Nhiều hãng bảo mật Mỹ cho Nga kiểm tra mã nguồn, Lầu Năm Góc, FBI ... vẫn tin dùng?
bk9sw
4 nămBình luận: 44
Nhiều hãng bảo mật Mỹ cho Nga kiểm tra mã nguồn, Lầu Năm Góc, FBI ... vẫn tin dùng?
Một chuyển biến đầy bất ngờ khi các hãng cung cấp dịch vụ công nghệ lớn của Mỹ như SAP, Hewwlett-Packard Enterprise (HPE), Symantec, McAfee lại cho phép các cơ quan của Nga rà soát các lỗ hổng trên phần mềm của mình. Điều đáng nói là nhiều phần mềm của trong số đó được chính phủ Mỹ khai thác và theo các nhà làm luật cũng như giới bảo mật, hành động này có thể gây nguy hiểm cho an ninh mạng của hàng chục tổ chức liên bang.

Mục đích cơ bản của hành động trên là SAP, Symantec, McAfee và nhiều hãng khác muốn kinh doanh tại thị trường Nga và họ buộc phải cho phép giới chức Nga xem xét mã nguồn của một số sản phẩm. Sự việc này đã xảy ra từ cách đây nhiều năm và đến hôm nay mới được tiết lộ.

Nga cho biết hoạt động kiểm tra mã nguồn là cần thiết để phát hiện các lỗ hổng có thể bị hacker khai thác. Thế nhưng trớ trêu thay, nhiều phần mềm bảo mật trong số đó lại đang bảo vệ những khu vực nhạy cảm nhất của chính phủ Mỹ bao gồm Lầu Năm Góc, NASA, Bộ ngoại giao và đặc biệt là cộng đồng tình báo và FBI trước nguy cơ tấn công mạng từ Nga.

ArcSight.jpg
Một phần giao diện quản lý của ArcSight.
Theo thông báo từ Reuters, hồi tháng 10 năm ngoái thì phần mềm ArcSight do HPE phát hành và hiện đang được dùng để bảo vệ các máy tính tại Lầu Năm Góc cũng đã được một nhà thầu quân sự có quan hệ chặt chẽ với chính phủ Nga kiểm tra mã nguồn. Ngoài Lầu Năm Góc, ArcSight còn được sử dụng tại ít nhất là 7 tổ chức khác bao gồm Văn phòng giám đốc tình báo quốc gia và đơn vị tình báo của bộ ngoại giao Hoa Kỳ.

Quảng cáo



Các phần mềm của SAP, Symantec, McAfee được Nga yêu cầu kiểm tra mã nguồn cũng đang được 8 tổ chức sử dụng với nhiều hơn 1 sản phẩm. SAP, Symantec và Micro Focus - công ty đã sáp nhập với HPE và hiện đang sở hữu ArcSight, cho biết tất cả hoạt động kiểm tra mã nguồn đều được thực hiện dưới sự giám sát chặt chẽ của họ tại các trung tâm bảo mật nhằm đảm bảo mã nguồn không bị thay đổi hay loại bỏ. Quy trình này không ảnh hưởng đến khả năng bảo mật của sản phẩm! Trước những mối lo ngại về rủi ro an ninh ngày một tăng thì Symantec và McAfee đều đã không còn cho phép giới chức trách Nga xem xét mã nguồn và bản thân Micro Focus cũng đã hạn chế hoạt động này vào cuối năm ngoái.

Không chỉ Lầu Năm Góc quan ngại về vấn đề trên mà các công ty bảo mật tư nhân, chuyên viên bảo mật cấp cao cũng như những công ty công nghệ hàng đầu của Mỹ cho biết việc cho phép Nga hay Trung Quốc xem xét mã nguồn phần mềm có thể sẽ để lộ những lỗ hổng chưa được biết đến, từ đó những quốc gia này hay hacker có thể khai thác để phá hoại hệ thống an ninh mạng của Hoa Kỳ.

US Army.jpg
Steve Quane - phó chủ tịch điều hành mảng an ninh mạng tại công ty bảo mật Trend Micro cho biết "Việc cho người ta xem mã nguồn chỉ trong một phút thôi cũng đủ gây ra nguy hiểm lớn." Trend Micro hiện tại đang cung cấp giải pháp bảo mật TippingPoint cho quân đội Hoa Kỳ và hãng này đã từ chối cho phép người Nga thực hiện một cuộc kiểm tra mã nguồn của TippingPoint, Quane cho biết. Ông nhấn mạnh rằng những nhà nghiên cứu bảo mật hàng đầu có thể nhanh chóng phát hiện các lỗ hổng trong phần mềm chỉ với việc xem qua mã nguồn và nhấn mạnh rằng: "Chúng tôi biết có những người có thể làm điều này bởi chúng tôi có những con người như vậy đang làm việc cho chúng tôi."

