TPP
Threatens Security and Safety by Locking Down U.S. Policy on Source
Code Audit
December
3, 2015 | By Jeremy
Malcolm
Bài
được đưa lên Internet ngày: 03/12/2015
Nhiều
báo
cáo gần
đây về các chỗ bị tổn thương
an toàn nghiêm trọng trong các modem cáp và các bộ định
tuyến router vẽ nên một bức tranh kinh khủng về tình
trfạng an ninh của các thiết bị mà hàng triệu người
sử dụng phụ thuộc vào để kết nối tới Internet.
Những chỗ bị tổn thương như vậy có thể bị khai thác
để vô hiệu hóa sự truy cập của chúng ta, rình mò vào
các thông tin cá nhân của chúng ta, hoặc khởi xướng các
cuộc tấn công độc hại vào các bên thứ 3. Các thiết
bị khác mà là quan trọng ngang bằng đối với an toàn
của chúng ta, hoặc thậm chí cho sức khỏe và an toàn vật
lý của chúng ta - như hệ
thống báo động ở nhà và, đáng
sợ hơn, máy chủ cardio
server được sử dụng trong các bệnh viện
- cũng từng là đối tượng của sự phát lộ chỗ bị
tổn thương gần đây.
Một
công cụ mà các nhà nghiên cứu an toàn có thể sử dụng
để nhanh chóng hơn phát hiện và loại trừ các chỗ
bị tổn thương như vậy là có sự truy cập tới mã
nguồn của phần mềm được nhúng trong các thiết bị
đó. Tất nhiên, điều đó thường có thể được thực
hiện nếu mã nguồn được làm cho sẵn sàng đối với
chúng từ nhà cung cấp. Nhiều
nhà
sản xuất các
bộ định tuyến router ít nhất cũng
làm cho một vài mã nguồn các thiết bị của họ là sẵn
sàng, và thường họ làm thế vì họ bị ép buộc phải
làm điều này một cách hợp pháp theo giấy phép GNU
General Public License, nó áp dụng cho
một vài phần mềm cốt lõi theo đó các thiết bị như
vậy thường dựa vào.
Nhưng
điều đó không phải là cách duy nhất mà các nhà sản
xuất các thiết bị sống còn có thể bị ép phải phát
hành mã của họ để rà soát lại ngang hàng công khai.
Cũng có lựa chọn rằng luật hoặc quy định có thể
được làm yêu cầu mở mã như vậy, có lẽ như một
điều kiện của việc cấp phép của các sản phẩm theo
luật được áp dụng. Trên thực tế, vào tháng 10, 260
chuyên gia an ninh không gian mạng đã
kêu gọi Ủy ban Truyền thông Liên bang (Federal
Communications Commission) bắt buộc
đúng một yêu cầu như vậy.
TPP
cấm kiểm toán mã
Điều
mang chúng tôi tới hiệp định Đối tác Xuyên Thái bình
dương - TPP (Trans-Pacific Partnership) - nó có thể cấm sự
bắt buộc kiểm toán mã hoặc nguồn mở như vậy sẽ
được giới thiệu trong tương lai. Điều 14.17 văn bản
của chương Thương mại Điện tử nêu, “Không Bên nào
sẽ yêu cầu chuyển giao, hoặc truy cập tới, mã nguồn
phần mềm được một người hoặc Bên khác sở hữu,
như một điều kiện để nhập khẩu, phân phối, bán
hoặc sử dụng phần mềm như vậy, hoặc các sản phẩm
có chứa các phần mềm như vậy, trong lãnh thổ của
mình”.
Như
được chỉ ra ở trên, điều này không chỉ là một vấn
đề gói gọn trọng các bộ định tuyến router và các
modem. Nó cũng có thể áp dụng cho các thiết bị y tế,
các bộ cảnh báo khói, các
bộ trộn đồ uống, các
xe cộ có động cơ như các ô tô và
máy kéo, các đồ có thể mặc được, còn không nhắc
tới vô số các ứng dụng phần mềm thuần túy chạy
trong các điện thoại thông minh và các máy tính cá nhân
PC. Chỉ những thiết bị và phần mềm được sử
dụng trong các ứng dụng được đặt làm (không cho thị
trường đại chúng) hoặc trong các hạ tầng sống còn có
thể bị/được loại trừ theo các điều khoản của TPP,
dù phạm vi chính xác của những ngoại lệ đó vẫn còn
chưa rõ.
