David Brown
Phạm Toàn dịch
Posted by adminbasam on June 6th, 2013
Hồi tháng 3 [năm 2013], Anh Ba Sam, trang blog tin tức chính trị của
Việt Nam, bị một loạt tấn công khiến nội dung của trang bị bóp méo và các chủ
trang blog không thể nào vào được bên trong trang blog của mình. Bọn hắc khách
chiếm trang blog, thay các bài của trang bằng bài mang nội dung của chúng và
thay đổi mật khẩu để quản trị các phần của toàn trang.
Khi những người chủ trang Anh Ba Sam liên hệ với dịch vụ
WordPress nhằm tìm cách vào lại trang blog của mình, thì công ty này yêu cầu
chủ trang kiểm định lại các nhận dạng của họ. Nhưng điều này chẳng dễ dàng gì —
vì bon hắc khách tấn công trang blog này đã thay đổi các thông tin bảo mật của
trang, làm cho các chủ trang tạm thời không thể chứng minh được họ là chính
chủ. Mà cứ cho rằng ngay cả khi đã chứng minh đủ nhờ có các thông tin bảo mật
trên, thì cũng vẫn phải đặt ra câu hỏi về vai trò sứ mệnh căn bản của chủ dịch
vụ và trách nhiệm của chủ dịch vụ khi cung cấp các biện pháp an ninh đầy đủ cho
khách hàng của mình.
‘Người nói chuyện tầm phào’
Trong mấy năm gần đây, trang Anh Ba Sam (ABS) đã gây dựng
được một vị trí duy nhất là
người kết nối các tin tức về những sự kiện và khuynh hướng phát triển ở Việt
Nam. Trang blog này có các bài báo đăng lại từ báo chí nước ngoài và những bài
có nguồn gốc từ bên trong cộng đồng ABS, nhiều thành viên của cộng đồng ABS đó
xác nhận mình là những nhà bất đồng chính kiến. ABS cập nhật tin tức bốn lần
mỗi ngày và đều đặn đăng những bài phân tích về chính trị, kinh tế, xã hội của
các nhà trí thức và các chuyên gia có uy tín. Trước khi bị hắc khách tấn công,
trang này mỗi ngày có khoảng 100.000 lượt người đọc.
Trong tiếng Việt, “Anh” là đại từ chỉ người, dùng cho nam
giới nhiều tuổi. “Ba Sàm” nghĩa là “người ngồi lê đôi mách”. Một quản trị trang
giải thích cho báo Global Voices Advocacy chúng tôi rằng, bạn đọc đã nói về
trang mạng đó như sau: “Ba sàm [đưa] thông tin chính thống, [báo] chính
thống nói chuyện ba sàm,” có nghĩa là, “Người ngồi lê đôi mách chuyện
tào lao thì đưa ra được những tin tức chính thống, còn các phương tiện truyền
thông chính thống thì chỉ đưa những tin tầm phào”.
Cuộc tấn công
ABS là một mục tiêu có giá đối với các cơ quan an ninh
nội địa của Việt Nam, cho dù không có chứng cớ rõ ràng là các hắc khách của
chính phủ đã tham gia vào cuộc tấn công trang ABS. Ngày 8 tháng 3 [năm 2013],
bọn hắc khách chiếm được quyền kiểm soát ABS, đuổi được các chủ nhân đích thực
của trang này ra ngoài và xóa sạch nội dung trang ABS. Ngày 13 tháng 3, bọn hắc
khách (có lẽ là cùng một người hoặc cùng một nhóm như lần 8 tháng 3 trước đây)
cho đăng lên trang này một “bản tường trình” với giọng điệu phỉ báng và ‘phơi
bày’ về Đinh Ngọc Thu, biên tập viên điều hành trang ABS (*), rút từ những tài
liệu mà bà Thu nghi rằng bọn hắc khách đã ăn cắp từ máy tính của bà.
Bà Thu gửi yêu cầu cấp bách tới bộ phận hỗ trợ khách hàng
của WordPress, đòi phục hồi việc kiểm soát trang mạng cho bà và đồng sự của bà.
Câu trả lời của họ là, trước hết bà Thu phải chứng minh được rằng bà là chính
chủ của trang, nhưng điều này là không thể — vì mọi dữ kiện xác định nhân thân,
các tư liệu trao đổi với WordPress, các biên lai thanh toán, và các chứng cứ
khác cho thấy quyền sở hữu trang đã được lưu giữ ở các tiểu mục của trang đã
hoặc là bị xóa bỏ hoặc là đến lúc này các thành viên của ABS không còn truy cập
được nữa.
