Tech
companies are raising their game (and pants) post-Snowden
Liệu
mọi điều có hỏng chết người rồi không? Chưa tới
nỗi, các thánh thần về an ninh nói.
Is
everything fatally borked? Not quite, say security godheads
By
Iain Thomson, 12 Jun 2014
Bài
được đưa lên Internet ngày: 12/06/2014
Lời
người dịch: Từ thực tế những gì đã xảy ra trong vụ
tiết lộ của Edward Snowden về các giám sát ồ ạt của
NSA, chuyên gia nổi tiếng về mật mã và tính riêng tư
Bruce Schneier nói: “Vấn
đề không phải là những gì chúng ta biết NSA đang làm
những điều đó. Vấn đề thực
sự là chúng ta không biết những gì khác hơn việc NSA
đang làm. Các công ty Internet -
phần cứng, phần mềm, dịch vụ - đơn giản không thể
tin cậy được bao giờ nữa”.
Tuy nhiên, cả ông vẫn tin qui trình làm mã hóa là OK: “Qui
trình xem xét hiệu đính mã hóa đang làm việc tốt. AES
và SHA-3 đều là những ví dụ ưu tú của một qui trình
công khai chọn một tiêu chuẩn mã hóa mới. Tôi tin cả 2
chúng, và sẽ tiếp tục tin chúng”,
còn Snowden thì tin là mã hóa tốt có tác dụng tốt:
“Snowden đã đưa ra nhiều cuộc
phỏng vấn kể từ lâu, nhưng một trong những thông điệp
ông đã nhất quán đặt ra là mã hóa tốt vẫn còn là an
toàn chống lại những con mắt soi mói của NSA.
Vâng thậm chí đó không phải là giải pháp hoàn hảo”.
Mục tiêu ở đây là làm sao
biến hệ thống CNTT của bạn thành một hệ thống giá
càng đắt càng tốt nếu ai đó muốn phá vỡ nó:
“Mục tiêu là nâng cao chi phí sao cho sự giám sát ồ ạt
trở nên không thể. Nếu NSA thực sự quan tâm về bạn
thì họ sẽ tiến hành, đột nhập vào ngôi nhà của bạn
và cài đặt phần mềm độc hại vào máy tính xách tay
của bạn”. Xem thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Google
sẽ không thay đổi mô hình kinh doanh của nó và cả NSA
cũng vậy
“Vấn
đề không phải là những gì chúng ta biết NSA đang làm
những điều đó”, chuyên gia về tính riêng tư Bruce
Schneier bổ sung thêm. “Vấn đề
thực sự là chúng ta không biết những gì khác hơn việc
NSA đang làm. Các công ty Internet - phần cứng, phần mềm,
dịch vụ - đơn giản không thể tin cậy được bao giờ
nữa”.
Một
tháng sau và nhiều rò rỉ hơn nữa được tiết lộ từ
Dự án MUSCULAR, nơi mà NSA đã nâng các dữ liệu mà nó
từng thu thập được thông qua chương trình PRISM với
thông tin có được từ việc nghe
lén giữa đường các kết nối lẫn nhau giữa các
trung tâm dữ liệu do các hàng Yahoo!, Google, Microsoft và
các hãng khác điều hành – tin tức đã kích
động một luồng báng bổ từ các kỹ sư của
Chocolate Factory.
Chris
Soghoian, nhà công nghệ chính ở American Civil Liberties Union
(Liên đoàn Tự do Dân sự Mỹ) và một nhà nghiên cứu và
hoạt động xã hội nổi tiếng về tính riêng tư, đã
nói cho tờ The Register rằng các hành động ba que xỏ lá
của các quản trị hệ thống đã chứng minh là chất xúc
tác cho sự thay đổi.
“Những
rò rỉ đã gây ra nhiều sự tức giận ở các công ty đó,
và đặc biệt với các đội an ninh ở các công ty đó.