Điều
khoản đó có thể làm nhiều hơn so với chỉ đặt ra
ngoài vòng pháp luật sự bắt buộc mã nguồn mở. Nó
cũng có thể cấm bất kỳ yêu cầu nào mà mã được đệ
trình cho sự rà soát riêng tư bởi các nhà chức trách
điều chỉnh pháp luật. Dù chúng tôi yêu các phần mềm
tự do nguồn mở, thì điều đó không phải là cho bất
kỳ ai. Vì thế một lựa chọn yêu cầu các nhà cung cấp
các phần mềm sở hữu độc quyền phải phát hành mã
của họ cho công chúng nói chung để có thể kiểm toán
được phần mềm bởi nhà chức trách cấp phép có trách
nhiệm, cơ quan giám sát y tế và an toàn, hoặc cơ quan bảo
vệ người tiêu dùng. Khả năng này cũng bị ngôn ngữ
khắt khe của TPP tịch thu rồi.
Và
điều tồi tệ vẫn còn tiếp tục. Không chỉ TPP tịch
thu các quy định có thể yêu cầu mã phải được mở
nguồn hoặc kiểm toán, nó cũng có thể làm cho không thể
đối với các nhà chức trách về cạnh tranh mở ra thị
trường cho việc sửa chữa các sản phẩm với phần mềm
nhúng. Nếu nhà sản xuất ô tô không thể được/bị yêu
cầu trao cho những người khác sự truy cập tới mã nguồn
phần mềm mà chạy trong các hệ thống máy tính nhúng của
nó, thì điều này cản trở nghiệm trọng toàn bộ thị
trường đối với các thợ cơ khí sửa chữa độc lập,
những người có thể cạnh tranh với những người sửa
chữa được ủy quyền của nó để làm việc về mã
nguồn đó, cũng như các thị trường cho các doanh nhân sử
dụng sự hiểu biết mã đó của họ để tạo ra các
thiết bị mới tương hợp được với các phương tiện,
như các công cụ chuẩn đoán và các ứng dụng của điện
thoại thông minh. Điều này mang theo các ảnh hưởng cạnh
tranh đáng kể mà các nhà thương thảo TPP, cho tới nay
như chúng tôi biết, thậm chí đã không xem xét tới trong
quá trình các cuộc đàm phán sau các cánh cửa đóng trong
các khách sạn sang trọng trên khắp thế giới.
USTR
đã nghĩ gì?
Vì
sao nước Mỹ lại có thể muốn trói tay của chính mình
theo cách này? Trên khuôn mặt của nó, trong môi trường
nơi mà Internet của Vạn vật - IoT (Internet of Things) đang
bùng nổ và chất lượng phần mềm là tin tức hàng đầu,
thì hạn chế này đối với năng lực điều chỉnh pháp
lý trong tương lai dường như hoàn toàn không có ý nghĩa.
Câu
trả lời được thấy trong xuất bản năm nay Báo cáo Đặc
biệt 301 của USTR, theo đó USTR gọi ra Trung Quốc vì các
biện pháp yêu cầu mở mã nguồn cho chính phủ Trung Quốc
(dù lời phàn nàn kỳ cục này chỉ thu được trong thông
cáo báo chí đi kèm, và không có
trong bản
thân báo cáo PDF).
