Blog FOSS by Lê Trung Nghĩa

https://letrungnghia.mangvn.org


Các tiết lộ về NSA: 'giữa mặt đất' mỗi người nên nói

P { margin-bottom: 0.21cm; }A:link { }

NSA revelations: the 'middle ground' everyone should be talking about

Các Hoạt động Truy cập Tùy biến (TAO) của NSA chỉ ra rằng có một cách để an toàn và có được tình báo tốt mà không cần sự giám sát ồ ạt

The NSA's Tailored Access Operations show there's a way to be safe and get good intelligence without mass surveillance

By Matt Blaze, theguardian.com, Monday 6 January 2014 17.17 GMT

Theo: http://www.theguardian.com/commentisfree/2014/jan/06/nsa-tailored-access-operations-privacy

Bài được đưa lên Internet ngày: 06/01/2014

Lời người dịch: Có 2 điều chính tác giả nêu từ sự tổng hợp những gì đã được tiết lộ hơn nửa năm qua. Một là: “Đầu tiên, chúng ta bây giờ có bằng chứng, dù không trực tiếp, rằng NSA có thể không có siêu sức mạnh mật mã mà một số được đặc trưng là chúng có thể. Đặc biệt, chúng đã phải nhờ tới sự phá hoại hoàn toàn một dải các tiêu chuẩn và hệ thống an ninh từng làm cho họ lo ngại. Điều này gợi ý rằng một hạ tầng lành mạnh hơn (và không phá hoại được) - được đảm bảo an ninh bằng mật mã phù hợp và không có các cửa hậu ẩn giấu hoặc cái gọi là các giao diện “can thiệp hợp pháp” - có thể làm cho sự giám sát ồ ạt thực sự khó khăn”; và hai là: việc thu thập tình báo vẫn làm được, vẫn có thể, nhưng không phải là sự giám sát ồ ạt ở một phạm vi toàn cầu. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Dường như đã không đủ đối với sự giám sát ồ ạt của NSA để lo lắng, tuần trước chúng ta đã có một điểm chóp trong kho các công cụ của cơ quan này để khai thác phần cứng và phần mềm các mục tiêu của nó. Chúng được mô tả tốt nhất như một catalog SpyMall có thật các gadgets phức tạp và các “cài cắm” phần mềm giấu giếm được giữ kín, từng công cụ hèn hạ hơn thứ mới nhát trong khả năng của nó để làm tổn thương và trích các dữ liệu riêng tư từ các máy tính và điện thoại trong đó chúng được cài đặt. Nếu bạn vẫn nghĩ từng có nơi nào trong thế giới điện tử để ẩn náu sau khi bạn bị họ theo dõi, thì điều này sẽ là đủ để không lạm dụng bạn về khái niệm đó một lần và tất cả.

Điều này nằm ở đỉnh 6 tháng tin tức về vô số các cách thức cho siêu dữ liệu của chúng ta và, trong một số trường hợp, nội dung của chúng ta, đang hàng ngày bị thu thập và phân tích, các dịch vụ đám mây và các nhà cung cấp truyền thông đang bị tổn thương, và các tiêu chuẩn an ninh tưởng chừng để bảo vệ chúng ta đang bị phá hoại. Phản ứng vừa phải dường như nằm đâu đó giữa sự hoang tưởng và sự tuyệt vọng.

Nên chúng ta có vài sự thuận tiện nhỏ nơi mà chúng ta có thể thấy chúng. Và, nghịch lý dường như nó có thể, ít nhất 2 trong số các tiết lộ đặc biệt nhất thực sự có thể đưa ra một tia hy vọng về tính riêng tư sẽ đi tiếp về phía trước.

