NSA subversion of internet security: bad for the US, good for criminals Việc cố tình làm suy yếu các hệ thống mật mã làm cho chính phủ Mỹ và giới công nghiệp của nước này trông không đáng tin cậy.
The deliberate weakening of cryptographic systems makes the US government and its technology industry look untrustworthy
Bài được đưa lên Internet ngày: 20/09/2013
Tổng hành dinh của NSA ở Fort Meade, Maryland. “Từng làm gián điệp một số lượng nhỏ các mục tiêu đặc thù, nó bây giờ tiến hành sự giám sát trực tuyến ở một phạm vi khổng lồ. Nó đã gián điệp những người buôn bán ma túy, những người trốn thuế, và các hãng nước ngoài, không ai trong số đó đặt ra một mối đe dọa cho an ninh quốc gia cả”. Ảnh Handout/Getty Images
The NSA headquarters in Fort Meade, Maryland. 'Having once spied on a small number of specific targets, it now conducts online surveillance on a vast scale. It has spied on drug dealers, tax evaders and foreign firms, none of which pose a threat to national security.' Photograph: Handout/Getty Images
Lời người dịch: Về sự phá hoại an ninh Internet, bài có các trích đoạn: “Mức độ và bản chất tự nhiên của chương trình đó vẫn còn chưa rõ, nhưng nó dường như có liên quan tới việc làm cho các công ty phần mềm và các nhà cung cấp dịch vụ Internet chèn các chỗ bị tổn thương, hoặc các cửa hậu bí mật, hình như vào các hệ thống an ninh. Điều này có thể được thực hiện bằng việc đưa các lỗi cố ý vào trong các thiết kế phần mềm hoặc phần cứng, nhiều trong số đó được phát triển trong sự cộng tác với NSA; hoặc bằng việc khuyến cáo sử dụng các giao thức an ninh mà NSA biết sẽ là không an ninh, trong vai trò 2 mặc của nó như là người thiết lập và kẻ phá mã các tiêu chuẩn mật mã”. Có 3 lý do gây lo lắng: “Trước hết, các hành động của NSA có thể đã làm suy yếu toàn bộ an ninh Internet, trong đó hàng tỷ người dựa vào cho các thanh toán và dịch vụ ngân hàng, với các cửa hậu mà có thể bị các tên tội phạm khai thác, chứ không chỉ các cơ quan tình báo. Thứ 2, điều này làm xói mòn lòng tin vào các công ty công nghệ của Mỹ, không công ty nào trong số đó bây giờ có thể được tin cậy khi họ nói các sản phẩm của họ là an ninh, và làm cho rất khó đối với nước Mỹ để chỉ trích các chế độ chuyên quyền vì việc can thiệp vào Internet, hoặc để yêu sách (như nó làm) rằng đây là người cảnh vệ tốt nhất của hệ thống đánh địa chỉ Internet. Thứ 3, NSA dường như đã thực hiện bằng sự giấu giếm những gì nó có thể không làm được một cách cởi mở. Trong những năm 1990, cơ quan này đã vận động hành lang không thành công cho những cửa hậu được đưa thêm vào cho tất cả các hệ thống giao tiếp truyền thông. Từng thua về lý lẽ, nó hình như đã đi đầu và đã triển khai chúng một cách âm thầm giấu giếm”. “bất kỳ sự phá đổ cố tình nào các hệ thống mật mã từ NSA cũng đơn giản là một ý tưởng tồi, và nên dừng lại. Điều đó có thể làm cho cuộc sống khó khăn hơn cho việc rình mò, đúng thế, nhưng có nhiều hơn các kỹ thuật được ngắm đích khác mà họ có thể sử dụng mà không làm suy giảm an ninh của Internet đối với tất cả những người sử dụng nó, gây hại cho uy tín của nền công nghiệp công nghệ Mỹ và để lại cho chính phủ của nó nhìn không đáng tin cậy và đạo đức giả”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'. “Các hệ thống mật mã mạnh được triển khai phù hợp là một trong ít những điều mà bạn có thể dựa vào”,
Edward Snowden, cựu kỹ thuật viên máy tính của Cơ quan An ninh Quốc gia Mỹ – NSA, người có trách nhiệm về việc rò rỉ một đống các tài liệu về các hoạt động của các ông chủ xưa kia của anh ta, đã nêu trong một phiên hỏi - đáp trực tuyến hồi tháng 6.
