Sự kiện BKIS công bố thông tin xác định được nguồn phát động các cuộc
tấn công vào website chánh phủ Hàn Quốc khiến nhiều người nể phục.
Thế nhưng bên cạnh ánh hào quang, đến nay BKIS lại đứng trước khả
năng bị kiện vì “làm khách không mời”.
Hiểu lầm hay muốn PR?
Ngày 16-7, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT)
đã gửi công văn khẩn tới lãnh đạo Đại học Bách khoa Hà Nội đề nghị
nhắc nhở BKIS. Nguyên nhân việc nhắc nhở này là liên tiếp từ 15-7
đến 16-7, VNCERT nhận được khiếu nại của ông Jinhyun Cho, thuộc
Trung tâm Điều phối ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT/CC),
gửi đến BKIS và đồng gửi tới VNCERT. Sau đó, VNCERT tiếp tục nhận
được khiếu nại của ông Jinhyun Cho gửi đến Hiệp hội Các tổ chức ứng
cứu máy tính châu Á-Thái Bình Dương và thư khiếu nại yêu cầu đính
chánh thông tin chánh thức của KrCERT/CC gửi đến BKIS và cũng được
đồng gửi tới VNCERT.
Các khiếu nại bao gồm, KrCERT không có yêu cầu chánh thức nào đề
nghị BKIS hỗ trợ điều tra thủ phạm như các thông tin mà BKIS công bố.
KrCERT đã tự tiến hành các hoạt động nghiên cứu của mình và chỉ cung
cấp mã độc cho BKIS tham khảo sau khi BKIS đã nhiều lần gọi điện
thoại để xin.
Phạm luật?
Việc BKIS thừa nhận tấn công và chiếm quyền điều khiển hai server
để phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế.
Bên cạnh đó, cách BKIS công bố thông tin khiến công chúng hiểu rằng
BKIS thực hiện các hành vi tấn công trái pháp luật và đồng thời gây
nhầm lẫn là KrCERT và APCERT cũng tham gia vào các hành vi phạm pháp
này.
Thực chất, thời gian qua KrCERT chỉ gửi yêu cầu trực tiếp đến
VNCERT (có đồng gửi cho BKIS do là thành viên của APCERT) để yêu cầu
hỗ trợ tháo gỡ mã độc tại một số địa chỉ IP của Việt Nam đang tham
gia đợt tấn công. Trung tâm VNCERT với trách nhiệm là trung tâm điều
phối cấp quốc gia đang thực hiện điều phối các ISP tại Việt Nam để
xử lý yêu cầu của KrCERT trong khuôn khổ hợp tác của tổ chức APCERT.
Đáng chú ý là thời gian qua BKIS công bố trên blog tiếng Anh của
mình là chính BKIS đã nhận được đề nghị từ Trung tâm Điều phối ứng
cứu khẩn cấp máy tính Hàn Quốc (KrCERT) hợp tác phân tích mã độc tấn
công vào các trang web của Hàn Quốc và Mỹ.
Bứt dây động rừng, gây nguy hiểm
Sau các sự cố trên, công văn gửi tới lãnh đạo Trường đại học Bách
khoa Hà Nội có một số nội dung là VNCERT đánh giá cao việc tham gia
phân tích và tìm ra nguồn gốc tấn công là “rất đáng quý và cần
khuyến khích” nhưng cũng nhắc nhở BKIS “cần cung cấp thông tin cảnh
báo và sự cố cho VNCERT, đồng thời giữ bí mật và chỉ cung cấp cho
các bên liên quan”.
VNCERT còn cho rằng việc tham gia xử lý sự cố quốc tế rất nhạy
cảm và nguy hiểm, thậm chí tội phạm có thể chuyển hướng tấn công vào
Việt Nam để trả đũa nên việc phối hợp với quốc tế phải giữ bí mật
nghiêm ngặt. BKIS không nên vì mục đích quảng bá thương hiệu mà công
bố thông tin rộng rãi. Sự cố này có thể ảnh hưởng đến uy tín của
cộng đồng doanh nghiệp công nghệ thông tin của Việt Nam.
Như vậy, có vẻ như phía BKIS đã “hiểu lầm” yêu cầu điều tra của
KrCERT nên BKIS đã tự công bố kết quả ra công chúng, bất chấp nỗ lực
của các nước đang điều tra, làm “bứt dây động rừng”, ảnh hưởng đến
việc điều tra của các nước. Chưa kể đến việc tấn công vào hai server
là vi phạm luật pháp Việt Nam và luật pháp quốc tế.
