Các công ty công nghệ đang đưa ra trò chơi của họ (và quần dài) sau thời Snowden - II

Tech companies are raising their game (and pants) post-Snowden

Liệu mọi điều có hỏng chết người rồi không? Chưa tới nỗi, các thánh thần về an ninh nói.

Is everything fatally borked? Not quite, say security godheads

By Iain Thomson, 12 Jun 2014

Theo: http://www.theregister.co.uk/2014/06/12/safe_in_our_hands_security_industry_takes_a_hit_from_snowdens_year/?page=2

Bài được đưa lên Internet ngày: 12/06/2014

Lời người dịch: Từ thực tế những gì đã xảy ra trong vụ tiết lộ của Edward Snowden về các giám sát ồ ạt của NSA, chuyên gia nổi tiếng về mật mã và tính riêng tư Bruce Schneier nói: “Vấn đề không phải là những gì chúng ta biết NSA đang làm những điều đó. Vấn đề thực sự là chúng ta không biết những gì khác hơn việc NSA đang làm. Các công ty Internet - phần cứng, phần mềm, dịch vụ - đơn giản không thể tin cậy được bao giờ nữa”. Tuy nhiên, cả ông vẫn tin qui trình làm mã hóa là OK: “Qui trình xem xét hiệu đính mã hóa đang làm việc tốt. AES và SHA-3 đều là những ví dụ ưu tú của một qui trình công khai chọn một tiêu chuẩn mã hóa mới. Tôi tin cả 2 chúng, và sẽ tiếp tục tin chúng”, còn Snowden thì tin là mã hóa tốt có tác dụng tốt: “Snowden đã đưa ra nhiều cuộc phỏng vấn kể từ lâu, nhưng một trong những thông điệp ông đã nhất quán đặt ra là mã hóa tốt vẫn còn là an toàn chống lại những con mắt soi mói của NSA. Vâng thậm chí đó không phải là giải pháp hoàn hảo”. Mục tiêu ở đây là làm sao biến hệ thống CNTT của bạn thành một hệ thống giá càng đắt càng tốt nếu ai đó muốn phá vỡ nó: “Mục tiêu là nâng cao chi phí sao cho sự giám sát ồ ạt trở nên không thể. Nếu NSA thực sự quan tâm về bạn thì họ sẽ tiến hành, đột nhập vào ngôi nhà của bạn và cài đặt phần mềm độc hại vào máy tính xách tay của bạn”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Google sẽ không thay đổi mô hình kinh doanh của nó và cả NSA cũng vậy

“Vấn đề không phải là những gì chúng ta biết NSA đang làm những điều đó”, chuyên gia về tính riêng tư Bruce Schneier bổ sung thêm. “Vấn đề thực sự là chúng ta không biết những gì khác hơn việc NSA đang làm. Các công ty Internet - phần cứng, phần mềm, dịch vụ - đơn giản không thể tin cậy được bao giờ nữa”.

Một tháng sau và nhiều rò rỉ hơn nữa được tiết lộ từ Dự án MUSCULAR, nơi mà NSA đã nâng các dữ liệu mà nó từng thu thập được thông qua chương trình PRISM với thông tin có được từ việc nghe lén giữa đường các kết nối lẫn nhau giữa các trung tâm dữ liệu do các hàng Yahoo!, Google, Microsoft và các hãng khác điều hành – tin tức đã kích động một luồng báng bổ từ các kỹ sư của Chocolate Factory.

Chris Soghoian, nhà công nghệ chính ở American Civil Liberties Union (Liên đoàn Tự do Dân sự Mỹ) và một nhà nghiên cứu và hoạt động xã hội nổi tiếng về tính riêng tư, đã nói cho tờ The Register rằng các hành động ba que xỏ lá của các quản trị hệ thống đã chứng minh là chất xúc tác cho sự thay đổi.

“Những rò rỉ đã gây ra nhiều sự tức giận ở các công ty đó, và đặc biệt với các đội an ninh ở các công ty đó. Các đội an ninh đó đã có danh sách những điều mà họ đã muốn làm nhiều năm nhưng các ngân sách là hạn chế và vì thế họ tập trung vào các tài nguyên vào các mối đe dọa lớn nhất”, ông đã nói cho chúng tôi.

“Bây giờ, sự hiểu biết của tôi là trong làn sóng những tiết lộ của Snowden, các đội an ninh đó đã đưa ra nhiều kiểm tra trống rỗng và có thể bỏ ra bất kỳ thứ gì họ muốn bỏ ra để bảo vệ sự liên kết giữa người sử dụng và công ty”.

Tuy nhiên, Soghoian đã chỉ ra rằng điều này chỉ là một nửa của giải pháp. Google và các hãng khác cho “tự do” các hệ thống thư điện tử bằng việc kéo lưới qua các dữ liệu mà những người tiêu dùng trao cho họ và bán quảng cáo dựa vào quanh thứ đó. Mô hình kinh doanh đó sẽ không thay đổi sớm bất kỳ lúc nào, ông đã cảnh báo, mà miễn là nó còn tồn tại như vậy thì “NSA sẽ còn cố phá vỡ nó”.

Snowden đã đưa ra nhiều cuộc phỏng vấn kể từ lâu, nhưng một trong những thông điệp ông đã nhất quán đặt ra là mã hóa tốt vẫn còn là an toàn chống lại những con mắt soi mói của NSA. Vâng thậm chí đó không phải là giải pháp hoàn hảo.

Vào tháng 12/2013, một báo cáo từ Reuters đã nêu rằng NSA đã cố tình làm suy yếu bộ sinh số ngẫu nhiên Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG) từng được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ ký, và được cho là đã trả tiền hợp đồng cho hãng an ninh RSA 10 triệu USD để bổ sung hệ thống đó vào các sản phẩm an ninh của mình.

