TPP đe dọa an ninh và an toàn bằng việc khóa lại chính sách của nước Mỹ về kiểm toán mã nguồn

Thứ năm - 10/12/2015 05:20

TPP Threatens Security and Safety by Locking Down U.S. Policy on Source Code Audit

December 3, 2015 | By Jeremy Malcolm

Theo: https://www.eff.org/deeplinks/2015/12/tpp-threatens-security-and-safety-locking-down-us-policy-source-code-audit

Bài được đưa lên Internet ngày: 03/12/2015

 

Xem thêm: TPP, ACTA, bằng sáng chế phần mềm và hơn thế nữa;

 

Nhiều báo cáo gần đây về các chỗ bị tổn thương an toàn nghiêm trọng trong các modem cáp và các bộ định tuyến router vẽ nên một bức tranh kinh khủng về tình trfạng an ninh của các thiết bị mà hàng triệu người sử dụng phụ thuộc vào để kết nối tới Internet. Những chỗ bị tổn thương như vậy có thể bị khai thác để vô hiệu hóa sự truy cập của chúng ta, rình mò vào các thông tin cá nhân của chúng ta, hoặc khởi xướng các cuộc tấn công độc hại vào các bên thứ 3. Các thiết bị khác mà là quan trọng ngang bằng đối với an toàn của chúng ta, hoặc thậm chí cho sức khỏe và an toàn vật lý của chúng ta - như hệ thống báo động ở nhà và, đáng sợ hơn, máy chủ cardio server được sử dụng trong các bệnh viện - cũng từng là đối tượng của sự phát lộ chỗ bị tổn thương gần đây.

 

Một công cụ mà các nhà nghiên cứu an toàn có thể sử dụng để nhanh chóng hơn phát hiện và loại trừ các chỗ bị tổn thương như vậy là có sự truy cập tới mã nguồn của phần mềm được nhúng trong các thiết bị đó. Tất nhiên, điều đó thường có thể được thực hiện nếu mã nguồn được làm cho sẵn sàng đối với chúng từ nhà cung cấp. Nhiều nhà sản xuất các bộ định tuyến router ít nhất cũng làm cho một vài mã nguồn các thiết bị của họ là sẵn sàng, và thường họ làm thế vì họ bị ép buộc phải làm điều này một cách hợp pháp theo giấy phép GNU General Public License, nó áp dụng cho một vài phần mềm cốt lõi theo đó các thiết bị như vậy thường dựa vào.

 

Nhưng điều đó không phải là cách duy nhất mà các nhà sản xuất các thiết bị sống còn có thể bị ép phải phát hành mã của họ để rà soát lại ngang hàng công khai. Cũng có lựa chọn rằng luật hoặc quy định có thể được làm yêu cầu mở mã như vậy, có lẽ như một điều kiện của việc cấp phép của các sản phẩm theo luật được áp dụng. Trên thực tế, vào tháng 10, 260 chuyên gia an ninh không gian mạng đã kêu gọi Ủy ban Truyền thông Liên bang (Federal Communications Commission) bắt buộc đúng một yêu cầu như vậy.

 

TPP cấm kiểm toán mã

 

Điều mang chúng tôi tới hiệp định Đối tác Xuyên Thái bình dương - TPP (Trans-Pacific Partnership) - nó có thể cấm sự bắt buộc kiểm toán mã hoặc nguồn mở như vậy sẽ được giới thiệu trong tương lai. Điều 14.17 văn bản của chương Thương mại Điện tử nêu, “Không Bên nào sẽ yêu cầu chuyển giao, hoặc truy cập tới, mã nguồn phần mềm được một người hoặc Bên khác sở hữu, như một điều kiện để nhập khẩu, phân phối, bán hoặc sử dụng phần mềm như vậy, hoặc các sản phẩm có chứa các phần mềm như vậy, trong lãnh thổ của mình”.

