với KrCERT/CC về việc này.

Và phản biện của Gia Minh


c. Điểm tiếp theo cũng đã nói, xoay quanh việc BKIS khống chế 2 servers có phạm pháp hay không. Ông Quảng nói rất mạnh rằng CHO võ đoán. Vậy phương pháp đó ra sao. Nói chung hơi khó hình dung chuyện khống chế để tiến hành phân tích nhưng không xâm nhập bất hợp pháp.

Mình rất ủng hộ ý kiến của Gia Minh rằng việc "khống chế"-theo như lời AQ- và xâm nhập bất hợp pháp vào server của người ta là một hành động khó có thể giài thích làm sao cho chúng khác nghĩa .

Thử hình dung các cuộc tấn công vào website Kr, US vừa rồi mà chuyển hướng sang các website Việt Nam thì có lẽ Internet của cả Việt Nam sẽ tê liệt hoàn toàn chứ không chỉ có các trang web bị tấn công.

Đường truyền của chúng ta chỉ bằng 1 phần rất nhỏ so với Kr và US, các hệ thống của chúng ta cũng thế.

Mr. Quảng ám chỉ VNCERT "sợ" hacker như thế là không đúng. Với vai trò là CERT của 1 quốc gia thì phải nghĩ đến nhiều cái khác xa hơn nữa chứ không chỉ đơn giản là việc chống hacker tấn công.


Tôi đồng ý với vikhoa chỗ này, đừng vì một chút danh hão cho riêng mình mà quên đi cái lớn chung.

Nếu BKIS làm đúng theo trình tự của luật và làm tốt, thì tôi nghĩ chắc chắn sau khi cuộc ngăn chặn tấn công thành công, KrCERT nói riêng và cộng đồng an ninh mạng quốc tế nói chung sẽ không thể nào quên nhắc đến họ trong lời cảm ơn của mình. Lúc này theo cá nhân tôi, cái lời cám ơn đó còn đáng giá ngàn lần cái tự PR của BKIS.

Nhìn chung là non, là còn háo thắng lắm.

BKIS đưa khoản 4 điều 43 của Nghị định 64/2007/NĐ-CP của Chính phủ ra nói chuyện e rằng ko đúng, vì luật là của VN, còn hành vi của BKIS là hành vi có tính quốc tế.

Thêm nữa, BKIS lôi cả Triều Tiên và Mỹ vào vụ này có vẻ hơi kiêng cưỡng và có phần bế tắc. Chính trị ko bao giờ đơn giản để BKIS nói chơi cả. Lôi vào, không những không xoa dịu dư luận, mà BKIS càng đưa mình vào thế kẹt.

Sự sai lệch về thông tin máy chủ đặt tại Mỹ thay vì tại Anh thì có lẽ BKIS cũng chỉ võ đoán mà thôi. Trong trường hợp đụng đến luật pháp và đưa ra khiếu kiện thì có lẽ đây sẽ là 1 điểm để lách rất đẹp
Mặt khác khi thông tin được đưa lên thì chiêu thức PR này hoàn toàn thành công dưới mọi góc độ - thà một phút huy hoàng rồi chợt tắt... là thế.

Nói chung vấn đề quan trọng bây giờ là BKIS có hack 2 sv đó ko ?
Chờ 1 câu trả lời, mong rằng ngày mai sẽ có !

Thế cái hình họ khoe ra trên blog của mình là gì vậy bác ? Tui "khống chế" server chưa rành lắm nên không biết ý nghĩa của nó...

http://blog.bkis.com/wp-content/uploads/2009/07/blog_ip-attack.jpg

* VNCERT cho rằng "Việc tham gia xử lý sự cố quốc tế rất nhạy cảm và nguy hiểm, thậm chí tội phạm mạng có thể chuyển hướng tấn công vào Việt Nam để trả đũa nên Việt Nam phải tham gia phối hợp quốc tế theo những nguyên tắc tổ chức đã được cân nhắc và giữ bí mật nghiêm ngặt. Bkis không nên vì mục đích quảng bá thương hiệu mà công bố thông tin rộng rãi và không chính xác dẫn đến gây nguy hiểm cho các hệ thống thông tin trong nước và khiếu kiện quốc tế"?
sợ cái này nè, AQ chính truyện đang lo toát mồ hôi

Theo tôi, việc BKIS "khám phá" ra 1 phần sự việc trên quả thực là một điều đơn giản mà tôi dám chắc là phần lớn dân trong nghề đều biết bản chất nó như thế nào với việc dịch ngược file malware do bên HQ cung cấp.

Lịch sử cho thấy các CERT kiện nhau là chuyện khó có thể xảy ra. Và bản chất thực sự của sự việc lần này, phía bạn cũng chỉ yêu cầu việc đính chính lại thông tin.

Cái khó của việc phía bạn yêu cầu là việc đính chính thông tin.Vì nếu BKIS đính chính thì hóa ra tự vả vào mồm mình ? Phía bạn cũng đang rối ren chưa giải quyết được hậu quả thì thời gian đâu mà đi kiện ( và kiện để làm quái gì ?).Vì vậy theo tôi mấu chốt của vụ này nằm ở công văn trả lời cho phía KrCert của bkis. Vụ việc có êm xuôi hay không phụ thuộc phần lớn ở công văn này ( và có thể là chuyện lobby phía sau mà chúng ta không cần quan tâm).

Còn lại mấy vấn đề các bác nói về việc phạm luật, nếu mà chủ các servers kia không khởi kiện thì cũng chả có ai nói năng gì được.

Theo khảo sát của tôi khi đi hỏi 1 vòng hơn 50 cán bộ CNVNN thì phần lớn đều đang nghĩ rằng VNCERT "chơi xấu" (???) bkis ?Điều này chứng tỏ việc VNCERT nên tổ chức một buổi họp báo làm rõ vấn đề để giữ uy tín cho việc bị bôi nhọ bởi 1 số luồng thông tin xấu là điều rất cần thiết. Họ (VNCERT) không hề có chức năng kinh doanh, không hề làm hành động gì để tự khoa trương phóng đại bản thân thì không đáng bị bọn bất lương vu khống như vậy.

Tôi nghĩ việc dùng mọi thủ đoạn để hạ bệ VNCERT - vốn không phải là đối thủ cạnh tranh mà là đơn vị hỗ trợ cho mình - để được nổi tiếng, để kiếm hợp đồng là một thủ đoạn bất lương, tráo trở, vô đạo đức. Hành động này nếu không bị trừng trị thì hóa ra bọn bất tài vô dụng lại cưỡi lên đầu chúng ta ?

Tôi ủng hộ ý kiến GIA MINH bên báo Pháp Luật về vấn đề này :


2. Lỏng lẻo về luật pháp trong phần trả lời Tuổi Trẻ của Nguyễn Tử Quảng:

a. Jinhyun CHO khẳng định KrCERT không có yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra. Nguyễn Tử Quảng không đưa ra công văn nào mà chỉ trích email của "Terrence Park xưng danh thuộc KrCERT/CC", làm bộ coi như Park là đại diện chánh thức của KrCERT.

Trong khi đó, thư của Cho gởi từ KrCERT thì ông Quảng nhấn đi nhấn lại rằng đó chỉ là ý kiến riêng, không chính thức. Đó là thái độ tiền hậu bất nhất đối với 2 email cùng phát đi từ một nơi. Lập luận của ông Quảng tới đây có vẻ « lấp liếm », yếu lắm.

Sự việc đang tiến trình theo kết quả bất lợi cho BKIS "Tội và Công" thì mỗi cá nhân ai đang tham gia thảo luận sôi nổi tại đây đã có kết quả sơ bộ. Phía cá nhân mình, mình chỉ nêu ra trên quan điểm trung lập và ko cho rằng phía BKIS sai hoàn toàn. Câu trả lời nên dành cho các đơn vị quản lý ngành CNTT ở Việt Nam.


1/Hiện tại các báo điện tử vẫn chưa có kết luận chính xác xung quanh vấn đề BKIS
2/Bkis đang lộ dần là 1 doanh nghiệp đang hoạt động tại VN thì phải tuân thủ luật VN ( Có một số phần tử quá khích cho rằng BKIS là 1 tổ chức...vậy tổ chức thì được thành lập theo quyết định số bao nhiều, trực thuộc đơn vị bộ ban ngành nào, quyền hạ và nghĩa vụ ra làm sao....đấy là câu hỏi liên quan đến luật pháp)
3/Hiện tại các báo điện tử chưa có trích dẫn lời của luật sư tư vấn luật. Hy vọng nhanh nhất là ngày mai, chậm nhất thì vài ngày đến thì sẽ có kết quả phán sát từ ban trọng tài.
4/Nếu BKIS thừa nhận sai trong vấn đề nhạy cảm, may ra BKIS được sự khoan hồng của cộng đồng mạng, còn trái lại thì BKIS sẽ tự đánh mất lòng tin khi tham vọng đưa sản phẩm BKAV ra thị trường toàn cầu
5/Đây là bài học phải trả giá đắt, chúng ta là người VN nên bảo vệ người VN trước và tránh trình trạng đã kích lẫn nhau. Phía các đơn vị VNCERT và BKIS đã lộ rõ là có sự bất đồng trên quan điểm lập trường. Nội bộ chưa giải quyết xong, chúng ta không nên vội đưa ra phán xét


Trên đây là quan điểm cá nhân tôi. Các bạn bổ xung tiếp nhé...và hành xử có văn hóa...tránh đả kích theo kiểu "bầy đàn"

Như lời bình luận trên báo Pháp Luật thì Nguyễn Tử Quảng đang quẩn, tự vã vào mồm mình

----Mr.Quảng nói ko "sợ" hacker với "tư cách" của 1 hacker - chiếm control của 2 server.chứ với người bình thường(các tổ chức,chính phủ) có nghĩ là ----mình không "sợ" ko?
----điều này cho thấy Mr.Quảng đang thách thức tất cả hacker trên toàn thê giới!
----đồng ý với admin là điều này nên tránh thì tốt hơn,quay ngược thời gian ta cũng đã thấy,năm 2000 Microsoft phát hành Window 2000 với tuyên bố ko ai có thể hack được,vậy mà 1 ngày sau win2k đã bị hack.
-----1 tập đoàn danh tiếng như microsoft còn bị ăn đòn khi xưng tên vỗ ngực,huống chi BKIS
----nói thật là còn có rất nhiều người tài giỏi(ko thua kém NTQ,tôi không nêu tên vì tôi biết họ không khoe khoang như NTQ),có nhiều đóng góp trong lĩnh vực an ninh mạng VN nhưng chẳng ai biết
-----1 trong số đó đã có nới với mình là "nghề làm an ninh mạng rất nhạy cảm,không thể muốn nói là nói,muốn làm là làm",và qua sự việc này mình thấy lời nói đó càng đúng
-----đọc báo Tuổi trẻ sáng nay mình thực sự lo ngại là VN mình sẽ bị tấn công trả đũa,liệu lúc đó BKIS có dám đứng ra đỡ hết các cuộc attack đó ko,hậu họa sẽ không lường trước được?thật sự lo ngại,lo ngại

trích COMALE HVA
Khì khì, bây giờ chủ mưu không phải Anh mà Mỹ (vì server chủ của vụ tấn công ở Miami) smilie

Ví dụ tôi dùng CC chùa, thuê một con server nào đó ở Thụy Điển và dùng nó làm master bot để "dập" ai đó thì vụ này có phải do Thụy Điển chịu trách nhiệm hay không? smilie . Đó là chưa kể đến trường hợp tôi chẳng thèm thuê gì hết mà "tìm" được một con server chạy Windows 2003 có bảo mật chuối quá bèn chiếm lấy nó mà thực hiện ý đồ tấn công ai đó thì ai chịu trách nhiệm đây?

Việc truy tìm ra nguồn con master chỉ mới có 1/5 sự vụ mà thôi.

Đọc vài bản tường trình thấy ngộ nghĩnh quá nên tôi cứ cười hè hè miết thôi. Ví dụ:

Cuộc tấn công DDoS kéo dài một tuần từ 4/7 khiến nhiều trang web tê liệt, trong đó có website của Bộ Tài chính, Bộ Giao thông vận tải, Ủy ban thương mại liên bang (Mỹ) và trang chủ của tổng thống Hàn Quốc. Bkis cho biết cứ 3 phút một lần, các máy tính bị nhiễm virus ngẫu nhiên chọn một trong 8 server để nhận lệnh điều khiển. Họ đã kiểm soát được 2 trong số 8 máy chủ nhờ tìm ra server gốc.



nhưng
- Trên "hình minh họa" của bkis thì cái log hiện ra ngày 3 tháng 7 và trỏ đến 1 cái gif file.
- 166908 máy tấn công 3 phút một lần (đồng loạt ?) đến nhiều trang web thì tạo ra dung lượng bao nhiêu cho mỗi trang web mà đến nỗi.... tê liệt? (nên biết rằng HVA chạy trên 1 server, 1 đường dây trước đây đã từng bị flood lên tới 40 ngàn syn / 1 giây và để tạo 40 ngàn syn / 1 giây thì cần bao nhiêu máy với thời gian tấn công theo mỗi 3 phút).
- Chính master bot (195.90.118.***) cũng được dùng để tấn công (?)
- "Kiểm soát" được 2 trong 8 máy chủ (master) đủ để xác định được con số 166908 máy tấn công (?)

Buồn cười ở chỗ, website của Bộ Tài chính, Bộ Giao thông vận tải, Ủy ban thương mại liên bang (Mỹ) và trang chủ của tổng thống Hàn Quốc mà dùng xampp?


vị anh hùng của chúng ta đây
http://www.hvaonline.net/hvaonline/posts/list/20/30242.hva

như bạn nào đã POST (vừa mới bị xóa :))
BKIS xứng đáng nhận được danh hiệu "QUẢ LỰU ĐẠN VÀNG"

- Chúng tôi cho rằng, là một đơn vị làm việc trong lĩnh vực an ninh mạng hay một cơ quan quản lý nhà nước về lĩnh vực an ninh mạng thì không nên có quan điểm “sợ” hacker. Vì việc này sẽ khiến hacker có thể coi thường pháp luật. Với luật hình sự sửa đổi vừa được Quốc hội thông qua, Việt Nam hiện đã có tương đối đầy đủ hành lang pháp lý để xử lý các loại tội phạm trên mạng với hình phạt nghiêm khắc, có thể phạt tù tới 12 năm đến chung thân.
Thiết nghĩ, AQ với tư cách là người đứng đầu (?) 1 ngành an ninh mạng VN thì không nên có những phát biểu có tính khiêu khích tội phạm và đe dọa một cách kém thông minh như vậy.Những nhân viên bình thường thì nếu họ có phát biểu bốc đồng như vậy thì cũng không sao, nhất là khi AQ đang trả lời báo chí phản bác lại lý lẽ trách móc của bên VNCERT, nghe có vẻ lẫn quẩn cù nhầy, anh hùng rơm sao sao đấy! Mặc dù ý ông ấy là không muốn đề cao bọn tấn công phá hoại.

Tôi thấy BKIS làm mang nặng tính PR và "cầm đèn chạy trước ô tô" dù là ngoại đạo CNTT hehehe.

VNexpress.net
Tổ chức cứu hộ khẩn cấp sự cố máy tính của Hàn Quốc (KrCERT) đã đề nghị Bkis trợ giúp phân tích mã độc được dùng trong đợt DDos này và các chuyên gia an ninh mạng của Việt Nam xác định được 8 server điều khiển hệ thống botnet (mạng máy tính ma) cũng như địa chỉ IP của máy chủ gốc (master server) đặt tại Anh.
Soure: http://vnexpress.net/GL/Vi-tinh/Hacker-Virus/2009/07/3BA1140C/
Họ nhờ phân tích mã độc tìm được có phân tích ra thì cũng phải báo cáo báo cày phát chứ nhỉ ;))

VNCERT nói: "Việt Nam phải tham gia phối hợp quốc tế theo những nguyên tắc tổ chức đã được cân nhắc và giữ bí mật nghiêm ngặt.", dễ hiểu hơn là có điều tra có phối hợp, không manh động và tuyệt-đối-giữ-bí-mật nhưng BKIS lại quy rằng VNCERT sợ hacker (không dám điều tra và xử lý hacker?).
Còn một đoạn trước Việt Nam phải tham gia nữa đó anh desdevlover, nó nằm trong cùng 1 câu. Thực sự thì anh diễn giải thì tôi mới biết là: BKIS nghĩ VNCERT không dám điều tra và xử lý hacker?. BKIS nói quá ý của VNCERT, phải chăng anh cũng đang nói quá ý của BKIS?

Tôi nghĩ rằng dù có sợ đi chăng nữa, thì cũng chẳng ai nói là chúng tôi sợ hacker. Phát biểu của VNCERT cũng không có ý rằng họ sợ , mà nói rằng đừng "gây chuyện" để hacker chuyển hướng tấn công vào Việt Nam. Có ai lại muốn tự rước họa vào thân bao giờ đâu. BKIS không sợ hacker, chẳng qua là bệnh nghề nghiệp, và không lẽ họ nói họ sợ hacker?
Vì sao BKIS không sợ hacker? Không phải bởi vì họ có tài ngăn chặn các cuộc tấn công của hacker, mà bởi vì "Với luật hình sự sửa đổi vừa được Quốc hội thông qua"
Luật pháp Việt Nam có bằng luật Mỹ không? Nếu tội phạm mạng biết sợ luật quốc tế, luật Mỹ, luật Đại Hàn hay luật nước sở tại thì ...

Theo mình BKIS có cả công và tội

Công ở chỗ giúp thế giới biết thêm 1 chút đến 2 chữ Việt Nam, 1 điều rất cần đến trong giai đoạn .... (tự kiểm duyệt vì nhạy cảm) ... hiện nay.

Tội thì Vikhoa chỉ ra rồi, BKIS chống hack bằng chính thủ đoạn hack thì đúng là mục đích biện minh cho phương tiện. Nếu nói: chúng ta không nên sợ hacker thì câu đó phải áp dụng cho chính forum này và chính những người tham gia ở đây ;)

Chính ra nếu xét về quảng bá tên tuổi Việt Nam theo đường Scandal thì em HTL (aka Vàng Anh) đóng góp còn nhiều hơn BKIS

Tôi theo dõi thread này gần 4 ngày nay và cũng có nhiều quan điểm giống cũng như khác đối với Vi Khoa và cộng đồng.

Trước hết xin xác định thực tế sau đây:

BKIS là 1 tổ chức trực thuộc đại học Bách Khoa Hà Nội, đơn vị chủ quản của ĐHBKHN là Sở Giáo Dục Đào Tạo và trên nửa là bộ giáo dục Đào Tạo. Chức năng của cả Sở / Bộ cũng như các đơn vị trực thuộc trong sự kiện này nếu có, sẽ là mang yếu tố nghiên cứu và hỗ trợ, chứ bản thân BKIS cũng như các sở bộ phía trên không có chức năng điều tra và xữ lý quan hệ quốc tế.

Trong trường hợp này, cơ quan chủ quản chính của sự việc này là Bộ Ngoại Giao (quan hệ quốc tế) và phần chuyên môn của sự việc được giao chính thức cho VNCERT. Bản thân VNCERT, BKIS cũng như các đơn vị khác thực chất không có quyền quyết định tham gia điều tra như là 1 vụ án - và chúng ta chưa bàn đến phương thức đó là đúng hay sai.

Nhân đây cũng gửi 1 lời đến bác Quảng là:

Bản thân KrCERT cũng có những người thiếu kinh nghiệm trong việc hợp tác quan hệ quốc tế, nhưng là 1 cường quốc vốn tự hào vì nền công nghệ của mình, Hàn Quốc sẽ khó có thể cho phép 1 đơn vị Việt Nam lập lờ và thách thức khả năng cũng như uy tín của 1 đơn vị cấp quốc gia của mình. Sắp tới đây sẽ có những áp lực ngoại giao mà theo tôi có thể dẹp luôn cái BKIS của anh. Chẳng biết anh có đọc được không :), nhưng cá nhân tôi thì vẫn nghĩ BKIS cũng là 1 nhân tố tích cực cho CNTT Việt Nam và tôi hy vọng rằng BKIS của anh vẫn sống được qua "tai nạn" này.

PS: Tks Vi Khoa for spelling !

Trước hết xin xác định thực tế sau đây:

BKIS là 1 tổ chức trực thuộc đại học Bách Khoa Hà Nội, đơn vị chủ quản của ĐHBKHN là Sở Giáo Dục Đào Tạo và trên nửa là bộ giáo dục Đào Tạo. Chức năng của cả Sở / Bộ cũng như các đơn vị trực thuộc trong sự kiện này nếu có, sẽ là mang yếu tố nghiên cứu và hỗ trợ, chứ bản thân BKIS cũng như các sở bộ phía trên không có chức năng điều tra và xữ lý quan hệ quốc tế.

Trong trường hợp này, cơ quan chủ quản chính của sự việc này là Bộ Ngoại Giao (quan hệ quốc tế) và phần chuyên môn của sự việc được giao chính thức cho VNCERT. Bản thân VNCERT, BKIS cũng như các đơn vị khác thực chất không có quyền quyết định tham gia điều tra như là 1 vụ án - và chúng ta chưa bàn đến phương thức đó là đúng hay sai.



Theo mình biết thì các trường Đại học sẽ trực thuộc BỘ Giáo Dục Đào Tạo (trừ các trường chuyên ngành thì sẽ thuộc các Bộ chuyên ngành quản lý)... Tuy nhiên, thuộc bộ GD ĐT hay thuộc Sở, thì đúng như bác phân tích, đến cả trường lẫn Bộ đều không có chức năng chứ đừng nói là BKIS có chức năng làm những việc như đã công bố om xòm...

Mấy lần trước BKIS lập công ở trong nước, là do có cơ quan điều tra (công an) yêu cầu phối hợp để hỗ trợ điều tra (chứ không phải là BKIS có chức năng điều tra nhé, các bạn lưu ý, chức năng điều tra vẫn thuộc thẩm quyền của cơ quan điều tra)... Còn lần này thì bác AQ ấy cứ tưởng như những lần trước, nên đi hơi xa... Hy vọng là bác ý cũng chỉ là "chết do thiếu hiểu biết" nên sẽ qua được lần sóng gió này.

Sẵn sàng cho ý kiến BKIS đứng đầu việt nam.

Nhưng :
Nếu BKIS đứng đầu việt nam thì họ đã chuyên nghiệp chưa trong cách hành xử theo thông lệ & quy định của quốc tế.
Người phát ngôn của BKIS tính đến thời điểm hiện tại là Ông Quảng nói rằng ông CHO võ đoán... vậy tôi có nên hiểu Ông Quảng giỏi về quan hệ đối ngoại quốc tế.

Tôi không tự hào chút nào về doanh nghiệp đứng đầu việt nam này trước mắt bạn bè quốc tế cả. Có lẽ là chúng ta nổi tiếng thật..nhưng là vì sự thiếu chuyên nghiệp của BKIS & Ông Quảng.

Có vẻ hơi lan man rồi mấy bác, topic này được tách ra là bởi sự trả lời của BKIS với báo chí. Đi vào bình luận các trả lời đó thì hay hơn.

Em có lượn qua bên HVA đọc các bài của hacker, thấy rằng tiền lệ của việc hack hiếc này cũng đã có và chưa thấy có kiện tụng gì cả. BKIS chưa chắc đã bị kiện, vì đã "beg" được người ta mã nguồn bằng nhiều lần gọi điện (nếu là sự thật) thì chắc cũng có sang bên đó mời các anh uống bia nhiều lần để beg nữa.

Hành động beg nhiều lần, nếu là sự thật thì đúng là BKIS đang tự biết và tự hạ mình trước thế giới rồi quay về "bố tướng" với số đông người Việt Nam.

Nguyên tắc áp dụng của an ninh thì là bí mật, với nhiều vụ đã qua lâu rồi thông tin còn không bị hở ra, đằng này kiểu doanh nghiệp đi làm từ thiện có khác, gào ầm lên là ta đây vừa làm từ thiện.

Off topic: Em follow chậm và đọc mỏi mắt ko thấy đoạn nào nói về sự thật "đồng sáng lập" và vì sao BKIS lại là đơn vị kinh doanh duy nhất có tên trong APCERT, cảm phiền anh em PM để không bị chuyện cũ sào lại, thanks

Việc làm của BKIS. Đó là một điều tuyệt vời ! Nhưng có lẽ BKIS đã đi quá xa so với giới hạn của mình.
Theo mình nghĩ, có lẽ bây giờ bên đấy đang tìm cách chống chế lại việc hack vào 2 server. (Nói một cách nào đó, vì an ninh quốc tế nên đành fải...hi sinh...hack) <=> Nhưng rõ ràng là họ đã SAI !

Đáng ra, chú Q phải lấy đức phục ngồi, lấy người thắng chí nhân, lấy chí nhân thắng cường bạo.
Đằng này !
Ổng lại

Đem bom ném khắp nước nhà
Người người văng miểng chết tùm lum

Than ôi....!

Tuy là người Việt nhưng trước giờ mình không chuộng BKAV cho lắm (chuyện này có thể sẽ bàn vào một dịp khác). Nếu ai quan tâm thì kiếm lại topic "BKAV bị đánh rớt trong đợt test virus toàn cầu" xem nhé.

@All: Các bác ném bác Q dữ quá...!

Thôi mấy bác đừng bàn cãi về các phần mềm diệt virus trong và ngoài nước nữa, tập trung vào chuyên môn đi nào.

Theo tui thì sở dĩ có vụ việc này chẳng qua là bên phía Hàn quốc họ thấy BKIS công bố trên blog của mình có dòng như thế này : "...received a request from KrCERT"


Korea and US DDoS attacks: The attacking source located in United Kingdom

Bkis, as a member of APCERT, received a request from KrCERT (Korean Computer Emergency Response Team) to investigate the incident that was performing DDoS attacks on websites of South Korea and the US.

http://blog.bkis.com/?p=718

Nên họ đề nghị BKIS đính chính lại cho chính xác, để cho mọi người khỏi hiểu lầm là "do phía KrCERT yêu cầu...", thôi chứ có gì lớn lao đâu mà BKIS lại không chịu hóa giải cho nó êm đẹp đi.
Mà ngay cả trên báo CAND thì BKIS cũng chỉ cho biết là: "KrCERT kêu gọi...tham gia vào việc trợ giúp phân tích mã độc gây ra các cuộc tấn công, đồng thời xác định những máy tính tại Việt Nam đã bị nhiễm virus." thôi KrCERT có yêu cầu gì thêm đâu mà BKIS lại làm quá tay luôn nên mới sinh chuyện .


Bkis nhận được thư kêu gọi của KrCERT - Tổ chức cứu hộ khẩn cấp sự cố máy tính của Hàn Quốc đối với các thành viên trong Hiệp hội tham gia vào việc trợ giúp phân tích mã độc gây ra các cuộc tấn công, đồng thời xác định những máy tính tại Việt Nam đã bị nhiễm virus.

http://www.cand.com.vn/vi-VN/khcn/2009/7/116551.cand
Nhưng BKIS vốn bản chất cứng đầu,coi trời bằng vung nên lơ đẹp luôn chẳng thèm trả lời trả lổ với người ta 1 tiếng nào hết, nên nay VNCERT mới phải ra công văn nhắc nhở BKIS thì sự việc lại tanh bành té bẹ, tầy quầy ra luôn...

By the way:
2 trong 8 server là các server phát tán mã độc.
Điều khiển cả trăm ngàn zombies trên nhiều nơi trên thế giới.
Đây là "hang ổ", muốn tìm thông tin quý giá thì tại sao ko "vào hàng bắt cọp".
Các bạn ngồi đây claim hành động này là trái pháp luật, vậy đúng pháp luật thì phải như thế nào? Để yên cho họ tự tung tự tác à?

Topic này là để anh em bàn luận về các trả lời chính thức của Mr. Nguyễn Tử Quảng đối với báo chí. Các bài off-topic của cả hai phe pro-BKIS và anti-BKIS sẽ bị delete thẳng tay và tác giả sẽ được mời đi nghỉ mát 1 tháng.

Nếu thấy các bài viết ỡm ờ của thành phần troll, ĐỪNG quote lại mà cũng đừng trả lời, vì vô hình chung bạn đã giúp các con trolls một tay trong việc làm loãng chủ đề, điển hình là cuộc bàn luận dở hơi về sản phẩm BKAV trong topic này mà tớ vừa quẳng vào thùng rác.

Nói chung tình hình là cư dân mạng xem bài trả lời của quảng điều không thích
(1 số ý kiến của những người có làm cntt và không làm cntt và bài trả lời của quảng)
- quảng vòng vo
- Né trách (kiểm soát 2 server - bằng cách nào ? đừng nói không phải là hack )
- quảng có thể bức dây động rừng
- quảng không sợ hacker (thái độ không tốt ,tôi lấy làm quan ngại vì điều này :)) )
- Không báo cho vncert vì quá bận ? ngớ ngẩn mới tin vì sao ư vì nếu bờ kít bận thật thì sao có thời gian nói lên báo chí , tivi . . .

...
mấy bác như fcvolka đó cho em cảm hứng mình bình tiếp

OK, ko đi lan man nữa, tôi bị xóa vài post rùi,

@ vikhoa:
Topic này do bro khởi xướng, chủ đề của topic này là đánh giá các câu trả lời của Mr. Q trên tuoitre. Nghe như vậy có vẻ rất khách quan

Nhưng bài post đầu tiền của bro vikhoa tôi e rằng ko khách quan lắm đâu. Bro dẫn link từ tuổi trẻ, ko hề quote bất kỳ một đoạn đối thoại nhỏ nào trong bài báo này để member có thể đọc, bro lại tiếp tục dẫn các ý kiến chủ quan của một "anti BKIS" trên phapluat rùi lại đưa ý kiến của bro lên???

Các member và visitor của chúng ta chắc cũng ko có đủ thời gian để đọc và phân tích hết nội dung phỏng vấn Mr. Q của tuoitre đâu, họ đọc và dựa trên chính những ý kiến chủ quan này rùi comment công kíck BKIS!

@ any mod:
Bất kỳ cuộc tranh luận nào đều phải có cái nhìn đa chiều, mong các mod có thể edit lại bài post đầu tiên của vikhoa để có một cái nhìn khách quan về BKIS hơn! rất cảm ơn

Mr.Quảng trả lời phỏng vấn của phóng viên theo kiểu nước đôi. Nhưng nêu rất rõ quan điểm của BKIS là

" chúng tôi hành động theo lời kêu gọi một cách hợp pháp " và " các quan điểm cá nhân ( Mr.Cho ) là không có giá trị "

Nhưng việc Mr.Quảng dẫn chứng điều khoản trong bộ luật ra thì tôi không dám chắc lắm về tính đúng đắn của nó BKIS hướng dư luận đang hiểu rằng

" BKIS là cơ quan chức năng có quyền ngăn chặn/xử lý " tình huống nêu trên.

Ông Minh Đức nói : " Đội đặc nhiệm đã tiến hành tấn công ngược trở lại 2 trong số 8 máy chủ đó và đã thu thập được nhật ký của các cuộc tấn công "

Nguồn : http://www.baomoi.com/Home/CNTT/cand.com.vn/Nho-dau-Bkis-Viet-Nam-tim-ra-dau-nao-tan-cong-cac-website-Han-Quoc-va-My/2958450.epi

Ông Tử Quảng nói : " thực tế ông Jinhyun Cho không hề biết phương pháp khống chế 02 server nói trên "

Nguồn : http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=327250&ChannelID=16

Thế này có gọi là vòng vo ko ?

1. Việc Hack vào 2 server người khác xét về luật pháp, và cả đạo đức nghề nghiệp là một việc làm không thể chấp nhận đặc biệt Bkiss là đơn vị hiểu rõ những luật đó như thế nào.

2. Việc Mr Quảng trả lời trên các báo rất vòng vo và thiếu những luận cứ xác đáng, một điều duy nhất có thể tạm gọi là biện minh hành động công bố kết quả khi thành công của Bkiss là việc có sự đồng ý bằng văn bản của VNCERT cho phép công bố các kết quả đó.

Quan điểm của em cần có một đơn vị chịu trách nhiệm pháp lý đứng ra xem xét việc làm và hậu quả vừa qua của BKISS. Xử lý đúng người, đúng luật pháp để răn đe tránh những hậu quả không đáng có cho những lần sau. Hoặc tránh thái độ coi làm sai rồi cãi, coi thường luật pháp việt nam nói riêng và luật pháp Quốc tế nói chung

Cố ngồi lắn nót vài dòng ý kiến để mọi người phản hồi dù sai chính tả.

* Nhưng công văn gửi đến ĐH Bách Khoa có nội dung KrCERT không có yêu cầu chính thức nào đề nghị Bkis hỗ trợ điều tra thủ phạm như các thông tin mà BKIS công bố. Bkis giải thích gì về việc này?


- Thông tin này là không chính xác. Ngày 10-07-2009, KrCERT/CC gửi cho Bkis 2 email. Email thứ nhất lúc 9h55 giờ Việt Nam, một người có tên là Terrence Park đã gửi địa chỉ email tên miền của KrCERT tới danh sách email của các thành viên APCERT.

Terrence Park xưng danh thuộc KrCERT/CC (Korea Internet Security Center - tức trung tâm an ninh mạng Hàn Quốc), trình bày tình trạng tấn công từ chối dịch vụ (DDoS) vẫn đang tiếp diễn ở Hàn Quốc và vấn đề là họ không thể tìm được nguồn gốc thực sự của các vụ tấn công này. KrCERT/CC đã khẩn thiết đề nghị các thành viên của Tổ chức cứu hộ sự cố máy tính khu vực Châu Á - Thái bình dương APCERT (mà trong đó Bkis là một thành viên đồng sáng lập) trợ giúp cung cấp thông tin về “nguồn tấn công, báo cáo phân tích malware (mã độc) hay bất cứ thứ gì liên quan đến vấn đề này”.

Email thứ hai gửi lúc 13h42 giờ Việt Nam, KrCERT/CC đã gửi riêng cho Bkis và VNCERT, đề nghị ngăn chặn một số nguồn tấn công từ Việt Nam, đồng thời đề nghị điều tra, giải quyết vấn đề, (nguyên văn tiếng Anh: “We would appreciate if you could take down or mitigate, and/or investigate and/or deal with this incident” ). Do đó, thông tin nói rằng KrCERT/CC không đề nghị Bkis hỗ trợ điều tra là không chính xác.

Email của ông Terrence Park có đoạn: “Nếu như bất cứ ai có thể giúp chúng tôi làm dịu tình hình này càng sớm càng tốt, chúng tôi hoan nghênh mọi nguồn tin về nguồn gốc của cuộc tấn công này, báo cáo phân tích về malware hay bất cứ tài liệu nào liên quan. Chúng tôi sẽ đánh giá cao nếu nhận được những tài liệu đó. Chúng tôi đang tuyệt vọng và chịu ảnh hưởng phá hoại nặng nề của cuộc tấn công. Nếu các bạn cần mã hóa thông tin, hãy sử dụng key pgp đính kèm của tôi. Chúng tôi thực sự mong muốn khắc phục tình trạng này. Cảm ơn vì các bạn đã quan tâm”.

Trong cùng ngày, ông Terrence Park cũng đã gửi thư tới địa chỉ email của ông Vũ Quốc Khánh, Giám đốc VNCERT, ông Nguyễn Minh Đức. Bkis đồng thời cũng gửi kèm thư này tới địa chỉ email chung của KrCERT. Nội dung thư viết họ đã phát hiện một hoặc hơn 1 website từ Việt Nam có liên quan đến vụ tấn công DDoS nên “Chúng tôi rất cảm kích nếu ông có thể giảm thiểu hoặc ngăn chặn và/hoặc điều tra, và/hoặc đối phó với sự cố này”. Dưới thư ký tên là KrCERT/CC kèm địa chỉ website và email chính thức của KrCERT.

Trong nội dung trả lời trên, chúng ta đều thấy sự lịch thiệp và cẩn thận trong lời lẽ của người viết cho người nhận.
Cũng theo cách mà anh Quảng trả lời thì anh đang vịn vào những lời nói ấy để biện chứng cho hành đồng điều tra , điều này bản thân em hoàn toàn đồng ý.

* "Việc BKIS thừa nhận tấn công và chiếm quyền điều khiển 02 server để tiến hành phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế. Cách BKIS công bố thông tin khiến công chúng hiểu rằng BKIS thực hiện các hành vi tấn công trái pháp luật và đồng thời gây nhầm lẫn là KrCERT và APCERT cũng tham gia vào các hành vi phạm pháp này". Ông có nghĩ rằng việc làm của BKIS đã sai?


- Thực chất đây có lẽ là nội dung được dựa trên email của ông Jinhyun Cho, tuy nhiên, trong email ông Jinhyun Cho không khẳng định những điều này, mà chỉ nói rằng ông ấy phỏng đoán là như vậy. Thực tế ông Jinhyun Cho không hề biết phương pháp khống chế 02 server nói trên mà Bkis đã thực hiện, do đó phát biểu của ông Cho là hoàn toàn võ đoán và không có căn cứ. Chúng tôi sẽ làm việc với KrCERT/CC về việc này.

Ông Jinhyun Cho không khẳng định và có lẽ cũng không đề cập đến việc Bkis hành động như thế nào và sai hay đúng, nhưng trên công bố của chính Bkis đã nói nên điều đó.
Trích : http://blog.bkis.com/?p=718

In order to locate the source of the attacks, we have fought against C&C servers and have gained control of 2 in 8 of them. After analyzing the logs of these 2 servers, we discovered the IP address of the master server, which is 195.90.118.***. This IP is located in UK. The master server is running on Windows 2003 Server Operating System..

Xin hỏi các chuyên gia ở đây có cách nào locate the source of the attacks, we have fought against C&C servers and have gained control ngoài xâm nhập và chiếm quyền kiểm soát chúng ?

* VNCERT cho rằng BKIS đã vi phạm Nghị định 64/2007/NĐ_CP BKIS bởi theo nghị định này, BKIS cần cung cấp thông tin cảnh báo và sự cố cho VNCERT đồng thời "giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần mà các tổ chức ứng cứu máy tính trên thế giới tôn trọng". Xin ông giải thích rõ điều này?


- Theo khoản 4 điều 43 của Nghị định 64/2007/NĐ-CP của Chính phủ, có nội dung như sau: “Trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối.”.

Do sự kiện website chính phủ của Hàn Quốc và Mỹ bị tấn công tê liệt đã diễn ra gần 10 ngày mà chưa tìm ra nguồn phát động tấn công, đây là một tình huống khẩn cấp có nguy cơ ảnh hưởng đến toàn cầu trong đó có Việt Nam. Bkis bắt buộc và được phép thực hiện truy tìm nguồn phát động tấn công, rồi sau đó báo cáo cơ quan điều phối. Hiện tại chúng tôi vẫn khẩn trương tiếp tục tiến hành điều tra cho nên chưa có thời gian để báo cáo. Chúng tôi sẽ thực hiện điều này sau khi đã hoàn thành công việc.

Căn cứ vào đâu mà anh Quảng lại đem cái Nghị định 64/2007/NĐ-CP của Chính phủ áp dụng cho trường hợp các website của Mỹ - Hàn bị tấn công ?
Nếu hiểu lầm thì bản thân em sẽ hiểu Chính Phủ thông qua nghị định này áp dụng cho toàn cầu !!??

* VNCERT cho rằng "Việc tham gia xử lý sự cố quốc tế rất nhạy cảm và nguy hiểm, thậm chí tội phạm mạng có thể chuyển hướng tấn công vào Việt Nam để trả đũa nên Việt Nam phải tham gia phối hợp quốc tế theo những nguyên tắc tổ chức đã được cân nhắc và giữ bí mật nghiêm ngặt. Bkis không nên vì mục đích quảng bá thương hiệu mà công bố thông tin rộng rãi và không chính xác dẫn đến gây nguy hiểm cho các hệ thống thông tin trong nước và khiếu kiện quốc tế"?


- Chúng tôi cho rằng, là một đơn vị làm việc trong lĩnh vực an ninh mạng hay một cơ quan quản lý nhà nước về lĩnh vực an ninh mạng thì không nên có quan điểm “sợ” hacker. Vì việc này sẽ khiến hacker có thể coi thường pháp luật. Với luật hình sự sửa đổi vừa được Quốc hội thông qua, Việt Nam hiện đã có tương đối đầy đủ hành lang pháp lý để xử lý các loại tội phạm trên mạng với hình phạt nghiêm khắc, có thể phạt tù tới 12 năm đến chung thân.

Quả thật, những cơ quan pháp quyền, quản lý an ninh thì không việc gì phải sợ "hắc cơ" . Nhưng dường như câu trả lời này "cố tình" bỏ qua cái ý sâu xa trong câu nói của VNCert .

Tôi vẫn bảo lưu quan điểm là Bkis không có tội, bkis đã hành động vì lợi ích quốc gia còn trách nhiệm quốc tế thì phải chờ hậu xét
lợi ích quốc gia mà bác muốn nói tới là như thế nào?
ngoài việc BKIS công bố các kết quả ra-> PR cho BKIS rồi nói là làm vang danh nền công nghệ thông tin nước nhà thì tui chỉ mới thấy có BKIS vang danh ah.
Giả sử nếu hậu, mấy bố kia chuyển mục tiêu tấn công qua hệ thống internet việt nam trả đủa thì cái công tiền này có còn không?
nhiệm vụ quốc tể muốn làm thì phải đặt mình trong luật và các điều khỏan ngầm định (luật im lặng...) mới làm chứ ko phải muốn làm gì cũng dc ah.
anyway, bác có quan điểm hay lý luận gì mới ra đưa ra em phản biện cái.
chứ nói vậy thì bác lập topic BKIS vô tội em qua ủng hộ luôn cho xôm ;)

* VNCERT cho rằng BKIS đã vi phạm Nghị định 64/2007/NĐ_CP BKIS bởi theo nghị định này, BKIS cần cung cấp thông tin cảnh báo và sự cố cho VNCERT đồng thời "giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần mà các tổ chức ứng cứu máy tính trên thế giới tôn trọng". Xin ông giải thích rõ điều này?



- Theo khoản 4 điều 43 của Nghị định 64/2007/NĐ-CP của Chính phủ, có nội dung như sau: “Trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối.”.

Do sự kiện website chính phủ của Hàn Quốc và Mỹ bị tấn công tê liệt đã diễn ra gần 10 ngày mà chưa tìm ra nguồn phát động tấn công, đây là một tình huống khẩn cấp có nguy cơ ảnh hưởng đến toàn cầu trong đó có Việt Nam. Bkis bắt buộc và được phép thực hiện truy tìm nguồn phát động tấn công, rồi sau đó báo cáo cơ quan điều phối. Hiện tại chúng tôi vẫn khẩn trương tiếp tục tiến hành điều tra cho nên chưa có thời gian để báo cáo. Chúng tôi sẽ thực hiện điều này sau khi đã hoàn thành công việc.


Muốn nói là "Tình trạng khẩn cấp". Theo nghĩa "KHẨN CẤP" thì phải là việc khẩn cấp đối với tình hình tại Việt Nam và phải do phía đơn vị chức năng có thẩm quyền cao nhất công bố, trong phạm vi về các vấn đề an ninh mạng của Việt Nam có thể hiểu VNCERT là đơn vị cấp cao nhất.

Tôi giả sử một việc bọn khủng bố tấn công quân sự vào nước Mĩ từ nhiều ngày, Mĩ chưa khống chế được và nước Mĩ gửi thư kêu cứu tới khắp thế giới, yêu cầu trợ giúp nếu có thể. không lẽ 1 đơn vị quân đội nào đó của Việt Nam lại coi đó là tình hình khẩn cấp và không cần xin ý kiến của bộ tổng chỉ huy cũng mang quân sang đánh xong nói là trong trường hợp khẩn cấp ah?(với lý lẽ "sợ sau khi khủng bố đánh xong Mĩ sẽ về đánh VN")

Thứ nhất nếu BKISS đã nói đó là dịch vụ thông thường thì hãy công bố nội dung cụ thể và bằng chứng cụ thể để mọi người cùng xem.

