báo cáo môn đạo đức máy tính đạo đức hacker

Ở đây chúng tôi định nghĩa: Một hành động được coi là có đạo đức khi nó không làm hại bản thân người thực hiện nó, cũng như không làm hại những người khác.. Do đó, hành động này của Paul

Giảng viên hướng dẫn:Lê Tấn Hùng

Nhóm sinh viên thực hiện:

Computer Ethics Lớp Việt Nhật K60

MỤC LỤC

1 GIỚI

THIỆU 3

2 GIẢI THÍCH THUẬT NGỮ 3

3 PHƯƠNG PHÁP PHÂN TÍCH 4

4 TÌNH HUỐNG NGHIÊN CỨU 1: KEVIN POULSEN - HACKER GIÁN ĐIỆP 4

4.1 Mô tả tình huống 4

4.2 Phân tích tình huống 5

4.3 Bài học rút ra 5

5 TÌNH HUỐNG NGHIÊN CỨU 2: VỤ TẤN CÔNG WEBSITE CỦA BỘ GIÁO DỤC VÀ ĐÀO TẠO - THÁNG 11/2006 6

5.1 Mô tả tình huống 6

5.2 Phân tích tình huống 6

5.3 Bài học rút ra 7

6 TÌNH HUỐNG NGHIÊN CỨU 3: CÔNG CỤ PHÂN TÍCH AN NINH DÀNH CHO KIỂM ĐỊNH MẠNG (SATAN) 7

6.1 Mô tả tình huống 7

6.2 Phân tích tình huống 8

6.3 Bài học rút ra 8

7 KẾT LUẬN 9

7.1 Ranh giới giữa hành vi có đạo đức và hành vi thiếu đạo đức của hacker 9

7.2 Tầm quan trọng của đạo đức đối với hacker 9

8 ĐỀ XUẤT 10

9 TÀI LIỆU THAM KHẢO 11

PHỤ LỤC 1: Một số chế tài pháp luật của Việt Nam về An toàn Thông tin 11

A Luật Công nghệ Thông tin 11

B Nghị định 72/2013/NĐ-CP của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng 12

PHỤ LỤC 2: Đạo luật Lạm dụng và Lừa đảo Máy tính Hoa Kì (Computer Fraud and Abuse Act – CFAA) 13

1 GIỚI THIỆU:

Sự phát triển bùng nổ của công nghệ máy tính đã mang lại nhiều lợi ích chocon người: việc tìm kiếm thông tin trở nên dễ dàng hơn bao giờ hết thông quamạng Internet; các khóa học trên mạng cung cấp hầu hết các kiến thức được dạytại nhà trường; các phần mềm kế toán giúp cho việc quản lý ngân sách nhanhchóng và tiện lợi hơn Tuy nhiên, mọi sản phẩm công nghệ được tạo ra đềuchứa trong nó những lỗ hổng bảo mật, dù ít hay nhiều Cộng đồng hacker xuấthiện đóng vai trò tìm kiếm và khắc phục những sai sót đó thông qua việc thâmnhập vào phần mềm hay hệ thống và đánh giá độ an toàn của nó Tuy nhiên, một

bộ phận không nhỏ những hacker lại sử dụng khả năng của mình để phạm tội,gây hại cho bản thân mình và người khác Tiêu biểu là vào tháng 7/2008, P.AViệt Nam, một trong những nhà cung cấp dịch vụ tên miền lớn nhất tại ViệtNam vào thời điểm đó, bị tấn công, khiến cho khoảng

8.000 website của các doanh nghiệp, tổ chức và cá nhân bị vô hiệu hóa, các sàngiao dịch điện tử hoàn toàn bị ngưng trệ [1] Báo cáo này sẽ đưa ra những ví dụđiển hình về hacker, sau đó phân tích chúng dưới góc nhìn của an ninh, góc nhìncủa pháp luật và góc nhìn đạo đức Tiếp đến là những kết luận của chúng tôi vềtầm quan trọng của đạo đức đối với hacker để không làm hại mình và ngườikhác Cuối cùng, chúng tôi sẽ đề xuất những kiến nghị nhằm xây dựng nhữngchuẩn mực đạo đức chung trong giới hacker, nhằm xây dựng một công đồnghacker lành mạnh, mang lại lợi ích cho bản thân và xã hội

