BKIS có thể bị kiện

(danghienIT) - Trung tâm An ninh mạng (BKIS) bị nhắc nhở vì vi phạm luật quốc tế về công bố thông tin và tấn công vào website nước khác.

Sự kiện BKIS công bố thông tin xác định được nguồn phát động các cuộc tấn công vào website chính phủ Hàn Quốc khiến nhiều người nể phục. Thế nhưng bên cạnh ánh hào quang, đến nay BKIS lại đứng trước khả năng bị kiện vì “làm khách không mời”.



Hiểu lầm hay muốn PR?

Ngày 16-7, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã gửi công văn khẩn tới lãnh đạo Đại học Bách khoa Hà Nội đề nghị nhắc nhở BKIS. Nguyên nhân việc nhắc nhở này là liên tiếp từ 15-7 đến 16-7, VNCERT nhận được khiếu nại của ông Jinhyun Cho, thuộc Trung tâm Điều phối ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT/CC), gửi đến BKIS và đồng gửi tới VNCERT. Sau đó, VNCERT tiếp tục nhận được khiếu nại của ông Jinhyun Cho gửi đến Hiệp hội Các tổ chức ứng cứu máy tính châu Á-Thái Bình Dương và thư khiếu nại yêu cầu đính chính thông tin chính thức của KrCERT/CC gửi đến BKIS và cũng được đồng gửi tới VNCERT.

Các khiếu nại bao gồm, KrCERT không có yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra thủ phạm như các thông tin mà BKIS công bố. KrCERT đã tự tiến hành các hoạt động nghiên cứu của mình và chỉ cung cấp mã độc cho BKIS tham khảo sau khi BKIS đã nhiều lần gọi điện thoại để xin.

Phạm luật?

Việc BKIS thừa nhận tấn công và chiếm quyền điều khiển hai server để phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế. Bên cạnh đó, cách BKIS công bố thông tin khiến công chúng hiểu rằng BKIS thực hiện các hành vi tấn công trái pháp luật và đồng thời gây nhầm lẫn là KrCERT và APCERT cũng tham gia vào các hành vi phạm pháp này.

Thực chất, thời gian qua KrCERT chỉ gửi yêu cầu trực tiếp đến VNCERT (có đồng gửi cho BKIS do là thành viên của APCERT) để yêu cầu hỗ trợ tháo gỡ mã độc tại một số địa chỉ IP của Việt Nam đang tham gia đợt tấn công. Trung tâm VNCERT với trách nhiệm là trung tâm điều phối cấp quốc gia đang thực hiện điều phối các ISP tại Việt Nam để xử lý yêu cầu của KrCERT trong khuôn khổ hợp tác của tổ chức APCERT.

Đáng chú ý là thời gian qua BKIS công bố trên blog tiếng Anh của mình là chính BKIS đã nhận được đề nghị từ Trung tâm Điều phối ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT) hợp tác phân tích mã độc tấn công vào các trang web của Hàn Quốc và Mỹ.

Bứt dây động rừng, gây nguy hiểm

Sau các sự cố trên, công văn gửi tới lãnh đạo Trường đại học Bách khoa Hà Nội có một số nội dung là VNCERT đánh giá cao việc tham gia phân tích và tìm ra nguồn gốc tấn công là “rất đáng quý và cần khuyến khích” nhưng cũng nhắc nhở BKIS “cần cung cấp thông tin cảnh báo và sự cố cho VNCERT, đồng thời giữ bí mật và chỉ cung cấp cho các bên liên quan”.

VNCERT còn cho rằng việc tham gia xử lý sự cố quốc tế rất nhạy cảm và nguy hiểm, thậm chí tội phạm có thể chuyển hướng tấn công vào Việt Nam để trả đũa nên việc phối hợp với quốc tế phải giữ bí mật nghiêm ngặt. BKIS không nên vì mục đích quảng bá thương hiệu mà công bố thông tin rộng rãi. Sự cố này có thể ảnh hưởng đến uy tín của cộng đồng doanh nghiệp công nghệ thông tin của Việt Nam.

Như vậy, có vẻ như phía BKIS đã “hiểu lầm” yêu cầu điều tra của KrCERT nên BKIS đã tự công bố kết quả ra công chúng, bất chấp nỗ lực của các nước đang điều tra, làm “bứt dây động rừng”, ảnh hưởng đến việc điều tra của các nước. Chưa kể đến việc tấn công vào hai server là vi phạm luật pháp Việt Nam và luật pháp quốc tế.

Trong văn bản khiếu nại, KrCERT đề nghị BKIS đưa ra giải thích và đính chính các thông tin đã công bố trên các phương tiện truyền thông trong thời gian sớm nhất trước khi kiện BKIS theo luật pháp quốc tế.

————————Ý KIẾN PHẢN HỒI

Đọc kỹ trả lời của Nguyễn Tử Quảng, Giám đốc BKIS trên các báo và khảo sát các tư liệu để tìm xem lý lẽ của Nguyễn Tử Quảng có thể tin cậy được không khi phản đối VnCERT, tôi có mấy nhận định sau :

1. Jinhyun CHO làm đồng thời cho mấy tổ chức KISA , cho KrCERT và là trưởng tiểu ban đặc trách an ninh (SPSG - Security and Prosperity Steering Group) của APEC TEL Working Group. Địa chỉ mail: hyuni@kisa.or.kr, jinhyun.cho@gmail.com

Cụ thể vai trò 3 tổ chức đó:

• KISA (Korea Information Security Agency): Cục An ninh Công nghệ thông tin Đại Hàn.