Một mâu thuẫn cần lý giải: Trong các bài báo trứoc của Mr. Quảng đã thừa nhận việc tấn công vào 2 server đó và quanh co xung quanh việc "đó là việc làm đúng luật" nhưng nay lại đổi hướng sang việc đó là dịch vụ hợp pháp...
Chung quy lại cũng chỉ là việc quanh co

Đồng chí tác giả bài báo tuổi trẻ vừa rồi viết chung chung không đưa ra đó là ý kiến của ai, cũng không đưa ra bằng chứng cụ thể. Nhiều phóng viên cứ cho tiền là viết theo ý kiến doanh nghiệp, rất nguy hiểm.

Thứ nhất nếu BKISS đã nói đó là dịch vụ thông thường thì hãy công bố nội dung cụ thể và bằng chứng cụ thể để mọi người cùng xem.

Một mâu thuẫn cần lý giải: Trong các bài báo trứoc của Mr. Quảng đã thừa nhận việc tấn công vào 2 server đó và quanh co xung quanh việc "đó là việc làm đúng luật" nhưng nay lại đổi hướng sang việc đó là dịch vụ hợp pháp...
Chung quy lại cũng chỉ là việc quanh co

Đồng chí tác giả bài báo tuổi trẻ vừa rồi viết chung chung không đưa ra đó là ý kiến của ai, cũng không đưa ra bằng chứng cụ thể. Nhiều phóng viên cứ cho tiền là viết theo ý kiến doanh nghiệp, rất nguy hiểm.

Họ vẫn khẳng định cách làm đúng trình tự và đúng luật pháp của họ đó chứ bạn ? có gì khác đâu ?

Phóng viên báo thanh niên chứ không phải tuổi trẻ bạn ạ, mà cách ám chỉ của bạn có lẽ sẽ bị mod ban nick đó, cẩn thận nhá ;)

trở lại đúng giờ phết :D bác dell nhỉ
@ks_int:
1)
giả thuyết bác nói là có hacker nào fake email send cho VnCERT để làm to vụ này lên nghe có vẻ cũng có lý. Nếu vậy chắc hacker đó phải là người việt nam nên mới nắm rõ sự tình như vậy dc :D
theo nguyên tắc cũng như bạn dell trích dẫn, là nếu ko có vụ lộ công văn ra ngòai thì ko ai biết dc cả. nếu như vậy thì hacker nào đó fake mail làm gì. về vấn đề mail giả hay thiệt. tình hình nếu đến j cái mail đó mà là giả thì hai ông hàn kia chắc phải chạy đôn đáo lên để đính chính.
2) bác đọc lại cái mail. KrCERT chưa lên tiếng chính thức.
cái email đó chỉ là personal view của ông đó thôi. nói chung tuy là personal view nhưng cũng chắc chắn phết đấy, ko đùa dc.
Công ty ở Anh vẫn chưa lên tiếng đơn thuần là đợi xem tình hình thế nào thôi. Dù sao nó chỉ là công ty về truyền thông bị lợi dụng thôi. J này chắc đang bị mấy anh mẽo hàn truy vấn nên chưa có thời giờ... để hỏi thăm.
3)thư lọt ra ngòai là do trích dẫn trong cái công văn. với lại hình như ai đó show hàng cho phóng viên lúc phỏng vấn thì phải.
ông khánh nói là công văn ko lộ ra ngòai từ đường VNCERT->BKIS, 4T nên có khả năng rò ở chính BKIS hoặc 4T hoặc VNCERT, ai biết dc ;)
4) như đã nói trong 1 post khác, ngay từ đầu chỉ là công bố thông tin và góp ý là chính, nhưng mà một số thành viên nào đó có thể là quá khích và ghét bác quảng thiệt đã lên tiếng với những nhận định và từ ngữ ko dc hay, nên dẫn dến sự phản đối của mọi người thôi.
giỏi nhưng ko phải là duy ngã độc tôn.
5)
Lỗi là bkis -Giám đôc Ng Minh Đức >>>>>>tất cả sỉ vả đổ lên đầu mrQuảng
bạn cũng nghĩ là bkis có lỗi.
nếu nói như bạn Mr Đức làm giám đốc BKIS, tại sao ông ấy ko ra trả lời phóng viên mà phải là Mr Quảng ra. Hay thực chất mr Quảng vẫn là trùm ở đấy thôi ?!
@all: em chả có thù gì với ai cả :)
thấy sao nói vậy thôi :D
đối với em chả có ai là thánh thần cả, người vẫn là ngừời thôi, phải có sai lầm chứ. khác nhau ở chỗ là đối diện và giải quyết cái sai lầm đó ntn thôi ;)

[=========> Bổ sung bài viết <=========]



Trong số 8 server, Bkis đã tìm ra được 2 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web, đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng. Thông qua đó các chuyên gia có được các thông tin giúp ích cho việc phân tích và chỉ ra được server thứ 9, chính là master server (server gốc), nơi tổng chỉ huy các cuộc tấn công vào website Chính phủ Hàn Quốc và Mỹ. Do đó, tất cả các công việc này đều tuân theo các quy trình, quy định của luật pháp VN và quốc tế".

chết sặc mất :D
ngày càng hay
theo nguyên văn trên blog là "gain control"
j lại là truy cập thông tin qua kiểu chia sẽ dịch vụ ~.~
thế mới biết có im lặng có phải là tốt ko
càng nói càng nhiều cái để phân tích

Như vậy, có 2 trường hợp xảy ra:

1/ BKIS nói mình kiểm soát được 2 servers trên blog là sự thật -> vi phạm luật.

2/ Việc nói rằng mình kiểm soát được 2 servers trên blog chỉ là "trò đùa" -> tự các bạn nhận xét nhé.

Tình hình là kể từ vụ scandal này trở đi thì BKIS sẽ xuống nước và đổi câu chuyện từ việc "tấn công ngược trở lại và đã khống chế được 2 server" một cách anh dũng như họ đã tự khẳng định và được báo đài tung hô lên chín tầng mây suốt tuần qua thành "sử dụng dịch vụ thông thường mà thôi!", và tiếp theo là lực lượng pro-BKIS cũng sẽ đổi lập luận từ "BKIS là cơ quan chức năng của nhà nước Việt Nam nên có toàn quyền hack máy chủ trên khắp dất nước VN cũng như là thế giới mà không có tội!!!" thành "Ôi, thì ra BKIS lúc trước chỉ nói đùa thôi, chứ họ chưa từng tấn công máy nào!"

Xem ra tự nhận là nói đùa thì dễ chìm xuồng là tiếp tục tự cho mình là cơ quan chức năng có toàn quyền xâm nhập máy người khác, kể cả trong lãnh vực quốc tế, nhỉ?

Các cuộc phỏng vấn kế tiếp sẽ còn nhiều lý thú và nhiều chi tiết được đính chính lại đây!

Tuyên bố mới đây: BKIS: 'Chúng tôi chẳng làm gì sai cả!'
http://vietnamnet.vn/cntt/2009/07/859001/
Thông tin BKIS tuyên bố đã xác định được nguồn gốc cuộc tấn công DDoS nhằm vào Mỹ và Hàn Quốc chưa kịp "gây sốc" ra toàn cầu, thì trung tâm an ninh mạng này đã bị KrCERT yêu cầu đính chính thông tin vì đã hiểu sai đề nghị hỗ trợ và vi phạm nghiêm trọng luật pháp quốc tế khi tự ý tấn công và chiếm quyền điều khiển 2 máy chủ ở nước ngoài.

Tuyên bố "chấn động toàn cầu"

Ngày 12/7, Trung tâm An ninh mạng Bách Khoa (BKIS) công bố trên blog của công ty về việc đã tìm ra 2 máy chủ được đặt tại Anh ra lệnh tấn công DDoS hệ thống website của Mỹ và Hàn Quốc. Với tính chất nghiêm trọng của vụ tấn công DDoS lớn chưa từng có, thông tin trên lập tức được nhiều cơ quan báo chí trong nước và nước ngoài như USA Today, PC World, News.com... đăng tải.
Mô tả ảnh.
BKIS tuyên bố trên blog của công ty rằng đã truy tìm ra được nơi khởi phát cuộc tấn công nhằm vào hệ thống website của Mỹ và Hàn Quốc là từ máy chủ đặt tại Anh.

Liên tục các ngày sau đó, báo chí Việt Nam đã đăng tải về kết quả tìm kiếm của BKIS như một thành công rực rỡ, trong khi những đơn vị nghiên cứu toàn cầu khác chưa có bất cứ công bố nào liên quan tới vụ tấn công DDoS khủng khiếp chưa từng có này. Tuy nhiên, nhiều người vẫn tỏ ra hoài nghi về thông tin của BKIS khi 2 cường quốc về an toàn thông tin là Mỹ và Hàn Quốc vẫn chưa có kết luận gì về thủ phạm vụ tấn công.

Trao đổi với phóng viên VietNamNet về quá trình điều tra nguồn gốc cuộc tấn công DDoS, ông Nguyễn Tử Quảng, Tổng Giám đốc BKIS, cho biết: "Sau khi nhận được yêu cầu cừ phía KrCERT, chúng tôi đã dùng phương pháp dịch ngược mã nguồn virus, phát hiện ra 8 máy chủ điều khiển tấn công (C&C Server), sau đó tấn công ngược trở lại và đã khống chế được 2 server. Thông qua đó các chuyên gia có được các thông tin giúp ích cho việc phân tích và chỉ ra được master server (server gốc), nơi tổng chỉ huy các cuộc tấn công vào website chính phủ Hàn Quốc và Mỹ. Master server này có địa chỉ IP của Anh".

Bị cáo buộc vi phạm luật pháp quốc tế

Ngày 16/7, Trung tâm phản ứng sự cố máy tính khẩn cấp Việt Nam - VNCERT đã gửi công văn khẩn số 143/VNCERT tới lãnh đạo trường Đại học Bách Khoa "đề nghị Quý trường nhắc nhở Trung tâm BKIS" với lý do: "VNCERT nhận được khiếu nại chính thức của KrCERT gửi tới Hiệp hội Ứng cứu khẩn cấp máy tính Châu Á-TBD (APCERT) về yêu cầu BKIS đính chính thông tin đã công bố trên blog theo yêu cầu chính thức của KrCERT/CC".

Theo nội dung công văn của VNCERT, phía KrCERT khẳng định không đưa ra yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra và truy tìm thủ phạm như BKIS đã công bố trên blog của trung tâm này. Trên thực tế, phía KrCERT chỉ gửi email tới VNCERT và đồng gửi cho BKIS (vì cũng là thành viên full member của APCERT) đề nghị hỗ trợ ngăn chặn một số địa chỉ IP xuất phát từ các máy tính ở Việt Nam bị nhiễm virus và tham gia vào vụ tấn công DDoS. KrCERT cho biết đã tự tiến hành các hoạt động nghiên cứu của mình và chỉ cung cấp mã độc cho BKIS tham khảo sau khi BKIS đã nhiều lần gọi điện để xin.

Theo nội dung KrCERT khiếu nại, "việc BKIS tuyên bố đã thực hiện tấn công và chiếm quyền điều khiển hai server để phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế. Cách BKIS công bố thông tin khiến công chúng hiểu lầm rằng BKIS thực hiện các hành vi tấn công trái pháp luật và đồng thời gây nhầm lẫn là KrCERT và APCERT cũng tham gia vào các hành vi phạm pháp này".

Trên cơ sở khiếu nại của KrCERT, VNCERT đề nghị ĐH Bách Khoa nhắc nhở BKIS về một số điểm:

- Cần báo cáo với VNCERT khi tham gia các hoạt động ứng cứu sự cố máy tính quốc tế vì cơ quan này là đầu mối phối hợp duy nhất tại Việt Nam.

- Phải tuân thủ việc giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần của các tổ chức ứng cứu máy tính trên thế giới tôn trọng.

- Việc tham gia xử lý sự cố quốc tế rất nhạy cảm và nguy hiểm, thậm chí tội phạm mạng có thể chuyển hướng tấn công vào Việt Nam để trả đũa nên phải tham gia phối hợp quốc tế theo những nguyên tắc tổ chức đã được cân nhắc và giữ bí mật nghiêm ngặt.

- Sự cố này là một vấn đề có thể ảnh hưởng đến quan hệ quốc tế giữa Việt Nam và Hàn Quốc, cũng như gây ảnh hưởng đến uy tín của cộng đồng doanh nghiệp CNTT của VN.

BKIS: "Chúng tôi chẳng làm gì sai!"

Trao đổi với phóng viên VietNamNet về việc này, ông Nguyễn Tử Quảng cho rằng thông tin về việc “KrCERT không có yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra thủ phạm...” là không chính xác. Trong email KrCERT/CC gửi ngày 10/7, cơ quan này đã khẩn thiết đề nghị các thành viên của Tổ chức Cứu hộ Sự cố máy tính khu vực Châu Á - TBD (APCERT) trợ giúp với nội dung trích dẫn sau:

“Nếu như bất cứ ai có thể giúp chúng tôi làm dịu tình hình này càng sớm càng tốt, chúng tôi hoan nghênh mọi nguồn tin về nguồn gốc của cuộc tấn công này, báo cáo phân tích về malware hay bất cứ tài liệu nào liên quan đến vấn đề này. Chúng tôi sẽ đánh giá cao nếu nhận được những tài liệu đó. Chúng tôi đang tuyệt vọng và chịu ảnh hưởng phá hoại nặng nề của cuộc tấn công... Chúng tôi thực sự mong muốn khắc phục tình trạng này. Cảm ơn vì các bạn đã quan tâm”. Do đó, thông tin nói rằng KrCERT/CC không đề nghị BKIS hỗ trợ điều tra là không chính xác.

Trong công văn 143/VNCERT còn nêu “BKIS thừa nhận tấn công và chiếm quyền điều khiển 2 server để tiến hành phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế...”. Trả lời về điều này, ông Quảng cho biết thực chất đây có lẽ là nội dung được dựa trên email của ông Jinhyun Cho. Tuy nhiên trong email đó, ông Jinhyun Cho cũng không khẳng định những điều này mà ông ta phỏng đoán là như vậy.

Đại diện BKIS cho rằng thực tế ông Jinhyun Cho không hề biết phương pháp BKIS đã thực hiện nhằm khống chế 2 server nói trên. Do đó, phát biểu của chuyên gia Hàn Quốc này hoàn toàn võ đoán và không có căn cứ và BKIS "sẽ làm việc với KrCERT/CC về việc này".

"Tấn công ngược", "chiếm quyền điều khiển" hay "khống chế"?

Về kỹ thuật "tấn công ngược" 2 server của BKIS, ông Vũ Ngọc Sơn, Giám đốc Nghiên cứu và Phát triển (BKIS R&D), cho biết tại thời điểm phân tích, các server của hacker vẫn đang tiếp tục truyền các mã độc xuống hệ thống máy tính botnet. Trung tâm này đã khảo sát cả 8 server điều hành tấn công, phát hiện được được 02 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web.

"Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng", ông Sơn khẳng định. "Thông qua đó các chuyên gia BKIS có được các thông tin giúp ích cho việc phân tích và chỉ ra được server thứ 9, chính là master server (server gốc), nơi tổng chỉ huy các cuộc tấn công vào website chính phủ Hàn Quốc và Mỹ. Do đó, tất cả các công việc này đều tuân theo các quy trình, quy định của luật pháp Việt Nam và Quốc tế".

Trong một trả lời khác với báo chí về việc "khống chế" hai server bị hacker sử dụng vào mục đích tấn công, ông Nguyễn Tử Quảng cũng khẳng định hành động này "hoàn toàn không phải xin phép và bất kỳ ai cũng có thể thực hiện."

Tuy nhiên, trên blog bằng tiếng Anh của BKIS lại mô tả rất rõ về quá trình khống chế 2 server nước ngoài: "Để xác định nguồn gốc các cuộc tấn công (từ chối dịch vụ DDOS - PV), chúng tôi đã tấn công trở lại các máy chủ C&C và giành được quyền điều khiển 2 trong số 8 máy chủ này. Sau khi phân tích các file log (dữ liệu giám sát các hoạt động của hệ thống - PV) của 2 máy chủ này, chúng tôi đã phát hiện được địa chỉ IP của master server là 195.90.118.*** và được đặt tại Anh, sử dụng hệ điều hành Windows Server 2003".

Về việc VNCERT cho rằng "BKIS cần cung cấp thông tin cảnh báo sự cố về cho trung tâm điều phối quốc gia - VNCERT đồng thời giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần mà các tổ chức ứng cứu máy tính trên thế giới tôn trọng", Tổng Giám đốc BKIS Nguyễn Tử Quảng đã dẫn khoản 4 điều 43 của Nghị định 64/2007/NĐ-CP của Chính phủ: “Trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối”.

"Do sự kiện website Chính phủ Hàn Quốc và Mỹ bị tấn công tê liệt đã diễn ra gần 10 ngày mà chưa tìm ra nguồn phát động tấn công, đây là một tình huống khẩn cấp có nguy cơ ảnh hưởng đến toàn cầu trong đó có Việt Nam, BKIS bắt buộc và được phép thực hiện truy tìm nguồn phát động tấn công, rồi sau đó báo cáo cơ quan điều phối. Hiện tại chúng tôi vẫn khẩn trương tiếp tục tiến hành điều tra cho nên chưa có thời gian để báo cáo. Chúng tôi sẽ thực hiện điều này sau khi đã hoàn thành công việc", ông Quảng nói.

Nhưng rõ ràng Nghị định 64/2007/NĐ-CP của Chính phủ về Ứng dụng CNTT trong hoạt động của cơ quan nhà nước của Việt Nam chắc chắn sẽ không thể áp dụng trong trường hợp các hệ thống mạng máy tính của Hàn Quốc hay Mỹ bị tấn công. Tuy nhiên, việc BKIS tự ý chiếm quyền điều khiển và phân tích các log file trên 2 máy chủ nằm ở nước ngoài vẫn sẽ vẫn nằm trong phạm vi áp dụng của các quy định về luật pháp quốc tế và của nước sở tại đang đặt 2 máy chủ này. Có lẽ chính vì điều đó, phía KrCERT không muốn liên đới tới hành động chiếm quyền kiểm soát máy chủ đặt tại nước ngoài của BKIS.

* Hải Phương - Huy Phong
(Vietnamnet)

Trong một trả lời khác với báo chí về việc "khống chế" hai server bị hacker sử dụng vào mục đích tấn công, ông Nguyễn Tử Quảng cũng khẳng định hành động này "hoàn toàn không phải xin phép và bất kỳ ai cũng có thể thực hiện."

Tuy nhiên, trên blog bằng tiếng Anh của BKIS lại mô tả rất rõ về quá trình khống chế 2 server nước ngoài: "Để xác định nguồn gốc các cuộc tấn công (từ chối dịch vụ DDOS - PV),chúng tôi đã tấn công trở lại các máy chủ C&C và giành được quyền điều khiển 2 trong số 8 máy chủ này. Sau khi phân tích các file log (dữ liệu giám sát các hoạt động của hệ thống - PV) của 2 máy chủ này, chúng tôi đã phát hiện được địa chỉ IP của master server là 195.90.118.*** và được đặt tại Anh, sử dụng hệ điều hành Windows Server 2003".

Xin mượn lời bài báo trên để mọi người đọc được rõ hơn đoạn này !

"Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng", ông Sơn khẳng định. "Thông qua đó các chuyên gia BKIS có được các thông tin giúp ích cho việc phân tích và chỉ ra được server thứ 9, chính là master server (server gốc), nơi tổng chỉ huy các cuộc tấn công vào website chính phủ Hàn Quốc và Mỹ. Do đó, tất cả các công việc này đều tuân theo các quy trình, quy định của luật pháp Việt Nam và Quốc tế".

Nếu "ai cũng có thể sử dụng" thì sao chỉ có 1 mình BKIS "vào" xem log được nhỉ? Chẳng lẽ các chuyên gia của KrCERT và US-CERT và các *CERT khác kém đến thế?

Mà cho dù chỉ là server dịch vụ thông thường thì cũng có owner (chủ sở hữu) là 1 công ty nào đấy. Nghĩa là vẫn là "nhà có chủ" chứ đâu phải là nhà trống bỏ hoang vô chủ, ai muốn vào cũng được?



Nhưng rõ ràng Nghị định 64/2007/NĐ-CP của Chính phủ về Ứng dụng CNTT trong hoạt động của cơ quan nhà nước của Việt Nam chắc chắn sẽ không thể áp dụng trong trường hợp các hệ thống mạng máy tính của Hàn Quốc hay Mỹ bị tấn công. Tuy nhiên, việc BKIS tự ý chiếm quyền điều khiển và phân tích các log file trên 2 máy chủ nằm ở nước ngoài vẫn sẽ vẫn nằm trong phạm vi áp dụng của các quy định về luật pháp quốc tế và của nước sở tại đang đặt 2 máy chủ này. Có lẽ chính vì điều đó, phía KrCERT không muốn liên đới tới hành động chiếm quyền kiểm soát máy chủ đặt tại nước ngoài của BKIS.


...

Cũng trong bài viết có đoạn cuối như bên dưới:




http://www.thanhnien.com.vn/news/Pages/200929/20090719232442.aspx

Ông Vũ Quốc Khánh, Giám đốc VNCERT khẳng định đây chỉ là vấn đề nghiệp vụ của các CERT nên đơn vị này hoàn toàn không cung cấp công văn trên cho báo chí mà chỉ gửi tới ĐH Bách khoa HN theo đường công văn thông thường. Ngoài ra, một bản công văn cũng được gửi tới một thứ trưởng của Bộ Thông tin - Truyền thông để báo cáo. Giám đốc VNCERT cho biết chưa rõ tại sao nội dung của công văn trên lại được đưa lên ddth.com và nói sẽ cho tìm hiểu chuyện này.

Trường Sơn

Định cho gió trở chiều đây mà...

@all: theo nhận định cá nhân: Bài viết này trên báo có điều gì đó không ổn. Nhưng đó cũng là diễn đàn của báo cho nên nhiều ý kiến là chuyện thường. Từ từ xem các bác mổ xẻ nó thía nào. :)

Tin mới dồn dập:
“Bkis: công hay tội?”: Sẽ sớm có kết luận vụ việc!
http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=327437&ChannelID=16
TT - Sau khi Bkis có những trả lời đáp lại các “yêu cầu làm rõ khiếu nại” của VNCERT (Tuổi Trẻ 19-7), Thứ trưởng Bộ Thông tin - truyền thông Nguyễn Minh Hồng khẳng định đã yêu cầu VNCERT báo cáo và trong tuần này sẽ có kết luận vụ việc. Đại diện VNCERT cũng cho biết sẽ sớm có thông báo chính thức trong tuần này.

Trong khi đó, ông Nguyễn Tử Quảng, giám đốc Bkis, đưa ra thông báo tương tự: “Chúng tôi đã liên lạc bằng email đến KrCERT nhưng chưa nhận được hồi âm, có lẽ do hôm nay là cuối tuần. Bkis vẫn chưa có công văn trả lời chính thức VNCERT, chúng tôi sẽ cố gắng trả lời sớm vào tuần này”.

Về cách thức “phá án” của Bkis, ông Võ Đỗ Thắng, giám đốc Trung tâm an ninh mạng Athena, giải thích: “Trước tiên, một trong những nguyên tắc làm an ninh mạng là không phải việc gì cũng được công bố. Cá nhân tôi cảm thấy sự việc này giống như KrCERT bị qua mặt khi Bkis công bố phát hiện ra máy chủ tấn công website chính phủ của họ. Mặt khác, khi làm an ninh mạng, mọi hành động xâm nhập đều là vi phạm pháp luật trừ khi có sự yêu cầu, cho phép của các cơ quan an ninh nhà nước có thẩm quyền.

Về nguyên tắc quy trình làm an ninh mạng, đơn vị an ninh mạng phải báo cáo mọi phát hiện mới cho cơ quan nhà nước có thẩm quyền cho phép mình tiến hành thực hiện. Nếu là hợp tác quốc tế thì càng phải báo cáo rõ ràng hơn vì nếu tự ý làm thì một đơn vị nước ngoài cũng có thể tự ý xâm nhập vào server ở VN và thông tin ra ngoài. Một đơn vị tự ý xâm nhập một server khác coi như đã vi phạm pháp luật. Bất kỳ hành động kiểm tra máy tính nào khác mà lấy được thông tin bên trong nó dù chỉ là 1 byte dữ liệu đều là xâm nhập trái phép”.

Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

Nếu các đối tượng hacker nước ngoài thực hiện những hoạt động xâm nhập các website, server của Chính phủ VN thì các cơ quan có chức năng ở VN có quyền chống đỡ lại các xâm nhập này. Tuy nhiên, các hoạt động mang tính chất vượt ra ngoài biên giới VN thì chúng ta phải tuân theo quy định của luật pháp quốc tế, cam kết với các tổ chức mà VN có tham gia, biện pháp bảo vệ của các quốc gia. Việc một công ty trong nước dùng các biện pháp tấn công ngược lại một server ở nước ngoài thì không phù hợp với pháp luật VN. Một đơn vị hoạt động về an ninh mạng trong nước trước nhất phải tuân theo pháp luật VN. Thứ hai là khi được các cơ quan nhà nước có thẩm quyền cho phép mới được thực hiện các biện pháp nghiệp vụ, đồng thời phải phối hợp với các cơ quan chức năng nhà nước để xử lý tình huống. Nếu không sẽ dẫn đến việc vi phạm pháp luật VN và pháp luật quốc tế”.

Đ.THIỆN - K.HƯNG (Tuoitre online)

Xin mượn lời :


Về cách thức “phá án” của Bkis, ông Võ Đỗ Thắng, giám đốc Trung tâm an ninh mạng Athena, giải thích: “Trước tiên, một trong những nguyên tắc làm an ninh mạng là không phải việc gì cũng được công bố. Cá nhân tôi cảm thấy sự việc này giống như KrCERT bị qua mặt khi Bkis công bố phát hiện ra máy chủ tấn công website chính phủ của họ. Mặt khác, khi làm an ninh mạng, mọi hành động xâm nhập đều là vi phạm pháp luật trừ khi có sự yêu cầu, cho phép của các cơ quan an ninh nhà nước có thẩm quyền.


Có một số người đang cố cãi với anh vikhoa về "trung tâm" vs "cơ quan chức năng" thì xin đọc đoạn trên và đoạn này :



Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

Tin mới dồn dập:
“Bkis: công hay tội?”: Sẽ sớm có kết luận vụ việc!
http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=327437&ChannelID=16
...

Về nguyên tắc quy trình làm an ninh mạng, đơn vị an ninh mạng phải báo cáo mọi phát hiện mới cho cơ quan nhà nước có thẩm quyền cho phép mình tiến hành thực hiện. Nếu là hợp tác quốc tế thì càng phải báo cáo rõ ràng hơn vì nếu tự ý làm thì một đơn vị nước ngoài cũng có thể tự ý xâm nhập vào server ở VN và thông tin ra ngoài. Một đơn vị tự ý xâm nhập một server khác coi như đã vi phạm pháp luật. Bất kỳ hành động kiểm tra máy tính nào khác mà lấy được thông tin bên trong nó dù chỉ là 1 byte dữ liệu đều là xâm nhập trái phép”.

Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

...

Một đơn vị hoạt động về an ninh mạng trong nước trước nhất phải tuân theo pháp luật VN. Thứ hai là khi được các cơ quan nhà nước có thẩm quyền cho phép mới được thực hiện các biện pháp nghiệp vụ, đồng thời phải phối hợp với các cơ quan chức năng nhà nước để xử lý tình huống. Nếu không sẽ dẫn đến việc vi phạm pháp luật VN và pháp luật quốc tế”.

Đ.THIỆN - K.HƯNG (Tuoitre online)

Mình bôi đậm lại 1 số đoạn đáng chú ý trong bài mới trên báo Tuổi trẻ cho a e dễ nhìn, sắp đến hồi kết rồi :)

Đề nghị bác Quảng học thêm lớp luật nhé.

Nếu BKIS khẳng định (trên blog của họ) hack 2 sever kia để đọc log thì có ai đảm bào từ trước tới giờ BKIS không xâm nhập "bất hợp pháp" vào các máy tính trong nước mà vẫn coi như "hợp pháp".

Đúng là đi đêm lắm cũng có ngày gặp ma.

Còn vấn đề "không nên sợ hacker" - như Mrrrrrrr Q nói, thì tôi có câu này muốn gửi tới bác "Khôn quá cũng chết, ngu quá cũng chết, biết thì sống"

Tình hình là kể từ vụ scandal này trở đi thì BKIS sẽ xuống nước và đổi câu chuyện từ việc "tấn công ngược trở lại và đã khống chế được 2 server" một cách anh dũng như họ đã tự khẳng định và được báo đài tung hô lên chín tầng mây suốt tuần qua thành "sử dụng dịch vụ thông thường mà thôi!", và tiếp theo là lực lượng pro-BKIS cũng sẽ đổi lập luận từ "BKIS là cơ quan chức năng của nhà nước Việt Nam nên có toàn quyền hack máy chủ trên khắp dất nước VN cũng như là thế giới mà không có tội!!!" thành "Ôi, thì ra BKIS lúc trước chỉ nói đùa thôi, chứ họ chưa từng tấn công máy nào!"

Xem ra tự nhận là nói đùa thì dễ chìm xuồng là tiếp tục tự cho mình là cơ quan chức năng có toàn quyền xâm nhập máy người khác, kể cả trong lãnh vực quốc tế, nhỉ?

Các cuộc phỏng vấn kế tiếp sẽ còn nhiều lý thú và nhiều chi tiết được đính chính lại đây!

--------------------------------------------------------------------------------


Bác Ác kền nói hay thiệt. Em nghĩ là họ không nói như thế đâu. Vì nói thế chẳng khác nào bọn họ tự bảo "Chúng tôi là kẻ khoác lác. Tự nhận mình là nổ, và biệt danh nổ có lẽ sẽ chính thức có bản quyền?"

Cho em tham gia vài câu .

mấy hôm nay theo các topic về vụ BKIS này thấy nhức đầu quá .

chỉ xin bàn vài câu khía cạnh quản lý thôi .

Về cái tầm của anh Quảng :
Chép chẳng dám bàn nhưng rõ ràng cái tầm của anh chàng này là chưa đến , các ban bệ của him rặt 1 màu " kĩ thuật" mà không thấy có 1 chút " art" nào trong đó .
Ngày trước để làm quản lý thì phải học về quản lý , nhưng ngày nay người ta hay đào tạo kĩ thuật làm quản lý và thường đào tạo theo kiểu giống như đào tạo tại chức - tức là phù hợp với việc phát triển mà quên đi nguy cơ phải đối mặt khi việc phát triển này vượt ra khỏi tầm " quản lý" của các anh chàng kĩ thuật đó .

Thông thường ở 1 cty lớn mang tầm quốc gia hay tầm quốc tế người ta có chia ra 1 ban pháp chế, trong đó có các tiểu ban pháp chế theo từng lãnh vực , người ta cũng có 1 bộ phận chuyên giải quyết các tình huống sự cố ,và tất cả các việc operation này đều có đi theo 1 quy trình thống nhất - còn BKIS khi " hành sự" 1 việc gì đó thì chúng ta thường thấy có 2 người : 1 là anh tên Đức ; 2 là anh Quảng .

Quay trở lại chuyện 2 anh ấy vừa làm ta có thể thấy : bắt đầu đây chỉ là 1 việc đơn giản đậm chất kĩ thuật của dân trong ngành nhưng..các anh ấy lại "cứ tưởng " đó là 1 phát kiến quan trọng , và các anh ấy có thể vượt được tất cả các ràng buộc về mặt pháp lý để có thể " ăn to , nói lớn" + các báo tại Việt Nam thì thường hay thích thổi phồng 1 sự việc , thành ra chuyện lớn khi các anh em kĩ thuật lao vào mổ xẻ .

Cũng có ý kiến cho rằng bên anh Trác " trù dập" BKIS , xin thưa xét về LÝ hay LUẬT thì anh TRÁC làm thế không sai chỉ có điều Chép thấy cách làm hơi " khô" mà thôi .

tất cả ều có cách giải quyết của nó .

Theo Chép, cách giải quyết hay nhất lúc này là : BKIS sang bên anh TRÁC làm 1 bản tường trình sau đó sẽ bị xử lý như là 1 chuyện nội bộ , sau đó bên anh TRÁC làm 1 công văn hay gì đó mà tương đương với 1 cái công văn gửi sang bên tay gì đó nói rõ đó chỉ là 1 hành động nhất thời ...và rất ấy làm tiếc khi sự việc vượt ra khỏi tầm kiểm soát của đôi bên và sẵn sàng hợp tác nếu như bên ấy có lời mời ..về lý ta có thể làm như vậy .

Vấn đề là anh Quảng có nhìn thấy 1 con đường thoát như thế hay không mà thôi .

Chả ai nói anh ấy kém mà chỉ nói là anh ấy .. chưa biết làm nhà quản lý thôi .

Một nhà kỹ thuật giỏi không có nghĩa là một nhà quản lý giỏi. Bác quảng đúng là một người như vậy. Thực ra bác Quảng cũng chỉ vì Pr mà đến nỗi này. Vì thế nên bây giờ không dám nhìn nhận vào sự thật để cho sự việc chìm suống.
Mà cứ đi cãi lấy được, càng cãi thì càng đuối lý. Càng đuối lý thì càng mất danh dự.
Thà rằng nhận khuyết điểm về mình.Rồi cho sự việc chìm xuống thì hay hơn.

Sau khi Bkis có những trả lời đáp lại các “yêu cầu làm rõ khiếu nại” của VNCERT (Tuổi Trẻ 19-7), Thứ trưởng Bộ Thông tin - truyền thông Nguyễn Minh Hồng khẳng định đã yêu cầu VNCERT báo cáo và trong tuần này sẽ có kết luận vụ việc. Đại diện VNCERT cũng cho biết sẽ sớm có thông báo chính thức trong tuần này.

Trong khi đó, ông Nguyễn Tử Quảng, giám đốc Bkis, đưa ra thông báo tương tự: “Chúng tôi đã liên lạc bằng email đến KrCERT nhưng chưa nhận được hồi âm, có lẽ do hôm nay là cuối tuần. Bkis vẫn chưa có công văn trả lời chính thức VNCERT, chúng tôi sẽ cố gắng trả lời sớm vào tuần này”.

Về cách thức “phá án” của Bkis, ông Võ Đỗ Thắng, giám đốc Trung tâm an ninh mạng Athena, giải thích: “Trước tiên, một trong những nguyên tắc làm an ninh mạng là không phải việc gì cũng được công bố. Cá nhân tôi cảm thấy sự việc này giống như KrCERT bị qua mặt khi Bkis công bố phát hiện ra máy chủ tấn công website chính phủ của họ. Mặt khác, khi làm an ninh mạng, mọi hành động xâm nhập đều là vi phạm pháp luật trừ khi có sự yêu cầu, cho phép của các cơ quan an ninh nhà nước có thẩm quyền.

Về nguyên tắc quy trình làm an ninh mạng, đơn vị an ninh mạng phải báo cáo mọi phát hiện mới cho cơ quan nhà nước có thẩm quyền cho phép mình tiến hành thực hiện. Nếu là hợp tác quốc tế thì càng phải báo cáo rõ ràng hơn vì nếu tự ý làm thì một đơn vị nước ngoài cũng có thể tự ý xâm nhập vào server ở VN và thông tin ra ngoài. Một đơn vị tự ý xâm nhập một server khác coi như đã vi phạm pháp luật. Bất kỳ hành động kiểm tra máy tính nào khác mà lấy được thông tin bên trong nó dù chỉ là 1 byte dữ liệu đều là xâm nhập trái phép”.

Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

Nếu các đối tượng hacker nước ngoài thực hiện những hoạt động xâm nhập các website, server của Chính phủ VN thì các cơ quan có chức năng ở VN có quyền chống đỡ lại các xâm nhập này. Tuy nhiên, các hoạt động mang tính chất vượt ra ngoài biên giới VN thì chúng ta phải tuân theo quy định của luật pháp quốc tế, cam kết với các tổ chức mà VN có tham gia, biện pháp bảo vệ của các quốc gia. Việc một công ty trong nước dùng các biện pháp tấn công ngược lại một server ở nước ngoài thì không phù hợp với pháp luật VN. Một đơn vị hoạt động về an ninh mạng trong nước trước nhất phải tuân theo pháp luật VN. Thứ hai là khi được các cơ quan nhà nước có thẩm quyền cho phép mới được thực hiện các biện pháp nghiệp vụ, đồng thời phải phối hợp với các cơ quan chức năng nhà nước để xử lý tình huống. Nếu không sẽ dẫn đến việc vi phạm pháp luật VN và pháp luật quốc tế”.

http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=327437&ChannelID=16

Tất cả đều dựa trên suy đoán, lấy gì làm cơ sở để bác có thể kết tội Bkis

Chào mừng bác Thuốc trở lại bàn tranh luận, không biết bác còn khẳng định chắc như đinh đóng cột nào về khái niệm "cơ quan nhà nước" trong câu trả lời vòng vo của BKIS đối với báo chí không nhỉ?


Bkis là một đơn vị an ninh mạng do Nhà nước thành lập ra chứ không phải là một doanh nghiệp thông thường, hay một cá nhân nào đó. Vì thế đừng nên so sánh bởi vì các đơn vị nhà nước được giao đặc quyền khi thi hành nhiệm vụ

Vậy mà đám luật sư chuyên nghiệp lại dám nói thế này:


Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

Rốt cuộc thì BKIS có hay không có cái đặc quyền để "tấn công ngược trở lại và đã khống chế được 2 server" quốc tế?

VNCERT nói: "Việt Nam phải tham gia phối hợp quốc tế theo những nguyên tắc tổ chức đã được cân nhắc và giữ bí mật nghiêm ngặt.", dễ hiểu hơn là có điều tra có phối hợp, không manh động và tuyệt-đối-giữ-bí-mật nhưng BKIS lại quy rằng VNCERT sợ hacker (không dám điều tra và xử lý hacker?).
Nếu BKIS hành động như thế này thì đâu có chuyện gì xảy ra:
xin trích lại câu của VNCERT:
Việt Nam phải tham gia phối hợp quốc tế theo những nguyên tắc tổ chức đã được cân nhắc và giữ bí mật nghiêm ngặt
Chẳng lẽ BKIS cho rằng tham gia phối hợp như vậy là sai? làm vô tổ chức, kỷ luật như BKIS mới là đúng? ai không cho BKIS làm mà phải làm có tổ chức chứ làm um sùm cho bọn hack nó xóa hết dữ liệu phi tang thì làm làm gì? chẳng lẽ chỉ cần biết máy chủ đặt ở Anh sử dụng hệ điều hành Windows Server 2003 là đủ chăng? Mấy cái văn bản pháp luật mà ông Quảng trích dẫn để nói lên "chính nghĩa" của BKIS và "buộc BKIS phải làm vì lợi ích quốc gia" cũng đâu có văn bản nào bảo BKIS phải làm vô tổ chức, vô kỷ luật, làm bất chấp pháp luật trong ngoài nước như thế?
Tớ xin bỏ 1 phiếu trắng: BKIS làm việc rất tào lao, ngẩu hứng chưa đủ điều kiện để đem ra xét công hay tội. Xin hết!
Tái bút: nếu ai làm IT như quản lý mạng, web,... cho công ty chẳng hạn hoặc các ngành nghề khác chắc cũng đều gặp trường hợp không biết giỏi giang thế nào nhưng hay chọt chọt kiểu như BKIS lắm, nên các bạn cũng thông cảm cho BKIS trời sinh ra vậy biết làm sao bây giờ!

Thú thật em rất ngại tranh luận với bác Arkain vì chỉ lỡ lời là em die nick, reg cái khác mệt lắm.

Bác làm ơn xem lại


Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

Bkis là một đơn vị sự nghiệp có thu sử dụng ngân sách nhà nước , được ngân sách nhà nước đầu tư 49 tỷ đồng. Vì vậy, Bkis hoạt động tuân theo Nghị định 64 là đương nhiên. Từ đầu em chưa bao giờ khẳng định Bkis có công bởi vì em nghi ngờ việc Bkis là đơn vị duy nhất phát hiện ra nguồn tấn công nhưng chắc chắn là không có tội



Hầu hết các member đều bị nhầm lẫn giữa việc xâm nhập server bất hợp pháp và việc khống chế nguồn tấn công. Đơn vị an ninh mạng tại sao lại không có quyền khống chế việc tấn công?

Điều thứ hai là em có quan điểm Bkis có quyền hành động vì máy tính tại Việt nam cũng bị nhiễm virus này. Đứng trên quan điểm lợi ích quốc gia thì Bkis được quyền điều tra nguồn phát tán virus lây lan tại Việt Nam

Vậy là coi như ông luật sư kia đã sai khi tuyên bố là:

1) Nghị định 64/2007 không áp dụng được với BKIS
2) Nghị định 64/2007 không có hiệu lực trong lãnh vực quốc tế

Tạm thời vậy nhé :)

Tớ xin tiếp thu ý kiến của bác là BKIS là cơ quan chức năng của chính phủ, dùng ngân sách nhà nước để thi hành nhiệm vụ, và vì thế nên hoàn toàn có quyền tấn công và khống chế servers nước ngoài nên không phạm luật.

Để xem báo chí và các luật sư sẽ loay hoay thế nào với khái niệm "cơ quan chức năng" trong những ngày tới đây, BKIS liệu có phải là "cơ quan chức năng" hẳn hoi như là C15 hay không, và nếu là đúng thì quyền hành hợp pháp của họ bao gồm cả lãnh vực quốc tế như là Interpol chăng?

Biết đâu luật pháp Việt Nam cũng nhờ vụ scandal này mà trở nên rạch ròi hơn :)

Từ việc: chúng tôi đã dùng phương pháp dịch ngược mã nguồn virus, phát hiện ra 8 máy chủ điều khiển tấn công (C&C Server), sau đó tấn công ngược trở lại và đã khống chế được 2 server chuyển thành 'Bkis đã tìm ra được 2 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web, đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng'

Đúng là lưỡi không xương! Ai cũng có thể thì việc gì phải la to tô hồng trên báo đài mấy ngày vừa qua mình là đơn vị đầu tiên vậy nhỉ? Thậm chí còn được mô tả như là một cuộc chiến tranh: Đội đặc nhiệm phản ứng nhanh Taskforce gồm 10 người đã vào cuộc, do Giám đốc BKAV Nguyễn Tử Quảng làm "tổng chỉ huy" rồi thì là Sau khi xác định có 8 máy chủ điều khiển các máy “ma” trong loạt tấn công này, Đội đặc nhiệm đã tiến hành tấn công ngược trở lại 2 trong số 8 máy chủ đó và đã thu thập được nhật ký của các cuộc tấn công. Đầu mối vụ điều tra đã được hé mở. v.v và v.v...

Chúng ta hãy chờ xem đoạn kết của câu chuyện bi hài cười ra nước mắt này!

Chính xác, BKIS tuy là doanh nghiệp nhưng trực thuộc ĐHBKHN và dùng ngân sách nhà nước (Bộ KHCN và Bộ GDĐT) như bác thuốc nói:)

Hầu hết các member đều bị nhầm lẫn giữa việc xâm nhập server bất hợp pháp và việc khống chế nguồn tấn công. Đơn vị an ninh mạng tại sao lại không có quyền khống chế việc tấn công?

Điều thứ hai là em có quan điểm Bkis có quyền hành động vì máy tính tại Việt nam cũng bị nhiễm virus này. Đứng trên quan điểm lợi ích quốc gia thì Bkis được quyền điều tra nguồn phát tán virus lây lan tại Việt Nam

Bạn nhầm lẫn thì có, vậy liệu CIA có quyền tự ý thâm nhập các server thuộc Chính phủ hoặc doanh nghiệp VN để ngăn chặn tấn công hay không?