Dù
được USTR mô tả như là “mới”, thì các yêu cầu đó
thực sự có từ năm 2007 và là một phần của các quy
định khung của Trung Quốc đối với an toàn thông tin
trong hạ tầng sống còn, được biết tới như là Sơ đồ
Bảo vệ Đa Mức - MLPS (Multi-Level
Protection Scheme). Các quy định
MLPS hạn chế các sản phẩm khỏi việc được bán để
sử dụng trong các hệ thống thông tin của Trung Quốc
trên một mức an toàn nhất định, trừ phi mã nguồn của
chúng được mở ra cho chính phủ. Dù biện pháp này được
thể hiện như là sự bảo vệ chống lại các lỗi an
toàn và các cửa hậu cố ý đang được chèn vào trong
các phần mềm sống còn, thì nó cũng được các công ty
Mỹ thấy như là sự vi phạm về khả năng của họ để
giữ mã của họ là sở hữu độc quyền.
Giả
thiết rằng quy định này của Trung Quốc là, trên thực
tế, vấn đề pháp lý đối với các công ty Mỹ, liệu
TPP thực sự có đề cập tới vấn đề rất hẹp này
không? Hoàn toàn không. Trước hết và rõ ràng nhất,
Trung Quốc không phải là một bên của TPP, là có khả
năng không trở thành một bên như vậy bất kỳ khi nào
sớm. Nhưng thậm chí nếu có điều đó, thì các quy định
MLPS chỉ áp dụng cho các phần mềm được sử dụng
trong hạ tầng sống còn - điều rõ ràng bị loại trừ
từ điều khoản của TPP. Vì thế nếu có bất kỳ điều
gì, thì điều khoản đó thậm chí có rất ít ý nghĩa
hơn nó dường như tạo ra khi thoạt nhìn qua.
Bất
kể điều gì bạn có thể nghĩ về sự thông thái của
các luật hoặc các quy định yêu cầu mở ra sự kiểm
toán mã nguồn trong các trường hợp đặc biệt, chúng ta
tất cả nên có khả năng đồng ý rằng đây là một vấn
đề, và một vấn đề mà, như
tờ Washington Post chỉ ra, sẽ không
được giải quyết thông qua một hiệp định thương mại
được đàm phán đằng sau các cánh cửa đóng. Vì điều
khoản gây tranh cãi này thực sự được USTR
chào như một lợi ích cho nền công
nghiệp kỹ nghệ từ hiệp định, nó chỉ ra một lần
nữa hộ đã tạo ra một mớ lộn xộn đối với hiệp
định này bằng việc giữ cho những người sử dụng và
những người đổi mới thực sự bị khóa đối với căn
phòng đàm phán.
~
Nếu
bạn ở tại nước Mỹ, hãy thúc giục các nhà làm luật
của bạn kêu gọi một cuộc điều trần về các nội
dung của TPP mà sẽ ảnh hưởng tới các quyền số của
bạn, và quan trọng hơn, hãy biểu quyết chống lại hiệp
định này khi nó đi tới họ để phê chuẩn: Hãy nói cho
Quốc hội Biểu quyết Không cho TPP.
Multiple
recent
reports
on serious security vulnerabilities in cable modems and routers paint
a dire picture of the state of security of the devices that millions
of users depend upon to connect to the Internet. Such vulnerabilities
can be exploited to disable our access, snoop on our personal
information, or launch malicious attacks on third parties. Other
devices that are equally important for our security, or even to our
physical health and safety—such as home
alarm systems and, terrifyingly, a cardio
server used in hospitals—have also been the subject of recent
vulnerability disclosures.
One
tool that security researchers can use to more quickly uncover and
eliminate such vulnerabilities is having access to the source code of
the software embedded in these devices. Of course, that can usually
only be done if the source code is made available to them by the
supplier. Many router
manufacturers
do make at least some of their devices' source code available, and
often they do so because they are legally compelled to do this by the
terms of the GNU
General Public License, which applies to some of the core
software upon which such devices are frequently based.
But
that's not the only way that the manufacturers of critical devices
could be compelled to release their code for public or peer review.
There's also the option that a law or regulation could be made
requiring the disclosure of such code, perhaps as a condition of the
licensing of the products under applicable law. In fact, in October,
260 cybersecurity experts called
upon the Federal Communications Commission to impose just such a
requirement.
