Thực hư việc Hàn Quốc ''khiếu nại'' Trung tâm Bkis

Lý do việc khiếu nại này là vì Trung tâm phản ứng sự cố máy tính Hàn Quốc (KrCert) cho rằng Bkis đã “tích cực” tìm ra nguồn gốc tấn công hệ thống website của Hàn Quốc mà không được phía KrCert “nhờ”.

>>Hôm nay, BKIS giải trình về vụ ''phá án''

Trước thông tin này, ông Nguyễn Minh Đức, Giám đốc Bkis Security thuộc Trung tâm an ninh mạng Bkis đã có cuộc trả lời phỏng vấn. Ông Đức là người trực tiếp tham gia vụ việc này với bên KrCert.

Sơ đồ tấn công các website tại Mỹ và Hàn Quốc.

- Thưa ông, tại sao Trung tâm an ninh mạng Bách khoa Bkis tham gia tìm nguồn gốc tấn công các website của Hàn Quốc?

- Bkis là 1 trong những thành viên sáng lập ra Hiệp hội các Tổ chức cứu hộ khẩn cấp sự cố máy tính khu vực châu Á - Thái Bình Dương (APCert). Vì vậy, mọi thông tin trao đổi giữa các đội trong tổ chức này chúng tôi đều nhận được với vai trò như một thành viên.

9h55’ ngày 10/7/2009, Bkis nhận được thư từ ông Terrence Park, một thành viên thuộc KrCert đề nghị các đội trong tổ chức APCert trợ giúp. Email này có nội dung: Chúng tôi đang hứng chịu các cuộc tấn công từ chối dịch vụ (DdoS) và chúng tôi chưa tìm ra nguồn gốc thực sự của các vụ tấn công này.

Ông Terrence Part đã khẩn thiết đề nghị các thành viên của Tổ chức cứu hộ sự cố máy tính khu vực châu Á - Thái Bình Dương APCert (mà trong đó Bkis là một thành viên đồng sáng lập) trợ giúp cung cấp thông tin về “nguồn tấn công, báo cáo phân tích malware (mã độc) hay bất cứ thứ gì liên quan đến vấn đề này”. Email còn có đoạn viết: “Nếu bất kỳ ai có thể trợ giúp chúng tôi sớm nhất có thể…, chúng tôi rất lấy làm cảm kích. Chúng tôi đang rất “suy sụp” về các cuộc tấn công này.”

- Vậy danh tính của ông Terrence Park này có được xác nhận rõ ràng thuộc KrCert không?

- Ông Terrence Park, người gửi email tới các đội trong APCert và ông Jinhyun Cho người gửi những email tiếp theo đều là thành viên của KrCert và chúng tôi đã từng gặp gỡ trao đổi chuyên môn với nhau nhiều lần ở các hội thảo. Ông Terrence Park vẫn đại diện cho tổ chức này để làm việc với các đội trong khu vực.

Ông Nguyễn Minh Đức, Giám đốc Bkis Security: "Tôi ngạc nhiên khi nhận được email của KrCert nói rằng không nhờ chúng tôi hỗ trợ"

- Như vậy danh tính người này đã được xác định và email trên là gửi cho các thành viên thuộc APCert. Thế phía KrCert có gửi riêng cho Bkis thư nhờ không, thưa ông?

- Cùng ngày, ông Terrence Park cũng gửi cho cả ông Vũ Quốc Khánh bên Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCert) và tôi là Nguyễn Minh Đức với nội dung tương tự nhờ “take down” (gỡ xuống) các máy tính bị lây nhiễm.

Sau đó, bên Bkis đã có phản hồi và yêu cầu KrCert cung cấp thêm thông tin về time zone (múi giờ) để phía Bkis xác định địa chỉ IP. Bkis cũng yêu cầu KrCert cung cấp mẫu virus để Bkis phân tích.

Ngày 14/7, Bkis gửi báo cáo cho bên KrCert và gửi lên APCert để chia sẻ thông tin cho các đội trong khu vực. Đồng thời Bkis đẩy thông tin lên blog về công nghệ của Bkis.

Nội dung email do Jinhyun Cho gửi cho ông Nguyễn Minh Đức và ông Đỗ Ngọc Duy Trác trình bày quan điểm cá nhân về việc Bkis kiểm soát 2 server.

Tiếp đó, ông Jinhyun Cho, một thành viên thuộc KrCert, đã gửi thư cho các thành viên trong APCert nêu rõ ý kiến cá nhân. Email này hoàn toàn không phải thư khiếu nại. Ngay subject của email đã nêu rõ: “My personal view on your activities on DDoS malware” (tạm dịch là Đây là ý kiến cá nhân của tôi về hành động tìm ra nguồn gốc malware” (hành động của Bkis – PV).

Trong email, ông Jinhyun Cho nêu rõ: “This mail doesn''t reflect the official view of KrCert/CC but my own personal one" (tạm dịch là: "Đây không phải là quan điểm chính thức của KrCert mà là quan điểm của cá nhân tôi”). Email này đại ý viết là hành động “control” (kiểm soát) của Bkis đối với 2 trong 8 server là vi phạm luật pháp. Dù 2 server này là nguồn gốc chứa mã độc (malware) gây nên tình trạng DDoS.

