• Chủ Nhật, 06/07/2014 22:48 (GMT+7)

    Làm bạn với NSA không dễ

    Bùi Lê Duy
    Vấn đề bảo mật quốc gia ở Mỹ không được cải thiện thêm nhiều khi mà các công ty công nghệ dường như xem NSA là kẻ thù.

     

    Mối quan hệ giữa thung lũng Silicon và Washington chưa bao giờ thoải mái và thân thiết. Gần đây lại nổi lên chuyện Cơ quan an ninh quốc gia Mỹ NSA tấn công vào những công ty công nghệ Mỹ, khiến họ nổi đóa lên, và các ông lớn công nghệ xem chính phủ Mỹ như một đối thủ mới. Điều này càng khiến cho Internet trở thành một nơi dễ xâm nhập và đầy nguy cơ tiềm ẩn.

    Các công ty công nghệ và nhà cung cấp dịch vụ cam đoan họ không sẵn sàng chia sẻ thông tin với Chính phủ Mỹ và đang hối hả mã hóa dữ liệu của mình. Những chuyện phát giác mà cựu nhân viên NSA Edward Snowden vạch ra cho cả thế giới biết về NSA cũng khiến việc hợp tác giữa Chính phủ Mỹ và các công ty công nghệ chống lại tội phạm mạng gặp nhiều trở ngại.

    Ông Eric Grosse, giám đốc bảo mật của Google, từng nói Washington rằng "hãy chỉ ra vài thứ mà chúng tôi nghĩ nên gia cố cho hệ thống, và chúng tôi sẽ rất biết ơn Washington vì điều đó." Nhưng ông nói thêm về phản ứng của công chúng khi Snowden tiết lộ thông tin mật từ NSA rằng "sẽ rất khó để hợp tác với chính phủ về chuyện an ninh." Chính phủ Mỹ đã chẳng làm gì để gầy dựng lại niềm tin nhỏ nhoi cho các công ty công nghệ, và ngành công nghiệp công nghệ cao nhận ra rằng tự mình phải bảo vệ mình mà thôi, không thể cậy dựa nhiều vào chính phủ.

    Nhiều năm trời, thị trường công nghệ với đặc điểm là rất tự do, thông thoáng, không còn chắc tại sao mình lại phải dây mơ rễ má với chính phủ Mỹ. Microsoft bắt đầu nghiêm túc chuyện vận động hành lang trong bộ máy Chính phủ Mỹ sau khi họ gặp vấn đề về chống độc quyền hồi giữa những năm 1990. Còn Google có hẳn một nhân viên chuyên đi vận động hành lang ở thủ đô năm 2005, và họ cũng giải thích trên trang blog công ty rằng "có vẻ như có những hành động làm luật tác động trực tiếp tới người dùng của Google ngày một nhiều hơn." Năm ngoái, mảng công nghệ là chủ đề vận động hành lang lớn thứ 4, ngốn đến vài triệu đô la, chỉ đứng phía sau ngành công nghiệp dầu mỏ và khí đốt. Vụ bê bối của NSA mà Snowden tiết lộ chỉ khẳng định thêm những nghi ngờ của các công ty công nghệ về chính phủ Mỹ mà thôi.

    Hơn 1 năm sau khi Snowden tiết lộ thông tin, vẫn còn nhiều điều mà chúng ta chưa biết được về mối quan hệ giữa NSA và các công ty công nghệ Mỹ, như là bao nhiêu dữ liệu cá nhân bị các công ty công nghệ, các nhà cung cấp dịch vụ truyền thông chia sẻ lẫn nhau và chia sẻ cho chính phủ Mỹ, và NSA đã tấn công lấy cắp bao nhiêu dữ liệu của các công ty công nghệ. Các chính phủ đồng minh và các công ty ngoài Mỹ e ngại điều tồi tệ nhất. Vào ngày 26/6 vừa qua, Đức đã công bố không gia hạn hợp đồng với Verizon vì quan ngại công ty này chia sẻ dữ liệu người dùng với chính phủ Mỹ.