Những tiết lộ được các tờ báo Guardian, New York Times và ProPublica xuất bản hôm 05/09, giải thích sự lựa chọn từ ngữ cẩn thận của anh ta. Nhiều hệ thống mật mã đang sử dụng trên Internet, nó dường như, là không “được triển khai một cách phù hợp”, mà đã bị làm suy yếu bằng những lỗ hổng được NSA thực hiện một cách cố ý như một phần của một chương trình dài hàng thập kỷ để đảm bảo nó có thể đọc được giao thông được mã hóa.
Mức độ và bản chất tự nhiên của chương trình đó vẫn còn chưa rõ, nhưng nó dường như có liên quan tới việc làm cho các công ty phần mềm và các nhà cung cấp dịch vụ Internet chèn các chỗ bị tổn thương, hoặc các cửa hậu bí mật, hình như vào các hệ thống an ninh. Điều này có thể được thực hiện bằng việc đưa các lỗi cố ý vào trong các thiết kế phần mềm hoặc phần cứng, nhiều trong số đó được phát triển trong sự cộng tác với NSA; hoặc bằng việc khuyến cáo sử dụng các giao thức an ninh mà NSA biết sẽ là không an ninh, trong vai trò 2 mặc của nó như là người thiết lập và kẻ phá mã các tiêu chuẩn mật mã.
Là ngây thơ để nghĩ rằng các cơ quan tình báo dấu hiệu, công việc của nó là can thiệp và giải mã các thông điệp, là sẽ không cố để làm mọi điều để đảm bảo rằng họ có thể đọc được càng nhiều giao thông được mã hóa càng tốt. Và có những lý do tốt vì sao các chính phủ sẽ có khả năng để rình mò, theo những lợi ích an ninh quốc gia và trong những giới hạn pháp lý được đồng thuận. Nhưng những lý do sau chót đang gây lo lắng vì 3 lý do.
Trước hết, các hành động của NSA có thể đã làm suy yếu toàn bộ an ninh Internet, trong đó hàng tỷ người dựa vào cho các thanh toán và dịch vụ ngân hàng, với các cửa hậu mà có thể bị các tên tội phạm khai thác, chứ không chỉ các cơ quan tình báo. Thứ 2, điều này làm xói mòn lòng tin vào các công ty công nghệ của Mỹ, không công ty nào trong số đó bây giờ có thể được tin cậy khi họ nói các sản phẩm của họ là an ninh, và làm cho rất khó đối với nước Mỹ để chỉ trích các chế độ chuyên quyền vì việc can thiệp vào Internet, hoặc để yêu sách (như nó làm) rằng đây là người cảnh vệ tốt nhất của hệ thống đánh địa chỉ Internet. Thứ 3, NSA dường như đã thực hiện bằng sự giấu giếm những gì nó có thể không làm được một cách cởi mở. Trong những năm 1990, cơ quan này đã vận động hành lang không thành công cho những cửa hậu được đưa thêm vào cho tất cả các hệ thống giao tiếp truyền thông. Từng thua về lý lẽ, nó hình như đã đi đầu và đã triển khai chúng một cách âm thầm giấu giếm.
Tất cả điều này bổ sung thêm vào ấn tượng rằng sự giám sát của NSA đã không bắt kịp với sự bành trướng nhanh chóng các hoạt động của nó. Từng làm gián điệp một số lượng nhỏ các mục tiêu đặc thù, nó bây giờ tiến hành sự giám sát trực tuyến ở một phạm vi khổng lồ. Nó đã gián điệp những người buôn bán ma túy, những người trốn thuế, và các hãng nước ngoài, không ai trong số đó đặt ra một mối đe dọa cho an ninh quốc gia cả. Các nhân viên của NSA đã sử dụng các hệ thống của mình để
gián điệp những người yêu cũ của họ. Khả năng của Snowden đi tắt với sự cất giấu các tài liệu của NSA là bằng chứng chết người vè một sự thiếu đáng buồn các kiểm soát nội bộ. Anh ta đã ra công khai, nhưng có thể dễ dàng đặt các tài liệu ăn cắp được để sử dụng gây tội - như những người khác ở vị trí của anh ta có thể đã làm.
