Wednesday, December 27, 2006

Con cá và cần câu

Tôi thấy sự kiện Bùi Minh Trí và dư luận xã hội xung quanh phản ánh rất rõ thói quen giải quyết vấn đề dựa theo cảm tính hoặc tình cảm cá nhân của một đại bộ phận xã hội. Tôi không cho rằng chúng ta nên gạt bỏ hẳn tình cảm sang một bên, tôi chỉ mong rằng chúng ta không nên để tình cảm lấn át tinh thần thượng tôn pháp luật khi giải quyết bất kì vấn đề gì.

Trí đã sai và đối với những người trẻ như Trí, tôi nghĩ xã hội phải có trách nhiệm huấn luyện cho họ một thói quen tôn trọng pháp luật trong bất kì trường hợp nào. Chúng ta không nên tung hô, cũng không nên vội gán cho họ những mỹ từ như tài năng hay nhân tài...Điều đó sẽ làm cho họ ngộ nhận về khả năng của mình, đồng thời sẽ khuyến khích những hành động phạm pháp từ những người muốn được xem là "nhân tài". Sự kiện virus lây lan trên Yahoo! Messenger đã chứng minh rằng nếu xã hội không nghiêm túc kiểm điểm những cá nhân sai phạm thì ngay lập tức sẽ xuất hiện nhiều cá nhân phạm phải lỗi lầm tương tự.

Trong suy nghĩ của Trí, Trí cho rằng việc kiểm tra, thâm nhập rồi báo cho đội ngũ quản trị hệ thống là hành động đúng, hoàn toàn hợp pháp. Vì nghĩ rằng mình đang giúp đỡ người khác mà lại không được đoái hoài tới nên Trí mới thực hiện tiếp hành vi thay đổi trang chủ của website Bộ GDĐT với suy nghĩ đơn giản rằng, hành động này sẽ làm cho những người có trách nhiệm thức tỉnh. Nói một cách khác, có thể Trí biết mình đang phạm luật nhưng trong suy nghĩ của Trí và nhiều người khác, công của Trí vẫn nhiều hơn tội. Thậm chí nhiều người còn cho rằng Trí không có tội gì cả. Họ lập luận rằng không thể kết tội một người (ở đây là Trí), đi ngang qua nhà người khác (website của Bộ GDĐT), thấy cửa mở tang hoang nên mới cảnh báo cho chủ nhà biết. Tuy nhiên, không có cánh cửa nào được mở tang hoang ở đây cả. Nhà người ta đóng kín cửa và Trí đã cố đục lỗ chui vào, rồi mới cảnh báo cho chủ nhà rằng nhà anh dễ bị khoét vách lắm đó. Trong quá trình đục lỗ, bản thân Trí không thể biết được những thiệt hại mà Trí có thể gây ra cho chủ nhà. Đó là một hành động hết sức mạo hiểm, lỡ đục nhầm chỗ làm cho toàn bộ ngôi nhà sập xuống thì ai sẽ chịu trách nhiệm đây? Vả lại, dẫu không gây ra bất kì sự cố gì trong quá trình thâm nhập đi chăng nữa, Trí cũng đã phạm phải tội xâm nhập gia cư bất hợp pháp.

Vậy trong trường hợp này, Trí nên làm gì?
Rõ ràng các tay quản trị viên sau khi được Trí thông báo lỗ hổng, vẫn không thể nào khắc phục được. Vấn đề cốt lõi là Trí chỉ cho họ những con cá, mà không trao cần câu và chỉ họ cách câu cá. Nếu Trí muốn giúp đỡ người khác, cách tốt nhất là truyền bá kiến thức, sự hiểu biết của mình rồi để họ tự xử lý các vấn đề của họ. Chẳng hạn như nếu Trí viết một bài nêu ra các nguy cơ thường gặp trong các web-app và hướng khắc phục, chắc chắn nó sẽ đem lại nhiều lợi ích hơn và không ai đòi phạt Trí cả. Nhưng mấy tay admin không chịu đọc? Mặc kệ họ. Liệu Trí có chắc chắn rằng website của Bộ GDĐT sẽ an toàn sau khi sửa chữa hết những lổ hổng mà Trí đưa ra? Bảo vệ hệ thống là một công việc dài hơi, đòi hỏi sự chuyên tâm của người quản trị, do đó nếu các tay admin không có khả năng hoặc không muốn cập nhật thông tin thì hãy để xã hội đào thải họ, đó cũng là một cách giúp những người tốt hơn có được việc làm.

Tôi phản ứng với cách làm việc thiếu chuyên nghiệp của BKIS cũng vì những lẽ tương tự. Nếu bạn muốn giúp đỡ người khác, hãy chia sẻ kiến thức của mình một cách hợp pháp.

-Thái

13 comments:

Anonymous said...

