NSA thân mến, cảm ơn về việc làm cho chúng tôi tất cả đều không an ninh

Dear NSA, Thanks for Making Us All Insecure

By David Meyer September 06, 2013

Theo: http://www.businessweek.com/articles/2013-09-06/dear-nsa-thanks-for-making-us-all-insecure

Bài được đưa lên Internet ngày: 06/09/2013

Ảnh của Mark Viker/Getty Images

Photograph by Mark Viker/Getty Images

Lời người dịch: Các trích đoạn khi nói về việc NSA phá mật mã của Internet: “Tuy nhiên, bạn đã không dừng ở việc phá mã - bạn còn đã làm cho chắc chắn rằng những chỗ bị tổn thương đã được chèn vào trong các hệ thống mã hóa thương mại, các hệ thống CNTT, các mạng, và các thiết bị giao tiếp truyền thông đầu cuối được các mục tiêu sử dụng. Đây là nơi mà sự ngu xuẩn trườn vào: Bạn tích cực làm việc để tác động tới các chính sách, các tiêu chuẩn, và các đặc tả cho các công nghệ khóa công khai thương mại và tạo hình cho thị trường mật mã thương mại thế giới để làm cho nó có khả năng theo dõi được hơn đối với các khả năng phân tích mật mã tiên tiến đang được bản thân bạn phát triển. Nói cách khác, thay vì chỉ việc xây dựng một lựa chọn khóa tốt hơn, thì bạn lại đang cố gắng làm chắc chắn rằng tất cả các khóa là hàng giả từ thiết kế”. “Và vì nền công nghiệp an ninh bây giờ sẽ chuyển sang nguồn mở - không có lựa chọn khác nếu các tiêu chuẩn mới sẽ được tin cậy - việc cài đặt các cửa hậu giấu giếm sẽ gần như không thể”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

NSA ngu xuẩn, ngu xuẩn thân mến,

Tôi vừa trao nó cho bạn: Như một cơ quan được thành lập với nhiệm vụ phá các mã và gián điệp mọi người, bạn dường như làm một công việc khá là có chân giá trị.

Bạn và các đối tác của bạn ở Anh, Úc, Canada, và New Zealand (và có thể ở đâu đó nữa), có khả năng giám sát hầu hết các giao tiếp truyền thông chảy khắp thế giới. Bạn dường như đã phá hoại thành công các dịch vụ Web của những người Mỹ mà từng người sử dụng, và bạn đã sử dụng giá trị và kích cỡ của thị trường Mỹ để mang tất cả cách thức của các nhà cung cấp trục xương sống Internet và các nhà bán phần cứng cùng về một phe.

Bây giờ chúng tôi cũng biết rằng bạn có - theo các từ ngữ của riêng bạn - một số khả năng chống lại sự mã hóa trong TLS/SSL, HTTPS, SSH, VPNs, VoIP, WEBMAIL, và các công nghệ giao tiếp truyền thông mạng khác. Nên thậm chí nếu phải mất khá nhiều nỗ lực (không giống như các kỹ thuật quăng lưới bắt dữ liệu bừa bãi bất phân biệt của bạn), đó là an ninh cơ bản của Internet bị vứt ra khỏi cửa sổ sau đó. Làm tốt đấy chứ.

Chúng tôi vẫn còn khá chắc chắn rằng sự mã hóa mạnh là an toàn (Edward Snowden đã nói thế, và anh ta còn được chứng minh là sai về thứ này), nhưng thậm chí ở đó không có gì hợp lý để nghi ngờ thì bạn vẫn có thể thâm nhập theo cách của bạn vào nếu tình huống đáng hưởng nó.

Một lần nữa, chơi hay, có lẽ thế.

Tuy nhiên, bạn đã không dừng ở việc phá mã - bạn còn đã làm cho chắc chắn rằng những chỗ bị tổn thương đã được chèn vào trong các hệ thống mã hóa thương mại, các hệ thống CNTT, các mạng, và các thiết bị giao tiếp truyền thông đầu cuối được các mục tiêu sử dụng.

Đây là nơi mà sự ngu xuẩn trườn vào: Bạn tích cực làm việc để tác động tới các chính sách, các tiêu chuẩn, và các đặc tả cho các công nghệ khóa công khai thương mại và định hình cho thị trường mật mã thương mại thế giới để làm cho nó có khả năng theo dõi được hơn đối với các khả năng phân tích mật mã tiên tiến đang được bản thân bạn phát triển.

Nói cách khác, thay vì chỉ việc xây dựng một lựa chọn khóa tốt hơn, thì bạn lại đang cố gắng làm chắc chắn rằng tất cả các khóa là hàng giả từ thiết kế.

Đâu là sự quá ngu si đến rụng cả hàm về các hành động của bạn là việc bạn không chỉ phá vỡ các yếu tố khóa của mật mã hiện đại, mà bạn còn tự mình chỉ định như là người canh gác của tri thức mà gây ra những chỗ bị tổn thương đang tồn tại. Và nếu các hệ thống an ninh của riêng bạn từng phụ thuộc vào nhiệm vụ đó, thì những bí mật đó có thể sẽ ngồi trong các văn phòng của tờ New York Times và ProPublica.

Một người phải sở hữu quan điểm tốt nhất của tốt nhất (Panglossian view) về những điều để giả thiết rằng Edward Snowden từng là người đầu tiên trong số hàng ngàn người ở vị trí của anh ta đi xa với tư liệu như vậy. Anh ta đã mang nó tới công chúng, và không có động thái đó thì có một cơ hội tốt mà bạn có thể thậm chí dã biết anh ta đã lấy nó. Vì thế ai đó khác nữa sẽ có nó? Đánh cược là bạn không biết. Vì thế được làm tốt; bạn có thể đặt các công dân của riêng bạn vào rủi ro đấy.

Nhưng hãy bỏ qua khả năng khác biệt đó một lúc, và hãy tập trung vào hậu quả của những tiết lộ của Snowden.

Nếu lát đầu tiên của những tiết lộ đó sẽ đánh vào các dịch vụ Web và nền kinh tế đám mây Mỹ nặng nề - ước lượng khác nhau về nặng nề thế nào, và chỉ có thời gian sẽ nói được – thì cái scandal mật mã sẽ làm y hệt đối với nền công nghiệp an ninh của Mỹ. Trên thực tế, có lẽ sẽ gây hại nhiều hơn. Hầu hết mọi người cũng đã đầu tư nhiều vào các dịch vụ Web của Mỹ sẽ rút ra trong một lưu ý ngắn gọn; điều khá bình thường trong nhiều trường hợp để chuyển các dịch vụ an ninh.

Tất nhiên, những tác động sẽ không chỉ u sầu cho các hãng của Mỹ. Sẽ có đủ những lời bóng gió trong các tài liệu bị rò rỉ của bạn gợi ý rằng bạn cũng có một số hãng nước ngoài. Và như bạn dường như sẽ có qui trình thiết lập các tiêu chuẩn bị ảnh hưởng (đôi khi là một cách cackhandedly) mà nền công nghiệp an ninh toàn cầu bây giờ phải nghĩ về việc bắt đầu từ đầu.

Buồn cho bạn, ảnh hưởng của bạn quanh lúc này sẽ được thu nhỏ khổng lồ: sẽ rất khó để chèn những yêu cầu của bạn vào sản phẩm được hoàn thành. Cho tới khi phần còn lại của thế giới còn quan tâm, thì diễn đàn được Viện Tiêu chuẩn và Công nghệ Mỹ đưa ra bây giờ sẽ mang ít trọng lượng. Và vì nền công nghiệp an ninh bây giờ sẽ chuyển sang nguồn mở - không có lựa chọn khác nếu các tiêu chuẩn mới sẽ được tin cậy - việc cài đặt các cửa hậu giấu giếm sẽ gần như không thể.

Nhưng những gì thực sự sẽ gây hại là sự mất kiểm soát chậm chạp của Mỹ đối với bản thân Internet. Khi mà cao thủ mật mã Bruce Schneier đã viết hôm thứ năm:

Tôi đã phản đối bằng việc nói điều này cho tới nay, và tôi buồn để nói điều đó, nhưng Mỹ đã chứng minh là một người quản gia trái với luân thường đạo lý của Internet. Nước Anh không tốt hơn. Các hành động của NSA đang hợp pháp hóa những lạm dụng Internet của Trung Quốc, Nga, Iran và những nước khác. Chúng ta cần chỉ ra những biện pháp điều hành mới của Internet, các biện pháp mà làm cho nó cứng cáp hơn đối với các quốc gia công nghệ mạnh để giám sát mọi điều. Ví dụ, chúng ta cần yêu cầu sự minh bạch, sự giám thị và trách nhiệm từ các chính phủ và các tập đoàn.

Không may, điều này lại đang chơi trực tiếp trong các bàn tay của các chính phủ chuyên chế mà muốn kiểm soát Internet của nước họ thậm chí đối với các dạng giám sát còn cực đoan hơn. Chúng ta cũng cần chỉ ra cách để ngăn chặn điều đó. Chúng ta cần tránh những sai lầm của Liên đoàn Viễn thông Quốc tế (International Telecommunications Union), nó đã trở thành một diễn đàn để hợp pháp hóa hành vi của các chính phủ tồi tệ, và tạo ra sự điều hành quốc tế thực sự mà không thể bị áp đảo hoặc lạm dụng bởi một nước nào.

Chỉ vì nước Mỹ đã sáng tạo ra Internet không có nghĩa là nó phải duy trì mức kiểm soát mà nó thực hành bây giờ vĩnh viễn. Đặc biệt khi bây giờ bạn đã ép buộc từng người phải nghĩ về việc tái thiết kế lại nó.

