Tech
companies are raising their game (and pants) post-Snowden
Liệu
mọi điều có hỏng chết người rồi không? Chưa tới
nỗi, các thánh thần về an ninh nói.
Is
everything fatally borked? Not quite, say security godheads
By
Iain Thomson, 12 Jun 2014
Bài
được đưa lên Internet ngày: 12/06/2014
Lời
người dịch: Đây là những gì được tóm tắt về các
tiết lộ của Snowden: Khi nói về 2 công ty cung cấp dịch
vụ thư điện tử có mã hóa an ninh bị ép phải đóng
cửa, tác giả nêu: “Quá tồi
tệ đối với những người sử dụng dạng hệ thống
này, bạn có thể nghĩ, nhưng
các vấn đề đó đã không dừng ở đó. Rò
rỉ vào tháng 9/2013 về Dự
án Bullrun mà thực sự tạo ra con
mèo giữa đám chim bồ câu.
Các tài liệu của Snowden được phát hành đã chỉ ra
rằng NSA từng chi 250 triệu USD một năm để xây dựng
những điểm yếu kém trong mã phổ biến và đã phá nhiều
hệ thống mã hóa thường được sử dụng trên trực
tuyến”. “Từ việc ép
Microsoft làm cho Skype thân thiện hơn cho việc nghe trộm và
sau đó không nói cho ai, tới việc đòi hỏi khóa chủ mã
hóa của Lavabit và đòi hỏi
rằng họ phải nói dối, tới việc tạo ra các máy chủ
giả mạo của Facebook trên Internet để đột nhập vào
các máy tính, tới việc đánh chặn thiết bị kết nối
mạng của Cisco khi vận chuyển để cài đặt thiết bị
nghe trộm, NSA đã hoàn toàn phá vỡ Internet”.
Xem thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Kỷ
niệm 1 năm Snowden Nếu có một sự tích cực nào cho
những tiết lộ của cựu nhà thầu Cơ quan An ninh Quốc
gia (NSA) Edward Snowden, thì đó từng là một thảm họa cho
các hãng công nghệ và Internet.
Vâng,
một sự tích cực.
Trong
năm ngoái chúng ta đã học được rằng NSA có các cửa
hậu được đặt trong phần cứng mà tạo nên các mạng,
sự tồn tại của phần dưới khổng lồ các ống khói
được đặt trong các trung tâm dữ liệu của các công ty
Internet và điện thoại để hút lượng khổng lồ dữ
liệu, và việc phá mã hóa Internet.
Tác
động của tất cả điều này sẽ là một sự gia tăng
các trò chơi của các công ty đó và việc làm rung động
sự bằng lòng của những người sử dụng trong việc dựa
vào các sản phẩm “tự do” và cũng đang chấp nhận
những gì họ được trao và các “giải pháp” tiêu
chuẩn.
Đã
rồi, các công ty công nghệ và web đang đi thụt lùi. Bị
chộp với chiếc quần dài bị tụt xuống, họ bây giờ
đang được trao thời gian và tiền để kéo chúng ngược
trở lại một lần nữa.
Trước
thời Snowden thường được cho là chính phủ từng triển
khai một số dạng giám sát chống lại các mục tiêu
chính và rằng những chàng trai và cô gái sáng láng ở
NSA có thể phá vỡ được các hệ thống an ninh nếu họ
thực sự muốn.
Đã
có những tin đồn từ lâu về các cửa hậu trong các hệ
điều hành và các đội viết phần mềm độc hại của
chính phủ, nhưng rất ít được chứng minh.
Những
rò rỉ của Snowden đã chỉ ra không chỉ những yếu kém
về an ninh đó đang được xây dựng trong phần mềm, mà
còn cả việc các công ty lớn mà chúng ta tin cậy gửi
gắm các dữ liệu của chúng ta đang giúp làm việc đó -
và họ đã và đang như những tội phạm đặt ra vấn đề
an ninh dữ liệu của những người sử dụng bên trong các
tổ chức của riêng họ.
2 rò
rỉ đầu tiên từ các tệp của Snowden - những cáo buộc
rằng Verizon từng trao
các siêu dữ liệu của khách hàng trong các cuộc gọi di
động và sự tồn tại của chương
trình PRISM - đã không tới như một sự ngạc nhiên
lớn cho nhiều người. Caspar Bowden, cựu cố vấn trưởng
về tính riêng tư của Microsoft, đã từng cảnh báo về
dạng công việc này từ nhiều năm qua.
Rồi
thì, vào tháng 08/2013, nhà cung cấp thư điện tử an ninh
của Snowden Lavabit đã
đóng cửa dịch vụ của mình, còn người đứng đầu
của nó, Ladar Levison, nói rằng ông ta không muốn “trở
thành đồng phạm chống lại nhân dân Mỹ”." Ngay
sau đó thì Silent Circle, hãng từng chào một dịch vụ
tương tự, cũng
đã đóng cửa theo.
Cả
2 công ty bị luật cấm không cho khẳng định lý do chính
xác cho sự đóng cửa của họ, mà đi xuống tới việc
sử dụng pháp luật đang tồn tại nơi mà chính phủ Mỹ
có thể ép buộc các nhà cung cấp thư điện tử chuyển
các khóa mã trên cơ sở an ninh quốc gia. Quá tồi tệ đối
với những người sử dụng dạng hệ thống này, bạn có
thể nghĩ, nhưng các vấn đề đó đã không dừng ở đó.
Rò
rỉ vào tháng 9/2013 về Dự
án Bullrun mà thực sự tạo ra con
mèo giữa đám chim bồ câu. Các tài liệu của Snowden được
phát hành đã chỉ ra rằng NSA từng chi 250 triệu USD một
năm để xây dựng những điểm yếu kém trong mã phổ
biến và đã phá nhiều hệ thống mã hóa thường được
sử dụng trên trực tuyến.
Bullrun
dường như đã bắt đầu sau ngày 11/09/2001 và dường như
đã cho phép NSA đi loanh quanh những bảo vệ cả của VPN,
SSL và HTTPS. Đối với hầu hết những người sử dụng
Internet thì điều đó là nhiều đối với toàn bộ cuộc
chơi.
Như
bất kỳ chuyên gia an ninh nào cũng đều biết, việc đưa
ra một cách cố ý các lỗi trong các sản phẩm của bạn
là một động thái ngu xuẩn. Chắc chắn rồi, nó trao cho
cộng đồng tình báo một cửa hậu trong phần mềm, nhưng
không có sự đảm bảo nào rằng ai đó khác sẽ không
phát hiện được ra lỗi y hệt và bắt đầu sử dụng
nó. Trên thực tế, cách thức kiểm tra mã là từ thời
đó, một điều chắc chắn rằng ai đó sẽ làm được
điều này.
Người
nổi tiếng về mật mã học và tính riêng tư Bruce
Schneier thẳng thắn trong đánh giá của ông về những gì
tất cả điều này có nghĩa đối với Internet. Ông đã
nói cho tờ The Register:
Từ việc ép Microsoft làm cho Skype
thân thiện hơn cho việc nghe trộm và sau đó không nói
cho ai, tới việc đòi hỏi khóa chủ mã hóa của Lavabit
và đòi hỏi rằng họ phải nói dối, tới việc tạo ra
các máy chủ giả mạo của Facebook trên Internet để đột
nhập vào các máy tính, tới việc đánh chặn thiết bị
kết nối mạng của Cisco khi vận chuyển để cài đặt
thiết bị nghe trộm, NSA đã hoàn toàn phá vỡ Internet.
Snowden
anniversary If there’s
a positive to the disclosures by ex-National Security Contractor
(NSA) contractor Edward Snowden, it’s that it’s been a disaster
for technology and internet firms.
Yes,
a positive.
In
the last year we’ve learned the NSA has backdoors placed in the
hardware that makes networks, the existence of massive funnels placed
in internet and phone companies’ data centers to suck up vast
amounts of data, and the breaking of internet encryption.
The
effect of all this should be a raising of these companies’ games
and a shaking of users’ complacency in relying on “free”
products and in being too accepting of what they’re given and of
standard “solutions.”
Already,
tech and web companies are coming back. Caught with their pants down,
they are now being given the time and money to pull them back up
again.
Pre-Snowden
it was generally assumed the government was carrying out some sorts
of surveillance against key targets and that the bright boys and
girls at the National Security Agency (NSA) could subvert security
systems if they really wanted to.
There
had long been rumors of backdoors in operating systems and government
malware-writing teams, but very little in the way of proof.
Snowden's
leaks showed not only that security weaknesses are being built into
software but also that the large companies to whom we entrust our
data are helping in this – and they have been criminally lax about
the security of users' data within their own organizations.
The
first two leaks from the Snowden files – allegations that Verizon
was handing
over consumer metadata on mobile calls and the existence of the
PRISM
program – didn’t come a as a massive surprise to many. Caspar
Bowden, Microsoft's former chief privacy adviser, has been warning
about this kind of stuff for years after all.
Then,
in August 2013, Snowden's secure email provider Lavabit shut
down its service, with its chief, Ladar Levison, saying that he
wouldn't "become complicit in crimes against the American
people." Shortly afterwards Silent Circle, which had been
offering a similar service, followed
suit.
Both
companies are prohibited by law from confirming the exact reason for
their shutdown, but it's down to the use of existing legislation
whereby the US government can force email providers to hand over
encryption keys on national security grounds. Too bad for users of
this kind of system, you might think, but the problems didn’t stop
there.
It
was the September 2013 leak about Project
Bullrun that really set the cat among the pigeons. The documents
Snowden released showed that the NSA was spending $250m a year to
build security weaknesses into common code and had cracked many of
the encryption systems commonly used online.
Bullrun
appears to have started after September 11, 2001 and appears to have
allowed the NSA to get around both VPN protections, SSL and HTTPS.
For most internet users that's pretty much the entire ballgame.
As
any security expert knows, intentionally introducing flaws into your
products is a stupid move. Sure, it gives the intelligence community
a backdoor into software, but there's no guarantee that someone else
won’t discover the same flaw and start using it. In fact, the way
code examination is these days, it's a virtual certainty that someone
will do this.
Crypto
and privacy guru Bruce Schneier is frank in his assessment of what
this all meant for the internet. He told The Register:
From forcing Microsoft to make
Skype more eavesdropping friendly and then not telling anyone, to
demanding Lavabit's master encryption key and demanding that they lie
about it, to creating fake Facebook servers on the Internet to hack
into computers, to intercepting Cisco networking equipment in transit
to install eavesdropping equipment, the NSA has completely subverted
the internet.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.