Một người dùng internet tại Quảng Đông, Trung Quốc vào tháng 8/2020. (Photo by NICOLAS ASFOURI/AFP via Getty Images)
Chuyên gia mạng cảnh báo Trung Quốc có thể đang khai thác quy trình bảo mật Internet để đánh cắp dữ liệu
Bình luậnKhải Anh • 23/10/21
Các chuyên gia an ninh mạng cảnh báo rằng, để truy cập dữ liệu của những người dùng thiếu cảnh giác, ĐCSTQ có thể đang khai thác một quy trình xác thực toàn cầu được cho là an toàn, nhưng trên thực tế thì ngược lại.
Họ cho biết, mặc dù mã hóa vẫn là phương pháp được ưa chuộng để bảo mật dữ liệu kỹ thuật số và bảo vệ máy tính, thì trong một số trường hợp, chính các chứng chỉ kỹ thuật số được sử dụng để xác thực trên internet đang cho phép chính quyền Trung Quốc xâm nhập vào các mạng máy tính khác nhau và phá hủy chúng.
Các tổ chức có mặt khắp thế giới, được biết đến là “các tổ chức phát hành chứng chỉ” (CA), phát hành chứng chỉ kỹ thuật số để xác minh danh tính của một thực thể kỹ thuật số trên internet.
Chứng chỉ số có thể được so sánh với hộ chiếu, theo lời ông Andrew Jenkinson, CEO của công ty an ninh mạng Cybersec Innovation Partners (CIP) và là tác giả tựa sách “Stuxnet to Sunburst: 20 Years of Digital Exploitation and Cyber Warfare” (Tạm dịch: Từ mã độc Stuxnet đến Sunburst: 20 năm Khai thác kỹ thuật số và Tấn công mạng).
Ông Jenkinson nói với The Epoch Times rằng: “Nếu không có chứng chỉ số, thì một người hay thiết bị họ đang sử dụng không thể theo đúng tiêu chuẩn của ngành này và việc mã hóa dữ liệu quan trọng có thể bị bỏ qua, để lại những thứ được cho là mã hóa ở dạng văn bản thuần túy.”
Thông qua mật mã, chứng chỉ kỹ thuật số được sử dụng để mã hóa thông tin liên lạc nội bộ và bên ngoài nhằm ngăn chặn tin tặc, chẳng hạn như việc chặn và đánh cắp dữ liệu. Tuy nhiên, “chứng chỉ giả mạo” hoặc không hợp lệ có thể thao túng toàn bộ quá trình mã hóa và kết quả là “hàng triệu người dùng nhận được cảm giác an toàn giả mạo”, ông Jenkinson cho hay.
Các lớp của niềm tin sai lệch
Ông Michael Duren, phó chủ tịch điều hành của công ty an ninh mạng Global Cyber Risk LLC nói rằng, chứng chỉ kỹ thuật số thường được cấp bởi các CA uy tín và có mức độ tin cậy ngang nhau, sau đó sẽ được chuyển cho các nhà cung cấp trung gian. Tuy nhiên, vẫn tồn tại các cơ hội cho một chế độ độc tài, một tác nhân xấu hoặc một tổ chức không đáng tin cậy nào đó, cấp chứng chỉ cho “những kẻ bất lương\” có vẻ đáng tin cậy khác, nhưng thực tế không phải như vậy, ông cho biết.
“Khi một chứng chỉ được cấp từ một thực thể đáng tin cậy, thì chứng chỉ đó sẽ được tín nhiệm,” ông Duren cho biết. “Nhưng những điều mà công ty phát hành thực sự có thể làm là chuyển sự tin tưởng đó cho một bên không đáng tin cậy.”
Ông Duren cho biết ông sẽ không bao giờ tin tưởng vào cơ quan cấp chứng chỉ của Trung Quốc vì nguyên do này, tuyên bố rằng ông biết được có một số công ty đã cấm chứng chỉ của Trung Quốc vì chúng được cấp cho các tổ chức không thể tin cậy được.
