Khăn quàng cổ cho ngày thu se lạnh

Như ICTnews đã đưa tin, chiều ngày 29/7/2016, đã xảy ra sự cố tấn công thay đổi giao diện website và các hệ thống thông tin thuộc sự quản lý của Tổng Công ty Hàng không Việt Nam (Vietnam Airlines) cùng một số đơn vị liên quan khác bị  tấn công, xảy ra sự cố. Trong thông cáo báo chí đầu tiênđược phát ra khoảng 22h cùng ngày, 6 tiếng sau thời điểm sự cố xảy ra, cùng với việc cho biết vào khoảng 16:00 ngày 29/7/2016, trang mạng chính thức của hãng đã bị chiếm quyền kiểm soát và bị chuyển sang trang mạng xấu ở nước ngoài, Vietnam Airlines cũng đã xác nhận dữ liệu của một số hội viên khách hàng thường xuyên của hãng đã bị công bố.

Sự cố an toàn, an ninh thông tin mạng xảy ra với hệ thống thông tin của Vietnam Airlines ngày 29/7 vừa qua được các chuyên gia nhận định là một “hồi chuông cảnh tỉnh” các cơ quan, đơn vị, doanh nghiệp cần phải đặc biệt quan tâm đến công tác đảm bảo an toàn thông tin cho hệ thống của cơ quan, đơn vị mình.

Tối ngày 31/7/2016, trên trang fanpage cộng đồng NukeViet, Ban quản trị cộng đồng này đã đăng tải bài viết với tiêu đề: “Sự cố an ninh của Vietnam Airlines - phân tích dưới góc nhìn của người làm nghề web” để cảnh báo các thành viên cộng đồng này, nhất là những quản trị viên website (webmasters).

Hiện có khoảng 5 vạn thành viên, cộng đồng NukeViet gồm các tổ chức và cá nhân dùng phần mềm vận hành website “made in Việt Nam” NukeViet, nhóm phát triển NukeViet, các lập trình viên tự do, các doanh nghiệp và cá nhân cung cấp sản phẩm và dịch vụ dựa trên NukeViet. Đặc biệt, đại đa số các thành viên cộng đồng NukeViet là các webmasters.

Bài viết mới đăng tải trên fanpage của Ban quản trị cộng đồng NukeViet đã đưa ra những nhận định khá sắc sảo về sự cố an ninh của Vietnam Airlines. Được sự đồng ý của tác giả, ICTnews xin lược đăng bài viết này để độc giả biết thêm được một góc nhìn đối với vụ tin tặc tấn công hệ thống  thông tin của Vietnam Airlines vừa qua:

Sự cố an ninh của Vietnam Airlines dưới góc nhìn của người làm nghề web

Như đã nhận định, khắc phục sự cố bị hacker tấn công kiểu này sẽ không chỉ trong vài ngày. Bởi vì, hệ thống bị tấn công không thể chỉ xử lý bằng cách vá lỗ hổng bảo mật, mà còn phải xử lý phá hoại và cả tá backdoor (cửa hậu) bị cài vào hệ thống. Mà “chỉ có trời mới” biết nó bị phá chỗ nào, backdoor nằm ở đâu. Nói chung, chỉ có nước thay thế hệ thống phần mềm hiện tại bằng Code sạch (không chỉ có Code phần mềm mà thậm chí là ở cấp độ hệ điều hành); và tất nhiên, phải được vá lỗi (có nhận định trên ITLC - Câu lạc bộ các lãnh đạo CNTT - rằng hệ thống màn hình sân bay bị hack từ backdoor cài vào các thiết bị mạng có xuất xứ từ Trung Quốc đang sử dụng ở sân bay - như vậy có lẽ là cần phải làm sạch từ... phần cứng).

Chuyện này không thể khắc phục trong ngày một ngày hai với một hệ thống như hệ thống thông tin của hàng không. Trong khi sự cố an ninh này được xếp vào hàng cực kỳ nghiêm trọng thì Vietnamairlines lại xử lý quá “nghiệp dư”

Nghiệp dư về mặt kỹ thuật

Rõ ràng, Vietnam Airlines không có một quy trình xử lý sự cố bảo mật tiêu chuẩn hoặc quy trình đó quá ư... sai sót. Khi bị hack cơ sở dữ liệu (CSDL) khách hàng, Vietnam Airlines lại gửi email thông báo cho khách hàng tự đổi mật khẩu và mở luôn hệ thống đã bị hack để cho khách hàng đăng nhập và đổi mật khẩu. Có đời thủa nhà nào xử lý sự cố mất CSDL người dùng như vậy không?