Ồ, và bằng cách này, liệu có hay không bạn sẽ thành công trong việc phá sự mã hóa đang bảo vệ các giao tiếp truyền thông 4G cho tới cuối năm tài chính này, như bạn đã dự đoán trước, bạn có lẽ có thể mong đợi ảnh hưởng của Mỹ trong việc thiết lập các tiêu chuẩn viễn thông quốc tế cũng sẽ bị đánh gục.

Vì thế để tóm tắt, bạn đã thổi nó - và không chỉ cho riêng bạn. Chúc may mắn trong việc điều chỉnh lại trong những năm tới!

Chân thành,

David

Dear stupid, stupid NSA,

I’ve got to hand it to you: As an agency set up with the task of breaking codes and spying on people, you seem to be doing a pretty sterling job.

You and your counterparts in the U.K., Australia, Canada, and New Zealand (and possibly elsewhere) are able to monitor most of the communications flowing around the world. You appear to have successfully subverted the American Web services that everyone uses, and you’ve used the value and size of the U.S. market to bring all manner of Internet backbone providers and hardware vendors on-side too.

Now we also know that you have—in your own words—some capabilities against the encryption in TLS/SSL, HTTPS, SSH, VPNs, VoIP, WEBMAIL, and other network communication technologies. So even if it takes a fair amount of effort (unlike your indiscriminate data-trawling techniques), that’s basic Internet security out the window then. Nicely done.

We’re still pretty sure that strong cryptography is safe (Edward Snowden said so, and he’s yet to be proven wrong on this stuff), but even there it’s not unreasonable to suspect you can muscle your way in if the situation merits it.

Again, well played, maybe.

However, you’ve not stopped at code breaking—you have also made sure that vulnerabilities have been inserted into commercial encryption systems, IT systems, networks, and endpoint communications devices used by targets.

Here’s where the stupidity creeps in: You actively work to influence policies, standards, and specifications for commercial public key technologies and shape the worldwide commercial cryptography marketplace to make it more tractable to advanced cryptanalytic capabilities being developed by yourself.

In other words, instead of just building a better lock pick, you are trying to make sure that all locks are faulty by design.

What is so jaw-droppingly idiotic about your actions is that you have not only subverted key elements of modern cryptography, but you have also appointed yourself as the guardian of the knowledge that the resulting vulnerabilities exist. And if your own security systems were up to the task, then those secrets wouldn’t be sitting in the offices of the New York Times and ProPublica.

One must possess a Panglossian view on things to assume that Edward Snowden was the first person out of the many thousands in his position to make away with such material. He brought it to the public, and without that move there’s a good chance you wouldn’t have even known he took it. So who else has it? Bet you have no idea. So well done; you’ve probably put your own citizens at risk.

But let’s ignore that distinct likelihood for a moment, and concentrate on the aftermath of Snowden’s revelations.

If the first tranche of those revelations will hit the U.S. Web services and cloud economy hard—estimates vary as to how hard, and only time will tell—then the crypto scandal is going to do the same to the U.S. security industry. In fact, it’s probably going to hurt more. Most people have too much invested in American Web services to pull out on short notice; it’s relatively trivial in many cases to switch security services.

Of course, the implications aren’t only glum for U.S. firms. There are enough hints in your leaked documents to suggest that you got to some foreign firms, too. And as you seem to have influenced the standards-setting process (sometimes cackhandedly) the global security industry must now think about starting from scratch.

Sadly for you, this time round your influence will be vastly diminished: It’s going to be much harder to insert your demands into the finished product. As far as the rest of the world is concerned, the forum provided by the U.S. National Institute of Standards and Technology will now carry less weight. And because the security industry will now shift to open source—there is no other option if the new standards are to be trusted—installing hidden backdoors will be nearly impossible.

But what’s really going to hurt is the U.S.’s slow loss of control over the Internet itself. As crypto guru Bruce Schneier wrote on Thursday:

I have resisted saying this up to now, and I am saddened to say it, but the U.S. has proved to be an unethical steward of the Internet. The U.K. is no better. The NSA’s actions are legitimizing the Internet abuses by China, Russia, Iran, and others. We need to figure out new means of Internet governance, ones that make it harder for powerful tech countries to monitor everything. For example, we need to demand transparency, oversight, and accountability from our governments and corporations.

Unfortunately, this is going to play directly into the hands of totalitarian governments that want to control their country’s Internet for even more extreme forms of surveillance. We need to figure out how to prevent that, too. We need to avoid the mistakes of the International Telecommunications Union, which has become a forum to legitimize bad government behavior, and create truly international governance that can’t be dominated or abused by any one country.

Just because the U.S. invented the Internet doesn’t mean it gets to maintain the level of control it now exercises forever. Particularly when you’ve now forced everyone to think about reengineering it.

Oh, and by the way, whether or not you do succeed in cracking the encryption protecting 4G communications by the end of this financial year, as you have predicted, you can probably expect U.S. influence in international telecommunications standards-setting to take a knock, too.

So in summary, you’ve blown it—and not just for yourselves. Good luck readjusting in the coming years!

Yours etc.,

David

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com