Chính xác, BKIS tuy là doanh nghiệp nhưng trực thuộc ĐHBKHN và dùng ngân sách nhà nước (Bộ KHCN và Bộ GDĐT) như bác thuốc nói:)

Vẫn còn ý thứ 2 nữa mà ,chú ý chỗ tô đỏ


Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

Từ việc: chúng tôi đã dùng phương pháp dịch ngược mã nguồn virus, phát hiện ra 8 máy chủ điều khiển tấn công (C&C Server), sau đó tấn công ngược trở lại và đã khống chế được 2 server chuyển thành 'Bkis đã tìm ra được 2 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web, đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng'

Đúng là lưỡi không xương! Ai cũng có thể thì việc gì phải la to tô hồng trên báo đài mấy ngày vừa qua mình là đơn vị đầu tiên vậy nhỉ? Thậm chí còn được mô tả như là một cuộc chiến tranh: Đội đặc nhiệm phản ứng nhanh Taskforce gồm 10 người đã vào cuộc, do Giám đốc BKAV Nguyễn Tử Quảng làm "tổng chỉ huy" rồi thì là Sau khi xác định có 8 máy chủ điều khiển các máy “ma” trong loạt tấn công này, Đội đặc nhiệm đã tiến hành tấn công ngược trở lại 2 trong số 8 máy chủ đó và đã thu thập được nhật ký của các cuộc tấn công. Đầu mối vụ điều tra đã được hé mở. v.v và v.v...

Chúng ta hãy chờ xem đoạn kết của câu chuyện bi hài cười ra nước mắt này!

Để gởi lại nguyên văn bài đó, đọc cả bài đúng là cười ra nước mắt, toàn những CƠ QUAN NHÀ NƯỚC của VN


http://www.cand.com.vn/vi-VN/toiphama-z/2009/7/116551.cand

Chính xác, BKIS tuy là doanh nghiệp nhưng trực thuộc ĐHBKHN và dùng ngân sách nhà nước (Bộ KHCN và Bộ GDĐT) như bác thuốc nói:)

Dùng ngân sách NN không có nghĩ là Đơn vị hành chính sự nghiệp hay là CƠ QUAN CHỨC NĂNG. bạn có biết Tổng Công ty Xi măng VN là dùng ngân sách NN để kinh doanh đó, họ đâu phải là CƠ QUAN CHỨC NĂNG? đúng là kiến thức pháp luật hạn hẹp :)

Dùng ngân sách NN không có nghĩ là Đơn vị hành chính sự nghiệp hay là CƠ QUAN CHỨC NĂNG. bạn có biết Tổng Công ty Xi măng VN là dùng ngân sách NN để kinh doanh đó, họ đâu phải là CƠ QUAN CHỨC NĂNG? đúng là kiến thức pháp luật hạn hẹp :)

Thực ra từ CƠ QUAN nó cũng chỉ là chỉ một tổ chức công tác thực hiện một CHỨC NĂNG nào đó. Trước đây, nói đến cơ quan chức năng thì đồng nghĩa với nó là một đơn vị công quyền, tuy nhiên hiện nay những công việc mà trước kia chỉ có nhà nước mới làm như: Giám sát, kiểm định, Công chứng... thì hiện nay một số cty cũng có thể làm được khi có được "giấy phép hành nghề".

Một công ty có thể gọi chung chung là một cơ quan không nhất thiết nó thuộc nhà nước hay phải dùng ngân sách nhà nước(Tôi đi làm ở cty tôi, tôi vẫn có thể nói tôi đến cơ quan tôi làm việc) Một công ty SX có thể gọi theo thói quen là một đơn vị sx chứ không thể gọi là một cơ quan chức năng, và đương nhiên một công ty có thể thực hiện một chức năng nào đó thì vẫn có thể gọi là một cơ quan chức năng:)

Admin của HVA cũng có một phản ứng trước kiểu công bố "sốc" của AQ rồi



Trong một trả lời khác với báo chí về việc "khống chế" hai server bị hacker sử dụng vào mục đích tấn công, ông Nguyễn Tử Quảng cũng khẳng định hành động này "hoàn toàn không phải xin phép và bất kỳ ai cũng có thể thực hiện."



Với tư cách cá nhân và cụ thể hơn là tư cách... nặc danh, việc này là việc xảy ra thường xuyên. Tuy nhiên, với tư cách một tổ chức có tư cách pháp nhân hẳn hòi, đặc biệt là tổng giám đốc một "cơ quan an ninh mạng" mà khẳng định như thế là hỏng bét.

link http://www.hvaonline.net/hvaonline/posts/list/100/30242.hva
Chắc là "hỏng bét" thật rồi

Thực ra từ CƠ QUAN nó cũng chỉ là chỉ một tổ chức công tác thực hiện một CHỨC NĂNG nào đó. Trước đây, nói đến cơ quan chức năng thì đồng nghĩa với nó là một đơn vị công quyền, tuy nhiên hiện nay những công việc mà trước kia chỉ có nhà nước mới làm như: Giám sát, kiểm định, Công chứng... thì hiện nay một số cty cũng có thể làm được khi có được "giấy phép hành nghề".

Một công ty có thể gọi chung chung là một cơ quan, cho giù nó là nhà nước hay tư nhân (Tôi đi làm ở cty tôi, tôi vẫn có thể nói tôi đến cơ quan tôi làm việc) Một công ty SX có thể gọi theo thói quen là một đơn vị sx chứ không thể gọi là một cơ quan chức năng, và đương nhiên một công ty có thể thực hiện một chức năng nào đó thì vẫn có thể gọi là một cơ quan chức năng.
:)

Nói cùn vậy thì cơ quan chức năng trong bụng đầy rẫy. Ví dụ ngư GAN, MẬT , TỤY ... đều là cơ quan chức năng cả đấy ? Nhưng cơ quan chức năng này không được phép ra ngoài làm những việc không được phép

Nói cùn vậy thì cơ quan chức năng trong bụng đầy rẫy. Ví dụ ngư GAN, MẬT , TỤY ... đều là cơ quan chức năng cả đấy ? Nhưng cơ quan chức năng này không được phép ra ngoài làm những việc không được phép

Ngoài ra tôi chưa khẳng định lần nào BKIS là cơ quan chức năng vì tôi không rõ họ được nhà nước cho phép đến đâu, và cũng chưa khẳng định họ dùng chức năng đó để làm này làm kia là đúng. Bạn mới là cùn và mắt hơi kém đó:lick:

PS: bạn xem lại bài trên của Cao Trung, có trích dẫn BKIS là một "cơ quan an ninh mạng" trên hvaonline.net đó:no:

Trích lời: mrro Administrator HVA online


mình thấy trả lời của các bạn BKIS trên báo hay đó chứ :-P. chỉ có điều là
các bạn ấy vẫn quảng bá một cách hơi bị lố bịch, kiểu "cả thế giới bó tay, chỉ có BKIS làm được". chắc là do biết là sẽ có người tin nên các bạn ấy cứ nói thôi.

về lo ngại của VNCERT là các bạn botnet herder quay sang DDoS mấy cái web site VN, mình nghĩ là khó có khả năng xảy ra. bọn nó cũng làm vì tiền thôi, kô có tiền, tụi nó cũng kô rảnh đi DDoS chùa làm gì.

Tôi nghĩ trả lời của Mr. Quảng trên báo như vậy là thỏa đáng.

Có 1 điểm nữa theo TS Đỗ Văn Lộc - Vụ trưởng Vụ Công nghệ cao, Bộ KH&CN trên báo tiền phong:
http://www.tienphong.vn/Tianyon/Index.aspx?ArticleID=166642&ChannelID=46


Theo ông, BKIS xâm nhập hai máy chủ để phân tích mã độc có trái phép?

Có hai khả năng xảy ra. Khả năng thứ nhất, những server này bị tin tặc lợi dụng. Nếu server này yêu cầu quyền truy nhập, người lạ xâm nhập là trái phép.

Tuy nhiên, nếu những server này cho phép tự do truy nhập, tương tự như chúng ta đọc báo chí trên mạng, BKIS không phạm luật. Cho nên BKIS phải giải thích rõ, họ đã kiểm soát hai server trên theo phương thức nào.

Khả năng thứ hai, đó là những server của tin tặc. Nếu tin tặc kiện BKIS thì chúng ta sẽ biết hacker là ai. Trong trường hợp không ai kiện, chúng ta tự dưng lại đặt ra vấn đề này là vấn đề hoang đường.

Rõ ràng, nếu không có ai kiện Bkis sẽ chẳng bao giờ bị xem là có tội cả.

Nói cùn vậy thì cơ quan chức năng trong bụng đầy rẫy. Ví dụ ngư GAN, MẬT , TỤY ... đều là cơ quan chức năng cả đấy ? Nhưng cơ quan chức năng này không được phép ra ngoài làm những việc không được phép


Ngoài ra tôi chưa khẳng định lần nào BKIS là cơ quan chức năng vì tôi không rõ họ được nhà nước cho phép đến đâu, và cũng chưa khẳng định họ dùng chức năng đó để làm này làm kia là đúng. Bạn mới là cùn và mắt hơi kém đó:lick:

PS: bạn xem lại bài trên của Cao Trung, có trích dẫn BKIS là một "cơ quan an ninh mạng" trên hvaonline.net đó:no:

Mình thấy tranh luận về vấn đề câu chữ thì tới tết cũng không ngả ngũ được, lại chẳng liên quan gì đến vấn đề chính. Thiết nghĩ chúng ta nên đi vào từng luận điểm chi tiết như :" BKIS có phạm luật hay không khi khống chế/tấn công/thâm nhập server của một nước ngoài lảnh thổ VN mà chưa được sự đồng ý của nước đó "

Về điểm này thì ngay cả các phát ngôn của BKIS cũng rất lằng nhằng không nhất quán :
Lúc thì chiếm quyền điều kiển
In order to locate the source of the attacks, we have fought against C&C servers and have gained control of 2 in 8 of them
link http://blog.bkis.com/?p=718

Khi thì lại là khống chế rồi server thông thường,ai cũng có thể sử dụng được :
Để khống chế 02 server, Bkis đã khảo sát 08 server mà hacker dùng để điều hành việc tấn công. Các server này đều đang chứa mã độc và tại thời điểm Bkis phân tích, chúng vẫn đang tiếp tục truyền các mã độc xuống hệ thống máy tính botnet. Trong số 08 server, Bkis đã tìm ra được 02 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web, đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng
link http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=327250&ChannelID=16

Sự thật là thế nào ?Có thể nói chưa ai biết nhưng tôi thì mất dần niềm tin vào những phát ngôn của BKIS ,đứng đầu là AQ

Ngoài ra tôi chưa khẳng định lần nào BKIS là cơ quan chức năng vì tôi không rõ họ được nhà nước cho phép đến đâu, và cũng chưa khẳng định họ dùng chức năng đó để làm này làm kia là đúng. Bạn mới là cùn và mắt hơi kém đó:lick:

PS: bạn xem lại bài trên của Cao Trung, có trích dẫn BKIS là một "cơ quan an ninh mạng" trên hvaonline.net đó:no:

bạn không nói họ cơ quan chức năng nhưng bạn nói công ty bạn cũng là cơ quan chức năng thì có ý gì? không bênh vực BKIS vô lối còn gì nữa? lại nói BKIS là cơ quan hưởng ngân sách nhà nước và có ý nói họ là cơ quan được hưởng theo nghị định của CP về cho phép các cơ quan CHỨC NĂNG đủ thẩm quyền để thực hiện cái nghị định 64/2007 thực hiện nghiệm vụ không cần báo cáo ngay, vậy bạn không có ý cho rằng BKIS là cơ quan chức năng còn gì?

bây giờ chính bạn thùa nhận bạn Không biết gì về BKIS nhé, vậy ngồi im đi

nếu bạn không bênh vực cho BKIS thì bạn cãi nhau ở đây làm gì? Làm loạn nhiẽu à? Đề nghị MOD tiễn đưa đồng chí này sang Topic khác sớm

BKIS là cơ quan an ninh mạng thì không có nghĩa họ lầ cơ quan của Nhà nước được coi là CƠ QUAN CHỨC NĂNG về ĐIỀU PHỐI AN NINH MẠNG QUỐC GIA đủ thẩm quyền để thực hiện cái nghị định 64/2007

@Cao Trung: Tui cũng có muốn bắt bẻ câu chữ đâu, tại cái lão pavietnam này cứ thích vậy:lick:

Việc BKIS đúng sai thế nào tất cả những gì cần đoán thì với 2 phần của topic này mọi người cũng đã đưa ra tất cả các khả năng có thể rồi, việc bây giờ là chờ có công bố chính thức từ các bên liên quan rồi từ đó anh em ta... bàn tiếp:w00t:

@pavietnam: Ko cãi với bác nữa, nếu cãi tiếp hoá ra tớ cũng... cùn như bác à:no:

Ngoài ra tôi chưa khẳng định lần nào BKIS là cơ quan chức năng vì tôi không rõ họ được nhà nước cho phép đến đâu, và cũng chưa khẳng định họ dùng chức năng đó để làm này làm kia là đúng. Bạn mới là cùn và mắt hơi kém đó:lick:

PS: bạn xem lại bài trên của Cao Trung, có trích dẫn BKIS là một "cơ quan an ninh mạng" trên hvaonline.net đó:no:

Bkis là gì mà đủ thẩm quyền để thực hiện cái nghị định 64/2007 mà cậu Quảng đó đề cập đến, :) ?

@Cao Trung: Tui cũng có muốn bắt bẻ câu chữ đâu, tại cái lão pavietnam này cứ thích vậy:lick:

Việc BKIS đúng sai thế nào tất cả những gì cần đoán thì với 2 phần của topic này mọi người cũng đã đưa ra tất cả các khả năng có thể rồi, việc bây giờ là chờ có công bố chính thức từ các bên liên quan rồi từ đó anh em ta... bàn tiếp:w00t:

@pavietnam: Ko cãi với bác nữa, nếu cãi tiếp hoá ra tớ cũng... cùn như bác à:no:

Tiễn bạn lên đường :)
BKIS không đủ thẩm quyền để thực hiện cái nghị định 64/2007, Luật sư đã nói !!!

Thiết nghĩ chúng ta nên đi vào từng luận điểm chi tiết như :" BKIS có phạm luật hay không khi khống chế/tấn công/thâm nhập server của một nước ngoài lảnh thổ VN mà chưa được sự đồng ý của nước đó "
Cũng tuỳ vào "chủ nhà" chẳng hạn trong nhà bác có một ổ "rắn độc" ngay gầm dường mà không biết, bất ngờ có người phi vào diệt gọn và công bố luôn thì chắc chủ nhà cũng không muốn "khép tội" anh chàng kia là vào nhà mà không xin phép, tuy nhiên nếu hai nhà này vốn "không ưa" nhau và luật pháp quy định phi vào nhà người ta không xin phép là dính tội thì chả dại gì tay chủ nhà không mang ra kiện:D


Về điểm này thì ngay cả các phát ngôn của BKIS cũng rất lằng nhằng không nhất quán :
Lúc thì chiếm quyền điều kiển

Khi thì lại là khống chế rồi server thông thường,ai cũng có thể sử dụng được :

Sự thật là thế nào ?Có thể nói chưa ai biết nhưng tôi thì mất dần niềm tin vào những phát ngôn của BKIS ,đứng đầu là AQ

Đây là yếu kém chung của các cơ quan-doanh nghiệp Việt Nam do có thời gian dài chúng ta "đóng cửa" không "va chạm" với bên ngoài nhiều nên việc phát ngôn chưa được đúng "khuôn khổ" pháp luật và quốc tế cho lắm.

@All: Mình chỉ nói những gì thuộc vào hiểu biết hạn hẹp, và không có ý đồ thiên vị về bên nào, chỉ muốn ở topic này mọi người đang bàn luận về vấn đề nghiêm túc thì câu chữ, thái độ cũng nên nghiêm túc một chút. Nhất là những phát ngôn chụp mũ, nhục mạ lẫn nhau là không nên vì như thế càng chứng tỏ "chủ thể" quá non nớt:lick:

TS Đỗ Văn Lộc - Vụ trưởng Vụ Công nghệ cao, Bộ KH&CN:

“Tuy nhiên, những công việc nội bộ của các cơ quan chưa được giải quyết với nhau mà đã được tung lên diễn đàn đối với tôi là điều bất bình thường. Nhất là nội dung công văn này còn nhiều vấn đề chưa rõ ràng.

Đây lại là vấn đề nhạy cảm, liên quan đến quản lý nhà nước về an ninh thông tin. Theo tôi phải xem xét vấn đề vì sao công văn này lại được tung lên diễn đàn”


Và cũng thật là bất bình thường khi các báo chí cũng nhanh chóng có bản scan các công văn này, đồng thời có luôn cả email mà KrCERT trao đổi trực tiếp với BKIS, vốn là những email mang tính chất trao đổi nghiệp vụ cần được bảo mật. Có lẽ các cơ quan cũng nên xem xét tại sao các báo lại có bản scan công văn như vậy.



TS Đỗ Văn Lộc - Vụ trưởng Vụ Công nghệ cao, Bộ KH&CN:

Có hai khả năng xảy ra. Khả năng thứ nhất, những server này bị tin tặc lợi dụng. Nếu server này yêu cầu quyền truy nhập, người lạ xâm nhập là trái phép.

Tuy nhiên, nếu những server này cho phép tự do truy nhập, tương tự như chúng ta đọc báo chí trên mạng, BKIS không phạm luật. Cho nên BKIS phải giải thích rõ, họ đã kiểm soát hai server trên theo phương thức nào.

Khả năng thứ hai, đó là những server của tin tặc. Nếu tin tặc kiện BKIS thì chúng ta sẽ biết hacker là ai. Trong trường hợp không ai kiện, chúng ta tự dưng lại đặt ra vấn đề này là vấn đề hoang đường.

Như vậy, nếu 1 người hack 1 server, công bố lên rằng đã hack server đó với toàn thể mọi người. Tuy nhiên, nếu chủ server không kiện người đó thì người đó sẽ không phạm tội???

Theo khoản 1 điều 22 chương III của Luật hình sự:



http://laws.dongnai.gov.vn/1991_to_2000/1999/199912/200001040005

Điều 22. Không tố giác tội phạm

1. Người nào biết rõ tội phạm đang đựơc chuẩn bị, đang được thực hiện hoặc đã được thực hiện mà không tố giác, thì phải chịu trách nhiệm hình sự về tội không tố giác tội phạm trong những trường hợp quy định tại Điều 313 của Bộ luật này.

Như vậy, nếu hành vi chiếm đoạt server của BKIS là vi phạm thì chúng ta phải có nghĩa vụ tố giác hành vi này kể cả trong trường hợp chủ server không khởi kiện BKIS.

Nếu server này yêu cầu quyền truy nhập, người lạ xâm nhập là trái phép.

Khả năng thứ hai, đó là những server của tin tặc. Nếu tin tặc kiện BKIS thì chúng ta sẽ biết hacker là ai. Trong trường hợp không ai kiện, chúng ta tự dưng lại đặt ra vấn đề này là vấn đề hoang đường.

Câu trên thì khẳng định rằng nếu server có quyền truy nhập thì người lạ (BKIS) xâm nhập là trái phép (trừ khi đó là server của BKIS!!!)

Câu dưới thì lại bảo rằng nếu server đó là của tin tặc (có khi nào server của tin tặc không yêu cầu quyền truy nhập, nghĩa là ko có password ko!?!?!) thì đặt ra vấn đề này là hoang đường?!

Ngay cả trong trường hợp chủ server không khởi kiện nhưng các cơ quan bảo vệ pháp luật cũng có thể khởi tố vụ án nếu như hành vi đó được xác nhận là có dấu hiệu phạm tội cơ mà.

Vụ trưởng trả lời kiểu gì mà mâu thuẫn thế nhỉ?


Trong một trả lời khác với báo chí về việc "khống chế" hai server bị hacker sử dụng vào mục đích tấn công, ông Nguyễn Tử Quảng cũng khẳng định hành động này "hoàn toàn không phải xin phép và bất kỳ ai cũng có thể thực hiện."

Nếu sau sự việc này mà Mr. Nguyễn Tử Quảng được kết luận là không có tội thì nghĩa là các cơ quan chức năng đã "mở cửa" cho các hacker hoặc các đơn vị CNTT khác khống chế các server ở nước ngoài và cả trong nước nếu có chứa mã độc vì hành động này "hoàn toàn không phải xin phép và bất kỳ ai cũng có thể thực hiện." ?!??!?!?!?!?!?!?!?!?

Cũng tuỳ vào "chủ nhà" chẳng hạn trong nhà bác có một ổ "rắn độc" ngay gầm dường mà không biết, bất ngờ có người phi vào diệt gọn và công bố luôn thì chắc chủ nhà cũng không muốn "khép tội" anh chàng kia là vào nhà mà không xin phép, tuy nhiên nếu hai nhà này vốn "không ưa" nhau và luật pháp quy định phi vào nhà người ta không xin phép là dính tội thì chả dại gì tay chủ nhà không mang ra kiện:D



Vấn đề là lao thì đã phóng vào nhà người ta rồi, mà khi nhìn xuống gầm gường thì chả thấy con rắn nào cả ( nó đã chuồn rồi ). Lúc đó nói sao đây ta.

Hoan hô Vikhoa phản biện rất thực tế, các anh nói gì thì cũng phải nhìn lại mình trước khi đổ thừa cho người khác :D

[=========> Bổ sung bài viết <=========]


Vấn đề là lao thì đã phóng vào nhà người ta rồi, mà khi nhìn xuống gầm gường thì chả thấy con rắn nào cả ( nó đã chuồn rồi ). Lúc đó nói sao đây ta.

Muốn chắc ăn thì trước khi phóng vào nhà ngừ ta cầm theo 1 bao tải rắn, có hay không nhảy ra ngừ ta thấy có bao tải rắn là ok rầu :boxing:

@Vi Khoa: Việc thông tin này được đưa lên mạng sớm tôi rất ủng hộ, bởi lẽ đó là quyền được biết sự thật của cộng đồng IT. Và cũng rất cảm ơn Admin đã dũng cảm đưa ra ở đây cho anh em được vào bàn luận, cũng có thể giúp được chút ít cho nền CNTT cũng như các doanh nghiệp IT của VN hiểu rõ hơn về luật pháp mới có thể phát triển được.

Tôi tin rằng vụ việc sẽ được giải quyết thoả đáng, tuy nhiên tất cả vấn đề kiện cáo bắt tội đều xuất phát từ phía "người bị hại" do vậy, các bên liên đới vẫn chưa có ý kiến gì thì chúng ta nên chờ xem sao, bởi những tình huống có thể xẩy ra trong này đã được mọi người đưa ra hết:)

Một lần nữa hi vọng được đọc các lập luận sắc bén và hợp lý của các bạn chứ không phải những bài với mục đích "chỉ trích" cá nhân:no:

Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

BKIS là Trung tâm thuộc trường DHBKHN (http://www.bkav.com.vn/home/default.aspx?Noidung=Gioithieu) mà không được xem là "đơn vị sự nghiệp sử dụng ngân sách nhà nước" à? :) bác luật sư này có vấn đề rồi :)

Việc này rất nguy hiểm tạo tiền lệ cho các Tổ chức khác (Không phải hacker) như là Tổ chức Athena, HVA, HCE, VNSECURITY, MILWORM ... được phép tấn công các server có chứa mã độc của hacker (Ví dụ server của cơ quan NN đang bị nhiễm mã độc)
Hiện tại server các cơ quan NN Việt nam bị nhiễm mã độc hacker khá nhiều, BKIS hay các tổ chức khác có QUYỀN đột nhập mà không cần báo trước cho ai cả liệu có ổn?

[=========> Bổ sung bài viết <=========]


bkis là trung tâm thuộc trường dhbkhn (http://www.bkav.com.vn/home/default.aspx?noidung=gioithieu) mà không được xem là "đơn vị sự nghiệp sử dụng ngân sách nhà nước" à? :) bác luật sư này có vấn đề rồi :)

nhưng không phải là cơ quan chức năng, Luật quy định chỉ có CƠ QUAN CHỨC NĂNG mới thuộc phạm vi của điều này, Nếu BKIS là cơ quan chức năng thì sao lại đi bán phần mềm quản lý văn bản và chống virus? có cơ quan chức năng nào vậy không?

Xin mượn QUOTE của anh vikhoa.


TS Đỗ Văn Lộc - Vụ trưởng Vụ Công nghệ cao, Bộ KH&CN:

Khả năng thứ hai, đó là những server của tin tặc. Nếu tin tặc kiện BKIS thì chúng ta sẽ biết hacker là ai. Trong trường hợp không ai kiện, chúng ta tự dưng lại đặt ra vấn đề này là vấn đề hoang đường.

Kính thưa TS Đỗ Văn Lộc - Vụ trưởng Vụ Công nghệ cao, Bộ KH&CN. Cháu xin có vài điều phân tích cá nhân từ những lời mà Tiến Sĩ phát biểu trên đây :

- Cháu rất mong muốn sẽ không có kiện tụng gì quanh sự việc bkis "làm thế nào để kiểm soát được hai server" như đã mô tả tại : http://blog.bkis.com/?p=718

- Phải chăng chúng ta không cần nhìn nhận, nói, nghĩ về những điều nghi ngờ là sai trái khi chưa có tác động chính thức ?

Vẫn còn ý thứ 2 nữa mà ,chú ý chỗ tô đỏ

Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

nếu không xem vấn đề đang bàn là "trong đất nước VN" thì khỏi cần áp dụng cái nghị định 64 ở đây? như vậy 1 mặt vừa đòi áp dụng nghị định 64/2007, vừa muốn khi áp dụng thì "chừa" khoảng 4 điều 43? có mâu thuẫn gì ở đây không?

BKIS là Trung tâm thuộc trường DHBKHN (http://www.bkav.com.vn/home/default.aspx?Noidung=Gioithieu) mà không được xem là "đơn vị sự nghiệp sử dụng ngân sách nhà nước" à? :) bác luật sư này có vấn đề rồi :)

Không ai tranh cãi rằng Bkis là "đơn vị sự nghiệp sử dụng ngân sách nhà nước" . Mong bác cố gắng đọc và phân tích lại vấn đề đang nói ở trên .


nếu không xem vấn đề đang bàn là "trong đất nước VN" thì khỏi cần áp dụng cái nghị định 64 ở đây? như vậy 1 mặt vừa đòi áp dụng nghị định 64/2007, vừa muốn khi áp dụng thì "chừa" khoảng 4 điều 43? có mâu thuẫn gì ở đây không?

Bác đang nói về vấn đề gì? Bác có biết Bkis thực hiện việc kiểm soát hai server kia ở đâu hay không ? Mâu thuẫn là mâu thuẫn về vấn đề gì ?

Sở dĩ tớ quan tâm đến vấn đề luật pháp ở đây là vì cái khái niệm gọi là Tiền Lệ. Vụ trước làm gương cho vụ sau. Luật là luật. BKIS tự xem mình là An Ninh Mạng Quốc Tế, có quyền hack server nước ngoài mà không sao cả thì sau này người VN nào cũng có thể tự ý xem mình là An Ninh Mạng Quốc Tế, có quyền xâm nhập các network tại nước ngoài mà luật pháp VN không thể cấm. Hễ cấm là há miệng mắc quai ngay.

Lý luận rằng nếu nạn nhân không kiện thì đương sự cho dù có làm sai thì cũng...không phạm luật thì miễn bàn, có lẽ mấy lão khoái giao phối với trẻ em khoái cái kết luận này nhất. Hoang đường hay không thì cứ chờ xem hậu quả của cái mớ bòng bong này sẽ để lại trong tương lai nếu không được giải quyết đâu vào đấy trong khuôn khổ pháp luật.

Xin mượn QUOTE của anh vikhoa.


Kính thưa TS Đỗ Văn Lộc - Vụ trưởng Vụ Công nghệ cao, Bộ KH&CN. Cháu xin có vài điều phân tích cá nhân từ những lời mà Tiến Sĩ phát biểu trên đây :

- Cháu rất mong muốn sẽ không có kiện tụng gì quanh sự việc bkis "làm thế nào để kiểm soát được hai server" như đã mô tả tại : http://blog.bkis.com/?p=718

- Phải chăng chúng ta không cần nhìn nhận, nói, nghĩ về những điều nghi ngờ là sai trái ?

khoan hẵng bàn đến BKIS có thực sự hack 2 cái server kia hay không nhé.

Thử lấy 1 ví dụ là "đánh người là vi phạm pháp luật", nhưng trong những tình huống đặc biệt, khi cần điều tra, hỏi cung, cơ quan điều tra cũng có thể thực hiện những biện pháp nghiệp vụ cần thiết.

Vấn đề ở đây là không có bị hại.

Vậy xin hỏi bác Việt Nam đã bị hại hay chưa ?



Do sự kiện website Chính phủ Hàn Quốc và Mỹ bị tấn công tê liệt đã diễn ra gần 10 ngày mà chưa tìm ra nguồn phát động tấn công, đây là một tình huống khẩn cấp có nguy cơ ảnh hưởng đến toàn cầu trong đó có Việt Nam, Bkis bắt buộc và được phép thực hiện truy tìm nguồn phát động tấn công, rồi sau đó báo cáo cơ quan điều phối. Hiện tại chúng tôi vẫn khẩn trương tiếp tục tiến hành điều tra cho nên chưa có thời gian để báo cáo. Chúng tôi sẽ thực hiện điều này sau khi đã hoàn thành công việc, ông Quảng nói.

Cách thức kiếm soát 2 server kia thế nào tôi chưa được rõ, nhưng hai server kia là cái xó hoang à ?

khoan hẵng bàn đến BKIS có thực sự hack 2 cái server kia hay không nhé.

Thử lấy 1 ví dụ là "đánh người là vi phạm pháp luật", nhưng trong những tình huống đặc biệt, khi cần điều tra, hỏi cung, công an cũng có thể thực hiện những biện pháp nghiệp vụ cần thiết.

Bạn ví dụ chả đâu ra đâu

1. Công an có quyền đó là do ở Việt Nam, pháp luật VN du di chuyện này, ở Mỹ ngon mà đánh :lick:
2. Quyền hạn của BKAV ai cho? hiến pháp và pháp luật nào cho phép?

NTQ nói rằng chúng ta ko nên sợ "hacker" còn việc chiếm quyền điều khiển 2 server mà ko xin phép thì gọi là gì đây nhỉ? em ít học các bác biết giải thích giúp em với nhé.
Em có 1 câu truyện như sau:
Nhà anh A có bảo mật rất chặt chẽ, chìa khóa do anh A giữ nhưng bỗng nhiên anh B ko hiểu bằng cách nào mà anh ấy cũng có được chiếc chìa khóa đó. anh ta dùng chiếc chìa khóa đó rồi mở cửa vào nhà anh A, ngủ với vợ anh A. Hỏi khi anh A biết được điều đó anh ấy sẽ phản ứng ra sao..........? xin các bạn cho biết kết quả.

Bkis tự phong là cảnh sát an ninh mạng, mà suy nghĩ là cảnh sát thì được đánh dân.. ôi Việt Nam

@Cao Trung: Tui cũng có muốn bắt bẻ câu chữ đâu, tại cái lão pavietnam này cứ thích vậy:lick:

Việc BKIS đúng sai thế nào tất cả những gì cần đoán thì với 2 phần của topic này mọi người cũng đã đưa ra tất cả các khả năng có thể rồi, việc bây giờ là chờ có công bố chính thức từ các bên liên quan rồi từ đó anh em ta... bàn tiếp:w00t:

@pavietnam: Ko cãi với bác nữa, nếu cãi tiếp hoá ra tớ cũng... cùn như bác à:no:
Việc gì phải chờ đợi các bên lên quan công bố chính thức chứ (mà BKIS đã công bố rùm ben hết đó rồi còn gì) bàn là bàn còn công cố là công bố, đâu chắc những công bố chính thức của các bên liên quan nhất là BKIS là đúng sự thật, đúng pháp luật.

Xin lỗi anh, Bkis không phải công an, không được giao quyền như công an. Anh đang biện mà không hiểu luật đấy !

bạn nên nghĩ tiếp 1 chút... ví dụ nhé, công an có thể y/c các cơ quan khác hỗ trợ điều tra, hoặc các cơ quan có nhiệm vụ chức năng thực hiện 1 số chuyên môn

Yêu cầu tất cả mọi người muốn tham gia bàn luận trong topic này hãy đọc hết phần 1 trước để không lặp lại các vấn đề đã được bài tới, nhất là các ví dụ so sánh đã được mang ra phản biện hàng chục lần, và cũng đừng spam những bài báo cũ mèm dã được post lên và đã được mổ xẻ đến nơi đến chốn trong hai topic kia!

Theo kinh nghiệm từ hai topic kia thì 1) ví dụ nào cũng là khập khiễng, và 2) ví dụ nào cũng dần dà đi quá xa và trực tiếp dẫn đến việc làm loãng chính đề. Các bác cứ ngồi xem từ bây giờ cho đến trang kế tiếp là rõ ngay.

Thay vì ví dụ này nọ, càng ngày càng lạc đề thì nên tập trung vào chủ đề thì hơn!

@thuoc579:

@ Cơ quan nhà nước: là một bộ phận chủ yếu cấu thành bộ máy nhà nước, là một tổ chức có tính độc lập tương đối, có thẩm quyền và được thành lập theo quy định của pháp luật, nhân danh Nhà nước, thể hiện ý chí Nhà nước thực hiện nhiệm vụ và chức năng Nhà nước bằng những phương pháp và hình thức đặc thù. Nhà nước khác với các cơ quan, tổ chức xã hội khác ở chổ: Cơ quan nhà nước mang quyền lực nhà nước. Mọi cơ quan nhà nước đều có thẩm quyền pháp lý được pháp luật quy định chặc chẽ, được quyền ban hành quyết định thể hiện ý chí nhà nước trong phạm vi thẩm quyền, theo sụ phân cấp trách nhiệm đã được quy định theo pháp luật ( có thể là văn bản quy phạm hoặc văn bản cá biệt). Cơ quan nhà nước sử dụng quyền lực nhà nước để thực hiện chức năng quản lý nhà nước.
Các cơ quan nhà nước được thành lập và hoạt động trên cơ sở các văn bản luật và văn bản dưới luật khác. Điều đó có nghĩa là các cơ quan nhà nước chỉ được thành lập khi có một văn bản pháp luật quy định về việc thành lập nó.
Ở Việt Nam, các cơ quan hành chính bao gồm:
- Các cơ quan quyền lực Nhà nước ( cơ quan đại diện) gồm Quốc hội ( lập hiến và lập pháp) và Hội đồng nhân dân các cấp ở địa phương:
- Cơ quan hành chính Nhà nước ( các cơ quan thực hiện chức năng hành pháp) gồm Chính phủ và Ủy ban nhân dân các cấp;
- Cơ quan xét xử và cơ quan kiểm soát ( ngành tư pháp)

@ Tổ chức sự nghiệp nhà nước: Các đơn vị được thành lập trên các quyết định của các cơ quan nhà nước. Tổ chức sự nghiệp thực hiện chức năng về kinh tế, cung cấp các dịch vụ công cho xã hội, ví dụ như: các doanh nghiệp nhà nước, các tổ chức dịch vụ công( trường học, bệnh viện, các viện nghiên cứu,...) thông thường các đơn vị này thuộc các Bộ, UBND cấp tỉnh,...
http://www.hanhchinhvn.com/forum/showthread.php?t=3532

bạn nên nghĩ tiếp 1 chút... ví dụ nhé, công an có thể y/c các cơ quan khác hỗ trợ điều tra, hoặc các cơ quan có nhiệm vụ chức năng thực hiện 1 số chuyên môn

Tiếp tục đi theo hướng hiểu của anh. Cơ quan được công an y/c hỗ trợ được phép đánh người à ?
Mở rộng phạm vi ở trường hợp này là England chứ không phải phố núi của chúng ta.

bạn nên nghĩ tiếp 1 chút... ví dụ nhé, công an có thể y/c các cơ quan khác hỗ trợ điều tra, hoặc các cơ quan có nhiệm vụ chức năng thực hiện 1 số chuyên môn

Quy định chức năng nhiệm vụ cho mỗi cá nhân là do luật quy định
Không thể tự tiện ủy quyền việc của mình cho một người khác làm được
Ví dụ công an không thể ủy quyền cho một người dân vào khám nhà một người dân khác -vì công an không đủ quyền để ủy quyền như vậy

Cũng như anh công an giao thông không được ủy quyền cho anh xe ôm ra bắn tốc độ xe ngòai đường

Bạn xem lại luật , có quy định về vấn đề ủy quyền đấy.

Chưa biết đến lúc này BKIS công hay tội, nhưng BKIS mắc một sai lầm nghiêm trọng là "ám chỉ VNCERT sợ hacker". Lúc này BKIS nên có nhiều bạn ít thù, mà lại gây hấn với VNCERT thì ko hay tí nào. Bản thân trong nội bộ VN mình còn lấn cấn thì làm sao thống nhất khi trả lời cho phía Korea.

bạn nên nghĩ tiếp 1 chút... ví dụ nhé, công an có thể y/c các cơ quan khác hỗ trợ điều tra, hoặc các cơ quan có nhiệm vụ chức năng thực hiện 1 số chuyên môn
Cơ quan công an yêu cầu các cơ quan khác hỗ trợ điều tra thực hiện 1 số chuyên môn, xong báo cáo lại với cơ quan công an để tổng hợp điều tra, công bố kết quả hay cơ quan chuyên môn đó tự động công bố kết quả của mình, qua mặt cơ quan công an?

Yêu cầu tất cả mọi người muốn tham gia bàn luận trong topic này hãy đọc hết phần 1 trước để không lặp lại các vấn đề đã được bài tới, nhất là các ví dụ so sánh đã được mang ra phản biện hàng chục lần, và cũng đừng spam những bài báo cũ mèm dã được post lên và đã được mổ xẻ đến nơi đến chốn trong hai topic kia!

Chính xác:punk:

Ngoài ra khi lấy ví dụ so sánh cũng không nên phạm phải sai lầm đồng nhất "đối tượng":D theo kiểu "giật lông cừu may áo cho dê" được:D

Thấy mọi người bàn luận nhiều về "chức năng an ninh" của BKIS và cho rằng BKIS không phải cơ quan CA thì không được làm việc của CA, tuy nhiên ở các nước không riêng gì VN, việc chính phủ yêu cầu uỷ quyền và phối hợp cho các công ty tư nhân làm những "việc" thuộc về an ninh quốc phòng là chuyện thường tình:)

Em xin phép được nói lên ý kiến về phát biểu của TS Lộc - Vụ trưởng vụ CN Cao, Bộ KH&CN.

Theo em nên nhìn nhận phát biểu này khách quan và đứng vào vai trò của ng phát biểu. Với tầm của 1 vụ trưởng vụ CN Cao thì ý phát biểu: "Trong trường hợp không ai kiện, chúng ta tự dưng lại đặt ra vấn đề này là vấn đề hoang đường." không thể đồng nhất với ý không ai kiện thì không có tội (một ý mà một vụ trưởng không thể tùy tiện đề cập tới)

Đọc bài trả lời phỏng vấn thì em thấy toát lên ý Bác Lộc chưa có 1 kết luận nào cả vì chưa có thông tin đầy đủ. Bác Lộc có nói: "“Thông tin hiện nay tôi mới chỉ được biết qua báo chí nên chưa đưa ra nhận xét tổng thể về vụ việc” - Ông Lộc nói", thêm nữa mọi người đọc kĩ sẽ thấy câu hỏi "Theo ông, BKIS xâm nhập hai máy chủ để phân tích mã độc có trái phép?" bác Lộc cũng không trả lời thẳng.

Tuy nhiên bác Lộc cũng có đặt ra 1 số khả năng mà phải có đầy đủ thông tin về các khả năng đó thì mới đi đến kết luận được. Như vậy bác Lộc trả lời rất công tâm trên cương vị của một vụ trưởng CN cao. Như bác Lộc nói các thông tin mà bác biết là qua báo chí. Trong khi đó nếu ta xem xét lại thông tin trên báo chí thì thấy đó là thông tin mà các bên ai cũng có cái lý của mình. Chưa có 1 cơ quan thông hiểu luật pháp nào vào cuộc và có kết luận (kết luận của cá nhân 1 luật sư không có giá trị pháp luật mà chỉ mang tính tham khảo) Như vậy nếu đứng trên cương vị bác Lộc nhìn vào thì việc này ít nhất là hợp pháp 50-không hợp pháp 50.

Trong hoàn cảnh 1 việc hợp pháp 50%, không hợp pháp 50% thì đương nhiên khi không có ng khởi kiện thì khả năng hợp pháp của việc đó rất rất cao (vì ng trực tiếp liên quan quyền lợi còn thấy không bị hại). Thêm nữa sau này kể cả cơ quan pháp luật vào cuộc mà cũng ko kết luận rõ ràng trên cơ sở các điều luật được (cơ sở điều luật nhé, vì bác Lộc là ng nhà nước mà) thì việc có người khởi kiện hay không là 1 cơ sở cực kì quan trọng. Vì vậy rõ ràng ý nếu không có ai khởi kiện thì đặt ra vấn đề này là hoang đường là dễ hiểu.

Trên đây là phân tích của em, rõ ràng nếu nhìn khách quan và đứng vào vị trí của ng phát biểu thì thấy phát biểu của bác là hợp lí và rất logic.

khống chế 2 server có 2 trường hợp
1.hack
2.mở cửa tự do , dạng như web
(2 lý do được đăng tải trên báo tto)
Hỏi các bác dân cntt liệu trường hợp 2 có thể xảy ra không ?
Có thể lấy được file log bằng cách 2 ?

bạn nên nghĩ tiếp 1 chút... ví dụ nhé, công an có thể y/c các cơ quan khác hỗ trợ điều tra, hoặc các cơ quan có nhiệm vụ chức năng thực hiện 1 số chuyên môn

BKIS tự ý làm tự ý công bố không cần báo cáo cơ quan chức năng còn gì?

khống chế 2 server có 2 trường hợp
1.hack
2.mở cửa tự do , dạng như web
(2 lý do được đăng tải trên báo tto)
Hỏi các bác dân cntt liệu trường hợp 2 có thể xảy ra không ?
Có thể lấy được file log bằng cách 2 ?

Ừ thì thực ra kiểu gì cũng phải hack mà thôi, nhưng cái hack đó thực hiện như thế nào, ảnh hưởng toàn vẹn dữ liệu ra sao thì mới quan trọng. Nhưng nói chung hack một máy chủ không thuộc VN đã là phạm luật rồi.

Chưa thấy luật nào quy định giới hạn chức năng của một phần mềm cả
Việc điều tra thủ phạm hack vừa rồi của BKIS và việc tìm ra các lỗ hổng có cần theo luật quốc tế hay chỉ cần theo lệ làng ở VN ?
Việc này cấp bách,BKIS phải phản ứng ngay, không cần theo luật quốc tế hay lệ làng gì hết. Tiền trảm hậu tấu, vinh danh thiên hạ.

Chính xác:punk:

Ngoài ra khi lấy ví dụ so sánh cũng không nên phạm phải sai lầm đồng nhất "đối tượng":D theo kiểu "giật lông cừu may áo cho dê" được:D

Thấy mọi người bàn luận nhiều về "chức năng an ninh" của BKIS và cho rằng BKIS không phải cơ quan CA thì không được làm việc của CA, tuy nhiên ở các nước không riêng gì VN, việc chính phủ yêu cầu uỷ quyền và phối hợp cho các công ty tư nhân làm những "việc" thuộc về an ninh quốc phòng là chuyện thường tình:)

Ủy quyền xong lại không báo cáo mà tự ý công bố :)

Chính xác:punk:

Ngoài ra khi lấy ví dụ so sánh cũng không nên phạm phải sai lầm đồng nhất "đối tượng":D theo kiểu "giật lông cừu may áo cho dê" được:D

Thấy mọi người bàn luận nhiều về "chức năng an ninh" của BKIS và cho rằng BKIS không phải cơ quan CA thì không được làm việc của CA, tuy nhiên ở các nước không riêng gì VN, việc chính phủ yêu cầu uỷ quyền và phối hợp cho các công ty tư nhân làm những "việc" thuộc về an ninh quốc phòng là chuyện thường tình:)

Luật mỗi nước có quy định khác nhau bạn à, người nhà mình làm CA nè, làm to nhé, nhưng nói cho các bạn biết là ai cho phép công an lúc hỏi cung đánh người, đừng mơ nhé, người nhà họ mà kiện lại thì có CA cũng đi tù chứ chẳng chơi đâu nhé, chả có nước nào cho cái quyền CA được phép đánh người tự do thế đâu.

