Có thể tin vào trang bị máy tính của Trung Quốc không?

Canyou trust Chinese computer equipment?

TrungQuốc không chỉ thâm nhập vào mạng của Google, mà còntrao cho mọi người các thiết bị công nghệ có bọ mộtcách cố ý. Chúng ta có thể tin vào bất kỳ công nghệnào tới từ Trung Quốc không?

Chinamay not only be breaking into Google's network, but giving peopledeliberately bugged technology gear. Can we trust any technology thatcomes f-rom China?

February 4, 2010, 12:19PM

Theo:http://www.itworld.com/security/95398/can-you-trust-chinese-computer-equipment

Bài được đưa lênInternet ngày: 04/02/2010

Lờingười dịch: Tác giả bài viết này cảnh báo rằng: Cácđồ quà tặng - các máy quay và các ổ cắm bộ nhớ(USB) - đã được thấy có chứa các bọ Trojan điện tửmà nó cung cấp cho Trung Quốc với sự truy cập từ xa tớicác máy tính của người sử dụng” và cho rằng “Nếutôi có trách nhiệm về bất kỳ doanh nghiệp nào nơi màtôi nghĩ tôi đã có bất kỳ lý do gì để nghĩ rằng cáccơ quan Trung Quốc này có thể quan tâm trong những gì tôiđã làm, thì tôi sẽ dừng việc mua các sản phẩm máytính Trung Quốc ngày hôm nay. Cho tới khi vấn đề vềgián điệp không gian mạng của Trung Quốc này được làmrõ và được làm sạch, tôi đơn giản không thể biệnhộ cho việc mua hoặc sử dụng các phần cứng mà có thểlàm việc chống lại tôi. Nếu bạn coi điều này mộtphút, tôi nghĩ bạn sẽ đồng ý”. Còn bạn thì nghĩ saovề việc này??? Liệu có đáng là một cảnh báo không???

Như bạn biết chắcchắn, Google đã lên án Trung Quốc về việc thâm nhậpvào các hệ thống của hãng và đang xem xét việc rútkhỏi Trung Quốc. Chính phủ Mỹ đang nắm điều này mộtcách nghiêm túc, và Google đã đối tác với Cơ quan Anninh Quốc gia (NSA) để đi tới cùng việc này. Những gìbạn có thể còn chưa biết là việc MI5 của Anh - Nhữngngười Mỹ có thể nghĩ về điều này như một sự kếthợp của FBI và CIA - đã báo cáo rằng Chính phủ TrungQuốc đã từng trao Anh các kỹ thuật điện tử vận hànhvới các lỗ hổng an ninh được xây dựng sẵn.

Theo tờ Thời báo Chủnhật (Sunday Times), “Một tài liệu rò rỉ của MI5 nóirằng phát hiện được các quan chức tình báo từ Quânđội Giải phóng Nhân dân và Bộ An Ninh Nhà nước cũngđã tiếp cận các doanh nhân Anh tại các cuộc hội chợvà triển lãm với lời chào về 'các món quà tặng' và'sự hiếu khách tiêu phí hoang tàng'. Cácđồ quà tặng - các máy quay và các ổ cắm bộ nhớ(USB) - đã được thấy có chứa các bọ Trojan điện tửmà nó cung cấp cho Trung Quốc với sự truy cập từ xa tớicác máy tính của người sử dụng”.

Điều đó là tồitệ. Nhưng vì sao, nếu những câu chuyện này là đúng,liệu chính phủ Trung Quốc có dừng nó không? Các côngdân Mỹ và Anh mua hàng triệu USD mỗi năm các đầu USB,các máy tính, các ổ cứng, và các máy quay được làm từTrung Quốc. Vì sao không chỉ bổ sung các lỗ hổng an ninhnhư một vấn đề gây ra cho các đồ dẻo (phần mềm gắnluôn vào với phần cứng và bán cả cục) của tất cảchúng?

Điều này không khó.Ê. điều này là tầm thường.

Các cửa hậu, các hệthống với một lỗ hổng an ninh cố ý mà nó cho phépngười tạo ra nó truy cập được toàn phần vào một hệthống, đã có từ nhiều năm nay. Quả thực, ngược lạivề năm 1983, Ken Thompson, một trong những người tạo raUnix, đã thừa nhận rằng ông đã đưa vào một cửa hậutrong các phiên bản Unix ban đầu. Cửa hậu của Thompsonđã trao cho ông sự truy cập tới mọi hệ thống Unix tồntại sau đó.

Asyou surely know, Googlehas accused China of hacking into its systems and is consideringpulling out of China altogether. The U.S. government is taking thisseriously, and Googlehas partnered with the NSA (National Security Agency) to get tothe bottom of this. What you may not know is that the UnitedKingdom's MI5 -- Americans can think of this as a combination of theFBI and CIA -- has reported that the Chinesegovernment has been giving UK executives electronics with built-insecurity holes.

Accordingto the Sunday Times, "A leaked MI5 document says that undercoverintelligence officers f-rom the People's Liberation Army and theMinistry of Public Security have also approached UK businessmen attrade fairs and exhibitions with the offer of 'gifts' and 'lavishhospitality.' The gifts -- cameras and memory sticks -- have beenfound to contain electronic Trojan bugs which provide the Chinesewith remote access to users' computers."

