How
Can Any Company Ever Trust Microsoft Again?
Published 14:34, 17 June
13, by Glyn
Moody
Bài được đưa lên
Internet ngày: 17/06/2013
Lời
người dịch: Bạn nghĩ là bạn
bỏ tiền mua phần mềm của Microsoft và hy vọng Microsoft
sẽ đảm bảo an ninh an toàn cho hệ thống của bạn, đúng
không? Có lẽ đọc xong bài này, bạn mới ngã ngửa ra
rằng, bạn đích thực là một con lừa!.
“Những gì các công ty và chính phủ muốn là các lỗi
đó sẽ được sửa càng nhanh càng tốt, sao cho chúng
không thể bị bọn tội phạm khai thác để gây ra thiệt
hại trong các hệ thống của họ, Và rồi bây giờ chúng
ta biết được rằng một trong những điều đầu tiên mà
Microsoft làm là gửi thông tin về các chỗ bị tổn thương
đó cho “nhiều cơ quan” - có thể đoán chừng là cả
NSA và CIA. Hơn nữa, chúng ta cũng biết rằng “dạng cảnh
báo sớm này đã cho phép Mỹ khai thác những chỗ bị tổn
thương trong phần mềm được bán cho các chính phủ nước
ngoài”. “Điều đó có nghĩa có khả năng cao là các
chỗ bị tổn thương trong các sản phẩm của Microsoft
thường xuyên được sử dụng để đột nhập vào các
chính phủ và công ty nước ngoài vì mục đích gián điệp
các dạng khác nhau. Vì thế mỗi lần một công ty cài đặt
một bản vá mới từ Microsoft để sửa các lỗi chủ
chốt, thì đáng ghi nhớ trong đầu rằng ai đó có thể
đã vừa sử dụng chỗ bị tổn thương đó cho các mục
đích bất chính. Những tác động của điều này thực
sự là sâu sắc hơn. Các công ty mua các sản phẩm của
Microsoft vì nhiều lý do, nhưng họ tất cả giả thiết
rằng công ty đang làm tốt nhất để bảo vệ họ. Những
phát hiện mới nhất chỉ ra rằng giả thiết đó là sai:
Microsoft cố ý và thường xuyên
chuyển thông tin về cách để đột nhập vào các sản
phẩm của hãng cho các cơ quan của Mỹ.
Những gì xảy ra đối với thông tin đó sau đó là, tất
nhiên, một điều bí mật””. Bạn
hãy cố đọc hết bài để thấy bạn đã bị lừa như
thế nào! Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Bất chấp các chi
tiết về những tiết lộ hiện hành về việc gián điệp
của Mỹ đang được Edward Snowden cung cấp trên tờ
Guardian, có rồi một lợi ích phụ thêm khổng lồ. Một
mặt, chính phủ Mỹ bản thân nó từ chối một số lý
lẽ bằng việc đưa ra phiên bản riêng của mình về câu
chuyện đó. Điều đó lần đầu tiên cho chúng ta các chi
tiết chính thức về các chương trình mà trước đó
chúng ta chỉ biết được thông qua những rò rỉ và tin
đồn, nếu có. Hơn nữa, sự vội vàng không tề chỉnh
và việc thường xuyên chuyển câu chuyện từ các nhà
chức trách Mỹ là sự khẳng định, nếu bất kỳ ai vẫn
còn cần nó, rằng những gì Snowden đang tiết lộ là quan
trọng - bạn không tung tăng với một phiền phức không
vì gì cả.
Nhưng có lẽ thậm
chí sống còn hơn, các nhà báo khác cuối cùng đã thấy
xấu hổ trong việc yêu cầu motoj số câu hỏi mà họ đã
phải hỏi nhiều năm và thậm chí hàng thập kỷ trước.
Điều này đã gây ra một loạt câu chuyện cực kỳ thú
vị về việc gián điệp của NSA, nhiều trong số đó có
sự khẳng định một cách lệ thuộc rằng điều đó
cũng quan trọng như câu chuyện chính vậy. Đây là một
ví
dụ tuyệt vời đã xuất hiện vào cuối tuần trên
site Bloomberg.
Giữa
những điều khác, đây là về Microsoft, và ở mức độ
nào đó nó đã và đang giúp sự gián điệp của NSA đối
với thế giới. Tất nhiên, điều đó không phải là một
nỗi sợ hãi mới. Từ nâm 1999, đã
được khẳng định rằng các cửa
hậu đã được xây dựng trong Windows.