Ông Jenkinson cho biết các cơ quan cấp chứng chỉ của Trung Quốc chiếm một tỷ lệ nhỏ trong toàn khu vực và các chứng chỉ do họ cấp thường chỉ giới hạn trong các thực thể và sản phẩm của Trung Quốc.Prince, một thành viên của nhóm tin tặc Red Hacker Alliance, yêu cầu không sử dụng tên thật, đang làm việc trên máy tính của mình tại văn phòng của nhóm ở Đông Quan, tỉnh Quảng Đông, Trung Quốc, ảnh chụp hôm 04/08/2020 (Ảnh: Nicolas Asfouri / AFP / Getty Images)
Vào năm 2015, các chứng chỉ được cấp bởi Trung tâm Thông tin Mạng Internet Trung Quốc (CNNIC), cơ quan nhà nước giám sát đăng ký tên miền của Trung Quốc, được đưa vào diện nghi vấn. Google và Mozilla đã cấm các chứng chỉ CNNIC khi biết được rằng các chứng chỉ kỹ thuật số trái phép được kết nối với một số tên miền. Cả hai nhà mạng này đều phản đối việc CNNIC giao quyền cấp chứng chỉ cho một công ty Ai Cập, nơi đã cấp các chứng chỉ trái phép.
Theo ông Jenkinson, các chứng chỉ CNNIC đã bị cấm vì “chúng có cửa hậu.”
Ông nói: “Một cửa hậu nghĩa là [cơ quan cấp chứng chỉ Trung Quốc] có thể tiếp quản quyền truy cập quản trị và gửi dữ liệu trở lại nơi đã cấp chứng chỉ này”
Kể từ năm 2016, Mozilla, Google, Apple và Microsoft cũng đã cấm Cơ quan cấp chứng chỉ Trung Quốc WoSign và công ty con StartCom của nó vì các phương pháp bảo mật không thể chấp nhận được.
Lỗi an ninh
Ông Jenkinson cho biết, bất chấp các lệnh cấm đối với chứng chỉ kỹ thuật số của Trung Quốc trong những năm gần đây, ĐCSTQ không hề nản chí và đang tham gia vào một trò chơi dài hơi.
Ông chỉ ra các phát hiện đáng báo động được thực hiện bởi công ty an ninh mạng của mình cách đây hai năm, có ảnh hưởng đến một công ty tư vấn đa quốc gia.
Thông thường, chứng chỉ kỹ thuật số có hiệu lực trong một vài năm, tùy thuộc vào tổ chức cấp chứng chỉ, và việc gia hạn là bắt buộc để giữ cho chúng hợp lệ và phải đảm bảo các dữ liệu được bảo mật, ông nói.
Ông Jenkinson cho biết: “Nhưng vào năm 2019, CIP Trung quốc phát hiện ra các chứng chỉ đã tồn tại trong 999 năm.\”
Công ty của ông đã phát hiện ra điều này khi kiểm tra máy tính xách tay của một công ty tư vấn nổi tiếng toàn cầu.Lệnh truy nã, mô tả bốn thành viên của quân đội Trung Quốc bị truy tố với tội danh đột nhập vào Tập đoàn Equifax và đánh cắp dữ liệu của hàng triệu người Mỹ, được ban bố ngay sau khi Bộ trưởng Tư pháp William Barr tổ chức một cuộc họp báo tại Bộ Tư pháp ở Washington vào hôm 10/02/2020. (Ảnh: Sarah Silbiger / Getty Images)
Ông Jenkinson đã khiến công ty chú ý đến lỗi bảo mật này và cung cấp các dịch vụ để bảo mật máy tính và mạng lưới khách hàng. Tuy nhiên công ty đã từ chối.
“Hoặc họ cực kỳ tự mãn, hoặc họ là kẻ đồng lõa,” ông nói, lưu ý rằng các khách hàng của công ty bao gồm cả các tổ chức trong chính phủ Hoa Kỳ.