That'sbad. But why, if these stories are true, should the Chinesegovernment stop there? U.S. and British citizens buy billions ofdollars every year of Chinese-made USB memory sticks, computers, harddrives, and cameras. Why not just add security holes as a matter ofcourse to the firmware of all of them?

It'snot hard. Heck. It's trivial.

Backdoors,systems with a deliberate security hole that allows its creator fullaccess to a system, have been around for ages. Indeed, back in 1983,Ken Thompson, one the creators of Unix, admitted that he had includeda backdoor in early Unix versions. Thompson'sbackdoor gave him access to every Unix system then in existence.

Nếu chính phủ TrungQuốc thực sự là có khuynh hướng quái quỷ trong việcđể mắt tới các doanh nghiệp Mỹ và châu Âu, thì vìsao không chỉ kết hợp các cửa hậu của thế kỷ 21 vàocác sản phẩm của họ? Rồi thì, bạn có thể chỉ cónó tự động gọi về nhà để là một cú đánh về dữliệu của các tài liệu. Nếu có thứ gì đó thú vịtrong các tệp, thì nó có thể được thiết lập đểgiám sát người sử dụng của nó một cách thườngxuyên.

Không có gì khó vềviệc làm này. Không chỉ các cửa hậu dễ dàng tạo ra,chạy một kiểm tra tự động cho các từ quan tâm, ngay cảtrong hàng terabyte tài liệu, chỉ cần vài máy chủ. Sautất cả, Google làm nó mỗi ngày với dữ liệu nhiều hơnnhiều so với một mưu đồ có thể phát hiện từ trướctới nay.

Tốt hơn tất cả,nếu tôi là một chính phủ rình mò, một khi các máy tínhcủa tôi bị phá có mặt, bất kể những người sử dụngnó tốt thế nào đi chăng nữa về an ninh máy tính cánhân. Phần mềm độc hại đã nằm trong thiết bị vàsẵn sàng để đi.

Chắc chắn, nếu mộtcông ty hoặc một cơ quan chính phủ sử dụng an ninh mạnghàng đầu mà họ phát hiện được hoạt động bất hợppháp, nhưng thực sự có bao nhiêu nhà phân tích về anninh giỏi giang chứ? Quá ít hơn bạn có thể nghĩ. Dễdàng hơn chỉ để đặt xuống bất kỳ vấn đề gì chomột vài sự lây nhiễm phần mềm độc hại trần tụchơn là để xem xét rằng bản thân các máy tính đã đượcthiết kế để làm việc cho một kẻ thù.

Liệu tôi có nghĩ làđiều này đang xảy ra? Chân thành mà nói tôi không biết.Tôi không có bằng chứng nào. Những gì tôi biết dù điềuđó là dễ làm, khó dò ra, và chính phủ Trung Quốc dườngnhư sẽ lôi cuốn vào một gián điệp công nghệ thôngtin khổng lồ. Đó là một sự kết hợp gây lo lắng.

Nếutôi có trách nhiệm về bất kỳ doanh nghiệp nào nơi màtôi nghĩ tôi đã có bất kỳ lý do gì để nghĩ rằng cáccơ quan Trung Quốc này có thể quan tâm trong những gì tôiđã làm, thì tôi sẽ dừng việc mua các sản phẩm máytính Trung Quốc ngày hôm nay. Cho tới khi vấn đề vềgián điệp không gian mạng của Trung Quốc này được làmrõ và được làm sạch, tôi đơn giản không thể biệnhộ cho việc mua hoặc sử dụng các phần cứng mà có thểlàm việc chống lại tôi. Nếu bạn coi điều này mộtphút, tôi nghĩ bạn sẽ đồng ý.

IfChina's government really is hell-bent on keeping an eye on Americanand European businesses, why not just incorporate 21st centurybackdoors into their products? Then, you could just have themautomatically call home to do a data dump of documents. If there'sanything interesting in the files, it can be set to monitor its useron a regular basis.

There'snothing difficult about doing this. Not only are backdoors easy tocre-ate, running an automatic check for words of interest, even interabytes of documents, just requires some servers. After all, Googledoes it every day with far more data than such a plot could everuncover.

Bestof all, if I'm a government snoop, once my broken machines are inplace, it doesn't matter how good its users are about PC security.The malware is already on the equipment and ready to go.

Sure,if a company or government agency uses top network security they mayspot the illegal activity, but how many actually have crack securityanalysts? Far fewer than you might think. It's easier to just putdown any problem to some more mundane malware infection than toconsider that the computers themselves were designed to be workingfor an enemy.

DoI think this is happening? I honestly don't know. I have no proof.What I do know though is that it's easy to do, hard to detect, andthe Chinese government appears to be engaging in a massive ITespionage. That's a worrisome combination.

IfI were in c-harge of any enterprise whe-re I thought I had any reasonto think that these Chinese authorities might be interested in what Iwas doing, I'd stop buying Chinese computer products today. Untilthis issue of Chinese cyber-espionage has been cleared up and cleanedup, I simply couldn't justify buying or using hardware that might beworking against me. If you consider it for a minute, I think you'llagree.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com