Bruce Schneier: "Hacking Team là một công ty nguy hiểm"

Bruce Schneier: "Hacking Team is a Dangerous Company"

Cao thủ về an toàn người Mỹ sợ rằng sự phát tán của phần mềm có thể được các nhóm tội phạm sử dụng

The American security guru fears that the diffusion of the software could be used by criminal groups

By Stefania Maurizi, L'Espresso, July 29, 2015

Theo: https://www.schneier.com/news/archives/2015/07/bruce_schneier_hacki.html

Bài được đưa lên Internet ngày: 29/07/2015

Cuộc phỏng vấn cũng xuất hiện bằng tiếng Ý.

This interview also appeared in Italian.

Xem thêm: Bruce Schneier nói về an toàn và Các chuỗi bài về mất an toàn mạng đáng lưu ý;

Ông đã viết trên blog của ông: “Tôi không nghĩ công ty đó sẽ sống sót”. Tuy nhiên, ít nhất ở Ý và ở Mỹ Hacking Team có các nhà tài trợ mạnh... Liệu họ có sống sót?

“Vẫn còn phải xem. Chúng tôi biết từ các tài liệu bị rò rỉ rằng họ đã bán các sản phẩm của họ cho hầu hết các chính phủ áp chế trên thế giới... và lấy tiền quá đáng của họ bất kỳ khi nào có thể. Chúng tôi biết rằng họ bí mật đặt phần mềm độc hại và các khả năng kiểm soát từ ở xa vào phần mềm họ đã bán, cho phép họ truy cập cửa hậu mà chính phủ họ đã bán cho không biết. Chúng tôi biết rằng họ cố gắng bảo vệ các hoạt động của họ từ Liên hiệp quốc và bất kỳ cách gì họ có thể. Chúng tôi biết, vì cách mà họ đã thâm nhập hoàn toàn và nghiêm trọng thế nào, rằng an toàn mạng của riêng họ từng khá tồi. Họ đã nói rồi cho tất cả các khách hàng của họ dừng sử dụng phần mềm của họ vì nó không còn an toàn cho họ để làm thế nữa. Hacking Team có lẽ có đủ tiền trong các tài khoản ngân hàng để tồn tại trong một thời gian, nhưng bạn có nghĩ bất kỳ ai sẽ kinh doanh với họ bất kỳ khi nào một lần nữa?”

Ông có nghĩ rằng bây giờ trojan của Hacking Team là lỏng lẻo và các tội phạm có thể sử dụng nó hay không?

“Chắc chắn là có khả năng rằng những người khác sẽ học các kỹ thuật của họ bây giờ khi mã của chúng là công khai, nhưng tôi đã không thấy bất kỳ điều gì đặc biệt tiên tiến về các sản phẩm của họ. Nó chỉ được đóng gói đẹp để chính phủ của Thế giới thứ 3 sử dụng”.

Ông có thể sử dụng như thế nào các công nghệ giống như trojan của Hacking Team để nhằm vào các tội phạm đáng sợ trong khi cùng lúc chắc chắn rằng các công nghệ đó không kết thúc trong tay của các chế độ khủng khiếp, như nó đã xảy ra với các khách hàng của Hacking Team như Sudan hoặc Ethiopia?

“Bạn không thể. Đây là đặc tính cơ bản của Internet toàn cầu. Chỉ có 1 câu trả lời cho tất cả mọi người. Hoặc chúng ta có một thế giới nơi mà ai cũng có thể gián điệp, bao gồm cả NSA và cảnh sát Ý và chính phủ Sudane; hoặc chúng ta có thể có một thế giới nơi mà không ai có thể gián điệp. Điều này không chỉ cho Hacking Team. Công ty đó từng là một cánh tay sản xuất vũ khí không gian mạng cho các chính phủ và các tổ chức mà họ không thể xây dựng được các công cụ của riêng họ. Điều này cũng là Mỹ, Anh, Nga, Trung Quốc, và các nước khác đủ tinh vi để xây dựng các công cụ đột nhập và giám sát tùy chỉnh của riêng họ”.