Các đội an ninh đó đã có danh sách những điều mà họ
đã muốn làm nhiều năm nhưng các ngân sách là hạn chế
và vì thế họ tập trung vào các tài nguyên vào các mối
đe dọa lớn nhất”, ông đã nói cho chúng tôi.
“Bây
giờ, sự hiểu biết của tôi là trong làn sóng những
tiết lộ của Snowden, các đội an ninh đó đã đưa ra
nhiều kiểm tra trống rỗng và có thể bỏ ra bất kỳ
thứ gì họ muốn bỏ ra để bảo vệ sự liên kết giữa
người sử dụng và công ty”.
Tuy
nhiên, Soghoian đã chỉ ra rằng
điều này chỉ là một nửa của giải pháp. Google và các
hãng khác cho “tự do” các hệ thống thư điện tử
bằng việc kéo lưới qua các dữ liệu mà những người
tiêu dùng trao cho họ và bán quảng cáo dựa vào quanh thứ
đó. Mô hình kinh doanh đó sẽ không thay đổi sớm bất
kỳ lúc nào, ông đã cảnh báo, mà miễn là nó còn tồn
tại như vậy thì “NSA sẽ còn cố phá vỡ nó”.
Snowden
đã đưa ra nhiều cuộc phỏng vấn kể từ lâu, nhưng một
trong những thông điệp ông đã nhất quán đặt ra là mã
hóa tốt vẫn còn là an toàn chống lại những con mắt
soi mói của NSA. Vâng thậm chí đó không phải là giải
pháp hoàn hảo.
Vào
tháng 12/2013, một báo
cáo từ Reuters đã nêu rằng NSA đã cố tình làm suy
yếu bộ sinh số ngẫu nhiên Dual Elliptic Curve Deterministic
Random Bit Generator (Dual EC DRBG) từng được Viện Tiêu
chuẩn và Công nghệ Quốc gia Mỹ ký, và được cho là đã
trả tiền hợp đồng cho hãng an ninh RSA 10 triệu USD để
bổ sung hệ thống đó vào các sản phẩm an ninh của
mình.
RSA
đã nhất
quán từ chối rằng hãng đã nhận bất kỳ số tiền
nào để đưa vào một giao thức an ninh yếu kém, nhưng
điều đó đã không dừng được việc các thành viên chủ
chốt của cộng đồng an ninh khỏi việc tẩy
chay hội nghị thường niên về an ninh của hãng này
trong năm nay và thiết
lập một hội nghị TrustyCon theo cùng.
Điều
đó còn dẫn tới một số người công bố rằng các tiêu
chuẩn mã hóa phổ biến có khả năng bị phá vỡ rồi và
rằng các hệ thống rà soát ngang hàng được sử dụng
để kiểm tra công nghệ bị đổ vỡ, nhưng trong thực tế
ngược lại là đúng, Bruce Schneier nói.
“Qui
trình xem xét hiệu đính mã hóa đang làm việc tốt. AES
và SHA-3 đều là những ví dụ ưu tú của một qui trình
công khai chọn một tiêu chuẩn mã hóa mới. Tôi tin cả 2
chúng, và sẽ tiếp tục tin chúng”, ông nói.
Vẫn
có nhiều phần mềm an ninh ngoài đó mà sẽ khóa được
các giao tiếp truyền thông máy tính. Trong khi những rò rỉ
của Snowden đã làm nhiều thiệt hại cho nền công nghiệp
an ninh máy tính, thì sự thiệt hại đó không là sống
còn theo bất kỳ cách gì và có thể thực sự là hữu
dụng trong việc khuyến khích mọi người trong nền công
nghiệp đó tự làm cho tốt những thực tiễn của họ và
cung cấp tính riêng tư nào mà họ có thể.
“Có
nhiều người trong nền công nghiệp an ninh đang nắm lấy
cách nhìn tươi mới trong công nghệ an ninh mà chúng ta sử
dụng và yêu cầu 'có thể chúng ta làm cho điều này tốt
hơn chăng?'”, Soghoian nói.