Một
sai lầm bất cẩn của các lập trình viên của Microsoft
đã tiết lộ rằng các mã truy cập đặc biệt được Cơ
quan An ninh Quốc gia Mỹ chuẩn bị đã được xây dựng một
cách bí mật trong Windows. Hệ thống truy cập của NSA được
xây dựng trong từng phiên bản của hệ điều hành
Windows bây giờ đang được sử dụng, ngoại trừ các
phát hành sớm của Windows 95 (và các tiền bối của nó).
Sự khám phá đi tới cần gót chân của các tiết lộ đầu
năm nay rằng những người khổng lồ phần mềm Mỹ khác,
Lotus, đã xây dựng một cửa gài bẫy “thông tin trợ
giúp” của NSA trong hệ thống Notes, và rằng các chức
năng an ninh trong các hệ thống phần mềm khác đã bị
làm què một cách cố ý.
Gần đây hơn, đã có
lo ngại về Skype, được Microsoft
mua vào tháng 05/2011. Vào năm 2012, đã có những thảo
luận về việc liệu Microsoft đã thay đổi kiến trúc
của Skype để làm cho việc ăn cắp dễ dàng hơn (công ty
thậm chí đã có một bằng
sáng chế về ý tưởng đó). Những rò rỉ gần đây
dường như khẳng định rằng những sợ hãi đó đã được
thấy đúng, như Slate chỉ
ra:
Đã có nhiều chi tiết
nổi bật trong cú đánh trên tờ Bưu điện Washington về
PRISM và các khả năng của nó, nhưng một phần đặc biệt
làm tôi chú ý. Tờ Bưu điện, khi trích
dẫn một slide PowerPoint tuyệt mật của NSA, đã viết
rằng cơ quan này có một “Hướng dẫn đặc biệt cho
Người sử dụng Thu thập Skype theo PRISM” phác họa cách
mà nó có thể nghe trộm trong Skype “khi một đầu của
cuộc gọi là một điện thoại thông thường và cho bất
kỳ sự kết hợp nào của 'âm thanh tiếng nói, video, chat
và truyền tệp' khi những người sử dụng Skype kết nối
bằng máy tính đứng một mình”.
Nhưng thậm chí điều
đó lu mờ đi đáng kể khi được so sánh với thông
tin mới nhất mà Bloomberg có được:
Tập đoàn Microsoft, công ty phần mềm lớn nhất thế
giới, cung cấp cho các cơ quan tình báo các thông tin về
các lỗi trong phần mềm phổ biến của nó trước khi nó
phát hành công khai một bản vá, theo 2 người quen
biết với quá trình này. Thông tin đó có thể được sử
dụng để bảo vệ các máy tính của chính phủ và để
truy cập các máy tính của các tên khủng bố hoặc quân
đội của địch.
Redmond,
Washington, nơi đóng đô của Microsoft (MSFT) và các công ty
an ninh Internet và phần mềm khác, đã nhận thức được
rằng dạng cảnh báo sớm này đã cho phép Mỹ khai thác
các chỗ bị tổn thương trong phần mềm được bán cho
các chính phủ nước ngoài, theo 2 quan chức Mỹ.
Microsoft không yêu cầu và không thể được nói cách mà
chính phủ sử dụng những mẹo đểu như vậy, các quan
chức nói, những người đã yêu cầu không được tiết
lộ danh tính vì vấn đề là bí mật.
Frank Shaw, người phát
ngôn cho Microsoft, nói các phiên bản đó xảy ra trong sự
hợp tác với nhiều cơ quan và được thiết kế để
trao cho chính phủ “một sự khởi đầu sớm” trong đánh
giá và giảm nhẹ rủi ro.
Vì
thế hãy nghĩ về điều đó một chút.
Các công ty và chính
phủ mua phần mềm của Microsoft, phụ thuộc vào công ty
để tạo ra các chương trình mà là an ninh và an toàn.
Không phần mềm nào là hoàn toàn không có lỗi, và những
lỗi nghiêm trọng thường thấy trong mã của Microsoft (và
cả trong nguồn mở nữa, tất nhiên). Vì thế vấn đề
không phải là về liệu phần mềm có lỗi hay không - mỗi
mẩu mã không bình thường đều có lỗi - nhưng các mà
mọi người sản xuất mã đó ứng xử với chúng.