Barack Obama nói ông chào đón tranh luận về các hoạt động rình mò của Mỹ. Quả thực có những lý lẽ sẽ là tồi về các mức độ phù hợp của việc rình mò và các mức độ của sự giám thị. Nhưng bất kỳ sự phá đổ cố tình nào các hệ thống mật mã từ NSA cũng đơn giản là một ý tưởng tồi, và nên dừng lại. Điều đó có thể làm cho cuộc sống khó khăn hơn cho việc rình mò, đúng thế, nhưng có nhiều hơn các kỹ thuật được ngắm đích khác mà họ có thể sử dụng mà không làm suy giảm an ninh của Internet đối với tất cả những người sử dụng nó, gây hại cho uy tín của nền công nghiệp công nghệ Mỹ và để lại cho chính phủ của nó nhìn không đáng tin cậy và đạo đức giả. "Properly implemented strong crypto systems are one of the few things that you can rely on," declared Edward Snowden, the former computer technician at America's National Security Agency (NSA) responsible for leaking a trove of documents about his erstwhile employer's activities, in an online question-and-answer session in June. The revelations published on 5 September by the Guardian, the New York Times and ProPublica, explain his careful choice of words. Many cryptographic systems in use on the internet, it seems, are not "properly implemented", but have been weakened by flaws deliberately introduced by the NSA as part of a decade-long programme to ensure it can read encrypted traffic. The extent and nature of the programme is still unclear, but it appears to involve getting software companies and internet service providers to in-sert secret vulnerabilities, or backdoors, into apparently secure systems. This can be done by introducing deliberate errors into software or hardware designs, many of which are developed in collaboration with the NSA; or by recommending the use of security protocols that the NSA knows to be insecure, in its dual role as cryptographic standards-setter and codebreaker.
It is naive to think that signals-intelligence agencies, whose job is to intercept and decrypt messages, are not going to try to do everything to ensure that they can read as much encoded traffic as possible. And there are good reasons why governments should be able to snoop, in the interests of national security and within agreed legal limits. But the latest allegations are worrying for three reasons.
First, the NSA's actions may have weakened overall internet security, on which billions of people rely for banking and payments, with backdoors that can be exploited by criminals, not just intelligence agencies. Second, this undermines confidence in American technology companies, none of which can now be trusted when they say their products are secure, and makes it very difficult for America to criticise authoritarian regimes for interfering with the internet, or to claim (as it does) that it is the best guardian of the internet's addressing system. Third, the NSA seems to have done by stealth what it could not do openly. During the 1990s the agency unsuccessfully lobbied for backdoors to be added to all communications systems. Having lost the argument, it has apparently gone ahead and implemented them on the sly.
All this adds to the impression that oversight of the NSA has not kept pace with the rapid expansion of its activities. Having once spied on a small number of specific targets, it now conducts online surveillance on a vast scale. It has spied on drug dealers, tax evaders and foreign firms, none of which pose a threat to national security. NSA employees have used its systems to spy on their former lovers. Snowden's ability to walk off with a stash of NSA documents is grave evidence of a woeful lack of internal controls. He has gone public, but could just as easily have put his stolen documents to criminal use – as others in his position may already have done. Barack Obama says he welcomes debate about the activities of America's spooks. There are indeed arguments to be had about the appropriate levels of snooping and degrees of oversight. But any deliberate subversion of cryptographic systems by the NSA is simply a bad idea, and should stop. That would make life harder for the spooks, true, but there are plenty of other more targeted techniques they can use that do not reduce the security of the internet for all of its users, damage the reputation of America's technology industry and leave its government looking untrustworthy and hypocritical. Dịch: Lê Trung Nghĩa