Các công ty công nghệ đang đưa ra trò chơi của họ (và quần dài) sau thời Snowden - I

Tech companies are raising their game (and pants) post-Snowden

Liệu mọi điều có hỏng chết người rồi không? Chưa tới nỗi, các thánh thần về an ninh nói.

Is everything fatally borked? Not quite, say security godheads

By Iain Thomson, 12 Jun 2014

Theo: http://www.theregister.co.uk/2014/06/12/safe_in_our_hands_security_industry_takes_a_hit_from_snowdens_year/

Bài được đưa lên Internet ngày: 12/06/2014

Lời người dịch: Đây là những gì được tóm tắt về các tiết lộ của Snowden: Khi nói về 2 công ty cung cấp dịch vụ thư điện tử có mã hóa an ninh bị ép phải đóng cửa, tác giả nêu: “Quá tồi tệ đối với những người sử dụng dạng hệ thống này, bạn có thể nghĩ, nhưng các vấn đề đó đã không dừng ở đó. Rò rỉ vào tháng 9/2013 về Dự án Bullrun mà thực sự tạo ra con mèo giữa đám chim bồ câu. Các tài liệu của Snowden được phát hành đã chỉ ra rằng NSA từng chi 250 triệu USD một năm để xây dựng những điểm yếu kém trong mã phổ biến và đã phá nhiều hệ thống mã hóa thường được sử dụng trên trực tuyến”. “Từ việc ép Microsoft làm cho Skype thân thiện hơn cho việc nghe trộm và sau đó không nói cho ai, tới việc đòi hỏi khóa chủ mã hóa của Lavabit và đòi hỏi rằng họ phải nói dối, tới việc tạo ra các máy chủ giả mạo của Facebook trên Internet để đột nhập vào các máy tính, tới việc đánh chặn thiết bị kết nối mạng của Cisco khi vận chuyển để cài đặt thiết bị nghe trộm, NSA đã hoàn toàn phá vỡ Internet”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Kỷ niệm 1 năm Snowden Nếu có một sự tích cực nào cho những tiết lộ của cựu nhà thầu Cơ quan An ninh Quốc gia (NSA) Edward Snowden, thì đó từng là một thảm họa cho các hãng công nghệ và Internet.

Vâng, một sự tích cực.

Trong năm ngoái chúng ta đã học được rằng NSA có các cửa hậu được đặt trong phần cứng mà tạo nên các mạng, sự tồn tại của phần dưới khổng lồ các ống khói được đặt trong các trung tâm dữ liệu của các công ty Internet và điện thoại để hút lượng khổng lồ dữ liệu, và việc phá mã hóa Internet.

Tác động của tất cả điều này sẽ là một sự gia tăng các trò chơi của các công ty đó và việc làm rung động sự bằng lòng của những người sử dụng trong việc dựa vào các sản phẩm “tự do” và cũng đang chấp nhận những gì họ được trao và các “giải pháp” tiêu chuẩn.

Đã rồi, các công ty công nghệ và web đang đi thụt lùi. Bị chộp với chiếc quần dài bị tụt xuống, họ bây giờ đang được trao thời gian và tiền để kéo chúng ngược trở lại một lần nữa.

Trước thời Snowden thường được cho là chính phủ từng triển khai một số dạng giám sát chống lại các mục tiêu chính và rằng những chàng trai và cô gái sáng láng ở NSA có thể phá vỡ được các hệ thống an ninh nếu họ thực sự muốn.

Đã có những tin đồn từ lâu về các cửa hậu trong các hệ điều hành và các đội viết phần mềm độc hại của chính phủ, nhưng rất ít được chứng minh.

Những rò rỉ của Snowden đã chỉ ra không chỉ những yếu kém về an ninh đó đang được xây dựng trong phần mềm, mà còn cả việc các công ty lớn mà chúng ta tin cậy gửi gắm các dữ liệu của chúng ta đang giúp làm việc đó - và họ đã và đang như những tội phạm đặt ra vấn đề an ninh dữ liệu của những người sử dụng bên trong các tổ chức của riêng họ.

2 rò rỉ đầu tiên từ các tệp của Snowden - những cáo buộc rằng Verizon từng trao các siêu dữ liệu của khách hàng trong các cuộc gọi di động và sự tồn tại của chương trình PRISM - đã không tới như một sự ngạc nhiên lớn cho nhiều người. Caspar Bowden, cựu cố vấn trưởng về tính riêng tư của Microsoft, đã từng cảnh báo về dạng công việc này từ nhiều năm qua.

Rồi thì, vào tháng 08/2013, nhà cung cấp thư điện tử an ninh của Snowden Lavabit đã đóng cửa dịch vụ của mình, còn người đứng đầu của nó, Ladar Levison, nói rằng ông ta không muốn “trở thành đồng phạm chống lại nhân dân Mỹ”." Ngay sau đó thì Silent Circle, hãng từng chào một dịch vụ tương tự, cũng đã đóng cửa theo.

Cả 2 công ty bị luật cấm không cho khẳng định lý do chính xác cho sự đóng cửa của họ, mà đi xuống tới việc sử dụng pháp luật đang tồn tại nơi mà chính phủ Mỹ có thể ép buộc các nhà cung cấp thư điện tử chuyển các khóa mã trên cơ sở an ninh quốc gia. Quá tồi tệ đối với những người sử dụng dạng hệ thống này, bạn có thể nghĩ, nhưng các vấn đề đó đã không dừng ở đó.

