Chạy đua vá lỗi phần mềm chống tình trạng đột nhập

Heartbleed thoạt trông là một thứ bình thường. Cách đây khoảng 2 năm, các nhà lập trình đã chấp nhận gắn nó vào một đoạn mã của phần mềm OpenSSL và giờ đây nó đã tạo ra một chỗ yếu nguy hiểm trong phần mềm OpenSSL.

Ngay sau khi lỗ hổng an ninh trên OpenSSL được thông báo, hàng loạt công ty, nhất là các ngân hàng (đa số ngân hàng sử dụng phần mềm này để mã hóa dữ liệu) đã chạy đua vá lỗi phần mềm. Điều gây lo ngại nhất là, việc vá lỗi phần mềm OpenSSL cho dù được tiến hành nhanh chóng ngay sau khi có thông báo lỗi, nhưng khả năng Heartbleed bị các tin tặc hoặc các cơ quan tình báo lợi dụng để thâm nhập vào các hệ thống máy tính trộm dữ liệu như tên người dùng và mật khẩu trong các dịch vụ nhạy cảm như ngân hàng, thương mại điện tử, e-mail... Và, "sẽ chẳng có ai ngạc nhiên nếu NSA phát hiện ra lỗ hổng này trước khi mọi người biết đến và âm thầm khai thác nó" - chuyên gia mã hóa Matt Blazer của Đại học Pennsylvania nhận định.

Theo các chuyên gia, cho dù NSA có thể sử dụng bọ Heartbleed để thâm nhập và trộm dữ liệu tên người dùng và mật khẩu (kể cả địa chỉ lịch sử truy cập để xâm nhập tài khoản trên mạng), thì đó cũng chỉ giới hạn trong phạm vi tài khoản mà NSA thu thập được. Đối với NSA cũng như các  cơ quan tình báo nói chung, giá trị thật sự của lỗ hổng bảo mật chính là các mã số key sử dụng trong phần mềm SSL có thể lấy được không mấy khó khăn.

Việc bẻ khóa SSL để giải mã dữ liệu giao dịch trên Internet từ lâu đã là mối bận tâm hàng đầu, là điều mong muốn số 1 của NSA. Tháng 9/2013, tờ Guardian của Anh cũng từng đưa tin về việc NSA và Cơ quan Tình báo tín hiệu GCHQ của Anh đã "bẻ khóa thành công" phần lớn dữ liệu mã hóa trên môi trường mạng để thu thập dữ liệu đặc tả e-mail và các giao dịch phần dữ liệu nhạy cảm khác.

Theo các tài liệu do Snowden tiết lộ, GCHQ đã tích cực nghiên cứu tìm cách xâm nhập dữ liệu mã hóa của Google, Yahoo, Facebook và Hotmail để giải mã dữ liệu gần với thời gian thực tế, và có thông tin nói rằng họ đã thành công.

Trong một báo cáo tuyệt mật vào năm 2010, GCHQ cho rằng, "một lượng lớn dữ liệu mã hóa trên Internet đã bị thải loại giờ đây đều có thể khai thác được". Tuy báo cáo này ra đời trước Heartbleed 2 năm, nhưng nó cho thấy GCHQ và NSA đã rất nỗ lực tìm cách bẻ khóa thâm nhập dữ liệu Internet.

NSA đã xâm nhập cơ sở dữ liệu khách hàng của các công ty công nghệ cao từ nhiều năm nay.

Các tài liệu của Snowden còn cho thấy các cơ quan tình báo đã sử dụng một số biện pháp bẻ khóa trong một chương trình mang mật danh là "Dự án Bullrun" nhằm vô hiệu hóa việc mã hóa hoặc đánh "bọc hậu" để lách mã hóa, bao gồm việc vô hiệu các tiêu chuẩn mã hóa và móc nối với các công ty để cài đặt "cửa sau" vào sản phẩm công nghệ, ít nhất cũng phần nào làm giảm đi hiệu lực bảo mật của SSL.

Guardian tiết lộ rằng, "Dự án Bullrun" đã giúp NSA "có khả năng chống lại các quy ước trên môi trường mạng, như HTTPS, IP giọng nói và SSL (Cổng kết nối an ninh) thường được sử dụng để bảo mật các giao dịch ngân hàng và mua sắm trực tuyến".

Trước đây, các chuyên gia an ninh mạng đã suy đoán về việc liệu NSA có bẻ khóa truyền thông SSL hay không và nếu có thì cách thức thực hiện ra sao. Còn hiện nay, bọ Heartbleed đã đặt ra một khả năng mới là NSA không cần nhọc công bẻ khóa SSL nữa mà chỉ cần lợi dụng nhược điểm của chương trình để thu thập mã số key riêng của các công ty và thâm nhập, giải mã dữ liệu Internet.

