Lỗ
hổng bảo mật trên các trình ứng dụng trực tuyến nhiều khả năng sẽ bị
“bỏ mặc” khi giới hacker “mũ trắng” không muốn “khui” ra vì ngại gặp
rắc rối với pháp luật.
Nguy cơ hiện hữu
Các
ứng dụng web hiện đang đẩy những chuyên gia săn tìm lỗ hổng bảo mật vào
tình thế cực kỳ khó xử: Làm thế nào để kiểm nghiệm được độ bảo mật của
chúng mà không bị tống giam? Bởi một lẽ đơn giản, khi kiểm nghiệm các
phần mềm quen thuộc như Windows hay Word, họ hoàn toàn làm được trên
máy tính cá nhân, song với các trình ứng dụng web, những phần mềm chạy
trên máy chủ do người khác quản lý, việc khảo sát độ bảo mật sẽ là phạm
pháp và dễ bị truy tố như chơi!
Ông Wendy
Seltzer, phó giáo sư luật Internet thuộc đại học luật Brooklyn, New
York cho biết: “Ngày càng nhiều những đe doạ về mặt pháp luật trong
việc kiểm nghiệm một phần mềm chạy trên hệ thống do người khác quản lý.
Đây quả là thách thức thật sự của mô hình phần mềm mới này”.
Và vì những
đe doạ pháp luật đó, những hacker mũ trắng vốn một thời được tôn vinh
vì những phát hiện hữu ích trên các phần mềm truyền thống nay lại tỏ ý
ngần ngại trước chuyện “dò xét” những ứng dụng web. Điều này có nghĩa,
các trình ứng dụng web sẽ không được “săm soi” kỹ lưỡng như các phần
mềm truyền thống và các lỗ hổng bảo mật có nguy cơ bị "để dành lại" cho
những hacker mũ đen.
Ông Jeremiah
Grossman, giám đốc công nghệ công ty bảo mật web WhiteHat Security nhận
định: “Chúng ta đang mất dần "động lực vì cộng đồng" trong lĩnh vực bảo
mật. Nếu việc tìm kiếm các sơ hở bảo mật trên website bị coi là phạm
pháp, vậy thì có nghĩa rằng chỉ có những kẻ xấu mới biết chỗ những sơ
hở đó. Đây quả là một trong những vấn đề lớn của lĩnh vực bảo mật thông
tin, khi chúng ta chuyển sang kỷ nguyên của Web 2.0”.
Ông Caleb
Sima, giám đốc công nghệ của hãng bảo mật web SPIDynamics tán đồng quan
điểm cho rằng, những đe doạ về mặt pháp luật đã ảnh hưởng “đáng kể”
trong việc khiến cho các ứng dụng web giảm khả năng an toàn. Ông nói:
“Nếu có lỗ hổng bảo mật, chắc chắn sẽ chỉ có các hacker mũ đen tìm ra
chúng vì họ chẳng phải sợ bất cứ điều gì. Thực tế này sẽ khiến mức độ
bảo mật của các ứng dụng web giảm đi”.
Xu hướng tấn
công “Web 2.0” đang ngày một rầm rộ hơn khi công nghệ này có khả năng
“mở rộng” các tính năng của website. Tuy nhiên, cũng theo các chuyên
gia, khi những trang web có thêm nhiều tính năng và phương thức hoạt
động gần giống với các trình ứng dụng desktop thì các nguy cơ bảo mật
cũng tăng theo.
Luật pháp cứng nhắc?
 |
| Nguồn ảnh: anitian.com | Theo
ông Jonathan Zittrain, giáo sư về quy định và quản lý Internet thuộc
Viện nghiên cứu Internet, đại học Oxford, việc tìm kiếm lỗ hổng chương
trình đã trở nên nhàm tẻ đối với những người chuyên khảo sát các phần
mềm desktop vì họ hoàn toàn có thể “xé rào” luật pháp để làm điều đó.
Song với các trang web thì mọi thứ lại hết sức rành mạch.
Ông Zittrain
nói: “Theo điều luật về lạm dụng và gian lận máy tính ở Mỹ (Computer
Fraud and Abuse) cũng như các điều luật tương ứng ở nhiều nước khác,
truy cập trái phép vào máy tính kể cả vượt quyền truy cập cho phép đều
là phạm tội. Ấy thế mà hành vi “hack” máy tính để tìm kiếm lỗ hổng bảo
mật (trong trình ứng dụng web) lại cũng là như thế”.
Phía khởi tố
có thể “lôi ra” rất nhiều thứ luật để buộc tội những người đã “đột
nhập” vào ứng dụng trực tuyến của họ, song luật về chống lạm dụng và
gian lận máy tính sẽ là căn cứ pháp lý đầu tiên của họ. Bộ luật này quy
định rõ cả mức tiền phạt cũng như thời hạn tù giam lên tới một năm cho
các đối tượng “cố ý truy cập trái phép vào máy tính đã được bảo vệ và
gây ra tổn thất”.
Ông Seltzer
bình luận: “Điều này quả là rắc rối với những người vì cộng đồng, muốn
chỉ ra các lỗ hổng để những dữ liệu cá nhân cũng như thông tin không bị
đánh cắp”.
