Các hãng bảo mật của Mỹ cho phép Nga rà soát các lỗ hổng trên phần mềm của mình

Một chuyển biến đầy bất ngờ khi các hãng cung cấp dịch vụ công nghệ lớn của Mỹ như SAP, Hewwlett-Packard Enterprise (HPE), Symantec, McAfee lại cho phép các cơ quan của Nga rà soát các lỗ hổng trên phần mềm của mình.
Các hãng bảo mật của Mỹ cho phép Nga rà soát các lỗ hổng trên phần mềm của mình
Điều đáng nói là nhiều phần mềm của trong số đó được chính phủ Mỹ khai thác và theo các nhà làm luật cũng như giới bảo mật, hành động này có thể gây nguy hiểm cho an ninh mạng của hàng chục tổ chức liên bang.
Mục đích cơ bản của hành động trên là SAP, Symantec, McAfee và nhiều hãng khác muốn kinh doanh tại thị trường Nga và họ buộc phải cho phép giới chức Nga xem xét mã nguồn của một số sản phẩm. Sự việc này đã xảy ra từ cách đây nhiều năm và đến hôm nay mới được tiết lộ.
Nga cho biết hoạt động kiểm tra mã nguồn là cần thiết để phát hiện các lỗ hổng có thể bị hacker khai thác. Thế nhưng trớ trêu thay, nhiều phần mềm bảo mật trong số đó lại đang bảo vệ những khu vực nhạy cảm nhất của chính phủ Mỹ bao gồm Lầu Năm Góc, NASA, Bộ ngoại giao và đặc biệt là cộng đồng tình báo và FBI trước nguy cơ tấn công mạng từ Nga.
Một phần giao diện quản lý của ArcSight.
Theo thông báo từ Reuters, hồi tháng 10 năm ngoái thì phần mềm ArcSight do HPE phát hành và hiện đang được dùng để bảo vệ các máy tính tại Lầu Năm Góc cũng đã được một nhà thầu quân sự có quan hệ chặt chẽ với chính phủ Nga kiểm tra mã nguồn. Ngoài Lầu Năm Góc, ArcSight còn được sử dụng tại ít nhất là 7 tổ chức khác bao gồm Văn phòng giám đốc tình báo quốc gia và đơn vị tình báo của bộ ngoại giao Hoa Kỳ.
Các phần mềm của SAP, Symantec, McAfee được Nga yêu cầu kiểm tra mã nguồn cũng đang được 8 tổ chức sử dụng với nhiều hơn 1 sản phẩm. SAP, Symantec và Micro Focus - công ty đã sáp nhập với HPE và hiện đang sở hữu ArcSight, cho biết tất cả hoạt động kiểm tra mã nguồn đều được thực hiện dưới sự giám sát chặt chẽ của họ tại các trung tâm bảo mật nhằm đảm bảo mã nguồn không bị thay đổi hay loại bỏ. Quy trình này không ảnh hưởng đến khả năng bảo mật của sản phẩm! Trước những mối lo ngại về rủi ro an ninh ngày một tăng thì Symantec và McAfee đều đã không còn cho phép giới chức trách Nga xem xét mã nguồn và bản thân Micro Focus cũng đã hạn chế hoạt động này vào cuối năm ngoái.
Không chỉ Lầu Năm Góc quan ngại về vấn đề trên mà các công ty bảo mật tư nhân, chuyên viên bảo mật cấp cao cũng như những công ty công nghệ hàng đầu của Mỹ cho biết việc cho phép Nga hay Trung Quốc xem xét mã nguồn phần mềm có thể sẽ để lộ những lỗ hổng chưa được biết đến, từ đó những quốc gia này hay hacker có thể khai thác để phá hoại hệ thống an ninh mạng của Hoa Kỳ.
Steve Quane - phó chủ tịch điều hành mảng an ninh mạng tại công ty bảo mật Trend Micro cho biết 'Việc cho người ta xem mã nguồn chỉ trong một phút thôi cũng đủ gây ra nguy hiểm lớn.' Trend Micro hiện tại đang cung cấp giải pháp bảo mật TippingPoint cho quân đội Hoa Kỳ và hãng này đã từ chối cho phép người Nga thực hiện một cuộc kiểm tra mã nguồn của TippingPoint, Quane cho biết. Ông nhấn mạnh rằng những nhà nghiên cứu bảo mật hàng đầu có thể nhanh chóng phát hiện các lỗ hổng trong phần mềm chỉ với việc xem qua mã nguồn và nhấn mạnh rằng: 'Chúng tôi biết có những người có thể làm điều này bởi chúng tôi có những con người như vậy đang làm việc cho chúng tôi.'
Ngược với Nga, chính phủ Hoa Kỳ ít khi yêu cầu kiểm tra mã nguồn khi mua các phần mềm thương mại!
Bà Jeanne Shaheen - thượng nghị sĩ đảng dân chủ.
Một số nhà lập pháp Hoa Kỳ lo lắng việc đánh giá mã nguồn phần mềm có thể là một cái cớ để Moscow kiếm tiền bằng hoạt động tấn công an ninh mạng. Nói với Reuters, thượng nghị sĩ Jeanne Shaheen cho biết: 'Tôi sợ rằng việc truy cập vào cơ sở hạ tầng an ninh của Mỹ dù là công khai hay bí mật đều có thể mở ra cánh cửa cho những lỗ hổng bảo mật nguy hiểm.'
Trong một lá thư được gởi đến vị thượng nghị sĩ này hồi ngày 7 tháng 12 năm ngoái, Lầu Năm góc cho biết họ đang 'xem xét tính khả thi' của việc yêu cầu các nhà sản xuất tiết lộ khi nào họ cho phép chính phủ nước ngoài truy xuất mã nguồn sản phẩm. Shaheen lập tức chất vấn Lầu Năm Góc về vấn đề này, dẫn chứng từ vụ việc về phần mềm ArcSight được Reuters đề cập.
