Tản mạn về vụ việc hack server X của anh Juno_okyo và con đường White Hat

Thời gian vừa qua, các trang báo mạng đã đưa tin về vụ việc 3 triệu thông tin khách hàng Việt Nam bị hack từ server X của anh Juno_okyo.
Sau tất cả thì mọi chuyện đã được giải quyết một cách êm đẹp.
Em chỉ muốn bàn về 1 khía cạnh khác của vấn đề. Đó là pháp luật và White Hat.
Theo điều 289 Bộ luật hình sự số 100/2015/QH13 ngày 27 tháng 11 năm 2015, quy định cụ thể như sau:

"Người nào cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác chiếm quyền điều khiển; can thiệp vào chức năng hoạt động của phương tiện điện tử; lấy cắp, thay đổi, hủy hoại, làm giả dữ liệu hoặc sử dụng trái phép các dịch vụ, thì bị phạt tiền từ 50.000.000 đồng đến 300.000.000 đồng hoặc phạt tù từ 01 năm đến 05 năm."

Theo em biết thì không cần biết đến hậu quả, chỉ cần dựa vào hành vi đã đủ để cấu thành tội phạm.
Vậy việc làm của anh Juno_okyo có phải là vi phạm pháp luật không?
Và trong một viễn cảnh khác, nếu phía server X không những không cảm ơn anh Juno_okyo mà còn đâm đơn kiện anh Juno_okyo thì sao? Anh Juno_okyo có phải chịu trách nhiệm trước pháp luật hay không?
Em muốn hỏi điều này bởi vì em rất đam mê về Security và đang định hướng White Hat.
Nhưng trong văn bản pháp luật lại quy định về việc xâm nhập vào mạng máy tính (dù biết là kiểm tra bảo mật và không gây ra thiệt hại) vẫn là phạm tội.
Em cảm thấy rất là mâu thuẫn. Anh em có thể cho em ý kiến được không?
Em cảm ơn nhiều.

THeo mình biết nếu muốn không phạm luật thì chỉ có nước báo cáo trước cũng như xin phép website/server muốn pentest rồi mới tiến thành pentest.
Còn mọi trường hợp tự ý pentest, lấy thông tin để làm bằng chứng mà không qua xin phép đều coi như phạm luật.
Và nếu bạn còn nhớ vụ BKAV, hacker vô thêm file hacked chả gì hơn. Bùm, thế là được vài năm ngồi tù!

Dễ hiểu thì thằng ăn trộm vô nhà bạn rồi nó lấy vài bức hình gia đình của bạn. Sau đó nó gọi đt nó nói: “Tao lấy đc vài bức hình của mày rồi nè. Lần sau nhớ khỏa cửa đàng hoàng nhé!”
Well, ở trường hợp trên thì tên trộm chả phạm luật về tội lấy cắp tài sản (vì tài sản quá nhỏ). Nhưng xâm nhập trái phép, thì có đấy.

Em nghĩ anh Juno_okyo pentest trước, lấy thông tin để biết tầm ảnh hưởng của bug. Rồi sao đó mới thông báo bên server X là hệ thống bị lỗi.
Theo ý kiến của anh, vậy thì trường hợp ví dụ của anh Juno_okyo là phạm pháp à ?
Mà em thấy đa phần White Hat họ cũng đâu có thông báo trước là họ pentest đâu. Họ lướt web rồi sẵn tiện check xem trang web có lỗi bảo mật không và có thể vô tình phát hiện ra lỗi. Vậy cũng bị tính là xâm nhập trái phép?
Hix, em thấy khó hiểu quá.

Bạn phát hiện lỗi, giống như bạn đi ngang qua nhà người khác thấy quên khóa cửa. Bạn báo chủ nhà thì tất nhiên bạn không phạm pháp rồi.
Nhưng bạn phát hiện lỗi hay phát hiện nhà người ta quên khóa cửa, bạn vô nhà người ta thì bạn có phạm pháp.
(Giống như bạn có thể thấy nhiều vụ đột nhập, mặc dù chưa lấy được gì nhưng cũng được mời lên phường ăn bánh uống trà rồi )

Và mình thấy trường hợp như anh Juno lấy được 3tr tài khoản. Tức có thể xem như vô nhà người ta luôn rồi. -> Theo pháp luật là vi phạm rồi.
Nhưng được cái là họ không kiện, đơn giản vì thấy anh Juno có ý tốt và nếu kiện thì tiếng tăm công ty nhiều khi sụt giảm. Mà kiện nhiều khi cũng chả giải quyết được gì Thôi chi bằng thưởng cho Juno một phần quà coi như trả công thuê pentest luôn. Quá lợi cho cả 2 bên.

Hix, trường hợp của anh Juno và cách hành xử của bên server X là viễn cảnh quá lý tưởng rồi.
Thực tế, nếu mà gặp trường hợp công ty họ không cần biết là mình phát hiện và thông báo lỗi bảo mật giúp họ.
Họ chỉ thấy là mình xâm nhập vào hệ thống của họ và đâm đơn kiện thì mình sẽ bị vướng vào vòng lao lý.
Bản thân White Hat tự biết là mình có mục đích tốt, muốn giúp họ cải thiện độ bảo mật. Nhưng theo góc nhìn của họ, họ có nghĩ được như vậy, hay họ chỉ biết làm một điều mặc định họ phải làm là báo ngay cho cảnh sát để điều tra.
White hat là con đường tương lai mà em muốn đi, và cũng là đam mê cháy bỏng của em.
Chẳng lẽ đam mê của mình lại là một điều phạm pháp ??

Chẳng lẽ White Hat không có đất sống ở Việt Nam sao?
Qua vụ việc Vietnam Airline bị hacker nước ngoài tấn công, em nghĩ Việt Nam chúng ta cần phải có nhiều White Hat như anh Juno hơn nữa. Để giúp cải thiện độ bảo mật cho các công ty, doanh nghiệp Việt Nam trước sự manh nha, đe dọa của hacker thế giới.
Em cũng muốn góp một phần công sức để làm điều này, một điều mà em thấy rất ý nghĩa và tâm huyết trong cuộc sống.
Nhưng những điều luật lại không rõ ràng như vậy, em thực sự rất không an tâm.
Biết đâu một ngày nào đó, em lại bị vướng vào vào lao lý bởi những điều luật mù mờ kia.
Quả thật, em “tiến thoái lưỡng nan”.

Em định góp điều gì?

Đây là một sân chơi của cả quốc gia, và em chẳng là ai mà đòi hỏi cỏ tiếng nói, vì chẳng ai biết em là ai.
Muốn làm gì đó, hãy thể hiện mình theo đúng LUẬT chơi hiện hành, tức là tuân thủ pháp luật. Việt Nam còn đang phát triển, có nhiều thứ nó chưa rõ ràng, và vì chưa rõ ràng nên phải hiểu bản thân và nhiều thứ khác. Không phải cái gì cũng cứ muốn là được.

Muốn làm bảo mật, vậy hãy thể hiện bằng cách tham gia vào một vài công ty chuyên về bảo mật ở VN như BKAV, CMC, Viettel…để thể hiện bản thân, có tiếng nói, có quan hệ. Lúc đó, được bảo hộ của những người khổng lồ Việt Nam thì còn gì phải lo nghĩ???

Đừng có tính xa vời vợi, đếm cua trong lỗ, hãy cố gắng đặt mục tiêu ngày mai tiến bộ hơn, học nhiều điều hơn, thành con người tốt hơn so với chính mình của ngày hôm qua.

Em nghĩ là không hề

Giả sử trường hợp hacker tấn công một website. Thì làm sao biết được trường hợp đó là vô tình hay cố tính? Mà nếu vô tình, làm sao chứng minh được là “vô tình”?
Và nếu không chứng minh được là vô tình. Thì ko lẽ vô tù ư?
Nếu anh Levis search với keyword when is hacking illegal thì có không ít kq nói về vấn đề này. Và hầu hết có giải thích tương tự như ở VN

http://security.stackexchange.com/questions/6355/at-what-point-does-hacking-become-illegal-us
http://techin.oureverydaylife.com/computer-hacking-crime-1387.html

Legal hacking is very narrowly defined, so it’s up to hackers to familiarize themselves with local and national laws regarding hacking, and to work within them. Generally speaking, hacking may be legal if you are working on your own computer system or if you have explicit and detailed written permission for anything you do to someone else’s system.

Cảm ơn sự tư vấn nhiệt tình của anh Levis và anh grab popcorn.
Em nghĩ em đã tìm được hướng đi cho mình.

Ở việt nam cũng vậy mà anh Levis. Chỉ khác là người ta gọi công tố viên là kiểm soát viên thì phải.
Tuy nhiên ý em muốn nói ở đây là điều kiện thi hành luật cũng như Việt Nam. Hack mà ko xin phép thì cũng phải đối diện với toà án thôi

OK, em đã tạo ra một topic mới để thảo luận.
Dù sao thì bước vào ATTT cũng nên học luật pháp nên tạo mới cho mọi người cùng thảo luận để hiểu thêm luôn.

Em cũng thấy nên trao đổi thêm vấn đề này.
Một chủ đề rất hay mà em rất quan tâm và mong muốn tìm hiểu thêm.

Nói chung làm gì có khái niệm white-hat, mà chỉ có khái niệm Brown-hat (mũ nhờ nhờ, nửa đen nửa trắng). Còn một khi đã hack, đã nhảy vào server của họ … thì khi ra nên xoá hết log (nhớ xoá fill zero), ip thì phải che bằng proxy, các shell thì đặt tên gần giống shell system, … và …

Hacker chui vào, thấy mỏ vàng, rồi lại chui ra báo cho thằng bảo vệ thì có mà hâm. Âm thầm cài shell … hoặc nếu có báo thì cũng nên dùng email tạo mới. Nói chung, mình tự bảo vệ mình. Và nhất là không được tham, không được thích nổi tiếng, khoe ầm hack hiếc này nọ, …