Một trường
hợp rõ nhất về điều này chính là vụ việc của một chuyên gia bảo mật có
tên Eric McCarty. Hồi tháng giêng năm nay, Eric bị kết án 6 tháng quản
thúc tại nhà, 3 năm thứ thách và phải nộp 36761,26 USD tiền bồi thường
cho Đại học Nam California. McCarty bị buộc tội đã lấy dữ liệu trái
phép của hệ thống ứng dụng trực tuyến của đại học này mặc dù đã hết lời
thanh minh rằng anh chỉ muốn giúp cho hệ thống đó được an toàn hơn.
Còn tại xứ
sở sương mù, anh chàng Daniel Cuthbert cũng bị phạt 1750 USD vì tội đã
đột nhập website quyên góp tiền ủng hộ các nạn nhân của trận sóng thần
tại châu Á năm 2004. Cuthbert cho biết, anh quyết định kiểm tra lại độ
bảo mật của trang web này vì nghi ngờ nó bị “dính” phishing.
Không phải tất cả đều quay lưng
Song tất nhiên không phải chủ nhân nào của các website cũng “lạnh lùng” dùng “lý”, với các hacker mũ trắng như vậy.
Ông
Christopher Blum, giám đốc bảo mật của NetSuite, nhà cung cấp trình ứng
dụng thương mại trực tuyến tại San Mateo, California cho biết: “Nhìn
chung các hacker mũ trắng đã giúp ích nhiều cho chúng tôi. Song họ chỉ
thực sự giúp ích khi những sơ hở đó được họ thông báo một cách riêng tư
để hoạt động của công ty không “đổ bể” và dữ liệu của khách hàng cũng
được giữ kín”.
Cũng theo
ông Blum, tính tới nay, đã có hai trường hợp NetSuite được một chuyên
gia bảo mật báo cho sai sót của phần mềm. Trong cả hai lần đó, những lỗ
hổng đã được “vá” và tất nhiên, cá nhân đó cũng không hề bị khởi tố”.
Ông Blum khẳng định: “Việc phát hiện sơ hở có trách nhiệm là việc làm
tốt và giúp hoàn thiện chất lượng phần mềm”.
Cả những đại
gia như Google và Yahoo cũng rất hoan nghênh việc phát hiện với tinh
thần trách nhiệm những sơ hở bảo mật. Tất nhiên, khi được các công ty
phần mềm hay các công ty kinh doanh web ủng hộ, những chuyên gia sau
khi phát hiện sai sót đã không công bố rộng rãi mà liên hệ trực tiếp
với nhà sản xuất để trao đổi về lỗi này, và vì vậy, các công ty có thể
sửa chữa.
 |
| Nguồn ảnh: sbi-secureit.com. |
Giải pháp nào cho hacker "mũ trắng"?
Theo giới
chuyên gia, cách tốt nhất để những hacker mũ trắng có thể thoải mái
“hành động” là xin phép thẳng với công ty sở hữu phần mềm. Ông Blum của
NetSuite cho biết, hãng của ông sẵn sàng chấp nhận những đề nghị như
thế, song tất nhiên cũng có vài điều kiện kèm theo. Tuy nhiên, không
phải không có những công ty không muốn ai khác “sờ mó” gì vào chương
trình của họ.
Chẳng hạn
ông Sima của SPI Dynamics cho rằng: “Bảo mật trong kín đáo là tốt nhất.
Tôi không có ý định cởi mở mọi thứ và tạo điều kiện cho các hacker khảo
sát phần mềm của tôi”.
Lại cũng có
các hãng kinh doanh web tạo ra bản sao các phần mềm của họ để các
hacker mũ trắng tiến hành khảo sát, thăm dò. Cách làm này vừa khiến
chương trình chính thống không bị nguy hại gì vừa đảm bảo an toàn cho
kho dữ liệu khách hàng. Dù ông Sima có tỏ ra phản ứng thì vẫn có khá
nhiều chuyên gia bảo mật tỏ vẻ ưa chuộng phương pháp này.
“Đây quả là
một ý tưởng hay”. Ông Billy Hoffman, nhà nghiên cứu hàng đầu của SPI
Dynamics nhận xét. Ông lý giải: “Một mô hình chính thống độc lập sẽ
giúp công ty không gặp phải nguy cơ lớn hơn về bảo mật. Chi phí bỏ ra
thì ít nhưng cái lợi đem lại thì lớn vô kể. Thậm chí những ai thông
minh có thể đưa ra phần thưởng khuyến khích tìm ra các sơ hở chính
đáng”.
Trong thực
tế, các hãng kinh doanh web cũng giống với các hãng phần mềm truyền
thống, đều phải thuê công ty bảo mật kiểm tra độ an toàn cho chương
trình của mình. NetSuite là một ví dụ, ông Blum cho biết, hãng ông
thường xuyên phải dùng công cụ quét mã tìm lỗi của Fortify Software và
hàng tháng phải trả tiền thuê quét dò lỗi trên trang web cho hãng
Ambiron Trustwave. Tuy nhiên, người ta luôn tìm thấy những sơ hở bảo
mật mới.
Bên cạnh
những điều luật chống lại các nhà nghiên cứu bảo mật, vẫn còn những
luật khác ủng hộ họ. Cụ thể Luật khai báo vi phạm dữ liệu (Data breach
notification laws) nói riêng đã buộc các tổ chức phải thắt chặt hơn độ
bảo mật của họ. Song dẫu thế thì các hacker “mũ trắng” vẫn không thể tự
do kiểm tra các ứng dụng web và tìm kiếm lỗ hổng được.
Đỗ Dương (Theo CNET) (Theo VietNamNet)
|