Quay lại chủ đề Bờ kít thì mình xin thưa là trên quan điểm khách quan là dựa trên những thông tin bkis cung cấp trên blog cũng như những thông tin mấy ngày nay trên các báo cập nhật thì xin thưa là có sai phạm rồi, tuy nhiên mức độ xử lý và sai phạm đến đâu thì tùy vào các bên thỏa thuận với nhau cũng như luật pháp VN và QT ra sao nữa.

Chúng ta nên tập chung vào chủ đề của topic để đưa ra các quan điểm của mình về có sai phạm hay ko thôi, đừng trâm trọc nhau gây mất đoàn kết, ức chế lẫn nhau.

Mình ý kiến thế.

Trong số tám server, chúng tôi đã tìm ra được hai server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web. Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng.

Liệu quảng có thể lấy được file log và tiến hành các biện pháp nghiệp vụ khác trên server bằng cách này ?

đức nói


Sau khi xác định có 8 máy chủ điều khiển các máy “ma” trong loạt tấn công này, Đội đặc nhiệm đã tiến hành tấn công ngược trở lại 2 trong số 8 máy chủ đó và đã thu thập được nhật ký của các cuộc tấn công. Đầu mối vụ điều tra đã được hé mở.

Vậy đức và quảng trả lời khác chăng ?
Yêu cầu các bác nên quay lại chủ đề .
Mod có thể tiễn được thì tiễn bạn dinhvietbk đi luôn nói nhảm

Yêu cầu mọi người không nên đi lệch chủ đề

Tranh luận với chã (@Tathy) thật là mệt. Mong bác Arkain xoá bớt các tranh luận không mang tính đọc/hiểu/suy luận.

Tôi xin được nhắc lại
+Bkis là một đơn vị sự nghiệp của Nhà nước, chịu sự điều chỉnh của Nghị định 64 và Luật CNTT.
+Bkis là một đơn vị an ninh mạng, có quyền hành động khẩn cấp khi có sự cố liên quan đến an ninh mạng quốc gia.
+Bkis đã tiến hành phân tích virus khi có sự yêu cầu của KrCert. Việc khống chế server chứa virus nằm trong tình huống khẩn cấp và có lợi chung cho lợi ích cộng đồng. Phía KrCert và các chủ server chưa đặt vấn đề về tính hợp pháp hay không hợp pháp này

+Bkis tham gia Apcert là việc thực hiện nhiệm vụ của Nhà nước giao cho, không phải Bkis tự tham gia khi không có chỉ đạo của Nhà nước. Như vậy Bkis cũng có chức năng là một đơn vị ứng cứu khẩn cấp máy tính tại Việt Nam (Đừng đánh đồng với chức năng quản lý nhà nước của Vncert). Chức năng này chỉ thu hồi khi Các cơ quan quản lý nhà nước yêu cầu Bkis phải làm đơn xin rút khỏi tổ chức Apcert. Bkis có quyền tham gia phân tích virus ngay cả khi KrCert không có yêu cầu chính thức vì một số máy tính tại Việt Nam cũng bị nhiễm virus loại này. Đó là hành động vì lợi ích quốc gia

+Trong việc phân tích và khống chế nguồn phát tán virus, Bkis không có tội vì đã thực hiện đúng chức năng và nhiệm vụ được giao cho khi thành lập Trung tâm. Khác với một doanh nghiệp thông thường, một đơn vị sự nghiệp của Nhà nước không có quyền tự đăng ký kinh doanh ngành nghề nào cả mà phải được thông qua của cơ quan quản lý nhà nước. Việc khống chế 2 server như đã nói trên nằm trong tình huống khẩn cấp nên Bkis có quyền hành động trước báo cáo sau theo đúng quy định và tiền lệ khi xảy ra vụ án/ sự cố, mà ở đây lại là vụ việc mang tính khủng bố nghiêm trọng toàn cầu

Đặt ngược lại câu hỏi, Vncert đã làm gì, hành động những gì khi nhận được đề nghị phối hợp của Krcert. Vncert có tiến hành điều tra, phân tích mã virus hay không theo đúng chức năng của mình ? Công văn của Vncert gửi cho ĐHBK mang tính trao đổi nghiệp vụ, như vậy có nghĩa là nội dung email của CHO chưa phải quan điểm chính thức của Vncert. Nếu chưa phải quan điểm chính thức của Vncert thì tại sao lại đưa vào nội dung công văn này mặc dù có thể Vncert chỉ cần làm một công văn đơn giản gửi cho Bkis attach nọi dung email của CHO là đủ, vì email đó đơn giản là quan điểm cá nhân

Theo trình tự khiếu nại tố cáo được quy định trong Luật khiếu nại tố cáo, Vncert là một cơ quan quản lý nhà nước có trách nhiệm gọi đương sự các bên giải trình/điều trần hoặc thành lập một tổ chuyên trách điều tra. Vncert chưa tiến hành yêu cầu Bkis giải trình/ điều trần đã gửi ngay một công văn mang nội dung như trên dễ dẫn đến hiểu là nội dung công văn là quan điểm chính thức của VNcert. Việc liên hệ với Bkis có lẽ khá đơn giản và nhanh hơn nhiều đường công văn. Phải chăng lãnh dạo Bkis và Vncert có mâu thuẫn hoặc không ưa nhau? Với trách nhiệm quản lý nhà nước của mình, VNcert cần phải đứng vai trò công tâm chứ không được phản ánh quan điểm cá nhân

cậu thuoc579 cho cho tôi xin dẫn chứng chính phủ đã quyết định nâng cấp bkis thành cơ quan phụ trách an ninh mang được không, khi nói điều gì phải có dẫn chứng chứ ? Nếu thực sự có thì Bkis đã công bố ra rồi chứ không phải đợi cậu nói đâu, còn nếu Bkis có thì xin cho tôi và mọi người được mở rộng tầm mắt.
Mà dù tạm công nhận cái " chức năng" đó đi nữa thì nghị đinh 64 đó vô giá trị ở nước ngoài, muốn có bằng chứng đáng lý bkis phải thông qua cơ quan điều tra SOCA của Anh Quốc chứ không được phép làm vậy.

p/s: vấn đề chỉ là chủ 2 server đó có kiện hay không mà thôi.

cậu thuoc579 cho cho tôi xin dẫn chứng chính phủ đã quyết định nâng cấp bkis thành cơ quan phụ trách an ninh mang được không, khi nói điều gì phải có dẫn chứng chứ ? Nếu thực sự có thì Bkis đã công bố ra rồi chứ không phải đợi cậu nói đâu, còn nếu Bkis có thì xin cho tôi và mọi người được mở rộng tầm mắt.
Mà dù tạm công nhận cái " chức năng" đó đi nữa thì nghị đinh 64 đó vô giá trị ở nước ngoài, muốn có bằng chứng đáng lý bkis phải thông qua cơ quan điều tra SOCA của Anh Quốc chứ không được phép làm vậy.

p/s: vấn đề chỉ là chủ 2 server đó có kiện hay không mà thôi.

...

nếu mà có cơ quan pháp luật nào tuyên bố thì Bkis bị luận tội rồi. Vấn đề các cơ quan có thẩm quyền vào cuộc chỉ khi chủ 2 server kia kiện, còn họ "quên" thì chúng ta cũng không nên làm to chuyện.

Còn việc Bkis sai thì sai lè rồi, ai có làm việc liên quan đến bên Luật đều hiểu. Ở đây không phải là xử phạt Bkis, mà phải cho mọi người hiểu rõ để tránh việc này lập lại trong tương lai, có thể gây sai phạm nghiêm trọng hơn.
Còn việc xét xử Bkis thì tôi nghĩ rằng không cần thiết, vì chủ 2 server còn chưa khởi kiện thì một số người đòi xét xử Bkis là việc hoang đường.

Hình như các bạn đã bị các BKISers vào quấy rối nên bắt đầu lập luận xa dần chủ đề rồi!

Vấn đề ở đây là:


Được gửi bởi vikhoa
Ngay cả trong trường hợp chủ server không khởi kiện nhưng các cơ quan bảo vệ pháp luật cũng có thể khởi tố vụ án nếu như hành vi đó được xác nhận là có dấu hiệu phạm tội cơ mà.
...
Nếu sau sự việc này mà Mr. Nguyễn Tử Quảng được kết luận là không có tội thì nghĩa là các cơ quan chức năng đã "mở cửa" cho các hacker hoặc các đơn vị CNTT khác khống chế các server ở nước ngoài và cả trong nước nếu có chứa mã độc vì hành động này "hoàn toàn không phải xin phép và bất kỳ ai cũng có thể thực hiện." ?!??!?!?!?!?!?!?!?!?

Tranh luận với chã (@Tathy) thật là mệt. Mong bác Arkain xoá bớt các tranh luận không mang tính đọc/hiểu/suy luận.

Tôi xin được nhắc lại
+Bkis là một đơn vị sự nghiệp của Nhà nước, chịu sự điều chỉnh của Nghị định 64 và Luật CNTT.
+Bkis là một đơn vị an ninh mạng, có quyền hành động khẩn cấp khi có sự cố liên quan đến an ninh mạng quốc gia.
+Bkis đã tiến hành phân tích virus khi có sự yêu cầu của KrCert. Việc khống chế server chứa virus nằm trong tình huống khẩn cấp và có lợi chung cho lợi ích cộng đồng. Phía KrCert và các chủ server chưa đặt vấn đề về tính hợp pháp hay không hợp pháp này

+Bkis tham gia Apcert là việc thực hiện nhiệm vụ của Nhà nước giao cho, không phải Bkis tự tham gia khi không có chỉ đạo của Nhà nước. Như vậy Bkis cũng có chức năng là một đơn vị ứng cứu khẩn cấp máy tính tại Việt Nam (Đừng đánh đồng với chức năng quản lý nhà nước của Vncert). Chức năng này chỉ thu hồi khi Các cơ quan quản lý nhà nước yêu cầu Bkis phải làm đơn xin rút khỏi tổ chức Apcert. Bkis có quyền tham gia phân tích virus ngay cả khi KrCert không có yêu cầu chính thức vì một số máy tính tại Việt Nam cũng bị nhiễm virus loại này. Đó là hành động vì lợi ích quốc gia

+Trong việc phân tích và khống chế nguồn phát tán virus, Bkis không có tội vì đã thực hiện đúng chức năng và nhiệm vụ được giao cho khi thành lập Trung tâm. Khác với một doanh nghiệp thông thường, một đơn vị sự nghiệp của Nhà nước không có quyền tự đăng ký kinh doanh ngành nghề nào cả mà phải được thông qua của cơ quan quản lý nhà nước. Việc khống chế 2 server như đã nói trên nằm trong tình huống khẩn cấp nên Bkis có quyền hành động trước báo cáo sau theo đúng quy định và tiền lệ khi xảy ra vụ án/ sự cố, mà ở đây lại là vụ việc mang tính khủng bố nghiêm trọng toàn cầu

Đặt ngược lại câu hỏi, Vncert đã làm gì, hành động những gì khi nhận được đề nghị phối hợp của Krcert. Vncert có tiến hành điều tra, phân tích mã virus hay không theo đúng chức năng của mình ? Công văn của Vncert gửi cho ĐHBK mang tính trao đổi nghiệp vụ, như vậy có nghĩa là nội dung email của CHO chưa phải quan điểm chính thức của Vncert. Nếu chưa phải quan điểm chính thức của Vncert thì tại sao lại đưa vào nội dung công văn này mặc dù có thể Vncert chỉ cần làm một công văn đơn giản gửi cho Bkis attach nọi dung email của CHO là đủ, vì email đó đơn giản là quan điểm cá nhân

Theo trình tự khiếu nại tố cáo được quy định trong Luật khiếu nại tố cáo, Vncert là một cơ quan quản lý nhà nước có trách nhiệm gọi đương sự các bên giải trình/điều trần hoặc thành lập một tổ chuyên trách điều tra. Vncert chưa tiến hành yêu cầu Bkis giải trình/ điều trần đã gửi ngay một công văn mang nội dung như trên dễ dẫn đến hiểu là nội dung công văn là quan điểm chính thức của VNcert. Việc liên hệ với Bkis có lẽ khá đơn giản và nhanh hơn nhiều đường công văn. Phải chăng lãnh dạo Bkis và Vncert có mâu thuẫn hoặc không ưa nhau? Với trách nhiệm quản lý nhà nước của mình, VNcert cần phải đứng vai trò công tâm chứ không được phản ánh quan điểm cá nhân

+ Không bàn
+ Đây không phải là vấn đề liên quan tới an ninh quốc gia, mà là TRỢ GIÚP với sự cố của thành viên khác trong tổ chức.
+ Không bàn
+ Khi một ai đó NHỜ sự TRỢ GIÚP, chúng ta có thể trợ giúp hoặc từ chối. Tất nhiên từ chối là một việc khó chấp nhận vì cùng là thành viên nhưng không có nghĩa TRỢ GIÚP là tung hết thông tin thu thập được ra TOÀN THẾ GIỚI trong khi chưa nắm bắt hết được thông tin và nguồn gốc của nhóm hacker, làm mất manh mối điều tra những đồng phạm còn lại

Cần thay đổi có lẽ là cách thức làm việc và công bố thông tin của BKIS với các thành viên trong hội cũng như các phương tiện thông tin đại chúng.

khống chế 2 server có 2 trường hợp
1.hack
2.mở cửa tự do , dạng như web
(2 lý do được đăng tải trên báo tto)
Hỏi các bác dân cntt liệu trường hợp 2 có thể xảy ra không ?
Có thể lấy được file log bằng cách 2 ?
1)tui chưa thấy dịch vụ chia sẻ công khai nào mà để toang cái log ra.
thường file log bị hạn chế truy cập. nếu có chia sẽ thì cũng chỉ thấy dứoi dạng liệt kê thôi. không thể truy cập vào nội dung được.
file log thường để dưới quyền của root hoặc tương đương.
nếu ko lấy dc root thì ngắm thôi ;)
tới đây thì hiểu rồi nhỉ, ít ra là phải "gain control" cái đã
2)đọc ở trên có bạn nói BKIS là cơ quan chức năng sao lại đi bán BKAV với eOffice, rồi BKIS và BKAV là 2 đơn vị khác nhau...
Thực ra cái này là cái cách tổ chức ma.
Một đơn vị thực tế núp bóng dưới 2 cái hình thức.
hình thức núp bóng nhà nước để lãnh được tiền từ chính phủ, được bảo vệ quyền lợi như cơ quan nhà nước.
hình thức thứ hai là một dạng doanh nghiệp kinh doanh-> kiếm tiền.
vấn đề cực kì ma là, vừa lãnh tiền được của nhà nước vừa giữ phần lời kinh doanh cho riêng mình mà ko phải nộp lại.
Vụ này cũng là điển hình: nếu có sai phạm gì giơ cái khiên nhà nước lên mà đỡ.

mấy bạn ở topic trước cứ cãi là doanh nghiệp hay nhà nước thì rõ rành là thực tế trên giấy tồn tại 2 cái đó.
nhưng mà thực tế thì cũng chỉ có một, mọi thứ liên quan đến BKIS hay BKAV gì đó đều do 1 tay Mr Quảng đứng ra phát ngôn cả.

To thuoc579:

- Bạn nói sai rồi, cho dù BKIS có quyền điều tra như C15 cũng ko thể nào tự ý xâm nhập trái phép vào server người khác khi chưa đc quyền của chủ quản hoặc cơ quan có thẩm quyền đồng ý.

- Ví dụ đơn giản: không phải CA lúc nào cũng có quyền bắt hoặc khám xét nhà người khác. Phải có lệnh của tòa án thì mới đc nhé. Lơ mơ ko có lệnh là bị kiện sặc máu đấy. --> BKIS hoàn toàn có tội. Tội ở đây thật ra không lớn nhưng mà bác Quảng cứng đầu ko chịu nhận sai cho nên mới bị nhìu người công kích. Đã thế bác ý còn tung bom, PR 1 cách hèn kém vô đạo đức nên mới bị ghét. Bác ý đã vi phạm rất nghiêm trọng đến đạo đức trong kinh doanh rồi.

Lỗi thì đã phơi ra đấy rồi, còn lách luật thế nào là chuyện của bác Quảng, xử lí ra sao thì do bác ấy ngoại giao.
Văn hóa "Phê Bình và Tự Phê Bình" không biết có còn hay ko



Tội ở đây thật ra không lớn nhưng mà bác Quảng cứng đầu ko chịu nhận sai cho nên mới bị nhìu người công kích. Đã thế bác ý còn tung bom, PR 1 cách hèn kém vô đạo đức nên mới bị ghét. Bác ý đã vi phạm rất nghiêm trọng đến đạo đức trong kinh doanh rồi.


Nói như bác là khá động chạm và xúc phạm đấy. Đạo đức và lòng tự trọng thì ai lại không có. Tuy nhiên ở khía cạnh những người như bác Quảng thì phải gạt 2 thứ xa xỉ đó đi, vì thật sự nó không có lợi cho việc kinh doanh và nghề của bác ấy.

Một điều quá đơn giản mà hình như nhiều người không chịu hiểu đó là hai cái server kia không thuộc VN, muốn thực hiện bất kì điều gì thì phải tuân theo luật quốc tế và được phép của nước chủ quản. Nên nhớ interpol muốn thực thi bất kì nhiệm vụ nào cũng phải được phép của nước đó.

Chứ cứ nói kiểu "vì lợi ích quốc gia", mai chắc mấy bạn chống khủng bố của Hoa Kỳ cũng nói là 'toilet nhà tớ là nơi trú ẩn của khủng bố', sau đó cho 3 quả tomahawk biến cái nhà thành cái lỗ to đùng mà không cần hỏi ý VN ra sao quá.

@fantasy_nano:
tới j cũng chưa có thông tin gì cụ thể
nhưng với hiểu biết của tui thì tui tin là BKIS đã có hành động xâm nhập bất hợp pháp.
@all: qua vụ này thì thấy thêm cái kiểu tổ chức ma của BKIS.
ai mà cạnh tranh nổi chài

Đề tài rất hot, cho phép tôi tham gia tranh luận cùng với mọi người chút

Có hai luồng dư luận : Một là việc xử lý của Bkis trong trường hợp này là trái pháp luật và thông lệ quốc tế. Việc dùng sự kiện này để PR cho thương hiệu Bkis là quá đà dẫn đến nguy cơ tiềm ẩn về hình ảnh CNTT Việt Nam trong mắt thế giới không tốt – Các khả năng trả đũa của hacker quốc tế đối với Việt Nam là có -> Việc này sẽ gây tổn thất cho nước mình. Ý kiến này khá nhiều và được sự ủng hộ nhiều hơn (xin lỗi nếu nhận xét của tôi không đúng)

Thông tin khác – Cho rằng Bkis cũng có đóng góp nhất định (có công) trong sự kiện này – Ý kiến này ít và thường được mọi người cho rằng đó là những người của Bkis biện hộ hoặc gây lệch định hướng tranh luận của chủ đề.

Tôi thử tiếp cận vấn đề từ một cách nhìn khác xem thế nào :

Một là : Bkis bằng kỹ thuật (phương pháp đúng hay chưa đúng sẽ bàn sau ) đã cùng với cộng đồng chuyên môn tìm ra nguyên nhân DDoS sau khi nhận được yêu cầu non-officer từ phía Hàn quốc. Như vậy khả năng kỹ thuật của các nhân viên cúa trung tâm BKIS là đáng được ghi nhận.

Hai là phương pháp tiến hành xử lý của BKISSbằng chiếm quyền điều khiển của 2 server đúng hay sai. Có vi phạm luật quốc tế ? – Phía Korea có đưa vấn đề này ra kiện ra quốc tế hay không? Theo tôi cần có thông tin nhiều hơn nữa và nên để cho chủ thể là phía Hàn quốc phát biểu chính thức. Có hai khả năng xẩy ra : Luật quốc tế về việc này đã có -> Xử lý tương đối đơn giản. Chưa có -> là cơ hội để bổ sung vào luật. Chưa có ý kiến của phía Hàn quốc thì chúng ta cũng không nên quá lo lắng cho những việc của người khác.

Ba là Việc BKIS dùng việc này để PR sẽ được đánh giá thế nào ? : Về mặt bản chất mọi DN đều phải tận dụng mọi cơ hội để PR cho mình – Các tiến hành PR thành công hay thất bại sẽ tự DN đó hưởng thành quả hay hứng chịu. Một trong những điểm yếu của doanh nghiệp CNTT Việt Nam nay khi muốn PR vươn ra khỏi phạm vi quốc gia là ở chỗ chưa có hoặc chưa hiểu hết các thông lệ quốc tế. Tôi thiên về suy nghĩ là Anh Quảng chưa có kinh nghiệm hoặc hiểu biết về thông lệ quốc tế nhiều hơn. Nếu có những kiện tụng xảy ra thì cũng là một bài học lớn cho BKIS nói riêng và những doanh nghiệp CNTT Việt nam nói chung trong cách tiếp thị hình ảnh của mình trên một đấu trường rộng và khốc liệt hơn. Nói gì thì nói chúng ta vẫn phải có ước mơ đến một lúc nào đó Việt Nam mình có một chỗ đứng nào đó dù rất khiêm tốn trong nền CNTT thế giới. Chắc chắn các bạn trẻ ở diễn đàn. Các bạn đang đi du học, các bạn, các anh chị đang công tác ở các nước phát triển sẽ giúp một phần nào cho việc để không xẩy ra những sơ suất do chưa có hiểu biết kỹ càng về thông lệ quốc tế kiểu như thế này.

Bốn là chúng ta lo lắng trả đũa của các hacker thế giới với Việt Nam : Việc đối đầu với hacker tôi cho là đương nhiên phải đối mặt của mọi quốc gia, DN, tổ chức chính phủ… Trước sau gì thì cũng phải có xây có chống. Các hãng Security vì thế mới lớn mạnh và đưa ra các giải pháp ngày càng tốt hơn được. Việt Nam cũng vậy

Năm là dù chưa biết kết luận thế nào thì hình ảnh về kỹ thuật của CNTT Việt Nam trong an ninh mạng cũng được cải thiện trong cộng đồng CNTT quốc tế - Ở đây tôi muốn nói đến các chuyên gia an ninh mạng , các kỹ sư đã tham gia vào xử lý vụ việc chứ không muốn lồng các yếu tố pháp lý vào đây. Tôi có nhớ một số hacker ở Đức, Mỹ khi xâm nhập vào một số hệ thống an ninh quốc gia họ vẫn bị xử theo pháp luật nhưng không ai đánh giá thấp năng lực kỹ thuật của họ cả

sorry vì nhảy vào lại, tại đang rảnh với lai hình như tui chưa nó vấn đề này :P

Có vi phạm luật quốc tế ? – Phía Korea có đưa vấn đề này ra kiện ra quốc tế hay không? Theo tôi cần có thông tin nhiều hơn nữa và nên để cho chủ thể là phía Hàn quốc phát biểu chính thức. Có hai khả năng xẩy ra : Luật quốc tế về việc này đã có -> Xử lý tương đối đơn giản. Chưa có -> là cơ hội để bổ sung vào luật. Chưa có ý kiến của phía Hàn quốc thì chúng ta cũng không nên quá lo lắng cho những việc của người khác.

tui tin rằng BKIS vi phạm luật quốct tế dẫn ra vì tui tin là BKIS chiếm quyền điều khiển bất hợp pháp.
tui khẳng định là luật pháp quốc tế có phạm trù này rồi
nhưng tui ko tin rằng HQ sẽ kiện hay có bất cứ điều gì liên quan tới kiện tụng ở đây



Ba là Việc BKIS dùng việc này để PR sẽ được đánh giá thế nào ? : Về mặt bản chất mọi DN đều phải tận dụng mọi cơ hội để PR cho mình – Các tiến hành PR thành công hay thất bại sẽ tự DN đó hưởng thành quả hay hứng chịu. Một trong những điểm yếu của doanh nghiệp CNTT Việt Nam nay khi muốn PR vươn ra khỏi phạm vi quốc gia là ở chỗ chưa có hoặc chưa hiểu hết các thông lệ quốc tế. Tôi thiên về suy nghĩ là Anh Quảng chưa có kinh nghiệm hoặc hiểu biết về thông lệ quốc tế nhiều hơn. Nếu có những kiện tụng xảy ra thì cũng là một bài học lớn cho BKIS nói riêng và những doanh nghiệp CNTT Việt nam nói chung trong cách tiếp thị hình ảnh của mình trên một đấu trường rộng và khốc liệt hơn. Nói gì thì nói chúng ta vẫn phải có ước mơ đến một lúc nào đó Việt Nam mình có một chỗ đứng nào đó dù rất khiêm tốn trong nền CNTT thế giới. Chắc chắn các bạn trẻ ở diễn đàn. Các bạn đang đi du học, các bạn, các anh chị đang công tác ở các nước phát triển sẽ giúp một phần nào cho việc để không xẩy ra những sơ suất do chưa có hiểu biết kỹ càng về thông lệ quốc tế kiểu như thế này.

vấn đề này tui đã đề cập ở đâu rồi, nói chung là PR dưới góc nhìn doanh nghiệp thì tui chả bình luận nhưng dưới góc nhìn của một cơ quan thuộc chính phủ như BKIS vin vào thì tui nghĩ là cực kì nhảm nhí, phản tác dụng.
thực tế là những người điều hành của BKIS chưa có thời gian hoạt động ở nứoc ngòai làm việc trong môi trường quốc tế. (đang xem CV mấy anh lớn ở BKIS)
-> tự kết luận, hòai bão của BKIS lên tầm quốc tế có còn thiếu điều gì chăng.




Bốn là chúng ta lo lắng trả đũa của các hacker thế giới với Việt Nam : Việc đối đầu với hacker tôi cho là đương nhiên phải đối mặt của mọi quốc gia, DN, tổ chức chính phủ… Trước sau gì thì cũng phải có xây có chống. Các hãng Security vì thế mới lớn mạnh và đưa ra các giải pháp ngày càng tốt hơn được. Việt Nam cũng vậy
sẽ có vài vụ thử ddos cho xem.


Năm là dù chưa biết kết luận thế nào thì hình ảnh về kỹ thuật của CNTT Việt Nam trong an ninh mạng cũng được cải thiện trong cộng đồng CNTT quốc tế - Ở đây tôi muốn nói đến các chuyên gia an ninh mạng , các kỹ sư đã tham gia vào xử lý vụ việc chứ không muốn lồng các yếu tố pháp lý vào đây. Tôi có nhớ một số hacker ở Đức, Mỹ khi xâm nhập vào một số hệ thống an ninh quốc gia họ vẫn bị xử theo pháp luật nhưng không ai đánh giá thấp năng lực kỹ thuật của họ cả
tui ko biết bác nói hình ảnh nào, chứ tui thấy có vấn đề về sự thiếu chuyên nghiệp rất lớn. Thực ra các tổ chức làm việc với nhau, họ ko bao giờ nghi ngờ hay đánh giá thấp năng lực của đối tác cả. Vấn đề là làm ăn như thế nào thôi. Mà cái này thì con sâu làm rầu nồi canh.
p.s: tây thấy vậy mà thù dai lắm,
mấy anh châu á thì khỏi nói

@dinhlocphp: theo dõi topic này giờ mới tìm được bài viết của anh là hợp lý nhất:)

@dinhlocphp: theo dõi topic này giờ mới tìm được bài viết của anh là hợp lý nhất:)

Bạn coi là hợp lý nhất nhưng mình coi Vikhoa hợp lý hơn :)

1. Rất nhiều ý kiến phản đối BKIS nhưng đều công nhận BKIS có công, không hề có ai phủ nhận công sức của BKIS cả

Xin lỗi bạn! tui không có công nhận, hay phủ nhận gì đâu nha. Tui thấy BKIS làm việc rất vô tổ chức. Chấm hết.

vừa đọc http://dantri.com.vn/c119/s119-338245/dang-sau-vu-phan-cong-hacker-chan-dong-toan-cau.htm
và: http://vietnamnet.vn/cntt/2009/07/859001/
Thật là nức lòng

nhưng xem ra bkis vẫn còn cãi chầy cãi cố.

Bạn coi là hợp lý nhất nhưng mình coi Vikhoa hợp lý hơn :)

Thì ngoài ViKhoa ra mà:)

Đến giờ vụ này có vẻ nguội đi rồi, hi vọng mai ngày kia mọi thứ được rõ ràng để anh em đỡ phải đoán mò nữa:punk:

Nếu các quan chức như vụ trưởng,thứ trưởng,thủ trưởng...của VN ta mà cho rằng việc bác Quảng trong lúc tình hình khẩn cấp,các nơi trên thế giới bị vius tấn công làm tê liệt các website nên cho phép xâm nhập vào các server (có chủ đàng hoàng) của các nước quậy quọ lung tung là hợp pháp :
Vậy thì một tổ chức phản động hoặc 1 thế lực thù địch nào đó ở nước ngoài nó làm cho 1 các server của các cơ quan chính phủ quan trọng chóp bu tại VN bị nhiểm virus xong nó lặn mất, rồi đến phiên xuất hiện 1 tổ chức khác ngang nhiên đàng hoàng xâm nhập vô các sever của mấy cái cơ quan chính phủ quan trọng VN đang bị virus phá hoại đó trên danh nghĩa là bắt,diệt, khống chế...bọn virus đang dính trên các server kia rồi luôn tiện họ liếc mắt đọc luôn 1 vài cái thông tin quan trọng mà nó ảnh hưởng tới an nguy quốc gia thì VN ta, vậy mà vẫn cho rằng họ xâm nhập vào trong trường hợp đó là hợp pháp à ? Họ chả có tội gì à? Bó tay!
Nếu mà thật sự có chuyện như vậy xảy ra thì các ngài quan chức VN có nhiệm vụ quản lý về chuyên môn của ta sao lại có những suy diễn hớ hênh thế!

+Bkis là một đơn vị sự nghiệp của Nhà nước, chịu sự điều chỉnh của Nghị định 64 và Luật CNTT.
+Bkis là một đơn vị an ninh mạng, có quyền hành động khẩn cấp khi có sự cố liên quan đến an ninh mạng quốc gia.
+Bkis đã tiến hành phân tích virus khi có sự yêu cầu của KrCert. Việc khống chế server chứa virus nằm trong tình huống khẩn cấp và có lợi chung cho lợi ích cộng đồng. Phía KrCert và các chủ server chưa đặt vấn đề về tính hợp pháp hay không hợp pháp này

+Bkis tham gia Apcert là việc thực hiện nhiệm vụ của Nhà nước giao cho, không phải Bkis tự tham gia khi không có chỉ đạo của Nhà nước. Như vậy Bkis cũng có chức năng là một đơn vị ứng cứu khẩn cấp máy tính tại Việt Nam (Đừng đánh đồng với chức năng quản lý nhà nước của Vncert). Chức năng này chỉ thu hồi khi Các cơ quan quản lý nhà nước yêu cầu Bkis phải làm đơn xin rút khỏi tổ chức Apcert. Bkis có quyền tham gia phân tích virus ngay cả khi KrCert không có yêu cầu chính thức vì một số máy tính tại Việt Nam cũng bị nhiễm virus loại này. Đó là hành động vì lợi ích quốc gia

+Trong việc phân tích và khống chế nguồn phát tán virus, Bkis không có tội vì đã thực hiện đúng chức năng và nhiệm vụ được giao cho khi thành lập Trung tâm. Khác với một doanh nghiệp thông thường, một đơn vị sự nghiệp của Nhà nước không có quyền tự đăng ký kinh doanh ngành nghề nào cả mà phải được thông qua của cơ quan quản lý nhà nước. Việc khống chế 2 server như đã nói trên nằm trong tình huống khẩn cấp nên Bkis có quyền hành động trước báo cáo sau theo đúng quy định và tiền lệ khi xảy ra vụ án/ sự cố, mà ở đây lại là vụ việc mang tính khủng bố nghiêm trọng toàn cầu

Đặt ngược lại câu hỏi, Vncert đã làm gì, hành động những gì khi nhận được đề nghị phối hợp của Krcert. Vncert có tiến hành điều tra, phân tích mã virus hay không theo đúng chức năng của mình ? Công văn của Vncert gửi cho ĐHBK mang tính trao đổi nghiệp vụ, như vậy có nghĩa là nội dung email của CHO chưa phải quan điểm chính thức của Vncert. Nếu chưa phải quan điểm chính thức của Vncert thì tại sao lại đưa vào nội dung công văn này mặc dù có thể Vncert chỉ cần làm một công văn đơn giản gửi cho Bkis attach nọi dung email của CHO là đủ, vì email đó đơn giản là quan điểm cá nhân

Theo trình tự khiếu nại tố cáo được quy định trong Luật khiếu nại tố cáo, Vncert là một cơ quan quản lý nhà nước có trách nhiệm gọi đương sự các bên giải trình/điều trần hoặc thành lập một tổ chuyên trách điều tra. Vncert chưa tiến hành yêu cầu Bkis giải trình/ điều trần đã gửi ngay một công văn mang nội dung như trên dễ dẫn đến hiểu là nội dung công văn là quan điểm chính thức của VNcert. Việc liên hệ với Bkis có lẽ khá đơn giản và nhanh hơn nhiều đường công văn. Phải chăng lãnh dạo Bkis và Vncert có mâu thuẫn hoặc không ưa nhau? Với trách nhiệm quản lý nhà nước của mình, VNcert cần phải đứng vai trò công tâm chứ không được phản ánh quan điểm cá nhân

Mình trả lời từng ý theo suy nghĩ của mình nhé.

- BKIS chịu sự quản lý của Nghị định 64 và Luật CNTT, đúng. Nhưng cái server kia lại ko nằm trong phạm vi quản lý cuả Nghị định 64 và Luật CNTT. BKIS viện dẫn luật này ra là không đúng.

- BKIS cũng (có thể) ko sai nếu bảo vệ hành động an ninh mạng VN. Việc xâm nhập 2 máy chủ ở nước ngoài là vượt quá khỏi hành động bảo vệ an ninh mạng VN, mặc khác còn là hành động làm tổn hại an ninh mạng quốc tế.

- Việc KrCERT có liên hệ yêu cầu BKIS giúp đỡ hay ko còn chưa rõ.

- Việc BKIS tham gia APCERT do nhà nước yêu cầu, không hiểu là bạn lấy thông tin từ đâu ra?

- Nói VNCERT ko có hành động cụ thể là võ đoán. Nếu VNCERT cũng hành động mà chưa lên tiếng trên truyền thông thì sao? Nói như bạn thì KrCERT và an ninh mạng Hoa Kì đều ngồi yên cho BKIS 1 mình hành động?

- Nếu bạn đọc kĩ Công Văn thì sẽ thấy là VNCERT cũng đã yêu cầu BKIS giải trình và đính chính đấy thôi. Nếu VNCERT ko gởi Công Văn thì làm sao BKIS giải trình (vì có ai yêu cầu đâu ^^).

------------------------------------
BKIS nói là ko có thời gian để thông báo cho KrCERT và VNCERT. Thật sự tôi ko nghĩ việc cc thêm 2 cái địa chỉ email trong cái email BKIS gửi cho báo chí lại tốn nhiều thiờ gian đến vậy.

Chúng ta hãy cùng xem việc 'bình thường, ai cũng có thể làm được' như BKIS nói:


Để tập trung nghiên cứu, chiến đấu với loại virus này, suốt gần 2 ngày liền, các kỹ sư máy tính trong Đội đặc nhiệm làm việc tại chỗ. "Có người mang đồ ăn vào phòng. Anh em tranh thủ thay nhau chợp mắt khoảng 2-3 tiếng rồi tiếp tục chiến đấu. 10 người với 15 máy tính "chạy" hết công suất" - Nguyễn Minh Đức Giám đốc Bkis Security, Đội trưởng Đội đặc nhiệm Taskforce kể lại.
Đến 3h sáng 13/7, cuộc điều tra rơi vào bế tắc bởi sau khi tấn công, máy chủ đã ra lệnh cho các máy tính bị điều khiển xóa sạch các dữ liệu trên máy, không thể khôi phục được, đồng nghĩa với việc thủ phạm đã xóa dấu vết để đối phó với việc điều tra.

tui ko biết bác nói hình ảnh nào, chứ tui thấy có vấn đề về sự thiếu chuyên nghiệp rất lớn. Thực ra các tổ chức làm việc với nhau, họ ko bao giờ nghi ngờ hay đánh giá thấp năng lực của đối tác cả. Vấn đề là làm ăn như thế nào thôi. Mà cái này thì con sâu làm rầu nồi canh.


Mình dùng danh từ hình ảnh về khả năng kỹ thuật và phải lấy một ví dụ để minh họa rồi bạn ạ. Tôi cũng dùng danh từ đáng được ghi nhận về khả năng kỹ thuật hứ không dùng danh từ "rất giỏi" hay "siêu hạng"

Tôi cũng dùng danh từ chưa có hay thiếu hiểu biết kinh nghiệm quốc tế của BKIS trong chuyện này. Mà chưa biết hay thiếu hiểu biết thì là chưa chuyên nghiệp rồi - Pro khác hẳn với Amateur phải không bạn. :D

Mình dùng danh từ hình ảnh về khả năng kỹ thuật và phải lấy một ví dụ để minh họa rồi bạn ạ. Tôi cũng dùng danh từ đáng được ghi nhận về khả năng kỹ thuật hứ không dùng danh từ "rất giỏi" hay "siêu hạng"

nói thiệt tui cũng ko biết kỹ thuật của BKIS so với các cơ quan an ninh mạng ở EU và US thế nào.
bởi có cạy miệng họ cũng ko nói!!!
bác đọc ở trên tui ko phủ nhận những gì BKIS đã làm dc trong quá khứ cả. Nhưng vụ này sai là sai thôi.

Thật ra thì cũng chỉ tranh luận xem hành động của BKIS vừa qua là :
- BKIS có phạm 1 cái luật pháp nào đó hay không qua việc xâm nhập server của nước ngoài.
- Không lo bảo mật mà lại đi công bố huênh hoang chiến công của mình
- BKIS đã lợi dụng sự việc đó để nhận tiên tự đề cao cho mình một các lố bịch
Chứ chẳng có ai đứng ra kiện cáo gì BKIS cả, ngay bên bên KrCERT (hay nói đúng hơn là ông CHO) thì cũng chỉ email than phiền và yêu cầu BKIS đính chính lại các thông tin đã công bố cho rõ ràng hơn thôi!

Qua đó cái người ta muốn chỉ trích và cũng là góp ý cho BKIS để tới đây họ tự hoàn thiện mình hơn, đó là :
Không nên huênh hoang (nổ) quá đáng, có marketting - PR thì cũng nên làm cho nó bài bản hơn!

Còn ngoài ra thì đa số ở đây chả ai phủ nhận công sức từ xưa nay của các anh ấy cả.
Bởi vậy phần nào thuộc về bên công thì tuyên dương khen thưởng ; phần nào thuộc về bên tội thì cảnh cáo khiển trách...Phân chia rạch ròi ra 2 bên đi, đừng nhập nhằng 2 trong 1, khó phán. Vậy nhé!

Bkis có chơi bẩn hay không thì tự bản thân "nó" biết rõ nhất, còn theo quan điểm của tôi thì trong khi cuộc điều tra của các CERT chưa kết thúc và chưa ai dám công bố kết quả mà Bkis đã tự tiện la làng thì Bkis sai. Bác Khoa nên lập cái pull với 2 nội dung bình chọn Bkis làm sai, không làm sai, còn công trạng thì nếu có hậu quả lớn hơn thì công coi như bỏ.

Xin chào,
Những thứ khác mọi người đã nói nhiều rồi mình chỉ xin nói 1 chút về kỹ thuật. Hiện nay các hacker trên thế giới dùng Fast flux để ẩn IP, dùng các botnet làm proxies http://en.wikipedia.org/wiki/Fast_flux. Kỹ thuật này rất đa dạng, có thể qua nhiều lớp proxies mới đến server thật. Các nhà khoa học trên thế giới đã có rất nhiều nghiên cứu về vấn đề này nhưng chưa giải quyết được triệt để, nên ông CHO mới nói "gần như không thể tìm ra nguồn gốc". Hiện nay mình chưa tin BKIS có thể tìm ra Master server, đó có lẽ cũng chỉ là 1 botnet proxy. Nếu BKIS muốn chứng minh ít nhất cũng phải dùng các thuật toán kỹ thuật đo đạc RTT rất tinh vi mới có thể tìm ra được chứ không phải chỉ dựa vào log file & mấy hình vẽ đơn giản.

Dân Trí cũng đã lên bài
http://dantri.com.vn/c119/s119-338245/dang-sau-vu-phan-cong-hacker-chan-dong-toan-cau.htm
Chỉ còn thiếu mỗi VNexpress là chưa, và có lẽ sẽ không vì là lá khách hàng sộp mà.
BKIS không nghĩ đến giới trẻ IT là sai lầm nghiêm trọng, những người sẽ là quản lý phòng IT của các công ty, việc công ty nào đó bỏ tiền ra để mua các sản phẩm từ BKIS sẽ phải thông qua ý kiến của phòng này!

Đã bảo là lấy được cả file log của người ta mà rồi lại nói là chưa tấn công khống chế server thì đúng là quá coi thường người khác.
Về cơ bản file log là 1 file chuyên biệt trên server, nó cũng là tài sản của người ta, lấy về coi đồng nghĩa với việc ăn cắp.

Xin chào,
Những thứ khác mọi người đã nói nhiều rồi mình chỉ xin nói 1 chút về kỹ thuật. Hiện nay các hacker trên thế giới dùng Fast flux để ẩn IP, dùng các botnet làm proxies http://en.wikipedia.org/wiki/Fast_flux. Kỹ thuật này rất đa dạng, có thể qua nhiều lớp proxies mới đến server thật. Các nhà khoa học trên thế giới đã có rất nhiều nghiên cứu về vấn đề này nhưng chưa giải quyết được triệt để, nên ông CHO mới nói "gần như không thể tìm ra nguồn gốc". Hiện nay mình chưa tin BKIS có thể tìm ra Master server, đó có lẽ cũng chỉ là 1 botnet proxy. Nếu BKIS muốn chứng minh ít nhất cũng phải dùng các thuật toán kỹ thuật đo đạc RTT rất tinh vi mới có thể tìm ra được chứ không phải chỉ dựa vào log file & mấy hình vẽ đơn giản.

Thì đấy, như chú conficker đấy thôi, chủ của "chú ấy" biến toàn bộ mạng botnet thành mạng chia sẻ ngang hàng P2P, thành ra các chú ấy vẫn gửi lệnh cập nhật mà có ai biết chú ấy ở chỗ mô đâu
Còn đợt DDOS này có thể kẻ tấn công cũng không quan trọng hóa vấn đề bị dò ra Server gốc ( có thể việc face ip sẽ thực hiện đối với kết nối từ máy hacker dùng đến đến Server này ), thành ra tổ chức theo kiểu Client-Server cho đơn giản. Mừ trên mạng thì tìm được cái Server cũng đâu nghĩa lý gì mấy, lại thêm chuyện mấy anh BKIS thông cáo nơi nơi ... =))

Dân Trí cũng đã lên bài
http://dantri.com.vn/c119/s119-338245/dang-sau-vu-phan-cong-hacker-chan-dong-toan-cau.htm
Chỉ còn thiếu mỗi VNexpress là chưa, và có lẽ sẽ không vì là lá khách hàng sộp mà.
BKIS không nghĩ đến giới trẻ IT là sai lầm nghiêm trọng, những người sẽ là quản lý phòng IT của các công ty, việc công ty nào đó bỏ tiền ra để mua các sản phẩm từ BKIS sẽ phải thông qua ý kiến của phòng này!

ui, bạn "thiêng" thế, vnexpress có rồi đây này
http://vnexpress.net/GL/Vi-tinh/2009/07/3BA11722/


VI TÍNHThứ hai, 20/7/2009, 19:25 GMT+7
E-mail Bản In
Tìm ra nguồn tấn công website của Hàn Quốc, Bkis có phạm luật?