Trong văn bản khiếu nại, KrCERT đề nghị BKIS đưa ra
giải thích và đính chánh các thông tin đã công bố trên các phương
tiện truyền thông trong thời gian sớm nhất trước khi kiện BKIS theo
luật pháp quốc tế.
Bkis khẳng định KrCERT đã đề nghị điều tra
Trả lời Tuổi Trẻ Online, ông Nguyễn Tử Quảng, Giám đốc Trung tâm an ninh mạng
Bách Khoa (Bkis), cho biết:
- Ngày 15-07-2009, ông Nguyễn Minh Đức (Bkis) nhận được email từ ông Jinhyun
Cho, nhân viên của KrCERT/CC với tiêu đề: “My personal View on your activities
on DDoS Malware”, tạm dịch là “Quan điểm cá nhân của tôi về việc xử lý mã độc
tấn công DDoS”, email này cũng đồng gửi cho ông Đỗ Ngọc Duy Trác (VNCERT).
Trong email này, ông Cho thể hiện một số quan điểm cá nhân của mình về việc Bkis
truy tìm nguồn gốc tổng phát động các cuộc tấn công từ chối dịch vụ DDoS vào các
website của chánh phủ Đại Hàn và Mỹ. Ngay đầu email ông Cho viết: “This is
Jinhyun Cho from KrCERT/CC. This mail doesn't reflect the official view of
KrCERT/CC but my own personal one.”, tạm dịch là: “Tôi là Jinhyun Cho từ
KrCERT/CC. Email này không phản ánh quan điểm chánh thức của KrCERT/CC mà chỉ là
quan điểm cá nhân của riêng tôi.”. Đây không phải là email khiếu nại mà là quan
điểm cá nhân của ông Cho.
* Nhưng công văn gửi đến ĐH Bách Khoa có nội dung KrCERT không có yêu
cầu chánh thức nào đề nghị Bkis hỗ trợ điều tra thủ phạm như các thông tin mà
BKIS công bố. Bkis giải thích gì về việc này?
- Thông tin này là không chánh xác. Ngày 10-07-2009, KrCERT/CC gửi cho Bkis 2
email. Email thứ nhất lúc 9h55 giờ Việt Nam, một người có tên là Terrence Park
đã gửi địa chỉ email tên miền của KrCERT tới danh sách email của các thành viên
APCERT.
Terrence Park xưng danh thuộc KrCERT/CC (Korea Internet Security Center - tức
trung tâm an ninh mạng Hàn Quốc), trình bày tình trạng tấn công từ chối dịch vụ
(DDoS) vẫn đang tiếp diễn ở Hàn Quốc và vấn đề là họ không thể tìm được nguồn
gốc thực sự của các vụ tấn công này. KrCERT/CC đã khẩn thiết đề nghị các thành
viên của Tổ chức cứu hộ sự cố máy tính khu vực Châu Á - Thái bình dương APCERT
(mà trong đó Bkis là một thành viên đồng sáng lập) trợ giúp cung cấp thông tin
về “nguồn tấn công, báo cáo phân tích malware (mã độc) hay bất cứ thứ gì liên
quan đến vấn đề này”.
Email thứ hai gửi lúc 13h42 giờ Việt Nam, KrCERT/CC đã gửi riêng cho Bkis và
VNCERT, đề nghị ngăn chặn một số nguồn tấn công từ Việt Nam, đồng thời đề nghị
điều tra, giải quyết vấn đề, (nguyên văn tiếng Anh: “We would appreciate if you
could take down or mitigate, and/or investigate and/or deal with this incident”
). Do đó, thông tin nói rằng KrCERT/CC không đề nghị Bkis hỗ trợ điều tra là
không chính xác.
Email của ông Terrence Park có đoạn: “Nếu như bất cứ ai có thể giúp chúng tôi
làm dịu tình hình này càng sớm càng tốt, chúng tôi hoan nghênh mọi nguồn tin về
nguồn gốc của cuộc tấn công này, báo cáo phân tích về malware hay bất cứ tài
liệu nào liên quan. Chúng tôi sẽ đánh giá cao nếu nhận được những tài liệu đó.
Chúng tôi đang tuyệt vọng và chịu ảnh hưởng phá hoại nặng nề của cuộc tấn công.
Nếu các bạn cần mã hóa thông tin, hãy sử dụng key pgp đính kèm của tôi. Chúng
tôi thực sự mong muốn khắc phục tình trạng này. Cảm ơn vì các bạn đã quan tâm”.