Những
gì các công ty và chính phủ muốn là các lỗi đó sẽ
được sửa càng nhanh càng tốt, sao cho chúng không thể
bị bọn tội phạm khai thác để gây ra thiệt hại trong
các hệ thống của họ, Và rồi bây giờ chúng ta biết
được rằng một trong những điều đầu tiên mà
Microsoft làm là gửi thông tin về các chỗ bị tổn thương
đó cho “nhiều cơ quan” - có thể đoán chừng là cả
NSA và CIA. Hơn nữa, chúng ta cũng biết rằng “dạng cảnh
báo sớm này đã cho phép Mỹ khai thác những chỗ bị tổn
thương trong phần mềm được bán cho các chính phủ nước
ngoài”.
Và hãy nhớ rằng
“các chính phủ nước ngoài” có nghĩa là các chính phủ
ở các nước của Liên minh châu Âu cũng như ở những
nơi khác (thực tế là chính phủ Anh đã gián
điệp các nước “bạn bè” nhấn mạnh rằng mỗi
người đều đang làm điều đó). Hơn nữa, có thể là
ngây thơ để nghĩ rằng các cơ quan gián điệp của Mỹ
đang sử dụng các khai thác ngày số 0 đó thuần túy để
đột nhập vào các hệ thống chính phủ; gián điệp công
nghiệp đã tạo thành một phần của hệ
thống giám sát Echelon cũ hơn, và không có lý do nào
để nghĩ rằng Mỹ sẽ tự cản trở mình một ngày nào
đó (nếu có, thì mọi điều còn tồi tệ hơn).
Điều
đó có nghĩa có khả năng cao là các chỗ bị tổn thương
trong các sản phẩm của Microsoft thường xuyên được sử
dụng để đột nhập vào các chính phủ và công ty nước
ngoài vì mục đích gián điệp các dạng khác nhau. Vì thế
mỗi lần một công ty cài đặt một bản vá mới từ
Microsoft để sửa các lỗi chủ chốt, thì đáng ghi nhớ
trong đầu rằng ai đó có thể đã vừa sử dụng chỗ bị
tổn thương đó cho các mục đích bất chính.
Những
tác động của điều này thực sự là sâu sắc hơn. Các
công ty mua các sản phẩm của Microsoft vì nhiều lý do,
nhưng họ tất cả giả thiết rằng công ty đang làm tốt
nhất để bảo vệ họ. Những phát hiện mới nhất chỉ
ra rằng giả thiết đó là sai: Microsoft cố ý và thường
xuyên chuyển thông tin về cách để đột nhập vào các
sản phẩm của hãng cho các cơ quan của Mỹ. Những gì
xảy ra đối với thông tin đó sau đó là, tất nhiên, một
điều bí mật. Không vì “chủ nghĩa khủng bố”,
mà vì hầu hết chắc chắn các cuộc tấn công bất hợp
pháp đang được thực hiện chống lại các quốc gia bên
ngoài nước Mỹ, và các công ty của họ.
Điều
đó không gì ít hơn một sự phản bội lòng tin mà những
người sử dụng đặt vào Microsoft, và tôi hồ nghi cách
mà bất kỳ nhà quản lý CNTT nào có thể khuyến cáo
nghiêm túc sử dụng các sản phẩm của Microsoft một lần
nữa bây giờ rằng chúng ta biết họ hầu như chắc chắn
là kẻ trung gian của các cuộc tấn công của các cơ quan
gián điệp của Mỹ mà có thể gây ra một cách tiềm
tàng vô số sự mất mát cho các công ty có liên quan (như
đã xảy ra với Echelon).
Mà còn có góc thú vị
khác. Dù không nhiều được viết về nó - bao gồm cả
tôi, nỗi xấu hổ của tôi - một thỏa thuận pháp lý
mới làm việc với những kẻ tấn công trực tuyến đang
được phác thảo tại Liên minh châu Âu. Đây là một
khía cạnh của nó:
Văn
bản có thể yêu cầu các quốc gia thành viên thiết lập
các khoản bỏ tù không ít hơn 2 năm đối với các phạm
tội về: truy cập bất hợp pháp hoặc can thiệp vào các
hệ thống thông tin, can thiệp bất hợp pháp vào các dữ
liệu, chặn đường bất hợp pháp các giao tiếp hoặc
tạo ra và bán một cách cố ý các công cụ được sử
dụng để thực hiện các cuộc tấn công đó.
“Truy
cập hoặc can thiệp bất hợp pháp các hệ thống thông
tin” dường như chính xác là những gì mà chính phủ Mỹ
đang làm đối với các hệ thống nước ngoài, giả thiết
bao gồm cả các nước của EU. Vì thế có thể chỉ ra
rằng chính phủ Mỹ sẽ là thứ hôi thối đối với các
qui định mới đó. Mà có lẽ cả Microsoft cũng vậy, vì
nó rõ ràng tiến hành “truy cập bất hợp pháp” có khả
năng ngay từ đầu.