Vài ngày sau khi Bkis công bố tìm ra nguồn phát động tấn công các website chính phủ Mỹ và Hàn, Trung tâm điều phối ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) lên tiếng, phương pháp khống chế 2 server mà Bkis đã thực hiện là vi phạm luật pháp VN và quốc tế.
>Bkis xác định nguồn tấn công các website Mỹ, Hàn Quốc

Vào đúng dịp kỷ niệm ngày Độc lập của Mỹ - 4/7, hàng loạt trang web của Bộ Tài chính, Bộ Giao thông vận tải, Ủy ban thương mại liên bang (Mỹ) và trang chủ của tổng thống Hàn Quốc đột nhiên bị tê liệt.

Ông Terrence Park, đầu mối liên lạc của Trung tâm điều phối ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT/CC) gửi thư kêu gọi các thành viên trợ giúp khẩn cấp.

Sau khi nhận được mẫu malware từ KrCERT, chiều 12/7, Bkis tìm ra đầu mối mã độc có địa chỉ IP tại Anh. Một ngày sau, Bkis gửi bản phân tích chi tiết đến KrCERT/CC, đồng thời đưa bài nghiên cứu kỹ thuật tóm tắt lên trang blog của Bkis.

Sự việc đột nhiên rắc rối khi ngày 16/7, VNCERT có công văn gửi Đại Học Bách khoa HN, đơn vị chủ quản của Bkis cho rằng, việc Bkis thừa nhận tấn công và chiếm quyền điều khiển hai sever (máy chủ) để tiến hành phân tích là vi phạm luật pháp Việt Nam và quốc tế.

Ngoài ra, công văn cũng có đoạn: "KrCERT không có yêu cầu chính thức nào đề nghị Bkis hỗ trợ điều tra thủ phạm như thông tin mà Bkis công bố".

Sự việc này đã làm nổ ra những tranh luận trên một số diễn đàn tin học trong nước rằng: "KrCERT nhờ hay không nhờ Bkis điều tra?" và "Việc Bkis tấn công (fought against - theo lời ông Nguyễn Minh Đức, Giám đốc an ninh mạng Bkis viết trên blog công ty) hai server của hacker có vi phạm luật?".

Đề cập đến tính pháp lý của vấn đề, Giám đốc Bkis Nguyễn Tử Quảng cho biết, Nghị định 64/2007/NĐ-CP của Chính phủ quy định: "Trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối".

Theo người đứng đầu Bkis, sự kiện website chính phủ của Hàn Quốc và Mỹ bị tấn công đã diễn ra gần 10 ngày mà chưa tìm ra nguồn phát động tấn công là một tình huống khẩn cấp có nguy cơ ảnh hưởng đến toàn cầu trong đó có Việt Nam. "Bkis bắt buộc và được phép thực hiện truy tìm nguồn phát động tấn công, rồi sau đó báo cáo cơ quan điều phối.", ông Quảng cho hay.

Trao đổi với VnExpress.net, Ông Đỗ Văn Lộc, Vụ trưởng vụ công nghệ cao - Bộ Khoa học và Công nghệ cho hay, việc tìm ra dấu vết máy chủ có địa chỉ IP ở Anh đã góp phần vào việc ngăn chặn các cuộc tấn công và biết rõ sự thật của nguồn tấn công. "Tôi theo dõi báo chí nước ngoài và không thấy có một tin nào liên quan đến chuyên Bkis vi phạm luật trong quá trình tìm ra dấu vết của cuộc tấn công"

Theo ông, một hành động vi phạm luật được xem xét khi có khởi kiện. "Tôi không rõ vì sao lại đặt ra vấn đề vi phạm luật của các chuyên gia Bkis khi không có khởi kiện. "Trong báo cáo phân tích của các chuyên gia Bkis đã sử dụng đến các thuật ngữ chuyên môn và chúng ta hãy để các chuyên gia thảo luận với nhau về các vấn đề chuyên môn", người đứng đầu Vụ Công nghệ cao nêu quan điểm.

Trước quan điểm cho rằng Nghị định mà Bkis trích dẫn có áp dụng trong trường hợp hệ thống máy tính ở nước ngoài bị tấn công hay không, ông Lộc cho hay, đây điều khoản chung, không nói rõ áp dụng cho hệ thống máy tính trong nước hay nước ngoài vì mạng Internet là mạng toàn cầu và hệ thống máy tính dùng riêng cho một tổ chức có thể được phân bố trên khắp thế giới. "Chúng ta ưu tiên và quan tâm trước hết đến các hệ thống trong nước. Chúng ta cũng tham gia các điều ước và các thỏa thuận quốc tế. Việc Bkis thực hiện, theo tôi biết, là thực hiện các thỏa thuận trong Hiệp hội ứng cứu sự cố máy tính châu Á - Thái Bình Dương".

Tuy nhiên, ông cũng cho rằng, về mặt hành chính trong nước, Bkis cần có văn bản báo cáo cho VNCERT. "Rất đáng tiếc, việc chi tiết hóa điều khoản quy định sau đó lập biên bản báo cáo cho cơ quan điều phối lại chưa quy định rõ về thời hạn", ông Lộc nói.

Lê Nguyên

Đọc hết phân 1 lẫn phần 2, dài quá suýt nữa thì toi mạng vì quá mệt ra nằm vật vạ ở đường sắt chút xíu thì ngủ say bị tàu chẹt cho bẹp dúm. Chỉ còn biết mượn truyện Kiều:

"Rằng hay thì thật là hay
Nghe ra ngậm đắng nuốt cay thế nào"

Thông tin mới trên báo kh-ds này.


BKIS không vi phạm pháp luật



Luật sư Hồng Bách. Ảnh: Nguyễn Yến.
Theo luật sư Hồng Bách (Văn phòng Luật sư Hồng Bách) thì BKIS không hề vi phạm pháp luật Việt Nam.

Trước hết, theo quy định của pháp luật: Bất cứ ai cũng có quyền phát giác, tấn công tội phạm, và đó là hành động rất đáng được biểu dương. Trong trường hợp này, BKIS là một thành viên của APCERT vì vậy BKIS có quyền tham gia điều tra, phối hợp xử lý vụ việc.

Mặt khác, BKIS có nhận được thư yêu cầu trợ giúp của phía Hàn Quốc, nên việc BKIS vào cuộc là hoàn toàn hợp pháp.

Đây là 2 server đã tham gia vào vụ tấn công hệ thống máy tính tại Mỹ và Hàn Quốc, vì thế việc BKIS khống chế 2 server này là cần thiết và đúng quy định của pháp luật về phòng chống tội phạm trên mạng.

Trong quá trình khống chế nếu BKIS tuân theo đúng quy trình thực hiện và không sử dụng mã độc mà phía Hàn Quốc cung cấp vào mục đích khác ngoài việc truy tìm thủ phạm tấn công hệ thống máy tính thì hành động của BKIS là đúng pháp luật.

Về việc BKIS công bố các thông tin khi vừa phát hiện ra 2 server tấn công hệ thống máy tính tại Mỹ Và Hàn Quốc mà không thông qua VNCERT và KrCERT, ông Bách nhấn mạnh: “Nếu BKIS hoạt động độc lập và việc điều tra vụ tấn công này không phụ thuộc vào VNCERT thì BKIS có quyền được công bố thông tin”.

Tuy nhiên, ông Bách cho rằng, BKIS nên thận trọng hơn trong việc đưa tin, tốt nhất nên để cho một đơn vị có thẩm quyền công bố thông tin.
Nguyễn Yến

http://bee.net.vn/channel/2044/2009/07/1713335/

“Bkis: công hay tội?”: Sẽ sớm có kết luận vụ việc!
Đó là cái tít mà Tuổi Trẻ đang muốn chờ câu trả lời từ phía cơ quan chức năng.

Tình hình là BKIS đang có bất lợi nếu từ phía HÀN Quốc phủ nhận việc yêu cầu do chính đại diện cá nhân là ông Cho là không đáng thuyết phục bởi vì :


Trong khi đó, ông Nguyễn Tử Quảng, giám đốc Bkis, đưa ra thông báo tương tự: “Chúng tôi đã liên lạc bằng email đến KrCERT nhưng chưa nhận được hồi âm, có lẽ do hôm nay là cuối tuần. Bkis vẫn chưa có công văn trả lời chính thức VNCERT, chúng tôi sẽ cố gắng trả lời sớm vào tuần này”.

Anh Quảng trả lời như vậy là chưa thuyết phục đối với người đọc đang tham gia thảo luận ở Topic tại DDTH. Là một tổ chức an ninh mạng như Hàn Quốc, cá nhân tôi nghĩ làm việc cả tuần chứ không có khái niệm cuối tuần hay đầu tuần

ui, bạn "thiêng" thế, vnexpress có rồi đây này
http://vnexpress.net/GL/Vi-tinh/2009/07/3BA11722/

Trước quan điểm cho rằng Nghị định mà Bkis trích dẫn có áp dụng trong trường hợp hệ thống máy tính ở nước ngoài bị tấn công hay không, ông Lộc cho hay, đây điều khoản chung, không nói rõ áp dụng cho hệ thống máy tính trong nước hay nước ngoài vì mạng Internet là mạng toàn cầu và hệ thống máy tính dùng riêng cho một tổ chức có thể được phân bố trên khắp thế giới. "Chúng ta ưu tiên và quan tâm trước hết đến các hệ thống trong nước. Chúng ta cũng tham gia các điều ước và các thỏa thuận quốc tế. Việc Bkis thực hiện, theo tôi biết, là thực hiện các thỏa thuận trong Hiệp hội ứng cứu sự cố máy tính châu Á - Thái Bình Dương".


Tôi ghét đoạn này nói hơi giống giọng bao che. Lập lờ đánh lận con đen. Đã tham gia quốc tế thì nên áp dụng luật quốc tế. Còn những điều khác thì tôi thấy là có lý có tình.

Cũng trong ví dụ của bạn. Nếu giả sử anh A là hacker, anh B là BKIS, CSGT chưa bắt được anh A vì tội vượt đèn đỏ, cũng chưa bắt anh B vì cũng vi phạm. Nhưng sau đó, anh B lại lên báo đài tung hô lên rằng mình vừa vượt đèn đỏ. Trong trường hợp này, anh vi phạm là anh phải bị phạt. Không thể bảo rằng anh phạm tội ở nước ngoài, nước ngoài không xử nên trong nước không cần xử. Nếu thế cũng chẳng cần phải đẻ ra cái cơ quan gọi là Interpol phải không bạn?

vấn đề là phải đối chiếu vào nơi phạm luật bạn à. Giờ Bkis "vượt đèn đỏ" bên Anh và trốn ở VN, tự dưng Việt Nam bắt anh Quảng và xử theo luật của Anh rồi giao cho phía Anh Quốc xử lý thì câu chuyện hài lắm ban. Bản thân bên Anh Quốc, SOCA làm gì không biết việc Bkis đã "vượt đèn đỏ" ở nước họ, nhưng họ không đề cập, không kiện cáo thì chúng ta cũng không nên làm to chuyện làm gì, vậy không khác nào vạch áo cho người xem lưng cả, :).

Tôi nghĩ SOCA có thể nghĩ Bkis nhiệt tình nhưng còn "hạn chế trong nhận thức" về pháp luật quốc tế nên họ thông cảm, không làm to chuyện, cũng có thể họ tạm gác lại để tập trung giải quyết xong vụ hacker mới tính chuyện bkis sau. Tuy vây, việc Bkis tung hô với báo chí thế giới là tôi đã "vượt đèn đỏ" ở Anh thì tôi không nghĩ SOCA sẽ cho qua chuyện một cách dễ dàng đâu, hạ hồi phân giải thôi.

Thông tin mới trên báo kh-ds này.


BKIS không vi phạm pháp luật



Luật sư Hồng Bách. Ảnh: Nguyễn Yến.
Theo luật sư Hồng Bách (Văn phòng Luật sư Hồng Bách) thì BKIS không hề vi phạm pháp luật Việt Nam.

Trước hết, theo quy định của pháp luật: Bất cứ ai cũng có quyền phát giác, tấn công tội phạm, và đó là hành động rất đáng được biểu dương. Trong trường hợp này, BKIS là một thành viên của APCERT vì vậy BKIS có quyền tham gia điều tra, phối hợp xử lý vụ việc.

Mặt khác, BKIS có nhận được thư yêu cầu trợ giúp của phía Hàn Quốc, nên việc BKIS vào cuộc là hoàn toàn hợp pháp.

Đây là 2 server đã tham gia vào vụ tấn công hệ thống máy tính tại Mỹ và Hàn Quốc, vì thế việc BKIS khống chế 2 server này là cần thiết và đúng quy định của pháp luật về phòng chống tội phạm trên mạng.

Trong quá trình khống chế nếu BKIS tuân theo đúng quy trình thực hiện và không sử dụng mã độc mà phía Hàn Quốc cung cấp vào mục đích khác ngoài việc truy tìm thủ phạm tấn công hệ thống máy tính thì hành động của BKIS là đúng pháp luật.

Về việc BKIS công bố các thông tin khi vừa phát hiện ra 2 server tấn công hệ thống máy tính tại Mỹ Và Hàn Quốc mà không thông qua VNCERT và KrCERT, ông Bách nhấn mạnh: “Nếu BKIS hoạt động độc lập và việc điều tra vụ tấn công này không phụ thuộc vào VNCERT thì BKIS có quyền được công bố thông tin”.

Tuy nhiên, ông Bách cho rằng, BKIS nên thận trọng hơn trong việc đưa tin, tốt nhất nên để cho một đơn vị có thẩm quyền công bố thông tin.
Nguyễn Yến

http://bee.net.vn/channel/2044/2009/07/1713335/


- lập lờ quá, chúng tôi đang hỏi luật quốc tế, ngài luật sư đây lôi luật Việt Nam vô để biện hộ là làm sao ?

- Chuyên của Bkis với VNCERT không bàn, nhưng Bkis không thể không tôn trọng nguyên tắc làm việc của APCERT khi hợp tác với KrCERT theo yêu cầu của phía Hàn Quốc (nếu có) trong trường hợp này, nhưng đây là việc nội bộ của APCERT, chúng ta không cần đi sâu vào làm gì.

Thông tin mới trên báo kh-ds này.


BKIS không vi phạm pháp luật



Luật sư Hồng Bách. Ảnh: Nguyễn Yến.
Theo luật sư Hồng Bách (Văn phòng Luật sư Hồng Bách) thì BKIS không hề vi phạm pháp luật Việt Nam.

Trước hết, theo quy định của pháp luật: Bất cứ ai cũng có quyền phát giác, tấn công tội phạm, và đó là hành động rất đáng được biểu dương. Trong trường hợp này, BKIS là một thành viên của APCERT vì vậy BKIS có quyền tham gia điều tra, phối hợp xử lý vụ việc.

Mặt khác, BKIS có nhận được thư yêu cầu trợ giúp của phía Hàn Quốc, nên việc BKIS vào cuộc là hoàn toàn hợp pháp.

Đây là 2 server đã tham gia vào vụ tấn công hệ thống máy tính tại Mỹ và Hàn Quốc, vì thế việc BKIS khống chế 2 server này là cần thiết và đúng quy định của pháp luật về phòng chống tội phạm trên mạng.

Trong quá trình khống chế nếu BKIS tuân theo đúng quy trình thực hiện và không sử dụng mã độc mà phía Hàn Quốc cung cấp vào mục đích khác ngoài việc truy tìm thủ phạm tấn công hệ thống máy tính thì hành động của BKIS là đúng pháp luật.

Về việc BKIS công bố các thông tin khi vừa phát hiện ra 2 server tấn công hệ thống máy tính tại Mỹ Và Hàn Quốc mà không thông qua VNCERT và KrCERT, ông Bách nhấn mạnh: “Nếu BKIS hoạt động độc lập và việc điều tra vụ tấn công này không phụ thuộc vào VNCERT thì BKIS có quyền được công bố thông tin”.

Tuy nhiên, ông Bách cho rằng, BKIS nên thận trọng hơn trong việc đưa tin, tốt nhất nên để cho một đơn vị có thẩm quyền công bố thông tin.
Nguyễn Yến

http://bee.net.vn/channel/2044/2009/07/1713335/


Đưa LUẬT SƯ ra khè mới ghê


Thế mà Tuổi Trẻ nói thế này :D Có thể kết tội Bkis được :w00t:http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=327437&ChannelID=16


Trong khi đó, luật sư Lê Thành Kính, Đoàn Luật sư TP.HCM, cho rằng Bkis đã nhầm lẫn về luật pháp: “Theo tôi, có thể Bkis đã nhầm lẫn vì nghị định 64/2007 của Chính phủ chỉ áp dụng trong phạm vi “ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước” và “nghị định này áp dụng đối với cơ quan nhà nước bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các cấp và các đơn vị sự nghiệp sử dụng ngân sách nhà nước” (Bkis không thuộc các cơ quan nhà nước trên) chứ không liên quan đến các vấn đề ngoài đất nước VN.

Nếu các đối tượng hacker nước ngoài thực hiện những hoạt động xâm nhập các website, server của Chính phủ VN thì các cơ quan có chức năng ở VN có quyền chống đỡ lại các xâm nhập này. Tuy nhiên, các hoạt động mang tính chất vượt ra ngoài biên giới VN thì chúng ta phải tuân theo quy định của luật pháp quốc tế, cam kết với các tổ chức mà VN có tham gia, biện pháp bảo vệ của các quốc gia. Việc một công ty trong nước dùng các biện pháp tấn công ngược lại một server ở nước ngoài thì không phù hợp với pháp luật VN. Một đơn vị hoạt động về an ninh mạng trong nước trước nhất phải tuân theo pháp luật VN. Thứ hai là khi được các cơ quan nhà nước có thẩm quyền cho phép mới được thực hiện các biện pháp nghiệp vụ, đồng thời phải phối hợp với các cơ quan chức năng nhà nước để xử lý tình huống. Nếu không sẽ dẫn đến việc vi phạm pháp luật VN và pháp luật quốc tế”.

Vậy là giới luật sư cũng đã vào cuộc rồi...
Vụ này coi vậy mà khó!

Theo tôi thì vời những hành động của BKIS (như họ viết trên blog của họ) thì cái tội nó s s ra đó. Nhưng vẫn có biện minh "cùn" cho nhũng hành động đó + những thông tin không nhất quán từ chính BKIS ---> càng thể hiện sự quang có chối tội, che dấu những hành động phi pháp của họ.

Tuy tội trạng rõ ràng đó, nhưng có thể với ô dù, quan hệ và cả tiền bạc nữa, họ có thể "vô tôi".

Nếu đúng như vậy, họ lại càng được đà. Lúc đó chưa biết chừng, mọi thông tin trên máy tình chúng ta hoặc những thông tin ra vào VN đều bị họ kiểm sát hết. Chắc lúc đó bỏ nét luôn mất,

ông Luật Sư Bách gì đó ko biết có phải là người của BKIS hay ko, nghe ông ấy nói chuyện khá vô lý.

- ông ấy bảo BKIS được KrCERT mời nên được phép. Cứ cho là KrCERT có mời đi nữa, thì cái thư mời của ông Hàn Quốc đâu có được dùng để xâm nhập vô nhà ông Anh Quốc?

- Cũng ông luật sư Bách nói là KrCERT mời nên BKIS mới tham gia, đoạn sau ổng lại nói là BKIS được quyền công bố vì BKIS hoạt động độc lập ??? Tiền hậu bất nhất? Kì vậy ???

Coi bài của ông Bách:


Theo luật sư Hồng Bách (Văn phòng Luật sư Hồng Bách) thì BKIS không hề vi phạm pháp luật Việt Nam.

Trước hết, theo quy định của pháp luật: Bất cứ ai cũng có quyền phát giác, tấn công tội phạm, và đó là hành động rất đáng được biểu dương. Trong trường hợp này, BKIS là một thành viên của APCERT vì vậy BKIS có quyền tham gia điều tra, phối hợp xử lý vụ việc.

Mặt khác, BKIS có nhận được thư yêu cầu trợ giúp của phía Hàn Quốc, nên việc BKIS vào cuộc là hoàn toàn hợp pháp.

Đây là 2 server đã tham gia vào vụ tấn công hệ thống máy tính tại Mỹ và Hàn Quốc, vì thế việc BKIS khống chế 2 server này là cần thiết và đúng quy định của pháp luật về phòng chống tội phạm trên mạng.

Trong quá trình khống chế nếu BKIS tuân theo đúng quy trình thực hiện và không sử dụng mã độc mà phía Hàn Quốc cung cấp vào mục đích khác ngoài việc truy tìm thủ phạm tấn công hệ thống máy tính thì hành động của BKIS là đúng pháp luật.

Về việc BKIS công bố các thông tin khi vừa phát hiện ra 2 server tấn công hệ thống máy tính tại Mỹ Và Hàn Quốc mà không thông qua VNCERT và KrCERT, ông Bách nhấn mạnh: “Nếu BKIS hoạt động độc lập và việc điều tra vụ tấn công này không phụ thuộc vào VNCERT thì BKIS có quyền được công bố thông tin”.

Tuy nhiên, ông Bách cho rằng, BKIS nên thận trọng hơn trong việc đưa tin, tốt nhất nên để cho một đơn vị có thẩm quyền công bố thông tin.
Nguyễn Yến

http://bee.net.vn/channel/2044/2009/07/1713335/


Như vậy, nếu như ông Bách nói, thì
- hoặc là BKIS ko có quyền tham gia, vì ko được KrCERT mời, nhưng có quyền công bố kết quả điều tra cá nhân. Hoặc là

- BKIS có quyền điều tra, vì được KrCERT mời, nhưng ko được quyền công bố kết quả điều tra chung.

Luật sư Hồng Bách. Ảnh: Nguyễn Yến.
Theo luật sư Hồng Bách (Văn phòng Luật sư Hồng Bách) thì BKIS không hề vi phạm pháp luật Việt Nam.

Trước hết, theo quy định của pháp luật: Bất cứ ai cũng có quyền phát giác, tấn công tội phạm, và đó là hành động rất đáng được biểu dương. Trong trường hợp này, BKIS là một thành viên của APCERT vì vậy BKIS có quyền tham gia điều tra, phối hợp xử lý vụ việc.

Mặt khác, BKIS có nhận được thư yêu cầu trợ giúp của phía Hàn Quốc, nên việc BKIS vào cuộc là hoàn toàn hợp pháp.

Đây là 2 server đã tham gia vào vụ tấn công hệ thống máy tính tại Mỹ và Hàn Quốc, vì thế việc BKIS khống chế 2 server này là cần thiết và đúng quy định của pháp luật về phòng chống tội phạm trên mạng.

chào các bạn!
nhân đọc đoạn trả lòi trên tôi xin các bạn làm "bao cong" xử dùm vụ án này:
-tôi vào rạp xem film trong lúc chen lấn một người bị móc mất bóp.tui biết chắc rằng kẻ trộm ở trong rạp (vì tui là người vào cuối cùng.giống như các sever đều được đặt trên trái đất chứ o đặt trên cung trăng).tui liền trổ tài"diệu thủ thư sinh" của mình lần lượt móc túi tất cả những người trong rạp hát để kiểm tra(tất nhiên là móc lén)cuối cùng phát hiện ra kẻ trộm.kết quả .....tui phải được thưởng vì có công phát hiện ra kẻ trộm(và móc túi tài hơn tên kia vì móc nhiều người o ai hay)....các bạn làm "bao cong" nhé

Thông báo:

Qua các tuyên bố của Tử Quảng cũng như sự công nhận của các quan chức ngành CNTT Việt Nam mấy ngày qua trên báo chí về vụ việc này,thì:

Kể từ nay trở đi bất cứ ai cũng có thể xâm nhập khống chế để điều khiển 1 con server nào đó nếu đã bị nhiễm virus mà không bị phạm pháp.

Thế nhé!

BKIS đang nổ trên VTC1, các bác vào xem gấp :D

BKIS đang nổ trên VTC1, các bác vào xem gấp :D

chết thật nhà không có truyền hình cáp
pác có xem thì nhớ tường thuật lại cho anh em

Cho dù BKIS sử dụng phương pháp nào để khống chế servers thì đó cũng là chiếm quyền điều khiển servers mà không có sự đồng ý của chủ servers hoặc không có giấy phép của tòa án. Xét theo điều 72 Luật CNTT Việt Nam thì rõ ràng BKIS đã vi phạm luật.


Tôi hỏi bạn và các bạn nào cùng có suy nghĩ là BKIS phạm luật nhé : Bạn phát hiện ra một thằng ăn cắp , bạn bẻ tay nó , khống chế nó và lôi nó ra công an , vậy bạn có phạm luật không ????? Xâm phạm quyền riêng tư hả ?????? Bạn bắt thằng ăn trộm , tội phạm thì có cần đợi sự đồng ý của nó không ?????

Em chả hiểu nhiều về hacker gì cả, nhưng thấy các bác đả bác BKIS em thấy buồn cho cái CNTT của nước VN này.

Một điều nhận thấy rõ là ở Việt Nam hiện nay khó có ai được coi là anh hùng, vì ai cũng cho mình là giỏi hơn mọi người. Nên việc Bkis hoặc kể cả ông nào đó làm một việc gì đình đám, nổi tiếng tý là bị nhiều người bủa vây.

Các bác lúc nào cũng dở luật ra: nói thật cái luật về món công nghệ cao này còn lạc hậu nhiều, tính thực tế chỉ tương đối thôi. Mà ứ áp văn bản mà nói thì kiểu gì cũng chỉ ra cái sai trừ trường hợp nothing to do - thì sẽ k bị sai, khi đó hòa cả làng.

Cá nhân em dù Bkis có vi phạm luật đi chăng nữa nhưng góp phần cho việc tìm hung thủ phá hoại như hiện nay là một đều đáng biểu dương. Nếu Bkis làm sai luật nhưng k gây ảnh hưởng nghiêm trọng mà lại giải quyết đc một khó khăn mà cả Hàn Mỹ bó tay thì công đáng ngàn lần tội.

Chúc bác Quảng lập được thêm nhiều chiến công. Chí ít vụ này bác cũng làm mở mày mở mặt cho cái CNTT ra thế giới biết đến - xứng danh hiệp sĩ. Còn về pháp luật, bác lưu ý là phải tuân thủ nghiêm chỉnh.

Tạm thời tiễn bạn dinhvietbk 7 ngày vì đã đạt đến độ cùn ko thể cùn hơn dc nữa và bắt đấu chửi đồng =DDDD.

Các bạn theo dõi các câu trả lời phóng vấn của bác Quảng lẫn 1 số bảo vệ BKIS trên này hơi lòng vòng so với chủ đề chính.

1. Vấn đề chiếm quyền điều khiển server. (Chứ ko phải vấn đề là các bạn Kr hay US có tìm ra dc con server hay ko?)

2. Vấn đề công bố thông tin public trên blog ngay khi tìm ra đươc con Master Server, tuy nhiên theo dõi 1 số phân tích kỹ thuật trên HVA và tình hình đến hiện tại thì... ko chắc con server đó Master Server =D. (Chứ ko phải vấn đề là các anh ấy có quyền được tham gia vụ này hay ko?)


Theo dõi từ đầu thì vẫn chưa thấy bác nào trên báo lẫn tại đây trả lời và phân tích phản biện đúng vấn đề trên. (Toàn kiểu anh dell1400 với dinhvietbk thì ko thể gọi là tranh luận và phân tích mà gọi là .. chửi nhau hay còn gọi là ném đá hội nghị =D). Hy vọng sẽ sớm dc xem những phản biện mang nhiều lập luận hơn?

Thông báo:

Qua các tuyên bố của Tử Quảng cũng như sự công nhận của các quan chức ngành CNTT Việt Nam mấy ngày qua trên báo chí về vụ việc này,thì:

Kể từ nay trở đi bất cứ ai cũng có thể xâm nhập khống chế để điều khiển 1 con server nào đó nếu đã bị nhiễm virus mà không bị phạm pháp.

Thế nhé!

Mình bổ sung thêm là nếu server hay website nào của chính phủ Việt Nam mà bị lợi dụng cài mã độc tấn công trang web của nước khác thì bất cứ cơ quan an ninh mạng nào trên thế giới cũng có thể chiếm quyền điều khiển mà không vi phạm luật pháp Việt Nam hay quốc tế http://ddth.com/images/icons/icon10.gif

Tôi hoàn toàn ủng hộ anh Quảng và đồng tình với bạn.
Đây là một chiến công lớn của ngành CNTT VN . Cho dù anh Quảng có hơi PR một chút thì mình vẫn phải tự hào chứ ! Còn nói về Luật , các bạn thử trả lời xem : Bạn phát hiện ra một thằng ăn cắp , bạn bẻ tay nó , khống chế nó và lôi nó ra công an , vậy bạn có phạm luật không ????? Xâm phạm quyền riêng tư hả ?????? Bạn bắt thằng ăn trộm , tội phạm thì có cần đợi sự đồng ý của nó không ?????

Nếu bạn thấy một thằng ăn trộm đang ở trong nhà một người khác mà bạn tự tiện xông vào bắt nó thì bạn cũng là thằng ăn trộm chẳng hơn chẳng kém. Lập luận thì cũng phải động não chút đi, không thể áp dụng cùn như vậy được

Tôi hỏi bạn và các bạn nào cùng có suy nghĩ là BKIS phạm luật nhé : Bạn phát hiện ra một thằng ăn cắp , bạn bẻ tay nó , khống chế nó và lôi nó ra công an , vậy bạn có phạm luật không ????? Xâm phạm quyền riêng tư hả ?????? Bạn bắt thằng ăn trộm , tội phạm thì có cần đợi sự đồng ý của nó không ?????

Bạn có lý. có lẽ nhiều bạn ở đây không biết rõ cách (kỹ thuật) mà BKIS đã sử dụng để khống chế mấy cái server kia (như kiểu bạn không biết chiêu "cầm nã thủ" để khóa tay tội phạm). Đó là lý do tại sao mọi người cứ thắc mắc tại sao BKIS có thể khống chế mà không vi phạm luật.

Tôi hoàn toàn ủng hộ anh Quảng và đồng tình với bạn.
Đây là một chiến công lớn của ngành CNTT VN . Cho dù anh Quảng có hơi PR một chút thì mình vẫn phải tự hào chứ ! Còn nói về Luật , các bạn thử trả lời xem : Bạn phát hiện ra một thằng ăn cắp , bạn bẻ tay nó , khống chế nó và lôi nó ra công an , vậy bạn có phạm luật không ????? Xâm phạm quyền riêng tư hả ?????? Bạn bắt thằng ăn trộm , tội phạm thì có cần đợi sự đồng ý của nó không ?????

Tớ thì không hiểu nổi lý do tại sao trước đây hva cũng có một cái thớt băm Quảng Béo, nay ddth có thêm cái thớt nữa (chứ không thì làm sao lòi cái công văn tổ trác). Tớ đồng ý với bạn là CNTT của VN đang ở mặt bằng chung thời kỳ đồ đồng, may ra có mấy trò mạng méo là còn lẹt đẹt theo đuôi thiên hạ - nên Quảng Béo ơ rê ka bất chợt kiểu "nói nhanh hơn nghĩ" & "cắn nhầm lưỡi" mà quên rằng "đang ngồi bồn cầu" chứ đâu phải "đang ngâm trong bồn".

Tuy nhiên bạn hơi bị đuối lý đấy, "bạn phát hiện thằng ăn cắp rồi có thể khóa tay (cấm bẻ lọi tay)lôi cổ đến CA" khác "bạn chui trộm vào nhà người ta để tìm vật chứng người ta đã ăn cắp của hàng xóm".

tớ đọc chóng mặt quá nên góp ý vài câu
- Thường thì ông bà nói "Có tật giật mình" nên trên diễn đàn này đang có rất nhiều người chột dạ
- Thứ 2 là Bkis đã tìm ra được hung thủ đâu nào chỉ mới có 1 cái server chưa ý nghĩa gì cả đúng không .
- Thứ 3 ; giá như thằng đó nó lấy một server cưa whitehouse hay đại loại vậy làm master và bkis hack vào thì chuyện gì xãy ra nhỉ. (cũng may chỉ là một server tầm phào_
- Cải nhau trên đây các cậu thấy vui không, nếu dùng lời lẽ mà chì chiết hoài không tốt. tớ cá các cậu mà gạp mặt là choảng nhau ngay giông như bọn con nít nóng tính bốc đồng hoặc bọn côn đồ đấy
- Đó là chia sẽ của mình , nếu động chạm ai cho tớ xin lỗi nhé.

Tôi hoàn toàn ủng hộ anh Quảng và đồng tình với bạn.
Đây là một chiến công lớn của ngành CNTT VN . Cho dù anh Quảng có hơi PR một chút thì mình vẫn phải tự hào chứ ! Còn nói về Luật , các bạn thử trả lời xem : Bạn phát hiện ra một thằng ăn cắp , bạn bẻ tay nó , khống chế nó và lôi nó ra công an , vậy bạn có phạm luật không ????? Xâm phạm quyền riêng tư hả ?????? Bạn bắt thằng ăn trộm , tội phạm thì có cần đợi sự đồng ý của nó không ?????
Mấy bác này quả là lý sự cùn quá thể. 1 thằng ăn trộm và 1 băng đảng ăn trôm phải khác nhau.

1 thằng: bắt tại chỗ
1 băng: theo đuôi nó để bắt nguyên ổ

Giải thích như vậy bác có hiểu không. Hay giả bộ chưa đọc và một hồi lại đưa ra lại ví dụ giống vậy...

Nếu bạn thấy một thằng ăn trộm đang ở trong nhà một người khác mà bạn tự tiện xông vào bắt nó thì bạn cũng là thằng ăn trộm chẳng hơn chẳng kém. Lập luận thì cũng phải động não chút đi, không thể áp dụng cùn như vậy được

Bạn này trí não hơi bị ít nếp nhăn . Nếu có một thằng cướp xông vào nhà người dân khống chế người trong nhà để cướp tài sản , bạn có quyền xông vào nhà đó để hạ gục nó ( không đánh chết ) và dẫn giải ra Công an không ???? Hay là bạn phải âm thầm rình nó ra rồi mới bắt , và không có quyền hô " cướp cướp " cho mọi người cùng biết ???

[=========> Bổ sung bài viết <=========]


Nếu BKIS tạo tiếng vang xấu về VN trên thế giới thì điều đó phải được đăng tải ở trên các tờ báo nước ngoài và trong nước chứ?

Báo nước ngoài search về BKIS và vụ DDOS này chỉ thấy khen, chẳng thấy chê http://news.google.com/news?pz=1&ned=us&hl=en&q=bkis.
Bạn nào tìm được phản ví dụ thì quote lên đây nhé.

Báo trong nước thì hầu hết cũng đều là ý kiến đồng tình, khen ngợi.

Vậy sao gọi là BKIS tạo tiếng vang xấu được?

OK , hay quá ! Tôi tự hào vì BKIS lắm . Ít nhất thì cũng thể hiện được khả năng của người VN chúng ta .

Theo tôi, người Hàn Quốc rất cú vì bị mất mặt . Hàn Quốc từng đổ tội sai cho Bắc Hàn làm vụ này . Hàn Quốc lại có trình độ công nghệ cao hơn VN ta nhiều nhiều lắm , vậy mà Trung tâm an ninh mạng Quốc gia của họ không tìm ra được , ta lại làm được ,như vậy tất nhiên họ sẽ phải khó chịu , và tìm mọi lý do để hạ bớt uy tín của ta , cũng là để cho họ đỡ mất mặt .

Tuy nhiên bạn hơi bị đuối lý đấy, "bạn phát hiện thằng ăn cắp rồi có thể khóa tay (cấm bẻ lọi tay)lôi cổ đến CA" khác "bạn chui trộm vào nhà người ta để tìm vật chứng người ta đã ăn cắp của hàng xóm".

Tớ nghĩ là nếu bạn lấy ví dụ như của bạn, thì cần phải sửa như sau mới đúng với thực tế được:

Ngôi nhà đó (là cái server mà BKIS bảo là khống chế được ý) đang có 1 thằng trộm đột nhập, nhưng thằng trộm này không phải là trộm bình thường (chỉ đi ăn trộm xong rồi biến) mà là loại trộm nấp vào nhà người ta, không cho chủ nhà biết, và cứ ngồi trong nhà đó bắn cung tên ra ngoài để giết hại người đi đường đi ngang qua ngôi nhà đó (nghĩa là có malware trên server, ra lệnh cho các zombie tấn công DDOS các nạn nhân)

Bạn không phải là người thường, bạn có 1 số năng lực, khả năng đặc biệt. Bạn đi qua ngôi nhà đó và phát hiện tên trộm kia cứ ngồi trong nhà bắn cung ra để hại người. Vậy bạn có sử dụng ngay các khả năng của bạn để khống chế (chứ không phải giết) tên trộm đó không? và khống chế xong thì giao tên trộm đó cho cơ quan chức năng để xử lý (BKIS báo cho Hàn Quốc, Mỹ).

Như vậy là chẳng có gì sai mà còn là hành xử trượng nghĩa, được mọi người khen ngợi hoan nghênh.

Mấy bác này quả là lý sự cùn quá thể. 1 thằng ăn trộm và 1 băng đảng ăn trôm phải khác nhau.

1 thằng: bắt tại chỗ
1 băng: theo đuôi nó để bắt nguyên ổ

Giải thích như vậy bác có hiểu không. Hay giả bộ chưa đọc và một hồi lại đưa ra lại ví dụ giống vậy...
Bạn có vẻ giỏi nghiệp vụ điều tra quá nhỉ?
Giỏi thế sao lại nghĩ được có đến vậy? Sau khoảng 10 ngày mà các bạn *CERT (mà có lẽ là được bạn tôn sùng, cho là người Việt Nam ta kém xa) đã bó tay phải cầu cứu khắp nơi. Bkis ra tay và tuyên bố đã lần ra một số dấu vết, với dấu vết ban đầu này đã phá vỡ bế tắc, điều tra mới được mở rộng ra.
Nếu tuyên bố này gây "bứt dây động rừng" thì 100% là các bạn *CERT không thể để yên và còn công nhận công lao của Bkis.
Người ngoài còn công nhận vậy mà trong nước lại soi mói nhau, thật đáng buồn thay.

Tôi hỏi bạn và các bạn nào cùng có suy nghĩ là BKIS phạm luật nhé : Bạn phát hiện ra một thằng ăn cắp , bạn bẻ tay nó , khống chế nó và lôi nó ra công an , vậy bạn có phạm luật không ????? Xâm phạm quyền riêng tư hả ?????? Bạn bắt thằng ăn trộm , tội phạm thì có cần đợi sự đồng ý của nó không ?????
"Thằng ăn cắp" nào? Bạn đã tóm được nó và cả "ông chủ" của nó chưa?
Bạn tóm được nó sao ko báo công an (VNCert) mà lại đưa ra báo chí làm cho "bạn nó" và "ông chủ" của nó biết trước cả CA?
Đến khi CA hỏi thì lại bảo đang điều tra, chưa có thời gian báo cáo
Đầu có ngắn thì ngắn vừa thôi.

Các Mod nên tiễn đưa mấy ông bạn lý sự cùn đi nào

Tớ nghĩ là nếu bạn lấy ví dụ như của bạn, thì cần phải sửa như sau mới đúng với thực tế được:

Ngôi nhà đó (là cái server mà BKIS bảo là khống chế được ý) đang có 1 thằng trộm đột nhập, nhưng thằng trộm này không phải là trộm bình thường (chỉ đi ăn trộm xong rồi biến) mà là loại trộm nấp vào nhà người ta, không cho chủ nhà biết, và cứ ngồi trong nhà đó bắn cung tên ra ngoài để giết hại người đi đường đi ngang qua ngôi nhà đó (nghĩa là có malware trên server, ra lệnh cho các zombie tấn công DDOS các nạn nhân)

Bạn không phải là người thường, bạn có 1 số năng lực, khả năng đặc biệt. Bạn đi qua ngôi nhà đó và phát hiện tên trộm kia cứ ngồi trong nhà bắn cung ra để hại người. Vậy bạn có sử dụng ngay các khả năng của bạn để khống chế (chứ không phải giết) tên trộm đó không? và khống chế xong thì giao tên trộm đó cho cơ quan chức năng để xử lý (BKIS báo cho Hàn Quốc, Mỹ).

Như vậy là chẳng có gì sai mà còn là hành xử trượng nghĩa, được mọi người khen ngợi hoan nghênh.

Sao lúc đó có chủ nhà ở nhà, bạn không tìm cách báo cho người ta để phối hợp bắt tên trộm, mà lại phá khóa nhà người ta vô làm gì? Ai biết được trong nhà có tài sản gì quý giá nè http://ddth.com/images/icons/icon14.gif. Liệu có chủ nhà nào đồng ý cho cả tên trộm và người bắt trộm đột nhập bất hợp pháp vô nhà mình?

Bây giờ là 11h30 đêm rồi, em thấy tính chiến đấu của các bác trong thớt này cao quá. Khâm phục tinh thần của các bác.

(mạn phép bác Vi Khoa) DDTH - là một diễn đàn uy tín về CNTT ở Việt Nam, do vậy, các bác khi tham gia vào đây nên có tư tưởng phân tích, đóng góp chung để cùng tháo gỡ, chứ không nên lợi dụng để châm ngòi, công kích nhau thì chẳng ai hay ho gì.

Về vấn đề các bác đang tranh luận, góc độ cá nhân em chúng ta thử quan tâm tới ba phần:

1. Phân tích về mặt kỹ thuật các công việc mà BKIS đã thực hiện để tìm ra thủ phạm (góc độ chuyên môn) - xem có thực sự xuất xắc như báo chí ca ngợi không.

2. Nếu bạn không ủng hộ cách làm của BKIS, trong trường hợp này bạn sẽ thực hiện như thế nào cho phù hợp (vừa là góc độ chuyên môn, vừa là góc độ luật pháp)

Chúng ta có quyền bàn luận thoải mái, cởi mở vấn đề 1 và 2 nêu trên, vì nó liên quan đến góc độ chuyên môn, kỹ thuật.

3. Việc phân tích vấn đề liên quan đến luật pháp: xin thưa với các bác đã có cơ quan luật pháp của Việt Nam và quốc tế rồi, các bác không thể làm thay họ được. Các bác cứ qui kết người này, ông kia kia sai luật là k ổn đâu. Kể cả vấn đề mang nội dung văn bản nhạy cảm mới công bố kia ra để bàn tán về pháp luật theo em là không nên, đặc biệt nhà chức trách cũng đang quan ngại về văn bản này tại sao lại được công khai lên mạng bàn tán một cách nhanh thế.

Xin mạn phép có đôi lời tham gia với các bác.

1 số bạn hay nói chung là 1 nhóm người trong xã hội đã và đang bị nhiễm các cách hành xử theo kiểu luật rừng hiện nay nên đã nhầm lẫn trong cách hành xử đối với tội phạm . Ở các nước văn minh , khi cảnh sát muốn xâm nhập vào nhà riêng , tổ chức đều phải có trát của toà án cho phép , nếu không thực hiện đúng theo luật này thì mọi chứng cớ , hành vi tội phạm của hung thủ đều không được chấp nhận tại toà án và cơ quan thi hành công vụ có thể bị kiện ngược lại vì vi phạm pháp luật.
Nói tóm lại , việc thi hành công lý không thể được thực hiện như kiểu luật rừng ,theo kiểu cao bồi Texas ở thời kỳ miền tây hoang dã, chỉ cần mang đến kết quả mà không nghĩ đến các vi phạm khác .
Không ai có thể đứng trên pháp luật.
Người ta không thể biện minh cho hành động truy bắt tội phạm của mình bằng 1 hành động vi phạm pháp luật khác.

Tôi hỏi bạn và các bạn nào cùng có suy nghĩ là BKIS phạm luật nhé : Bạn phát hiện ra một thằng ăn cắp , bạn bẻ tay nó , khống chế nó và lôi nó ra công an , vậy bạn có phạm luật không ????? Xâm phạm quyền riêng tư hả ?????? Bạn bắt thằng ăn trộm , tội phạm thì có cần đợi sự đồng ý của nó không ?????
Bạn đang lấn sân rồi nhé. 2 phạm vi đó là khác nhau, ví dụ của bạn khập khiễng.

Tôi hỏi bạn và các bạn nào cùng có suy nghĩ là BKIS phạm luật nhé : Bạn phát hiện ra một thằng ăn cắp , bạn bẻ tay nó , khống chế nó và lôi nó ra công an , vậy bạn có phạm luật không ????? Xâm phạm quyền riêng tư hả ?????? Bạn bắt thằng ăn trộm , tội phạm thì có cần đợi sự đồng ý của nó không ?????