Đầu tiên, về mặt lý mà nói, anh làm mất dữ liệu cá nhân của người ta thì anh phải có trách nhiệm khắc phục trước. Đằng này anh hoàn toàn không có bất cứ động thái nào khắc phục mà đổ ngay trách nhiệm cho người dùng phải tự đổi mật khẩu thì thật là... vô trách nhiệm.

Thứ nữa, về mặt kỹ thuật và quy trình bảo mật thì đáng ra anh phải reset lại toàn bộ mật khẩu của người dùng để tránh bị (những người có được dữ liệu hacker công bố) lợi dụng đăng nhập (việc này chỉ cần làm "trong một nốt nhạc") sau đó mới mở lại hệ thống và thông báo cho người dùng sử dụng chức năng "quên mật khẩu" để đăng nhập và tạo mật khẩu mới. Các hệ thống CMS hiện đại như NukeViet CMS, Joomla, Drupal, Wordpress... đều có, không lý gì mà website của Vietnam Airlines lại không có chức năng này?

Chỉ có thể có một lý do duy nhất: Kỹ thuật viên của Vietnam Airlines quá ngờ nghệch về quy trình xử lý sự cố thông tin. Ngoài ra, động thái “khắc phục nhanh chóng” này của Vietnam Airlines tạo ra quá nhiều rủi ro:

Thứ nhất, không biết hệ thống của Vietnam Airlines đã kịp vá lỗ hổng bảo mật và quét sạch hệ thống chưa mà đã mở lại hệ thống đăng nhập cho người dùng.

Giả sử tôi là hacker, tôi sẽ để lại một mớ backdoor, shell, bao gồm cả vài đoạn mã đánh cắp mật khẩu của người dùng và người quản trị "Ngay khi họ đăng nhập lại vào hệ thống" (rất nhiều trường hợp tôi hỗ trợ người dùng NukeViet bị rơi vào trường hợp này).

Sau khi chiếm quyền điều khiển website của Hãng Hàng không quốc gia Việt Nam, hacker Trung Quốc đưa những nội dung như sau lên trang web của Vietnamairlines:

“Phản đối hành động chung của Việt Nam và Phillipines.

Quan điểm của Trung Quốc đã bị lờ đi!

Việt Nam và Philippines chỉ là con tốt của Mỹ, Nhật, Trung Quốc

Biển Đông thuộc chủ quyền lịch sử của Trung Quốc

Chủ quyền của Trung Quốc là bất khả xâm phạm

Ngày 6/8 vừa qua, Niantic Labs - nhà phát triển game thực tế ảo Pokemon Go đã đăng tải thông báo trên Facebook và Twitter cho biết có thêm người dùng tại 15 nước được tải về game này, trong đó có Việt Nam. Ngay lập tức, số lượng người chơi Pokemon Go tại Việt Nam đã gia tăng đột biến.

Tuy nhiên, việc các địa điểm nhận thưởng trong game (Pokestop) được bố trí theo đúng bản đồ thực và phân bố không đều khiến cho người chơi game “khát” Pokestop. Đánh trúng tâm lý đó, nhiều bài viết trên các diễn đàn, website và trang tin công nghệ sau khi phán đoán rằng nhà phát hành Niantic sử dụng Google Map để tạo các địa điểm trong game (Pokestop và GYM), đã có nhiều bài viết hướng dẫn người chơi Pokemon Go tạo Pokestop bằng cách… sửa bản đồ Google (Google Map) thông qua công cụ vẽ bản đồ Google Map Maker của Google.

Các bài hướng dẫn này đã tạo ra làn sóng hàng ngàn người chơi Pokemon Go đổ xô lên công cụ vẽ bản đồ Google Map Maker của Google để tạo ra những địa điểm giả các di tích lịch sử và địa điểm nổi tiếng, thậm chí di chuyển nhiều địa điểm về gần nhà mình… với hy vọng được đưa vào trong game.

Theo một thành viên cộng đồng Google Map Maker Việt Nam, nhiều người chơi game Pokemon Go trong nước không biết rằng hành vi spam Google Map của họ có thể phá nát bản đồ Google. Để không xảy ra điều này, các thành viên cộng đồng Google Map Maker Việt Nam đã cố gắng kiểm duyệt và từ chối các địa điểm giả được người chơi tạo ra bằng Google Map Maker. Tuy nhiên, do số lượng spam trên công cụ vẽ bản đồ Google Map Maker ngày càng tăng khiến cho việc kiểm duyệt bị quá tải.

