Việc phá mã hóa Internet của NSA - Phản ứng từ phần còn lại của thế giới

Trong bài “Tài liệu mật tiết lộ chiến dịch của Cơ quan An ninh Quốc gia Mỹ (NSA) chống lại sự mã hóa”, được đăng trên tạp chí Tin học & Đời sống số tháng 10/2013, chúng ta đã được biết tới dự án có tên là SIGINT ENABLING (Xúc tác cho tình báo dấu hiệu) để phá hoại an ninh Internet. Bài này sẽ điểm qua một số phản ứng của thế giới đối với chương trình được cho là 'lợi bất cập hại' này.

Giới báo chí hài hước đen

Mở màn bằng việc các tờ Guardian, New York Times và ProPublica, dựa vào các thông tin từ các tài liệu do cựu nhân viên của NSA Edward Snowden cung cấp, ngày 05/09/2013 đã đồng loạt đăng tin về việc Cơ quan An ninh Quốc gia Mỹ (NSA) và Cơ quan Tình báo Anh - GCHQ (Government Communications Headquarters) đã hợp tác cùng phá an ninh Internet.

Tờ Guardian

Các cơ quan tình báo Mỹ và Anh đã tùy biến một bộ các phương pháp trong cuộc tấn công liên tục và có hệ thống của họ lên những gì mà họ coi như một trong những mối đe dọa lớn nhất đối với khả năng của họ để truy cập vào các băng thông khổng lồ giao thông Internet - “sử dụng mã hóa khắp mọi nơi trên Internet”. Các phương pháp đó bao gồm các biện pháp giấu giếm để đảm bảo cho NSA kiểm soát được việc thiết lập các tiêu chuẩn mật mã quốc tế, sử dụng các siêu máy tính để phá mật mã với “sự cưỡng ép” và - hầu hết các bí mật được canh phòng sát sao của tất cả - sự cộng tác với các công ty công nghệ và bản thân các nhà cung cấp dịch vụ Internet. Qua các mối quan hệ đối tác giấu giếm đó, các cơ quan này đã chèn vào các chỗ bị tổn thương một cách bí mật - được biết tới như các cửa hậu hoặc các cửa bẫy - vào trong các phần mềm mã hóa thương mại.

Bình luận bổ sung về vai trò của Microsoft trong vụ này, khi được phỏng vấn, Glenn Greenwald đã nói: “Microsoft đang làm việc riêng tư với NSA để đảm bảo sự truy cập của NSA qua tất cả các nền tảng của họ, không chỉ thư điện tử Outlook, mà cả Skype và toàn bộ vô số các dịch vụ khác mà Microsoft chào cho những người sử dụng của họ để đảm bảo một cách cơ bản rằng tất cả chúng hoàn toàn bị tổn thương đối với việc rình mò của NSA. Một lần nữa, một trong những vấn đề lớn nhất với nó là khi bạn cho phép - khi bạn làm cho các chương trình đó bị tổn thương đối với NSA, thì bạn cũng làm cho chúng bị tổn thương đối với các cơ quan tình báo khác trên khắp thế giới hoặc đối với các tin tặc hoặc đối với các vụ gián điệp của các tập đoàn hoặc đối với những người mà họ chỉ muốn bạn sẽ ốm yếu vì bất kỳ lý do gì. Nó đang làm cho toàn bộ Internet không an ninh”.

Tờ New York Times

New York Times đã đưa ra các bằng chứng về các tài liệu bí mật mà các bạn đọc đã được làm quen qua bài “Tài liệu mật tiết lộ chiến dịch của Cơ quan An ninh Quốc gia Mỹ (NSA) chống lại sự mã hóa”, được đăng trên tạp chí Tin học & Đời sống số tháng 10/2013, và đã bình luận rằng: “Trong một thập kỷ qua, NSA đã dẫn dắt một nỗ lực tích cực và nhiều mũi để phá các công nghệ mã hóa Internet được sử dụng rộng rãi”. Một bản ghi nhớ năm 2010 mô tả ngắn ngọn về những thành tựu của NSA đối với các nhân viên của đối tác Anh, GCHQ, nêu: “Các khả năng mật mã bây giờ đều là trực tuyến, lượng khổng lồ các dữ liệu Internet được mã hóa đã từng bị bỏ qua cho tới nay thì bây giờ đã có khả năng khai thác được”.