Tuy vậy, các chuyên gia cho rằng chưa có bằng chứng rõ ràng để khẳng định NSA có thể thực hiện được việc trích mã số key riêng như đã nêu. Ngoài ra, các chuyên gia cũng cho rằng, giải pháp này sẽ không mang lại hiệu quả như mong muốn vì một số lý do. Thứ nhất, không phải mọi trang web đều có nhược điểm có thể khai thác được, và ngay cả trên trang web có nhiễm Heartbleed, thì việc sử dụng bọ này để tìm kiếm và trích xuất các mã số key lưu trên bộ nhớ máy chủ cũng không phải dễ. Bọ Heartbleed cho phép tin tặc hút lấy đến 64Kb dữ liệu từ bộ nhớ của hệ thống thông qua việc gửi vấn lệnh, vì thế đòi hỏi một tin tặc phải ra vấn lệnh nhiều lần để lấy được nhiều dữ liệu.

Bất chấp việc các công ty công nghệ khẳng định họ chỉ cung cấp thông tin khách hàng theo quy định của luật pháp - và không có chủ tâm thông qua "cửa sau" - người ta vẫn nhận ra rằng hoạt động gián điệp của chính quyền vẫn tồn tại dù có phần yếu đi.

Daniel Castro - chuyên gia phân tích hàng đầu của Tổ chức Nghiên cứu chính sách Information Technology & Innovation Foundation (ITIF) với thành viên thuộc các công ty IBM, Intel … - dự đoán các công ty công nghệ hàng đầu của Mỹ có thể bị mất 35 tỉ USD vào năm 2016 vì hoạt động theo dõi Internet và nghe lén điện thoại của NSA bị phanh phui trước thế giới.

Theo đánh giá của Công ty Nghiên cứu công nghệ Forrester Research, mức thiệt hại về lợi nhuận cho các công ty Mỹ có thể lên đến 180 tỉ USD (25%). Tính an ninh và bảo mật thông tin nay đang là đề tài trọng tâm trong những cuộc trò chuyện hàng ngày giữa các công ty công nghệ và khách hàng.

John E. Frank, Phó luật sư trưởng của Microsoft - công ty cho phép các khách hàng lưu trữ dữ liệu của mình trong các trung tâm dữ liệu Microsoft đặt tại một số quốc gia, giải thích: "Các khách hàng, đặc biệt là các khách hàng doanh nghiệp toàn cầu, tuyên bố với chúng tôi rằng họ bắt đầu quan tâm hơn bao giờ hết đến vấn đề dữ liệu của họ được lưu trữ ở đâu và nó được sử dụng cũng như bảo mật như thế nào".

Sự rò rỉ các tài liệu mật NSA đã mang lại mối lợi cho các công ty nước ngoài. Ví dụ, Runbox báo cáo lượng khách hàng của công ty tăng 34% sau vụ bê bối gián điệp của NSA. Runbox là dịch vụ email của Na Uy được coi là có thể thay thế các dịch vụ do Mỹ cung cấp như Gmail và công ty tuyên bố không bao giờ cung cấp thông tin khách hàng theo lệnh từ tòa án nước ngoài.

Brazil và Liên minh châu Âu (EU) trước đây sử dụng mạng cáp ngầm dưới biển của Mỹ để phục vụ giao tiếp liên lục địa nhưng vào tháng 2/2014, họ quyết định ký hợp đồng với các công ty Brazil và Tây Ban Nha để xây dựng mạng cáp riêng. Chính quyền Brazil cũng thông báo loại bỏ Microsoft Outlook để chuyển sang sử dụng hệ thống email riêng của họ.

Mark J. Barrenechea, Giám đốc điều hành OpenText - Công ty phần mềm lớn nhất Canada - cho biết quan điểm chống Mỹ bắt đầu lan rộng sau việc thông qua Luật Yêu nước (Patriot Act), một đạo luật chống khủng bố ra đời sau vụ tấn công khủng bố ngày 11-9-2001 cho phép mở rộng quyền gián điệp của chính quyền. Sau khi hoạt động gián điệp của NSA bị tiết lộ, một trong những khách hàng lớn của OpenText là một công ty thép toàn cầu đặt trụ sở tại Anh yêu cầu dữ liệu của họ không lưu thông qua biên giới nước Mỹ.

Theo các chuyên gia phân tích an ninh, hậu quả từ sự cố Edward Snowden đối với các công ty công nghệ Mỹ cũng tương tự như những gì đã xảy ra cho Huawei Technologies của Trung Quốc. Công ty công nghệ và viễn thông hàng đầu Trung Quốc đã buộc phải từ bỏ nhiều khách hàng và các hợp đồng béo bở ở Mỹ sau khi các nhà lập pháp nước này tuyên bố các sản phẩm của họ có chứa "cửa sau" cho phép quân đội Trung Quốc gián điệp mặc dù cáo buộc này chưa bao giờ được thẩm tra.

Trong khi đó, các chuyên gia phân tích an ninh nhận định các công ty có những cách đối phó để không bị mất khách hàng. Tháng 1/2014, IBM có kế hoạch chi ra 1,2 tỉ USD để xây dựng 15 trung tâm dữ liệu mới - bao gồm ở London, Hồng Công và   Sydney - nhằm mục đích tạo sự yên tâm cho những khách hàng nhạy cảm về địa điểm lưu trữ dữ liệu của họ