Trong cùng ngày, ông Terrence Park cũng đã gửi thư tới địa chỉ email của ông Vũ
Quốc Khánh, Giám đốc VNCERT, ông Nguyễn Minh Đức. Bkis đồng thời cũng gửi kèm
thư này tới địa chỉ email chung của KrCERT. Nội dung thư viết họ đã phát hiện
một hoặc hơn 1 website từ Việt Nam có liên quan đến vụ tấn công DDoS nên “Chúng
tôi rất cảm kích nếu ông có thể giảm thiểu hoặc ngăn chặn và/hoặc điều tra,
và/hoặc đối phó với sự cố này”. Dưới thư ký tên là KrCERT/CC kèm địa chỉ website
và email chánh thức của KrCERT.
* "Việc BKIS thừa nhận tấn công và chiếm quyền điều khiển 02 server để
tiến hành phân tách là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế. Cách
BKIS công bố thông tin khiến công chúng hiểu rằng BKIS thực hiện các hành vi tấn
công trái pháp luật và đồng thời gây nhầm lẫn là KrCERT và APCERT cũng tham gia
vào các hành vi phạm pháp này". Ông có nghĩ rằng việc làm của BKIS đã sai?
- Thực chất đây có lẽ là nội dung được dựa trên email của ông Jinhyun Cho, tuy
nhiên, trong email ông Jinhyun Cho không khẳng định những điều này, mà chỉ nói
rằng ông ấy phỏng đoán là như vậy. Thực tế ông Jinhyun Cho không hề biết phương
pháp khống chế 02 server nói trên mà Bkis đã thực hiện, do đó phát biểu của ông
Cho là hoàn toàn võ đoán và không có căn cứ. Chúng tôi sẽ làm việc với KrCERT/CC
về việc này.
*"Trên thực tế KrCERT chỉ
gởi yêu cầu trực tiếp đến VNCERT (có đồng gửi cho BKIS do là thành viên của
APCERT) để yêu cầu hỗ trợ tháo gỡ mã độc tại một số địa chỉ IP của Việt Nam đang
tham gia đợt tấn công". Như vậy Bkis có làm quá quyền hạn cho phép?
- Như tôi đã trả lời ở trên, Bkis đã giúp Hàn Quốc và Mỹ truy tìm nguồn gốc của
các cuộc tấn công dựa trên đề nghị chính thức từ đại diện của KrCERT/CC. Với tư
cách là đồng sáng lập của Hiệp hội các Tổ chức cứu hộ khẩn cấp sự cố máy tính
khu vực Á Châu - Thái Bình Dương (APCERT), Bkis có trách nhiệm và có đầy đủ
quyền hạn để thực hiện những việc này.
* VNCERT cho rằng BKIS đã vi phạm Nghị định 64/2007/NĐ_CP BKIS bởi theo nghị
định này, BKIS cần cung cấp thông tin cảnh báo và sự cố cho VNCERT đồng thời
"giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần
mà các tổ chức ứng cứu máy tính trên thế giới tôn trọng". Xin ông giải thích rõ
điều này?
- Theo khoản 4 điều 43 của Nghị định 64/2007/NĐ-CP của Chánh phủ, có nội dung
như sau: “Trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố
mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước
khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối.”.
Do sự kiện website chánh phủ của Hàn Quốc và Mỹ bị tấn công tê liệt đã diễn ra
gần 10 ngày mà chưa tìm ra nguồn phát động tấn công, đây là một tình huống khẩn
cấp có nguy cơ ảnh hưởng đến toàn cầu trong đó có Việt Nam. Bkis bắt buộc và
được phép thực hiện truy tìm nguồn phát động tấn công, rồi sau đó báo cáo cơ
quan điều phối. Hiện tại chúng tôi vẫn khẩn trương tiếp tục tiến hành điều tra
cho nên chưa có thời gian để báo cáo. Chúng tôi sẽ thực hiện điều này sau khi đã
hoàn thành công việc.
* VNCERT cho rằng "Việc tham gia xử lý sự cố quốc tế rất nhạy cảm và
nguy hiểm, thậm chí tội phạm mạng có thể chuyển hướng tấn công vào Việt Nam để
trả đũa nên Việt Nam phải tham gia phối hợp quốc tế theo những nguyên tắc tổ
chức đã được cân nhắc và giữ bí mật nghiêm ngặt. Bkis không nên vì mục đích
quảng bá thương hiệu mà công bố thông tin rộng rãi và không chánh xác dẫn đến
gây nguy hiểm cho các hệ thống thông tin trong nước và khiếu kiện quốc tế"?