Nhiều thành viên Google Map Maker Việt Nam cũng bày tỏ sự mệt mỏi và chán nản vì những câu hỏi và yêu cầu kiểm duyệt địa điểm tạo Pokestop. Thậm chí có thành viên còn “tuyên chiến” với doanh nghiệp đang lợi dụng sự quan tâm của người chơi Pokemon Go viết bài “câu view” và cảnh cáo doanh nghiệp nào cố tình hướng dẫn các game thủ đi spam địa điểm trên Google Map thì chính thông tin của doanh nghiệp trên Google Map sẽ bị từ chối.

Như ICTnews đã thông tin, hôm qua, ngày 10/8/2016, Cộng đồng Google Map Maker Việt Nam đã đăng tải trên trên trang Google Plus và Fanpage của nhóm thông điệp kêu gọi cơ quan truyền thông, người dùng hành động để bảo vệ nguồn dữ liệu bản đồ Việt Nam trên Google Maps, do những game thủ Pokemon chỉnh sửa, nhằm lập các điểm Pokestop để săn vật phẩm trong game Pokemon.

Trong thông điệp đăng tải trên Fanpage Googe Maps Maker, Lê Bách, một trong những trưởng khu vực Google Map Maker tại Việt Nam đã kêu gọi các cơ quan báo chí, các tổ chức và người dùng có hành động để bảo vệ nguồn dữ liệu bản đồ Việt Nam trên Google Map mà người dùng trong mấy ngày qua đã trực tiếp chỉnh sửa thông qua công cụ Map Maker của Google.

Sự khác biệt giữa hai bo mạch chủ mới nhất từ MSI là tính năng giao tiếp không dây đạt chuẩn AC và ngay từ tên gọi thì điều này cũng được thể hiện rất rõ ràng, người dùng tùy vào nhu cầu của mình có thể chọn lựa phiên bản thích hợp nhằm đạt được giá trị kinh tế tốt nhất.

DDR4 Boost

Như tất cả bo mạch chủ sử dụng socket LGA 1151 và hỗ trợ nền tảng Intel Skylake của MSI, B150I GAMING PRO (AC) cũng được trang bị công nghệ DDR4 Boost, mang đến khả năng tương thích và hiệu năng tốt nhất cho các bộ nhớ DDR4 đời mới, đây được xem như bước đột phá cực kỳ ấn tượng của MSI so với đối thủ của mình và được rất nhiều nhà sản xuất bộ nhớ RAM kết hợp nhằm mang đến những sản phẩm tốt hơn cho người dùng.

MSI GAMING LAN

Mang đến chất lượng đường truyền mạng tối ưu nhất cho các game hay nói cách khác là phân bổ băng thông hợp lý nhất để chơi game mượt nhất.

Intel WIFI chuẩn AChỗ trợ Intel WiDivà Audio Boostmang đến cho bạn giao tiếp không dây chuẩn mực với module gắn rời đi kèm trong khi chất lượng âm thanh cũng được nâng tầm bằng các linh kiện nền chuyên dụng dành riêng cho âm thanh.

MSI DPC LACENTY TUNERmang đến cho bạn công cụ tùy chỉnh và tối ưu cực kỳ mạnh mẽ cho hệ thống nhằm đạt được khả năng vận mạnh mượt mà nhất và kinh tế nhất, ứng dụng này người dùng cần cài đặt thêm vào và được tải miễn phí từ website MSI.

MSI GAME BOOST vẫn được trang bị cho hai bo mạch chủ B150I GAMING PRO (AC) mới và người dùng chỉ đơn giản là vào trong hệ thống BIOS để kích hoạt chức năng này mà thôi, hệ thống sau khi khởi động lại sẽ nhanh chóng tăng tốc theo các thiết lập có sẵn từ nhà sản xuất.

Sản phẩm dự kiến sẽ sớm có mặt tại thị trường Việt Nam trong tháng 12, thông tin chi tiết hơn vui lòng liên hệ các nhà phân phối chính thức của MSI.

Thông tin chi tiết hơn về sản phẩm vui lòng xem thêm tại link sau: http://www.msi.com/product/motherboard/B150I-GAMING-PRO-AC.html#hero-overview

Noah

Từ trước tới nay, để gọi trợ lý ảo Siri của iOS bạn sẽ phải nhấn giữ nút Home của iPhone/iPad. Sang iOS 8 trở đi, Apple cho phép bạn gọi Siri bằng câu lệnh "Hey Siri", thế nhưng câu lệnh chỉ có tác dụng khi bạn đang cắm sạc hoặc nếu không cắm sạc thì bạn đang phải dùng iPhone 6S và iPhone 6S Plus. Các hạn chế này là để giúp người dùng tiết kiệm pin, tuy nhiên, có một thủ thuật bạn có thể áp dụng để tính năng "Hey Siri" hoạt động với bất kỳ iPhone nào. 