• KrCERT (Korea Computer Emergency Response Team): đơn vị đối ứng của Đại Hàn tham gia vô tổ chức APCERT (Á Châu-Thái Bình Dương, thành lập hồi 2003).

• APEC TEL Working Group: gọi là “nhóm làm việc”, nhưng có thể coi như một ủy ban về các vấn đề viễn thông và CNTT của APEC.Trong cơ cấu APEC TEL chỉ có 4 tiểu ban gọi là Steering Group, đặc trách các vấn đề: Liberalization, ICT Development, MRATF và Security Prosperity. Chức vụ trưởng tiểu ban là convenor, được bầu và có nhiệm kỳ 2 năm. Jinhyun CHO làm deputy convenor từ 2006-2008 và tới tháng 3-2008 trúng chức convenor cho tới nay (đương nhiệm).

Theo trang này, (http://www.itu.int/osg/csd/cybersecurity/WSIS/3rd_meeting_speakers.html)

Cho từng có chân trong FIRST (Forum of Incident Response and Security Teams). CHO còn trực tiếp đứng lớp nhiều khóa huấn luyện cho các nước đang phát triển về phản ứng khẩn sự cố máy tính.

Việc CHO viết thơ cho VNCERT và APCERT với tư cách cá nhân càng cho thấy mức cẩn thận tối đa của CHO. Dọa lôi người khác ra tòa thì càng không thể cẩu thả được. Nguyễn Tử Quảng đánh giá hơi thấp hành động nầy của ông CHO.

2. Lỏng lẻo về luật pháp trong phần trả lời Tuổi Trẻ của Nguyễn Tử Quảng:

a. Jinhyun CHO khẳng định KrCERT không có yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra. Nguyễn Tử Quảng không đưa ra công văn nào mà chỉ trích email của “Terrence Park xưng danh thuộc KrCERT/CC”, làm bộ coi như Park là đại diện chánh thức của KrCERT.

Trong khi đó, thư của Cho gởi từ KrCERT thì ông Quảng nhấn đi nhấn lại rằng đó chỉ là ý kiến riêng, không chính thức. Đó là thái độ tiền hậu bất nhất đối với 2 email cùng phát đi từ một nơi. Lập luận của ông Quảng tới đây có vẻ « lấp liếm », yếu lắm.

Hơn nữa, Terrence Park cũng không xa lạ gì với Jinhyun Cho. Trong file APEC TEL SPSG Workshop Report, trang 11 thấy Park đứng ngay sau Cho, đại diện cho Hàn Quốc tại hội thảo. Về Terrence Park, một tiểu sử tự thuật(1) cho hay: sanh năm 70, bắt đầu sự nghiệp ở KISA năm 2000, từ 2005 làm cho KrCERT và hiện phục vụ APEC TEL cũng như dạy các khóa huấn luyện về ICT của LHQ. Nói chung là rất gắn bó với CHO.

Khó lòng có chuyện bất đồng giữa 2 người trong việc đề nghị hay không đề nghị nước ngoài giúp đỡ.

Coi trang Twitter của Park sẽ thấy câu kêu gọi đó mang tính cách cá nhân: Bất cứ ai sẵn lòng giúp chúng tôi thoát khỏi vụ ddos « cà chớn » nầy đều được hoan nghênh. Chúng tôi thực sự muốn nó chấm dứt. (10h55 ngày 9-7-2009, có liên hệ gì với email mà BKIS nhận được lúc 9h55 ngày 10-7, theo lời ông Nguyễn Tử Quảng?)

b. Về việc chậm trễ báo cáo lên VNCERT, do không có thời gian có thể đặt nghi vấn vì sao Nguyễn Minh Đức có thời giờ chụp hình « kiểng » trên báo,gởi thông báo cho các tổ chức quốc tế. Hành động không báo cáo cho VnCERT như đã nói là trái với các khoản 1, 2, 3 điều 43 của Nghị định 64-2007.

c. Điểm tiếp theo cũng đã nói, xoay quanh việc BKIS khống chế 2 servers có phạm pháp hay không. Ông Quảng nói rất mạnh rằng CHO võ đoán. Vậy phương pháp đó ra sao. Nói chung hơi khó hình dung chuyện khống chế để tiến hành phân tích nhưng không xâm nhập bất hợp pháp.

d. Không tự dưng CHO gởi thơ cho APCERT. Có thể giả định ông nhận thấy chuyện BKIS tự ý trả lời báo chí là trái điều lệ của APCERT, phải coi lại quy chế hợp tác của tổ chức nầy . BKIS giả sử có điều tra ra kết quả một cách hợp pháp thì sau đó chỉ cần thông báo cho các đối tác có liên quan là đủ, gấp rút đơn phương công bố thông tin như vừa rồi có lợi gì cho việc giải quyết sự vụ ngoài tác dụng PR cho bản thân? Hoàn toàn không « ăn nhậu » gì đến chuyện hòa bình thế giới Mỹ-Hàn-Bắc Triều Tiên như ông Nguyễn Tử Quảng tuôn một tràng ở cuối bài trả lời báo Tuổi trẻ.

BKIS có thể bị kiện