- Chúng tôi cho rằng, là một đơn vị làm việc trong lĩnh vực an ninh mạng hay một
cơ quan quản lý nhà nước về lĩnh vực an ninh mạng thì không nên có quan điểm
“sợ” hacker. Vì việc này sẽ khiến hacker có thể coi thường pháp luật. Với luật
hình sự sửa đổi vừa được Quốc hội thông qua, Việt Nam hiện đã có tương đối đầy
đủ hành lang pháp lý để xử lý các loại tội phạm trên mạng với hình phạt nghiêm
khắc, có thể phạt tù tới 12 năm đến chung thân.
Hơn nữa, trong email mà KrCERT/CC đề nghị Bkis phối hợp xử lý, KrCERT/CC có nêu:
“Vấn đề thực chất trong trường hợp này là chúng tôi (KrCERT/CC) không thể tìm
thấy nguồn thực sự của cuộc tấn công. Các chuyên gia cho rằng việc tìm nguồn gốc
của các vụ tấn công là không thể.”. Bkis với tư cách là thành viên của APCERT
không thể không hành động.
Hơn nữa, trong thời gian này, một số nghị sỹ của Mỹ và Hàn Quốc cho rằng Bắc
Triều Tiên là “thủ phạm”, thậm chí thúc giục tổng thống Mỹ Barack Obama thực
hiện các hành động trả đũa đối với Bắc Triều Tiên. Chỉ vì các cuộc tấn công mạng
mà tình hình an ninh thế giới trở nên rất căng thẳng. Việc tìm ra nguồn phát
động tấn công có thể giúp giải tỏa căng thẳng này. Đó là những lý do mà chúng
tôi đã tích cực tham gia xử lý, truy tìm nguồn phát động tấn công.
Thực tế là Bkis của Việt Nam đã rất tích cực giúp đỡ Hàn Quốc trong lúc các
chuyên gia của Hàn Quốc cũng như trên thế giới đều đang rất bế tắc. Kết quả là
chúng ta đã chỉ ra được nguồn phát động tấn công, giúp giải tỏa sự bế tắc đó. Do
đó, theo thiển ý của tôi, điều này sẽ giúp tăng cường mối quan hệ giữa Việt Nam
và Hàn Quốc ngày càng tốt hơn. Chúng tôi thực sự tự hào về điều này.
Như vậy không thể nói việc Bkis của Việt Nam tìm ra nguồn phát động tấn công là
“bứt dây động rừng”.
------------------------
Ý KIẾN PHẢN HỒI
Đọc kỹ trả lời của Nguyễn Tử Quảng, Giám đốc BKIS trên các báo và khảo
sát các tư liệu để tìm xem lý lẽ của Nguyễn Tử Quảng có thể tin cậy được
không khi phản đối VnCERT, tôi có mấy nhận định sau :
1. Jinhyun CHO làm đồng thời cho mấy tổ chức KISA , cho KrCERT và
là trưởng tiểu ban đặc trách an ninh(SPSG
- Security and Prosperity Steering Group) của APEC TEL Working Group. Địa
chỉ mail: [email protected], [email protected]
Cụ thể vai trò 3 tổ chức đó:
• KISA (Korea Information Security Agency): Cục An ninh Công nghệ thông
tin Đại Hàn.
• KrCERT (Korea Computer Emergency Response Team): đơn vị đối ứng của Đại
Hàn tham gia vô tổ chức APCERT (Á Châu-Thái Bình Dương, thành lập hồi 2003).
• APEC TEL Working Group: gọi là "nhóm làm việc", nhưng có thể coi như
một ủy ban về các vấn đề viễn thông và CNTT của APEC.Trong cơ cấu APEC TEL
chỉ có 4 tiểu ban gọi là Steering Group, đặc trách các vấn đề:
Liberalization, ICT Development, MRATF và Security Prosperity. Chức vụ
trưởng tiểu ban là convenor, được bầu và có nhiệm kỳ 2 năm. Jinhyun CHO làm
deputy convenor từ 2006-2008 và tới tháng 3-2008 trúng chức convenor cho tới
nay (đương nhiệm).
Theo trang nầy, (http://www.itu.int/osg/csd/cybersecurity/WSIS/3rd_meeting_speakers.html)
CHO từng có chân trong FIRST (Forum of Incident Response and Security
Teams). CHO còn trực tiếp đứng lớp nhiều khóa huấn luyện cho các nước đang
phát triển về phản ứng khẩn sự cố máy tính.
Việc CHO viết thơ cho VNCERT và APCERT với tư cách cá nhân càng cho thấy
mức cẩn thận tối đa của CHO. Dọa lôi người khác ra tòa thì càng không thể
cẩu thả được. Nguyễn Tử Quảng đánh giá hơi thấp hành động nầy của ông CHO.
2. Lỏng lẻo về luật pháp trong phần trả lời Tuổi Trẻ của Nguyễn
Tử Quảng:
a. Jinhyun CHO khẳng định KrCERT không có yêu cầu chánh thức nào đề nghị
BKIS hỗ trợ điều tra. Nguyễn Tử Quảng không đưa ra công văn nào mà chỉ trích
email của "Terrence Park xưng danh thuộc KrCERT/CC", làm bộ coi như Park là
đại diện chánh thức của KrCERT.
Trong khi đó, thư của Cho gởi từ KrCERT thì ông Quảng nhấn đi nhấn lại
rằng đó chỉ là ý kiến riêng, không chánh thức. Đó là thái độ tiền hậu bất
nhất đối với 2 email cùng phát đi từ một nơi. Lập luận của ông Quảng tới đây
có vẻ « lấp liếm », yếu lắm.
Hơn nữa, Terrence Park cũng không xa lạ gì với Jinhyun Cho. Trong file
APEC TEL SPSG Workshop Report, trang 11 thấy Park đứng ngay sau Cho, đại
diện cho Hàn Quốc tại hội thảo. Về Terrence Park, một tiểu sử tự thuật(1)
cho hay: sanh năm 70, bắt đầu sự nghiệp ở KISA năm 2000, từ 2005 làm cho
KrCERT và hiện phục vụ APEC TEL cũng như dạy các khóa huấn luyện về ICT của
LHQ. Nói chung là rất gắn bó với CHO.
Khó lòng có chuyện bất đồng giữa 2 người trong việc đề nghị hay không đề
nghị nước ngoài giúp đỡ.
Coi trang Twitter của Park sẽ thấy câu kêu gọi đó mang tính cách cá nhân:Bất
cứ ai sẵn lòng giúp chúng tôi thoát khỏi vụ ddos « cà chớn » nầy đều được
hoan nghênh.Chúng tôi
thực sự muốn nó chấm dứt.(10h55
ngày 9-7-2009, có liên hệ gì với email mà BKIS nhận được lúc 9h55 ngày 10-7,
theo lời ông Nguyễn Tử Quảng?)
b. Về việc chậm trễ báo cáo lên VNCERT, do không có thời gian có thể đặt
nghi vấn vì sao Nguyễn Minh Đức có thời giờ chụp hình « kiểng » trên báo,gởi
thông báo cho các tổ chức quốc tế. Hành động không báo cáo cho VnCERT như đã
nói là trái với các khoản 1, 2, 3 điều 43 của Nghị định 64-2007.
c. Điểm tiếp theo cũng đã nói, xoay quanh việc BKIS khống chế 2 servers
có phạm pháp hay không. Ông Quảng nói rất mạnh rằng CHO võ đoán. Vậy phương
pháp đó ra sao. Nói chung hơi khó hình dung chuyện khống chế để tiến hành
phân tích nhưng không xâm nhập bất hợp pháp.
d. Không tự dưng CHO gởi thơ cho APCERT. Có thể giả định ông nhận thấy
chuyện BKIS tự ý trả lời báo chí là trái điều lệ của APCERT, phải coi lại
quy chế hợp tác của tổ chức nầy. BKIS giả sử có điều tra ra kết quả một
cách hợp pháp thì sau đó chỉ cần thông báo cho các đối tác có liên quan là
đủ, gấp rút đơn phương công bố thông tin như vừa rồi có lợi gì cho việc giải
quyết sự vụ ngoài tác dụng PR cho bản thân? Hoàn toàn không « ăn nhậu » gì
đến chuyện hòa bình thế giới Mỹ-Hàn-Bắc Triều Tiên như ông Nguyễn Tử Quảng
tuôn một tràng ở cuối bài trả lời báo Tuổi trẻ.
------------------------
(1) Terrence Park
Researcher
KrCERT
South Korea
I started my career at Korea Information Security Agency in 2000, as the
organizer of the PKI interoperability Working Group for Chinese Taipei,
Japan, Korea and Singapore, and also cooperating with Asia PKI Forum member
economies. While working in PKI field at KISA, I have managed timestamp
server for Root Certificate Authority of Korea, and worked on evaluation and
assessment for accrediting Certificate Authorities.http://www.antiphishing.org/events/2008_operationsSummit_speakers.html
GIA MINH
NHƯ VŨ
(http://phapluattp.vn/262316p1015c1074/chung-quanh-vu-tan-cong-website-o-han-quoc-bkis-co-the-bi-kien.htm)
------------
-
Báo chí nói về BKAV
-
Thế giới nói về BKAV
- Dư luận về BKAV