Một chuyển biến đầy bất ngờ khi các hãng cung cấp dịch vụ công nghệ lớn của Mỹ như SAP, Hewwlett-Packard Enterprise (HPE), Symantec, McAfee lại cho phép các cơ quan của Nga rà soát các lỗ hổng trên phần mềm của mình.
Mục đích cơ bản của hành động trên là SAP, Symantec, McAfee và nhiều hãng khác muốn kinh doanh tại thị trường Nga và họ buộc phải cho phép giới chức Nga xem xét mã nguồn của một số sản phẩm. Sự việc này đã xảy ra từ cách đây nhiều năm và đến hôm nay mới được tiết lộ.
Nga cho biết hoạt động kiểm tra mã nguồn là cần thiết để phát hiện các lỗ hổng có thể bị hacker khai thác. Thế nhưng trớ trêu thay, nhiều phần mềm bảo mật trong số đó lại đang bảo vệ những khu vực nhạy cảm nhất của chính phủ Mỹ bao gồm Lầu Năm Góc, NASA, Bộ ngoại giao và đặc biệt là cộng đồng tình báo và FBI trước nguy cơ tấn công mạng từ Nga.
Một phần giao diện quản lý của ArcSight.
Theo thông báo từ Reuters, hồi tháng 10 năm ngoái thì phần mềm ArcSight do HPE phát hành và hiện đang được dùng để bảo vệ các máy tính tại Lầu Năm Góc cũng đã được một nhà thầu quân sự có quan hệ chặt chẽ với chính phủ Nga kiểm tra mã nguồn. Ngoài Lầu Năm Góc, ArcSight còn được sử dụng tại ít nhất là 7 tổ chức khác bao gồm Văn phòng giám đốc tình báo quốc gia và đơn vị tình báo của bộ ngoại giao Hoa Kỳ.
Các phần mềm của SAP, Symantec, McAfee được Nga yêu cầu kiểm tra mã nguồn cũng đang được 8 tổ chức sử dụng với nhiều hơn 1 sản phẩm. SAP, Symantec và Micro Focus - công ty đã sáp nhập với HPE và hiện đang sở hữu ArcSight, cho biết tất cả hoạt động kiểm tra mã nguồn đều được thực hiện dưới sự giám sát chặt chẽ của họ tại các trung tâm bảo mật nhằm đảm bảo mã nguồn không bị thay đổi hay loại bỏ. Quy trình này không ảnh hưởng đến khả năng bảo mật của sản phẩm! Trước những mối lo ngại về rủi ro an ninh ngày một tăng thì Symantec và McAfee đều đã không còn cho phép giới chức trách Nga xem xét mã nguồn và bản thân Micro Focus cũng đã hạn chế hoạt động này vào cuối năm ngoái.
Không chỉ Lầu Năm Góc quan ngại về vấn đề trên mà các công ty bảo mật tư nhân, chuyên viên bảo mật cấp cao cũng như những công ty công nghệ hàng đầu của Mỹ cho biết việc cho phép Nga hay Trung Quốc xem xét mã nguồn phần mềm có thể sẽ để lộ những lỗ hổng chưa được biết đến, từ đó những quốc gia này hay hacker có thể khai thác để phá hoại hệ thống an ninh mạng của Hoa Kỳ.
Ngược với Nga, chính phủ Hoa Kỳ ít khi yêu cầu kiểm tra mã nguồn khi mua các phần mềm thương mại!
Bà Jeanne Shaheen - thượng nghị sĩ đảng dân chủ.
Một số nhà lập pháp Hoa Kỳ lo lắng việc đánh giá mã nguồn phần mềm có thể là một cái cớ để Moscow kiếm tiền bằng hoạt động tấn công an ninh mạng. Nói với Reuters, thượng nghị sĩ Jeanne Shaheen cho biết: 'Tôi sợ rằng việc truy cập vào cơ sở hạ tầng an ninh của Mỹ dù là công khai hay bí mật đều có thể mở ra cánh cửa cho những lỗ hổng bảo mật nguy hiểm.'Trong một lá thư được gởi đến vị thượng nghị sĩ này hồi ngày 7 tháng 12 năm ngoái, Lầu Năm góc cho biết họ đang 'xem xét tính khả thi' của việc yêu cầu các nhà sản xuất tiết lộ khi nào họ cho phép chính phủ nước ngoài truy xuất mã nguồn sản phẩm. Shaheen lập tức chất vấn Lầu Năm Góc về vấn đề này, dẫn chứng từ vụ việc về phần mềm ArcSight được Reuters đề cập.
Lamar Smith - chủ tịch đảng Cộng hòa của Ủy ban khoa học, không gian và công nghệ thuộc hạ viện cho rằng Mỹ cần phải có một đạo luật để đảm bảo an toàn cho chuỗi cung cấp giải pháp an ninh mạng liên bang. Trong khi đó đại biểu đảng Dân chủ Jim Langevin, thành viên của Ủy ban dịch vụ vũ trang thuộc hạ viện nói Lầu Năm Góc cần phải nhìn nhận nghiêm túc về vấn đề rằng khi quyết định mua phần mềm thì mọi thế lực thù địch đều muốn xem xét mã nguồn.