    Sợ mất đi thị trường ngoài nước, các nhà lãnh đạo công nghệ tỏ ra bực tức ra mặt và luôn tỏ thái độ chống đối với Washington. Cuối năm ngoái, ông Brad Smith, nhà tư vấn của Microsoft, đã mô tả việc theo dõi lén lút dữ liệu của chính phủ Mỹ như là "mối hiểm dọa dai dẳng, ghê gớm", là cụm từ từng được dùng để chỉ các đợt tấn công tinh vi của tin tặc Trung Quốc trước đây. Sau những báo cáo hồi tháng 3 vừa rồi về việc NSA đóng giả một máy chủ Facebook để tấn công vào vài máy tính nào đó, CEO Mark Zuckerberg đã gọi điện cho tổng thống Obama để giải bày. Sau đó, anh đã trút giận giữ lên trên Facebook cá nhân rằng "Khi các kỹ sư của chúng tôi làm việc ngày đêm để cải thiện tính bảo mật thì chúng tôi hình dung chúng tôi đang bảo vệ bạn khỏi những tên tội phạm mạng nguy hiểm, chứ không phải khỏi chính chính phủ của bạn."

    Phát hiện lỗ hổng bảo mật Heatbleed hồi đầu năm nay trong phần mềm mã hóa được cộng đồng công nghệ sử dụng rất nhiều đã gióng lên hồi cảnh báo về mức an toàn mạng trong kiến trúc hạ tầng mạng toàn cầu, và cũng đưa ra một bài toán cho cả Washington và thung lũng Silicon, cả hai cần tìm lời giải cho bài toán mang tên Snowden này. Hồi tháng 3 và đầu tháng 4 vừa qua, một kỹ sư của Google và công ty Phần Lan Codenomicon lần lượt phát hiện ra lỗ hổng Heartbleed này. Google lẳng lặng thông báo cho vài công ty công nghệ (họ không đề cập cụ thể danh sách công ty) và dự án OpenSLL, mã nguồn mở của lỗ hổng này. Codenomicon cảnh báo cho trung tâm bảo mật quốc gia Phần Lan về Heartbleed. Còn chính phủ Mỹ không có phản ứng nào về Heartbleed cho đến khi dự án OpenSLL chính thức gửi một bản tin bảo mật vào ngày 7/4.

    Tác hại của Heartbleed không nhiều nhưng tiềm tàng lại rất lớn. Thách thức lúc ban đầu là âm thầm cảnh báo cho người dùng để họ có thể cập nhật bản vá đúng lúc trước khi kẻ xấu có thể lợi dụng lỗi này. Đó là trách nhiệm hiển nhiên của NSA. Lãnh đạo một công ty công nghệ nói rằng "thế giới từng tin tưởng Washington là 'anh cả', luôn làm điều đúng đắn", nhưng giờ thì không còn như vậy nữa.

    Chính phủ Mỹ có vai trò tối quan trọng nếu có lại được niềm tin nơi các hãng công nghệ trong nước, giống như một Trung tâm ứng cứu dịch bệnh ngăn không cho một ổ dịch nào đó bùng phát, lây lan. Chính phủ Mỹ cần nhanh chóng thông báo cho mọi người biết về lỗ hổng bảo mật và các nguy cơ, hiểm họa tấn công mạng. Chỉ có Washington mới có thể tạo ra các mạng lưới hành pháp để có thể theo dấu tội phạm mạng toàn cầu, áp đặt những quyền bảo vệ sở hữu trí tuệ mạnh mẽ hơn trong hợp đồng thương mại, thương thuyết các điều khoản và hướng dẫn quốc tế để thắt chặt an ninh mạng và cho các chính phủ khác thấy được mình có thể chung tay với các chính phủ khác hạn chế tội phạm mạng.

    Đó là điều mà Mỹ đã làm được vào năm 2012, khi mà Iran tấn công vào các máy chủ khắp thế giới và liên tục làm tê liệu các trang web ngân hàng Mỹ trong nhiều tháng, làm chậm hoặc ngưng trệ một số dịch vụ. Sau khi ngành tài chính Mỹ kêu cứu Washington, NSA đề xuất một động thái có chủ đích và không bị phát hiện để chống lại máy chủ Iran. Thay vì sử dụng ngoại giao, Nhà Trắng yêu cầu vài chính phủ quét sạch máy chủ trong nước của họ và sẵn sàng hỗ trợ về mặt kỹ thuật cho các quốc gia đó. Ngay sau đó, các cuộc tấn công này ít dần và chấm dứt. Nếu thung lũng Silicon cần một lời nhắc nhỏ khác rằng nhiều tổ chức tội phạm vẫn âm thầm hoạt động đâu đó thì công ty bảo mật Symantec có thể nhanh chóng chỉ ra hôm 30/6 vừa rồi, có một nhóm tội phạm có những đường link rõ ràng, cho thấy chính phủ Nga đã gài mã độc vào các công ty năng lượng Mỹ và Tây Âu, tên mã độc là "Energetic Bear", có thể làm ngưng trệ các nhà máy năng lượng.

