Học sinh hack trang web Bộ GD-ĐT: Có nên xử lý hình sự?

25/12/2006 14:57 GMT+7

Vừa qua, báo chí thông tin về việc Trung tâm Tin học của Bộ GD-ĐT đã tố giác với Phòng chống tội phạm công nghệ cao thuộc Cục Cảnh sát điều tra tội phạm kinh tế và chức vụ Bộ Công an việc trang web moet.gov.vn của Bộ bị hacker tấn công.

EyDNjFV1.jpgPhóng to
Trang web của Bộ GD-ĐT đã hoạt động bình thường trở lại lúc 17g sau khi bị hacker tấn công lúc 14g ngày 27-11-2006
Vừa qua, báo chí thông tin về việc Trung tâm Tin học của Bộ GD-ĐT đã tố giác với Phòng chống tội phạm công nghệ cao thuộc Cục Cảnh sát điều tra tội phạm kinh tế và chức vụ Bộ Công an việc trang web moet.gov.vn của Bộ bị hacker tấn công.

Tìm ra học sinh tấn công website của Bộ GD-ĐTTrang web của Bộ GD-ĐT bị hacker tấn công

Hacker đã tháo ảnh Bộ trưởng trên trang web và thay bằng ảnh của mình. Sau hai ngày truy tìm, các cơ quan chức năng đã tìm ra hacker tấn công trang web của Bộ GD-ĐT là một học sinh ở Vĩnh Long.

Đã nhiều lần cảnh báo

Chúng tôi đã liên hệ và gặp hacker này là em Bùi Minh Trí, 17 tuổi, học lớp 12 lý-tin, Trường THPT chuyên Nguyễn Bỉnh Khiêm, thị xã Vĩnh Long (Vĩnh Long). Vốn thích tin học nên Bùi Minh Trí đã tập tành tự học vi tính từ năm lên lớp 7. Đến lớp 9 em đã lập phần mềm sáng tạo “Quản lý trường học” dự thi Tin học trẻ không chuyên. Em cho biết từ cuối lớp 9 đã biết về bảo mật mạng.

Về vụ xâm nhập, Trí kể: “Mấy tháng trước, bằng cách mở mã nguồn em đã phát hiện lỗi bảo mật của trang web này. Em vào rồi để lại file thông báo về lỗi bảo mật để người quản lý mạng chú ý sửa lỗi”. Sau hai lần cảnh báo, Trí thấy file cảnh báo đã bị xoá (tức là người quản trị mạng này đã nhận được cảnh báo) mà không sửa chữa và cũng không nhận được hồi âm nào, em thấy bức xúc.

Qua Yahoo Messenger (chat), em đã trò chuyện với người quản trị mạng (xưng là Tuấn, sau xưng là Kiên, điện thoại số 04-8695712) để cung cấp thông tin mạng bị lỗi bảo mật. Hai bên đã từng trao đổi về phương án sửa chữa các lỗi bảo mật này, nhưng sau đó lỗ hổng bảo mật này vẫn còn nguyên.

Thất vọng về trách nhiệm của người quản trị mạng, em Trí đã trao đổi với anh Phan Đức Hải, quản trị mạng của công ty VDC (đơn vị tài trợ server và đường truyền cho web moet.gov.vn) thông tin về lỗ hổng của moet.gov.vn. Anh Hải và cấp trên của anh đã đến Trung tâm Tin học của Bộ thông tin trao đổi về lỗ hổng bảo mật.

Có cần phải động binh?

Mới đây, trong tháng 11, Trí lại thử xâm nhập vào trang web moet.gov.vn, em thấy dù có sửa đổi nhưng lỗ hổng vẫn còn. Để chứng minh sự lỏng lẻo bảo mật của trang web này, em đã thay ảnh của Bộ trưởng bằng ảnh của em trong năm phút rồi tự xóa với ý nghĩ có ai đó thấy và báo web của Bộ đang có lỗi.

“Ngoài ý muốn cảnh báo, em không có ý định gì khác”. Trí còn cho biết, ngoài trang web moetgov.vn em còn phát hiện nhiều lỗ hổng của nhiều trang web khác, trong đó có cả trang của tỉnh Vĩnh Long. Trong suy nghĩ của mình, trước sau Trí vẫn xem đó là một cách cảnh báo cho người có trách nhiệm về lỗi bảo mật chứ không có ý định tấn công hay phá hoại.

Qua điện thoại, chúng tôi đã trao đổi với anh Phan Đức Hải và được anh Hải xác nhận việc Trí đã thông báo về lỗ hổng bảo mật của trang web moet.gov.vn từ nhiều tháng trước và chính anh đã thông tin với Trung tâm Tin học Bộ GD-ĐT. Anh Hải khẳng định sẵn sàng xác nhận với các cơ quan chức năng về vấn đề này. Nhận xét về việc thay đổi hình ảnh Bộ trưởng trên trang web moet.gov.vn, anh Hải cho rằng “Trí còn trẻ nên xốc nổi chứ không nhằm mục đích xấu”.

Theo quy định của pháp luật, cũng như lề thói hành xử của giới IT, Trí đã sai khi gây ra xáo trộn cho hoạt động của trang web. Tuy nhiên trong trường hợp cụ thể này, người quản trị trang web và Trí hoàn toàn không xa lạ. Trí không hề lẩn trốn, không mai danh ẩn tích và vẫn giữ nguyên nick cũ trong các giao dịch trên mạng thì liệu có cần phải huy động cả guồng máy an ninh để truy tìm?

Người quản trị hay bất cứ ai đều có thể trao đổi trực tiếp với Trí qua mạng (online) hay ngoài đời (offline). Từ đầu đến cuối Trí đều thừa nhận hành vi của mình, thậm chí chủ động kể với người khác thì liệu có cần phải hình sự hoá hành vi này.

Chúng tôi đã trao đổi với các cơ quan có trách nhiệm về vấn đề này.

Ông Quách Tuấn Ngọc, Giám đốc Trung tâm Tin học, Bộ GD-ĐT:

Đâu phải thấy nhà mở cửa rồi tự nhảy vào

* Em học sinh đột nhập vào trang web của Trung tâm khai rằng em phát hiện trang web này có lỗ hổng, đã từng cảnh báo cho cán bộ trung tâm Tin học (TT), với công ty VDC là đơn vị tài trợ nhưng không thấy khắc phục. Ông có biết việc này không?

- Đấy là nó nói vậy, thực tế có hay không ai mà biết được. Kể cả có lỗ hổng hay không thì việc đột nhập của nó cũng là phạm tội.

* Thưa ông, các ông phát hiện ra có hacker tấn công vào lúc nào? Có nhất thiết phải phối hợp với Bộ Công an tìm đối tượng xâm nhập khi mà đối tượng đó không lẩn trốn, để lại nick và đã chấm dứt việc phá phách?

- Việc gì tôi phải nhớ đến chuyện đó. Tôi chỉ biết rằng ngay sau khi nhận được thông tin có kẻ đã vào trang web của Bộ, thay ảnh Bộ trưởng Nguyễn Thiện Nhân, cán bộ TT đã kết hợp với BKIS (Trung tâm an ninh mạng của Đại học Bách khoa) tìm đối tượng rồi chuyển giao hồ sơ cho Phòng chống tội phạm công nghệ cao thuộc Cục Cảnh sát điều tra tội phạm kinh tế và chức vụ Bộ Công an C15.

Chúng tôi hơi đâu mà vào tận Vĩnh Long để vồ nó. Chuyện đó là của bên Công an. Sau hai ngày điều tra, thủ phạm đã được xác định là Bùi Minh Trí, có nickname là GuanYu (Quan Vũ), học sinh lớp 12 tại thị xã Vĩnh Long, tỉnh Vĩnh Long. Tuy nhiên, muốn biết rõ thế nào thì hỏi nó.

* Đối tượng tấn công đang là một học sinh. Việc mình khẳng định đó là tội phạm liệu có nặng quá không?

- Nhà của mình là nhà đàng hoàng, mở cửa không có nghĩa là thằng trộm đi qua được quyền nhảy vào. Tất nhiên mình cũng có lỗi trong chuyện này. Bố con của nó ngày nào cũng điện thoại cầu xin bọn tôi nhưng luật hình sự đã ghi rõ rồi, cứ có tội là xử lý.

* Là người quản trị trang web của Bộ, ông sẽ làm gì để không để xảy ra sự cố như vừa rồi, thưa ông? Và sau sự việc này, ông có “cẩn thận” hơn không?

- Tôi không thể khẳng định được điều gì cả. Đến ngay như trang web của Quốc Hội Mỹ, của FBI hay CIA còn bị hacker tấn công đấy chứ. Hãng Microsoft là hãng sản xuất phần mềm nổi tiếng, hàng ngày, hàng tháng người ta còn phải cập nhật những lỗ hổng và định dạng những hacker mới để có cách chống nữa là. Đây là sự việc lần đầu tiên chúng tôi gặp.

* Xin cám ơn ông.

Thượng tá Hồ Minh Kha, Trưởng phòng CSĐT tội phạm về TTQLKT và chức vụ:

Xử lý hành chánh với tình tiết giảm nhẹ

Bộ luật Hình sự của nước ta có các điều 224, 225, 226 để xử lý các hành vi bị coi là tội phạm máy tính. Về trường hợp của em Bùi Minh Trí chưa đến mức phải truy cứu trách nhiệm hình sự. Nếu áp dụng điểm K Điều 41 Nghị định 55/NĐ-CP của Chính phủ về “quản lý, cung cấp và sử dụng dịch vụ Internet” thì với hành vi làm biến dạng, làm huỷ hoại các dữ liệu trên trang web Bộ GD-ĐT của em Bùi Minh Trí sẽ bị xử phạt hành chính. Mức xử phạt hành chính từ 10 đến 20 triệu đồng. Tuy vậy, với trường hợp của em Trí sẽ được xem xét tình tiết giảm nhẹ về động cơ, về gia đình, học sinh và tuổi tác.

Ông Nguyễn Tử Quảng, Giám đốc Trung tâm an ninh mạng BKIS (Trường ĐH Bách khoa, Hà Nội):

Chủ trang web chưa quan tâm đến bảo mật

Việc tấn công vào trang web dù dưới hình thức nào cũng bị coi là hacker. Phần lớn tội phạm trong lĩnh vực công nghệ thông tin sau khi bị bắt đổ cho lỗi này, lỗi kia. Việc một thanh niên còn ngồi trên ghế nhà trường vẫn có thể tấn công và quấy nhiễu một website mang tầm quốc gia là chuyện bình thường.

Hầu hết công ty viết phần mềm chưa quan tâm đến đảm bảo an ninh mạng. Các đơn vị sử dụng cũng chưa thực sự có ý thức về vấn đề này nên không yêu cầu những nhà sản xuất có phương án xử lý hay tư vấn về kiến thức an ninh mạng. Các công ty này rất hiếm kỹ sư đủ kiến thức xử lý về an ninh mạng khi có sự cố. Về mặt luật pháp, tính răn đe chưa cao bởi phần lớn các trường hợp vi phạm chỉ bị xử lý hành chính, cứ có đủ tiền nộp phạt là được trả về nhà. Luật pháp cần phải sửa đổi với hình thức xử phạt nặng hơn.

NGUYÊN VẸN - TỐ NHƯ - T.N (Theo Pháp Luật TP.HCM)

Ý kiến của bạn

NGUYÊN VẸN - TỐ NHƯ - T.N (Theo Pháp Luật TP.HCM)
Bình luận (0)
    Xem thêm bình luận
    Bình luận Xem thêm
    Bình luận (0)
    Xem thêm bình luận