 

Như được chỉ ra ở trên, điều này không chỉ là một vấn đề gói gọn trọng các bộ định tuyến router và các modem. Nó cũng có thể áp dụng cho các thiết bị y tế, các bộ cảnh báo khói, các bộ trộn đồ uống, các xe cộ có động cơ như các ô tô và máy kéo, các đồ có thể mặc được, còn không nhắc tới vô số các ứng dụng phần mềm thuần túy chạy trong các điện thoại thông minh và các máy tính cá nhân PC. Chỉ những thiết bị và phần mềm được sử dụng trong các ứng dụng được đặt làm (không cho thị trường đại chúng) hoặc trong các hạ tầng sống còn có thể bị/được loại trừ theo các điều khoản của TPP, dù phạm vi chính xác của những ngoại lệ đó vẫn còn chưa rõ.

 

Điều khoản đó có thể làm nhiều hơn so với chỉ đặt ra ngoài vòng pháp luật sự bắt buộc mã nguồn mở. Nó cũng có thể cấm bất kỳ yêu cầu nào mà mã được đệ trình cho sự rà soát riêng tư bởi các nhà chức trách điều chỉnh pháp luật. Dù chúng tôi yêu các phần mềm tự do nguồn mở, thì điều đó không phải là cho bất kỳ ai. Vì thế một lựa chọn yêu cầu các nhà cung cấp các phần mềm sở hữu độc quyền phải phát hành mã của họ cho công chúng nói chung để có thể kiểm toán được phần mềm bởi nhà chức trách cấp phép có trách nhiệm, cơ quan giám sát y tế và an toàn, hoặc cơ quan bảo vệ người tiêu dùng. Khả năng này cũng bị ngôn ngữ khắt khe của TPP tịch thu rồi.

 

Và điều tồi tệ vẫn còn tiếp tục. Không chỉ TPP tịch thu các quy định có thể yêu cầu mã phải được mở nguồn hoặc kiểm toán, nó cũng có thể làm cho không thể đối với các nhà chức trách về cạnh tranh mở ra thị trường cho việc sửa chữa các sản phẩm với phần mềm nhúng. Nếu nhà sản xuất ô tô không thể được/bị yêu cầu trao cho những người khác sự truy cập tới mã nguồn phần mềm mà chạy trong các hệ thống máy tính nhúng của nó, thì điều này cản trở nghiệm trọng toàn bộ thị trường đối với các thợ cơ khí sửa chữa độc lập, những người có thể cạnh tranh với những người sửa chữa được ủy quyền của nó để làm việc về mã nguồn đó, cũng như các thị trường cho các doanh nhân sử dụng sự hiểu biết mã đó của họ để tạo ra các thiết bị mới tương hợp được với các phương tiện, như các công cụ chuẩn đoán và các ứng dụng của điện thoại thông minh. Điều này mang theo các ảnh hưởng cạnh tranh đáng kể mà các nhà thương thảo TPP, cho tới nay như chúng tôi biết, thậm chí đã không xem xét tới trong quá trình các cuộc đàm phán sau các cánh cửa đóng trong các khách sạn sang trọng trên khắp thế giới.

 

USTR đã nghĩ gì?

Vì sao nước Mỹ lại có thể muốn trói tay của chính mình theo cách này? Trên khuôn mặt của nó, trong môi trường nơi mà Internet của Vạn vật - IoT (Internet of Things) đang bùng nổ và chất lượng phần mềm là tin tức hàng đầu, thì hạn chế này đối với năng lực điều chỉnh pháp lý trong tương lai dường như hoàn toàn không có ý nghĩa.

 

Câu trả lời được thấy trong xuất bản năm nay Báo cáo Đặc biệt 301 của USTR, theo đó USTR gọi ra Trung Quốc vì các biện pháp yêu cầu mở mã nguồn cho chính phủ Trung Quốc (dù lời phàn nàn kỳ cục này chỉ thu được trong thông cáo báo chí đi kèm, và không có trong bản thân báo cáo PDF).

