Quan chức nói chính phủ bất lực chống lại các chứng chỉ an ninh giả mạo

Officialsays government is helpless against fake security certifications

ByAliya Sternstein 10/22/2010

Theo:https://mail.google.com/mail/?shva=1#inbox

Bàiđược đưa lên Internet ngày: 22/10/2010

Lờingười dịch: Nước Mỹ đang bất lực trongviệc chống lại các chứng chỉ an ninh giả mạo, xuấtphát từ các cơ quan chứng thực an ninh CA và các nhàmạng. Một cảnh báo cho tất cả chúng ta.

Mộtquan chức Hạ viện hôm thứ sáu nói các website an ninh giảmạo đã tạo ra để ăn cắp tiền hoặc các thông tin cánhân là một hiểm họa mà chính phủ bất lực để kiểmsoát.

Bìnhluận từ Andrew McLaughlin, Phó CIO của Nhà Trắng về chínhsách Internet, tới trong một phiên thảo luận về nhữngmối đe dọa đang nổi lên cho thương mại điện tử vàcác giao dịch trực tuyến khác được tổ chức bởi bộphận tư duy chiến lược (think tank) của Washington - QuỹNước Mỹ Mới. Ngày một gia tăng, tất cả các bên cóliên quan trong các giao dịch trực tuyến dựa vào thôngtin từ các công ty và các quốc gia với các chính sáchInternet mà vượt ra ngoài phạm vi hoạt động pháp lý củachính phủ liên bang. Những người tham gia đưa vào nhữngngười sử dụng Internet, các website, như IRS.gov; các nhàcung cấp trình duyệt, như Google Chrome; và các đại lýcấp chứng chỉ, như VeriSign, mà họ khẳng định rằngcác website và mọi người trao đổi thông tin là nhữngngười mà họ đều là những bên liên quan. Các cơ quanđược gọi là xác thực này đôi khi sai hoặc cố tìnhphê chuẩn cho các webiste độc hại.

“Chúngta đang nhìn vào một vấn đề phạm vi quyền hạn pháplý đa dạng và đa người tham gia mà đối với nó khôngcó giải pháp nào của chính phủ cả”, McLaughlin, mộtcựu lãnh đạo của Google, nói. Việc giải quyết tìnhtrạng này phụ thuộc vào các trình duyệt, các cơ quanchứng thực và các website giao dịch như các ngân hàngtrực tuyến mà hoạt động tại các quốc gia khác nhauvới các qui định khác nhau. Chỗ cho điều ác là lớnkhi các cơ quan chứng thực tuân theo các chế độ củachính phủ mà là lầm đường, áp chế, hoặc tham gia vàomột cuộc tấn công các hạ tầng Internet nước ngoài,ông nói.

“Vìbản chất tự nhiên của phạm vi quyền hạn pháp lý đadạng và nhiều người tham gia đóng góp của vấn đề,nên chính phủ không thể chốt nó và chính phủ sẽ khôngchốt được nó”, McLaughlin nói. “Bạn chắc không muốnchính phủ cố trở thành tiền tuyến của bạn. Chúng tacó một lịch sử để vặn những thứ này lại”.

AWhite House official on Friday said fake secure websites cre-ated tosteal money or personal information are a danger the government ispowerless to control.

Thecomment f-rom Andrew McLaughlin, White House deputy chief technologyofficer for Internet policy, came during a panel discussion onemerging threats to e-commerce and other online transactions hostedby Washington think tank the New America Foundation. Increasingly,all parties involved in online dealings rely on information f-romcompanies and countries with Internet policies that are beyond thefederal government's jurisdiction. The participants include Internetusers; websites, such as IRS.gov; browser providers, such as Google'sChrome; and certifying agents, such as VeriSign, which confirm thatwebsites and people exchanging information are who they claim to be.These so-called certificate authorities sometimes erroneously orintentionally approve malicious websites.

"Weare looking at a multijurisdictional, multistakeholder problem forwhich there is no governmental solution," said McLaughlin, aformer Google executive. Addressing the situation depends onbrowsers, certificate authorities and transaction websites such asonline banks that operate in different countries with varyingregulations. Room for mischief is great when certificate authoritiesare subject to governmental regimes that are devious, repressive, orparticipating in an attack on foreign Internet infrastructures, hesaid.

"Becauseof the multijurisdictional and multistakeholder nature of theproblem, government can't fix it and government shouldn't fix it,"McLaughlin said. "You wouldn't want government to try to be yourfront line. We have a history of screwing things up."