Đầu tiên, chúng ta bây giờ có bằng chứng, dù không trực tiếp, rằng NSA có thể không có siêu sức mạnh mật mã mà một số được đặc trưng là chúng có thể. Đặc biệt, chúng đã phải nhờ tới sự phá hoại hoàn toàn một dải các tiêu chuẩn và hệ thống an ninh từng làm cho họ lo ngại. Điều này gợi ý rằng một hạ tầng lành mạnh hơn (và không phá hoại được) - được đảm bảo an ninh bằng mật mã phù hợp và không có các cửa hậu ẩn giấu hoặc cái gọi là các giao diện “can thiệp hợp pháp” - có thể làm cho sự giám sát ồ ạt thực sự khó khăn. (Và không chỉ khó khăn hơn cho NSA. Khó khăn hơn cho những người khác, có lẽ ít nhân từ hơn, cả đối với các cơ quan dịch vụ tình báo quốc gia). Vì thế có lẽ chúng ta có một cơ hội sau tất cả, ít nhất nếu chúng ta không bị ngắm đích như là cá nhân.

Điều mang chúng ta tới việc khuyến khích thứ 2 một chút tin tức, là nếu bạn đang bị ngắm đích một cách cá nhân, thì bạn thực sự không có một cơ hội nào. Các công cụ của NSA quả thực là rất sắc, thậm chí trong các mạng truyền thông hiện hành mà được tăng cường tốt chống lại việc nghe lén. Làm thế nào điều này có thể là tin tốt được đây? Sẽ là không nếu bạn là một các đích ngắm, chắc chắn như vậy. Nhưng nó có nghĩa là không có lý do tốt để trao trong các yêu cầu mà chúng ta đã làm suy yếu đi mật mã, đặt các cửa hậu trong các mạng truyền thông, hoặc nếu không thì làm cho hạ tầng mà chúng ta phụ thuộc vào trở nên “thân thiện với sự nghe lén” hơn. NSA sẽ vẫn có khả năng để làm công việc của mình, và mặt trời cần không lặn đi trong thu thập tình báo có mục đích.

Đừng có hiểu nhầm tôi, như một chuyên gia an ninh, TAO (Tailored Access Operations) của NSA gây sợ hãi cho ánh sáng ban ngày của tôi. Tôi không bao giờ muốn các khả năng đó được sử dụng để chống lại tôi hoặc bất kỳ người bình thường nào khác. Nhưng các công cụ đó, như chúng đe dọa và lạm dụng, thể hiện ít hơn nhiều về một mối đe dọa cho tính riêng tư và an ninh của chúng ta so với hầu hết bất kỳ thứ gì khác mà chúng ta đã biết gần đây về những gì NSA đã và đang làm.

TAO là bán lẻ hơn là bán buôn

Đó là, cũng như TAO làm việc (và nó dường như làm việc khác tốt quả thực vậy), chúng không thể triển khai điều đó chống lại tất cả chúng ta - hoặc thậm chí hầu hết chúng ta. Chúng phải được cài đặt lên từng thiết bị của riêng đích cá nhân, đôi khi từ xa nhưng đôi khi thông qua “sự ngăn chặn chuỗi cung ứng” hoặc “các công việc hộp đen”. Theo bản chất tự nhiên của chúng, các khai thác bị ngắm đích phải được sử dụng có lựa chọn. Tất nhiên, “có lựa chọn” ở phạm vi của NSA có lẽ là quá lớn, nhưng nó vẫn là một phần nhỏ của những gì họ thu thập thông qua thu thập ồ ạt.

Đã hơn 1 thập kỷ qua, NSA đã và đang chết chìm trong biển các dữ liệu không phù hợp được thu thập hầu như hoàn toàn về những người vô tội mà họ có thể không bao giờ được lựa chọn như các cái đích ngắm hoặc tạo thành một phần của bất kỳ phân tích hữu dụng nào. Giả thiết mờ đó từng là việc gián điệp bất kỳ ai là cái giá mà chúng ta trả để có khả năng gián điệp các kẻ xấu thực sự. Nhưng thành công của TAO thể hiện một lựa chọn thay thế có khả năng sống được. Và nếu NSA có bất kỳ vai trò hợp pháp nào trong việc thu thập tình báo, thì các hoạt động có chủ đích như TAO có ưu thế đáng kể mà chúng để lại cho phần còn lại của chúng ta - và các hệ thống mà chúng ta dựa vào - một mình.