“Trong
hầu hết các trường hợp câu trả lời là 'có'. Mục
tiêu ở đây không phải là loại bỏ NSA, vì thực sự họ
sẽ tìm cách thâm nhập vào nếu họ thực sự quan tâm về
bạn. Mục tiêu là nâng cao chi phí sao cho sự giám sát ồ
ạt trở nên không thể. Nếu NSA thực sự quan tâm về
bạn thì họ sẽ tiến hành, đột nhập vào ngôi nhà của
bạn và cài đặt phần mềm độc hại vào máy tính xách
tay của bạn”.
Đi
với tiêu chuẩn công nghiệp đó, dù, và bạn sẽ là con
vịt ngồi. “Mật mã mặc định được mọi người sử
dụng sẽ không phải là sự giám sát ồ ạt mù quáng”,
Soghoian nói.
Google
won't change its business model and neither will the NSA
"The
problem isn't that we know the NSA is doing these things,” added
privacy expert Bruce Schneier. “The real problem is that we don't
know what else the NSA is doing. Internet companies - hardware,
software, service - simply cannot be trusted anymore."
A
month later and more leaks exposed Project MUSCULAR, whereby the NSA
augmented the data it was already collecting via the PRISM program
with information obtained by tapping
the interconnects between data centers run by Yahoo!, Google,
Microsoft, and others – news which provoked
a stream of profanities from the Chocolate Factory's engineers.
Chris
Soghoian, principal technologist at the American Civil Liberties
Union and a noted privacy researcher and activist, told The Register
that the rogue sysadmin's actions had proved a catalyst for change.
"The
leaks caused a lot of anger in these companies, and in particular
with the security teams in these companies. These security teams have
had a list of things they've wanted to do for years but budgets are
limited and so they focus resources on the biggest threats," he
told us.
"Now,
it's my understanding that in the wake of the Snowden disclosures,
that security teams have been given pretty much a blank check and can
spend whatever they want to spend to protect the link between the
user and the company."
However,
Soghoian pointed out that this is only half of the solution. Google
and others pay for "free" email systems by trawling through
the data consumers give them and selling advertising based around
that. That business model isn’t going to change any time soon, he
warned, but as long as it's in place “the NSA will try to subvert
it".
Snowden
hasn’t given many interviews since going on the run, but one of the
messages he has consistently put out is that good encryption is still
safe from the prying eyes of the NSA. Yet even that isn’t a perfect
solution.
In
December 2013, a report
from Reuters claimed that the NSA had deliberately weakened the Dual
Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG) that
had been signed off by the National Institute of Standards and
Technology, and had allegedly paid securo-firm RSA a $10m contract to
add the system into its security products.
RSA
has consistently
denied that it accepted any money to include a weakened security
protocol, but that didn’t stop some key members of the security
community from boycotting
the security company's annual show this year and setting
up a rival TrustyCon get-together.
The
row has led some to declare that common encryption standards are
likely to be subverted and that the peer-review systems used to check
out technology are broken, but in fact the reverse is true, Bruce
Schneier says.
"The
encryption vetting process is working fine. AES and SHA-3 are both
stellar examples of a public process to choose a new encryption
standard. I trust them both, and will continue to trust them,"
he said.
There
is still a lot of secure software out there that will lock down
computer communications. While Snowden's leaks have done a lot of
damage to the computer security industry, that damage isn’t fatal
by any means and may actually have been helpful in encouraging people
in the industry to smarten up their practices and provide what
privacy they can.
"There
are a lot of people in the security industry who are taking a fresh
look at the security technology we use and asking 'can we make this
better?'," Soghoian said.
"In
most cases the answer is 'yes'. The goal here isn’t to keep the NSA
out, because realistically they will find a way in if they really
care about you. The goal is to raise the cost so that bulk
surveillance becomes impossible. If the NSA really cares about you
they will show up, break into your house and install malware on your
laptop.”
Go
with the industry standard, though, and you're a sitting duck. “The
default crypto used by everyone will not blind bulk surveillance,"
Soghoian said. ®
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.