Kỹsư phần mềm của Google Adam Langley, người đã tham giavào cuộc thảo luận, nói công ty của ông có thiện chíhơn các nhà sản xuất trình duyệt khác để trở nêntích cực trong việc triển khai các công nghệ mới đểngáng trở những kẻ lừa đảo hoặc các lỗi chứngthực.

Nhưngmọi người thường bỏ qua những cảnh giới của trìnhduyệt. Langley nói khi một cảnh báo của trình duyệt yêucầu những người sử dụng một câu hỏi hoặc đưa ramột cảnh báo về việc truy cập một site đáng ngờ, thìhọ thường đóng thông điệp đó lại và xử lý đểkết thúc các nhiệm vụ của họ hoặc tiến hành các muasắm của họ.

Cáccơ quan xác thực không có cách nào để loại bỏ nhữngkẻ xấu chơi mà họ lại đảm bảo một cách sai lầm vàđộc hại cho một chứng thực website: “Chúng tôi khôngnhất thiết có các quy trình và các chính sách hiện diệnđể cho phép chúng tôi nâng cấp cho các cơ quan chứngthực CA, những cơ quan mà chiếm 10% ở đáy mà chúng tôicó lẽ muốn chặt đầu, và đó là một thách thức”,Scott Rea, một kiến trúc sư cao cấp về phần mềm tạiDigiCert, một cơ quan chứng thực, nói. Nhưng ông đã khôngđồng ý với những người tham gia phiên hội thảo mànói tình trạng này là cuộc đua về đáy nơi mà Internetlà đang nằm trong rủi ro của các cuộc tấn công sốđông bởi những kẻ giả mạo.

Trảlời cho thế tiến thoái lưỡng nan đang tồn tại này,như các hệ thống tên miền an ninh mới và các tiêu chuẩnxác thực số mới, theo một số chuyên gia có trong phiênthảo luận.

Chỉtrong một vài năm gần đây vấn đề các chứng thực rởmnày đã trở thành một sức ép - và điều đó là vìnghiên cứu trong lĩnh vực này đã gia tăng, khi số lượngnhững bảo vệ công nghệ [tăng], như Andy Steingruebl, mộtlãnh đạo về an ninh cho dịch vụ thanh toán trực tuyếnPayPal, nói.

AriSchwartz, nhà tư vấn cao cấp về chính sách Internet tạiViện Quốc gia về Tiêu chuẩn và Công nghệ (NIST), đã hélộ cho Bộ An ninh Quốc nội gần đây các kịch bản tấncông phỏng theo các cơ quan chứng thực để kiểm thửcác chiến lược phòng vệ.

“Đãtừng có nhiều cuộc nói chuyện về các dạng tấn côngnày khi những ví dụ thực tế cuộc sống của những gìcó thể đi tới sự sai lầm nghiêm trọng nếu không quantâm tới vầ nếu chúng ta không có các giải pháp cho[chúng]”, Schwartz, người gần đây đã tham gia vào chínhquyền của Obama sau khi phục vụ như một lãnh đạo tạimột nhóm tư nhân, phi lợi nhuận, Trung tâm về Dân chủvà Công nghệ.

Googlesoftware engineer Adam Langley, who participated in the discussion,said his company is more willing than other browser makers to beaggressive in deploying new technologies to thwart imposters orcertificate errors.

Butpeople frequently ignore browser safeguards. Langley said when abrowser alert asks users a question or offers a warning aboutaccessing a questionable site, they often close the message andproceed to finish their tasks or make their purchases.

Certificateauthorities have no way of removing bad players who mistakenly ormaliciously guarantee a website's authenticity. "We don'tnecessarily have the processes or policies in place that allow us tograde the CAs who are in that bottom 10 percent that we maybe want tochop off, so that's a challenge," said Scott Rea, a seniorsoftware architect at DigiCert, a certificate authority. But hedisagreed with panelists who said the situation is a race to thebottom whe-re the Internet is at risk of massive attacks by imposters.

Answersto the dilemma do exist, such as new secure domain name systems anddigital identity standards, according to some experts on the panel.

Onlyin the last couple of years did the issue of false certificatesbecome pressing -- and that was because research into the areaincreased, as did the number of technological protections, said AndySteingruebl, a security manager for the online payment servicePayPal.

AriSchwartz, senior Internet policy adviser at the NationalInstitute of Standards and Technology,disclosed the HomelandSecurity Departmentrecently simulated certificate authority attack scenarios to testdefense strategies.

"Therehas been a lot of talk about these kinds of attacks as real lifeexamples of what could go terribly wrong if not taken care of and ifwe don't have solutions for [them]," said Schwartz, who recentlyjoined the Obama administration after serving as an executive at thenonprofit Center for Democracy and Technology, a privacy group.

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com