Điều không được nói là TAO là một viên đạn bạc chống lại sự lạm dụng

Trước hết, tất nhiên, gián điệp, nói, những người phản đối là nhiều như một sự cám dỗ đối với TAO khi nó là với các chương trình thu thập theo đống của NSA. Không có giải pháp công nghệ nào cho điều này; nó đòi hỏi sự kiểm soát có ý nghĩa, ở dạng còn thiếu đối với các nhà làm chính sách của Mỹ. Và trong khi chúng ta ở đó, chúng ta nên hỏi liệu NSA có thực sự cần tới 85.000 “cài cắm” mà nó được cho là có rồi hay không.

Một vấn đề tinh tế hơn là hệ sinh thái an ninh phần mềm. Khi NSA khai thác các lỗi, nó bước vào một xung đột cơ bản giữa nhiệm vụ của hó phải thu thập tình báo và nhiệm vụ của nó phải bảo vệ các công dân khỏi các thực thể thù địch đang tìm cách chiếm ưu thế đối với các vấn đề rất y hệt. Thậm chí dù các lỗi phần mềm tồn tại liệu NSA có khai thác chúng hay không, cơ quan đó cuối cùng nên ở trong nghiệp vụ báo cáo và trợ giúp sửa bất kỳ chỗ bị tổn thương nào nó tìm thấy. Đây là một điểm được nhấn mạnh bằng báo cáo của nhóm rà soát lại NSA gần đây. Có khả năng đối với báo cáo dàn xếp và khai thác, nhưng một lần nữa, nó đòi hỏi sự kiểm tra có ý nghĩa và các qui tắc rõ ràng.

Cộng đồng tình báo không nghi ngờ gì xem các phương pháp thu thập có chủ đích như TAO như một phương pháp chọn lựa cuối cùng, sẽ chỉ được sử dụng khi sự giám sát ồ ạt thất bại. Chúng ta khẩn cấp cần làm ngược lại điều này. Vâng, chúng ta có thể kỳ vọng sự kháng cụ từ NSA và các đối tác “5 đôi mắt” của nó trong bất kỳ gợi ý nào mà họ đưa sự giám sát ồ ạt ngược trở về có lợi đối với các phương pháp có chủ đích. Nó có nghĩa là làm các điều khác đi, không nhắc rằng việc ngắm đích có trọng tâm một cách thận trọng có khả năng đắt giá hơn so với việc uống nước từ ống cứu hỏa theo đó họ đã quen làm.

Nhưng nếu TAO là một chút đắt giá hơn, thì nó cũng thể hiện rằng chúng ta có một sự lựa chọn thực tế ở đây. Chúng ta có thể vén màn an toàn cho sự thu thập ồ ạt, chống đỡ không cần thiết sự "nghe trộm điện thoại thân thiện" cơ sở hạ tầng và thường bảo vệ chính chúng ta chống lại giám sát ồ ạt, tất cả không có việc chấm dứt thu thập tình báo hợp pháp. Trong một xã hội tự do, điều này nên là một sự lựa chọn dễ dàng để làm.

As if there wasn't already enough NSA mass surveillance to worry about, last week we got a peek at the agency's arsenal of tools for exploiting the hardware and software of its targets. They're best described as a veritable SpyMall catalog of sophisticated concealed gadgets and surreptitious software "implants", each sneakier than the last in its ability to compromise and extract private data f-rom the computers and phones on which they're installed. If you still thought there was anywhe-re in the electronic world to hide after you're in their sights, this should be enough to disabuse you of that notion once and for all.

This lies atop six months of news of the myriad ways our metadata and, in some cases, our content, is being routinely collected and analyzed, cloud services and communications providers being compromised, and security standards that should be protecting us being sabotaged. The sane reaction seems to lie somewhe-re between paranoia and despair.