Ngược với Nga, chính phủ Hoa Kỳ ít khi yêu cầu kiểm tra mã nguồn khi mua các phần mềm thương mại!

Jeanne Shaheen.jpg
Bà Jeanne Shaheen - thượng nghị sĩ đảng dân chủ.
Một số nhà lập pháp Hoa Kỳ lo lắng việc đánh giá mã nguồn phần mềm có thể là một cái cớ để Moscow kiếm tiền bằng hoạt động tấn công an ninh mạng. Nói với Reuters, thượng nghị sĩ Jeanne Shaheen cho biết: "Tôi sợ rằng việc truy cập vào cơ sở hạ tầng an ninh của Mỹ dù là công khai hay bí mật đều có thể mở ra cánh cửa cho những lỗ hổng bảo mật nguy hiểm."

Trong một lá thư được gởi đến vị thượng nghị sĩ này hồi ngày 7 tháng 12 năm ngoái, Lầu Năm góc cho biết họ đang "xem xét tính khả thi" của việc yêu cầu các nhà sản xuất tiết lộ khi nào họ cho phép chính phủ nước ngoài truy xuất mã nguồn sản phẩm. Shaheen lập tức chất vấn Lầu Năm Góc về vấn đề này, dẫn chứng từ vụ việc về phần mềm ArcSight được Reuters đề cập.

Lamar Smith - chủ tịch đảng Cộng hòa của Ủy ban khoa học, không gian và công nghệ thuộc hạ viện cho rằng Mỹ cần phải có một đạo luật để đảm bảo an toàn cho chuỗi cung cấp giải pháp an ninh mạng liên bang. Trong khi đó đại biểu đảng Dân chủ Jim Langevin, thành viên của Ủy ban dịch vụ vũ trang thuộc hạ viện nói Lầu Năm Góc cần phải nhìn nhận nghiêm túc về vấn đề rằng khi quyết định mua phần mềm thì mọi thế lực thù địch đều muốn xem xét mã nguồn.

Quảng cáo



Hầu hết các cơ quan thuộc chính phủ Hoa Kỳ vẫn chưa phản hồi khi được hỏi liệu chăng họ có quan ngại khi những phần mềm đang dùng trên hạ tầng mạng của mình bị sói mói bởi các nhà thầu quân sự Nga? Một số cho biết bảo mật là mối quan tâm cao nhất nhưng không nói rõ họ đang dùng phần mềm nào. Trong khi đó một đại diện của Lầu Năm Góc nói rằng cơ quan này vẫn liên tục giám sát các công nghệ thương mại được sử dụng để bảo vệ các điểm yếu bảo mật.
Thông thường những công ty công nghệ muốn tiếp cận thị trường Nga rộng lớn thì sản phẩm của họ phải đạt các chứng chỉ do các cơ quan như Tổng cục An ninh Liên Bang Nga (FSB) và Cơ quan Liên Bang về kỹ thuật và kiểm soát xuất khẩu của Nga (FSTEC) cấp.

FSTEC từ chối bình luận trong khi FSB cũng không phản hồi về vấn đề trên. Tuy nhiên FSTEC là đơn vị thường yêu cầu các công ty phải cho phép một nhà thầu thuộc chính phủ Nga thử nghiệm mã nguồn phần mềm. SAP HANA - một hệ thống cơ sở dữ liệu nổi tiếng của SAP cũng từng trải qua một cuộc kiểm tra mã nguồn để đạt chứng chỉ của Nga vào năm 2016. Phần mềm này lưu trữ và phân tích thông tin cho Bộ ngoại giao, Sở thuế vụ, NASA và quân đội Hoa Kỳ. Người phát ngôn của SAP cho biết hoạt động kiểm tra đã được giám sát nghiêm ngặt và "tất cả các chính phủ và tổ chức thuộc chính phủ đều như nhau, không có ngoại lệ.

Symantec.jpg
Trụ sở chính của Symantec tại Mountain View, California.
Mặc dù một số công ty đã không còn cho phép giới chức Nga kiểm tra mã nguồn nhưng những sản phẩm của họ vẫn đang được chính phủ Mỹ khai thác và để nâng cấp hay thay thế phải mất hàng nhiều thập niên. Những mối quan ngại về bảo mật đã khiến Symantec phải ngưng toàn bộ hoạt động cấp phép cho các đối tác Nga xem xét mã nguồn vào năm 2016. Tuy nhiên, phần mềm diệt virus Endpoint Protection của Symantec từng được Nga xem xét vào năm 2012 vẫn đang được Lầu Năm Góc, FBI, Sở an sinh xã hội và nhiều tổ chức khác sử dụng cho đến nay.

Đại diện Symantec nói rằng phiên bản mới hơn của Endpoint Protection được phát hành năm 2016 chưa từng được kiểm tra mã nguồn và những phiên bản trước đó cũng đã được cập nhật nhiều lần kể từ khi chính phủ Nga đòi xem qua. Symantec khẳng định các cuộc kiểm tra trước đó đều không ảnh hưởng đến phần mềm của mình. Các phiên bản cũ của Endpoint Protection vẫn được Symantec bán đến hết năm 2017 và sẽ tiếp tục được cập nhật đến 2019.

Quảng cáo


McAfee SIEM.png
Trong khi đó McAfee từng công bố hồi năm ngoái rằng công ty không còn cho phép chính phủ nước ngoài xem xét mã nguồn phần mềm. Hãng thừa nhận vào năm 2015, phần mềm Security Information & Event Management (SIEM) của mình đã được nhà thầu quân sự Echelon, đại diện cho FSTEC xem xét mã nguồn theo các quy định của Nga. SIEM hiện đang được Bộ tài chính và quốc phòng Hoa Kỳ sử dụng để bảo vệ hạ tầng mạng của mình.

Echelon cũng chính là tổ chức kiểm tra mã nguồn của ArcSight. Tổ chức này mô tả là bản thân là đơn vị thí nghiệm chính thức của FSB, FSTEC và Bộ quốc phòng Nga. Alexey Markov - chủ tịch của Echelon cho biết các công ty Mỹ ban đầu thường tỏ qua quan ngại về quy trình kiểm tra lấy chứng chỉ của Nga. Trong một email ông này cho biết: "Liệu chúng có bất cứ lỗ hổng nào không? Tất nhiên là có! Không có nhiều người nắm vai trò ký kết hiểu rõ về lập trình, vì thế họ càng hoang mang. Tuy nhiên, trong quá trình làm rõ chi tiết về việc thực hiện các thủ tục chứng nhận, những nguy cơ và rủi ro sẽ được giải quyết tốt hơn."

Markov cho biết đơn vị của ông luôn thông báo cho các công ty công nghệ trước khi công bố những lỗ hổng được phát hiện với giới chức Nga, từ đó cho phép các công ty vá các lỗ hổng. Ông nói việc xem xét mã nguồn sản phẩm sẽ "cải thiện đáng kể độ an toàn của chúng."

Thế nhưng ý kiến của Markov không được tán thành. Chris Inglis - Cựu phó giám đốc Cơ quan an ninh quốc gia (NSA) cho rằng: "Khi bạn ngồi bàn với một tay chia bài bịp thì bạn không thể tin ai cả. Nếu là tôi, tôi sẽ chẳng cho ai xem mã nguồn!."

Theo: VentureBeat
Putin.jpg
H Nga Mỹ.jpg
C US Cyber.jpg
44 bình luận
odysseyntn
TÍCH CỰC
4 năm
tóm lại là mấy phần mềm bảo mật hay quản lý muốn bán và hoạt động tại Nga thì phải cho Nga xem mã nguồn, mà mấy phần mềm này thì Mẽo cũng dùng và Mẽo cũng chưa có điều luật bắt mấy công ty này phải cung cấp mã nguồn như Nga hay Trung Quốc
lehunghmu
TÍCH CỰC
4 năm
@odysseyntn đơn giản là cônt ty trong nước không bao giò phản quốc .nên họ không kiểm tra thôi
@lehunghmu =]] Công ty thì tiền bạc là quan trọng chứ phản quốc hay không quan trọng gì.
@ ict
TÍCH CỰC
4 năm
@odysseyntn Nó là phần mềm nước ngoài kiểm tra là chuyện bình thường, Khi cty đó lại nằm ở nước đối thủ.
icon929
TÍCH CỰC
4 năm
2 thằng này cũng ngang nhau thôi
iOS mà lộ mã nguồn thì... 😁
lehunghmu
TÍCH CỰC
4 năm
@Ga2018 trung quóc nó bắt apple cho xem mã nguồn từ lâu rồi
@lehunghmu Xin ít link đi bác .
@Ga2018 Mấy cái jailbreak toàn từ TQ thì biết vì sao rồi đấy :D
Tôi nhìn thấy con HP 8460 :v
nghia3d
CAO CẤP
4 năm
@MysticForce trước xài con này chết vga,mua 21 củ bán được 3 củ 😔
nmmvnnnet
ĐẠI BÀNG
4 năm
Làm gì có chuyện này xảy ra trong ngành kinh doanh phần mềm. Source code phải được giữ bí mật an toàn.
icewine
ĐẠI BÀNG
4 năm
@nmmvnnnet Bán cho tư nhân thì ko ai quan tâm. Chứ muốn bán cho cơ quan chính phủ, nhất là có liên quan đến an ninh quốc phòng thì phải cho coi mã nguồn, ko thì ai biết phần mềm có an toàn hay ko.
@nmmvnnnet Nó xem có giám sát và ko có copy mà, ko xem thì sao biết lỗ hổng đc.
việc chính phủ các nước yêu cầu cũng đúng vì bản thân các phần mềm của Mỹ có cài cắm thêm gì hay ko thì ai mà biết đc @@.
Giống như Mỹ nghi ngờ Kas mà ko có lý do gì, kể cả Kas sẵn sàng show source code.
Còn Nga thì cẩn thận hơn bắt show từ đầu. Dùng toàn phần mềm Mỹ trong chính phủ nguy hiểm bỏ mịa. Lại toàn phần mềm lớn có quyền truy cập sâu.
firestork
TÍCH CỰC
4 năm
@nmmvnnnet Ai bảo không có, chắc bạn không làm software hoặc chưa đụng đến việc xem mã nguồn của partner thôi
😃 Việt Nam yêu cầu Facebook cho coi mã nguồn
@RayNam Cứ như là khách muốn tới nhà phải lột đồ cho xem ... 😁
@Bão Sài Gòn Ơ ý này hay, Tết này mình áp dụng thử với mấy em đồng nghiệp xem sao
hacklife
TÍCH CỰC
4 năm
Nga khôn và Mỹ ngố.
TonyWu
CAO CẤP
4 năm
Hội chứng sợ Nga.
Thế Châu Âu check mã nguồn hoài, thì có nói gì đâu.
Dame 89
ĐẠI BÀNG
4 năm
xem dc và hiểu dc hết chắc toàn là giáo sư tiến sĩ.
@Dame 89 Thêm nữa. Bác học nửa chứ
Code của chính mình viết chỉ cần bỏ khoảng 1 năm thôi cần mở ra xem lại đố hiểu liền, nếu không có nhưng dòng chú thích kế bên. Chỉ cần 1Mb code thôi đọc lòi mắt rồi, chưa nói đến hiểu rỏ, chứ cả bộ phần mềm cài đặt chắc tốn nhân lực khủng
😁 Thấy bóng dáng Norton
SAP của Đức mà Mỹ đâu
micheal nổ
ĐẠI BÀNG
4 năm
4235017_H_Nga_My.jpg
Chum : anh Chipu Tin kiểm tra vân tay dùm em có bị virus ko anh
Chipu tin : úm ùm..... quay tay ít thôi em
ThThLam
TÍCH CỰC
4 năm
BKAV nên sang Đubai và Nga kinh doanh phần mềm diệt dirút. Cạnh tranh với thế giới.
Mình cảm thấy tự hào.
chu thao
ĐẠI BÀNG
4 năm
@ThThLam bkav khong ra gi minh vua mua McAfee 1 nam 69 do la bkav co 290k lay dau gia tot duoc
cmt đầu mà bị xóa akay đấy:rolleyes:. nói đúng sự thật mà bị xóa đúng là không nơi nào tự do ngôn luận bằng Tinhte.vn 🆒
@MysticForce bạn cmt cái gì thế
tranphat1802
ĐẠI BÀNG
4 năm
Liên xô còn chống Mỹ dài dài nhé ?
sticker
TÍCH CỰC
4 năm
nó có mà đưa hết đấy, ngây thơ vcl
t2t393
ĐẠI BÀNG
4 năm
thằng Mỹ này nó luôn tâng bốc Nga hay TQ lên tận mây, làm cho ai cũng sợ, nhưng thằng Mỹ chính là thằng khôn và nguy hiểm nhất, Nga với TQ vẫn thua thằng Mỹ cái đầu.
@t2t393 từ thời trump mới có vụ bắt tay nga với tq chứ, obama toàn làm mặt lạnh không
luckyboy71
ĐẠI BÀNG
4 năm
Tư bản là vậy, hãy trả giá cao... tao làm tất.







  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2021 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019