Đầu tiên bạn sẽ cần kích hoat “hey Siri” trongSettings>General>Siri.Tiếp theo bạn mở chạy Siri và không cần nói bất kỳ thứ gì. Với việc Siri đang hoạt động trên màn hình, tính năng “hey Siri” vẫn hoạt động cho tới khi màn hình tự động khóa. Với việc có thể tự thiết lập thời gian màn hình tự động khóa trong bao lâu tùy thích (trongSettings>General>Auto-Lock), bạn có thể dùng "Hey Siri" cho mọi iPhone mà không còn phải chịu những giới hạn mà Apple đưa ra như kể trên. 

Hôm nay, ngày 9/8/2016, Hiệp hội Phần mềm và Dịch vụ CNTT Việt Nam (VINASA) cho biết đã chính thức gửi bản Kiến nghị xem xét Điều 292 Bộ luật Hình sự (BLHS) năm 2015- “Tội cung cấp dịch vụ trái phép trên mạng máy tính, mạng viễn thông”  lên Chủ tịch Quốc hội, Thủ tướng Chính phủ, Chủ tịch Ủy ban Quốc gia về ứng dụng CNTT và các cơ quan, bộ ngành hữu quan.

9 điểm "vi phạm, bất hợp lý" của Điều 292

Trong bản kiến nghị được Chủ tịch VINASA Trương Gia Bình ký ngày 8/8/2016, Hiệp hội nhấn mạnh: “Điều 292 BLHS 2015 đang gây tâm lý hoang mang, lo lắng và tạo thành một làn sóng phản đối mạnh mẽ đặc biệt là từ cộng đồng khởi nghiệp và cộng đồng doanh nghiệp CNTT nói chung. Với vai trò của một tổ chức xã hội nghề nghiệp chuyên ngành, đại diện cho cộng đồng doanh nghiệp CNTT và cộng đồng khởi nghiệp sáng tạo trong lĩnh vực CNTT, VINASA trân trọng gửi tới Quốc hội, Chính phủ và các cơ quan, bộ ngành hữu quan kiến nghị khẩn thiết về Điều 292 của BLHS 2015”.

Trong bản Kiến nghị này, VINASA đã nêu rõ 9 điểm vi phạm, mẫu thuẫn và bất hợp lý của Điều 292 BLHS 2015, bao gồm: Thứ nhất, Điều 292 hình sự hóa hoạt động kinh doanh trái phép, đồng thời với hình sự hóa hoạt động kinh doanh trên mạng; Thứ hai, Điều 292 vi phạm quyền tự do kinh doanh được Hiến pháp 2013 qui định, trong đó ghi nhận “quyền tự do kinh doanh là quyền con người và là một trong những quyền cơ bản nhất của công dân” và “Mọi người có quyền tự do kinh doanh trong những ngành nghề mà pháp luật không cấm”; Thứ ba, Điều 292 trái với đường lối, chủ trương phát triển kinh tế được thể hiện trong Hiến pháp 2013, điều 51, khoản 3 là: “Nhà nước khuyến khích, tạo điều kiện để doanh nhân, doanh nghiệp và cá nhân, tổ chức khác đầu tư, sản xuất, kinh doanh; phát triển bền vững các ngành kinh tế, góp phần xây dựng đất nước”; Thứ tư, Điều 292 đi ngược lại với quan điểm chủ trương, chính sách, chiến lược của Đảng và Chính phủ về thúc đẩy phát triển, ứng dụng CNTT; ảnh hưởng tiêu cực đến sự phát triển của không chỉ ngành CNTT mà còn của tất cả các ngành, lĩnh vực của đời sống kinh tế, xã hội đất nước; Thứ năm, Điều 292 không phù hợp với thực tiễn và xu thế phát triển trong thời đại số, nhất là trong bối cảnh nhân loại đang bước vào cuộc cách mạng công nghiệp lần thứ 4, là xu hướng kết hợp giữa các hệ thống ảo và thực thể, vạn vật kết nối Internet (IoT) và các hệ thống kết nối Internet (IoS); Thứ sáu, Điều 292 đi ngược lại quan điểm của Đảng và Chính phủ về không hình sự hóa các quan hệ hành chính, kinh tế đã được qui định trong Hiến pháp và được Thủ tướng Chính phủ khẳng định mạnh mẽ tại hội nghị “Doanh nghiệp - Động lực phát triển kinh tế” tổ chức ngày 29/4/2016 vừa qua tại TP.HCM; Thứ bảy, Điều 292 qui định về hành vi tội phạm chưa phù hợp với quan điểm về tội phạm được qui định tại Điều 8 của BLHS; Thứ tám, Điều 292 vi phạm nguyên tắc bình đẳng trước pháp luật - một trong những nguyên tắc quan trọng nhất của pháp luật; trong đó bất bình đẳng lớn nhất đồng thời là bất hợp lý nghiêm trọng nhất của Điều 292 là sự bất bình đẳng giữa các loại chủ thể khác nhau cùng thực hiện hành vi phạm tội quy định tại điều luật này, cụ thể là giữa cá nhân và thương nhân là cá nhân với pháp nhân thương mại; Thứ chín, Điều 292 có nhiều nội dung qui định bất cập, chưa thống nhất về khái niệm pháp lý với các luật chuyên ngành, dễ gây các cách hiểu và giải thích khác nhau trong quá trình áp dụng, thực thi pháp luật.