Lamar Smith - chủ tịch đảng Cộng hòa của Ủy ban khoa học, không gian và công nghệ thuộc hạ viện cho rằng Mỹ cần phải có một đạo luật để đảm bảo an toàn cho chuỗi cung cấp giải pháp an ninh mạng liên bang. Trong khi đó đại biểu đảng Dân chủ Jim Langevin, thành viên của Ủy ban dịch vụ vũ trang thuộc hạ viện nói Lầu Năm Góc cần phải nhìn nhận nghiêm túc về vấn đề rằng khi quyết định mua phần mềm thì mọi thế lực thù địch đều muốn xem xét mã nguồn.
Hầu hết các cơ quan thuộc chính phủ Hoa Kỳ vẫn chưa phản hồi khi được hỏi liệu chăng họ có quan ngại khi những phần mềm đang dùng trên hạ tầng mạng của mình bị sói mói bởi các nhà thầu quân sự Nga? Một số cho biết bảo mật là mối quan tâm cao nhất nhưng không nói rõ họ đang dùng phần mềm nào. Trong khi đó một đại diện của Lầu Năm Góc nói rằng cơ quan này vẫn liên tục giám sát các công nghệ thương mại được sử dụng để bảo vệ các điểm yếu bảo mật.
Thông thường những công ty công nghệ muốn tiếp cận thị trường Nga rộng lớn thì sản phẩm của họ phải đạt các chứng chỉ do các cơ quan như Tổng cục An ninh Liên Bang Nga (FSB) và Cơ quan Liên Bang về kỹ thuật và kiểm soát xuất khẩu của Nga (FSTEC) cấp.
FSTEC từ chối bình luận trong khi FSB cũng không phản hồi về vấn đề trên. Tuy nhiên FSTEC là đơn vị thường yêu cầu các công ty phải cho phép một nhà thầu thuộc chính phủ Nga thử nghiệm mã nguồn phần mềm. SAP HANA - một hệ thống cơ sở dữ liệu nổi tiếng của SAP cũng từng trải qua một cuộc kiểm tra mã nguồn để đạt chứng chỉ của Nga vào năm 2016. Phần mềm này lưu trữ và phân tích thông tin cho Bộ ngoại giao, Sở thuế vụ, NASA và quân đội Hoa Kỳ. Người phát ngôn của SAP cho biết hoạt động kiểm tra đã được giám sát nghiêm ngặt và 'tất cả các chính phủ và tổ chức thuộc chính phủ đều như nhau, không có ngoại lệ.
Trụ sở chính của Symantec tại Mountain View, California.
Mặc dù một số công ty đã không còn cho phép giới chức Nga kiểm tra mã nguồn nhưng những sản phẩm của họ vẫn đang được chính phủ Mỹ khai thác và để nâng cấp hay thay thế phải mất hàng nhiều thập niên. Những mối quan ngại về bảo mật đã khiến Symantec phải ngưng toàn bộ hoạt động cấp phép cho các đối tác Nga xem xét mã nguồn vào năm 2016. Tuy nhiên, phần mềm diệt virus Endpoint Protection của Symantec từng được Nga xem xét vào năm 2012 vẫn đang được Lầu Năm Góc, FBI, Sở an sinh xã hội và nhiều tổ chức khác sử dụng cho đến nay.
Đại diện Symantec nói rằng phiên bản mới hơn của Endpoint Protection được phát hành năm 2016 chưa từng được kiểm tra mã nguồn và những phiên bản trước đó cũng đã được cập nhật nhiều lần kể từ khi chính phủ Nga đòi xem qua. Symantec khẳng định các cuộc kiểm tra trước đó đều không ảnh hưởng đến phần mềm của mình. Các phiên bản cũ của Endpoint Protection vẫn được Symantec bán đến hết năm 2017 và sẽ tiếp tục được cập nhật đến 2019.
Trong khi đó McAfee từng công bố hồi năm ngoái rằng công ty không còn cho phép chính phủ nước ngoài xem xét mã nguồn phần mềm. Hãng thừa nhận vào năm 2015, phần mềm Security Information & Event Management (SIEM) của mình đã được nhà thầu quân sự Echelon, đại diện cho FSTEC xem xét mã nguồn theo các quy định của Nga. SIEM hiện đang được Bộ tài chính và quốc phòng Hoa Kỳ sử dụng để bảo vệ hạ tầng mạng của mình.
Echelon cũng chính là tổ chức kiểm tra mã nguồn của ArcSight. Tổ chức này mô tả là bản thân là đơn vị thí nghiệm chính thức của FSB, FSTEC và Bộ quốc phòng Nga. Alexey Markov - chủ tịch của Echelon cho biết các công ty Mỹ ban đầu thường tỏ qua quan ngại về quy trình kiểm tra lấy chứng chỉ của Nga. Trong một email ông này cho biết: 'Liệu chúng có bất cứ lỗ hổng nào không? Tất nhiên là có! Không có nhiều người nắm vai trò ký kết hiểu rõ về lập trình, vì thế họ càng hoang mang. Tuy nhiên, trong quá trình làm rõ chi tiết về việc thực hiện các thủ tục chứng nhận, những nguy cơ và rủi ro sẽ được giải quyết tốt hơn.'
Markov cho biết đơn vị của ông luôn thông báo cho các công ty công nghệ trước khi công bố những lỗ hổng được phát hiện với giới chức Nga, từ đó cho phép các công ty vá các lỗ hổng. Ông nói việc xem xét mã nguồn sản phẩm sẽ 'cải thiện đáng kể độ an toàn của chúng.'
Thế nhưng ý kiến của Markov không được tán thành. Chris Inglis - Cựu phó giám đốc Cơ quan an ninh quốc gia (NSA) cho rằng: 'Khi bạn ngồi bàn với một tay chia bài bịp thì bạn không thể tin ai cả. Nếu là tôi, tôi sẽ chẳng cho ai xem mã nguồn!.'
Theo: VentureBeat

