Vì sao các chuyên gia an ninh không gian mạng muốn các bộ định tuyến router công khai nguồn

Here’s Why Cybersecurity Experts Want Public Source Routers

October 15, 2015 // 07:34 AM EST

Theo: http://motherboard.vice.com/read/heres-why-cybersecurity-experts-want-open-source-routers

Bài được đưa lên Internet ngày: 15/10/2015

Xem thêm: Các hiệp định thương mại làm hại Truy cập Mở và Nguồn Mở như thế nào.

Liên minh gồm 260 chuyên gia an ninh không gian mạng đang tận dụng giai đoạn bình luận công khai của Ủy ban Truyền thông Liên bang - FCC (Federal Communications Commission) để thúc giục các nhà sản xuất các bộ định tuyến router làm cho mã nguồn của chúng là sẵn sàng “trong kho mã nguồn có khả năng xây dựng được, với các thay đổi được kiểm soát” trên trực tuyến như là điều kiện tiên quyết cho việc được cấp phép để sử dụng ở Mỹ.

Yêu cầu tới khi cuộc tranh luận rộng hơn về làm thế nào FCC đảm bảo được rằng các tín hiệu không dây của các bộ định tuyến router Wifi không “đi ra ngoài các quy định điều chỉnh được nêu” và gây ra sự can thiệp có hại cho các thiết bị khác như các điện thoại không dây, radar, và các đĩa vệ tinh.

Các chuyên gia đã viện lý rằng các phần sụn (firmware) của các bộ định tuyến router nguồn đóng có thể làm phơi lộ những người sử dụng khắp Internet ra cho các chỗ bị tổn thương về an ninh. Nếu các phần sụn của các bộ định tuyến router đó là sẵn sàng để soi xét trên trực tuyến, tiếp tục dòng suy nghĩ đó, thì cộng đồng rộng lớn hơn các chuyên gia và các lập trình viên có thể làm viẹc cùng nhau để chống lại các chỗ bị tổn thương mà không phải chờ các nhà sản xuất các bộ định tuyến router đó phát hành bản vá - nếu họ thực sự có quan tâm để làm thế.

“Trong thư của chúng tôi [PDF], các nhà khoa học và kỹ sư hầu hết đều lo ngại sâu sắc với Internet cuối cùng đã nói lên với cùng một tiếng nói, đủ to, có lẽ thế, để tạo ra một sự khác biệt”, Dave Taht, đồng sáng lập của Bufferbloat, một sáng kiến để cải thiện hiệu năng của các bộ định tuyến router, đã nói cho Motherboard. Taht, tác giả đứng đầu bức thư gửi cho FCC, nói rằng các nhà sản xuất thường xuất xưởng các bộ định tuyến router bị tổn thương với những khai thác được biết, đặt người tiêu dùng và cả Internet rộng lớn hơn vào rủi ro ngay khi các bộ định tuyến router được bật lên. Điều làm cho vấn đề còn tồi tệ hơn là rất ít người tiêu dùng quan tâm nâng cấp phần sụn của họ nếu các bản vá được tung ra.

Paul Vixie, CEO của hãng an ninh máy tính Farsight Security, đã nói cho Motherboard về một chỗ bị tổn thương của bộ định tuyến router gần đây mà đã cho phép các tin tặc tái định tuyến giao thông Internet của các nạn nhân của họ tới một máy chủ quảng cáo dưới sự kiểm soát của họ. “Bây giờ, hầu hết mọi người có thể không quan tâm về ai có được doanh thu quảng cáo thế nào”, Vixie nói, “nhưng thực tế là [giao thông] có thể bị tái định tuyến ở mức độ phạm vi đối với hàng trăm ngàn nạn nhận ngụ ý rằng mọi người [có thể] đi tới một site phishing”.

Motherboard đã có ý định liên lạc với Linksys và Belkin, 2 trong số các thương hiệu các bộ định tuyến router lớn nhất của người tiêu dùng, về các suy nghĩ của họ đối với các bộ định tuyến router nguồn mở của họ. Trong khi Belkin đã không trả lời cho yêu cầu bình luận của Motherboard, thì người phát ngôn của Linksys nói công ty “hiện đang nói chuyện với FCC” nhưng đã không có gì hơn để nói về vấn đề này.

A coalition of 260 cybersecurity experts is taking advantage of a Federal Communications Commission (FCC) public comment period to push for router makers to make their source code available "in a buildable, change-controlled source code repository" online as a conditioned for being licensed for use in the US.

The request comes amid a wider debate on how the FCC should ensure that Wi-Fi routers’ wireless signals don’t “go outside stated regulatory rules” and cause harmful interference to other devices like cordless phones, radar, and satellite dishes.

The experts reasoned that closed-source router firmware could expose users across the internet to security vulnerabilities. If these routers’ firmware were available for scrutiny online, the thinking goes, the wider community of experts and developers could work together to battle vulnerabilities without having to wait for router makers to release a patch—if they bother to do so at all.

“In our letter [PDF], the scientists and engineers most deeply concerned with the internet have finally spoken with one voice, loud enough, maybe, to make a difference,” Dave Taht, co-founder of Bufferbloat, an initiative to improve router performance, told Motherboard. Taht, who lead author of letter to the FCC, said that manufacturers often ship routers that are vulnerable to known exploits, putting consumers and the wider internet at risk as soon as the routers are turned on. Making the matter worse is how few consumers bother to upgrade their firmware if patches are released.

Paul Vixie, the CEO of computer security firm Farsight Security, told Motherboard about one recent router vulnerability that allowed hackers to redirect their victims’ internet traffic to an ad server under their control. “Now, most people may not care about who gets what advertising revenue,” Vixie said, ”but the fact that [traffic] can be redirected at scale for hundreds of thousands of victims means that people [may end up] going to a phishing site.”

Motherboard attempted to contact Linksys and Belkin, two of the largest consumer router brands, about their thoughts on open-sourcing their routers. While Belkin did not respond to Motherboard’s request for comment, a Linksys spokesperson said the company was “currently in talks with the FCC” but had nothing further to say on the matter.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com