Bạn ví dụ trật chìa như vầy dễ lên đảo lắm nhé.
Mình trả lời chung cho những ai có ý định đặt ví dụ tương tự:
Như bạn nói là bạn bẻ tay nó và lôi được nó ra công an. ở đây:
- Thằng ăn cắp vẫn chưa bị lôi ra công an.
- Bạn đang bẻ tay thằng ăn cắp người nước ngoài ở nước ngoài.
- Bạn đột nhập vào nhà người khác để lấy bằng chứng ăn trộm, bạn có chắc rằng ngôi nhà bạn đột nhập là nhà của thằng ăn trộm? Trong trường hợp này, tòa án có 1 cái gọi là 'lệnh khám xét'. Bạn có lệnh đó chưa?

1 số bạn hay nói chung là 1 nhóm người trong xã hội đã và đang bị nhiễm các cách hành xử theo kiểu luật rừng hiện nay nên đã nhầm lẫn trong cách hành xử đối với tội phạm . Ở các nước văn minh , khi cảnh sát muốn xâm nhập vào nhà riêng , tổ chức đều phải có trát của toà án cho phép , nếu không thực hiện đúng theo luật này thì mọi chứng cớ , hành vi tội phạm của hung thủ đều không được chấp nhận tại toà án và cơ quan thi hành công vụ có thể bị kiện ngược lại vì vi phạm pháp luật.
Nói tóm lại , việc thi hành công lý không thể được thực hiện như kiểu luật rừng ,theo kiểu cao bồi Texas ở thời kỳ miền tây hoang dã, chỉ cần mang đến kết quả mà không nghĩ đến các vi phạm khác .
Không ai có thể đứng trên pháp luật.
Người ta không thể biện minh cho hành động truy bắt tội phạm của mình bằng 1 hành động vi phạm pháp luật khác.

Thế nếu có thằng cướp đang nổ súng đì dùng trong nhà , giết người trong nhà loạn xạ thì có cần trát không nhỉ , hay đợi trình ký trat rồi ngày mai mới đi bắt nó ???? Cứ tưởng mình hiểu luật lắm hả . . . .và bạn tự nhận là văn minh hơn người khác à ?? Bạn văn minh quá xá !!!! Than ôi !!!!!!!!!!

STOP hết các đồng chí, đừng sa đà bàn luận NHẢM NHÍ nữa, quay lại vấn đề chính đi, dề nghị dọn dẹp hết sang box thư giãn hay bên lề đi nhé

Sao lúc đó có chủ nhà ở nhà, bạn không tìm cách báo cho người ta để phối hợp bắt tên trộm, mà lại phá khóa nhà người ta vô làm gì? Ai biết được trong nhà có tài sản gì quý giá nè http://ddth.com/images/icons/icon14.gif. Liệu có chủ nhà nào đồng ý cho cả tên trộm và người bắt trộm đột nhập bất hợp pháp vô nhà mình?

chủ nhà đi ngủ hoặc đi vắng rồi, vả lại, có ông chủ nhà đó cũng chẳng khống chế được tên trộm (do chủ nhà không có năng lực, không hiểu biết ~ chủ nhà già cả không có sức khống chế tên trộm)

chủ nhà đi ngủ hoặc đi vắng rồi, vả lại, có ông chủ nhà đó cũng chẳng khống chế được tên trộm (do chủ nhà không có năng lực, không hiểu biết ~ chủ nhà già cả không có sức khống chế tên trộm)

vấn đề hiện nay TRỘM là ai, BKIS bắt được chưa? đừng nói nhảm nữa, chủ nhà không bắt được thì BKIS bắt được chắc?

1 số bạn hay nói chung là 1 nhóm người trong xã hội đã và đang bị nhiễm các cách hành xử theo kiểu luật rừng hiện nay nên đã nhầm lẫn trong cách hành xử đối với tội phạm . Ở các nước văn minh , khi cảnh sát muốn xâm nhập vào nhà riêng , tổ chức đều phải có trát của toà án cho phép , nếu không thực hiện đúng theo luật này thì mọi chứng cớ , hành vi tội phạm của hung thủ đều không được chấp nhận tại toà án và cơ quan thi hành công vụ có thể bị kiện ngược lại vì vi phạm pháp luật.
Nói tóm lại , việc thi hành công lý không thể được thực hiện như kiểu luật rừng ,theo kiểu cao bồi Texas ở thời kỳ miền tây hoang dã, chỉ cần mang đến kết quả mà không nghĩ đến các vi phạm khác .
Không ai có thể đứng trên pháp luật.
Người ta không thể biện minh cho hành động truy bắt tội phạm của mình bằng 1 hành động vi phạm pháp luật khác.

Vấn đề là có 2 loại tội phạm khác nhau:
1. "hiền" - có thể từ từ xin trát để bắt
2. "ác" - đợi xin xong trát thì nó giết cả làng rồi.

Vậy tùy tình huống xử lý cho phù hợp

Càng ngày càng lan man quá nhỉ, nhưng dù sao cũng tốt vì mọi người dần dần nhận ra Bkis chẳng có tội gì cả. Bạn Quảng đúng là có bản lĩnh của một người lãnh đạo vì dám đứng ra một mình chịu búa rìu dư luận, mặc dù bạn í chắc chẳng tham gia công tác kỹ thuật một chút nào
Hầu chuyện ông thuốc 1 phát: ông nói Tử Quảng chẳng tham gia công tác kỹ thuật thế mà báo CAND nó lại vu khống cho ổng như thế này:

Đến ngày 12/7, Bkis chính thức nhận được mẫu virus do phía Hàn Quốc gửi đến. Ngay lập tức, Đội đặc nhiệm phản ứng nhanh Taskforce gồm 10 người đã vào cuộc, do Giám đốc BKAV Nguyễn Tử Quảng làm "tổng chỉ huy". Qua phân tích, loại virus là biến thể mới nhất của chủng virus có tên My Doom, xuất hiện từ năm 2004. Đặc điểm của virus này là phát tán qua email, còn gọi là "sâu máy tính".
Vậy ổng làm gì nhỉ ?

Vấn đề là có 2 loại tội phạm khác nhau:
1. "hiền" - có thể từ từ xin trát để bắt
2. "ác" - đợi xin xong trát thì nó giết cả làng rồi.

Vậy tùy tình huống xử lý cho phù hợp

Hiền hay ác cũng phải Công An mới có quyền bắt, Thằng phó dân phòng đòi đi bắt không cần trát nhưng trộm nó chạy bố mất rồi ông ạ, nhảm quá đáng

[=========> Bổ sung bài viết <=========]


Hầu chuyện ông thuốc 1 phát: ông nói Tử Quảng chẳng tham gia công tác kỹ thuật thế mà báo CAND nó lại vu khống cho ổng như thế này:

Vậy ổng làm gì nhỉ ?

Có thể cậu Quảng không biết kỹ thuật nên vụ này đứng quanh vỗ tay động viên thôi, hoặc thuốc nước điếu đóm ???

Các bạn đang tham gia ở phần 2 câu chuyện BKIS " Công Và Tội" cần chú ý bám sát vào chủ đề đang thảo luận. Tránh trình trạng đã kích theo " Bầy Đàn " và lùa về 1 phía mà quên đi đến vấn đề chính.

1/ Công đó là gốc độ từ phía báo chí đã ca và là 1 tiếng vang lớn đối với ngành CNTT ở VN
2/Tội sẽ có 2 nhánh:

+ Nếu Bkis sai thì BKIS sẽ sụp đổ công sức xuống sông xuống biển của cả một tập thể chứ không phải 1 mình cá nhân A. Quảng. Kéo theo đó là sự suy giảm uy tín của các doanh nghiệp cùng lĩnh vực khi muốn vưon ra tầm xa ngoài thềm lục địa Việt Nam. Vậy Bkis có dám đứng lên nói điều này để mọi người đang tham gia thảo luận ở đây được yên tâm phần nào không?

+ Nếu Bkis đúng là không vi phạm luật quốc tế thì Bkis phải tự xem lại cách làm việc thiếu chuyên nghiệp khi " hồn nhiên và vô tư" công khai thành quả mình đã cùng với tập thể Bkis làm mà quên cả ăn luôn . Nhỡ các anh, các chú trong đội hình tham gia đó có bị làm sao về vấn đề sức khỏe thì ai chịu trách nhiệm đây...Hay lại được mùa bội thu kể công PR trước báo chí ????? ---> Thiếu chuyên nghiệp trầm trọng của một nhà lãnh đạo có tầm nhìn xa và thiếu nhạy cảm trong vấn đề luật quốc tế. Bkis nên có một phòng pháp chế tại thời điểm này là phù hợp ( nếu có rồi thì bỏ qua vế này nhé )

+ Hiện tại các bên liên quan vẫn chưa ai lên tiếng vấn đề xung quanh BKIS,các cấp lãnh đạo vẫn chưa vội phán xét tính tại thời điểm này. Tất cả chỉ là giả định, Luật sư tham gia tư vấn luật trong vấn đề này đã có sự đối lập ( Các bạn tìm đọc trên Bee.net.vn và TuoiTre nhé)

các bác cứ trộm trộm cướp cướp mãi kéo đến hơn 3 trang rồi chả đi đến đâu cả.

Thằng ăn trộm vẫn còn ở ngoài kia kìa. Bkis chưa có công bắt bớ gì đâu, nhé.

Chỉ giỏi khiến nó cao chạy xa bay thôi

Mod làm ơn tiễn mấy 'bạn thông minh' của bkiser ra đảo dùm cái, lý sự cùn hết chỗ nói, bao nhiêu người đã nói là không tự mình tạo ra VD khập khiễng rồi, thế mà mấy 'người' đó vẫn quote bài ng ta và VD 'ngu' tiếp...

Mọi người đừng reply mấy cái VD nữa, please...

Chúc vui!

chủ nhà đi ngủ hoặc đi vắng rồi, vả lại, có ông chủ nhà đó cũng chẳng khống chế được tên trộm (do chủ nhà không có năng lực, không hiểu biết ~ chủ nhà già cả không có sức khống chế tên trộm)

Cứ cho là chủ nhà không có khả năng bắt trộm, nhưng người ta vẫn có thể báo công an là thứ nhất. Thứ hai là nếu BKIS là người bắt tên trộm, thì trên thực tế, BKIS chưa hề bắt được tên trộm nguy hiểm này, BKIS chỉ biết là "à, nó mặc áo màu gì, quần màu gì, tóc ngắn hay tóc dài". Sau đó BKIS mở họp báo nói là nhờ BKIS phá ổ khóa đột nhập nhà người khác nên đã thấy tên trộm với những đặc điểm như trên, chứ BKIS không có báo cho cơ quan chức năng vì chưa có thời gian.

Xin lỗi bà con tui chửi bậy.

Dẹp bố nó mấy cái vụ so sánh tào lao đi. BKIS chưa bắt được thằng ăn cắp nào đâu, nhé.

Các bác ủng-hộ-BKIS trả lời giúp phe-ko-ủng-hộ 1 câu thôi thì mọi chuyện sáng tỏ:

BKIS khống chế SERVER bằng cách nào mà ko cần xâm nhập?

Còn đã là xâm nhập thì nếu ko có sự cho phép của chủ quản hay chính phủ sở tại thì đều là trái phép hết.

Thế thôi.

Thực sự ở đây tôi kô hiểu luật pháp nước ngoài ( Ăng lê chẳng hạn ), nên thật ra so sánh tên ăn trộm với hacker cũng để xới lên cho vui thôi . Nhưng tôi thiết nghĩ luật pháp nước ngoài sẽ có cơ chế để cho phép các Trung tâm an ninh mạng truy tìm dấu vết của sự phát tán virus . Thật ra tôi kô nghĩ chỉ có mình BKIS làm cái việc bị cho là xâm nhập này , mà các Công ty về an ninh mạng khác chắc cũng đã từng làm nhiều rồi , họ mới lần ra virus hoặc tội phạm mạng được. Nếu sau này cơ quan luật pháp xác định chính xác đó là 2 sever của tội phạm thì BKIS không hề có vấn đề gì về luật pháp mà còn được xem là có công lớn trong việc này . Ngoài ra , về tình cảm cá nhân , tôi rất ngưỡng mộ BKIS .

Thực sự ở đây tôi kô hiểu luật pháp nước ngoài ( Ăng lê chẳng hạn ), nên thật ra so sánh tên ăn trộm với hacker cũng để xới lên cho vui thôi . Nhưng tôi thiết nghĩ luật pháp nước ngoài sẽ có cơ chế để cho phép các Trung tâm an ninh mạng truy tìm dấu vết của sự phát tán virus . Thật ra tôi kô nghĩ chỉ có mình BKIS làm cái việc bị cho là xâm nhập này , mà các Công ty về an ninh mạng khác chắc cũng đã từng làm nhiều rồi , ọ mới lần ra virus hoặc tội phạm mạng được. Nếu sau này cơ quan luật pháp xác định chính xác đó là 2 sever của tội phạm thì BKIS không hề có vấn đề gì về luật phápmà còn được xem là có công lớn trong việc này . Ngoài ra , về tình cảm cá nhân , tôi rất ngưỡng mộ BKIS .

Công BKIS to thật , đọc lại đi nhé

http://www.ddth.com/showpost.php?p=1749238&postcount=233

Việc thâm nhập của BKIS tuy vi phạm nhưng đúng là có thể châm trước được, vấn đề là BKIS KHÔNG CHỊU NHẬN LÀ MÌNH VI PHẠM để được CHÂM TRƯỚC

Còn những ai vẫn coi việc ĐỘT NHẬP SERVER NHIẾM ĐỘC là không vi phạm thì SMOD TIẾN LUÔN ĐI NHÉ,


Việc BKIS đột nhập mà không vi phạm pháp luật, được cổ vũ... Có thể khiến các tổ chức khác bắt chước tự ý thâm nhập vào mọi hệ thống bị nhiễm độc mà không sợ phạm pháp, thậm chí mọi hệ thống từ thấp lên cao, bất kỳ quốc gia nào

“Rất khó để có thể chứng minh hay quy kết rằng Bắc Triều Tiên liên quan đến các vụ tấn công này”, Amrit Williams, Giám đốc công nghệ của hãng bảo mật máy tính Bigfix phát biểu, “Không có bất kỳ một biên giới địa lý nào trên Internet và tôi cũng có thể “vươn ra và chạm vào” mọi người ở bất kỳ đâu trên thế giới”.

Trích từ quantrimang.com

Một câu nói có thể làm cho BKIS khốn đốn .Người ta còn sợ luật quốc tế ,còn dân VN mình thì chơi kiểu đánh bomb tự sát




“Cho đến nay chúng tôi vẫn đang trong quá trình tìm kiếm hướng tấn công đầu tiên”, Jose Nazario, một chuyên gia nghiên cứu về bảo mật mạng lưới của hãng Arbor Networks tiết lộ.

Sự bế tắc trong quá trình điều tra đã khiến không ít chuyên gia bảo mật nhớ lại vụ việc tương tự xảy ra hồi năm 2000 với việc hàng loạt các website danh tiếng nhất thời bấy giờ như Yahoo!, Amazon.com, Dell, ETrade, eBay và CNN đã bị đánh sập.

Thủ phạm của vụ này là một cậu bé mới 15 tuổi người Canada và chỉ bị phát hiện sau khi tự lên mạng khoe khoang về “chiến công” của mình trên một diễn đàn trực tuyến.



Pác Quảng nhà ta vượt mặt tất cả để lập "chiến công hiển hách " cho dân IT Việt Nam .Khâm phục khâm phục

Pác nào trước khi đánh giá về trình độ người khác thì hãy xem lại mình có đủ kiến thức để đánh giá người khác không

Tôi thật không hiểu sao các bạn lại không nhấn mạnh đến khía cạnh công nghệ, trình độ của BKIS mà các bạn lại cứ đi xoáy vào khía cạnh Quyền này quyền nọ . . . Cứ cho giả sử BKIS làm sai , sao cứ phải bới móc mãi thế ; còn trình độ , đẳng cấp về công nghệ của BKIS thể hiện qua việc này như thế nào sao mọi người không bàn luận thêm ??? Nên nhớ BKIS là đơn vị đầu tiên trên thế giới phát hiện ra nguồn gốc phát tán mã độc , trước cả Mỹ và các nước phát triển khác , đáng tự hào lắm chứ !

Bạn lấy căn cứ ở đâu mà bạn dám tuyên bố hùng hồn là "BKIS là đơn vị đầu tiên trên thế giới phát hiện ra nguồn gốc phát tán mã độc". Người ta phát hiện ra nhưng họ chưa công bố thì sao? Bạn nên đổi nó thành: "BKIS là đơn vị đầu tiên trên thế giới công bố nguồn gốc phát tán mã độc ra công chúng" sẽ chính xác 100% và không ai có thể bàn cãi điều này.

Trích từ quantrimang.com

Một câu nói có thể làm cho BKIS khốn đốn .Người ta còn sợ luật quốc tế ,còn dân VN mình thì chơi kiểu đánh bomb tự sát

Pác Quảng nhà ta vượt mặt tất cả để lập "chiến công hiển hách " cho dân IT Việt Nam .Khâm phục khâm phục

Pác nào trước khi đánh giá về trình độ người khác thì hãy xem lại mình có đủ kiến thức để đánh giá người khác không

Đã nói không ai phủ nhận BKIS có công lớn, Tuy nhiên chiến công này chưa phải là hoàn hảo vì chưa bắt được thủ phạm lại dính vào nhiều lỗi lớn không kém, thậm chí tội to hơn công

[=========> Bổ sung bài viết <=========]


Mình không thể đọc hết comment, nó giống như là vô tận, nhưng muốn gửi 1 câu nói thế này: Không cần thiết phải PR làm gì, hữu xạ tự nhiên huơng và bkav.com.vn đã viết trên website của mình: "HÃY LÀM VIỆC HẾT MÌNH NHỮNG ĐIỀU TỐT ĐẸP SẼ ĐẾN VỚI BẠN!" :D

Mình không nghĩ điều này hoàn toàn đúng, chỉ đúng 99% thôi vì PR cũng tốt chứ, không ai nghĩ PR là xấu cả.

Còn câu nói của BKIS : Hãy làm việc hết mình... thì rất chính xác, Phục tài ông Quảng có câu slogan rất hay. NHƯNG LÀM VIỆC HẾT MÌNH VÀ PHẢI CÓ TÂM/ ĐỨC NỮA, CHỨ CHỈ VIỆC KHÔNG CÓ TÂM/ ĐỨC THÌ TỐT ĐẸP CHƯA CHẮC ĐẾN MÃI VỚI BẠN ĐÂU

Vui một tí! Tổng hợp thông tin từ các báo, từ blog tiếng Anh của Bkis và từ một số comment của anh em, sắp xếp lại trình tự sự việc thế này có được ko các bác?

- Có 1 bọn (hackers) ném đá vào nhà mấy bác Korea, USA... trong khu chung cư
- Bác Korea (cụ thể là KrCert) chịu ko thấu, kêu trời, gửi mail cầu cứu mấy bác, mấy chú khác trong khu chung cư, trong đó có VnCert (đồng gửi Bkis)
- Chú Bkis ra tay = trình độ & biện pháp nghiệp vụ phát hiện ra chú ném đá nằm trong rất nhìu nhà nhưng thằng đầu to (master) thì đang nấp trong nhà bác UK (dưng mà bác UK ko hề hay bít gì).
- Thế là chú Bkis (lại bằng biện pháp nghiệp vụ) tiến vào nhà bác UK và úynh thằng master của bọn ném đá, đuổi nó ra khỏi nhà (tình hình là lộn xộn như vậy nhưng bác UK hình như ngủ say quá nên vẫn chẳng hay biết j).
- Thằng master này sợ quá dẫn theo cả bọn đàn em chạy luôn, thế là stop vụ ném đá (trên đường chạy nó lại còn lộ ra dấu vết để về sau các bác ấy tìm được đến chỗ của thằng God master luôn!)
- Tiếp theo chú Bkis thông báo cho bác KrCert là tớ đã giải quyết giúp các cậu vụ ném đá (đuổi đi thôi chứ ko bắt được, bắt được bọn này thì chú Bkis đã chẳng ở nhà chung cư nữa mà ở biệt thự từ lâu rùi).
- Tiếp theo nữa chú Bkis ca khúc khải hoàn, cả khu chưng cư nức tiếng chú Bkis đuổi đánh bọn ném đá.
- Sự việc chưa dừng ở đây vì bác KrCert ngượng (KrCert tính về level thì cao hơn mà lại đi nhờ thằng đàn em Bkis nhà nghèo mà), thế nên có cái vụ đòi đính chính là "tao đâu có nhờ mày, chỉ kêu chung chung như thế, thằng nào giúp đc thì tốt".
- Rùi thêm nữa, ngại mang tiếng với bác UK là vì bắt kẻ phá hoại mà lại nhờ người khác (Bkis) "xâm nhập" vào nhà bác UK (cái này thì vi phạm luật chung cư rùi, vì không phải nhà người ta ai muốn vào thì vào, muốn ra thì ra - chí ít là phải xin phép, phải đc sự đồng ý). Nên đổ vấy tiếng xấu cho chú Bkis là chú tìm, chú đuổi, chú đánh... thằng ném đá chứ chú "xâm nhập" tư dinh bất hợp pháp là lỗi của chú, bác KrCert ko hề xúi bẩy, cũng ko liên quan (nếu xảy đến trường hợp bác UK giận lên vì cái vụ vào nhà mà ko xin phép - dù vào với mục đích tốt)

Tóm lại, trong vòng sự việc kể trên, việc to tát là tìm ra và xử lý bọn ném đá có thể coi là thành công tốt đẹp.

Còn mắc lại 1 vấn đề, ấy là comment của anh Vi Khoa:



Tôi cũng xin có vài ý kiến như sau:

Cho dù BKIS sử dụng phương pháp nào để khống chế servers thì đó cũng là chiếm quyền điều khiển servers mà không có sự đồng ý của chủ servers hoặc không có giấy phép của tòa án. Xét theo điều 72 Luật CNTT Việt Nam thì rõ ràng BKIS đã vi phạm luật.

Hiện giờ vẫn chưa thấy BKIS nói rõ 2 servers đó ở đâu, nếu ở EU hoặc US thì chắc là cũng vi phạm luật của các nước đó. Ví dụ như ở UK thì có CMA (Computer Misuse Act, 1990 (http://www.opsi.gov.uk/ACTS/acts1990/ukpga_19900018_en_1#pb1-l1g1)), ở US thì có Computer Hacking and Unauthorized Access Laws (http://www.ncsl.org/IssuesResearch/TelecommunicationsInformationTechnology/ComputerHackingandUnauthorizedAccessLaws/tabid/13494/Default.aspx)

Như vậy, có 2 trường hợp xảy ra:

1/ BKIS nói mình kiểm soát được 2 servers trên blog là sự thật -> vi phạm luật.

2/ Việc nói rằng mình kiểm soát được 2 servers trên blog chỉ là "trò đùa" -> tự các bạn nhận xét nhé.

Cho dù KrCERT và cả US-CERT hay APCERT có đề nghị các thành viên APCERT (trong đó có BKIS) giúp đỡ truy tìm nguồn gốc các cuộc tấn công thì cũng không có nghĩa là BKIS CÓ QUYỀN chiếm quyền điều khiển các servers ở nước ngoài.

Có nhiều phương pháp để truy tìm, nếu phát hiện ra servers và muốn kiểm tra log thì hoặc là phải liên hệ với chủ servers để xin phép, hoặc là phải có sự đồng ý của các cơ quan pháp luật tại quốc gia mà servers đó đang đặt. BKIS không thể tự ý chiếm quyền điều khiển các servers như vậy để xem log được.



Phản biện:

Luật Việt Nam:

(Trích Luật CNTT Việt Nam/ Chương IV/ Mục 4)
Điều 72. Bảo đảm an toàn, bí mật thông tin
1. Thông tin riêng hợp pháp của tổ chức, cá nhân trao đổi, truyền đưa, lưu trữ trên môi trường mạng được bảo đảm bí mật theo quy định của pháp luật.

2. Tổ chức, cá nhân không được thực hiện một trong những hành vi sau đây:

a) Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của tổ chức, cá nhân khác trên môi trường mạng;

b) Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin;

c) Ngăn chặn việc truy nhập đến thông tin của tổ chức, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép;

d) Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của tổ chức, cá nhân khác trên môi trường mạng;

đ) Hành vi khác làm mất an toàn, bí mật thông tin của tổ chức, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.

"Gained control" - dịch nghĩa: giành được quyền kiểm soát (từ tay hacker - vì trước đó thì hacker đang kiểm soát cái server này chứ ko phải bác chủ nhà UK - mặc dù server thì đúng là tài sản sở hữu của bác ấy) Nhiều người hơi nhầm lẫn khi phiên dịch "gained control" thành "chiếm quyền kiểm soát/ điều khiển". Về mặt từ ngữ thì "gain control" khác hoàn toàn với "take control" và lại càng khác với "occupy" nhé bà con! Theo cách thức mà Bkis trình bày để có thể "gained control" - thì hành động của họ không nằm trong danh mục các khoản thuộc điều 72 Luật CNTT.

- Luật Quốc tế (cụ thể là ở UK - vì Bkis xác nhận tìm ra máy chủ đặt ở UK) - CMA (Computer Misuse Act, 1990 (http://www.opsi.gov.uk/ACTS/acts1990/ukpga_19900018_en_1#pb1-l1g1))

CMA - Computer Misuse Act, trong đó điều 1,2, 3 tuần tự là:

1. Unauthorised access to computer material.
2. Unauthorised access with intent to commit or facilitate commission of further offences.
3. Unauthorised modification of computer material.

Quy định về các hình thức xâm nhập và can thiệp bất hợp pháp vào máy tính/ máy chủ của người khác.

Vì toàn bộ nội dung CMA là bằng tiếng Anh, nên quote vào đây mọi người khó theo dõi cũng như dễ làm loãng chủ đề, đề nghị bạn nào thực sự quan tâm thì nhấn vào link ở trên để tham khảo.

Với những nội dung và quy định như trên, hành động của Bkis - theo cách họ diễn giải tại blog tiếng Anh: http://blog.bkis.com/?p=718 thì cũng tương tự như trên, cách thức mà Bkis trình bày để có thể "gained control" - hành động của họ không nằm trong danh mục các khoản thuộc điều 1,2,3 của CMA.

Kết luận: Bkis không phạm luật. Và theo cách diễn giải ở trên, Bkis không "tự ý chiếm quyền điều khiển server" mà là "giành lại quyền điều khiển server từ tay hacker". Xin hết!

Kết luận: Bkis không phạm luật. Và theo cách diễn giải ở trên, Bkis không "tự ý chiếm quyền điều khiển server" mà là "giành lại quyền điều khiển server từ tay hacker". Xin hết!

Tất cả chúng ta đang chờ từ phía ban trọng tài ( Luật sư tư vấn luật ) và các nhà quản lý CNTT ở Việt Nam ( Bộ TTTT). Xin cảm ơn chia sẻ của bạn, Trên phương diện báo chí thị tất cả muốn vụ này càng chấm dứt nhanh càng tốt, để còn tập trung vào làm việc khác. Các báo đã khen công rồi...bỗng dưng có cái công văn VNCERT...Tất cả chỉ là giả định

Tranh luận với chã (@Tathy) thật là mệt. Mong bác Arkain xoá bớt các tranh luận không mang tính đọc/hiểu/suy luận.

Tôi xin được nhắc lại
+Bkis là một đơn vị sự nghiệp của Nhà nước, chịu sự điều chỉnh của Nghị định 64 và Luật CNTT.
+Bkis là một đơn vị an ninh mạng, có quyền hành động khẩn cấp khi có sự cố liên quan đến an ninh mạng quốc gia.
+Bkis đã tiến hành phân tích virus khi có sự yêu cầu của KrCert. Việc khống chế server chứa virus nằm trong tình huống khẩn cấp và có lợi chung cho lợi ích cộng đồng. Phía KrCert và các chủ server chưa đặt vấn đề về tính hợp pháp hay không hợp pháp này


Tôi không cần biết BKIS là cơ quan nào, ở đâu, là cái gì ... nhưng tôi biết một điều chắc chắn rằng nếu công ty/cơ quan... ở nước này mà xâm phạm vào tài sản của một cá thể/công ty... ở nước ngoài (Anh/Mỹ) mà không được sự đồng ý của tòa án nước có tài sản công ty/cá thể bị xâm phạm là vi phạm luật.

Nên nhớ một điều khi xảy ra chuyện giữa hai cá thể/ công ty ở hai nước thì không phải là chuyện nội bộ quốc gia đó nữa. Bởi vậy câu chuyện trở nên rất buồn cười khi BKIS nói rằng vì quá bận (xâm nhập server nước ngoài?) mà không thông báo (để xin phép được "xâm phạm") cho cơ quan có thẩm quyền ở VN (để họ liên hệ cơ quan có thẩm quyền ở nước ngoài "bật đèn xanh").

Ngoài ra, vấn đề KrCert có yêu cầu trực tiếp, gián tiếp hay cái gì đi nữa thì cũng không có lý do gì để BKIS vi phạm pháp luật để "hoàn thành sứ mạng" trong việc giúp đỡ. Đặc biệt, ở đây theo tôi biết là server đặt tại Anh và do một công ty Mỹ thuê lại, như vậy ngoại trừ VN,HQ còn có hai nước liên quan trực tiếp là Anh và Mỹ.

Ở trên có bạn nhận xét rất đúng về BKIS (và rất nhiều công ty ở VN) rằng họ không có hay chưa đủ khả năng quản lý những vấn đề nhạy cảm.

Vui một tí! Tổng hợp thông tin từ các báo, từ blog tiếng Anh của Bkis và từ một số comment của anh em, sắp xếp lại trình tự sự việc thế này có được ko các bác?

- Có 1 bọn (hackers) ném đá vào nhà mấy bác Korea, USA... trong khu chung cư
- Bác Korea (cụ thể là KrCert) chịu ko thấu, kêu trời, gửi mail cầu cứu mấy bác, mấy chú khác trong khu chung cư, trong đó có VnCert (đồng gửi Bkis)
- Chú Bkis ra tay = trình độ & biện pháp nghiệp vụ phát hiện ra chú ném đá nằm trong rất nhìu nhà nhưng thằng đầu to (master) thì đang nấp trong nhà bác UK (dưng mà bác UK ko hề hay bít gì).
- Thế là chú Bkis (lại bằng biện pháp nghiệp vụ) tiến vào nhà bác UK và úynh thằng master của bọn ném đá, đuổi nó ra khỏi nhà (tình hình là lộn xộn như vậy nhưng bác UK hình như ngủ say quá nên vẫn chẳng hay biết j).
- Thằng master này sợ quá dẫn theo cả bọn đàn em chạy luôn, thế là stop vụ ném đá (trên đường chạy nó lại còn lộ ra dấu vết để về sau các bác ấy tìm được đến chỗ của thằng God master luôn!)
- Tiếp theo chú Bkis thông báo cho bác KrCert là tớ đã giải quyết giúp các cậu vụ ném đá (đuổi đi thôi chứ ko bắt được, bắt được bọn này thì chú Bkis đã chẳng ở nhà chung cư nữa mà ở biệt thự từ lâu rùi).
- Tiếp theo nữa chú Bkis ca khúc khải hoàn, cả khu chưng cư nức tiếng chú Bkis đuổi đánh bọn ném đá.
- Sự việc chưa dừng ở đây vì bác KrCert ngượng (KrCert tính về level thì cao hơn mà lại đi nhờ thằng đàn em Bkis nhà nghèo mà), thế nên có cái vụ đòi đính chính là "tao đâu có nhờ mày, chỉ kêu chung chung như thế, thằng nào giúp đc thì tốt".
- Rùi thêm nữa, ngại mang tiếng với bác UK là vì bắt kẻ phá hoại mà lại nhờ người khác (Bkis) "xâm nhập" vào nhà bác UK (cái này thì vi phạm luật chung cư rùi, vì không phải nhà người ta ai muốn vào thì vào, muốn ra thì ra - chí ít là phải xin phép, phải đc sự đồng ý). Nên đổ vấy tiếng xấu cho chú Bkis là chú tìm, chú đuổi, chú đánh... thằng ném đá chứ chú "xâm nhập" tư dinh bất hợp pháp là lỗi của chú, bác KrCert ko hề xúi bẩy, cũng ko liên quan (nếu xảy đến trường hợp bác UK giận lên vì cái vụ vào nhà mà ko xin phép - dù vào với mục đích tốt)

Tóm lại, trong vòng sự việc kể trên, việc to tát là tìm ra và xử lý bọn ném đá có thể coi là thành công tốt đẹp.



Cậu này được ai chuẩn bị bài đây, nghe qua có vẻ chặt chẽ nhưng lý lẽ còn hơi thiếu và yếu :

Cái câu chuyện của cậu đúng vào 1 phần nhỏ của 1 giả thuyết, nhưng chưa đúng hết các giả thuyết sau

1. Cái bọn ném đá đó là do phe của Nạn nhân tự dựng lên để vu oan cho 1 hàng xóm khác, HX khác đang điều tra âm thầm thì do BKIS đuổi bọn kia rồi nên không có bằng chứng nào nữa về kẻ chủ mưu

2. cái bọn ném đá đó đúng là như phương án của cậu nói, nhưng đáng lẽ ra khi phát hiện ra bọn ném đá, cậu nên báo công an theo dõi tìm kẻ chủ mưu thì lại đem loa đọc oang oang cho cả khu nghe khiến bọn ném đá chạy mất dép làm cho Công an muốn điều tra cũng không ra nữa.

Về việc BKIS có vi phạm Luật CNTT của VN hay Anh không thì miễn bàn vì đơn giản như thế này

Việc BKIS vô tội khi gain control 2 máy chủ của Anh khiến các tổ chức khác có thể bắt chước việc này và có thể tự ý GAIN CONTROL bất kỳ 1 hệ thống nào trên Thế giới và Việt nam, kể cả chính phủ nếu hệ thống đó nghi nhiễm virus hoặc mã độc

Tôi chưa thấy KrCert kêu nca điều gì cả. Bây giờ họ đang điều tra thủ phạm. Còn chúng ta giờ đây đang lan man những vẫn đề gì. Liệu rằng những cái chúng ta đang bàn luận có giúp ích được gì cho vụ việc này không?
Nếu chúng ta vào đây chỉ để đả kích Bkis hoặc AQ thì có lẽ cũng không hợp lý lắm.

Vui một tí! Tổng hợp thông tin từ các báo, từ blog tiếng Anh của Bkis và từ một số comment của anh em, sắp xếp lại trình tự sự việc thế này có được ko các bác?

- Có 1 bọn (hackers) ném đá vào nhà mấy bác Korea, USA... trong khu chung cư
- Bác Korea (cụ thể là KrCert) chịu ko thấu, kêu trời, gửi mail cầu cứu mấy bác, mấy chú khác trong khu chung cư, trong đó có VnCert (đồng gửi Bkis)
- Chú Bkis ra tay = trình độ & biện pháp nghiệp vụ phát hiện ra chú ném đá nằm trong rất nhìu nhà nhưng thằng đầu to (master) thì đang nấp trong nhà bác UK (dưng mà bác UK ko hề hay bít gì).
- Thế là chú Bkis (lại bằng biện pháp nghiệp vụ) tiến vào nhà bác UK và úynh thằng master của bọn ném đá, đuổi nó ra khỏi nhà (tình hình là lộn xộn như vậy nhưng bác UK hình như ngủ say quá nên vẫn chẳng hay biết j).
- Thằng master này sợ quá dẫn theo cả bọn đàn em chạy luôn, thế là stop vụ ném đá (trên đường chạy nó lại còn lộ ra dấu vết để về sau các bác ấy tìm được đến chỗ của thằng God master luôn!)
- Tiếp theo chú Bkis thông báo cho bác KrCert là tớ đã giải quyết giúp các cậu vụ ném đá (đuổi đi thôi chứ ko bắt được, bắt được bọn này thì chú Bkis đã chẳng ở nhà chung cư nữa mà ở biệt thự từ lâu rùi).
- Tiếp theo nữa chú Bkis ca khúc khải hoàn, cả khu chưng cư nức tiếng chú Bkis đuổi đánh bọn ném đá.
- Sự việc chưa dừng ở đây vì bác KrCert ngượng (KrCert tính về level thì cao hơn mà lại đi nhờ thằng đàn em Bkis nhà nghèo mà), thế nên có cái vụ đòi đính chính là "tao đâu có nhờ mày, chỉ kêu chung chung như thế, thằng nào giúp đc thì tốt".
- Rùi thêm nữa, ngại mang tiếng với bác UK là vì bắt kẻ phá hoại mà lại nhờ người khác (Bkis) "xâm nhập" vào nhà bác UK (cái này thì vi phạm luật chung cư rùi, vì không phải nhà người ta ai muốn vào thì vào, muốn ra thì ra - chí ít là phải xin phép, phải đc sự đồng ý). Nên đổ vấy tiếng xấu cho chú Bkis là chú tìm, chú đuổi, chú đánh... thằng ném đá chứ chú "xâm nhập" tư dinh bất hợp pháp là lỗi của chú, bác KrCert ko hề xúi bẩy, cũng ko liên quan (nếu xảy đến trường hợp bác UK giận lên vì cái vụ vào nhà mà ko xin phép - dù vào với mục đích tốt)

Tóm lại, trong vòng sự việc kể trên, việc to tát là tìm ra và xử lý bọn ném đá có thể coi là thành công tốt đẹp.

Còn mắc lại 1 vấn đề, ấy là comment của anh Vi Khoa:


Phản biện:

Luật Việt Nam:

(Trích Luật CNTT Việt Nam/ Chương IV/ Mục 4)
Điều 72. Bảo đảm an toàn, bí mật thông tin
1. Thông tin riêng hợp pháp của tổ chức, cá nhân trao đổi, truyền đưa, lưu trữ trên môi trường mạng được bảo đảm bí mật theo quy định của pháp luật.

2. Tổ chức, cá nhân không được thực hiện một trong những hành vi sau đây:

a) Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của tổ chức, cá nhân khác trên môi trường mạng;

b) Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin;

c) Ngăn chặn việc truy nhập đến thông tin của tổ chức, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép;

d) Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của tổ chức, cá nhân khác trên môi trường mạng;

đ) Hành vi khác làm mất an toàn, bí mật thông tin của tổ chức, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.

"Gained control" - dịch nghĩa: giành được quyền kiểm soát (từ tay hacker - vì trước đó thì hacker đang kiểm soát cái server này chứ ko phải bác chủ nhà UK - mặc dù server thì đúng là tài sản sở hữu của bác ấy) Nhiều người hơi nhầm lẫn khi phiên dịch "gained control" thành "chiếm quyền kiểm soát/ điều khiển". Về mặt từ ngữ thì "gain control" khác hoàn toàn với "take control" và lại càng khác với "occupy" nhé bà con! Theo cách thức mà Bkis trình bày để có thể "gained control" - thì hành động của họ không nằm trong danh mục các khoản thuộc điều 72 Luật CNTT.

- Luật Quốc tế (cụ thể là ở UK - vì Bkis xác nhận tìm ra máy chủ đặt ở UK) - CMA (Computer Misuse Act, 1990 (http://www.opsi.gov.uk/ACTS/acts1990/ukpga_19900018_en_1#pb1-l1g1))

CMA - Computer Misuse Act, trong đó điều 1,2, 3 tuần tự là:

1. Unauthorised access to computer material.
2. Unauthorised access with intent to commit or facilitate commission of further offences.
3. Unauthorised modification of computer material.

Quy định về các hình thức xâm nhập và can thiệp bất hợp pháp vào máy tính/ máy chủ của người khác.

Vì toàn bộ nội dung CMA là bằng tiếng Anh, nên quote vào đây mọi người khó theo dõi cũng như dễ làm loãng chủ đề, đề nghị bạn nào thực sự quan tâm thì nhấn vào link ở trên để tham khảo.

Với những nội dung và quy định như trên, hành động của Bkis - theo cách họ diễn giải tại blog tiếng Anh: http://blog.bkis.com/?p=718 thì cũng tương tự như trên, cách thức mà Bkis trình bày để có thể "gained control" - hành động của họ không nằm trong danh mục các khoản thuộc điều 1,2,3 của CMA.

Kết luận: Bkis không phạm luật. Và theo cách diễn giải ở trên, Bkis không "tự ý chiếm quyền điều khiển server" mà là "giành lại quyền điều khiển server từ tay hacker". Xin hết!

Lại VD cùn nữa... hichic ! Nói thiệt bạn nha, cùn của tận cùng cùn... :)

Cùn nhảm bắt đầu từ đây:

- Chú Bkis ra tay = trình độ & biện pháp nghiệp vụ phát hiện ra chú ném đá nằm trong rất nhìu nhà nhưng thằng đầu to (master) thì đang nấp trong nhà bác UK (dưng mà bác UK ko hề hay bít gì).
- Thế là chú Bkis (lại bằng biện pháp nghiệp vụ) tiến vào nhà bác UK và úynh thằng master của bọn ném đá, đuổi nó ra khỏi nhà (tình hình là lộn xộn như vậy nhưng bác UK hình như ngủ say quá nên vẫn chẳng hay biết j).
- Thằng master này sợ quá dẫn theo cả bọn đàn em chạy luôn, thế là stop vụ ném đá (trên đường chạy nó lại còn lộ ra dấu vết để về sau các bác ấy tìm được đến chỗ của thằng God master luôn!)
- Tiếp theo chú Bkis thông báo cho bác KrCert là tớ đã giải quyết giúp các cậu vụ ném đá (đuổi đi thôi chứ ko bắt được, bắt được bọn này thì chú Bkis đã chẳng ở nhà chung cư nữa mà ở biệt thự từ lâu rùi).
- Tiếp theo nữa chú Bkis ca khúc khải hoàn, cả khu chưng cư nức tiếng chú Bkis đuổi đánh bọn ném đá.
- Sự việc chưa dừng ở đây vì bác KrCert ngượng (KrCert tính về level thì cao hơn mà lại đi nhờ thằng đàn em Bkis nhà nghèo mà), thế nên có cái vụ đòi đính chính là "tao đâu có nhờ mày, chỉ kêu chung chung như thế, thằng nào giúp đc thì tốt".
- Rùi thêm nữa, ngại mang tiếng với bác UK là vì bắt kẻ phá hoại mà lại nhờ người khác (Bkis) "xâm nhập" vào nhà bác UK (cái này thì vi phạm luật chung cư rùi, vì không phải nhà người ta ai muốn vào thì vào, muốn ra thì ra - chí ít là phải xin phép, phải đc sự đồng ý). Nên đổ vấy tiếng xấu cho chú Bkis là chú tìm, chú đuổi, chú đánh... thằng ném đá chứ chú "xâm nhập" tư dinh bất hợp pháp là lỗi của chú, bác KrCert ko hề xúi bẩy, cũng ko liên quan (nếu xảy đến trường hợp bác UK giận lên vì cái vụ vào nhà mà ko xin phép - dù vào với mục đích tốt)

Tóm lại, trong vòng sự việc kể trên, việc to tát là tìm ra và xử lý bọn ném đá có thể coi là thành công tốt đẹp.



Còn những phần phản biện cho anh vikhoa, cũng mệt mỏi không muốn nói nữa ( chả lẽ VD và lý sự như vậy thì mình phải thảo luận tới sáng --> ngủ sớm thôi ) .

Bkiser ơi... stop đi là vừa! Và mong mọi người đừng cho VD nữa nhé.

Chúc mọi người ngủ ngon... :)

Câu chuyện bây giờ có lẽ không còn là BKIS đúng hay sai nữa. Tôi chỉ thấy câu chuyện đau xót ở chỗ, trong khi thế giới họ chưa có phản ứng gì thì dân tình Việt Nam chém giết nhau ghê quá. Người làm sai thì không dám thừa nhận, còn người thấy người khác làm sai thì tìm mọi cách để a lô xô.