Một email của KrCert tiếp tục được gửi ông Đỗ Ngọc Duy Trác và tôi. Email này gây cho tôi bất ngờ khi viết: “KrCert không có yêu cầu chính thức nào đề nghị Bkis hỗ trợ. KrCert đã tự tiến hành nghiên cứu. KrCert chỉ cung cấp mã độc để tham khảo và chỉ cung cấp cho Bkis sau khi Bkis nhiều lần gọi điện xin (begged). Bkis thừa nhận kiểm soát 2 server là vi phạm luật pháp Việt Nam và quốc tế.”

Email của KrCert cũng hy vọng Bkis sẽ biên tập lại báo cáo đăng trên blog của Bkis đoạn có nói đến việc phía KrCert đề nghị Bkis giúp đỡ.

Sau email này, ngày 16/7, VNCert đã có văn bản gửi lãnh đạo Đại học Bách khoa Hà Nội đề nghị “nhắc nhở” Bkis đã tham gia “hành động” mà không có sự đề nghị từ KrCert. Trong văn bản này có nói là phía Hàn Quốc “khiếu nại”.

Tôi muốn nói rõ là trong công văn của VNCert gửi sang ĐH Bách khoa lại nói đến thư khiếu nại.

Ông ta không khiếu nại mà chỉ dựa vào báo cáo của Bkis về việc tìm ra nguồn gốc malware để suy luận hành động của Bkis là vi phạm pháp luật.

Theo tôi, những ý kiến cá nhân này của anh Cho đưa ra là không chính xác, “tiền hậu bất nhất”. Anh Cho nói rằng đã không đề nghị bên Bkis hỗ trợ. Tuy nhiên, thực tế không phải như vậy. Điều đáng nói là ý kiến trao đổi trong nội bộ tổ chức APCert lại trở thành công văn đề nghị “nhắc nhở” và tôi không hiểu tại sao lại bị tung ra nên ảnh hưởng đến Bkis.

- BKis là Trung tâm nghiên cứu thuộc ĐH Bách Khoa Hà Nội, theo quy định khi có sự cố máy tính phải báo cáo với VNCert, sau vụ việc này, Bkis đã báo cáo lên VNCert chưa?

- Chúng tôi dự định khi hoàn thành việc “cứu hộ” này sẽ có báo cáo gửi VNCert. Tuy nhiên, đây là trường hợp khẩn cấp nên thực hiện rồi mới báo cáo.Trước đó, chúng tôi đã có báo cáo gửi 2 bên bạn là Mỹ và Hàn Quốc, gửi lên cộng đồng APCert mà trong đó có VNCert là thành viên. Sau vụ việc này, chúng tôi sẽ có báo cáo cho VNCert trong các hoạt động hợp tác với nước ngoài về cứu hộ an ninh mạng.

- Quay trở lại ý kiến cá nhân của anh Cho là hành động kiểm soát 2 server là vi phạm pháp luật, ông lý giải sao về việc này?

- Xin khẳng định Bkis khống chế 2 server là không vi phạm luật pháp. Trong quá trình phân tích virus và tìm danh sách 8 máy chủ đang điều khiển máy tính tấn công website của Hàn Quốc và Mỹ. Có 2 máy chủ cung cấp dịch vụ chia sẻ tài nguyên không cấm quyền truy nhập nên ai cũng có thể vào để sử dụng dịch vụ này. Bkis đã dựa vào đó để truy ra nguồn gốc malware. Chính vì vậy, trong báo cáo, Bkis đã viết là “control” (kiểm soát) chứ không phải viết là “hack” hay “attact” (tấn công). Trước đó, các nhà nghiên cứu của Canada đã nghiên cứu mạng máy tính ma trên toàn cầu và khống chế server để phục vụ mục đích nghiên cứu. Hành động này không bị coi là vi phạm pháp luật. Bkis cũng vậy.

- Vậy sau khi bên VNCert có văn bản đề nghị lãnh đạo trường ĐH Bách Khoa Hà Nội “nhắc nhở” Bkis thì ĐH Bách khoa có động thái gì?

- Bkis đã báo cáo sự việc cụ thể với Hiệu trưởng ĐH Bách khoa về sự việc này. Về cơ bản trường ủng hộ các hoạt động của Bkis. Theo tôi được biết, trường ĐH Bách khoa sẽ có 1 công văn trả lời VNCert. Dù công văn của VNCert không yêu cầu trả lời chỉ đề nghị trường nhắc nhở Bkis.

- Đến nay, vụ việc diễn biến như thế nào, thưa ông?

- Chúng tôi đã gửi email cho KrCert nêu rõ phía họ đã có thư nhờ cộng đồng APCert trong đó có Bkis, đồng thời gửi email riêng cho VNCert, và cả tôi. Do đó, cùng là thành viên trong cộng đồng APCert, chúng tôi liền tham gia hỗ trợ.

Đến nay, chúng tôi chưa nhận được phản hồi từ phía KrCert. Hiện Bkis đã dừng tham gia tìm kiếm thủ phạm tấn công DDoS tại Hàn Quốc sau khi hỗ trợ bạn bằng cách cung cấp thông tin về nguồn gốc gây ra các vụ tấn công trên. Nếu phía bạn có lời chúng tôi sẵn sàng giúp đỡ như tinh thần chung của cộng đồng APCert.

Tuy nhiên, qua việc này BKis sẽ cẩn trọng hơn, cân nhắc các hành động trước khi tiến hành trợ giúp.

Theo VTC