TIN LIÊN QUAN

CEO McAfee Enterprise châu Á khuyến nghị cách xây dựng môi trường CSSK an toàn hơn

Dữ liệu chăm sóc sức khỏe CSSK tiếp tục là mục tiêu hàng đầu của tội phạm mạng trên toàn thế giới. Ở khu vực Đông Nam Á, một số cơ sở y tế đã trở thành nạn nhân của các cuộc tấn công mạng trong thời gian gần đây.

Phát hiện một cuộc tấn công có chủ đích nhằm vào Việt Nam

Chia sẻ với phóng viên VietnamPlus chiều 7/9, đại diện Công ty an ninh mạng CMC InfoSec cho biết, hai ngày trước, hãng bảo mật FortiGuard Labs đã phát hiện một số tài liệu chữa mã độc, với tên gọi là Rehashed RAT - được sử dụng để khai thác lỗ hổng

Cảnh báo nguy cơ tin tặc tấn công mạng lưới điện ở Mỹ và châu Âu

Hãng bảo mật máy tính Symantec ngày 6/9 cho biết một nhóm tin tặc có tên là Dragonfly 2.0 đã xâm nhập vào các hệ thống kiểm soát mạng lưới phân phối điện ở Mỹ và châu Âu, làm dấy lên nguy cơ xảy ra các vụ mất điện nguy hiểm do điều khiển từ xa.

