Quan chức nói chính phủ bất lực chống lại các chứng chỉ an ninh giả mạo

Official says government is helpless against fake security certifications

By Aliya Sternstein 10/22/2010

Theo: https://mail.google.com/mail/?shva=1#inbox

Bài được đưa lên Internet ngày: 22/10/2010

Lời người dịch: Nước Mỹ đang bất lực trong việc chống lại các chứng chỉ an ninh giả mạo, xuất phát từ các cơ quan chứng thực an ninh CA và các nhà mạng. Một cảnh báo cho tất cả chúng ta.

Một quan chức Hạ viện hôm thứ sáu nói các website an ninh giả mạo đã tạo ra để ăn cắp tiền hoặc các thông tin cá nhân là một hiểm họa mà chính phủ bất lực để kiểm soát.

Bình luận từ Andrew McLaughlin, Phó CIO của Nhà Trắng về chính sách Internet, tới trong một phiên thảo luận về những mối đe dọa đang nổi lên cho thương mại điện tử và các giao dịch trực tuyến khác được tổ chức bởi bộ phận tư duy chiến lược (think tank) của Washington - Quỹ Nước Mỹ Mới. Ngày một gia tăng, tất cả các bên có liên quan trong các giao dịch trực tuyến dựa vào thông tin từ các công ty và các quốc gia với các chính sách Internet mà vượt ra ngoài phạm vi hoạt động pháp lý của chính phủ liên bang. Những người tham gia đưa vào những người sử dụng Internet, các website, như IRS.gov; các nhà cung cấp trình duyệt, như Google Chrome; và các đại lý cấp chứng chỉ, như VeriSign, mà họ khẳng định rằng các website và mọi người trao đổi thông tin là những người mà họ đều là những bên liên quan. Các cơ quan được gọi là xác thực này đôi khi sai hoặc cố tình phê chuẩn cho các webiste độc hại.

“Chúng ta đang nhìn vào một vấn đề phạm vi quyền hạn pháp lý đa dạng và đa người tham gia mà đối với nó không có giải pháp nào của chính phủ cả”, McLaughlin, một cựu lãnh đạo của Google, nói. Việc giải quyết tình trạng này phụ thuộc vào các trình duyệt, các cơ quan chứng thực và các website giao dịch như các ngân hàng trực tuyến mà hoạt động tại các quốc gia khác nhau với các qui định khác nhau. Chỗ cho điều ác là lớn khi các cơ quan chứng thực tuân theo các chế độ của chính phủ mà là lầm đường, áp chế, hoặc tham gia vào một cuộc tấn công các hạ tầng Internet nước ngoài, ông nói.

“Vì bản chất tự nhiên của phạm vi quyền hạn pháp lý đa dạng và nhiều người tham gia đóng góp của vấn đề, nên chính phủ không thể chốt nó và chính phủ sẽ không chốt được nó”, McLaughlin nói. “Bạn chắc không muốn chính phủ cố trở thành tiền tuyến của bạn. Chúng ta có một lịch sử để vặn những thứ này lại”.

A White House official on Friday said fake secure websites created to steal money or personal information are a danger the government is powerless to control.

The comment from Andrew McLaughlin, White House deputy chief technology officer for Internet policy, came during a panel discussion on emerging threats to e-commerce and other online transactions hosted by Washington think tank the New America Foundation. Increasingly, all parties involved in online dealings rely on information from companies and countries with Internet policies that are beyond the federal government's jurisdiction. The participants include Internet users; websites, such as IRS.gov; browser providers, such as Google's Chrome; and certifying agents, such as VeriSign, which confirm that websites and people exchanging information are who they claim to be. These so-called certificate authorities sometimes erroneously or intentionally approve malicious websites.

"We are looking at a multijurisdictional, multistakeholder problem for which there is no governmental solution," said McLaughlin, a former Google executive. Addressing the situation depends on browsers, certificate authorities and transaction websites such as online banks that operate in different countries with varying regulations. Room for mischief is great when certificate authorities are subject to governmental regimes that are devious, repressive, or participating in an attack on foreign Internet infrastructures, he said.

"Because of the multijurisdictional and multistakeholder nature of the problem, government can't fix it and government shouldn't fix it," McLaughlin said. "You wouldn't want government to try to be your front line. We have a history of screwing things up."