Anh bạn rất chuộng dùng từ "thiếu chuyên nghiệp" khi bình luận về hoạt động của các đơn vị làm về bảo mật, vậy xin hỏi bạn: thế nào là làm việc chuyên nghiệp?
Đọc blog của bạn tôi thấy chất kỹ thuật ít quá, chủ yếu bày tỏ suy nghĩ cảm tính của riêng bạn. Nếu thực sự muốn chia sẻ thông tin mong bạn tập trung nhiều vào các bài viết mang tính "kỹ thuật" hơn!

conmale said...

Ái chà, nếu tôi không lầm thì blog này có cái tên là "Blog Bảo Mật Thông Tin" chớ chẳng phải "Blog chuyên kỹ thuật bảo mật thông tin".

Tôi nghĩ làm cái gì cũng vậy, ngành nào cũng vậy, người làm việc phải có tính "ethical" đi song song với tính "technical". Nếu thông tin đưa ra chỉ toàn là những câu và dòng chuyên chú kỹ thuật thì hỏng mất cái "ethical" kia.

Tính chuyên nghiệp không chỉ gói ghém trong các vấn đề kỹ thuật mà còn đụng đến những vấn đề thuộc phạm trù tinh thần nữa. Theo tôi, tính chuyên nghiệp nằm ở chỗ cân bằng giữa kỹ thuật và mục tiêu phục vụ của kỹ thuật.

Anonymous said...

Tui có nhiều thắc mắc, không biết có ai chỉ giáo giùm.

-Nếu xử BMT thì có xử Bộ GD, admin của trang web đó và QTN không nhỉ?

-Chủ quản trang Web đó là của BGD. BGD là cơ quan nhà nước sống bằng tiền thuế của dân, nếu làm dở, làm sai, pháp luật sẽ xử sao?

-Nếu Web admin, QTN là người của BGD, thì tùy BDG xử lý. Nếu BGD không xử lý, liệu dân có làm gì họ được không?

Rất nóng lòng xem pháp luật và lòng tự trọng được đối xử ra sao...

_jh

rilwis said...

Em đồng ý với quan điểm của anh Thái đưa ra.

Việc làm của Trí có thể hiểu, nhưng đứng trên pháp luật thì Trí phải chịu trách nhiệm về hành động của mình. Đáng thương thật, nhưng cũng đáng trách.

Báo chí và dư luận cũng vậy, làm người ta dễ lầm tưởng. Không biết sau Trí còn có bao nhiêu người hành động như vậy để được tôn vinh nữa. Rồi khi mọi thứ bị phá hoại hết thì hối cũng đã muộn.

Anonymous said...

Tôi rất thích một trong những nguyên tắc của ngành y: "không được chê bai đồng nghiệp trước mặt bệnh nhân".
Theo tôi thì người làm công nghệ thông tin nói chung, làm bảo mật nói riêng cũng nên ứng dụng nguyên tắc này!

Anonymous said...

Mới thấy bài này:
http://moet.gov.vn/?page=1.1&view=5781

Có lẽ Bùi Minh Trí đã không nói hết sự thật...

Anonymous said...

Cứ đá qua đá lại. họ đăng bài trên trang của họ thì ai cấm và kiểm tra tính xác thực nào? Có lẽ nên chờ kết quả của các cơ qua điều tra

thinhbk said...

Thầy Ngọc đã chính thức có lời xin lỗi
http://diendan.edu.net.vn/forums/thread/311632.aspx

NQH said...

Về ranh giới giữa "chọc ngoáy" và luật pháp, có bài viết khuyết danh (PDF) tựa đề Miễn Dịch Internet ở tạp chí Luật của Harvard cũng khá hay. Tác giả lý luận rằng hoạt động của các hackers có thể phạm luật nhưng cũng có thể rất có lợi về nhiều mặt.

Dĩ nhiên phạm pháp là điều không nên làm, cho dù dưới danh nghĩa "nghĩ tốt" cho ai đó của em Trí.

Tôi nghĩ câu hỏi ở đây không phải là "có nên làm như em Trí hay không?", mà là "làm thế nào pháp luật được thiết kế đủ 'dẻo' để kích thích 'tự do tí toáy', khuyến khích sáng tạo?". Ranh giới này rất mỏng manh.

Anonymous said...