    Obama đã đưa ra những cải cách, trong đó có một lệnh chấm dứt việc NSA lưu trữ các dữ liệu điện thoại của người dùng và yêu cầu cơ quan hành pháp cần có lệnh của tòa án trước khi muốn xem xét những bản ghi dữ liệu cá nhân. Nhưng nhiêu đó vẫn chưa đủ. Những công ty công nghệ Mỹ vẫn còn chờ một cam kết từ chính phủ họ về việc không rình mò họ như cách vừa làm để lấy tài khoản, dữ liệu hoặc dịch vụ của các công ty Mỹ. Để sửa sai, Quốc hội Mỹ cũng cần có những chính sách giám sát hiệu quả hơn; công khai hơn với công chúng; tách biệt rõ ràng giữa cơ quan chịu trách nhiệm về xung đột thông tin tình báo và cơ quan chuyên giải quyết tội phạm mạng; và rõ ràng loại dữ liệu nào được truy xuất và chia sẻ trong chính phủ.

    Bất kỳ căng thẳng nào nảy sinh xoay quanh thông tin tình báo đều dẫn đến nhiều rắc rối. Nhưng nếu các công ty tư nhân và tập đoàn Mỹ không sẵn lòng chia sẻ dữ liệu người dùng với chính phủ Mỹ thì nguy hiểm có thể còn cao hơn.

    Cải tổ lần này cũng sẽ có một số ràng buộc mới trong thiết lập cơ quan tình báo, là đơn vị mà người dân trước nay luôn tin rằng điều khiển mọi thứ và không cần giải thích điều gì. Tướng Keith Alexander, người từng trải qua quá trình lớn mạnh của NSA khi còn làm giám đốc từ năm 2005 cho đến đầu năm nay, hầu như không e sợ bất kỳ chuyện gì khi nói đến chính phủ Mỹ vượt quá tầm với. Trước thời kì của Snowden, ông từng bảo các nhà lãnh đạo kinh doanh và các quan chức khác rằng mục tiêu của ông là xây dựng một lá chắn cho quốc gia không bị malware, địa chỉ IP độc và các thứ độc hại khác trên mạng. Một viên chức NSA không tiết lộ danh tính nói rằng: "Ông ta nói ông ta có thể làm được điều đó nhưng với điều kiện là ông ta sẽ ngồi lên trên các hệ thống mạng của bất kỳ ai."

    Sau khi lỗ hổng Heartbleed được phát hiện đã nảy sinh nhiều câu hỏi xoay quanh liệu NSA có che dấu những lỗi bảo mật kiểu như vậy hay không, để tận dụng chúng cho những lần rình mò dữ liệu trong tương lai. Theo ông Michael Daniel, cộng sự của chính quyền Obama về an ninh mạng, viết trên trang blog của Nhà Trắng rằng các quyết định công bố hoặc không công bố thông tin nào đó về lỗi bảo mật đều được cân nhắc rất kỹ lưỡng. Nhưng ông cũng nói trong vài trường hợp, công bố lỗ hổng cũng đồng nghĩa với việc bỏ đi "cơ hội thu thập được thông tin tình báo mạng, là thông tin có thể ngăn chặn được khủng bố, tránh bị mất cắp sở hữu trí tuệ hoặc thậm chí có thể phát hiện ra nhiều lỗ hổng khác nguy hiểm hơn mà tin tặc và các kẻ ác ý đang lợi dụng."

    Giám đốc NSA mới, ông Admiral Michael Rogers, nhận biết được vấn đề trong mối quan hệ với ngành công nghiệp công nghệ đang trong tình trạng mục nát như hiện nay. "Tôi hiểu tại sao chúng ta rơi vào tình trạng này", ông chia sẻ với tờ New York Times hôm 27/6 vừa qua như vậy trong một dịp đối thoại "công khai" về các chính sách của NSA. Đó có thể là một khởi đầu. Nhưng có vẻ phải mất rất lâu và làm rất nhiều thứ để gầy dựng lại niềm tin.