BKIS: Công hay Tội? (phần 2)

[vikhoa]

Link Phần 1: http://www.ddth.com/showthread.php?t=289633

Topic trên đã quá dài và có nhiều ý kiến "loãng" do nhiều bạn không theo dõi hết hoặc không hiểu vấn đề.

Nhân bài trả lời của Mr. Nguyễn Tử Quảng trên báo Tuổi Trẻ (http://nhipsongso.tuoitre.com.vn/Ind...0&ChannelID=16) và nhiều báo khác, tôi xin trích lại 1 phản hồi của bạn đọc trên báo Pháp Luật. (http://www.phapluattp.vn/news/xa-hoi...news_id=262316)

Đây cũng là vấn đề thảo luận của topic phần 2 này, xoay quanh các trả lời chính thức của Mr. Nguyễn Tử Quảng đối với báo chí.

Đọc kỹ trả lời của Nguyễn Tử Quảng, Giám đốc BKIS trên các báo và khảo sát các tư liệu để tìm xem lý lẽ của Nguyễn Tử Quảng có thể tin cậy được không khi phản đối VnCERT, tôi có mấy nhận định sau :

1. Jinhyun CHO làm đồng thời cho mấy tổ chức KISA , cho KrCERT và là trưởng tiểu ban đặc trách an ninh (SPSG - Security and Prosperity Steering Group) của APEC TEL Working Group. Địa chỉ mail: hyuni@kisa.or.kr, jinhyun.cho@gmail.com

Cụ thể vai trò 3 tổ chức đó:

• KISA (Korea Information Security Agency): Cục An ninh Công nghệ thông tin Đại Hàn.

• KrCERT (Korea Computer Emergency Response Team): đơn vị đối ứng của Đại Hàn tham gia vô tổ chức APCERT (Á Châu-Thái Bình Dương, thành lập hồi 2003).

• APEC TEL Working Group: gọi là "nhóm làm việc", nhưng có thể coi như một ủy ban về các vấn đề viễn thông và CNTT của APEC.Trong cơ cấu APEC TEL chỉ có 4 tiểu ban gọi là Steering Group, đặc trách các vấn đề: Liberalization, ICT Development, MRATF và Security Prosperity. Chức vụ trưởng tiểu ban là convenor, được bầu và có nhiệm kỳ 2 năm. Jinhyun CHO làm deputy convenor từ 2006-2008 và tới tháng 3-2008 trúng chức convenor cho tới nay (đương nhiệm).

Theo trang nầy, (http://www.itu.int/osg/csd/cybersecu..._speakers.html)

CHO từng có chân trong FIRST (Forum of Incident Response and Security Teams). CHO còn trực tiếp đứng lớp nhiều khóa huấn luyện cho các nước đang phát triển về phản ứng khẩn sự cố máy tính.

Việc CHO viết thơ cho VNCERT và APCERT với tư cách cá nhân càng cho thấy mức cẩn thận tối đa của CHO. Dọa lôi người khác ra tòa thì càng không thể cẩu thả được. Nguyễn Tử Quảng đánh giá hơi thấp hành động nầy của ông CHO.

2. Lỏng lẻo về luật pháp trong phần trả lời Tuổi Trẻ của Nguyễn Tử Quảng:

a. Jinhyun CHO khẳng định KrCERT không có yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra. Nguyễn Tử Quảng không đưa ra công văn nào mà chỉ trích email của "Terrence Park xưng danh thuộc KrCERT/CC", làm bộ coi như Park là đại diện chánh thức của KrCERT.

Trong khi đó, thư của Cho gởi từ KrCERT thì ông Quảng nhấn đi nhấn lại rằng đó chỉ là ý kiến riêng, không chính thức. Đó là thái độ tiền hậu bất nhất đối với 2 email cùng phát đi từ một nơi. Lập luận của ông Quảng tới đây có vẻ « lấp liếm », yếu lắm.

Hơn nữa, Terrence Park cũng không xa lạ gì với Jinhyun Cho. Trong file APEC TEL SPSG Workshop Report, trang 11 thấy Park đứng ngay sau Cho, đại diện cho Hàn Quốc tại hội thảo. Về Terrence Park, một tiểu sử tự thuật(1) cho hay: sanh năm 70, bắt đầu sự nghiệp ở KISA năm 2000, từ 2005 làm cho KrCERT và hiện phục vụ APEC TEL cũng như dạy các khóa huấn luyện về ICT của LHQ. Nói chung là rất gắn bó với CHO.

Khó lòng có chuyện bất đồng giữa 2 người trong việc đề nghị hay không đề nghị nước ngoài giúp đỡ.

Coi trang Twitter của Park sẽ thấy câu kêu gọi đó mang tính cách cá nhân: Bất cứ ai sẵn lòng giúp chúng tôi thoát khỏi vụ ddos « cà chớn » nầy đều được hoan nghênh. Chúng tôi thực sự muốn nó chấm dứt. (10h55 ngày 9-7-2009, có liên hệ gì với email mà BKIS nhận được lúc 9h55 ngày 10-7, theo lời ông Nguyễn Tử Quảng?)

b. Về việc chậm trễ báo cáo lên VNCERT, do không có thời gian có thể đặt nghi vấn vì sao Nguyễn Minh Đức có thời giờ chụp hình « kiểng » trên báo,gởi thông báo cho các tổ chức quốc tế. Hành động không báo cáo cho VnCERT như đã nói là trái với các khoản 1, 2, 3 điều 43 của Nghị định 64-2007.

c. Điểm tiếp theo cũng đã nói, xoay quanh việc BKIS khống chế 2 servers có phạm pháp hay không. Ông Quảng nói rất mạnh rằng CHO võ đoán. Vậy phương pháp đó ra sao. Nói chung hơi khó hình dung chuyện khống chế để tiến hành phân tích nhưng không xâm nhập bất hợp pháp.

d. Không tự dưng CHO gởi thơ cho APCERT. Có thể giả định ông nhận thấy chuyện BKIS tự ý trả lời báo chí là trái điều lệ của APCERT, phải coi lại quy chế hợp tác của tổ chức nầy . BKIS giả sử có điều tra ra kết quả một cách hợp pháp thì sau đó chỉ cần thông báo cho các đối tác có liên quan là đủ, gấp rút đơn phương công bố thông tin như vừa rồi có lợi gì cho việc giải quyết sự vụ ngoài tác dụng PR cho bản thân? Hoàn toàn không « ăn nhậu » gì đến chuyện hòa bình thế giới Mỹ-Hàn-Bắc Triều Tiên như ông Nguyễn Tử Quảng tuôn một tràng ở cuối bài trả lời báo Tuổi trẻ.

Tôi cũng xin có vài ý kiến như sau:

Thực chất đây có lẽ là nội dung được dựa trên email của ông Jinhyun Cho, tuy nhiên, trong email ông Jinhyun Cho không khẳng định những điều này, mà chỉ nói rằng ông ấy phỏng đoán là như vậy. Thực tế ông Jinhyun Cho không hề biết phương pháp khống chế 02 server nói trên mà Bkis đã thực hiện, do đó phát biểu của ông Cho là hoàn toàn võ đoán và không có căn cứ. Chúng tôi sẽ làm việc với KrCERT/CC về việc này.

Cho dù BKIS sử dụng phương pháp nào để khống chế servers thì đó cũng là chiếm quyền điều khiển servers mà không có sự đồng ý của chủ servers hoặc không có giấy phép của tòa án. Xét theo điều 72 Luật CNTT Việt Nam thì rõ ràng BKIS đã vi phạm luật.

Hiện giờ vẫn chưa thấy BKIS nói rõ 2 servers đó ở đâu, nếu ở EU hoặc US thì chắc là cũng vi phạm luật của các nước đó. Ví dụ như ở UK thì có CMA (Computer Misuse Act, 1990), ở US thì có Computer Hacking and Unauthorized Access Laws

Như vậy, có 2 trường hợp xảy ra:

1/ BKIS nói mình kiểm soát được 2 servers trên blog là sự thật -> vi phạm luật.

2/ Việc nói rằng mình kiểm soát được 2 servers trên blog chỉ là "trò đùa" -> tự các bạn nhận xét nhé.

