Vào tháng 7-2006, chúng tôi phát hiện ra một account lạ có tên là Guanyu trên hệ thống máy chủ của website www.moet.gov.vn. Đây là thời điểm hệ thống máy chủ bị hở do cơ quan chuyển giao người quản trị website. Máy chủ này chỉ dùng cho nhóm phát triển. Sau khi phát hiện ra dấu hiệu bất thường và qua kiểm tra cho thấy hệ thống bị thay đổi và đã bị bổ sung một account đủ quyền hệ thống có tên là Guanyu, để lại backdoor (một dạng virus) để dễ bề xâm nhập về sau.

Để xử lý tình huống này, từ tháng 7 đến tháng 11-2006, chúng tôi đã tiến hành việc quét lại mã nguồn của tất cả các website con trên máy chủ, đồng thời cũng đã thiết lập thêm một tầng đệm giữa máy chủ với internet, trên máy chủ phát hiện có hai phiên bản EXE của Hacktool.Cat32 do Trí để lại.

Về hệ thống máy chủ, do một số yếu tố phụ thuộc vào kế hoạch duy tu và thay thế phần cứng nên các lỗi thuộc về hệ thống trên máy chủ đã không thể khắc phục triệt để  ngay được. Đây là trách nhiệm và lỗi của chúng tôi, đội ngũ quản trị máy chủ. Hiện nay cơ quan chúng tôi đang trong quá trình lắp và gài đặt hệ thống máy chủ mới.

Trong suốt thời gian từ tháng 7 đến ngày 27-11-2006, ngày xảy ra sự việc thay đổi nội dung ảnh của Bộ trưởng Bộ GD-ĐT, tôi không hề nhận được sự liên hệ, trao đổi nào của Trí. Điều này, bằng biện pháp kỹ thuật, chúng ta hoàn toàn có thể kiểm tra lại qua hệ thống điện thoại, e mail.

Ngày Trí bị phát giác qua nick quan_vu_XXX cùng toàn bộ thông tin cá nhân và bị các cơ quan chức năng điều tra, Trí đã có hành động "đổi mũ" (biến mình từ hacker phá hoại thành hacker mũ trắng). Sau này, khi đã bị phát giác, Trí đã thừa nhận toàn bộ quá trình vi phạm của mình. Trí thú nhận rằng lần đột nhập cuối hoàn toàn bắt đầu từ việc khai thác lại thông tin người dùng mà Trí đã trộm được từ website. Trí đã dùng thông tin này để lấy ra mật khẩu người dùng của cán bộ trong Bộ GD-ĐT để có quyền tải lên mạng (upload) và đã dùng cách này để tải phần mềm đột nhập lên máy chủ của Bộ GD-ĐT. Đây là một hành vi phá hoại có chủ ý.

Vào cuối tháng 11-2006, Trí tiếp tục có hành vi xâm nhập website, bổ sung account hệ thống và ngày 27-11-2006 đã thay hình ảnh Bộ trưởng Bộ GD-ĐT tại Lễ chúc mừng ngày Nhà giáo Việt Nam bằng hình ảnh một cậu bé cởi trần. Hình ảnh này tồn tại trên website hàng tiếng đồng hồ (từ khoảng 10h sáng theo nhật ký ghi nhận thời điểm tao account Guanyu tới gần 2h chiều).

Hoàn toàn không phải chỉ có 5 phút rồi Trí tự động tháo xuống như Trí đã nói trên báo chí. Vào thời gian này (đầu giờ chiều ngày 27-11), chúng tôi nhận được nhiều điện thoại của các phóng viên thông báo cho chúng tôi biết về sự việc trên. Đây cũng là bằng chứng cho thấy Trí đã nói không đúng sự thật.

Ngoài ra, chúng tôi cho rằng Trí hoàn toàn không có thiện ý đối với hệ thống bởi các thông tin để lại là những hình đầu lâu, hình tượng kỳ quái, không có dấu hiệu nào giúp chúng tôi liên hệ với Trí. Trong khi thông tin liên hệ để báo lỗi cho người quản lý có sẵn trên tất cả các trang web của Bộ.

Sau khi bị phát hiện và ngăn chặn, do sợ bị truy tìm, Trí đã xoá thư mục chứa tệp ảnh mà Trí đã dùng, đồng thời xoá luôn rất nhiều văn bản pháp qui dạng PDF đang được lưu ở thư mục đó. Cho đến nay, chúng tôi vẫn chưa phục hồi hết, còn rất nhiều văn bản có đường dẫn chết (died-link) tới các tệp toàn văn. Các thông tin nhật ký hệ thống, mẫu virus đã được kịp thời gửi cho Trung tâm An ninh Mạng - Bkis.

Đến 7h tối cùng ngày Trí tiếp tục đột nhập. Do cảnh giác cao độ nên cán bộ kỹ thuật - admin đã ngăn chặn được. Trí đã dành giật với admin từng account để vào website. Hành vi tấn công trực diện này chỉ dừng lại khi admin tắt dịch vụ đăng nhập để đóng website tạm dừng qua đêm.

Đến 10h trưa ngày hôm sau (28-11), Trí tiếp tục đột nhập và thay trang index bằng một trang đen với nội dung hết sức thách thức là "Cứ bắt tôi nếu anh có thể" (Cach me if you can). Trước các hành vi phá hoại thách thức của Trí, các cán bộ kỹ thuật của Trung tâm Tin học đã một mặt tìm lỗi của hệ thống, một mặt đã tự truy tìm Trí trên mạng. Lúc này cán bộ của Trung tâm an ninh mạng - BKIS cũng được thông báo để cùng theo dõi.

Chúng tôi cho rằng việc làm này của Trí là vi phạm nghiêm trọng luật pháp Nhà nước, là hành vi không thể chấp nhận được.

Sau ngày Trí bị phát giác, trong những dịp trao đổi với Trí (qua chat) chúng tôi luôn khuyên răn Trí từ góc độ những người đi trước, cảm thông nhưng cũng tỏ ra cứng rắn để Trí thực sự thấy được lỗi lầm của mình để sửa chữa. Cách mà chúng tôi trao đổi với Trí hoàn toàn không có nghĩa là ‘nhờ’ hay ‘hỗ trợ’, chúng tôi có chủ định giữ lại log của các lần chat với Trí, câu từ liên quan vẫn chỉ là ‘cứ hack nếu site bị thì thông báo cho anh’, ‘tuyệt nhiên không phổ biến cho người khác’. Tuy nhiên, qua theo dõi các nguồn tin, các diễn đàn thì thấy Trí chưa hiểu sự nghiêm trọng của vấn đề, chưa biết ăn năn, hối lỗi.

Là những người có trách nhiệm về kỹ thuật của website Bộ, sau khi có những diễn biến trên, ảnh hưởng không tốt đến ngành, chúng tôi đã có những biện pháp và đã có hiệu quả nhất định.Cụ thể là đã bảo vệ được website và phát hiện ra Trí, trước khi  các cơ quan hữu quan vào cuộc. Rất đáng tiếc là em Trí đã có những biện bạch quanh co sau đó.

Sau bài viết đầu tiên xuất hiện trên báo, Trí đã liên hệ với tôi và Trí ngại ngùng thanh minh rằng họ nói sai nhiều quá. Thời gian đầu, sau ngày 27-11 xảy ra sự việc, Trí còn chủ động thông báo cho tôi các sự việc diễn ra. Khi đó tôi cũng đã định nói với Trí là nguy cơ các lỗi (bug) đối với biến SCRIPT là không có. Bởi trước khi dùng đã có mã kiểm tra. Những ngày này, Trí đã không tự tin để chat với tôi nữa.

Các thủ thuật, hack tool và script mà Trí dùng đều là những thứ có sẵn trên Internet. Những ai có kiến thức và có ý định xấu thì có thể khai thác sử dụng vào mục đích của mình. Thời gian tiếp theo, gia đình Trí đã nhiều lần liên hệ với tôi và có đề nghị xin cho Trí. Với tư cách cá nhân, tôi đã từng thành tâm và khuyên nhủ Trí cần thành khẩn nhận lỗi và sửa chữa ngay, để mong muốn giảm nhẹ sai phạm trước pháp luật. Tuy nhiên, những gì Trí nói trên các diễn đàn và báo chí  khiến tôi hết sức thất vọng.

Với tư cách là người quản trị (admin) của website, tôi xin đảm bảo những thông tin trên là đúng sự thật. Chúng tôi sẵn sàng hợp tác với các cơ quan hữu quan làm rõ sự việc này.

Cũng xin nói thêm, sau sự việc này ít ngày chúng tôi nhận được thông báo của một ban đọc quan tâm đến website của chúng tôi, đó là anh  Đỗ Hải An đã liên hệ thông báo về một lỗi hệ thống (upload bug) của website. Chúng tôi đã kiểm tra và thông báo lại là không có bug này. Sau này chính anh Đỗ Hải An cũng đã thử và xác nhận là không có. Đây là một việc làm rất đáng quý và trân trọng. Chúng tôi đã gửi lời cảm ơn đến anh Đỗ Hải An.

Rất tiếc, Trí đã không làm tương tự như vậy!

Qua sự việc đáng tiếc trên, chúng tôi mong rằng các học sinh, sinh viên cần có nhận thức đúng về việc được làm và không được làm để không vi phạm pháp luật.

CHỬ TRẦN KIÊN, Chuyên viên admin của website www.moet.gov.vn
Báo cáo cập nhật ngày 27-12-2006 trên trang edu.net.vn