Trang tin Business Week

Bình luận hóm hỉnh nhất nhưng không kém phần sâu sắc là trên trang tin Business Week ở dạng một bức thư gửi cho NSA với tựa đề “NSA thân mến, cảm ơn về việc làm cho chúng tôi tất cả đều không an ninh”. Tờ này viết về NSA như sau: “Bạn đã không dừng ở việc phá mã – bạn cũng đã làm cho chắc chắn rằng những chỗ bị tổn thương đã được chèn vào trong các hệ thống mã hóa thương mại, các hệ thống công nghệ thông tin, các mạng, và các thiết bị giao tiếp truyền thông đầu cuối được các hệ thống đích sử dụng. Đây là nơi mà sự ngu xuẩn trườn vào: Bạn tích cực làm việc để tác động tới các chính sách, các tiêu chuẩn, và các đặc tả cho các công nghệ khóa công khai thương mại và định hình cho thị trường mật mã thương mại thế giới để làm cho nó có khả năng theo dõi được nhiều hơn đối với các khả năng phân tích mật mã tiên tiến đang được bản thân bạn phát triển. Nói một cách khác, thay vì chỉ việc xây dựng lựa chọn khóa tốt hơn, thì bạn lại cố gắng làm cho chắc chắn rằng tất cả các khóa là hàng giả từ thiết kế... Và vì vậy nền công nghiệp an ninh bây giờ sẽ chuyển sang nguồn mở - không có lựa chọn khác nếu các tiêu chuẩn mới sẽ được tin cậy - việc cài đặt các cửa hậu giấu giếm sẽ gần như không thể”.

Các chuyên gia đề nghị thay đổi

Nhóm 10 giáo sư mật mã của Anh

Nhóm gồm 10 nhà nghiên cứu chuyên về mật mã từ các trường đại học của nước Anh đã ký tên vào một bức thư ngỏ gửi các độc giả Internet để phản đối việc NSA và GCHQ cố tình phá hoại an ninh Internet, đã cảnh báo rằng “bằng việc làm suy yếu tất cả an ninh của chúng ta để họ có thể nghe lén được các giao tiếp truyền thông của các kẻ địch của chúng ta, các cơ quan đó cũng làm suy yếu an ninh của chúng ta trước các kẻ địch tiềm tàng”.

Rủi ro lớn nhất, nhóm 10 nhà nghiên cứu ngụ ý, là các hệ thống và hạ tầng dân sự - có lẽ bao gồm cả các hệ thống vật lý như lưới điện - có thể trở nên bị tổn thương đối với cuộc tấn công từ những tin tặc do nhà nước bảo trợ, những người có khả năng khai thác “các cửa hậu” y hệt trong các phần mềm mà đã được các cơ quan gián điệp phương Tây cấy vào đó, hệt như những gì sâu Stuxnet nổi tiếng đã từng làm với các hệ thống máy li tâm uranium tại nhà máy làm giàu hạt nhân ở Iran.

Richard Stallman, Chủ tịch Quỹ Phần mềm Tự do – FSF (Free Software Foundation)

Richard Stallman nói trong một cuộc phỏng vấn: Chúng tôi (FSF) có phần mềm tự do cho việc mã hóa thư điện tử và các tệp khác và bạn không nên tin tưởng vào bất kỳ chương trình mật mã nào, trừ phi đó là phần mềm tự do, và sự mã hóa cần được thực hiện bằng chính bản sao của bạn trên chính máy tính của bạn. Mã hóa trên một máy chủ là không đáng tin cậy. Bạn làm sao mà biết được việc họ không lưu lại một bản sao trước khi họ mã hóa nó và trao nó cho NSA, nên bạn phải mã hóa nó trên máy tính của bạn. Chương trình của chúng tôi để làm điều này gọi là canh gác cho tính riêng tư GNU (GNU Privacy Guard) hay GNU PG.

Bruce Schneire, chuyên gia mật mã học

Cùng cộng tác với tờ Guardian trong vụ việc này, Bruce Schneier, nhà mật mã học người Mỹ, một chuyên gia về an ninh máy tính và một nhà báo, tác giả của 12 cuốn sách về các chủ đề an ninh chung, an ninh và mật mã máy tính, sau khi đọc hàng trăm tài liệu từ Edward Snowden, đã viết: “Bằng việc phá vỡ Internet ở mọi mức độ để biến nó thành một nền tảng giám sát khổng lồ, nhiều tầng lớp và cường tráng, NSA đã làm xói mòn một hợp đồng xã hội cơ bản. Chúng ta cần phải biết chính xác cách mà NSA và các cơ quan khác đang phá vỡ các bộ định tuyến (router), các bộ chuyển mạch (switch), trục xương sống của Internet, các công nghệ mã hóa và các hệ thống đám mây. Nếu bạn nhìn vào các kỹ thuật, thì họ có xu hướng đi vào các kỹ thuật mà có tiền để chi trả với số lượng lớn. Và nếu họ có thể phá vỡ được từng bản sao của mã hóa Windows, thì họ có được nhiều hơn. Nếu họ phải đi vào từng máy tính riêng rẽ để ăn cắp các bí mật, thì điều đó là đắt giá. Nên nếu bạn càng có thể nâng chi phí của việc rình mò lên, thì càng an toàn hơn cho bạn. Chúng ta có thể thực hiện sự giám sát đắt giá một lần nữa. Đặc biệt, chúng ta cần các giao thức mở, các triển khai mở, các hệ thống mở - chúng sẽ là khó hơn cho NSA để phá vỡ”.

Sau khi làm việc với các tài liệu của Snowden, ông khuyến cáo và bản thân ông cũng đã và đang sử dụng các phần mềm GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit và một vài đồ khác để đảm bảo an ninh cho chính máy tính và dữ liệu của ông. Điều đáng chú ý ở đây là: trong số 6 phần mềm an ninh được ông khuyến cáo ở trên, thì đã có 4 là các phần mềm nguồn mở có trong bộ “75 ứng dụng nguồn mở để thay thế các phần mềm an ninh phổ biến”.

Các công ty Mỹ: “phản bội” tổ quốc hay khách hàng?

Công ty Yahoo

“Lãnh đạo Yahoo Marissa Mayer khi được hỏi bà đang làm gì để bảo vệ những người sử dụng của Yahoo khỏi “chính phủ chuyên chế”, bà đã nói bà sợ bị tống vào tù vì phản bội tổ quốc nếu bà từ chối tuân thủ với các yêu cầu về dữ liệu để làm gián điệp của Chính phủ Mỹ... “Nếu bạn không tuân thủ, thì đó là phản quốc”, Mayer nói khi được hỏi vì sao bà không thể đưa ra các chi tiết về các yêu cầu của các cơ quan gián điệp Mỹ đối với các thông tin về những người sử dụng của Yahoo”. Đây chính là sự thừa nhận của Yahoo trong việc hợp tác với NSA về các chương trình giám sát bí mật.

Công ty Google

Nói tại một sự kiện được Quỹ nước Mỹ Mới tổ chức, Eric Schmidt, Chủ tịch điều hành của Google, nói đã tới lúc cho một cuộc tranh luận công khai về bản chất tự nhiên của các hoạt động giám sát được Cơ quan An ninh Quốc gia (NSA) triển khai. “Đã và đang có việc gián điệp nhiều năm, đã có sự giám sát nhiều năm, và cứ như thế, tôi sẽ không truyền phán quyết về điều đó, đó là bản chất tự nhiên của xã hội chúng ta”.

Công ty Lavabit

Ladar Levison, người sáng lập ra công ty Lavabit, người đã mất 10 năm để xây dựng công ty của ông - và nay ông 32 tuổi, đã đóng cửa dịch vụ thư điện tử có mã hóa của ông mà không có cảnh báo nào, giống như việc “cho một con vật yêu đi ngủ”. Ông nói trong một cuộc phỏng vấn: “Tôi đã đối mặt với sự lựa chọn hoặc xem nó phải chịu đựng hoặc cho nó đi ngủ một cách lặng lẽ... điều rất khó khăn. Tôi đã phải chọn điều nhỏ hơn từ 2 điều xấu. Đối với những người sử dụng trả tiền của chúng tôi - không phải là các tài khoản tự do, tôi nghĩ đó là một sự khác biệt quan trọng - chúng tôi đã chào 'lưu trữ an ninh', nơi mà các thư điện tử đến đã được lưu trữ theo một cách thức mà chúng chỉ có thể được truy cập với mật khẩu của người sử dụng, sao cho thậm chí bản thân tôi không thể truy xuất được các thư điện tử đó. Đó là những gì chúng tôi ngụ ý với 'thư điện tử được mã hóa'”. Nói một cách khác, Ladar Levison thà đóng cửa công ty còn hơn là bán đứng các khách hàng của mình.

Công ty Silent Circle

Ít hơn 24 giờ đồng hồ sau khi Lavabit đã đóng cửa hãng, một hãng Mỹ khác cũng đóng cửa dịch vụ thư điện tử có mã hóa của mình”, hãng Silent Circle. CIO của Silent Circle, Janke nói rằng công ty của ông thậm chí còn đi xa hơn, là phá hủy máy chủ của mình. “Đã đi xa. Không thể quay lại. Không ai có thể”, ông nói. “Chúng tôi nghĩ là thà chịu hỏa lực từ các khách hàng, còn hơn là bị ép phải đảo lộn nó”.

Edward Snowden nói về quyết định đóng cửa của Lavabit và cách hành xử của các công ty lớn

Edward Snowden đã nói về quyết định đóng cửa của Levison như sau: “Các nhân viên và các lãnh đạo ở Google, Facebook, Microsoft, Yahoo, Apple và phần còn lại của những người khổng lồ Internet của chúng ta phải tự hỏi họ vì sao họ không đấu tranh vì những lợi ích của chúng ta theo hệt như cách mà các doanh nghiệp nhỏ làm. Sự bảo vệ mà họ đã đưa ra về điểm này là họ bị pháp luật ép buộc dù họ không đồng ý, nhưng một ngày ngừng hoạt động khi có sự liên minh của các dịch vụ có thể đạt được những gì một trăm Lavabit có thể không làm nổi”.

Các công ty nước ngoài có lợi

Giám đốc một công ty Anh

Một giám đốc người Anh, Simon Wardley ở nhóm nghiên cứu chiến lược Leading Edge Forum, nói: “Tôi có thích PRISM không ư... có, và chúa trời phù hộ nước Mỹ và NSA vì trao cơ hội vàng này cho chúng tôi”, ông đã viết trên blog của mình. “Tôi nghĩ chúng ta nên chuẩn bị chạy hết tốc lực, cấm các dịch vụ của Mỹ và tạo ra một quỹ đầu tư 100 tỷ € cho các công ty nhỏ về công nghệ mới khởi nghiệp ở châu Âu để thúc đẩy thị trường … Ồ vâng, không chút lưỡng lự”.

Các công ty cung cấp dịch vụ thư điện tử có an ninh của Đức

Các doanh nghiệp Đức cũng đã thấy các cơ hội kinh doanh sau vụ bê bối của các công ty Mỹ với NSA, bằng cách đưa ra dịch vụ thư điện tử có mã hóa đường truyền theo SMTP TLS. Cụ thể nhóm 3 công ty Đức là GMX, T-Online (một bộ phận của Deutsche Telekom), và Web.de - nhóm phục vụ 2/3 những người sử dụng thư điện tử Đức - đã tuyên bố rằng các dữ liệu có thể được lưu trữ tại Đức và tuân theo các luật về tính riêng tư dữ liệu của Đức”.

Các nhà cung cấp thư điện tử Đức đã thấy sự ra tăng trưởng đáng kể trong những đăng ký mới thời gian gần đây; Freenet, một nhà cung cấp viễn thông, nổi tiếng vì sự bảo vệ tính nặc danh mạnh của nó, đã thấy gia tăng 80% những người sử dụng mới trong vòng 3 tuần. Công ty đặt chỗ - hosting web của Đức 1&1 và là công ty cha của các nhà cung cấp thư điện tử GMX và web.de - đã thấy gia tăng 6 chữ số những người mới tới trong cùng khoảng thời gian; T-Online, một đơn vị kinh doanh của Deutsche Telekom và là nhà cung cấp dịch vụ Internet lớn nhất tại Đức, cũng chỉ ra một “sự quan tâm mạnh mẽ hơn” trong dịch vụ thư điện tử của mình. Nhà cung cấp thư điện tử Posteo có trụ sở ở Berlin nói đã thấy tăng trưởng 150% lượng các thuê bao trả tiền nhờ “hiệu ứng Snowden”. CIO Patrick Loehr, người đã trả lời cho The Associated Press bằng thư điện tử được mã hóa, nói rằng các đăng ký thuê bao mức 1 euro (1.36 USD) cho 1 chương trình trong 1 tháng gia tăng 25.000 người trong 4 tháng qua. Hãng này đang hy vọng chào dịch vụ tiếng Anh vào năm sau.

Các công ty cung cấp dịch vụ thư điện tử có an ninh khác

Một số chuyên gia gợi ý rằng việc đóng cửa các công ty cung cấp dịch vụ thư điện tử có an ninh của Mỹ có thể giúp người sử dụng có nhu cầu chuyển sang sử dụng các dịch vụ tương tự của các công ty nước ngoài khác như Hushmail của Canada, Neomailbox có trụ sở ở Thụy Sỹ hay Countermail của Thụy Điển.

Cơ quan tiêu chuẩn hóa nói gì?

Ngày 10/09/2013, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã tuyên bố: “Nhận thức được mối lo ngại của cộng đồng về một số tiêu chuẩn đặc biệt, chúng tôi đã mở lại giai đoạn bình luận công khai cho Xuất bản phẩm Đặc biệt 800-90A và bản thảo Xuất bản phẩm Đặc biệt 800-90B và 800-90C để trao cho công chúng một cơ hội thứ 2 xem xét và bình luận về các tiêu chuẩn đó”. Thậm chí, cơ quan này còn gợi ý “mạnh mẽ” loại bỏ tiêu chuẩn mã hóa của chính mình. Trong danh sách kiểm tra tính hợp lệ của bộ sinh bit ngẫu nhiên tất định - DRBG (Deterministic Random Bit Generator) mà NIST đưa ra vào ngày 25/10/2013 cho thấy lỗi của các tiêu chuẩn nêu trên đã ảnh hưởng tới rất nhiều sản phẩm phần cứng, phần mềm của nhiều hãng khác nhau, đặc biệt là ảnh hưởng tới Windows tất cả các phiên bản: “Các phiên bản khác nhau của Microsoft Windows, bao gồm cả các phiên bản được sử dụng trong các máy tính bảng và các điện thoại thông minh, có những triển khai tiêu chuẩn đó”. Bạn có thể đếm được 210 lần từ “Windows” trong danh sách kiểm tra DRBG nêu trên với 427 sản phẩm.

Liên quan tới việc này, hãng RSA cũng đã khuyến cáo các khách hàng dừng sử dụng các sản phẩm của hãng mà có mã bị NSA tác động tới theo các tiêu chuẩn mã hóa nêu trên. RSA khuyến cáo các khách hàng của hãng: “Để đảm bảo mức độ cao bảo an trong việc ứng dụng chúng, RSA mạnh mẽ khuyến cáo rằng các khách hàng thôi sử dụng Dual EC DRBG và chuyển sang một PRNG khác”.

Một số quốc gia phản ứng mạnh mẽ

Cho tới bây giờ, nếu chỉ xét về mặt công nghệ và tạm thời bỏ qua các lý do khác, có lẽ nổi bật nhất trong những phản ứng mức chính phủ là tới từ Brazil và Liên minh châu Âu - EU đối với các vụ việc được nêu ở trên.

Brazil đang thiết kế một hệ thống thư điện tử chống NSA và hạ tầng giao tiếp truyền thông riêng

Để tránh những vụ việc gián điệp như PRISM của NSA, chính phủ Brazil đã quyết định xây dựng hệ thống thư điện tử riêng cho các công dân Brazil, đồng thời yêu cầu các công ty Mỹ như Google và Facebook phải đặt các dữ liệu của người dân Brazil trong các máy chủ nằm trên đất Brazil.

Tổng thống Brazil Dilma Rousseff đã tuyên bố hôm 13/10/2013 yêu cầu của bà để triển khai một hệ thống giao tiếp truyền thông điện tử nhằm tới việc tăng cường tính riêng tư và tránh gián điệp các giao tiếp truyền thông khắp các cơ quan chính phủ liên bang. Bà nói: “Tôi đã ra lệnh triển khai một hệ thống thư điện tử an ninh khắp chính phủ liên bang”. Cơ quan xử lý dữ liệu Brazil Serpro có trách nhiệm loại bỏ nền tảng hiện hành Microsoft Outlook và dẫn dắt sự phát triển nền tảng mới.

Theo bộ trưởng Truyền thông, Paulo Bernardo, đã nói cho tờ Folha de São Paulo rằng chính phủ đã nói rồi cho Microsoft rằng chính phủ sẽ không gia hạn thỏa thuận cấp phép của chính phủ và rằng chính phủ sẽ tái đầu tư các khoản tiết kiệm được vào việc cải thiện hệ thống nội bộ.

Brazil cũng đang dự tính các ý tưởng khác để làm cho các giao tiếp truyền thông thư điện tử của nước này an toàn hơn, chống lại gián điệp Mỹ, bao gồm việc ép các công ty như Google và Facebook, phải lưu trữ các dữ liệu của họ đối với những người sử dụng Brazil, bên trong các máy chủ nằm ở Brazil”.

EU sẽ đưa ra các qui định mới để kiềm chế chuyển dữ liệu sang Mỹ và xây dựng hệ thống các giao tiếp truyền thông với các dữ liệu nằm trên các máy chủ đặt tại các quốc gia thành viên EU.

Sau những tiết lộ từ Snowden, châu Âu đang dự thảo các luật mới với các qui định trong các tiêu chuẩn bảo vệ dữ liệu của châu Âu với các khoản tiền phạt khổng lồ. “Dự thảo có thể làm khó hơn đối với các nhà cung cấp lớn phương tiện xã hội và các máy chủ Internet của Mỹ để truyền các dữ liệu của châu Âu tới các nước thứ 3, buộc họ tuân thủ luật của EU hơn là các lệnh của tòa án bí mật Mỹ, và có quyền phạt lớn có khả năng chạy trong khoảng hàng tỷ cho lần đầu không tuân thủ với các qui định mới”.

Hãng “Telekom đã tuyên bố rồi rằng nó có thể chuyển kênh giao thông thư điện tử cục bộ qua các máy chủ nằm ở Đức”. Một lãnh đạo của hãng này còn nói: “Trong bước tiếp sau, sáng kiến này có thể được mở rộng tới khu vực Schengen”, tham chiếu tới 26 quốc gia EU - ngoại trừ nước Anh.

Lời kết

Để hoàn toàn tránh được sự giám sát ồ ạt và sự phá hoại an ninh Internet một cách có chủ ý của Cơ quan An ninh Quốc gia Mỹ – NSA và Cơ quan Tình báo Anh – GCHQ là không dễ dàng đối với bất kỳ cá nhân, tổ chức, quốc gia nào, kể cả với chính nước Mỹ.

Đã có những chính phủ quốc gia trên thế giới đã bắt đầu nghĩ tới việc loại bỏ các sản phẩm mã hóa thương mại và hệ thống thư điện tử Microsoft Outlook dễ bị đầu độc mà không ai có khả năng kiểm soát sang các sản phẩm thay thế bằng phần mềm tự do nguồn mở và hướng tới việc kiểm soát các dữ liệu trong các máy chủ được đặt trong phạm vi biên giới của nước mình hoặc nhóm nước mình.

Trong khi chờ đợi, để tránh các chương trình giám sát toàn cầu của NSA, cũng đã có các site như https://prism-break.org/, nơi liệt kê hàng loạt các hệ thống, phần mềm có thể thay thế như hệ điều hành, trình duyệt web, các hệ thống thư điện tử có an ninh... mà người sử dụng được khuyến cáo có thể dùng.

Hy vọng Việt Nam có thể học được nhiều từ những sự việc có liên quan và có được các đường đi nước bước đúng đắn để tiến tới đảm bảo khả năng làm chủ được các hệ thống thông tin và bản thân các thông tin - dữ liệu của các cơ quan chính phủ và các doanh nghiệp.

Trần Lê

Bài đăng trên tạp chí Tin học & Đời sống, số tháng 11/2013, trang 44-47.