Các công ty an ninh và giám sát thiết lập các cổng khai thác lỗi ngày số 0 cho các chính phủ để sử dụng trong các hành động 'tấn công'

Surveillance And Security Companies Set Up Zero-Day Exploit Portals For Governments To Use In 'Offensive' Actions

by Glyn Moody, Thu, Mar 13th 2014

Theo: https://www.techdirt.com/articles/20140311/07593926528/surveillance-security-companies-set-up-zero-day-exploit-portals-governments-to-use-offensive-actions.shtml

Bài được đưa lên Internet ngày: 13/03/2014

from the portals-are-so-90s dept

Lời người dịch: Trên thế giới, có các nơi chuyên cung cấp các phần mềm độc hại, các lỗi ngày số 0 và ngày số 1 cho các chính phủ để tấn công vào các máy tính bị ngắm đích. Một số nơi như vậy là “Cổng khai thác Finfly” hoặc website VUPEN (http://www.vupen.com/). “Chúng ta biết từ những rõ rỉ của Snowden rằng NSA sử dụng các khai thác ngày số 0 để gây tổn thương cho các hệ thống máy tính được các chính phủ sử dụng. Điều đó có thể có nghĩa là Mỹ có thể có thiện chí tạo ra bất kỳ ràng buộc nào trong việc sử dụng chúng (thậm chí sử dụng thông thường), cũng như các chính phủ khác trên khắp thế giới sẽ làm mà không nghi ngờ gì đang biến các phần mềm độc hại như là một cách thức gián điệp các mục tiêu theo cùng cách y hệt. Cách duy nhất để làm cùn các cuộc tấn công đó là đối với các thành viên của cộng đồng phần mềm để tìm kiếm, xuất bản và vá các chỗ bị tổn thương, càng nhanh càng tốt. Vâng, điều đó là một lý do cuốn hút khác cho việc sử dụng phần mềm tự do: thậm chí nếu nguồn mở có khả năng có các lỗi hệt như các chương trình nguồn đóng (và các ý kiến sẽ khác nhau về điểm đó), là không có khả năng biện hộ được rằng chúng là dễ dàng hơn để tìm và sửa khi mà các rào cản để làm điều như vậy là thấp hơn nhiều”. Việt Nam, với hơn 5 triệu máy tính còn đang chạy Windows XP sẽ hết hạn bảo hành toàn cầu vào ngày 08/04/2014, có thể sẽ không phải chỉ có vài lỗi ngày số 0 và số 1, mà có thể là vô vàn các lỗi như vậy, có lẽ sẽ biến các mạng ở Việt Nam thành các bãi rác thử nghiệm cho các cuộc tấn công không gian mạng của bất kỳ kẻ xấu nào, bất luận là từ Trung Quốc, Mỹ hay bất kỳ nước nào khác. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Chỉ ít hơn 1 năm trước chúng tôi đã viết về sử dụng thương hiệu Mozilla của Gamma International để lừa mọi người vào việc cài đặt phần mềm độc hại giám sát từ công ty đó. Một bài viết từ Privacy International chỉ ra công ty đó bây giờ đã thiết lập những gì gọi là “Cổng khai thác Finfly” cung cấp: sự truy cập tới một thư viện lớn các khai thác ngày số 0 và ngày số 1 cho các phần mềm phổ biến như Microsoft Office, Internet Explorer, Adobe Acrobat Reader và hơn nữa.

Đây là cách mà nó áp dụng các khai thác đó, như được Privacy International mô tả:

Bằng việc sử dụng Cổng Khai thác FinFly, các chính phủ có thể phân phối công nghệ thâm nhập tinh vi phức tạp, như FinSpy, vào các máy tính đích. Trong khi điều này trước đó được quảng cáo là Gamma sử dụng các cập nhật phần mềm giả mạo từ một số công ty công nghệ hàng đầu thế giới để phân phối FinSpy vào một máy tính đích, thì cổng khai thác thậm chí trang bị nhiều hơn trong tay của chính phủ bằng việc chào nhiều lựa chọn hơn cho sự triển khai. Đáng ngạc nhiên, Cổng Khai thác FinFly đảm bảo những người sử dụng 4 khai thác có khả năng trụ vững cho một số sản phẩm phần mềm được sử dụng nhiều nhất trên thế giới, như chương trình Microsoft Internet Explorer và Adobe Acrobat.

Thật buồn, Gamma không phải là duy nhất trong khía cạnh này. Một công ty khác đang chào các khai thác cho các cơ quan chính phủ vì mục đích đột nhập vào các hệ thống - đó là, các hành động tấn công hơn là các hành động phòng thủ - là Vupen Security. Như website của nó giải thích:

Như là nguồn hàng đầu của nghiên cứu tính bị tổn thương tiên tiến, VUPEN cung cấp các khai thác mức số 0 cho các chính phủ đặc biệt được thiết kế cho các cơ quan ép tuân thủ pháp luật và cộng đồng tình báo để giúp họ đạt được các nhiệm vụ không gian mạng tấn công của họ và các hoạt động mạng có sử dụng các mã ngày số 0 đặc biệt và tinh vi phức tạp cực kỳ được Đội Nghiên cứu Tổn thương của VUPEN (VRT) tạo ra.

Trong khi các công ty khác trong lĩnh vực an ninh không gian mạng tấn công hành động chủ yếu như các nhà môi giới (mua các chỗ bị tổn thương từ các nhà nghiên cứu bên thứ 3 và sau đó bán cho các khách hàng), thì các mã và tri thức chỗ bị tổn thương của VUPEN rõ ràng là kết quả từ các nỗ lực nghiên cứu trong nội bộ được đội các nhà nghiên cứu cấp thế giới của chúng ta tiến hành.

Các bình luận của Privacy International:

Các khai thác có giá trị siêu hạng cho các nhà nghiên cứu an ninh, các cơ quan ép tuân thủ pháp luật, các chính phủ nói chung, và các công ty giám sát. Họ có các mục đích hợp pháp hoàn toàn và nghiên cứu có liên quan cho sự phát triển của họ, đặc biệt nghiên cứu các chỗ bị tổn thương, sẽ được khuyến khích.

Tuy nhiên, khả năng lạm dụng đã dẫn tới các lời kêu gọi ngày một gia tăng cho một dố dạng điều chỉnh trong nền công nghiệp đó mà đi vượt ra khỏi sự tự điều chỉnh của bản thân nền công nghiệp đó. Chúng là các quyết định chính sách khó khăn; các yếu tố và các vấn đề sẽ được cân nhắc là phức tạp và thách thức. Quả thực điều này là khó để trù liệu một dạng điều chỉnh thực tế mà có thể đạt được sự cân bằng đúng. Privacy International tin tưởng chắc chắn rằng các kiểm tra xuất khẩu về các khai thác lúc này không phải là một lời giải đáp phù hợp.

Chúng ta biết từ những rõ rỉ của Snowden rằng NSA sử dụng các khai thác ngày số 0 để gây tổn thương cho các hệ thống máy tính được các chính phủ sử dụng. Điều đó có thể có nghĩa là Mỹ có thể có thiện chí tạo ra bất kỳ ràng buộc nào trong việc sử dụng chúng (thậm chí sử dụng thông thường), cũng như các chính phủ khác trên khắp thế giới sẽ làm mà không nghi ngờ gì đang biến các phần mềm độc hại như là một cách thức gián điệp các mục tiêu theo cùng cách y hệt.

Cách duy nhất để làm cùn các cuộc tấn công đó là đối với các thành viên của cộng đồng phần mềm để tìm kiếm, xuất bản và vá các chỗ bị tổn thương, càng nhanh càng tốt. Vâng, điều đó là một lý do cuốn hút khác cho việc sử dụng phần mềm tự do: thậm chí nếu nguồn mở có khả năng có các lỗi hệt như các chương trình nguồn đóng (và các ý kiến sẽ khác nhau về điểm đó), là không có khả năng biện hộ được rằng chúng là dễ dàng hơn để tìm và sửa khi mà các rào cản để làm điều như vậy là thấp hơn nhiều.

Just under a year ago we wrote about Gamma International's use of Mozilla's trademark to trick people into installing surveillance malware from the company. A post from Privacy International points out the company has now set up what it calls the "Finfly Exploit Portal" providing:

access to a large library of 0-day and 1-Day Exploits for popular software like Microsoft Office, Internet Explorer, Adobe Acrobat Reader and many more.

Here's how it applies those exploits, as described by Privacy International:

By using the FinFly Exploit Portal, governments can deliver sophisticated intrusion technology, such as FinSpy, onto a target's computer. While it's been previously advertised that Gamma use fake software updates from some of the world's leading technology companies to deliver FinSpy onto a target's computer, the exploit portal puts even more power in the hands of government by offering more choices for deployment. Astonishingly, FinFly Exploit Portal guarantees users four viable exploits for some of the most-used software products in the world, such as Microsoft's Internet Explorer and Adobe's Acrobat programme.

Sadly, Gamma is not a one-off in this respect. Another company offering exploits to government agencies for the purpose of breaking into systems -- that is, offensive rather than defensive actions -- is Vupen Security. As its Web site explains:

As the leading source of advanced vulnerability research, VUPEN provides government-grade zero-day exploits specifically designed for law enforcement agencies and the intelligence community to help them achieve their offensive cyber missions and network operations using extremely sophisticated and exclusive zero-day codes created by VUPEN Vulnerability Research Team (VRT). While other companies in the offensive cyber security field mainly act as brokers (buy vulnerabilities from third-party researchers and then sell them to customers), VUPEN's vulnerability intelligence and codes result exclusively from in-house research efforts conducted by our team of world-class researchers.

Privacy International comments:

Exploits are supremely valuable to security researchers, law enforcement agencies, governments in general, and surveillance companies. They have completely legitimate purposes and the research related to their development, especially vulnerability research, should be encouraged.
However, the possibility for abuse has lead to increasing calls for some kind of regulation into the industry that goes beyond mere self-regulation by the industry itself. These are difficult policy decisions; the factors and issues to be weighed are complex and challenging. It is indeed difficult to envisage a realistic form of regulation that can achieve the right balance. Privacy International firmly believes that export controls on exploits at the moment are not an appropriate response.

We know from Snowden's leaks that the NSA uses zero-day exploits to compromise computer systems used by foreign governments. That probably means that the US would be unwilling to introduce any constraints on their use (even nominal ones), as will other governments around the world that are doubtless turning to malware as a way of spying on targets in the same way.

The only way to blunt those attacks is for members of the software community to find, publish and patch vulnerabilities, as fast as they can. That's yet another compelling reason for using free software: even if open source is just as likely to have flaws as closed-source programs (and opinions will differ on that score), it's inarguable that they are easier to find and fix since the barriers to doing so are much lower.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com