Sau khi đọc xong một loạt các bài báo của nhiều toà soạn báo khác nhau về hành vi của em Bùi Minh Trí, cá nhân tôi không thể nói là ủng hộ em hoàn toàn hay cần ca ngợi hành động có vẻ "nghĩa hiệp" của em. Ở đây tôi muốn nói đến một khía cạnh khác, về việc mọi người vô tình đã tán dương em quá trớn, vô hình trung tạo ra một nhận thức không đúng đắn về khả năng thực tế của em sau tai nạn này.
Trong giới IT, có lẽ ai cũng biết cách sử dụng một phương thức nào đó, đơn giản hay phức tạp, để "hack" trên môi trường Internet. Đơn giản thì dùng Google hay các công cụ tìm kiếm để "search"; phức tạp hơn thì có thể tự viết và truyền bá các Trojan, spyware, malware, script độc v.v... qua các địa chỉ "hấp dẫn" bằng cách gửi cho nhiều người bằng Y!M từ máy tính bị nhiễm, hoặc sử dụng các phần mềm đã có sẵn của nước ngoài (loại này thì vô kể!). Do vậy, việc em Trí sử dụng phần mềm Remote Desktop (source code của phần mềm này thì đầy rẫy trong các diễn đàn của lập trình viên) để xâm nhập vào máy chủ của Bộ GD-ĐT không nên được coi là một "năng khiếu thiên bẩm" để tung hô, bảo vệ em! Cũng có thể vì sử dụng phần mềm chia sẻ nên em không biết và không thể nói rõ hơn cho bộ phận quản trị mạng của Bộ GD-ĐT lỗi bảo mật kia nằm ở chỗ nào để khắc phục. Nếu em biết rõ vấn đề, mọi chuyện có lẽ đã khác!
Tôi nhớ cách đây khoảng 2-3 năm, trên một số tờ báo đã đăng bài về một cậu bé học sinh tiểu học ở Mỹ đã xâm nhập cơ sở dữ liệu chứa điểm thi trên website của trường và thử sửa điểm thi của bản thân. Sau khi sửa điểm thi thành công, cậu ta đã gởi cho thầy hiệu trưởng một email xin lỗi và cảnh báo, và nói rõ mình đã sử dụng phần mềm nào để "hack". Theo ý kiến cá nhân, cậu bé này vẫn hơn hẳn em Trí về tầm nhận thức. Tôi có thể sẽ ủng hộ việc làm của em nếu em không ngạo mạn upload ảnh cởi trần của mình vào ngay trang chủ, thay ảnh của Bộ trưởng, vào đúng dịp kỷ niệm ngày Hiến chương nhà giáo, và để lại dòng chữ "catch me if you can" quá cao ngạo (theo thông tin đọc được trên báo ANTG)! Và tôi đã thật sự giận dữ khi nhìn thấy bức ảnh của em!
Tuy nhiên, xét cho cùng thì em cũng chỉ mới là một cậu học sinh cấp 3 chuẩn bị thi tốt nghiệp và đại học. Nếu xử đúng luật thì thật khó cho tương lai của em! Theo tôi, nhà trường và gia đình cần quan tâm nhiều hơn trong việc giáo dục nhận thức và ý thức của em; và đặc biệt là xã hội hãy bớt tung hô, khen ngợi em để giúp em có thể nhìn thấy được khả năng thực sự và những điều cần rút kinh nghiệm của bản thân; và em Trí cũng nên tự nhìn lại mình, nên biết khiêm tốn hơn trong tương lai! Những lời khen tặng hay ủng hộ em không có lợi cho em nếu em không biết đánh giá năng lực của bản thân.
Mong rằng việc xử lý sẽ không ảnh hưởng quá lớn đến việc thi cử của em, nhưng cũng không quá nhẹ để không còn xuất hiện những "hiệp sĩ nửa mùa" được nổi tiếng bất đắc dĩ trong tương lai!
Chúc em sớm vượt qua tai nạn này và trở thành một hiệp sĩ thực thụ!

KulDuc said...

Có một trường hợp mà không ít người đã nêu: nếu hacker không phải ở Vietnam thì Thầy Ngọc, admin Kiên có biện hộ "nhà tôi" thì không được phá hoặc vì những "yếu tố" mà admin Kiên không thể fix các server ngay được. Để đến bây giờ, khi sự việc đã xảy ra, mới được quan tâm và được cấp 10 server mới ?

Còn nhớ, năm ngoái khi hàng loạt các website chính phủ bị hack bởi nhóm hacker Thổ Nhĩ Kỳ (http://vietnamnet.vn/cntt/2005/05/424208/ , http://vietnamnet.vn/cntt/2005/06/444073/, v.v) thì chúng ta đã làm gì?

Vậy điều mà đông đảo mọi người quan tâm đến sự việc này không phải bởi Trí, Thầy Ngọc, admin Kiên hay Bộ trưởng Nguyễn Thiện Nhân đã loan tin trên các phương tiện truyền thông mà chính là cách nhìn nhận của mỗi chúng ta.
Theo cá nhân, tôi thích tựa “Lớp trẻ đang nhìn cách giải quyết của chúng ta…” của báo Tuổi Trẻ thay cho lời kết.

Anonymous said...

Chào Thái, có thêm thông tin về vụ này đây.
http://diendan.edu.net.vn/forums/thread/313093.aspx

Đạt

Anonymous said...

chúng ta ai cũng biết một điều rõ rang là cấp trên rất kị cấp dưới giỏi,muốn tránh dc phiền toái họ thường thổi phồng mức độ phạm pháp của ngưòi khác.còn nhân viên hay những đồng nghiệp đồng sự thì rất hay dấu dốt hoậc tội gì mà nhận sai để mà mất việc hoặc vạch áo cho người xem lưng, bị trù úm thì phiền .căn bệnh của người MÌNH.