2.2 HACKER: Người thực hiện hành động thâm nhập vào hệ thống máy tính,

phần mềm máy tính, phần cứng hay mạng máy tính để tìm kiếm và khai thác các

lỗ hổng an ninh theo ý muốn của bản thân

2.6 Tính bảo mật (Confidentiality): Một thông tin đáp ứng tính bảo mật khi

nó không bị tiết lộ cho hay truy cập bởi các chương trình hay cá nhân không cóthẩm quyền

2.7Tính nguyên vẹn (Integrity): Một thông tin đáp ứng tính nguyên vẹn khi

nó không bị thay đổi, chỉnh sửa bởi các chương trình hay cá nhân không có thẩmquyền

2.8Tính khả dụng (Availability): Một thông tin đáp ứng tính khả dụng khi nó

có thể được truy cập và sử dụng khi cần thiết bởi người có thẩm quyền

2.9 Tính hợp pháp (Legality): Một hành động được coi là hợp pháp khi nó

tuân thủ theo các quy định luật pháp được đặt ra

2.10Sâu máy tính (Worm): Là một loại phần mềm ác tính có khả năng tự

nhân bản và lan truyền thông qua internet và các mạng địa phương

3 PHƯƠNG PHÁP PHÂN TÍCH:

Trong phần này này, chúng tôi sẽ đưa ra cách thức chúng tôi thực hiện phântích các ví dụ đưa ra Trước hết, chúng tôi sẽ phân tích ví dụ dưới góc nhìn anninh, được đánh giá dựa trên 3 tiêu chí: tính bảo mật, tính nguyên vẹn và tínhkhả dụng Tiếp đến, chúng tôi đối chiếu hành vi trong ví dụ đó với luật pháp củanước sở tại để đưa ra những nhận định về tính hợp pháp của nó Và cuối cùng,chúng tôi sẽ đi sâu vào phân tích nó dưới góc độ đạo đức Ở đây chúng tôi định

nghĩa: Một hành động được coi là có đạo đức khi nó không làm hại bản thân

người thực hiện nó, cũng như không làm hại những người khác Hành động đó được coi là thiếu đạo đức khi nó làm hại người thực hiện nó hoặc làm hại người khác hoặc cả hai Dựa trên định nghĩa này, chúng tôi sẽ đánh giá hành vi trong

ví dụ được đưa ra có đạo đức hay không

4 TÌNH HUỐNG NGHIÊN CỨU 1: KEVIN POULSEN

-HACKER GIÁN ĐIỆP

bị bắt năm 1991 Trong thời gian đó, Poulsen và đồng bọn đã thực hiện một vụphi vụ khét tiếng khi đột nhập và thao túng toàn bộ đường dây điện thoại của đàiphát thanh KIIS-FM của Los

Angeles để đảm bảo mình sẽ chiến thắng khi là người gọi điện thứ 102 và giànhphần thưởng là một chiếc Porsche 944 S2 Tháng 6/1994, Poulsen bị kết án bảytội danh như lừa đảo qua máy tính, điện thoại, thư từ, tội rửa tiền, cản trở công

lý, thu thập thông tin về các doanh nghiệp bí mật do FBI điều hành KevinPoulsen đã bị kết án 51 tháng tù giam (4 năm và 3 tháng), mức án nặng nhất chomột hacker thời điểm đó.[3]

Đối với bản thân Paul: Hành vi xâm nhập trái phép, cản trờ công lý của Paul

đã hại chính bản thân hắn, khiến hắn phải chịu mức án phạt nặng nhất cho 1hacker của chính phủ Hoa Kì

Đối với cá nhân, tổ chức bị hại, hành động của Paul đã khiến hệ thống anninh bị xáo trộn, gây thiệt hại về tài chính cho tổ chức bị hại Hơn nữa, nó khiếncác cá nhân, tổ chức bị hại luôn có cảm giác lo lắng, sợ hãi khi những bí mật cánhân dễ bị tiết lộ

Do đó, hành động này của Paul là hành động vô đạo đức, không những gâyhại cho bản thân, mà còn gây hại cho người khác

4.3 Bài học rút ra

Qua hành động này của Paul, ta có thể thấy rằng không nên sử dụng tài năngcủa mình vào những hành động phi pháp, tuy rằng hành động của Paul cũnggiúp cho các cá nhân, tổ chức phần nào đề cao hơn sự cảnh giác của mình trongvấn đề bảo mật thông tin Thế nhưng, ta có thể sử dụng tài năng 1 cách hợp

pháp (chả hạn tìm lỗi và thông báo cho cá nhân, tổ chức) thay vì sử dụng choxâm nhập trái phép, vì điều đó có thể dẫn đến các hậu quả nghiêm trọng cho cánhân, tổ chức, và đặc biệt là cho người xâm nhập trái phép.

5 TÌNH HUỐNG NGHIÊN CỨU 2: VỤ TẤN CÔNG WEBSITE CỦA

BỘ GIÁO DỤC VÀ ĐÀO TẠO - THÁNG 11/2006

5.1 Mô tả tình huống

Vào khoảng 14 giờ chiều ngày 27/11/2006, một sự việc hy hữu đã xảy ra khiwebsite của Bộ Giáo dục & Đào tạo (có địa chỉ tại www.moet.gov.vn) đã bịhacker đột nhập Kẻ tấn công đã thay ảnh của Bộ trưởng Nguyễn Thiện Nhânbằng bức ảnh của một thanh niên cởi trần Đến khoảng 19 giờ cùng ngày, đốitượng tấn công lại tiếp tục xâm nhập vào nhập máy chủ, nơi chứa những dữ liệuquan trọng

Đến 16h55 ngày 27/11, website này vẫn chưa thể truy cập được Phải đếnhơn 17 giờ, các chuyên gia tin học của Bộ Giáo dục và Đào tạo mới khắc phụcxong sự cố và website www.moet.gov.vn mới có thể truy cập lại bình thường.Qua phân tích của Trung tâm An ninh mạng Bkis (Đại học Bách Khoa HàNội), tin tặc đã đột nhập vào máy chủ Bộ GD&ĐT có địa chỉ là một thuê baođiện thoại cố định với số máy 070-8333 nằm trên đường Phạm Thái Bường,phường 4, thị xã Vĩnh Long, tỉnh Vĩnh Long Ngay sau đó, đối tượng tấn công làBùi Minh Trí, sinh năm 1989, học sinh lớp 12 chuyên Lý - Tin Trường trung họcphổ thông chuyên Nguyễn Bỉnh Khiêm, phường 4, thị xã Vĩnh Long đã bị lựclượng chức năng bắt giữ và tiến hành xử lý.[4]

tao, cài đặt, phát tán phần mềm độc hại, vi rút máy tính; xâm nhập trái phép,chiếm quyền điều khiển hệ thống thông tin, tạo lập công cụ tấn công trênInternet Nó là hành vi phạm pháp.

5.2.3 Dưới góc độ đạo đức:

Đối với bản thân: Hành động của Trí rõ ràng đã gây hại cho chính bản thânem

Đối với người khác: Hành động của Trí đã gây thiệt hại nghiêm trọng về mặt

an ninh và tài chính cho trang web của Bộ Giáo dục và Đào tạo, đồng thời xúcphạm đến danh dự và uy tín của Bộ Trưởng Bộ Giáo dục và Đào tạo lúc bấy giờ

là ông Nguyễn Thiện Nhân Hơn nữa,

nó còn gây thiệt hại về tài chính cho gia đình khi phải nộp tiền phạt vì hành viphạm pháp của em.

Do đó, hành động này của Trí là hành động thiếu đạo đức, vừa gây hại chobản thân em, mà còn gây hại cho người khác

5.3 Bài học rút ra

Qua sự kiện này chúng tôi thấy nổi lên 2 vấn đề cần chú ý:

● Thứ nhất: Kiến thức pháp luật trong lĩnh vực CNTT của giới trẻ cònkém Việc bảo vệ trang web được thực hiện chủ yếu bằng các giải phápcủa người quản trị mạng, ngoài ra nó cũng được bảo vệ bằng luật pháp.Ngay cả khi trang Web có lỗ hổng, nhưng hành động xâm nhập trái phép

là phạm pháp Tìm tòi và học hỏi về CNTT là tốt, áp dụng để tìm ra lỗhổng của trang Web cũng rất đáng khen, nhưng cảnh báo lỗi bằng tâncông trang web thì không thể khen được, không thể chấp nhận được

● Thứ hai: Cần quan tâm hơn nữa trong việc giáo dục học sinh và sinh viên

về vấn đề lễ phép với người lớn Kính trọng thầy cô là 1 đức tính khôngthể thiếu của học sinh, nhưng một học sinh đã thay hình của lãnh đạo caonhất ngàng giáo dục bằng hình 1 người cởi trần là xúc phạm lớn chẳngnhững đỗi với Bộ Trưởng mà còn là xúc phạm đến tất cả thầy cô giáo.Đây là một vấn đề cần phải được khắc phục ngay trong thời gian tới

6 TÌNH HUỐNG NGHIÊN CỨU 3: CÔNG CỤ PHÂN TÍCH AN NINH DÀNH CHO KIỂM ĐỊNH MẠNG (SATAN)

6.1 Mô tả tình huống:

Được tạo ra bởi Dan Farmer và Wietse Venema, Công cụ Phân tích An ninhdành cho Kiểm định Mạng (Security Analysis Tool for Auditing Networks), haySATAN, là một trong những công cụ phân tích an ninh mạng đầu tiên trên thếgiới Nó có chức năng tiến hành kiểm định nhằm xác định các nguy cơ an ninhcủa hệ thống và cung cấp lời khuyên về cách loại bỏ chúng Không những vậy,SATAN còn thu thập một lượng lớn thông tin về hệ thống, ví dụ như máy chủnào được kết nối với các máy chủ con, loại máy của chúng và dịch vụ chúngcung cấp Chương trình này được chia sẻ miễn phí trên mạng Internet, và nhậnđược rất nhiều sự chú ý từ giới công nghệ trên thế giới Một số nhà hành pháp vàquản trị viên mạng tin rằng các hacker xấu có thể sử dụng nó để nhận dạng vàđột nhập vào các máy tính dễ bị tấn công,

dẫn đến việc Bộ Tư pháp Hoa Kì đe dọa khởi kiện Silicon Graphics, nơi DanFarmer làm việc, buộc công ty phải đuổi việc ông Trong một vài năm sau đó,việc sử dụng các công cụ quét điểm yếu an ninh như SATAN được chấp nhận làmột phương pháp kiểm định an ninh máy tính và mạng máy tính.[2]

vi phạm nếu kẻ xấu sử dụng thông tin thu thập được từ nó để chỉnh sửa hoặc

ăn cắp dữ liệu từ hệ thống, hoặc cản trở người có thẩm quyền truy cập và sửdụng nó

6.2.2 Dưới góc độ pháp luật:

Nếu SATAN được sử dụng bởi người có thẩm quyền và trách nhiệm,hành động của họ không vi phạm Đạo luật Lạm dụng và Lừa đảo Máy tínhHoa Kì

Nếu nó được sử dụng bởi kẻ xấu nhằm đột nhập trái phép và tìm ra điểmyếu của hệ thống, hành động đột nhập đó đã vi phạm Đạo luật Lạm dụng vàLừa đảo Máy tính Hoa Kì

Đối với người khác: SATAN giúp các nhà quản trị hệ thống tự động hóaquá trình kiểm tra các điểm yếu an ninh trong hệ thống để tránh việc chúng bịlợi dụng thông qua mạng máy tính Việc tạo ra nó là hành động mang lại lợiích cho các nhà quản trị hệ thống Tuy nhiên, nếu rơi vào tay kẻ xấu, nó có

thể tạo cơ hội để các hacker đột nhập và tấn công vào các máy tính hay hệthống có điểm yếu, gây thiệt hại lớn cho các tổ chức và cá nhân Vì vậy,hành động phát hành nó miễn phí trên mạng Internet là hành động thiếu cânnhắc kỹ lưỡng, có thể gây hại cho người khác, là hành động thiếu đạo đức.

6.3 Bài học rút ra:

Khi phát triển phần mềm, nhất là các phần mềm liên quan đến an ninh mạng

và bảo mật thì phải cố gắng đánh giá hết tác dụng và hậu quả của phần mềm,tránh trường hợp phần mềm

bị lợi dùng vào mục đích xấu SATAN như 1 con dao 2 lưỡi, nếu các nhà pháttriển đánh giá mọi hậu quả nó đem đến và gắn chuôi cho nó bằng cách khôngchia sẻ miễn phí trên mạng Internet mà đặt dưới sự giám sát của các tổ chức,chính phủ uy tín thì sẽ mang lại rất nhiều lợi ích như hạn chế lỗ hổng bảo mật,giảm thời gian, tăng hiệu quả làm việc cho các nhà phát triển hệ thống.

7 KẾT LUẬN

Trong báo cáo này, chúng tôi đã giới thiệu và phân tích một số ví dụ điểnhình của hacker, sau đó trình bày bài học bản thân mình rút ra từ những ví dụđược nêu ra Từ đó, chúng tôi rút ra được một số kết luận như sau:

7.1 Ranh giới giữa hành vi có đạo đức và hành vi thiếu đạo đức của hacker

Chúng tôi nhận thấy rằng tiêu chí rõ ràng nhất để đánh giá một hành độngcủa hacker là dựa trên tiêu chí hành động đó có thể gây hại cho bản thân hoặccho người khác hay không Ở đây, cụm từ “có thể gây hại cho bản thân hoặc chongười khác” được hiểu như sau:

(a) Có thể gây hại cho bản thân: Hành động này, xét trong mọi tính huống cóthể xảy ra,

ngoại trừ trường hợp tự vệ chính đáng hoặc thực thi pháp luật, có thể gây thiệthại gì cho mình hay không?

(b) Có thể gây hại cho người khác: Hành động này, xét trong mọi tình huống

có thể xảy

ra, ngoại trừ trường hợp tự vệ chính đáng hoặc thực thi pháp luật, có thể khiếncho máy tính, hệ thống hay mạng máy tính bị tổn thất gì không? Nếu có thì chủ

sở hữu sẽ phải chịu tổn thất gì?

Nếu hành động của một người có thể gây hại cho bản thân mình hoặc gây hạicho người khác hoặc cả hai bên, trừ trường hợp tự vệ chính đáng, thì mìnhkhông nên thực hiện nó Hành động gây hại cho mình hoặc người khác hoặc cảhai là hành động thiếu đạo đức

Ngược lại, nếu hành động của người đó không thể gây hại cho bản thân vàcho người khác, thì mình nên thực hiện nó Hành động không gây hại cho mình

và người khác là hành động có đạo đức

7.2 Tầm quan trọng của đạo đức đối với hacker

Chúng tôi nhận thấy rằng để trở thành một hacker có ích cho mình và cho xãhội, đạo đức đối với hacker vô cùng quan trọng Một hacker, trước khi thực hiệnbất cứ hành động gì, phải suy nghĩ thật kĩ lưỡng về kết quả mà hành động củamình gây ra, để không tự hại mình và không làm hại người khác

1 0

8 ĐỀ XUẤT

Trong phần này, chúng tôi sẽ đưa ra đề xuất của bản thân về bộ chuẩn mựcđạo đức đối với hacker Chúng là bài học đúc kết được từ những ví dụ chúng tôiđưa ra Ba tiêu chí đầu tiên là tiêu chí cơ bản đánh giá hành động đạo đức củacon người nói chung Các tiêu chí sau được áp dụng riêng đối với người sử dụngmáy tính và mạng máy tính

(1) Không nên thực hiện các hành động có thể gây hại cho bản thân hoặc chongười khác,

xét trong mọi tình huống có thể xảy ra, ngoại trừ trường hợp tự vệ chính đánghoặc thực thi pháp luật

(2) Trước khi hành động, cần phải suy nghĩ kĩ xem hành động đó có thể gâyhại cho bản

thân hoặc cho người khác hay không, xét trong mọi tình huống có thể xảy ra,ngoại trừ trường hợp tự vệ chính đáng hoặc thực thi pháp luật Nếu đó là hànhđộng có thể gây hại cho bản thân hoặc cho người khác, thì không nên thực hiện.(3) Không nên làm các công việc, dù tự nguyện hay bắt buộc, có thể gâyhại cho bản

thân hoặc cho người khác, xét trong mọi tình huống có thể xảy ra, ngoại trừtrường hợp tự vệ chính đáng hoặc thực thi pháp luật

(4) Không nên đột nhập vào máy tính, hệ thống máy tính hay mạng máytính khi chưa

được sự cho phép hoặc cấp thẩm quyền của chủ sở hữu, ngoại trừ trường hợp tự

vệ chính đáng hoặc thực thi pháp luật

(5) Không nên thay đổi, xóa, sử dụng, truyền đi hay lưu trữ sang mộtphương tiện ghi

nhớ khác thông tin trong máy tính, hệ thống máy tính hay mạng máy tính khichưa được sự cho phép hoặc cấp thẩm quyền của chủ sở hữu, ngoại trừ trườnghợp tự vệ chính đáng hoặc thực thi pháp luật

(6) Không nên ngăn cản quyền truy cập, sử dụng hay thay đổi thông tin trongmáy tính,

hệ thống máy tính hay mạng máy tính của người dùng khi chưa được sự chophép hoặc cấp thẩm quyền của chủ sở hữu, ngoại trừ trường hợp tự vệ chínhđáng hoặc thực thi pháp luật