 

Dù được USTR mô tả như là “mới”, thì các yêu cầu đó thực sự có từ năm 2007 và là một phần của các quy định khung của Trung Quốc đối với an toàn thông tin trong hạ tầng sống còn, được biết tới như là Sơ đồ Bảo vệ Đa Mức - MLPS (Multi-Level Protection Scheme). Các quy định MLPS hạn chế các sản phẩm khỏi việc được bán để sử dụng trong các hệ thống thông tin của Trung Quốc trên một mức an toàn nhất định, trừ phi mã nguồn của chúng được mở ra cho chính phủ. Dù biện pháp này được thể hiện như là sự bảo vệ chống lại các lỗi an toàn và các cửa hậu cố ý đang được chèn vào trong các phần mềm sống còn, thì nó cũng được các công ty Mỹ thấy như là sự vi phạm về khả năng của họ để giữ mã của họ là sở hữu độc quyền.

 

Giả thiết rằng quy định này của Trung Quốc là, trên thực tế, vấn đề pháp lý đối với các công ty Mỹ, liệu TPP thực sự có đề cập tới vấn đề rất hẹp này không? Hoàn toàn không. Trước hết và rõ ràng nhất, Trung Quốc không phải là một bên của TPP, là có khả năng không trở thành một bên như vậy bất kỳ khi nào sớm. Nhưng thậm chí nếu có điều đó, thì các quy định MLPS chỉ áp dụng cho các phần mềm được sử dụng trong hạ tầng sống còn - điều rõ ràng bị loại trừ từ điều khoản của TPP. Vì thế nếu có bất kỳ điều gì, thì điều khoản đó thậm chí có rất ít ý nghĩa hơn nó dường như tạo ra khi thoạt nhìn qua.

 

Bất kể điều gì bạn có thể nghĩ về sự thông thái của các luật hoặc các quy định yêu cầu mở ra sự kiểm toán mã nguồn trong các trường hợp đặc biệt, chúng ta tất cả nên có khả năng đồng ý rằng đây là một vấn đề, và một vấn đề mà, như tờ Washington Post chỉ ra, sẽ không được giải quyết thông qua một hiệp định thương mại được đàm phán đằng sau các cánh cửa đóng. Vì điều khoản gây tranh cãi này thực sự được USTR chào như một lợi ích cho nền công nghiệp kỹ nghệ từ hiệp định, nó chỉ ra một lần nữa hộ đã tạo ra một mớ lộn xộn đối với hiệp định này bằng việc giữ cho những người sử dụng và những người đổi mới thực sự bị khóa đối với căn phòng đàm phán.

 

~

 

Nếu bạn ở tại nước Mỹ, hãy thúc giục các nhà làm luật của bạn kêu gọi một cuộc điều trần về các nội dung của TPP mà sẽ ảnh hưởng tới các quyền số của bạn, và quan trọng hơn, hãy biểu quyết chống lại hiệp định này khi nó đi tới họ để phê chuẩn: Hãy nói cho Quốc hội Biểu quyết Không cho TPP.

 

Multiple recent reports on serious security vulnerabilities in cable modems and routers paint a dire picture of the state of security of the devices that millions of users depend upon to connect to the Internet. Such vulnerabilities can be exploited to disable our access, snoop on our personal information, or launch malicious attacks on third parties. Other devices that are equally important for our security, or even to our physical health and safety—such as home alarm systems and, terrifyingly, a cardio server used in hospitals—have also been the subject of recent vulnerability disclosures.

One tool that security researchers can use to more quickly uncover and eliminate such vulnerabilities is having access to the source code of the software embedded in these devices. Of course, that can usually only be done if the source code is made available to them by the supplier. Many router manufacturers do make at least some of their devices' source code available, and often they do so because they are legally compelled to do this by the terms of the GNU General Public License, which applies to some of the core software upon which such devices are frequently based.

But that's not the only way that the manufacturers of critical devices could be compelled to release their code for public or peer review. There's also the option that a law or regulation could be made requiring the disclosure of such code, perhaps as a condition of the licensing of the products under applicable law. In fact, in October, 260 cybersecurity experts called upon the Federal Communications Commission to impose just such a requirement.

The TPP's Ban on Code Audit

Which brings us to the Trans-Pacific Partnership (TPP) agreement—which would prohibit such open source or code audit mandates being introduced in the future. Article 14.17 of the text of the Electronic Commerce chapter provides, “No Party shall require the transfer of, or access to, source code of software owned by a person of another Party, as a condition for the import, distribution, sale or use of such software, or of products containing such software, in its territory.”

As indicated above, this isn't just an issue confined to routers and modems. It could also apply to medical devices, smoke alarms, drink mixers, motor vehicles such as cars and tractors, wearables, and not to mention a myriad of pure software applications running on smartphones and PCs. Only devices and software used in bespoke applications (not for a mass market) or in critical infrastructure would be exempt under the terms of the TPP language, though the precise ambit of these exemptions remains unclear.

The provision would do more than merely outlaw open source code mandates. It would also prohibit any requirement that code be submitted for private review by regulatory authorities. Although we love free and open source software, it's not for everyone. So an alternative to requiring the vendors of proprietary software to release their code to the general public would be for them to have it audited by the responsible licensing authority, health and safety watchdog, or consumer protection agency. This possibility is also foreclosed by the TPP's strict language.

And the bad keeps on coming. Not only does the TPP foreclose rules that could require code to be open sourced or audited, it could also make it impossible for competition authorities to open up the market for the repair of products with embedded software. If the manufacturer of a car can't be required to give others access to the source code of the software that runs on its embedded computer systems, this seriously hinders an entire market for independent repair mechanics who could compete with its authorized repairers to work on that code, as well as markets for entrepreneurs to use their understanding of that code to make new devices that interoperate with vehicles, such as diagnostic tools and smartphone applications. This carries significant competition implications that the TPP negotiators, so far as we know, didn't even consider during their closed door negotiations in luxury hotels around the world.

What Was the USTR Thinking?

Why would the United States wish to tie its own hands in this way? On the face of it, in an environment where the Internet of Things is burgeoning and software quality is headline news, this restriction to our future regulatory capacity seems to make no sense at all.

The answer is found in this year's edition of the U.S. Trade Representative's (USTR) Special 301 Report, in which the USTR calls out China for measures requiring the disclosure of source code to the Chinese government (though oddly this complaint is only levied in the accompanying press release, and not in the PDF report itself).

Although described by the USTR as “new,” these requirements actually date from 2007 and are part of China's framework regulations for information security in critical infrastructure, known as the Multi-Level Protection Scheme (MLPS). The MLPS regulations limit products from being sold for use in Chinese information systems above a certain security level, unless their source code is disclosed to the government. Although this measure is presented as protection against security flaws and deliberate backdoors being inserted into critical software, it is also seen by U.S. companies as an impingement upon their ability to keep their code proprietary.

Assuming that this Chinese regulation is, in fact, a legitimate problem for U.S. companies, does the TPP actually address this very narrow problem? Not at all. First and most obviously, China is not a party to the TPP, and isn't likely to become one any time soon. But even if it were, the MLPS regulations only apply to software used in critical infrastructure—which is expressly exempted from the TPP provision anyway. So if anything, the provision makes even less sense than it seems to make at first glance.

No matter what you may think of the wisdom of laws or regulations requiring the disclosure of audit of source code in particular cases, we should all be able to agree that this is a complicated issue, and one that, as the Washington Post points out, shouldn't be resolved through a trade agreement negotiated behind closed doors. Since this controversial provision is actually touted by the USTR as a benefit to the tech industry from the deal, it goes to show once again what a mess they have made of this agreement by keeping actual users and innovators locked out of the negotiating room.

~

If you're in the United States, urge your lawmakers to call a hearing on the contents of the TPP that will impact your digital rights, and more importantly, to vote this deal down when it comes to them for ratification: Tell Congress to Vote No on the TPP

 

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Chương trình 'Huấn luyện huấn luyện viên nguồn mở' - Khóa 4 - Ngày 1

  Các bài trình bày trong chương trình 'Huấn luyện huấn luyện viên nguồn mở', khóa 4, ngày đầu tiên, do Trung tâm Nghiên cứu và Phát triển Quốc gia về Công nghệ Mở và trường Đại học Văn Lang, thành phố Hồ Chí Minh, đồng tổ chức đã diễn ra, gồm: Khóa học có sự tham gia của các giáo...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập35
  • Hôm nay1,563
  • Tháng hiện tại115,331
  • Tổng lượt truy cập5,833,199
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây