. Công an Nhân dân - An ninh thế giới - An ninh thế giới cuối tháng - Văn nghệ công an
中文 - English

Lỗ hổng an ninh trong phần mềm giám sát học sinh Impero

Thứ Sáu, 27/05/2016, 11:25
Impero - một trong những công cụ phổ biến nhất dùng để giám sát và hạn chế việc sử dụng Internet trong các trường trung học lẫn tiểu học ở Anh - xuất hiện lỗ hổng an ninh nghiêm trọng có thể phơi bày hàng trăm ngàn thông tin cá nhân trẻ em cho hacker tội phạm khai thác.

Công ty cung cấp phần mềm Impero Education Pro sau đó đã nhanh chóng phát hành bản vá lỗi khi nhận được thông tin từ nhà nghiên cứu bảo mật.

Impero Education Pro được sử dụng trong 27% hệ thống trường học ở Anh. Vừa qua, nhà nghiên cứu bảo mật Anh Zammis Clark lên tiếng cảnh báo về lỗ hổng trong giao thức mã hóa của Công ty Impero tạo thuận lợi cho phép hacker xâm nhập toàn bộ mạng máy tính chạy phần mềm Impero và khai thác dữ liệu cá nhân.

Phần mềm Impero giúp giám sát học sinh sử dụng Internet.

Sau đó, đại diện công ty phần mềm thông báo đã cung cấp bản vá lỗi và đang nghiên cứu phát hành các bản cập nhật thường xuyên. Clark cho biết, ông thông báo công khai về lỗ hổng an ninh phần mềm Impero trên Internet mà không tiết lộ riêng với công ty vì vài lý do: "Thứ nhất, cá nhân tôi phản đối chống lại công cụ gián điệp "chống cực đoan". Hai là, do không phải là khách hàng cho nên tôi không biết gửi thông tin đến đâu".

Các trường học ở Anh sử dụng Impero tuyên bố thật ra trước đó công ty phần mềm đã lưu ý về lỗ hổng an ninh song họ chỉ cung cấp vài chi tiết mơ hồ. Đại diện Impero Sofware cũng chỉ trích việc Clark công khai về lỗ hổng trên Internet thay vì bí mật báo tin cho công ty, đồng thời khẳng định "không khách hàng nào bị ảnh hưởng và không dữ liệu nào bị rò rỉ hay khai thác".

Nhóm luật sư của Impero Sofware yêu cầu Clark gỡ xuống mọi nội dung về an ninh phần mềm mà ông đưa lên Internet vì có thể đe dọa đến hoạt động kinh doanh của công ty. Nhóm luật sư lập luận trong một bức thư gửi đến Clark: "Với việc công bố chìa khóa mã hóa trên Internet và mạng xã hội, ông đã cho phép bất cứ ai cũng có thể xâm phạm an ninh phần mềm của khách hàng chúng tôi và viết mã độc để phá hoại".

Mustafa al-Bassam.

Việc tiết lộ công khai những chi tiết về lỗ hổng an ninh phần mềm là đề tài tranh luận sôi nổi trong thế giới bảo mật trực tuyến. Một số người tin rằng việc tiết lộ riêng tư là tốt hơn bởi vì điều đó giúp các công ty có thời gian xác định lỗi trước quyết định công bố cho mọi người biết.

Mustafa al-Bassam chuyên gia bảo mật và cựu thành viên nhóm tin tặc Lulzsec, cho rằng mối đe dọa pháp lý chống lại Zammis Clark là không chấp nhận được, nhất là khi lỗi bảo mật có thể được sử dụng vào mục đích cá nhân hay bán để hưởng lợi hơn. 

Mustafa al-Bassam giải thích: "Phản ứng bằng sự đe dọa pháp lý đối với một nhà nghiên cứu an ninh phơi bày lỗi bảo mật nghiêm trọng trong phần mềm công ty là không chấp nhận được và bộc lộ rõ thái độ hoàn toàn thiếu tôn trọng khách hàng. Các công ty coi bảo mật là yếu tố quảng bá tiếp thị bởi vì vấn đề an ninh thường tác động đến khách hàng hơn là với họ. Tuy nhiên, họ cũng nên tỏ lòng biết ơn khi lỗ hổng an ninh phần mềm được tiết lộ công khai thay vì âm thầm đem bán cho các nhà phát triển mã độc như là Hacking Team".

Phần mềm Education Pro của Impero đóng nhiều vai trò trong hệ thống trường học, bao gồm ngăn chặn hành vi lướt web không được khuyến khích - như việc truy cập những trang web đen người lớn - và giám sát hoạt động sử dụng Internet của học sinh xem có dính líu đến chủ nghĩa cực đoan và khủng bố hay không.

Impero còn cung cấp công cụ theo dõi bàn phím cho 16 trường học ở Anh và 5 trường ở Mỹ, giúp giám sát những từ như là: "Jihadi bride" (cô dâu thánh chiến), "YODO" (nghĩa là: bạn chỉ chết một lần), "War on Islam" (chiến đấu cho Hồi giáo) va â"Storm Fronet" (tên gọi một nhóm tân Quốc xã). Impero cũng phát hành bản danh sách các từ nhạy cảm, như là "jihobbyist" (người ủng hộ tổ chức thánh chiến nhưng không là thành viên năng động) và "Message to America" (video tuyên truyền của tổ chức Nhà nước Hồi giáo tự xưng - IS).

Người phát ngôn cho Impero nói: "Luật an ninh và Chống khủng bố năm 2015 buộc các trường học phải có trách nhiệm ngăn chặn học sinh bị cuốn hút vào chủ nghĩa khủng bố. Phần mềm theo dõi từ khóa giúp nhận biết những học sinh dễ bị lôi kéo. Đây là hệ thống cảnh báo sớm giúp phát hiện những học sinh có thể gặp nguy cơ trong tương lai trước khi giới trẻ trở thành đối tượng bị cực đoan hóa".

Thiên Minh (tổng hợp)
Facebook Twitter Bản in Email Theo dõi trên News
Các tin khác
Ý kiến bạn đọc
.
.
©2024. Bản quyền thuộc về Báo Công An Nhân Dân.
®Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Công An Nhân Dân.