Rò rỉ vào tháng 9/2013 về Dự án Bullrun mà thực sự tạo ra con mèo giữa đám chim bồ câu. Các tài liệu của Snowden được phát hành đã chỉ ra rằng NSA từng chi 250 triệu USD một năm để xây dựng những điểm yếu kém trong mã phổ biến và đã phá nhiều hệ thống mã hóa thường được sử dụng trên trực tuyến.

Bullrun dường như đã bắt đầu sau ngày 11/09/2001 và dường như đã cho phép NSA đi loanh quanh những bảo vệ cả của VPN, SSL và HTTPS. Đối với hầu hết những người sử dụng Internet thì điều đó là nhiều đối với toàn bộ cuộc chơi.

Như bất kỳ chuyên gia an ninh nào cũng đều biết, việc đưa ra một cách cố ý các lỗi trong các sản phẩm của bạn là một động thái ngu xuẩn. Chắc chắn rồi, nó trao cho cộng đồng tình báo một cửa hậu trong phần mềm, nhưng không có sự đảm bảo nào rằng ai đó khác sẽ không phát hiện được ra lỗi y hệt và bắt đầu sử dụng nó. Trên thực tế, cách thức kiểm tra mã là từ thời đó, một điều chắc chắn rằng ai đó sẽ làm được điều này.

Người nổi tiếng về mật mã học và tính riêng tư Bruce Schneier thẳng thắn trong đánh giá của ông về những gì tất cả điều này có nghĩa đối với Internet. Ông đã nói cho tờ The Register:

Từ việc ép Microsoft làm cho Skype thân thiện hơn cho việc nghe trộm và sau đó không nói cho ai, tới việc đòi hỏi khóa chủ mã hóa của Lavabit và đòi hỏi rằng họ phải nói dối, tới việc tạo ra các máy chủ giả mạo của Facebook trên Internet để đột nhập vào các máy tính, tới việc đánh chặn thiết bị kết nối mạng của Cisco khi vận chuyển để cài đặt thiết bị nghe trộm, NSA đã hoàn toàn phá vỡ Internet.

Snowden anniversary If there’s a positive to the disclosures by ex-National Security Contractor (NSA) contractor Edward Snowden, it’s that it’s been a disaster for technology and internet firms.

Yes, a positive.

In the last year we’ve learned the NSA has backdoors placed in the hardware that makes networks, the existence of massive funnels placed in internet and phone companies’ data centers to suck up vast amounts of data, and the breaking of internet encryption.

The effect of all this should be a raising of these companies’ games and a shaking of users’ complacency in relying on “free” products and in being too accepting of what they’re given and of standard “solutions.”

Already, tech and web companies are coming back. Caught with their pants down, they are now being given the time and money to pull them back up again.

Pre-Snowden it was generally assumed the government was carrying out some sorts of surveillance against key targets and that the bright boys and girls at the National Security Agency (NSA) could subvert security systems if they really wanted to.

There had long been rumors of backdoors in operating systems and government malware-writing teams, but very little in the way of proof.

Snowden's leaks showed not only that security weaknesses are being built into software but also that the large companies to whom we entrust our data are helping in this – and they have been criminally lax about the security of users' data within their own organizations.

The first two leaks from the Snowden files – allegations that Verizon was handing over consumer metadata on mobile calls and the existence of the PRISM program – didn’t come a as a massive surprise to many. Caspar Bowden, Microsoft's former chief privacy adviser, has been warning about this kind of stuff for years after all.

Then, in August 2013, Snowden's secure email provider Lavabit shut down its service, with its chief, Ladar Levison, saying that he wouldn't "become complicit in crimes against the American people." Shortly afterwards Silent Circle, which had been offering a similar service, followed suit.

Both companies are prohibited by law from confirming the exact reason for their shutdown, but it's down to the use of existing legislation whereby the US government can force email providers to hand over encryption keys on national security grounds. Too bad for users of this kind of system, you might think, but the problems didn’t stop there.

It was the September 2013 leak about Project Bullrun that really set the cat among the pigeons. The documents Snowden released showed that the NSA was spending $250m a year to build security weaknesses into common code and had cracked many of the encryption systems commonly used online.

Bullrun appears to have started after September 11, 2001 and appears to have allowed the NSA to get around both VPN protections, SSL and HTTPS. For most internet users that's pretty much the entire ballgame.

As any security expert knows, intentionally introducing flaws into your products is a stupid move. Sure, it gives the intelligence community a backdoor into software, but there's no guarantee that someone else won’t discover the same flaw and start using it. In fact, the way code examination is these days, it's a virtual certainty that someone will do this.

Crypto and privacy guru Bruce Schneier is frank in his assessment of what this all meant for the internet. He told The Register:

From forcing Microsoft to make Skype more eavesdropping friendly and then not telling anyone, to demanding Lavabit's master encryption key and demanding that they lie about it, to creating fake Facebook servers on the Internet to hack into computers, to intercepting Cisco networking equipment in transit to install eavesdropping equipment, the NSA has completely subverted the internet.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com