Tôi biết anh Quảng từ những năm 97,98, khi còn đang ngồi ở ghế phổ thông. Thực sự lúc đó tôi cũng chưa biết gì về virut máy tính nhưng khi theo dõi bài phỏng vấn trên truyền hình về việc ngăn chặn virut j đó lây lan ở Việt Nam tôi đã rất phục. Sau này khi học Bách Khoa HN, tôi cũng được vinh dự học anh. Tuy tôi chẳng theo về lập trình, về virut nhưng tôi vẫn luôn theo dõi anh Quảng. Tôi vẫn nhận thấy rằng anh Quảng dù không phải là người khéo léo (hơi cực đoan) nhưng là một mẫu người có lập trường, có bản lĩnh, rất yêu nghề và trong sự phát triển của ngành bảo mật mạng VN, đóng góp của anh là không nhỏ.

Hãy nhìn đúng vị trí của BKIS đối với an ninh mạng Việt Nam. BKIS nuôi được một đội ngũ nhân viên nhiều, có mạng lưới phủ khắp, có các hợp đồng, có nguồn thu lớn từ các sản phẩm của chính họ… đã có công ty an ninh mạng ở Việt Nam nào cạnh tranh được chưa

Tuy nhiên tôi cũng nhận thấy trong câu chuyện này, sai lầm lớn nhất của BKIS là ở chỗ do đạt được thành công trong xử lý vụ này, do quá nóng vội mà quên đi những quy tắc tối thiểu khác, đặc biệt là trong việc đơn phương công bố thông tin mà không nghĩ đến những phản ứng của phía KrCert. BKIS luôn đề cao việc tuân thủ pháp luật mà lại quên mất rằng mình không thực sự là một cơ quan chức năng và cần tuân thủ các quy định luật pháp quốc tế trên thế giới và quy định về phối hợp quốc tế ở Việt Nam. BKIS quên mất (?) rằng VNCERT đã xuất hiện và đã được nhà nước giao trách nhiệm là cơ quan chức năng về an toàn mạng rồi.Tôi tin rằng dù BKIS chưa công bố nhưng có sự phối hợp, thông báo trước đó với *CERT thì cũng sẽ chẳng có ai cướp được công của BKIS cả.

Còn về phía VNCERT, tôi cho rằng họ đã làm đúng phận sự của mình khi cảnh báo và nhắc nhở BKIS.

Thực ra chuyện này sẽ rất nhẹ nhàng nếu các bên biết tôn trọng nhau một chút, biết khéo léo ngồi lại với nhau, biết đoàn kết với nhau để cùng“nói chuyện” với cộng đồng quốc tế.

Câu chuyện này cũng cho chúng ta một bài học đó là: mỗi người hãy làm đúng phận sự của mình và tôn trọng công việc của người khác.

Tôi vẫn có hai câu hỏi lớn:
- Tại sao thông tin “nội bộ” lại có thể lọt ra ngoài?
- KrCert có thực sự nhờ đến sự hỗ trợ của BKIS ko? Nhiều người trong chúng ta vẫn nghĩ rằng bọn nước ngoài luôn đúng.

P/S Câu chuyện anh Quảng bảo không sợ hacker theo tôi đó chỉ là phản xạ tự nhiên của một người quá yêu nghề, giống như một người cảnh sát không sợ tội phạm. Nhưng đáng ra không cần nói với tất cả mọi người, những gì anh đóng góp sẽ chứng tỏ điều đó thôi.

Đây chỉ là một số suy nghĩ của tôi, ko mong tranh luận với ai cả.

“Trong số 8 server, chúng tôi đã tìm ra được 2 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web. Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng. Thông qua đó các chuyên gia có được các thông tin giúp ích cho việc phân tích và chỉ ra được server thứ 9, chính là master server (server gốc), nơi tổng chỉ huy các cuộc tấn công vào website chính phủ Hàn Quốc và Mỹ. Tất cả các công việc này đều tuân theo các quy trình, quy định của luật pháp Việt Nam và quốc tế”

-> Câu trả lời của người đứng đầu BKIS về phương thức xâm nhập 2 server, đăng trên vnexpress.net tại http://vnexpress.net/GL/Vi-tinh/2009/07/3BA11722/

Bkis không phạm luật. Và theo cách diễn giải ở trên, Bkis không "tự ý chiếm quyền điều khiển server" mà là "giành lại quyền điều khiển server từ tay hacker". Xin hết!

Vậy tôi hỏi bạn BKIS có xin phép người chủ cái server (là người trả tiền duy trì hệ thống), công ty quản lý cái server tại Mỹ/Anh chưa?

Nếu BKIS chưa xin phép, vậy BKIS làm công việc của một hacker hay nói thẳng là hacker có tên BKIS giành giật với một hacker X nào khác?

Nếu bắt trộm mà phạm luật thì khối thằng bắt đc.

Đề nghị với ếtmin cùng các mod, từ nay về sau cứ thấy ví dụ ăn cướp ăn trộm thì delete thẳng tay giùm. Choáng hết cả chỗ mà chẳng cái nào ra hồn phách gì.

Tôi thấy một số bác như bác Spirit nhai đi nhai lại cái điệp khúc này nghe nó hẹp hòi lắm:


Vì nhai đi nhai lại mãi mà ko thấy các bạn trả lời vào chủ đề chính mà chỉ cứ đi ví dụ lanh quanh chẳng liên quan gì nên lại phải nhai lại thôi?

Khía cạnh tích cực mà bạn muốn thì báo đài đã đăng tải ầm ầm rồi, và ai cũng đồng ý rồi nên ko ai đem ra nói lại nữa nên dĩ nhiên phải nói về cái sai thôi?


Thật ra tôi kô nghĩ chỉ có mình BKIS làm cái việc bị cho là xâm nhập này , mà các Công ty về an ninh mạng khác chắc cũng đã từng làm nhiều rồi , họ mới lần ra virus hoặc tội phạm mạng được. Nếu sau này cơ quan luật pháp xác định chính xác đó là 2 sever của tội phạm thì BKIS không hề có vấn đề gì về luật pháp mà còn được xem là có công lớn trong việc này .

Dù là đã có làm rồi thì trước đó họ cũng phải sự dc cho phép của chủ sỡ hữu server hoặc các cơ quan thẩm quyền có liên quan. Trước mắt, theo mình thì BKIS ko có quyền gì xâm nhập vào server


"Gained control" - dịch nghĩa: giành được quyền kiểm soát (từ tay hacker - vì trước đó thì hacker đang kiểm soát cáiserver này chứ ko phải bác chủ nhà UK - mặc dù server thì đúng là tài sản sở hữu của bác ấy) Nhiều người hơi nhầm lẫn khi phiên dịch "gained control" thành "chiếm quyền kiểm soát/ điều khiển". Về mặt từ ngữ thì "gain control" khác hoàn toàn với "take control" và lại càng khác với "occupy" nhé bà con! Theo cách thức mà Bkis trình bày để có thể "gained control" - thì hành động của họ không nằm trong danh mục các khoản thuộc điều 72 Luật CNTT.



Kết luận: Bkis không phạm luật. Và theo cách diễn giải ở trên, Bkis không "tự ý chiếm quyền điều khiển server" mà là "giành lại quyền điều khiển server từ tay hacker". Xin hết!


Tiếng Anh của bác giỏi thật đấy nhưng tiếng Việt của bác có vấn đề gì ko?

"Chiếm "lại" quyền điều khiển server" - hay "giành lại quyền dk server" thì khác gì nhau? Vấn đề là ... BKIS ko có quyền dk server này. Tự ý hay ko thì mọi người đang hỏi đấy? Bác trả lời xem theo như bác thì BKIS có tự ý điều khiển server hay ko? Và nếu ko thì làm cách nào để có và xem dc file log của server?

P.S: Trò VD trộm cướp gì đấy từ sau bài reply này sẽ dc ... xóa sạch.

Tôi chưa thấy KrCert kêu nca điều gì cả. Bây giờ họ đang điều tra thủ phạm. Còn chúng ta giờ đây đang lan man những vẫn đề gì. Liệu rằng những cái chúng ta đang bàn luận có giúp ích được gì cho vụ việc này không?
Nếu chúng ta vào đây chỉ để đả kích Bkis hoặc AQ thì có lẽ cũng không hợp lý lắm.

Việc đang tranh luận tốt cho CNTT Việt Nam lắm đấy chứ! Nhiều người sẽ biết những việc mình nghĩ là không vi phạm nhưng đang vi phạm pháp luật.

Không có lý do gì vì tôi là người Việt nên tôi "che đậy/im lặng" khi một công ty VN vi phạm pháp luật hết.

Đề nghị với ếtmin cùng các mod, từ nay về sau cứ thấy ví dụ ăn cướp ăn trộm thì delete thẳng tay giùm. Choáng hết cả chỗ mà chẳng cái nào ra hồn phách gì.

Những ví dụ ấy có liên hệ mật thiết với vấn đề đang bàn luận ở đây.

====================
"TS Đỗ Văn Lộc người chủ trì soạn thảo Luật Công nghệ cao cho rằng ông thấy bất bình thường khi công văn của VNCERT gửi lãnh đạo ĐH Bách khoa Hà Nội lại được đưa lên diễn đàn nhanh chóng.

Đề nghị nhận xét vụ việc, ông Lộc nói cần phải gặp BKIS, gặp VNCERT để nghe cả hai bên.

“Thông tin hiện nay tôi mới chỉ được biết qua báo chí nên chưa đưa ra nhận xét tổng thể về vụ việc” - Ông Lộc nói.

“Tuy nhiên, những công việc nội bộ của các cơ quan chưa được giải quyết với nhau mà đã được tung lên diễn đàn đối với tôi là điều bất bình thường. Nhất là nội dung công văn này còn nhiều vấn đề chưa rõ ràng.

Đây lại là vấn đề nhạy cảm, liên quan đến quản lý nhà nước về an ninh thông tin. Theo tôi phải xem xét vấn đề vì sao công văn này lại được tung lên diễn đàn” - Ông Lộc cho biết thêm."
Nguồn: http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=327437&ChannelID=16
====================
Em đọc thấy có 1 đoạn như ở trên, vậy anh vikhoa nhà mình có bị sao không các bạn?
Câu hỏi của em nếu không liên quan đến chủ đề topic thì mod delete dùm em, đừng cho em ra đảo là được ~.~

Bạn yên tâm, ông TS kia có vấn đề về chuyên môn nên nói năng linh tinh thôi, đại loại là cũng tham gia đánh lạc hướng dư luận.

"giành lại quyền kiểm soát" là cái gì? Trước đây BKIS có nắm quyền kiểm soát hay ko mà giờ giành lại?


Những ví dụ ấy có liên hệ mật thiết với vấn đề đang bàn luận ở đây.

Bạn thử nêu (lần cuối) 1 cái ví dụ mà bạn cho là có liên hệ mật thiết?

Những ví dụ ấy có liên hệ mật thiết với vấn đề đang bàn luận ở đây.

Mật thiết ở chỗ nào? đáng lạc dư luận cũng là mật thiết sao?

Nếu bắt trộm mà phạm luật thì khối thằng bắt đc.

Đồng ý với bạn quan điểm này. Nêu bất chấp pháp luật để đạt được mục đích của BKIS có lẽ chúng ta không nên làm, nó sẽ là tiền lệ xấu. Đối với ngành CNTT ở Việt Nam, luật vẫn đang trong quá trình soạn thảo nhưng xung quanh vấn đề BKIS đang diễn ra, có lẽ sự việc đã đi quá đà bởi càng xới ra thì nó càng thấy nhiều hơn một người đang từng có. Người biên soạn luật chắc gì đã xử lý hết được cái tình huống xảy ra. Bởi vậy trong luật luôn có các khoản A,B,C,D....Quá phức tạp. Đã đến lúc các cấp lãnh đạo nên quan tâm đến vấn đề phổ biến luật cho những doanh nghiệp, những học sinh, những sinh viên đang biến ước mơ theo đuổi ngành công nghệ thông tin. Chúng ta đang thiếu hiểu biết về luật, đến ngay cả những người luật sư đang hành nghề, khi được hỏi vấn đề xung quanh BKIS thì vẫn có 2 ý trái chiều. Vậy chúng ta nên làm gì để có thể tự trang bị cho mình một kiến thức cơ bản về luật CNTT ???? Nếu có bạn nào là CTV hay Phóng viên ngó sang vấn đề của mình thì nhờ các bạn chuyển hộ mình Câu hỏi này đến các nhà quản lý CNTT ở VN

Để đảm bảo sự trong sạch và lành mạnh cho môi trường Internet, thiết nghĩ, không chỉ các cơ quan nhà nước mà tất cả những cá nhân, tổ chức có liên quan phải bình tĩnh và sáng suốt trước những quyết định của mình

Những ví dụ ấy có liên hệ mật thiết với vấn đề đang bàn luận ở đây.

Chẳng có VD nào 'hợp lý' như với trường hợp này cả! Vì có nhiều người thích lý sự cùn, thích xuyên tạc một cách ấu trĩ! Thử hỏi xem có cái VD nào không thêm 'mắm'(ủng hộ mê muội) thêm 'muối'(tình cảm 'trẻ con') vào tình tiết không! Mà toàn mấy người dở hơi bên phe 'Ưu ái Mr. Quảng' đặt ra cả.

Xin mod và admin xóa mấy cái VD nhảm nhí như lời bác [color=red]Arkain[color] đã nói từ đầu!

Tóm lại, trong vòng sự việc kể trên, việc to tát là tìm ra và xử lý bọn ném đá có thể coi là thành công tốt đẹp.

Còn mắc lại 1 vấn đề, ấy là comment của anh Vi Khoa:


Phản biện:

Luật Việt Nam:

(Trích Luật CNTT Việt Nam/ Chương IV/ Mục 4)
Điều 72. Bảo đảm an toàn, bí mật thông tin
1. Thông tin riêng hợp pháp của tổ chức, cá nhân trao đổi, truyền đưa, lưu trữ trên môi trường mạng được bảo đảm bí mật theo quy định của pháp luật.

2. Tổ chức, cá nhân không được thực hiện một trong những hành vi sau đây:

a) Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của tổ chức, cá nhân khác trên môi trường mạng;

b) Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin;

c) Ngăn chặn việc truy nhập đến thông tin của tổ chức, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép;

d) Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của tổ chức, cá nhân khác trên môi trường mạng;

đ) Hành vi khác làm mất an toàn, bí mật thông tin của tổ chức, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.

"Gained control" - dịch nghĩa: giành được quyền kiểm soát (từ tay hacker - vì trước đó thì hacker đang kiểm soát cái server này chứ ko phải bác chủ nhà UK - mặc dù server thì đúng là tài sản sở hữu của bác ấy) Nhiều người hơi nhầm lẫn khi phiên dịch "gained control" thành "chiếm quyền kiểm soát/ điều khiển". Về mặt từ ngữ thì "gain control" khác hoàn toàn với "take control" và lại càng khác với "occupy" nhé bà con! Theo cách thức mà Bkis trình bày để có thể "gained control" - thì hành động của họ không nằm trong danh mục các khoản thuộc điều 72 Luật CNTT.

- Luật Quốc tế (cụ thể là ở UK - vì Bkis xác nhận tìm ra máy chủ đặt ở UK) - CMA (Computer Misuse Act, 1990 (http://www.opsi.gov.uk/ACTS/acts1990/ukpga_19900018_en_1#pb1-l1g1))

CMA - Computer Misuse Act, trong đó điều 1,2, 3 tuần tự là:

1. Unauthorised access to computer material.
2. Unauthorised access with intent to commit or facilitate commission of further offences.
3. Unauthorised modification of computer material.

Quy định về các hình thức xâm nhập và can thiệp bất hợp pháp vào máy tính/ máy chủ của người khác.

Vì toàn bộ nội dung CMA là bằng tiếng Anh, nên quote vào đây mọi người khó theo dõi cũng như dễ làm loãng chủ đề, đề nghị bạn nào thực sự quan tâm thì nhấn vào link ở trên để tham khảo.

Với những nội dung và quy định như trên, hành động của Bkis - theo cách họ diễn giải tại blog tiếng Anh: http://blog.bkis.com/?p=718 thì cũng tương tự như trên, cách thức mà Bkis trình bày để có thể "gained control" - hành động của họ không nằm trong danh mục các khoản thuộc điều 1,2,3 của CMA.

Kết luận: Bkis không phạm luật. Và theo cách diễn giải ở trên, Bkis không "tự ý chiếm quyền điều khiển server" mà là "giành lại quyền điều khiển server từ tay hacker". Xin hết!


Bạn đọc kỹ lại Computer misuse offences và giải thích hộ dùm tôi chỗ khúc mắc này được không, :) ?


After analyzing the logs of these 2 servers , we discovered the IP address of the master server, which is 195.90.118.***. This IP is located in UK. The master server is running on Windows 2003 Server Operating System.

http://blog.bkis.com/?p=718


anw, tôi đã góp ý ở trên là phía UK chưa có động tĩnh gì về việc này thì chúng ta cũng không nên làm to chuyện.

...Bạn phát hiện ra một thằng ăn cắp , bạn bẻ tay nó , khống chế nó và lôi nó ra công an , vậy bạn có phạm luật không ????? Xâm phạm quyền riêng tư hả ?????? ...

Trường hợp bác Quảng không thể so sánh như vậy mà phải so sánh: Thấy thằng ăn trộm vừa trộm xong chạy về nơi nó thuê nhà ở, bác chui vào điều tra rồi công bố. Chủ nhà cho thuê hay tên ăn trộm có thể kiện bác cái tội xâm nhập bất hợp pháp.

Nói đến đây tui nghĩ ra 1 ý lạ: BKIS cũng giành quyền điều khiển. Hacker cũng giành quyền điều khiển (nhiều hơn BKIS). Vậy nếu BKIS ko có tội thì hacker có tội hay ko ???

Nói đến đây tui nghĩ ra 1 ý lạ: BKIS cũng giành quyền điều khiển. Hacker cũng giành quyền điều khiển (nhiều hơn BKIS). Vậy nếu BKIS ko có tội thì hacker có tội hay ko ???
Mỗi người một cách nghĩ, theo ý kiến cá nhân tôi: Xét trên khía cạnh luật pháp thì BKIS đã vi phạm luật (theo cách bạn mô tả).
Nhưng với những người bảo vệ quan điểm của BKIS thì đấy là họ đang thực hiện nghĩa vụ QUỐC TẾ (Ai giao nhỉ?!)

Khó thể trả lời được, theo ý kiến cá nhân tôi: Xét trên khía cạnh luật pháp thì BKIS đã vi phạm luật (theo cách bạn mô tả).
Nhưng với những người bảo vệ quan điểm của BKIS thì đấy là họ đang thực hiện nghĩa vụ QUỐC TẾ (Ai giao nhỉ?!)

Ngay cả khi được KrCERT nhờ thì bkis cũng chỉ được phép nhận hỗ trợ từ Hàn Quốc và cùng lắm là các quốc gia thuộc APCERT, nhưng vấn đề làmáy chủ đặt ở UK chứ không thuộc khu vực Châu Á Thái Bình Dương, :). Nếu không phải thế thì KrCERT đã không phải rụng rời chân chân tay, yêu cầu Bkis nói không liên quan đến KrCERT trong việc hack 2 server kia. Và mấy bạn không hiểu luật mà cứ thích nói luật và trích dẫn ra đừng nên nghĩ phía Hàn Quốc họ sau bao nhiêu năm hội nhập vẫn "hạn chế trong nhận thức" về luật pháp quốc tế mà thần hồn nát thần tính, sợ kiện tụng vô căn cứ này nọ vì phía Bkis vô tội nên không phải lo, :).

Phải chăng hễ máy nào bị nhiễm virus, cho dù nằm ở bất cứ nơi đâu, thì ai ai cũng có quyền xông vào "tấn công" và "đoạt quyền kiểm soát"???

Từ topic 1 đến giờ thì đã có rất nhiều ví dụ tầm phào được đưa ra, nhưng chưa có cái nào lởm bằng "Người Việt Nam tự ý đột nhập trái phép vào nhà người ta ở bất kỳ nước láng giềng nào để bắt cướp là hợp pháp!"

Thứ nhất là đến cảnh sát quốc tế Interpol, một cơ quan an ninh hoạt động trong lãnh vực quốc tế thực thụ, còn không có quyền xông vào nhà bạn tại VN vì bất cứ lý do gì nếu chưa được phép chính thức, chứ đừng nói là một tổ chức thuộc trường BK Hà Nội tự ý xông vào nhà của người nước ngoài! Hãy đọc cho kỹ các cuộc tranh luận về quyền hành trong khuôn khổ pháp luật quốc tế!

Thứ hai là chẳng có thằng trộm nào trong "2 căn nhà" này để mà "còng tay mang nộp công an" như là một số chú đang đơn giản hóa vấn đề, mà trong đó chỉ là các dấu vết dẫn đến một nơi khác, rồi nơi khác nữa, rồi nơi khác nữa...từ cái server này cho đến sào huyệt của tay chủ chốt còn xa lắm, nên cho dù là cơ quan chức năng còn phải truy tìm trong im lặng. Kết quả là "cái thằng trộm bị còng tay trong căn nhà đó" đang ở đâu mà mang ra làm ví dụ? Hay là nó đang ở làng kế bên, nghe tiếng inh ỏi mà chạy mất rồi?? Mới đăng ký account thì hãy xem lại topic 1 và đọc các tranh luận về mạng lưới tội phạm, oang oang cái miệng làm bứt dây động rừng...vv...vv. Vấn đề này đã được bàn tới bàn lui.

Thư ba là so sánh một vụ attack quy mô với tầm cỡ quốc tế, dính dáng đến nhiều servers tại nhiều nước khác nhau với một ví dụ đơn sơ sau lũy tre làng bao gồm duy nhất một thằng trộm, một căn nhà, một ổ khóa, một cái còng, một cái loa phát thanh xã, và một bằng khen, tất cả đều trong phạm vi một căn làng thì phải xem xét lại khả năng tư duy để hiểu rằng đây là biển lớn chứ không phải ao tù nữa rồi. Khúc mắc ở đây là điều luật quốc tế nào đã trao cho BKIS quyền "tấn công và đoạt quyền kiểm soát" máy ở nước khác, tại sao cứ loay hoay vòng vo mà không chỉ nó ra? Một bác lan man trên báo là đủ rồi, không cần hàng chục bác lan man trong topic này.

Bây giờ các bác đã tin lời cảnh báo của tớ từ đầu rằng hễ bị cuốn vào vòng xoáy của những ví dụ lởm thì sẽ càng ngày càng xa chính đề câu trả lời của BKIS đối với báo chí rồi hay chưa?

Từ nay có thể ngưng các ví dụ khập khiễng rồi nhé! Cứ xoáy thẳng vào luật pháp mà bàn vì nó sẽ để lại tiền lệ cho tương lai. Sau này nếu ai đó khám phá ra máy của chính phủ mà cũng bị dính virus và nhân danh "vì lợi ích quốc gia dân tộc" mà tự ý tấn công và đoạt quyền kiểm soát, download những files quan trọng về để analyze trong khi không có ai chính thức cho phép hack, cho dù là có mục đích tốt thì liệu biện minh "Em làm giống BKIS!" có phân lượng nào trước tòa khi bị tóm vì tội xâm nhập trái phép không?

Khái niệm "Luật pháp là Luật pháp" nó là thế đó, ranh giới giữa Mũ Trắng và Mũ Đen mỏng manh như sợi chỉ, được phân chia bởi lòng tôn trọng pháp luật và tinh thần trách nhiệm, nếu lỡ chân quá đà một bước, tự cho rằng mình có thể ngồi trên luật pháp mà hành động cẩu thả là biến thành tội phạm như chơi.

Mr Quảng nghĩ tìm ra được 8 server trung gian và server thứ 9 mà him nghĩ là master server tức là đã tìm ra thủ phạm được rồi. Thế thì đại công này sẽ dễ dàng che lấp cho vụ xâm nhập server trái phép kia. Rồi đây BKAV sẽ một phát đến trời. Nhưng sự đời lại không đơn giản đến thế. Từ chỗ "tấn công ngược trở lại và đã khống chế được 2 server" quay ngoắt 180 độ thành sử dụng "một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng". Mà trên đời này lại có chuyện server public thông tin log file cho "ai cũng có thể sử dụng" qua WebService ư?
PS: Mấy bác hacker này dại thật, ai đời lại đi xài server mà log của nó có thể bị bất kỳ ai xem thông qua "một dạng dịch vụ hoàn toàn thông thường".

Tính sơ sơ đến thời điểm này là Bkis được khá nhiều báo phỏng vấn rồi, pháp luật, vietnamnet, và mới tối qua là vnexpress, (PR quá ổn các bác à :D)
Đọc trên vnexpress thì có đoạn thế này:

Theo ông, một hành động vi phạm luật được xem xét khi có khởi kiện. "Tôi không rõ vì sao lại đặt ra vấn đề vi phạm luật của các chuyên gia Bkis khi không có khởi kiện. "Trong báo cáo phân tích của các chuyên gia Bkis đã sử dụng đến các thuật ngữ chuyên môn và chúng ta hãy để các chuyên gia thảo luận với nhau về các vấn đề chuyên môn", người đứng đầu Vụ Công nghệ cao nêu quan điểm.

Trước băn khoăn về Nghị định mà Bkis trích dẫn có áp dụng trong trường hợp hệ thống máy tính ở nước ngoài bị tấn công hay không, ông Lộc cho hay, đây là điều khoản chung, không nói rõ áp dụng cho hệ thống máy tính trong nước hay nước ngoài vì mạng Internet là mạng toàn cầu và hệ thống máy tính dùng riêng cho một tổ chức có thể được phân bố trên khắp thế giới. "Chúng ta ưu tiên và quan tâm trước hết đến các hệ thống trong nước. Chúng ta cũng tham gia các điều ước và các thỏa thuận quốc tế. Việc Bkis thực hiện, theo tôi biết, là thực hiện các thỏa thuận trong Hiệp hội ứng cứu sự cố máy tính châu Á - Thái Bình Dương".

Các bác bình loạn xem có được ko?

Tìm ra nguồn tấn công website của Hàn Quốc, Bkis có phạm luật?:
http://www.2dep.net/f52/bkis-co-pham-luat-vncert-len-tieng-12035/


Vài ngày sau khi Bkis công bố tin "chấn động": tìm ra nguồn phát động tấn công các website chính phủ Mỹ và Hàn, Trung tâm điều phối ứng cứu khẩn cấp máy tính VN (VNCERT) lên tiếng, phương pháp mà Bkis đã thực hiện là vi phạm luật pháp.
Vào đúng dịp kỷ niệm ngày Độc lập của Mỹ - 4/7, hàng loạt trang web của Bộ Tài chính, Bộ Giao thông vận tải, Ủy ban thương mại liên bang (Mỹ) và trang chủ của tổng thống Hàn Quốc đột nhiên tê liệt.

Ông Terrence Park, đầu mối liên lạc của Trung tâm điều phối ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT/CC) gửi thư kêu gọi các thành viên trợ giúp khẩn cấp.

Sau khi nhận được mẫu malware từ KrCERT, chiều 12/7 Bkis tìm ra đầu mối mã độc có địa chỉ IP tại Anh. Một ngày sau, Bkis gửi bản phân tích chi tiết đến KrCERT/CC, đồng thời đưa bài nghiên cứu kỹ thuật tóm tắt lên trang blog của Bkis. Thông tin của Bkis đã gây chấn động giới công nghệ.

Ngày 14/7, báo Hàn Quốc và các hãng thông tấn, trang tin điện tử thế giới như USAToday, New York Times, PC World, AP, AFP, CNet… đồng loạt công bố thông tin trích nguồn từ blog của Bkis.

Sự việc đột nhiên rắc rối khi ngày 16/7, VNCERT có công văn gửi Đại Học Bách khoa HN, đơn vị chủ quản của Bkis cho rằng, việc Bkis thừa nhận tấn công và chiếm quyền điều khiển hai sever (máy chủ) để tiến hành phân tích là vi phạm luật pháp Việt Nam và quốc tế.

Ngoài ra, công văn cũng có đoạn: "KrCERT không có yêu cầu chính thức nào đề nghị Bkis hỗ trợ điều tra thủ phạm như thông tin mà Bkis công bố".

Sự việc này đã làm nổ ra những tranh luận trên một số diễn đàn tin học trong nước rằng: "KrCERT nhờ hay không nhờ Bkis điều tra?" và "Việc Bkis tấn công hai server của hacker có vi phạm luật?".

Trao đổi với VnExpress. net về tính pháp lý của vấn đề, giám đốc Bkis Nguyễn Tử Quảng cho rằng, Nghị định 64/2007/NĐ-CP của Chính phủ quy định: "Trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối".

Theo người đứng đầu Bkis, sự kiện website chính phủ của Hàn Quốc và Mỹ bị tấn công đã diễn ra gần 10 ngày mà chưa tìm ra nguồn phát động tấn công là một tình huống khẩn cấp có nguy cơ ảnh hưởng đến toàn cầu trong đó có Việt Nam. "Bkis bắt buộc và được phép thực hiện truy tìm nguồn phát động tấn công, rồi sau đó báo cáo cơ quan điều phối", ông Quảng khẳng định.

Theo ông, để khống chế server của hacker phục vụ cho điều tra, Bkis đã khảo sát 8 server mà hacker dùng để điều khiển việc tấn công. Các server này đều đang chứa mã độc và tại thời điểm Bkis phân tích vẫn đang tiếp tục truyền các mã độc xuống hệ thống máy tính botnet. “Trong số 8 server, chúng tôi đã tìm ra được 2 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web. Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng. Thông qua đó các chuyên gia có được các thông tin giúp ích cho việc phân tích và chỉ ra được server thứ 9, chính là master server (server gốc), nơi tổng chỉ huy các cuộc tấn công vào website chính phủ Hàn Quốc và Mỹ. Tất cả các công việc này đều tuân theo các quy trình, quy định của luật pháp Việt Nam và quốc tế”, ông Quảng nói.

Trao đổi với VnExpress.net, ông Đỗ Văn Lộc, Vụ trưởn Công nghệ cao - Bộ Khoa học và Công nghệ cho hay, việc tìm ra dấu vết máy chủ có địa chỉ IP ở Anh đã góp phần vào việc ngăn chặn các cuộc tấn công và biết rõ sự thật của nguồn tấn công. "Tôi theo dõi báo chí nước ngoài và không thấy có một tin nào liên quan đến chuyên Bkis vi phạm luật trong quá trình tìm ra dấu vết của cuộc tấn công".

Theo ông, một hành động vi phạm luật được xem xét khi có khởi kiện. "Tôi không rõ vì sao lại đặt ra vấn đề vi phạm luật của các chuyên gia Bkis khi không có khởi kiện. "Trong báo cáo phân tích của các chuyên gia Bkis đã sử dụng đến các thuật ngữ chuyên môn và chúng ta hãy để các chuyên gia thảo luận với nhau về các vấn đề chuyên môn", người đứng đầu Vụ Công nghệ cao nêu quan điểm.

Trước băn khoăn về Nghị định mà Bkis trích dẫn có áp dụng trong trường hợp hệ thống máy tính ở nước ngoài bị tấn công hay không, ông Lộc cho hay, đây là điều khoản chung, không nói rõ áp dụng cho hệ thống máy tính trong nước hay nước ngoài vì mạng Internet là mạng toàn cầu và hệ thống máy tính dùng riêng cho một tổ chức có thể được phân bố trên khắp thế giới. "Chúng ta ưu tiên và quan tâm trước hết đến các hệ thống trong nước. Chúng ta cũng tham gia các điều ước và các thỏa thuận quốc tế. Việc Bkis thực hiện, theo tôi biết, là thực hiện các thỏa thuận trong Hiệp hội ứng cứu sự cố máy tính châu Á - Thái Bình Dương".

Tuy nhiên, ông cũng cho rằng, về mặt hành chính trong nước, Bkis cần có văn bản báo cáo cho VNCERT. "Rất đáng tiếc, việc chi tiết hóa điều khoản quy định sau đó lập biên bản báo cáo cho cơ quan điều phối lại chưa quy định rõ về thời hạn", ông Lộc nói.

Nói túm lại là coi như vụ Bê Kít này chìm xuồng đi!
6 tháng sau..
Một vụ "đốt" kinh hoàng ở Mỹ, và nó lây sang một server thuộc CP Việt Nam cụ tỉ là server của Bộ 4T hoặc dã man hơn nữa nó lây mẹ sang server của Bộ Quốc phòng Mẽo.
Em X nào đó dùng web service "thông thường" và "khống chế" được server này, và chẳng may xem được file log.
Kết quả??

Topic nào liên quan đến A Quảng đều đông như tôm tươi. :D
Tớ thấy bác Arkain nói rất đúng. Xét về yếu tố pháp luật không phải chỉ dựa vào lợi ích quốc gia mà muốn hack server nào thì hack.

Phải chăng hễ máy nào bị nhiễm virus, cho dù nằm ở bất cứ nơi đâu, thì ai ai cũng có quyền xông vào "tấn công" và "đoạt quyền kiểm soát"???

Từ topic 1 đến giờ thì đã có rất nhiều ví dụ tầm phào được đưa ra, nhưng chưa có cái nào lởm bằng "Người Việt Nam tự ý đột nhập trái phép vào nhà người ta ở bất kỳ nước láng giềng nào để bắt cướp là hợp pháp!"

Thứ nhất là đến cảnh sát quốc tế Interpol, một cơ quan an ninh hoạt động trong lãnh vực quốc tế thực thụ, còn không có quyền xông vào nhà bạn tại VN vì bất cứ lý do gì nếu chưa được phép chính thức, chứ đừng nói là một tổ chức thuộc trường BK Hà Nội tự ý xông vào nhà của người nước ngoài! Hãy đọc cho kỹ các cuộc tranh luận về quyền hành trong khuôn khổ pháp luật quốc tế!

Thứ hai là chẳng có thằng trộm nào trong "2 căn nhà" này để mà "còng tay mang nộp công an" như là một số chú đang đơn giản hóa vấn đề, mà trong đó chỉ là các dấu vết dẫn đến một nơi khác, rồi nơi khác nữa, rồi nơi khác nữa...từ cái server này cho đến sào huyệt của tay chủ chốt còn xa lắm, nên cho dù là cơ quan chức năng còn phải truy tìm trong im lặng. Kết quả là "cái thằng trộm bị còng tay trong căn nhà đó" đang ở đâu mà mang ra làm ví dụ? Hay là nó đang ở làng kế bên, nghe tiếng inh ỏi mà chạy mất rồi?? Mới đăng ký account thì hãy xem lại topic 1 và đọc các tranh luận về mạng lưới tội phạm, oang oang cái miệng làm bứt dây động rừng...vv...vv. Vấn đề này đã được bàn tới bàn lui.

Thư ba là so sánh một vụ attack quy mô với tầm cỡ quốc tế, dính dáng đến nhiều servers tại nhiều nước khác nhau với một ví dụ đơn sơ sau lũy tre làng bao gồm duy nhất một thằng trộm, một căn nhà, một ổ khóa, một cái còng, một cái loa phát thanh xã, và một bằng khen, tất cả đều trong phạm vi một căn làng thì phải xem xét lại khả năng tư duy để hiểu rằng đây là biển lớn chứ không phải ao tù nữa rồi. Khúc mắc ở đây là điều luật quốc tế nào đã trao cho BKIS quyền "tấn công và đoạt quyền kiểm soát" máy ở nước khác, tại sao cứ loay hoay vòng vo mà không chỉ nó ra? Một bác lan man trên báo là đủ rồi, không cần hàng chục bác lan man trong topic này.

Bây giờ các bác đã tin lời cảnh báo của tớ từ đầu rằng hễ bị cuốn vào vòng xoáy của những ví dụ lởm thì sẽ càng ngày càng xa chính đề câu trả lời của BKIS đối với báo chí rồi hay chưa?

Từ nay có thể ngưng các ví dụ khập khiễng rồi nhé! Cứ xoáy thẳng vào luật pháp mà bàn vì nó sẽ để lại tiền lệ cho tương lai. Sau này nếu ai đó khám phá ra máy của chính phủ mà cũng bị dính virus và nhân danh "vì lợi ích quốc gia dân tộc" mà tự ý tấn công và đoạt quyền kiểm soát, download những files quan trọng về để analyze trong khi không có ai chính thức cho phép hack, cho dù là có mục đích tốt thì liệu biện minh "Em làm giống BKIS!" có phân lượng nào trước tòa khi bị tóm vì tội xâm nhập trái phép không?

Khái niệm "Luật pháp là Luật pháp" nó là thế đó, ranh giới giữa Mũ Trắng và Mũ Đen mỏng manh như sợi chỉ, được phân chia bởi lòng tôn trọng pháp luật và tinh thần trách nhiệm, nếu lỡ chân quá đà một bước, tự cho rằng mình có thể ngồi trên luật pháp mà hành động cẩu thả là biến thành tội phạm như chơi.

chính xác:punk: ủng hộ ý kiến của pác Arkain :punk:
nhiều pác vẫn còn đem cái tư duy từ thời bao cấp ra nói chuyện :lick::lick::lick:
đem cái luật ao làng của nhà nước CHXHCN Việt Nam ra áp đặt được...cho vấn đề quốc tế và cả thế giới mới ghê chứ (T_____T)

Dù sao a Quảng cũng chỉ là muốn PR cho thương hiệu mà đã không lường trước được là mình đang phạm luật, bây giờ cố cãi được cái nào thì cãi thôi. Hi vọng qua vụ này a ý bớt nổ đi chút. :< Ng ta gọi là cóc chết tại miệng mà!

Hài nhất là cái vụ từ "tấn công chiếm quyền kiểm soát server cực kì mệt nhọc" (đã được mô tả mệt nhọc như phim kiếm hiệp) chuyển sang "server lấy log dễ như bà già ăn cháo - con trẻ đọc báo vnexpress". Đời còn ai tin được chúng nó nói nữa nhỉ. Đúng là ý trời mà...

http://cuocsongso.thanhnien.com.vn/news/Pages/200930/20090720095053.aspx có đoạn:

Về cách thức “phá án” của Bkis, ông Võ Đỗ Thắng, giám đốc Trung tâm an ninh mạng Athena, giải thích: “Trước tiên, một trong những nguyên tắc làm an ninh mạng là không phải việc gì cũng được công bố. Cá nhân tôi cảm thấy sự việc này giống như KrCERT bị qua mặt khi Bkis công bố phát hiện ra máy chủ tấn công website chính phủ của họ. Mặt khác, khi làm an ninh mạng, mọi hành động xâm nhập đều là vi phạm pháp luật trừ khi có sự yêu cầu, cho phép của các cơ quan an ninh nhà nước có thẩm quyền.

Về nguyên tắc quy trình làm an ninh mạng, đơn vị an ninh mạng phải báo cáo mọi phát hiện mới cho cơ quan nhà nước có thẩm quyền cho phép mình tiến hành thực hiện. Nếu là hợp tác quốc tế thì càng phải báo cáo rõ ràng hơn vì nếu tự ý làm thì một đơn vị nước ngoài cũng có thể tự ý xâm nhập vào server ở VN và thông tin ra ngoài. Một đơn vị tự ý xâm nhập một server khác coi như đã vi phạm pháp luật. Bất kỳ hành động kiểm tra máy tính nào khác mà lấy được thông tin bên trong nó dù chỉ là 1 byte dữ liệu đều là xâm nhập trái phép”.

Sai thì từ topic đầu đã thấy là sai rồi. Nhưng ai có cách nào gỡ giúp Bkis không? Nhẹ lỗi 1 chút

http://cuocsongso.thanhnien.com.vn/news/Pages/200930/20090720095053.aspx có đoạn:

Về cách thức “phá án” của Bkis, ông Võ Đỗ Thắng, giám đốc Trung tâm an ninh mạng Athena, giải thích: “Trước tiên, một trong những nguyên tắc làm an ninh mạng là không phải việc gì cũng được công bố. Cá nhân tôi cảm thấy sự việc này giống như KrCERT bị qua mặt khi Bkis công bố phát hiện ra máy chủ tấn công website chính phủ của họ. Mặt khác, khi làm an ninh mạng, mọi hành động xâm nhập đều là vi phạm pháp luật trừ khi có sự yêu cầu, cho phép của các cơ quan an ninh nhà nước có thẩm quyền.

Về nguyên tắc quy trình làm an ninh mạng, đơn vị an ninh mạng phải báo cáo mọi phát hiện mới cho cơ quan nhà nước có thẩm quyền cho phép mình tiến hành thực hiện. Nếu là hợp tác quốc tế thì càng phải báo cáo rõ ràng hơn vì nếu tự ý làm thì một đơn vị nước ngoài cũng có thể tự ý xâm nhập vào server ở VN và thông tin ra ngoài. Một đơn vị tự ý xâm nhập một server khác coi như đã vi phạm pháp luật. Bất kỳ hành động kiểm tra máy tính nào khác mà lấy được thông tin bên trong nó dù chỉ là 1 byte dữ liệu đều là xâm nhập trái phép”.

Sai thì từ topic đầu đãc thấy là sai rồi. Nhưng ai có cách nào gỡ giúp Bkis không? Nhẹ lỗi 1 chút

Đồng ý lập luận luận của bác này.
Cứ theo cái đà luật rừng này thì nhiều máy chủ ở VN sắp tới sẽ lại có việc cho BKIS bảo trì bảo dưỡng, vì chỉ cần dính chú virus (tàn bạo như virus Love:lick: chẳng hạn) thì ANM thế giới sẽ thi nhau vào khống chế và diệt dùm đồng thời cuỗm đi một số thông tin nhạy cảm quốc gia...

Bác Quảng nhà mình ứ chơi với diễn đàn mà thích chơi với các báo để có nhiều độc giả ủng hộ (vì phần lớn độc giả không am hiểu IT lắm), các bác muốn phân tích công tội gì thì ý kiến với các báo luôn nhé, tớ vừa gửi 1 bài cho vnexpress.net, copy lại 1 bản ở đây

Theo dõi thảo luận trên các diễn đàn trong vài ngày qua cũng như các bài báo online tôi thấy rằng BKIS đang quanh co chối tội

Thực tế tôi không phủ nhận việc BKIS tìm ra 2 server điều khiển quá trình tấn công nhưng tôi thấy có 2 điểm sau đây BKIS đã sai hoàn toàn

Thứ nhất : đã gain control 2 server này hay nói cách khác là đã hack 2 server này khi chưa được sự đồng ý của các tổ chức có trách nhiệm cùng tham gia điều tra
Thứ hai : vì mục đích quảng bá thương hiệu mà BKIS đã tung thông tin lên mạng có thể làm cản trở quá trình điều tra truy bắt tội phạm

Khi sự việc bị phanh phui ra, BKIS vẫn không nhận sai lầm về mình mà vẫn cố quanh co thông qua các bài phỏng vấn đánh lạc hướng dư luận. Cụ thể , chính ông Nguyễn Anh Đức đã thừa nhận đã gain control của 2 server này nhưng ông Nguyễn Tử Quảng lại bảo "đó là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng", thử hỏi có cái dịch vụ nào mà lại show cái log cho mọi người đọc không ? Chưa hết, với tư cách giám đốc BKIS nhưng ông Quảng lại có những phát biểu mang tính khiêu khích đại ý như "không sợ hacker" - một tuyên bố chưa từng được những trung tâm an ninh mạng danh tiếng trên thế giới đưa ra. Nếu phân tích kĩ thì trong mọi cuộc chiến chống hacker thì hacker luôn ở thế chủ động, các cơ quan an ninh mạng chỉ bắt tội phạm và lo khắc phục sự cố, bây giờ giả sử như vì lời nói đó của ông Quảng mà giới hacker chuyển sang tấn công VN thì sao ? Nếu bắt được chúng thì những thiệt hại không đáng có đó ai sẽ gánh chịu ?

Còn nếu bàn về PR thì xin hỏi ông Quảng rằng tại sao sự việc này bị phát tán trên mạng ông Quảng không nhận được sự đồng thuận từ cộng đồng mạng , còn bảo rằng mình bị chơi xấu ? Có phải do cách PR của ông có vấn đề nên không chiếm được cảm tình từ cư dân mạng. Tôi thiết nghĩ ông nên về tập trung phát triển phần mềm BKAV còn rất nhiều lỗi của ông và chú ý lại lời ăn tiếng nói của mình nếu như còn muốn đưa BKIS ra xa hơn với thế giới.

Hoàng Khương

Hài nhất là cái vụ từ "tấn công chiếm quyền kiểm soát server cực kì mệt nhọc" (đã được mô tả mệt nhọc như phim kiếm hiệp) chuyển sang "server lấy log dễ như bà già ăn cháo - con trẻ đọc báo vnexpress". Đời còn ai tin được chúng nó nói nữa nhỉ. Đúng là ý trời mà...

Bác chỉ được cái nói đúng :D. Đọc thấy 10 thằng cày trâu bò 25giờ cuối cùng thì chỉ một thằng gà mờ nó cũng thâm nhập để đọc được. Quả là tự I*******A vào mặt mình.

PS : Sorry vì em xai 1 từ không có nghĩa, mod thông cam

Nghe nói local attack là có thể được log :D

Hôm nay Bkis sẽ có báo cáo, các bác chịu khó chờ vậy:

Hôm nay, BKIS sẽ báo cáo vụ việc
TT (Hà Nội) - Dự kiến hôm nay (21-7), ông Nguyễn Tử Quảng (BKIS) chuyển bản báo cáo chi tiết tới lãnh đạo trường Đại học Bách Khoa và trình bày vụ việc.

Liên quan đến vụ BKIS “phá án”, trao đổi với Tuổi Trẻ chiều 20-7, GS.TS Nguyễn Trọng Giảng, hiệu trưởng Trường ĐH Bách khoa Hà Nội, cho biết sau khi nhận được công văn khẩn do Trung tâm Ứng cứu khẩn cấp máy tính VN (VNCERT) gửi lãnh đạo Trường ĐH Bách khoa “đề nghị quý trường nhắc nhở Trung tâm BKIS”, ông đã trực tiếp trao đổi với giám đốc Trung tâm BKIS để tìm hiểu thông tin về vụ việc và yêu cầu ông Nguyễn Tử Quảng có bản báo cáo chi tiết toàn bộ quá trình diễn tiến kèm theo các văn bản liên quan.

Trong đó, ông Giảng cho hay đã yêu cầu ông Nguyễn Tử Quảng phải trình được những bằng chứng, ví dụ như email, cho thấy phía Hàn Quốc có yêu cầu sự hỗ trợ.

Dự kiến hôm nay (21-7), ông Nguyễn Tử Quảng chuyển bản báo cáo chi tiết tới lãnh đạo trường và GS Giảng sẽ nghe trung tâm trình bày. Ông Giảng nhìn nhận: “Theo đánh giá của tôi, đây là sự việc phức tạp và có một số vấn đề tế nhị, vì thế cần tìm hiểu kỹ và có đủ thông tin nhiều chiều trước khi đưa ra nhận định.

Điều chúng tôi quan tâm nhất là có hay không việc phía Hàn Quốc yêu cầu giúp đỡ vì hiện thông tin giữa các bên đang trái chiều nhau. Thứ hai, nếu có yêu cầu thì biện pháp kỹ thuật mà BKIS sử dụng để thực hiện việc tìm ra nguồn gốc các cuộc tấn công đó ra sao, có phù hợp với các quy định của VN và thông lệ quốc tế hay không”.

Cũng liên quan đến vụ việc này, một cán bộ điều tra của Bộ Công an cho rằng chưa ai có bằng chứng chứng minh BKIS có sai phạm trong vụ này. Do đó, để xác định BKIS sai hay đúng, trước hết các bên liên quan phải đưa ra được những chứng cứ để buộc tội BKIS.

Căn cứ theo điều 226a Bộ luật hình sự sửa đổi bổ sung quy định về “Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số của người khác” thì hành vi vi phạm gồm “cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác truy cập bất hợp pháp vào mạng máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số của người khác...”. Trong trường hợp này, phải xác định hai server mà BKIS truy cập có ở trạng thái được bảo vệ hay không, nếu truy cập tự do thì không thể xác định BKIS truy cập bất hợp pháp.

Ngoài ra, đến nay các cơ quan chức năng (kể cả VNCERT) chưa có chứng cứ về việc BKIS truy cập vào các server này như thế nào; thứ hai, người bị hại (chủ quản lý hai server được cho là bị tấn công) cũng chưa có khiếu nại, chưa nêu lên hậu quả của việc BKIS truy cập; thứ ba, nếu đây là server do hacker quản lý thì có thể coi việc lấy được các thông tin chứng minh hành vi của tội phạm để phục vụ điều tra là tích cực. Do đó, để khẳng định BKIS sai hay đúng các cơ quan chức năng cần phải có đủ dữ liệu, chứng cứ để chứng minh và BKIS cũng cần hợp tác.


Đức: cảnh sát không được tấn công vào máy tính có nghi ngờ

Năm 2007, Tòa án tối cao liên bang Đức ra phán quyết không cho phép cảnh sát bí mật tấn công vào các máy tính họ nghi ngờ trong các chiến dịch điều tra tội phạm. Bộ trưởng nội vụ Đức Wolfgang Schable là người ủng hộ việc cho phép cảnh sát tiến hành các vụ tấn công nói trên.

Ở Úc, tháng 3-2009, chính quyền bang New South Wales cho phép cơ quan cảnh sát tiếp cận từ xa một máy tính tình nghi trong thời gian 7-28 ngày. Tuy nhiên, cảnh sát chỉ được thực hiện quyền đó sau khi có trát của một thẩm phán thuộc tòa án tối cao.

HẢI MINH tổng hợp
M.QUANG - T.HÀ

http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=327555&ChannelID=16

1.Vấn đề "Công hay tội" : không phủ nhận công lao của Bkis nhưng cần nhìn lại cách thực hiện.Bkis có cái tâm "khá tốt" nhưng cái tầm nhìn thì chưa cao.
2.Vấn đề nội bộ : Mình ủng hộ mọi ý kiến đưa ra nhưng "đối việc ko đối nhân". Mổ xẻ vấn đề vì sự việc này là tiền lệ cho các vụ tiếp theo.(xâm nhập hợp pháp hay bất hợp pháp ở server nước ngoài)
3.Vấn đề báo chí : hãy để các cơ quan chức năng có thẩm quyền đưa ra ý kiến cuối cùng. Dù sự việc đúng hay sai thì mỗi người trong chúng ta (ddth) đều biết dù có thể là "ai cũng hiểu nhưng 1 vài người không hiểu".
4.Đây là ý kiến riêng của mình.

Bạn có vẻ giỏi nghiệp vụ điều tra quá nhỉ?
Giỏi thế sao lại nghĩ được có đến vậy? Sau khoảng 10 ngày mà các bạn *CERT (mà có lẽ là được bạn tôn sùng, cho là người Việt Nam ta kém xa) đã bó tay phải cầu cứu khắp nơi. Bkis ra tay và tuyên bố đã lần ra một số dấu vết, với dấu vết ban đầu này đã phá vỡ bế tắc, điều tra mới được mở rộng ra.
Nếu tuyên bố này gây "bứt dây động rừng" thì 100% là các bạn *CERT không thể để yên và còn công nhận công lao của Bkis.
Người ngoài còn công nhận vậy mà trong nước lại soi mói nhau, thật đáng buồn thay.
Người ta đang mời 4 công ty Luật chuẩn bị kiện kìa, bạn tỉnh giấc đi là vừa...

Đọc xong bài viết của bác Kền và một số ý kiến nhận định khác mình thấy có một thắc mắc thế này:Giả sử một nhóm hoặc một tổ chức bảo mật nào đó đột nhập vào hệ thống thanh toán của một ngân hàng thông qua lỗ hổng nào đó.Sau đó nhóm hoặc tổ chức này lại thông báo lỗi này về đội ngũ bảo mật của ngân hàng-->1:nhóm hoặc tổ chức này có mắc tội không?Nếu họ mắc tội thì sẽ sử như thế nào.2:Nếu họ làm việc này mà vi phạm pháp luật thì những lỗ hổng như ngân hàng kia không bao giờ đc phát hiện hoặc chờ hacker nào đó kiểm soát rồi khi vụ việc vỡ lở ra rồi thì mới tìm cách fix đến lúc này thì e là đã quá muộn

Đôi lời thắc mắc

Đâu cần phải giả sử, chuyện này xảy ra như cơm bữa ấy mà, ngân hàng cũng từng bị qua mà website của các cơ quan chính phủ cũng không ngoại lệ.

Dân "Mũ Trắng" khi kiếm ra lỗ hổng security mà âm thầm báo riêng cho khổ chủ để người ta patch lại thì được khen thưởng, ngược lại dân "Mũ Đen" lại dùng cái lỗ hổng đó để tấn công vào system, đột nhập vào trái phép, chiếm quyền kiểm soát hệ thống, lấy đi dữ liệu mật (kể cả logs), rồi khoe "kỳ công" của mình ra ngoài để nổi danh. Trong nhà tù Mỹ chẳng thiếu gì thành phần thứ hai.

Một khi bạn đã chọn cách làm của Mũ Đen thì bạn đã không xem pháp luật ra gì, cho dù bạn đã có ý tốt để cảnh báo lỗ hổng rồi mà công ty kia chậm chạp trong việc sửa sang thì cũng không có nghĩa là bạn có thể xông vào muốn lấy gì thì lấy, chứ đừng nói là tự tiện "đoạt quyền kiểm soát" ngay từ đầu. Nếu như hành động này được tha bổng, cái gọi là tinh thần trách nhiệm của người viết luật cũng như là người thực thi pháp luật bị quẳng vào thùng rác thì sẽ để lại tiền lệ cực xấu cho tương lai, lần sau đứa hacker nào bị tóm cũng rên khóc là mình đã download một mớ data mật chỉ vì "có ý tốt" thì làm thế nào?

Ấy nhưng đây là nói đến luật pháp công minh mà thôi, còn nếu như dùng luật rừng thì có thể kết quả lại khác, có khi tự khoe thành tích hack lại còn được báo chí khen giỏi là đằng khác.

PS: Chi tiết của luật chống xâm nhập network trái phép tại Việt Nam đã được VK post lên trong Phần 1, mọi người có thể xem lại cho rõ.

Nói chung là những phát biểu của bờ kít ngày càng trớt quớt nhau, và cũng càng ngày càng chẳng có điều gì để chứng minh cả.

Ban đầu đăng trên blog là đã tìm ra được master server, và chiếm được quyền điều khiển của 2 trong số 8 cái. Nhưng sau khi dùng báo chí để công bố thông tin điều tra xong, trước nguy cơ bị kiện vì vi phạm luật, họ lại nói rằng chỉ phát hiện ra cái dịch vụ chia sẻ gì đó ( hoàn toàn hợp lệ)

Chẳng hiểu bờ kít nghĩ rằng họ cao siêu đến độ không ai có thể hình dung ra những việc họ làm hay sao mà lại đưa ra những phát biểu chẳng có một chút xác thực nào.
Trong quan điểm của em, bờ kít đang cố gắng che dấu các sai trái:

1-Xâm nhập vào server bất hợp pháp là vi phạm pháp luật, VN và QT.
2-Chẳng có cái web server nào mà lại show log ra như vậy cả, ngay cả cái server test em còn chẳng siêng để mà show ra, hehe!
3-Coi log server thông qua dịch vụ chia sẻ mà dám nói là "gained control" sao?

Và cuối cùng, em thấy được rằng bờ kít chẳng làm đựoc cái gì trong những ngày vừa qua cả. La to rồi lại biện hộ, không hiểu họ đang làm gì đây?

Em đọc hôm qua tới nay tối tăm mặt mũi luôn, nên em viết vài chữ tham gia cho nó tỉnh lại, mong các bác và mod đừng ném em. Các pác cứ vd là bắt thằng ăn trộm với bẻ tay thằng ăn cướp, ở đây em thấy chả bắt đc thằng nào cả, chỉ là tìm đc 1 vật chứng gây án trong 1 đống vật chứng thui.

thứ ba, nếu đây là server do hacker quản lý thì có thể coi việc lấy được các thông tin chứng minh hành vi của tội phạm để phục vụ điều tra là tích cực.

Không tấn công vào để xem thì sao biết nó "kiểm soát bởi hacker"?
Tấn công vào server "bị nghi ngờ" không có nghĩa là server đó đã là thủ phạm. Tấn công xong, "em nhầm, ko phải hacker" rồi out, cũng được nhỉ?

1.Vấn đề "Công hay tội" : không phủ nhận công lao của Bkis nhưng cần nhìn lại cách thực hiện.Bkis có cái tâm "khá tốt" nhưng cái tầm nhìn thì chưa cao.
2.Vấn đề nội bộ : Mình ủng hộ mọi ý kiến đưa ra nhưng "đối việc ko đối nhân". Mổ xẻ vấn đề vì sự việc này là tiền lệ cho các vụ tiếp theo.(xâm nhập hợp pháp hay bất hợp pháp ở server nước ngoài)
3.Vấn đề báo chí : hãy để các cơ quan chức năng có thẩm quyền đưa ra ý kiến cuối cùng. Dù sự việc đúng hay sai thì mỗi người trong chúng ta (ddth) đều biết dù có thể là "ai cũng hiểu nhưng 1 vài người không hiểu".
4.Đây là ý kiến riêng của mình.

Tôi ủng hộ bạn về ý kiến có cái tâm "khá tốt"
1. Muốn giúp đỡ phía HQ giải quyết
2. Muốn nâng tầm CNTT VN với thế giới
3. Muốn quảng bá BKIS với thế giới

Trước khi biết tới topic phần 1, vài ngày trước đó có một anh bạn gửi cho tôi link bài viết tiếng anh về việc BKIS tìm ra 2/8 server DDoS các site chính phủ HQ, đọc sơ bộ tôi cũng thấy bất ngờ việc BKIS đi "xa" như thế. Nhưng sau khi tìm hiểu sâu vào thì mới thấy "ý tốt" này đi không đúng hướng và đúng lúc một chút nào.

Không ai tính công cho một người mà "chỉ điểm" cho công an tới nhà tội phạm trong khi tội phạm đã đi hết... Như vậy BKIS chỉ là người chỉ điểm? Đáng lẽ ra họ cần trao đổi thông tin mật với nhau và liên hệ với nước sở tại nơi 2 máy chủ đó đang hoạt động và có kế hoạch kiểm tra hoặc bắt giữ, nếu đúng là như thế thì việc BKIS đột nhập vào 2 máy chủ đó có lẽ chẳng có gì đáng bàn. Nhưng BKIS đã không làm vậy, họ mới chỉ tìm được "nơi chú ẩn" của 2 máy chủ mà đã làm "chấn động toàn cầu" khiến cho các hacker "không cánh mà bay" và tiêu tan hết cơ hội tiêu diệt tận gốc mối hiểm họa này.

Thiết nghĩ một "cơ quan" áp dụng được điều luật đó thì nên có hành động chín chắn và đáng lưu tâm hơn. Đừng vì một phút "lỡ miệng" mà làm hỏng hết uy tín.



Căn cứ theo điều 226a Bộ luật hình sự sửa đổi bổ sung quy định về “Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số của người khác” thì hành vi vi phạm gồm “cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác truy cập bất hợp pháp vào mạng máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số của người khác...”. Trong trường hợp này, phải xác định hai server mà BKIS truy cập có ở trạng thái được bảo vệ hay không, nếu truy cập tự do thì không thể xác định BKIS truy cập bất hợp pháp.

Không có một máy chủ nào mở 24/24 để có thể "truy cập tự do" xem log hệ thống như trong hình được. Cho dù máy tính cá nhân ở nhà không cài phần mềm tường lửa nếu không có backdoor thì cũng khó lòng mà xâm nhập được. Thiết nghĩ các "ngài" nên đưa ra một lý do chính đáng và hợp lý hơn.

Khái niệm "Luật pháp là Luật pháp" nó là thế đó, ranh giới giữa Mũ Trắng và Mũ Đen mỏng manh như sợi chỉ, được phân chia bởi lòng tôn trọng pháp luật và tinh thần trách nhiệm, nếu lỡ chân quá đà một bước, tự cho rằng mình có thể ngồi trên luật pháp mà hành động cẩu thả là biến thành tội phạm như chơi.

Ác kền nói đúng quá.

Mũ trắng mũ đen thật chất đều là hacker mà thôi. Khác biệt duy nhất là sự thượng tôn pháp luật. Mũ đen muốn làm gì thì làm, không cần biết pháp luật nói chi hết. Mũ trắng dựa trên pháp luật mà hành động. Nếu mũ trắng cũng phớt lờ luật lệ thì còn ra trắng ra đen gì nữa, đều là 1 phường ô hợp mà thôi.

Người ta đang mời 4 công ty Luật chuẩn bị kiện kìa, bạn tỉnh giấc đi là vừa...

Thông tin này ở đâu vậy anh, tôi tò mò quá ?

Lật lại vấn đề nhá

Bkis công bố
1. Chiếm quyền kiểm soát 2 server trong 8 server hacker dùng
2. tìm ra Master server ở Anh
3. chưa thông báo cho VNCERT,KrCERT đã tuyên bố trên báo trí

Thông tin từ các nước bạn
- Master server không ở Anh hiện đang dò tới đc US chưa biết còn đi tới đâu

Vậy xét về công trạng Bkis coi như không có vì nước ngoài còn đang dò sang tới tận US
xét về tội trạng Bkis làm sai những gì tôi cũng chả cần nói ra vì ai cũng biết

btw về bài phát biểu ông Lộc tôi xin nói rõ cho mọi người biết 1 tin là Bkis là con đẻ của ông ý
phỏng vấn ông Lộc thì coi như không phỏng vấn cho lẹ =))

Mình đọc mỏi mắt cả 2 topic chỉ xin có ý kiến nhỏ chút :
1- BKIS Hack server của người ta là sai, là vi phạm luật rõ ràng, BKIS trong trường hợp khẩn cấp phải có công văn của nước ta và nước bạn cho pháp tấn công vào mới được tấn công. Bác chê người ta Hack như bác Hack luôn vào Server của nước bạn như thế là bác ý đã phạm tội.
2- Bác ý phát hiện ra server chủ Botnet đáng ra nên liên lạc với các nước bạn để truy bắt kẻ phạm tội, nhưng vì dánh tiếng "nổi bong bóng" bác ý đã công khai với cả thế giới để tội phạm đã nhanh tay xóa dấu vết đến giờ vẫn chưa truy tìm được thủ phạm. Mình theo dõi tình hình thấy bọn chủ BotNet cũng ko phải bọn thường đâu, tìm ra nó chắc khó đấy.

Chỉ có 2 ý kiến nhỏ như vậy mời các bạn tiếp tục tranh luận ^ ^

BKIS cứ viện cái lí do "tình hình khẩn cấp tôi thấy không hợp lí vì đây không phải là cứu thương hay chữa cháy , động đất hay núi lửa, sóng thần hay dịch bệnh. Lúc phát hiện ra manh mối, BKIS hoàn toàn có thể dừng lại để thảo luận với các tổ chức có trách nhiệm và tìm hướng giải quyết, tôi chắc cũng không quá lâu với những phương tiện truyền thông như hiện nay. Nhưng cái chính là BKIS háo danh, muốn chiếm trọn công trạng này nên đã làm như mọi người đã biết. Giờ thì vì nhiều lí do có thể BKIS sẽ không bị các tổ chức quốc tế kiện nhưng không vì vậy mà BKIS cho rằng mình hoàn toàn vô tội. Hy vọng qua lần này BKIS sẽ rút ra nhiều bài học cho việc mở rộng ra thế giới

cho dù bạn đã có ý tốt để cảnh báo lỗ hổng rồi mà công ty kia chậm chạp trong việc sửa sang thì cũng không có nghĩa là bạn có thể xông vào muốn lấy gì thì lấy, chứ đừng nói là tự tiện "đoạt quyền kiểm soát" ngay từ đầu....

Mình ủng hộ ý kiến bro. biết bao nhiêu người chỉ cảnh báo, rồi sau này họ cũng công bố sau khi bên ngân hàng đã fix

bkis đương nhiên đã sai ,nhưng ko hiểu anh quảng đọc cái công văn bên hàn quốc thế nào lại phát biểu rằng phía hàn dề nghị phối hợp điều tra, kể cả điều tra thì cũng phải được được phép vào nhà người ta điều tra,làm thế này thì không khác hành động của hacker.tri pháp mà phạm pháp,tội này có thể gấp đôi khung hình phạt lên cái gọi là phạt tù tới 12 năm đến chung thân,cái vụ này có lẽ cũng chẵng đi đến đâu, nó có vẻ như bkis tự động kiểm tra hệ thống máy tính của các ngân hàng việt nam mà chưa được phép của họ năm nào,tuy nhiên đây lại giây đến quốc tế.quan trên trông xuống người ta trông vào,phiền phức đây,vấn đề cốt lõi là nếu phía bên mấy cái sever kia mà người ta ko có ý định kiện cáo,truy tố gì thì cũng êm.thiên hạ có nói gì cũng bằng không.1 bài học cho kiểu làm ăn mượn chiêu bài cơ quan an ninh mạng (tức là tôi có thẩm quyền) muốn làm gì thì làm, chui vào đâu thì chui,ko phải xin phép hỏi han ai.ngay cả công an muốn bắt bớ khám xét ai cũng phải xin lệnh rồi đọc lệnh chán chê rồi mới làm gì thì làm nữa là 1 cơ quan an ninh mạng độc lập còn non trẻ như bkis

bkis đương nhiên đã sai ,nhưng ko hiểu anh quảng đọc cái công văn bên hàn quốc thế nào lại phát biểu rằng phía hàn dề nghị phối hợp điều tra, kể cả điều tra thì cũng phải được được phép vào nhà người ta điều tra,làm thế này thì không khác hành động của hacker.tri pháp mà phạm pháp,tội này có thể gấp đôi khung hình phạt lên cái gọi là phạt tù tới 12 năm đến chung thân,cái vụ này có lẽ cũng chẵng đi đến đâu, nó có vẻ như bkis tự động kiểm tra hệ thống máy tính của các ngân hàng việt nam mà chưa được phép của họ năm nào,tuy nhiên đây lại giây đến quốc tế.quan trên trông xuống người ta trông vào,phiền phức đây,vấn đề cốt lõi là nếu phía bên mấy cái sever kia mà người ta ko có ý định kiện cáo,truy tố gì thì cũng êm.thiên hạ có nói gì cũng bằng không.1 bài học cho kiểu làm ăn mượn chiêu bài cơ quan an ninh mạng (tức là tôi có thẩm quyền) muốn làm gì thì làm, chui vào đâu thì chui,ko phải xin phép hỏi han ai.ngay cả công an muốn bắt bớ khám xét ai cũng phải xin lệnh rồi đọc lệnh chán chê rồi mới làm gì thì làm nữa là 1 cơ quan an ninh mạng độc lập còn non trẻ như bkis
bổ sung là cơ quan an ninh mạng tự thành lập + gắn mắc :D

Đề nghị các đồng chí kể cả Arkain không được phép lạm dụng từ hacker. Nếu theo phân tích đã post ở bài http://www.ddth.com/showthread.php?t=290490 đúng thì làm mất mặt của cả trắng lẫn đen lắm.

Có một số quan điểm mới cho rằng việc BKIS tìm ra Nguồn phát động tấn công đầu tiên trước cả các tổ chức an ninh mạng khác là do một trong 2 giả thuyết :
1. Thủ phạm tấn công có quan hệ với phe chống Bắc Hàn nên cố tình ngăn cản không cho điều tra sớm
2. Ngược lại , mặc dù phía USCERT và KRCERT có được số liệu 8 máy chủ trước cả BKIS (điều này Thái mrro và Trung 0day đã có phân tích)nhưng không dám "Gain control" ngược lại do chưa có chỉ đạo/ đồng ý của tổ chức có thẩm quyền nơi chứa 8 máy chủ cho phép nên họ chậm chân hơn BKIS.

Mời các bạn đọc lại bài phỏng vấn Quách tiên sinh của báo Tuổi Trẻ:



Đâu phải thấy nhà mở cửa rồi tự nhảy vào

* Em học sinh đột nhập vào trang web của Trung tâm khai rằng em phát hiện trang web này có lỗ hổng, đã từng cảnh báo cho cán bộ trung tâm Tin học (TT), với công ty VDC là đơn vị tài trợ nhưng không thấy khắc phục. Ông có biết việc này không?

- Đấy là nó nói vậy, thực tế có hay không ai mà biết được. Kể cả có lỗ hổng hay không thì việc đột nhập của nó cũng là phạm tội.

* Thưa ông, các ông phát hiện ra có hacker tấn công vào lúc nào? Có nhất thiết phải phối hợp với Bộ Công an tìm đối tượng xâm nhập khi mà đối tượng đó không lẩn trốn, để lại nick và đã chấm dứt việc phá phách?

- Việc gì tôi phải nhớ đến chuyện đó. Tôi chỉ biết rằng ngay sau khi nhận được thông tin có kẻ đã vào trang web của Bộ, thay ảnh Bộ trưởng Nguyễn Thiện Nhân, cán bộ TT đã kết hợp với BKIS (Trung tâm an ninh mạng của Đại học Bách khoa) tìm đối tượng rồi chuyển giao hồ sơ cho Phòng chống tội phạm công nghệ cao thuộc Cục Cảnh sát điều tra tội phạm kinh tế và chức vụ Bộ Công an C15.

Chúng tôi hơi đâu mà vào tận Vĩnh Long để vồ nó. Chuyện đó là của bên Công an. Sau hai ngày điều tra, thủ phạm đã được xác định là Bùi Minh Trí, có nickname là GuanYu (Quan Vũ), học sinh lớp 12 tại thị xã Vĩnh Long, tỉnh Vĩnh Long. Tuy nhiên, muốn biết rõ thế nào thì hỏi nó.

* Đối tượng tấn công đang là một học sinh. Việc mình khẳng định đó là tội phạm liệu có nặng quá không?

- Nhà của mình là nhà đàng hoàng, mở cửa không có nghĩa là thằng trộm đi qua được quyền nhảy vào. Tất nhiên mình cũng có lỗi trong chuyện này. Bố con của nó ngày nào cũng điện thoại cầu xin bọn tôi nhưng luật hình sự đã ghi rõ rồi, cứ có tội là xử lý.

* Là người quản trị trang web của Bộ, ông sẽ làm gì để không để xảy ra sự cố như vừa rồi, thưa ông? Và sau sự việc này, ông có “cẩn thận” hơn không?

- Tôi không thể khẳng định được điều gì cả. Đến ngay như trang web của Quốc Hội Mỹ, của FBI hay CIA còn bị hacker tấn công đấy chứ. Hãng Microsoft là hãng sản xuất phần mềm nổi tiếng, hàng ngày, hàng tháng người ta còn phải cập nhật những lỗ hổng và định dạng những hacker mới để có cách chống nữa là. Đây là sự việc lần đầu tiên chúng tôi gặp.

* Xin cám ơn ông.


Và đây là quan điểm cứng rắn của "tổng tiêu đầu" về vụ việc trên:



Chủ trang web chưa quan tâm đến bảo mật

Việc tấn công vào trang web dù dưới hình thức nào cũng bị coi là hacker. Phần lớn tội phạm trong lĩnh vực công nghệ thông tin sau khi bị bắt đổ cho lỗi này, lỗi kia. Việc một thanh niên còn ngồi trên ghế nhà trường vẫn có thể tấn công và quấy nhiễu một website mang tầm quốc gia là chuyện bình thường.

Hầu hết công ty viết phần mềm chưa quan tâm đến đảm bảo an ninh mạng. Các đơn vị sử dụng cũng chưa thực sự có ý thức về vấn đề này nên không yêu cầu những nhà sản xuất có phương án xử lý hay tư vấn về kiến thức an ninh mạng. Các công ty này rất hiếm kỹ sư đủ kiến thức xử lý về an ninh mạng khi có sự cố. Về mặt luật pháp, tính răn đe chưa cao bởi phần lớn các trường hợp vi phạm chỉ bị xử lý hành chính, cứ có đủ tiền nộp phạt là được trả về nhà. Luật pháp cần phải sửa đổi với hình thức xử phạt nặng hơn.


Mời các bạn cho ý kiến.

'Bkis hợp pháp trong quá trình tìm ra địa chỉ phát tán virus'


Trao đổi với Đất Việt, ông Nguyễn Minh Đức, giám đốc công nghệ của Bkis cho biết: "Bkis hoàn toàn có thể chứng minh tính hợp pháp trong quá trình tìm ra địa chỉ phát tán virus và sẵn sàng với trường hợp xảy ra khiếu kiện".

>> 25 giờ truy lùng tin tặc
>> Bkis phát hiện nguồn gốc hacker tấn công Hàn Quốc

Ngày 12/7 - 14/7, trung tâm Bkis phát hiện 8 máy chủ điều khiển mạng "máy tính ma", lợi dụng 167.000 máy tính tham gia vào cuộc tấn công tin học vào các website của chính phủ Mỹ và Hàn Quốc. Bkis đã khống chế hai trong số 8 máy chủ trên để tìm ra địa chỉ phát lệnh tấn công của các hacker.

"Tại thời điểm khống chế, hai máy chủ đang ở trạng thái cung cấp dịch vụ chia sẻ, do đó, bất kỳ ai cũng có thể truy cập. Chúng tôi đã khống chế chứ không tấn công (attack) hay hack. Bkis đã hoàn toàn tuân thủ theo luật pháp quốc tế và Việt Nam trong trường hợp này. Nếu khi đó, hai server đòi hỏi người truy cập phải nhập user và password thì sẽ là chuyện khác", ông Đức cho biết.

Cũng theo ông Đức, Bkis là đơn vị có kinh nghiệm 14 năm hoạt động trong lĩnh vực an ninh thông tin, từng tổ chức nhiều khóa học về luật pháp liên quan đến vấn đề này.

Bkis cho rằng họ không tấn công mà chỉ khống chế hai server để lần ra địa chỉ phát tán. Còn phía KrCERT cho rằng, Bkis đã tấn công, chiếm quyền điều khiển hai server này.

Luận điểm mà ông Đức đưa ra nhằm bác bỏ một nội dung trong công văn mà Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) gửi ĐH Bách Khoa Hà Nội, cho rằng: "Việc Bkis thừa nhận tấn công và chiếm quyền điều khiển hai server để tiến hành phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế".

Sở dĩ, có việc gửi công văn này là do ông Jinhyun Cho, một nhân viên của Trung tâm Ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT) gửi email tới VNCERT phàn nàn về việc Bkis công bố trên blog thông tin liên quan tới việc phát hiện địa chỉ phát động cuộc tấn công. Theo đó, KrCERT đã không đề nghị Bkis hỗ trợ điều tra thủ phạm như các thông tin mà Bkis công bố.

Tuy nhiên, khi làm việc với Đất Việt, ông Nguyễn Minh Đức dẫn ra đề nghị từ ông Terrence Park, một thành viên khác của KrCERT, gửi riêng cho Bkis và VNCERT, đề nghị ngăn chặn một số nguồn tấn công từ Việt Nam, đồng thời đề nghị điều tra, giải quyết vấn đề, vào lúc 13h42 ngày 12/7.

Theo ông Đức, rất có thể, vì lý do uy tín bị ảnh hưởng sau khi Bkis công bố thông tin, nên nhân viên của KrCERT đã hành động như vậy. "Khác với các lĩnh vực công nghệ cao khác, ngành công nghệ thông tin và an ninh mạng của Việt Nam bình đẳng với thế giới. Thậm chí, người Việt Nam còn có sở trường đấu tranh với kẻ xấu (các hacker)", ông Đức nói.

Dựa vào việc dịch ngược mã virus, Bkis đã lần ra nơi phát tán cuộc tấn công. Ảnh: Tuấn Linh

Trong công văn gửi ĐH Bách Khoa Hà Nội của VNCERT còn có đoạn nhắc nhở Bkis BKIS trả lời KrCert cần cung cấp thông tin cảnh báo và sự cố cho VNCERT, đồng thời chỉ cung cấp cho các bên liên quan. Vì theo ông Đỗ Ngọc Duy Trác, trưởng phòng nghiệp vụ VNCERT, Trung tâm Ứng cứu khẩn cấp máy tính Châu Á - Thái Bình Dương (APCERT), quy định tất cả thông tin trao đổi phải được lưu hành nội bộ và phải xin phép các thành viên có liên quan trước khi công bố cho công chúng.

Về việc này, ông Đức cho biết, Bkis đã "làm hết trách nhiệm" khi gửi kết quả điều tra chi tiết tới KrCERT và các cơ quan chức năng tại Mỹ. Tuy nhiên, nếu trường hợp tương tự xảy ra, Bkis sẽ gửi bản báo cáo sơ bộ tới VNCERT. Theo ông Đức, trong sự việc này, Bkis chưa gửi báo cáo tới VNCERT vì việc điều tra gấp gáp và còn dang dở.

Ông Đức cho biết thêm, Bkis đang hoàn thành báo cáo chi tiết gửi lãnh đạo ĐH Bách Khoa Hà Nội, trình bày về vụ việc. Cũng theo ông Đức, trong báo cáo này, ngoài việc đưa ra các bằng chứng bảo vệ việc đưa tin, Bkis dự định yêu cầu VNCERT giải thích lý do văn bản của Trung tâm này gửi ĐH Bách Khoa "bị rò rỉ" ra ngoài, trong khi VNCERT tuyên bố, đây là việc nội bộ giữa các bên liên quan.

Ngày 17/7, một phần công văn của VNCERT gửi ĐH Bách Khoa Hà Nội xuất hiện trên Diễn đàn tin học (ddth.com), với chú thích của thành viên Vikhoa: “Hôm nay, có một số báo nhận được công văn của VNCERT gửi cho trường ĐHBKHN từ hôm 16/07/2009. Tôi cũng được đọc công văn này nên xin trích ra 1 đoạn cho các bạn tham khảo”:

Nhận xét về việc này, ông Nguyễn Trọng Giảng, hiệu trưởng ĐH Bách Khoa Hà Nội cho biết, công văn được chuyển tới dạng văn bản giấy qua chuyển trực tiếp và đường truyền fax, việc các đơn vị truyền thông nhận công bố thông tin này có thể do họ nhận được công văn tương tự. Còn ông Vũ Quốc Khánh, giám đốc VNCERT cho biết, ông không hiểu bằng cách nào, báo chí và dư luận lại có được nội dung công văn đó.
Tuấn Linh


http://www.baodatviet.vn/Home/KHCN/Bkis-hop-phap-trong-qua-trinh-tim-ra-dia-chi-phat-tan-virus/20097/50545.datviet

Mấy bác ấy vẫn ....

Giờ này còn cãi cọ gì nữa. Ngày mai sẽ rõ kết quả thôi.

PS: Theo quan điểm riêng tôi thì cách làm việc của BKIS rất nghiệp dư. Để sánh vai với thế giới thì còn xa lắm.


"Tại thời điểm khống chế, hai máy chủ đang ở trạng thái cung cấp dịch vụ chia sẻ, do đó, bất kỳ ai cũng có thể truy cập. Chúng tôi đã khống chế chứ không tấn công (attack) hay hack. Bkis đã hoàn toàn tuân thủ theo luật pháp quốc tế và Việt Nam trong trường hợp này. Nếu khi đó, hai server đòi hỏi người truy cập phải nhập user và password thì sẽ là chuyện khác", ông Đức cho biết.

Ý bạn Đức nói là nếu nhà ai đó không khóa cửa thì có quyền vào xem 1 vòng không cần biết là chủ nhà có đồng ý hay không. Thứ 2, bạn Đức nói server có cung cấp dịch vụ chia sẻ, sao không nói thẳng ra là dịch vụ gì ? chia sẻ kiểu gì mà xem được file logs của server hay vậy ?

Chui vô server người ta ngồi đọc log mà bảo là hợp pháp thì thật là...
Shared server cái ai muốn đọc log thì đọc?!

Nếu khi đó, hai server đòi hỏi người truy cập phải nhập user và password thì sẽ là chuyện khác", ông Đức cho biết.Mèn đéc ơi, server cho lấy cả logfile mà không đòi hỏi user name + pass à? Hô hô, nếu mà thực sự có 2 con server như vậy trên cõi đời này thì nó đã banh xác từ lâu trước khi Bkis rớ vào rồi lol

/* BKIS lợi dụng sự không hiểu biết về tin học của người đọc, người viết báo, và của mấy đồng chí bộ trưởng để lừa phỉnh họ. */

“Chúng tôi đã khống chế chứ không tấn công (attack) hay hack” (tuổi trẻ), đây là một câu tuyên bố đậm tinh thần BKIS. Việc BKIS đầu tiên tuyên bố “tấn công ngược” nay lại thay bằng chỉ “không chế chứ không tấn công” chứng tỏ rằng câu tuyên bố đầu tiên chỉ là 1 câu đánh bóng thương hiệu. Thật chất không có việc tấn công ấy.

/* Ở đây tôi muốn bài thêm về việc “khống chế”.*/

Thế nào là khống chế? Nếu server đó bảo mật kém, có thể không cần root, chỉ user bình thường thông qua dịch vụ web mà đọc được access log thì đó không gọi là khống chế. Đó gọi là may mắn.
Nếu server đó bảo mật bình thường, cần root mới đọc được access log, thì “khống chế” để đọc là một việc phạm pháp, và dù đã thay “tấn công ngược” thành “khống chế” đi chăng nữa thì nó cũng không thay đổi giá trị trong giới CNTT. Tiếc thay, người đọc bình thường không hiểu về tin học sẽ nghĩ, “àh, tất nhiên khống chế không có tội, chỉ có tấn công mới có tội chứ.”

/* Vấn đề thứ 2 tôi muốn bàn là về tính đúng đắn của sự việc. */

Việc một ai đó DDoS các trang web của US và KR là một việc lớn. Người làm ra nó tất cũng không phải tầm thường. Vì hiển nhiên một người bình thường không rành tin học thì còn chưa hiểu botnet là gì chứ đừng nói DDoS. Người đó đủ sức tạo ra 1 mạng botnet rộng lớn, đủ gan để DDoS US và KR, thì cớ gì lại thiếu những kiến thức cơ bản về proxy được. BKIS mới dò ra được node đầu tiên của mạng lưới proxy đã khoe ngay thành tích và xác định đó là master server là một điều sai lầm.

Tôi cũng hơi thất vọng khi mà BKIS tự hào có những bộ óc giỏi nhất trường BK lại có thể đưa ra một nhận định tệ vậy. (Tôi cũng từng là sinh viên BK). BKIS còn chưa biết là master server connect vào C&C thông qua bao nhiêu lớp socks bao nhiêu lớp proxies nữa là. Đó là chưa kể nguyên tắc cơ bản nhất của việc phá hoại là không bao giờ làm tại nhà riêng.

Những nơi đông người với wifi chung mới là nơi thủ phạm hoạt động. Đó cũng là lý do tại sao ít ai công bố thông tin trước khi điều tra xong, vì police họ cũng cần có thời gian sắp đặt bẫy để bắt đối tượng.

/* Trở về chủ đề là BKIS có công hay tội, theo tôi nghĩ, BKIS có cả công lẫn tội. */

BKIS có công tìm ra được proxy đầu tiên trong chuỗi proxy của master server.

BKIS có công quảng cáo cho CNTT Việt Nam. Các bạn phải thừa nhận một điều rằng không phải dân quốc tế ai cũng biết BKIS nổ. Họ đọc bài báo của KR, của US, và đều hoan hô BKIS và VN. Đồng nghiệp trong cty tôi còn khen sao VN giờ giỏi vậy. Tôi vừa tự hào, nhưng cũng vừa thấy buồn. Cũng may mà họ không ngồi phân tích các việc BKIS làm, chứ nếu không tôi cũng không biết trả lời như thế nào.

BKIS vừa có công giúp đỡ điều tra, nhưng cũng vừa có tội phá hoại điều tra. Có công vì đã tìm ra thêm thông tin (nhưng chưa chắc US và KR không biết—vì họ không công bố không có nghĩa họ không biết). Có tội vì không khiêm tốn mà phá vỡ các chiến lược điều tra của US và KR. Vấn đề này tội nặng hơn công.

Nói công bằng ra thì tội BKIS không nhiều bằng công quảng bá cho nền CNTT Việt Nam. Nhưng BKIS đang mắc phải một bản án lương tâm.

BKIS vô lương tâm. Trong vụ án em Bùi Minh Trí xâm nhập vào website bộ giáo dục, mặc dù em rất thiện chí, gửi mail cảnh báo lỗ hổng, chấm dứt đột nhập và cũng không lẩn trốn, BKIS tuyên bố em đó phạm luật. Thế nay, khi BKIS tuyên bố “tấn công ngược” (trước kia) “khống chế” (bây giờ), thì BKIS tuyên bố mình không phạm luật. Việc bóp méo sự thật, sẽ làm dân mất lòng tin vào luật.

BKIS vô lương tâm khi đẩy Việt Nam vào vòng nguy hiểm chỉ vì sự háo danh của họ. Mặc dù tôi cũng không tin sẽ có DDoS nhắm vào Việt Nam, nhưng vì háo danh mà gây nên hậu quả thì thật là tệ. Dù khả năng nhỏ nhoi thôi, nhưng nếu chỉ cần 1/10 hệ thống botnet kia mà redirect vào Việt Nam thì tôi bảo đảm mạng chỉ có mà sập thôi. Lúc đó thì hết vô ddth đặt topic complain nhé :innocent:.

BKIS vô lương tâm khi làm mất mặt CERT Việt Nam. KR sau vụ này sẽ còn dám chia sẻ nhiều thông tin bảo mật cho Việt Nam nữa hay không? Sau vụ này các tổ chức quốc tế nói chung và APCERT nói riêng còn tin tưởng Việt Nam nữa không? Lần sau BKIS “begged” for malware họ có còn share nữa không? Việc BKIS qua mặt VNCERT như vậy cũng làm cho KRCERT mất lòng tin về đối tác VNCERT, nghĩ rằng VNCERT không có khả năng quản lý. Hậu quả “không nhìn thấy được” cho quốc gia không nhỏ.

Phát biểu của Vụ trưởng Đỗ Văn Lộc, “Tôi không rõ vì sao lại đặt ra vấn đề vi phạm luật của các chuyên gia Bkis khi không có khởi kiện.” (vnexpress, par. 13) làm tôi băn khoăn việc BKIS có đang được các bộ ngành “thương” quá nên không chú ý đến tội chăng? Vì sao phải có kiện mới xét chuyện phạm luật? Chẳng lẽ không ai kiện thì cứ việc phạm luật thoải mái sao? Mối quan hệ của BKIS với các cán bộ trên như thế nào, mà mỗi khi có công thì BKIS được nêu cao, còn có tội thì thông tin bị chìm nhanh chóng?

P.S: Tôi xin lỗi vì lâu ngày không có dùng ngôn ngữ của dân tộc nhiều nên chắc có lỗi chính tả hoặc câu cú, xin các bạn bỏ qua. Cũng lâu rồi không vào thăm lại ddth, mấy hôm nay thấy Vi Khoa để YIM status vui vui vào đọc chơi, thấy toàn tên mới, không còn ai quen cả, buồn quá :kiss:.

Bài viết của Kem_Wall quá đầy đủ và chính xác.

Hy vọng những người có liên quan vô đọc và có những hành động cho phù hợp như một người trưởng thành!

Thanks KEM_WALL vì bài viết có Công và Tội của BKIS nói riêng và nền CNTT Việt Nam nói chung :D

BKIS mà đọc dc bài viết của KEM_WALL thì phải xem xét lại nhiều đó, bài viết rất thực

Nếu ai thực sự hiểu biết về tin học thì không thể nào phản đối lại ý kiến sắc sảo của KEM_WALL. Thank you for that.

Khi đi học thường được nghe câu. Phong ba bão táp không bằng ngữ pháp Việt Nam.
Cũng với từ báo hiệu người chết: Ta nói cụ ây chết rồi,Cụ ấy quy tiên rồi,Cụ ấy đi rồi,Cụ ấy về suối vàng rồi-->Đều chỉ người chết.
Cái từ khống chế và tấn công trong trường hợp này thực ra là 1. Chỉ có điều các anh khéo vận dụng từ ngữ Việt Nam để lẩn tránh mà thôi.

[=========> Bổ sung bài viết <=========]

Bác kem_wall có một bài viết rất công tâm. Hy vọng các đồng chí Bkis xem lại chính những hành động của mình.