Liệu WordPress có thể giúp gì?
Các liên lạc của bà Thu đã làm cho vấn đề gây sự chú ý
của Tổng Tư vấn công ty Automattic, một công ty đồng chủ nhân của
WordPress.com. Bộ phận chăm sóc khách hàng của WordPress sau đó đã tỏ ra hợp
tác hơn và việc kiểm soát trang blog đã được phục hồi cho bộ máy điều hành của
trang ABS. Tuy nhiên, đòi hỏi sự nỗ lực đáng kể để thúc giục WordPress gỡ đi
nhiều tiểu-blog cùng những cạm bẫy mà bọn hắc khách cài lại bên trong trang
ABS. Nếu như nhóm điều hành ABS không liên hệ được với nhóm điều hành có thế
lực của WordPress và Automattic, thì hẳn còn lâu họ mới thu hồi lại được trang
mạng của mình.
Không lâu sau vụ này, WordPress.com đã triển khai tiến trình nhận dạng
gồm hai bước cho tất cả các khách hàng của họ. Vẫn chưa dám nói chắc, nhưng
cũng có người tin rằng vụ tai nạn ABS đã thành chất xúc tác cho sự thay đổi
này.
ABS đã trở lại và lại hoạt động với an ninh chặt chẽ hơn
và một URL mới kể từ cuối tháng 3 năm 2013. Trung bình mỗi ngày số lượt người
truy cập trang đã lên tới 73.000. Bộ máy điều hành ABS hy vọng sớm đưa trang
blog về một server mới và dĩ nhiên là an toàn hơn.
Tăng cường an ninh cho các trang blog dễ bị tấn công hơn
Những người điều hành trang ABS và báo Global Voices
Advocacy yêu cầu WordPress hãy đi theo một chính sách hỗ trợ chủ động
(proactive) và ngăn chặn sớm (preemptive) đối với những người điều hành blog
đang đứng trước những thách thức tương tự như ABS đã gặp. Chúng tôi tin rằng
WordPress sẽ nhận trách nhiệm đến mức cao nhất trong khả năng có thể nhằm bảo
đảm sao cho các trang mạng khách hàng không bị hắc khách tấn công (chẳng hạn,
khuyến nghị họ theo quy trình nhận dạng hai bước, và tích cực hơn trong việc
giúp đỡ để bảo đảm rằng các scripts và các plugins của WordPress đang được quản
trị blog sử dụng, được cập nhật).
Công ty WordPress có thể cân nhắc xây dựng một cơ chế cho
phép khách hàng của họ phục hồi kiểm soát một tài khoản đã bị hắc khách chiếm.
Như trong trường hợp trang ABS, giả sử như có người tuyên bố mình là chủ trang
và yêu cầu khẩn cấp đòi lại quyền kiểm soát trang. Nhân viên của WordPress có
khả năng không thành thạo ngôn ngữ được dùng trên trang đó. Làm cách nào để họ
có thể biết ai là người đòi hỏi quyền sở hữu chính đáng? Nếu thấy có sự thay
đổi đột ngột và toàn diện mới nhất tái diễn trong việc truy cập bộ phận điều
hành trang mạng, có thể coi là bằng chứng đủ để biết là đang diễn ra chuyện
cưỡng chiếm trang mạng. Tới thời điểm này thì WordPress có thể khước từ truy
cập điều hành trang mang của bất kỳ ai trong khi chờ xử lý các yêu cầu.
WordPress nên lấy làm vinh hạnh vì vai trò độc nhất của
mình như là người tạo điều kiện cho tự do ngôn luận chính trị trên toàn thế
giới. Để làm được điều đó, chúng tôi tin rằng công ty nên cung cấp tư vấn an
ninh tương tác cho các blogger đi theo nhiều hướng khác nhau và các blogger bất
đồng mà công ty quản trị. Một sự tham gia như vậy hẳn sẽ làm cho hình ảnh của
cả WordPress và Automattic mạnh hơn trong mắt công chúng và sẽ cung cấp một
dịch vụ vô giá cho cộng đồng của mình.
Nguồn: Global Voices Advocacy
Bản tiếng Việt © Ba Sàm 2013
—
Ghi chú của BTV:
(*) Trong bài mà hacker để lại cũng có một phần bôi nhọ
ông Nguyễn Hữu Vinh, người sáng lập blog ABS.
No comments:
Post a Comment