Liệu có là đúng rằng các trojan giống như trojan RCS của Hacking Team cho phép cấy các dữ liệu sai vào các thiết bị đích hay không? Nếu vậy, điều này là rất có vấn đề đối với các cơ quan ép tuân thủ luật đang cố gắng giành được các bằng chứng chống lại các tội phạm...

“Vâng. Khi ai đó chiếm quyền kiểm soát đối với máy tính của bạn, họ có thể làm nhiều hơn là sao chép dữ liệu: họ cũng có thể thêm hoặc xóa nó. Điều này ngụ ý họ có thể cấy bằng chứng giả vào các máy tính đích. Điều này làm cho nó thành một vấn đề cho các cơ quan ép tuân thủ luật địa phương, và một giải pháp cho những người trái luân thường đạo lý”.

Ông phán xét như thế nào quyết định của WikiLeaks xuất bản toàn bộ cơ sở dữ liệu các dữ liệu của Hacking Team?

“Về cá nhân, tôi rất hạnh phúc thấy một công ty nguy hiểm và hèn hạ ti tiện như Hacking Team bị phơi ra như thế này. Đạo đức của việc xuất bản các chi tiết nội bộ của một công ty là phức tạp, và nói chung tôi thích tính riêng tư hơn. Nhưng trong trường hợp này thì tin tặc mà đã phát hành dữ liệu từng là một người thổi còi, và Hacking Team là một công ty cần phải thổi còi lên nó”.

You wrote in your blog: "I don't think the company is going to survive". However, at least in Italy and in the US Hacking Team has powerful sponsors...Will they survive?

«It remains to be seen. We know from the leaked documents that they have sold their products to the most repressive governments in the world...and overcharged them whenever possible. We know that they secretly put spyware and remote-control capabilities into the software they sold, allowing them back-door access without the knowledge of the governments they sold to. We know that they try to shield their activities from the UN in any way they can. We know, because of how completely and severely they were penetrated, that their own network security was pretty bad. They've already told all of their customers to stop using their software because it is no longer safe for them to do so. Hacking Team might have enough money in their bank accounts to stay around for a while, but do you think anyone will do business with them ever again?».

Do you think that now that the Hacking Team trojan is on the loose criminals could use it?

«Certainly it's possible that others will learn their techniques now that their code is public, but I didn't see anything particularly advanced about their products. It was just packaged nicely for Third-World government use».

How can you use technologies like the Hacking Team trojan to target awful criminals while at the same time making sure that these technologies do not end up into the hands of terrible regimes, as it happened with Hacking Team clients like Sudan or Ethiopia?

«You cannot. This is a fundamental characteristic of the global Internet. There has to be one answer for everybody. Either we have a world where everyone can spy, including the NSA and the Italian police and the Sudanese government; or we can have a world where no one can spy. This isn't just Hacking Team. The company was a cyber-weapons arms manufacturer for governments and organizations who couldn't build their own tools. This is also the US, the UK, Russia, China, and other countries sophisticated enough to build their own custom surveillance and hacking tools».

Is it true that trojans like the RCS trojan of Hacking Team allow to plant false data into the target's devices? If so, this is very problematic for law enforcement agencies trying to gain evidences against criminals...

«Yes. When someone takes over your computer, they can do more than copy data: they can add or delete it as well. This means they could plant false evidence on targets' computers. This makes it a problem for ethical law-enforcement agencies, and a solution for unethical ones».

How do you judge the WikiLeaks' decision of publishing the full database of Hacking Team data?

«Personally, I am very happy to see a dangerous and despicable company like Hacking Team exposed like this. The ethics of publishing the internal details of a company are complicated, and in general I prefer privacy. But in this case the hacker who released the data was a whistleblower, and Hacking Team is a company that needed the whistle blown on it».

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com