So we have to take small comforts whe-re we can find them. And, paradoxically as it may seem, at least two of the most egregious revelations might actually hold out a glimmer of hope for privacy going forward.

First, we now have evidence, albeit indirect, that the NSA might not have the cryptologic superpowers that some feared they might. In particular, they have had to resort to outright sabotage of a range of security standards and systems that give them trouble. This suggests that a more robust (and un-sabotaged) infrastructure – secured by proper cryptography and without hidden backdoors or so-called "lawful intercept" interfaces – can make mass surveillance genuinely difficult. (And not just more difficult for the NSA. More difficult for other, perhaps less benevolent, nations' intelligence services as well.) So perhaps we stand a chance after all, at least if we're not being individually targeted.

Which brings us to the second encouraging bit of news, which is that if you are being individually targeted, you really don't stand a chance. The NSA's tools are very sharp indeed, even in the presence of communications networks that are well hardened against eavesd-ropping. How can this be good news? It isn't if you're a target, to be sure. But it means that there is no good reason to give in to demands that we weaken cryptography, put backdoors in communications networks, or otherwise make the infrastructure we depend on be more "wiretap friendly". The NSA will still be able to do its job, and the sun need not set on targeted intelligence gathering.

Don't get me wrong, as a security specialist, the NSA's Tailored Access Operations (TAO) scare the daylights of me. I would never want these capabilities used against me or any other innocent person. But these tools, as frightening and abusable as they are, represent far less of a threat to our privacy and security than almost anything else we've learned recently about what the NSA has been doing.

TAO is retail rather than wholesale.

That is, as well as TAO works (and it appears to work quite well indeed), they can't deploy it against all of us – or even most of us. They must be installed on each individual target's own equipment, sometimes remotely but sometimes through "supply chain interdiction" or "black bag jobs". By their nature, targeted exploits must be used se-lectively. Of course, "se-lectively" at the scale of NSA might still be quite large, but it is still a tiny fraction of what they collect through mass collection.

For over a decade now, the NSA has been drowning in a sea of irrelevant data collected almost entirely about innocent people who would never be se-lected as targets or comprise part of any useful analysis. The implicit assumption has been that spying on everyone is the price we pay to be able to spy on the real bad guys. But the success of TAO demonstrates a viable al-ternative. And if the NSA has any legitimate role in intelligence gathering, targeted operations like TAO have the significant advantage that they leave the rest of us – and the systems we rely on – alone.

Which is not to say that TAO is a silver bullet against abuse.

First, of course, spying on, say, political opponents is as much a temptation with TAO as it is with the NSA's bulk collection programs. There's no technological solution to this; it requires meaningful oversight, of a kind that's been sorely lacking f-rom US policymakers. And while we're at it, we should ask whether NSA really needs the 85,000 "implants" it reportedly already has.

A more subtle issue is the ecosystem of software security. When NSA exploits flaws, it enters into a fundamental conflict between its mission to gather intelligence and its mission to protect citizens f-rom hostile entities seeking to take advantage the very same problems. Even though software flaws exist whether NSA exploits them or not, the agency should ultimately be in the business of reporting and helping to fix any vulnerabilities it finds. This is a point made strongly by the recent NSA review panel report. It's possible to reconcile reporting and exploiting, but again, it requires vigilant, meaningful oversight and clear rules.

The intelligence community no doubt regards targeted collection methods like TAO as a method of last resort, to be used only when mass surveillance fails. We urgently need to reverse this. Yes, we can expect resistance f-rom the NSA and its "five eyes" partners at any suggestion that they scale back mass collection in favor of targeted methods. It means doing things differently, not to mention that carefully focused targeting is likely more expensive than drinking f-rom the fire hose to which they've become accustomed.

But if TAO is a bit more expensive, it also demonstrates that we have a real choice here. We can safely curtail mass collection, shore up needlessly "wiretap friendly" infrastructure and generally protect ourselves against mass surveillance, all without shutting down legitimate intelligence gathering. In a free society, this should be an easy choice to make.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

 

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây