Qua vụ một số website bị tấn công, nhiều người vẫn không nghĩ rằng đây là tội phạm nghiêm trọng và khung hình phạt rất cao có thể đến 15 năm tù. Thực tế trong lĩnh vực an ninh mạng mà Bkav đã tham gia có gặp nhiều trường hợp như thế này không, thưa ông?
Ông Ngô Tuấn Anh: Tấn công website có hai hình thức. Hình thức thứ nhất giống trường hợp của Báo điện tử VOV và một số báo điện tử khác là hình thức tấn công từ chối dịch vụ. Cách thức này làm cho các website bị truy cập khó khăn giống như đường vào nhà bị tắc nghẽn, nhưng nội dung và dữ liệu của website không bị thay đổi.
Còn một hình thức tấn công nữa là lợi dụng lỗ hổng của website và xâm nhập vào máy chủ của website đó để tấn công thay đổi nội dung dữ liệu. Trước đây, muốn tấn công mạng thì những đối tượng này phải có kỹ năng cao như viết ra virus và phát tán. Thế nhưng, hiện nay trên mạng có rất nhiều bộ công cụ có sẵn để những người muốn tấn công mạng có thể sử dụng hoặc thuê dịch vụ tấn công website.
Thông thường nếu ở ngoài đời thật, một người nào đấy thực hiện hành vi phạm tội sẽ có tâm lý sợ phải trả giá cho hành vi của mình. Nhưng đối với tấn công mạng thì thường những người này khi ngồi trước máy tính kết nối Inernet coi đó là chuyện bình thường, không nghĩ rằng mình đang thực hiện hành vi phạm tội; họ lầm tưởng sẽ không bị ai phát hiện và không phải chịu trách nhiệm về hành vi của mình.
Thế nhưng, bất kỳ cuộc tấn công nào đều để lại dấu vết và khi bị phát hiện sẽ phải chịu trách nhiệm về mặt pháp lý. Với ngữ cảnh là hành vi tấn công qua mạng nên nhiều khi những người thực hiện hành vi phạm tội không ý thức được rằng mình phải chịu hậu quả nghiêm trọng. Vì vậy, các hành vi tấn công mạng vẫn thường xuyên xảy ra trên thế giới cũng như tại Việt Nam.
Ông có thể nêu ví dụ điển hình về những vụ việc đáng tiếc mà các hacker đã tấn công mạng vì không hiểu luật, thậm chí là nghịch nghợm hay thử khả năng của mình?
Năm 2006, một cậu học sinh đã tấn công website của Bộ Giáo dục và Đào tạo rồi đưa hình ảnh cởi trần của mình lên thay hình ảnh của Bộ trưởng Bộ Giáo dục và Đào tạo lúc bấy giờ. Vụ việc gây ồn ào trong dư luận một thời gian. Ban đầu, có thể cậu học sinh suy nghĩ rằng đó chỉ là một trò đùa, nhưng về mặt pháp lý thì đây là hành vi vi phạm pháp luật khi xâm nhập trái phép vào một hệ thống của cơ quan nhà nước. Chỉ khi bị phát hiện thì những người này mới biết hậu quả mình gây ra.
Ngoài ra, còn có những bạn sinh viên tạo ra các con virus rồi huy động tấn công mạng và chiếm quyền điều khiển của máy tính bị nhiễm virus để theo dõi, đánh cắp thông tin của người sử dụng hay huy động các máy tính đã nhiễm virus vào một mạng máy tính ma nhằm thực hiện những cuộc công từ chối dịch vụ.
Sau khi vụ việc bị cơ quan điều tra phát hiện ra thì có những bạn vẫn trong độ tuổi ngồi trên ghế nhà trường, các trường hợp này bị xử lý sẽ ảnh hưởng lớn đến cuộc sống, học tập sau này.
Trên thực tế, hàng ngày các website bị tấn công rất nhiều nhưng quá trình xử lý còn phụ thuộc vào việc đơn vị bị tấn công có trình báo hay không hoặc cơ quan điều tra có tập trung xử lý vụ việc hay không? Ví dụ như vụ tấn công vào website của Báo điện tử VOV và một số báo khác đã gây ảnh hưởng lớn về mặt xã hội, ngay sau đó cơ quan điều tra thuộc Bộ Công an đã có thông báo tìm ra thủ phạm.
Theo kinh nghiệm của Bkav, khi đã thực hiện hành vi tấn công, các đối tượng đều để lại dấu vết nên việc tìm ra thủ phạm phụ thuộc vào mức độ thiệt hại và cơ quan chức năng có tiến hành điều tra hay không?
Mười năm trước, người tấn công mạng chủ yếu để thử khả năng của mình hay ghi thành tích khoe nhau, còn hiện nay xu hướng tấn công mạng để ghi điểm đã giảm đi rất nhiều và chuyển sang mục đích trục lợi tài chính hoặc thậm chí liên quan đến yếu tố chính trị giữa các quốc gia. Ví dụ như trước kia, các đối tượng tấn công website để “đánh bóng” tên tuổi cá nhân hay cả nhóm hacker.
Thế nhưng, bây giờ tấn công được thực hiện một cách có hệ thống. Cụ thể là tấn công xong sẽ cài phần mềm đào tiền ảo lợi dụng tài nguyên ở trên hệ thống máy chủ có hiệu suất hơn, thay vì hacker phải đầu tư máy tính đào tiền ảo thì dùng luôn máy tính của nạn nhân đưa vào trong mạng lưới đang chỉ đạo, hoặc là tấn công mã hóa dữ liệu và đòi tiền chuộc.
Nhiều bạn trẻ vẫn cho rằng tấn công website nước ngoài khó bị phát hiện và xử lý. Điều đó nên hiểu thế nào cho đúng, thưa ông?
Tất nhiên khi tấn công các website nước ngoài, không thuộc phạm vi nước mình thì việc xử lý lần ra dấu vết cũng như phối hợp điều tra về mặt kỹ thuật sẽ khó khăn hơn vì cần sự phối hợp giữa các quốc gia. Tuy nhiên, không phải là cứ tấn công website nước ngoài sẽ không bị vấn đề gì bởi nếu xảy ra hậu quả nghiêm trọng thì lực lượng thực thi pháp luật ở các quốc gia đều có cơ chế liên kết với nhau để thông báo và cùng xử lý.
Nếu mọi người tự tạo tâm lý là tấn công ở nước ngoài thì không thể bị bắt, không phải chịu trách nhiệm pháp lý, đến lúc không kiểm soát được hoặc theo thói quen tấn công vào các hệ thống tại Việt Nam. Khi đó họ phải chịu trách nhiệm pháp lý về hành vi của mình.
Ông có lời khuyên gì cho các bạn trẻ đam mê lĩnh vực này để vẫn có điều kiện thử khả năng kỹ thuật an ninh mạng của mình mà không bị vi phạm luật?
Trong lĩnh vực an ninh mạng, chúng tôi gọi đấy là làm nghề, tức là muốn có nghề nghiệp thì phải có môi trường cộng đồng. Mọi người cần tìm được những cộng đồng, diễn đàn có định hướng tốt để trao đổi chia sẻ kinh nghiệm và tham gia các cuộc thi về an ninh mạng, khai thác kiểm tra lỗ hổng an ninh.
Bên cạnh việc học chuyên ngành ở trên trường lớp, tham gia các diễn đàn và cuộc thi thì tôi có lời khuyên quan trọng là các bạn nên tìm đến những công ty làm việc trong lĩnh vực an ninh mạng để cọ xát và tiếp xúc thường xuyên với những vấn đề công nghệ liên quan đến an ninh mạng. Chỉ có như vậy mới rèn luyện được về mặt kỹ năng cũng như đạo đức nghề nghiệp của mình. Lĩnh vực an ninh mạng rất đặc thù vì cùng một kỹ năng, chúng ta làm những việc tốt sẽ rất tốt nhưng nếu sử dụng vào việc có ý đồ xấu sẽ trở thành công cụ phạm tội và phải chịu trách nhiệm pháp lý.
Cảm ơn ông!
Thái Khang (Thực hiện)
Bài 1: Tấn công mạng, từ trò đùa trở thành tội phạm
Việc tấn công website hay một hệ thống nào đó nhiều người coi là một trò đùa nhưng đến khi vào vòng lao lý mới nhận ra mức độ nghiêm trọng thì đã quá muộn.
Bài 2: Tấn công mạng cũng chẳng khác gì khủng bố, giết người
Không ít hacker thực hiện các cuộc tấn công mạng chỉ nhằm mục đích thể hiện cái hay, cái giỏi của bản thân. Thế nhưng, họ chẳng thể biết rằng chính bản thân đã bước một chân vào sau song sắt.
Bài 3: Những chiến binh thầm lặng trên không gian mạng
Là một nước mạnh về CNTT, Việt Nam sở hữu không ít tên tuổi lớn trong làng hacker mũ trắng. Có những người trong số họ từng là hacker nổi tiếng toàn cầu.