Hầu hết các cơ quan thuộc chính phủ Hoa Kỳ vẫn chưa phản hồi khi được hỏi liệu chăng họ có quan ngại khi những phần mềm đang dùng trên hạ tầng mạng của mình bị sói mói bởi các nhà thầu quân sự Nga? Một số cho biết bảo mật là mối quan tâm cao nhất nhưng không nói rõ họ đang dùng phần mềm nào. Trong khi đó một đại diện của Lầu Năm Góc nói rằng cơ quan này vẫn liên tục giám sát các công nghệ thương mại được sử dụng để bảo vệ các điểm yếu bảo mật.
Thông thường những công ty công nghệ muốn tiếp cận thị trường Nga rộng lớn thì sản phẩm của họ phải đạt các chứng chỉ do các cơ quan như Tổng cục An ninh Liên Bang Nga (FSB) và Cơ quan Liên Bang về kỹ thuật và kiểm soát xuất khẩu của Nga (FSTEC) cấp.
FSTEC từ chối bình luận trong khi FSB cũng không phản hồi về vấn đề trên. Tuy nhiên FSTEC là đơn vị thường yêu cầu các công ty phải cho phép một nhà thầu thuộc chính phủ Nga thử nghiệm mã nguồn phần mềm. SAP HANA - một hệ thống cơ sở dữ liệu nổi tiếng của SAP cũng từng trải qua một cuộc kiểm tra mã nguồn để đạt chứng chỉ của Nga vào năm 2016. Phần mềm này lưu trữ và phân tích thông tin cho Bộ ngoại giao, Sở thuế vụ, NASA và quân đội Hoa Kỳ. Người phát ngôn của SAP cho biết hoạt động kiểm tra đã được giám sát nghiêm ngặt và 'tất cả các chính phủ và tổ chức thuộc chính phủ đều như nhau, không có ngoại lệ.
Trụ sở chính của Symantec tại Mountain View, California.
Mặc dù một số công ty đã không còn cho phép giới chức Nga kiểm tra mã nguồn nhưng những sản phẩm của họ vẫn đang được chính phủ Mỹ khai thác và để nâng cấp hay thay thế phải mất hàng nhiều thập niên. Những mối quan ngại về bảo mật đã khiến Symantec phải ngưng toàn bộ hoạt động cấp phép cho các đối tác Nga xem xét mã nguồn vào năm 2016. Tuy nhiên, phần mềm diệt virus Endpoint Protection của Symantec từng được Nga xem xét vào năm 2012 vẫn đang được Lầu Năm Góc, FBI, Sở an sinh xã hội và nhiều tổ chức khác sử dụng cho đến nay.Đại diện Symantec nói rằng phiên bản mới hơn của Endpoint Protection được phát hành năm 2016 chưa từng được kiểm tra mã nguồn và những phiên bản trước đó cũng đã được cập nhật nhiều lần kể từ khi chính phủ Nga đòi xem qua. Symantec khẳng định các cuộc kiểm tra trước đó đều không ảnh hưởng đến phần mềm của mình. Các phiên bản cũ của Endpoint Protection vẫn được Symantec bán đến hết năm 2017 và sẽ tiếp tục được cập nhật đến 2019.
Echelon cũng chính là tổ chức kiểm tra mã nguồn của ArcSight. Tổ chức này mô tả là bản thân là đơn vị thí nghiệm chính thức của FSB, FSTEC và Bộ quốc phòng Nga. Alexey Markov - chủ tịch của Echelon cho biết các công ty Mỹ ban đầu thường tỏ qua quan ngại về quy trình kiểm tra lấy chứng chỉ của Nga. Trong một email ông này cho biết: 'Liệu chúng có bất cứ lỗ hổng nào không? Tất nhiên là có! Không có nhiều người nắm vai trò ký kết hiểu rõ về lập trình, vì thế họ càng hoang mang. Tuy nhiên, trong quá trình làm rõ chi tiết về việc thực hiện các thủ tục chứng nhận, những nguy cơ và rủi ro sẽ được giải quyết tốt hơn.'
Markov cho biết đơn vị của ông luôn thông báo cho các công ty công nghệ trước khi công bố những lỗ hổng được phát hiện với giới chức Nga, từ đó cho phép các công ty vá các lỗ hổng. Ông nói việc xem xét mã nguồn sản phẩm sẽ 'cải thiện đáng kể độ an toàn của chúng.'
Thế nhưng ý kiến của Markov không được tán thành. Chris Inglis - Cựu phó giám đốc Cơ quan an ninh quốc gia (NSA) cho rằng: 'Khi bạn ngồi bàn với một tay chia bài bịp thì bạn không thể tin ai cả. Nếu là tôi, tôi sẽ chẳng cho ai xem mã nguồn!.'
Theo: VentureBeat