Đối với mỗi quan điểm đánh giá về sự bất hợp lý, mẫu thuẫn, vi phạm trong nội dung của Điều 292 BLHS 2015 đưa ra trong bản Kiến nghị, VINASA đều phân tích rất kỹ càng và có dẫn chứng, ví dụ cụ thể.

Đơn cử như, để làm rõ luận điểm “Điều 292 hình sự hóa hoạt động kinh doanh trái phép, đồng thời với hình sự hóa hoạt động kinh doanh trên mạng”, VINASA đã phân tích kỹ 4 dấu hiệu định tội quy định tại Điều 292 gồm: Hành vi cung cấp một trong các dịch vụ (kinh doanh vàng trên tài khoản, sàn giao dịch thương mại điện tử, kinh doanh đa cấp, trung gian thanh toán, trò chơi điện tử trên mạng, các loại dịch vụ khác trên mạng máy tính, mạng viễn thông theo quy định của pháp luật); Sử dụng mạng máy tính, mạng viễn thông (gọi chung là mạng) để cung cấp dịch vụ; : Không có giấy phép hoặc không đúng nội dung được cấp phép; và thu lợi bất chính trên 50 triệu đồng hoặc có doanh thu trên 200 triệu đồng.

“Với 4 dấu hiệu định tội trên, đặc biệt là với qui định quét tại điểm e khoản 1 thì tất cả các hoạt động kinh doanh dịch vụ trên mạng nằm trong danh mục 267 ngành nghề kinh doanh có điều kiện theo qui định của Luật Đầu tư 2014 đều có thể bị coi là tội phạm nếu vi phạm về điều kiện kinh doanh và “thu lợi bất chính từ 50 triệu trở lên hoặc có doanh thu từ 200 triệu trở lên”. Vì vậy thực chất điều 292 vẫn là tội kinh doanh trái phép giống như Điều 159 BLHS 1999 nhưng có phạm vi điều chỉnh hẹp hơn, áp dụng đối với hoạt động kinh doanh trên mạng trong những ngành nghề kinh doanh có điều kiện. Mức độ hình sự hóa hoạt động kinh doanh trái phép của Điều 292 còn cao hơn, với hình phạt nặng hơn so với tội kinh doanh trái phép qui định tại Điều 159 của BLHS 1999, thể hiện ở khung hình phạt cao nhất của điều 292 lên tới 5 năm tù so với khung hình phạt cao nhất của điều 159 BLHS 1999 là 3 năm tù”, kiến nghị của VINASA nêu rõ.

Đồng thời, theo kiến nghị, quan điểm hình sự hóa hoạt động kinh doanh trên mạng được thể hiện ngay trong qui định tội danh của Điều 292 là: “Tội cung cấp dịch vụ trái phép trên mạng máy tính, mạng viễn thông”. Việc hình sự hóa hoạt động kinh doanh trên mạng còn được thể hiện rõ qua việc qui định dấu hiệu sử dụng mạng để thực hiện hành vi cung cấp dịch vụ là dấu hiệu định tội thay vì chỉ coi là dấu hiệu định khung.

Với dấu hiệu định tội này, chỉ những hành vi kinh doanh trái phép được thực hiện bằng phương thức sử dụng mạng (hành vi kinh doanh được thực hiện trên mạng) thì mới bị truy cứu trách nhiệm hình sự còn hành vi kinh doanh trái phép được thực hiện trực tiếp, không đưa lên mạng thì không bị truy cứu trách nhiệm hình sự, mặc dù bản chất của hai hành vi là như nhau, cùng xâm phạm một khách thể.