Kỹ sư phần mềm của Google Adam Langley, người đã tham gia vào cuộc thảo luận, nói công ty của ông có thiện chí hơn các nhà sản xuất trình duyệt khác để trở nên tích cực trong việc triển khai các công nghệ mới để ngáng trở những kẻ lừa đảo hoặc các lỗi chứng thực.

Nhưng mọi người thường bỏ qua những cảnh giới của trình duyệt. Langley nói khi một cảnh báo của trình duyệt yêu cầu những người sử dụng một câu hỏi hoặc đưa ra một cảnh báo về việc truy cập một site đáng ngờ, thì họ thường đóng thông điệp đó lại và xử lý để kết thúc các nhiệm vụ của họ hoặc tiến hành các mua sắm của họ.

Các cơ quan xác thực không có cách nào để loại bỏ những kẻ xấu chơi mà họ lại đảm bảo một cách sai lầm và độc hại cho một chứng thực website: “Chúng tôi không nhất thiết có các quy trình và các chính sách hiện diện để cho phép chúng tôi nâng cấp cho các cơ quan chứng thực CA, những cơ quan mà chiếm 10% ở đáy mà chúng tôi có lẽ muốn chặt đầu, và đó là một thách thức”, Scott Rea, một kiến trúc sư cao cấp về phần mềm tại DigiCert, một cơ quan chứng thực, nói. Nhưng ông đã không đồng ý với những người tham gia phiên hội thảo mà nói tình trạng này là cuộc đua về đáy nơi mà Internet là đang nằm trong rủi ro của các cuộc tấn công số đông bởi những kẻ giả mạo.

Trả lời cho thế tiến thoái lưỡng nan đang tồn tại này, như các hệ thống tên miền an ninh mới và các tiêu chuẩn xác thực số mới, theo một số chuyên gia có trong phiên thảo luận.

Chỉ trong một vài năm gần đây vấn đề các chứng thực rởm này đã trở thành một sức ép - và điều đó là vì nghiên cứu trong lĩnh vực này đã gia tăng, khi số lượng những bảo vệ công nghệ [tăng], như Andy Steingruebl, một lãnh đạo về an ninh cho dịch vụ thanh toán trực tuyến PayPal, nói.

Ari Schwartz, nhà tư vấn cao cấp về chính sách Internet tại Viện Quốc gia về Tiêu chuẩn và Công nghệ (NIST), đã hé lộ cho Bộ An ninh Quốc nội gần đây các kịch bản tấn công phỏng theo các cơ quan chứng thực để kiểm thử các chiến lược phòng vệ.

“Đã từng có nhiều cuộc nói chuyện về các dạng tấn công này khi những ví dụ thực tế cuộc sống của những gì có thể đi tới sự sai lầm nghiêm trọng nếu không quan tâm tới vầ nếu chúng ta không có các giải pháp cho [chúng]”, Schwartz, người gần đây đã tham gia vào chính quyền của Obama sau khi phục vụ như một lãnh đạo tại một nhóm tư nhân, phi lợi nhuận, Trung tâm về Dân chủ và Công nghệ.

Google software engineer Adam Langley, who participated in the discussion, said his company is more willing than other browser makers to be aggressive in deploying new technologies to thwart imposters or certificate errors.

But people frequently ignore browser safeguards. Langley said when a browser alert asks users a question or offers a warning about accessing a questionable site, they often close the message and proceed to finish their tasks or make their purchases.

Certificate authorities have no way of removing bad players who mistakenly or maliciously guarantee a website's authenticity. "We don't necessarily have the processes or policies in place that allow us to grade the CAs who are in that bottom 10 percent that we maybe want to chop off, so that's a challenge," said Scott Rea, a senior software architect at DigiCert, a certificate authority. But he disagreed with panelists who said the situation is a race to the bottom where the Internet is at risk of massive attacks by imposters.

Answers to the dilemma do exist, such as new secure domain name systems and digital identity standards, according to some experts on the panel.

Only in the last couple of years did the issue of false certificates become pressing -- and that was because research into the area increased, as did the number of technological protections, said Andy Steingruebl, a security manager for the online payment service PayPal.

Ari Schwartz, senior Internet policy adviser at the National Institute of Standards and Technology, disclosed the Homeland Security Department recently simulated certificate authority attack scenarios to test defense strategies.

"There has been a lot of talk about these kinds of attacks as real life examples of what could go terribly wrong if not taken care of and if we don't have solutions for [them]," said Schwartz, who recently joined the Obama administration after serving as an executive at the nonprofit Center for Democracy and Technology, a privacy group.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com