Phát hiện lỗ hổng bảo mật nghiêm trọng trên hệ điều hành Windows 10

Theo nhà phân tích CERT/CC Phil Dormann lỗ hổng bảo mật này được cho là một lỗ hổng zero-day trên hệ điều hành Windows 10 khi nó có thể cho phép các hacker tấn công và chiếm được quyền điều khiển các thiết bị máy tính. Lỗi này được công bố bởi một

Hơn 7.000 thiết bị mạng tại Việt Nam dính lỗ hổng bảo mật Dnsmasq

Theo thống kê sơ bộ, có hơn 7.000 router của các nhà mạng lớn tại Việt Nam có thể bị tin tặc khai thác qua lỗ hổng bảo mật Dnsmasq.

Cập nhật bản vá 53 lỗ hổng quan trọng trong Windows 10

Trong đó có 19 lỗi được đánh giá là rất quan trọng, 31 lỗi quan trọng và 3 lỗi có mức độ vừa phải.

Những vấn đề cốt lõi trong quản lý lỗ hổng bảo mật thời đại dịch

Một cách tiếp cận toàn diện để quản lý lỗ hổng bảo mật là điều quan trọng, bao gồm xác định, báo cáo, đánh giá và sắp xếp thứ tự ưu tiên.

Tiết lộ mã khai thác DDoS sử dụng máy chủ Memcached

Công cụ DDoS đầu tiên được viết bằng ngôn ngữ lập trình C và hoạt động với một danh sách các máy chủ Memcached tồn tại lỗ hổng đã được liệt kê từ trước. Theo đó, công cụ này bao gồm danh sách gần 17.000 máy chủ Memcached tồn tại lỗ hổng tiềm năng

THỦ THUẬT HAY

Hướng dẫn kết bạn, xóa bạn trên Steam cho người mới sử dụng

Steam là một nền tảng chơi game trực tuyến phổ biến với hơn 120 triệu người dùng trên toàn thế giới. Với Steam, bạn có thể kết nối và chơi game với bạn bè của mình một cách dễ dàng. Trong bài viết này, chúng tôi sẽ

Cách bật phụ đề trên Google Meet để ngoại ngữ không còn là rào cản

Bật phụ đề trong Google Meet sẽ giúp mọi người trong cuộc họp trực tuyến đến từ nhiều quốc gia dễ dàng theo dõi nội dung hơn. Sau đây là cách bật phụ đề trên Google Meet...

12 Facebook Page hữu ích cho người học tiếng Anh

“Like” và Follow những trang học tiếng Anh này sẽ khiến thói quen lướt Facebook của bạn trở nên vô cùng ý nghĩa.

Tắt Wi-Fi khi kết nối mạng dây trên Windows 10

Giống như hầu hết mọi người, bạn có thể có kết nối Ethernet chuyên dụng và sử dụng cả Wi-Fi ở nhà. Nhưng Wi-Fi gây hao pin, vì vậy bạn nên tắt nó đi khi bạn đang sử dụng mạng dây.

Sự thật khắc nghiệt về học kỹ năng: Muốn trở thành chuyên gia, bạn phải chấp nhận đau đớn

'Thành công qua một đêm' không hề tồn tại. Muốn đạt được sự thành thạo trong bất cứ việc gì, bạn cũng phải trải qua đau đớn và sự kiên gan, bền bị sẽ giúp bạn vượt qua tất cả.

ĐÁNH GIÁ NHANH

Đánh giá camera Google Pixel: tuyệt vời HDR+

Với thuật toán từ HDR+, Google Pixel đã vươn mình trở thành một trong những camera phone có khả năng chụp ảnh tốt nhất thế giới hiện nay

Đánh giá Nvidia GeForce RTX 2080: Hiệu năng tuyệt vời nhưng giá thành đắt đỏ

Giá của RTX 2080 được Nvidia đưa ra là $799 cao hơn khá nhiều so với GTX 1080 khi ra mắt là $549. Tuy nhiên đây là giá của phiên bản Founders (phiên bản cao cấp của GPU của Nvidia). Bạn sẽ tìm thấy các phiên bản khác