RSA đã nhất quán từ chối rằng hãng đã nhận bất kỳ số tiền nào để đưa vào một giao thức an ninh yếu kém, nhưng điều đó đã không dừng được việc các thành viên chủ chốt của cộng đồng an ninh khỏi việc tẩy chay hội nghị thường niên về an ninh của hãng này trong năm nay và thiết lập một hội nghị TrustyCon theo cùng.

Điều đó còn dẫn tới một số người công bố rằng các tiêu chuẩn mã hóa phổ biến có khả năng bị phá vỡ rồi và rằng các hệ thống rà soát ngang hàng được sử dụng để kiểm tra công nghệ bị đổ vỡ, nhưng trong thực tế ngược lại là đúng, Bruce Schneier nói.

“Qui trình xem xét hiệu đính mã hóa đang làm việc tốt. AES và SHA-3 đều là những ví dụ ưu tú của một qui trình công khai chọn một tiêu chuẩn mã hóa mới. Tôi tin cả 2 chúng, và sẽ tiếp tục tin chúng”, ông nói.

Vẫn có nhiều phần mềm an ninh ngoài đó mà sẽ khóa được các giao tiếp truyền thông máy tính. Trong khi những rò rỉ của Snowden đã làm nhiều thiệt hại cho nền công nghiệp an ninh máy tính, thì sự thiệt hại đó không là sống còn theo bất kỳ cách gì và có thể thực sự là hữu dụng trong việc khuyến khích mọi người trong nền công nghiệp đó tự làm cho tốt những thực tiễn của họ và cung cấp tính riêng tư nào mà họ có thể.

“Có nhiều người trong nền công nghiệp an ninh đang nắm lấy cách nhìn tươi mới trong công nghệ an ninh mà chúng ta sử dụng và yêu cầu 'có thể chúng ta làm cho điều này tốt hơn chăng?'”, Soghoian nói.

“Trong hầu hết các trường hợp câu trả lời là 'có'. Mục tiêu ở đây không phải là loại bỏ NSA, vì thực sự họ sẽ tìm cách thâm nhập vào nếu họ thực sự quan tâm về bạn. Mục tiêu là nâng cao chi phí sao cho sự giám sát ồ ạt trở nên không thể. Nếu NSA thực sự quan tâm về bạn thì họ sẽ tiến hành, đột nhập vào ngôi nhà của bạn và cài đặt phần mềm độc hại vào máy tính xách tay của bạn”.

Đi với tiêu chuẩn công nghiệp đó, dù, và bạn sẽ là con vịt ngồi. “Mật mã mặc định được mọi người sử dụng sẽ không phải là sự giám sát ồ ạt mù quáng”, Soghoian nói.

Google won't change its business model and neither will the NSA

"The problem isn't that we know the NSA is doing these things,” added privacy expert Bruce Schneier. “The real problem is that we don't know what else the NSA is doing. Internet companies - hardware, software, service - simply cannot be trusted anymore."

A month later and more leaks exposed Project MUSCULAR, whereby the NSA augmented the data it was already collecting via the PRISM program with information obtained by tapping the interconnects between data centers run by Yahoo!, Google, Microsoft, and others – news which provoked a stream of profanities from the Chocolate Factory's engineers.

Chris Soghoian, principal technologist at the American Civil Liberties Union and a noted privacy researcher and activist, told The Register that the rogue sysadmin's actions had proved a catalyst for change.

"The leaks caused a lot of anger in these companies, and in particular with the security teams in these companies. These security teams have had a list of things they've wanted to do for years but budgets are limited and so they focus resources on the biggest threats," he told us.

"Now, it's my understanding that in the wake of the Snowden disclosures, that security teams have been given pretty much a blank check and can spend whatever they want to spend to protect the link between the user and the company."

However, Soghoian pointed out that this is only half of the solution. Google and others pay for "free" email systems by trawling through the data consumers give them and selling advertising based around that. That business model isn’t going to change any time soon, he warned, but as long as it's in place “the NSA will try to subvert it".

Snowden hasn’t given many interviews since going on the run, but one of the messages he has consistently put out is that good encryption is still safe from the prying eyes of the NSA. Yet even that isn’t a perfect solution.

In December 2013, a report from Reuters claimed that the NSA had deliberately weakened the Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG) that had been signed off by the National Institute of Standards and Technology, and had allegedly paid securo-firm RSA a $10m contract to add the system into its security products.

RSA has consistently denied that it accepted any money to include a weakened security protocol, but that didn’t stop some key members of the security community from boycotting the security company's annual show this year and setting up a rival TrustyCon get-together.

The row has led some to declare that common encryption standards are likely to be subverted and that the peer-review systems used to check out technology are broken, but in fact the reverse is true, Bruce Schneier says.

"The encryption vetting process is working fine. AES and SHA-3 are both stellar examples of a public process to choose a new encryption standard. I trust them both, and will continue to trust them," he said.

There is still a lot of secure software out there that will lock down computer communications. While Snowden's leaks have done a lot of damage to the computer security industry, that damage isn’t fatal by any means and may actually have been helpful in encouraging people in the industry to smarten up their practices and provide what privacy they can.

"There are a lot of people in the security industry who are taking a fresh look at the security technology we use and asking 'can we make this better?'," Soghoian said.

"In most cases the answer is 'yes'. The goal here isn’t to keep the NSA out, because realistically they will find a way in if they really care about you. The goal is to raise the cost so that bulk surveillance becomes impossible. If the NSA really cares about you they will show up, break into your house and install malware on your laptop.”

Go with the industry standard, though, and you're a sitting duck. “The default crypto used by everyone will not blind bulk surveillance," Soghoian said. ®

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com