Và
còn một khía cạnh khác nữa. Giả sử các vụ gián điệp
của Mỹ đã sử dụng các lỗi trong các phần mềm của
Microsoft để đột nhập vào một hệ thống doanh nghiệp
và gián điệp các bên thứ 3. Tôi nghi ngờ liệu các
không ty có thể tự mình tìm thấy bị kết tội về tất
cả các dạng tội phạm mà họ không biết gì, và đối
mặt với lời kết tội như là một kết quả. Việc
chứng minh vô tội ở đây có thể là khó, vì có thể
đúng là các hệ thống của công ty đó đã được sử
dụng cho việc gián điệp.
Ít
nhất, rủi ro đó còn là lý do tốt khác không bao giờ sử
dụng phần mềm của Microsoft, cùng với tất cả những
điều khác mà tôi đã và đang viết ở đây nhiều năm.
Không chỉ nguồn mở thường là rẻ hơn (đặc biệt một
khi bạn tính tới chi phí bị khóa trói mà phần mêm của
Microsoft mang lại), được viết tốt hơn, nhanh hơn, tin
cậy hơn và an ninh hơn, mà hơn tất cả, phần mềm tự
do tôn trọng người sử dụng, đặt họ chắc chắn trong
sự kiểm soát.
Nó
vì thế giải phóng bạn khỏi những lo ngại mà công ty
cung cấp một chương trình sẽ cho phép những người khác
bí mật biến phần mềm mà bạn đã mất tiền mua để
chống lại và làm hại bạn. Sau tất cả, hầu hết việc
sửa lỗi trong nguồn mở được các lập trình viên thực
hiện có ít tình yêu đối với mệnh lệnh từ trên
xuống, vì thế khả năng là họ sẽ có thiện chí chuyển
các chỗ bị tổn thương cho NSA một cách thường xuyên,
như Microsoft làm, phải là nhỏ tới mức bị triệt tiêu.
Irrespective
of the details of the current revelations about US spying being
provided by Edward Snowden in the Guardian, there is already a huge
collateral benefit. On the one hand, the US government is falling
over itself to deny some of the allegations by offering its own
version of the story. That for the first time gives us official
details about programmes that before we only knew through leaks and
rumours, if at all. Moreover, the unseemly haste and
constantly-shifting story from the US authorities is confirmation, if
anyone still needed it, that what Snowden is revealing is important -
you don't kick up such a fuss over nothing.
But
perhaps even more crucially, other journalists have finally been
shamed into asking some of the questions they ought to have asked
years and even decades ago. This has resulted in a series of
extremely interesting stories about NSA spying, many of which contain
ancillary information that is just as important as the main story.
Here's a great
example that appeared over the weekend on the Bloomberg site.
Among
other things, it is about Microsoft, and the extent to which it has
been helping the NSA spy on the world. Of course, that's not a new
fear. Back in 1999, it was asserted
that backdoors had been built into Windows:
A
careless mistake by Microsoft programmers has revealed that special
access codes prepared by the US National Security Agency have been
secretly built into Windows. The NSA access system is built into
every version of the Windows operating system now in use, except
early releases of Windows 95 (and its predecessors). The discovery
comes close on the heels of the revelations earlier this year that
another US software giant, Lotus, had built an NSA "help
information" trapdoor into its Notes system, and that security
functions on other software systems had been deliberately crippled.
More
recently, there has been concern about Skype, bought
by Microsoft in May 2011. In 2012, there were discussions
about whether Microsoft had changed Skype's architecture in order to
make snooping easier (the company even had a patent
on the idea.) The recent leaks seems to confirm that those fears were
well founded, as Slate points
out:
There
were many striking details in the Washington Post’s scoop about
PRISM and its capabilities, but one part in particular stood out to
me. The Post, citing a top-secret NSA PowerPoint slide, wrote that
the agency has a specific “User’s Guide for PRISM Skype
Collection” that outlines how it can eavesdrop on Skype “when one
end of the call is a conventional telephone and for any combination
of 'audio, video, chat, and file transfers' when Skype users connect
by computer alone.”
But
even that pales into insignificance compared to the latest
information obtained by Bloomberg:
Microsoft
Corp., the world’s largest software company, provides intelligence
agencies with information about bugs in its popular software before
it publicly releases a fix, according to two people familiar with the
process. That information can be used to protect government computers
and to access the computers of terrorists or military foes.
Redmond,
Washington-based Microsoft (MSFT) and other software or Internet
security companies have been aware that this type of early alert
allowed the U.S. to exploit vulnerabilities in software sold to
foreign governments, according to two U.S. officials. Microsoft
doesn’t ask and can’t be told how the government uses such
tip-offs, said the officials, who asked not to be identified because
the matter is confidential.
Frank
Shaw, a spokesman for Microsoft, said those releases occur in
cooperation with multiple agencies and are designed to give
government “an early start” on risk assessment and mitigation.
So
let's think about that for a moment.
Companies
and governments buy Microsoft's software, depending on the company to
create programs that are secure and safe. No software is completely
bug-free, and serious flaws are frequently found in Microsoft's code
(and in open source, too, of course.) So the issue is not about
whether software has flaws - every non-trivial piece of code does -
but how the people who produce that code respond to them.
What
companies and governments want is for those flaws to be fixed as soon
as possible, so that they can't be exploited by criminals to wreak
damage on their systems. And yet we now learn that one of the first
things that Microsoft does is to send information about those
vulnerabilities to "multiple agencies" - presumably that
includes the NSA and CIA. Moreover, we also know that "this type
of early alert allowed the U.S. to exploit vulnerabilities in
software sold to foreign governments".
And
remember that "foreign governments" mean those in EU
countries as well as elsewhere (the fact that the UK government has
been spying
on "friendly" countries emphasises that everyone is doing
it.) Moreover, it would be naïve to think that the US spy agencies
are using these zero-day exploits purely to break into government
systems; industrial espionage formed part of the older Echelon
surveillance system, and there's no reason to think that the US
will restrain itself nowadays (if anything, things have got far
worse.)
That
means it's highly likely that vulnerabilities in Microsoft products
are routinely being used to break into foreign governments and
companies for the purpose of various kinds of espionage. So every
time a company installs a new patch from Microsoft to fix major
flaws, it's worth bearing in mind that someone may have just used
that vulnerability for nefarious purposes.
The
implications of this are really rather profound. Companies buy
Microsoft products for many reasons, but they all assume that the
company is doing its best to protect them. The latest revelations
shows that is a false assumption: Microsoft consciously and regularly
passes on information about how to break into its products to US
agencies. What happens to that information thereafter is, of course,
a secret. Not because of "terrorism", but because almost
certainly illegal attacks are being made against countries outside
the US, and their companies.
That
is nothing less than a betrayal of the trust that users place in
Microsoft, and I wonder how any IT manager can seriously recommend
using Microsoft products again now that we know they are almost
certainly vectors of attacks by US spy agencies that potentially
could cause enormous losses to the companies concerned (as happened
with Echelon.)
But
there's another interesting angle. Although not much has been written
about it - including by me, to my shame - a new legislative agreement
dealing with online attacks is being drawn up in the EU. Here's one
aspect of it:
The
text would require member states to set their maximum terms of
imprisonment at not less than two years for the crimes of: illegally
accessing or interfering with information systems, illegally
interfering with data, illegally intercepting communications or
intentionally producing and selling tools used to commit these
offences.
"Illegally
accessing or interfering with information systems" seems to be
precisely what the US government is doing to foreign systems,
presumably including those in the EU too. So that would indicate that
the US government will fall foul of these new regulations. But maybe
Microsoft will too, since it is clearly making the "illegal
access" possible in the first place.
And
there's another aspect. Suppose that the US spies used flaws in
Microsoft's software to break into a corporate system and to spy on
third parties. I wonder whether companies might find themselves
accused of all sorts of crimes about which they know nothing, and
face prosecution as a result. Proving innocence here would be
difficult, since it would be true that the company's systems were
used for spying.
At
the very least, that risk is yet another good reason never to use
Microsoft's software, along with all the others that I have been
writing about here for years. Not just that open source is generally
cheaper (especially once you take into account the cost of lock-in
that Microsoft software brings with it), better written, faster, more
reliable and more secure, but that above all, free software respects
its users, placing them firmly in control.
It
thus frees you from concerns that the company supplying a program
will allow others secretly to turn the software you paid good money
for against you to your detriment. After all, most of the bug-fixing
in open source is done by coders that have little love for top-down
authority, so the likelihood that they will be willing to hand over
vulnerabilities to the NSA on a regular basis, as Microsoft does,
must be vanishingly small.
Dịch: Lê Trung Nghĩa
xin hỏi nguyên tác của bản dịch là ở đâu?
Trả lờiXóa