Như tôi đã trả lời ở trên, Bkis đã giúp Hàn Quốc và Mỹ truy tìm nguồn gốc của các cuộc tấn công dựa trên đề nghị chính thức từ đại diện của KrCERT/CC. Với tư cách là đồng sáng lập của Hiệp hội các Tổ chức cứu hộ khẩn cấp sự cố máy tính khu vực Châu Á - Thái bình dương (APCERT), Bkis có trách nhiệm và có đầy đủ quyền hạn để thực hiện những việc này.

Cho dù KrCERT và cả US-CERT hay APCERT có đề nghị các thành viên APCERT (trong đó có BKIS) giúp đỡ truy tìm nguồn gốc các cuộc tấn công thì cũng không có nghĩa là BKIS CÓ QUYỀN chiếm quyền điều khiển các servers ở nước ngoài.

Có nhiều phương pháp để truy tìm, nếu phát hiện ra servers và muốn kiểm tra log thì hoặc là phải liên hệ với chủ servers để xin phép, hoặc là phải có sự đồng ý của các cơ quan pháp luật tại quốc gia mà servers đó đang đặt. BKIS không thể tự ý chiếm quyền điều khiển các servers như vậy để xem log được.

- Chúng tôi cho rằng, là một đơn vị làm việc trong lĩnh vực an ninh mạng hay một cơ quan quản lý nhà nước về lĩnh vực an ninh mạng thì không nên có quan điểm “sợ” hacker. Vì việc này sẽ khiến hacker có thể coi thường pháp luật. Với luật hình sự sửa đổi vừa được Quốc hội thông qua, Việt Nam hiện đã có tương đối đầy đủ hành lang pháp lý để xử lý các loại tội phạm trên mạng với hình phạt nghiêm khắc, có thể phạt tù tới 12 năm đến chung thân.

Đúng là các cơ quan làm về an ninh mạng không nên "sợ" hacker. Tuy nhiên, là người làm về an ninh mạng thì không nên "thách thức" hacker tấn công mình làm gì, và càng tránh được các cuộc tấn công thì càng tốt.

Thử hình dung các cuộc tấn công vào website Kr, US vừa rồi mà chuyển hướng sang các website Việt Nam thì có lẽ Internet của cả Việt Nam sẽ tê liệt hoàn toàn chứ không chỉ có các trang web bị tấn công.

Đường truyền của chúng ta chỉ bằng 1 phần rất nhỏ so với Kr và US, các hệ thống của chúng ta cũng thế.

Mr. Quảng ám chỉ VNCERT "sợ" hacker như thế là không đúng. Với vai trò là CERT của 1 quốc gia thì phải nghĩ đến nhiều cái khác xa hơn nữa chứ không chỉ đơn giản là việc chống hacker tấn công.

Tạm thời thì tôi có những ý kiến như vậy dựa trên các trả lời của Mr. Nguyễn Tử Quảng.

Xin mời các bạn thảo luận tiếp, tuy nhiên lần này các Mod của DDTH sẽ thắt chặt hơn việc kiểm soát các bài spam hoặc bàn luận không đúng chủ đề.

Bạn nào thích bàn chuyện bên lề kiểu như BKIS đồng sáng lập APCERT thì mời vào đây:
http://www.ddth.com/showthread.php?t=289677

[vnnsonline]

mình cũng vừa đọc lại phần 1, và đọc các bài báo trên tuổi trẻ và pháp luật, thì thấy rằng mọi việc đang dần đần sáng tỏ và có vẻ như bkis đang cố gắng lách luật đây, có nhiều công và ko ít tội nhưng công ko thể bù tội được,
hy vọng mọi việc sẽ sáng tỏ trong 1,2 ngày tới

[phatnq2003]

Nguyên tắc của việc điều tra là không công bố khi chưa được sự đồng ý của các bên liên quan.

Thời gian gần đây, có lẽ BKIS được mọi người "ưu ái chê" nhiều nên cần phải lấy lại thanh danh mà không biết rằng việc mình làm là vi phạm luật. Ông Cho của KrCERT vì tính lịch sự nên chỉ nói rằng là ý kiến cá nhân ông ta thôi, chứ mà ông ta dùng quyền của KrCERT mà complain thì mặt mũi của mình để đâu cho được?

Đọc cái câu trả lời của Mr. Quảng trên báo Thanh niên Chủ nhật 19/07/2009 nghe tức anh ách. Đã làm sai thì chấp nhận "em sai", người ta còn châm chước, đằng này còn nói: "... Chúng tôi cho rằng, là một đơn vị làm việc trong lĩnh vực an ninh mạng hay một cơ quan quản lý nhà nước về lĩnh vực an ninh mạng thì không nên có quan điểm 'sợ' hacker..."

Cái này rõ ràng là theo ông bà mình nói là "cãi chày cãi cối", hay là nói ngang.

Mặt khác Mr. Quảng và BKIS rất mâu thuẩn khi đưa ra chứng cứ e-mail là KrCERT "khẩn thiết" yêu cầu. OK, người ta khẩn thiết yêu cầu giúp đỡ để tìm ra nguồn gốc sự tấn công chứ người ta có nói là sau khi tìm ra thì công bố ra cho công chúng đâu? Người ta có nói là hãy tấn công ngược lại đâu?

Tôi cũng rất tin rằng dân security VN rất là OK, nhưng thử hỏi các bác sẽ như thế nào nếu giả sử các bác là một võ sư cao cường, khét tiếng giang hồ bị một đám đông các võ sư cũng cao cường không kém bu vào đánh các bác? Lúc đó các bác dám nói rằng các bác còn sống nổi con trăng này không?

[thongdoanvan]

Được gửi bởi Nguyễn Tử Quảng @ TTO
- Chúng tôi cho rằng, là một đơn vị làm việc trong lĩnh vực an ninh mạng hay một cơ quan quản lý nhà nước về lĩnh vực an ninh mạng thì không nên có quan điểm “sợ” hacker. Vì việc này sẽ khiến hacker có thể coi thường pháp luật. Với luật hình sự sửa đổi vừa được Quốc hội thông qua, Việt Nam hiện đã có tương đối đầy đủ hành lang pháp lý để xử lý các loại tội phạm trên mạng với hình phạt nghiêm khắc, có thể phạt tù tới 12 năm đến chung thân.

Đúng rồi, không nên sợ hacker.
Việc bkis tấn công vào 2 server kia thì chẳng là Hack còn gì.
Chính bởi vì anh em diễn đàn tin học không sợ hack. Nên mới lên tiếng phản đối các ông đó.

[khong-ten]

Nói chung vấn đề quan trọng bây giờ là BKIS có hack 2 sv đó ko ?
Chờ 1 câu trả lời, mong rằng ngày mai sẽ có !

[hoang_khuong]

Tôi thừa nhận BKIS có công nhưng công này chưa cáo thành thì đã bị chính BKIS tự tay phá bỏ bởi tính háo danh ấu trĩ quá mức, và trên thực tế nếu nó thành hậu quả gây cản trở quá trình điều tra của an ninh mạng thế giới thì thiệt hại không để đâu cho hết. Đó là nói trên phương diện kĩ thuật và kinh tế, còn chính trị thì tôi không dám bàn tới

Còn việc Quảng ám chỉ VNCERT sợ tội phạm là 1 điều vô cùng trịnh thượng. Nhiệm vụ của ngành an ninh là truy bắt tội phạm tất nhiên họ sẽ không ngán tội phạm nhưng họ cũng không phải vì sợ thất nghiệp (hay 1 lí do nào khác) mà phải khiêu khích giới tội phạm nổi dậy. Giả sử thật sự giới tội phạm chuyển hướng tấn công sang VN thật thì ai gánh chịu ? Bắt được hacker thì sao ? Xử tội hắn thì có xóa hết những hậu quả đã gây ra không ? Pháp luật để răn đe người ta sẽ tốt hơn để đem ra hành xử người ta. À mà dám Quảng cũng đang mong chờ tụi hacker quay sang VN để Quảng bắt và BKIS lại được vinh danh lắm à

[caotrung]

* "Việc BKIS thừa nhận tấn công và chiếm quyền điều khiển 02 server để tiến hành phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế. Cách BKIS công bố thông tin khiến công chúng hiểu rằng BKIS thực hiện các hành vi tấn công trái pháp luật và đồng thời gây nhầm lẫn là KrCERT và APCERT cũng tham gia vào các hành vi phạm pháp này". Ông có nghĩ rằng việc làm của BKIS đã sai?

