Cơ quan tình báo Canada xác nhận có những lỗ hỏng bảo mật thông tin nghiêm trọng

cyber-attack-tin-canada-vietcan
Ảnh minh họa

Một cuộc tấn công máy tính cá nhân đã làm hỏng máy tính trên toàn thế giới xảy ra vào đầu năm nay đã gióng lên một hồi chuông cảnh báo về vấn đề này. Các nhà nghiên cứu an ninh đã không mất nhiều thời gian tìm hiểu nguyên nhân. Phần lớn mật mã tinh vi được sử dụng để đưa vào máy tính đã bị đánh cắp từ NSA và đã không bị phát hiện.

 

Vụ việc đã tạo ra một cuộc tranh luận sôi nổi về vấn đề tiết lộ những lỗ hổng phần mềm trước đây chưa được phát hiện: vấn đề đặt ra là cơ quan chính phủ sẽ quyết định lỗ hổng nào được tiết lộ, và lỗ hổng nào không để đảm bảo bí mật cho việc sử dụng trong tương lai?

Ở Hoa Kỳ, chính sách quản lý việc cân nhắc cẩn thận các vấn đề này được gọi là Vulnerabilities Equities Process hoặc VEP.

Ở Canada, các điệp viên đã lần đầu tiên thừa nhận rằng cũng có một quy trình tương tự tồn tại ở đây.

“CSE (Canada’s electronic spy service – dịch vụ gián điệp điện tử của Canada) có một quy trình khắt khe về việc xem xét và đánh giá các lỗ hổng phần mềm”, Ryan Foreman, người phát ngôn của Cơ sở An ninh Truyền thông đã trả lời trong một email trong hàng loạt các câu hỏi về việc xử lý các lỗ hổng ‘zero-day’ của CBC News. “Quá trình đánh giá lâu dài này được thực hiện bởi một nhóm các chuyên gia từ khắp CSE.”

Theo Foreman, ban hội thẩm họp rất “thường xuyên”, mặc dù ông từ chối nói thường xuyên như thế nào, cũng không nói trong những năm gần đây họ đã họp bao nhiêu lần. Chính sách của CSE không công khai, và cơ quan này thậm chí không đưa ra tên chính thức của chính sách hay trích dẫn “các chi tiết hoạt động cụ thể.”

Brenda McPhail, giám đốc bảo mật của Hiệp hội Quyền tự do dân sự Canada (CCLA), nói: “Chúng tôi muốn chính sách này được công khai và có thể được kiểm soát.”

Bản sao chính sách xử lý vấn đề dễ bị tấn công của chính phủ Hoa Kỳ chỉ được thông qua khiếu kiện của Freedom of Information Act do Tổ chức Electronic Frontier Foundation tổ chức vào năm 2014 sau khi NSA từ chối công khai chính sách của mình.

Nguy cơ ‘tiềm ẩn’

Tại Hoa Kỳ, VEP được tạo ra để giúp các cơ quan chính phủ cân nhắc nguy cơ giữ bí mật phần mềm dễ bị tấn công mới được phát hiện, để chúng có thể được cơ quan thực thi pháp luật hoặc các cơ quan tình báo khai thác để thu thập thông tin từ máy tính và điện thoại mà không thể bị phát hiện.

Cái gọi là lỗ hổng ‘zero-day’ được coi là đặc biệt nghiêm trọng bởi vì không có phần mềm chắp vá lỗi nào được phát triển để khắc phục và các nhà phát triển phần mềm – ví dụ như Microsoft, Apple, Google hoặc những người khác – không phát hiện các lỗ hổng tồn tại.

Kết quả là, một số người lo ngại rằng tạo ra việc giữ bí mật về các lỗ hổng zero-day một cách không cần thiết sẽ khiến người dùng trên toàn thế giới gặp nguy hiểm – đặc biệt là nếu các lỗ hổng này được người khác nắm giữ hay phát hiện trước.

Mối quan ngại đó đã được chứng thực vào tháng Năm khi các lỗ hổng phần mềm chưa được tiết lộ của NSA đã bị đánh cắp và sau đó được sử dụng để lây nhiễm cho các máy tính với một loại phần mềm gián điệp gọi là WannaCry.
“Các cuộc tấn công này đưa ra một ví dụ khác về tại sao việc chính phủ lưu giữ các lỗ hổng như vậy lại là một vấn đề lớn”, Brad Smith, Chủ tịch kiêm Tổng Giám đốc của Microsoft, cho biết trong một bài đăng trên blog sau khi vụ việc xảy ra. “Các ưu thế của các chính phủ đã nhiều lần đã bị rò rỉ công khai và gây ra thiệt hại lan rộng.”

Các lỗ hổng ‘zero-day’ được sử dụng bởi CIA cũng đã được WikiLeaks công khai trong những tháng gần đây.

Để nâng cao tính minh bạch, các thượng nghị sĩ Hoa Kỳ đã soạn thảo điều luật mới vào tháng trước, yêu cầu các cơ quan chính phủ phải chuẩn bị một báo cáo hàng năm về chi tiết số lỗ hổng đã được xem xét và cuối cùng đã được tiết lộ theo VEP, cũng cần phải mô tả bản chất và mức độ nghiêm trọng của mỗi sai sót được tìm thấy.

Cân nhắc quá trình xem xét

Foreman, người phát ngôn của CSE, cho biết bất kỳ quyết định nào của hội đồng chuyên gia của CSE đều được thực hiện vì lợi ích cao nhất của an ninh Canada, bao gồm bảo vệ hệ thống và mạng lưới thông tin quan trọng của Canada và bảo vệ người dân Canada khỏi những mối đe doạ từ trong và ngoài nước.

Nhưng một số người nghi ngờ rằng các cơ quan tình báo như NSA và CSE – bao gồm cả các đơn vị tấn công và phòng thủ đôi khi có những mục tiêu đối lập – đều có khả năng thực hiện điều đó.

“Sẽ có những người ở thế phòng thủ, và có những người ở thế tấn công, và cũng sẽ có những người là tình báo nước ngoài”, Christopher Parsons, một cộng sự nghiên cứu tại Đại học Toronto Citizen Lab. “Và họ không nhất thiết phải chia sẻ cùng một chương trình nghị sự.”

Các chuyên gia nói rằng họ muốn biết các tiêu chí mà ban hội thẩm của CSE sử dụng để đánh giá mức độ nghiêm trọng của các lỗ hổng và quyết định của họ về việc báo cáo cho các công ty công nghệ, cũng như báo cáo tương tự những gì các thượng nghị sĩ đang thúc đẩy ở Hoa Kỳ

Cả Parsons và McPhail đều cho rằng đây là một lĩnh vực đáng được nghiên cứu thêm bởi cơ quan đánh giá hiện hành của CSE, hoặc thậm chí là Ủy viên Tình báo đề xuất trong Luật Bill C-59 được đưa ra mới đây.

McPhail cho biết: “Chúng tôi nghĩ các cơ quan an ninh quốc gia của chúng tôi là những người có nhiệm vụ giữ an toàn cho chúng tôi. Và tôi nghĩ rằng đó sẽ là vấn đề rắc rối với những người có nhiệm vụ giữ an toàn cho chúng tôi khi quyết định cố tình làm giảm an ninh mạng của chúng tôi vì lợi ích của chính họ.”

Leave a Reply

Your email address will not be published.