The
TPP's Ban on Code Audit
Which
brings us to the Trans-Pacific Partnership (TPP) agreement—which
would prohibit such open source or code audit mandates being
introduced in the future. Article 14.17 of the text of the Electronic
Commerce chapter provides, “No Party shall require the transfer of,
or access to, source code of software owned by a person of another
Party, as a condition for the import, distribution, sale or use of
such software, or of products containing such software, in its
territory.”
As
indicated above, this isn't just an issue confined to routers and
modems. It could also apply to medical devices, smoke alarms, drink
mixers, motor
vehicles such as cars and tractors, wearables, and not to mention
a myriad of pure software applications running on smartphones and
PCs. Only devices and software used in bespoke applications (not for
a mass market) or in critical infrastructure would be exempt under
the terms of the TPP language, though the precise ambit of these
exemptions remains unclear.
The
provision would do more than merely outlaw open source code mandates.
It would also prohibit any requirement that code be submitted for
private review by regulatory authorities. Although we love free and
open source software, it's not for everyone. So an alternative to
requiring the vendors of proprietary software to release their code
to the general public would be for them to have it audited by the
responsible licensing authority, health and safety watchdog, or
consumer protection agency. This possibility is also foreclosed by
the TPP's strict language.
And
the bad keeps on coming. Not only does the TPP foreclose rules that
could require code to be open sourced or audited, it could also make
it impossible for competition authorities to open up the market for
the repair of products with embedded software. If the manufacturer of
a car can't be required to give others access to the source code of
the software that runs on its embedded computer systems, this
seriously hinders an entire market for independent repair mechanics
who could compete with its authorized repairers to work on that code,
as well as markets for entrepreneurs to use their understanding of
that code to make new devices that interoperate with vehicles, such
as diagnostic tools and smartphone applications. This carries
significant competition implications that the TPP negotiators, so far
as we know, didn't even consider during their closed door
negotiations in luxury hotels around the world.
What
Was the USTR Thinking?
Why
would the United States wish to tie its own hands in this way? On the
face of it, in an environment where the Internet of Things is
burgeoning and software quality is headline news, this restriction to
our future regulatory capacity seems to make no sense at all.
The
answer is found in this year's edition of the U.S. Trade
Representative's (USTR) Special 301 Report, in which the USTR calls
out China for measures requiring the disclosure of source code to the
Chinese government (though oddly this complaint is only levied in the
accompanying
press release, and not in the PDF
report itself).
Although
described by the USTR as “new,” these requirements actually date
from 2007 and are part of China's framework regulations for
information security in critical infrastructure, known as the
Multi-Level Protection Scheme (MLPS). The MLPS regulations limit
products from being sold for use in Chinese information systems above
a certain security level, unless their source code is disclosed to
the government. Although this measure is presented as protection
against security flaws and deliberate backdoors being inserted into
critical software, it is also seen by U.S. companies as an
impingement upon their ability to keep their code proprietary.
Assuming
that this Chinese regulation is, in fact, a legitimate problem for
U.S. companies, does the TPP actually address this very narrow
problem? Not at all. First and most obviously, China is not a party
to the TPP, and isn't likely to become one any time soon. But even if
it were, the MLPS regulations only apply to software used in critical
infrastructure—which is expressly exempted from the TPP provision
anyway. So if anything, the provision makes even less sense than it
seems to make at first glance.
No
matter what you may think of the wisdom of laws or regulations
requiring the disclosure of audit of source code in particular cases,
we should all be able to agree that this is a complicated issue, and
one that, as
the Washington Post points out, shouldn't be resolved through a
trade agreement negotiated behind closed doors. Since this
controversial provision is actually touted
by the USTR as a benefit to the tech industry from the deal, it
goes to show once again what a mess they have made of this agreement
by keeping actual users and innovators locked out of the negotiating
room.
~
If
you're in the United States, urge your lawmakers to call a hearing on
the contents of the TPP that will impact your digital rights, and
more importantly, to vote this deal down when it comes to them for
ratification: Tell Congress to Vote No on the TPP
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.