- Thực chất đây có lẽ là nội dung được dựa trên email của ông Jinhyun Cho, tuy nhiên, trong email ông Jinhyun Cho không khẳng định những điều này, mà chỉ nói rằng ông ấy phỏng đoán là như vậy. Thực tế ông Jinhyun Cho không hề biết phương pháp khống chế 02 server nói trên mà Bkis đã thực hiện, do đó phát biểu của ông Cho là hoàn toàn võ đoán và không có căn cứ. Chúng tôi sẽ làm việc với KrCERT/CC về việc này.

Và phản biện của Gia Minh

c. Điểm tiếp theo cũng đã nói, xoay quanh việc BKIS khống chế 2 servers có phạm pháp hay không. Ông Quảng nói rất mạnh rằng CHO võ đoán. Vậy phương pháp đó ra sao. Nói chung hơi khó hình dung chuyện khống chế để tiến hành phân tích nhưng không xâm nhập bất hợp pháp.

Mình rất ủng hộ ý kiến của Gia Minh rằng việc "khống chế"-theo như lời AQ- và xâm nhập bất hợp pháp vào server của người ta là một hành động khó có thể giài thích làm sao cho chúng khác nghĩa .

[phatnq2003]

Thử hình dung các cuộc tấn công vào website Kr, US vừa rồi mà chuyển hướng sang các website Việt Nam thì có lẽ Internet của cả Việt Nam sẽ tê liệt hoàn toàn chứ không chỉ có các trang web bị tấn công.

Đường truyền của chúng ta chỉ bằng 1 phần rất nhỏ so với Kr và US, các hệ thống của chúng ta cũng thế.

Mr. Quảng ám chỉ VNCERT "sợ" hacker như thế là không đúng. Với vai trò là CERT của 1 quốc gia thì phải nghĩ đến nhiều cái khác xa hơn nữa chứ không chỉ đơn giản là việc chống hacker tấn công.

Tôi đồng ý với vikhoa chỗ này, đừng vì một chút danh hão cho riêng mình mà quên đi cái lớn chung.

Nếu BKIS làm đúng theo trình tự của luật và làm tốt, thì tôi nghĩ chắc chắn sau khi cuộc ngăn chặn tấn công thành công, KrCERT nói riêng và cộng đồng an ninh mạng quốc tế nói chung sẽ không thể nào quên nhắc đến họ trong lời cảm ơn của mình. Lúc này theo cá nhân tôi, cái lời cám ơn đó còn đáng giá ngàn lần cái tự PR của BKIS.

Nhìn chung là non, là còn háo thắng lắm.

[ruckus]

BKIS đưa khoản 4 điều 43 của Nghị định 64/2007/NĐ-CP của Chính phủ ra nói chuyện e rằng ko đúng, vì luật là của VN, còn hành vi của BKIS là hành vi có tính quốc tế.

Thêm nữa, BKIS lôi cả Triều Tiên và Mỹ vào vụ này có vẻ hơi kiêng cưỡng và có phần bế tắc. Chính trị ko bao giờ đơn giản để BKIS nói chơi cả. Lôi vào, không những không xoa dịu dư luận, mà BKIS càng đưa mình vào thế kẹt.

[Tendresses]

Sự sai lệch về thông tin máy chủ đặt tại Mỹ thay vì tại Anh thì có lẽ BKIS cũng chỉ võ đoán mà thôi. Trong trường hợp đụng đến luật pháp và đưa ra khiếu kiện thì có lẽ đây sẽ là 1 điểm để lách rất đẹp
Mặt khác khi thông tin được đưa lên thì chiêu thức PR này hoàn toàn thành công dưới mọi góc độ - thà một phút huy hoàng rồi chợt tắt... là thế.