Ông Jenkinson cho hay, công ty trị giá hàng tỷ USD nhưng lại không thể khắc phục được vấn đề này, nghĩa là hàng trăm nghìn người có thể bị ảnh hưởng bởi sự xâm nhập của Trung Quốc thông qua hệ thống bảo mật lỏng lẻo của công ty này.
Ông nói, công ty đang làm tổn hại đến khách hàng của mình mỗi khi ai đó sử dụng máy tính xách tay của họ. Điển hình như: các công ty hoặc khách hàng sử dụng dịch vụ của công ty có thể bị đòi tiền chuộc, bị đánh cắp tài sản trí tuệ hoặc trở thành người nhận các mã độc hại để sử dụng sau này.
Công ty này “vi phạm mọi quy định về quyền riêng tư mà chúng ta được biết – và họ chỉ muốn phớt lờ điều này”, chuyên gia an ninh mạng cho biết, đặc biệt chỉ ra luật bảo vệ dữ liệu nghiêm ngặt của Liên minh Châu Âu.
Và nếu thông tin này được công khai, hậu quả sẽ rất nghiêm trọng, ông Jenkinson tiết lộ.
Ông nói rằng, “Hãy hình dung một cuộc tấn công vào một lỗ hổng lớn hoặc một cuộc tấn công vào từng ổ đĩa, một cuộc tấn công mà tội phạm mạng có thể chỉ cần ngồi đó và dễ dàng có được quyền truy cập để thu thập dữ liệu mà không cần để tâm đến hoặc phải giải mã nó – bởi vì tất cả đều ở dạng văn bản thuần túy [do chứng chỉ giả mạo hoặc lỗi cấu hình gây ra].”
Ông Jenkinson cho biết, đối với một công ty có uy tín lớn đến như vậy lại lựa chọn không bảo vệ khách hàng của họ là một sự “điên rồ.”
‘Con Dốc trơn trượt\’
Theo ông Jenkinson, thiệt hại kinh tế do tội phạm mạng [gây ra] vẫn chưa có hướng khắc phục thỏa đáng.
Theo báo cáo từ công ty bảo mật máy tính McAfee, thiệt hại toàn cầu do tội phạm mạng [gây ra] đã vượt quá 1 nghìn tỷ USD vào năm 2020. Năm 2021, Công ty nghiên cứu Cybersecurity Ventures cho biết, thiệt hại dự kiến sẽ leo thang lên hơn 6 nghìn tỷ USD.
Ông Jenkinson dự đoán rằng thiệt hại kinh tế sẽ vượt quá 10 nghìn tỷ USD vào năm 2025.
Ông nói: “Điều này sẽ ảnh hưởng đến tất cả mọi người, từ đàn ông, cho đến phụ nữ và trẻ em. “Chà, chúng ta đang ở trên một con dốc trơn trượt, chúng ta đang tự làm nó thêm trơn trượt.”
Ông Jenkinson cho biết: “Mọi người không nên sử dụng chứng chỉ kỹ thuật số CNNIC như một bước khởi đầu để đảo ngược xu hướng này.”
Duren từ công ty Global Cyber Risk cũng đồng tình và nói rằng, “Bất cứ điều gì đến từ một thực thể do nhà nước kiểm soát, chẳng hạn như Trung Quốc cộng sản, trong vai trò là cơ quan cấp chứng chỉ đều không đáng tin cậy.”
Ông Jenkinson nói rằng các CA cần kiểm soát và giám sát nghiêm ngặt hơn. “Nếu không được kiểm soát chặt chẽ, không ai có bất kỳ cơ hội nào để biết được chứng chỉ số nào đang được sử dụng, vì một máy tính xách tay tiêu chuẩn chứa hàng trăm nghìn phiên bản chứng chỉ số.”
Ông Jenkinson lưu ý rằng các sản phẩm máy tính của Trung Quốc sẽ chủ yếu sử dụng chứng chỉ số của Trung Quốc. Do đó, người dùng các sản phẩm như thế nên biết rằng hậu quả tất yếu là vấn đề bảo mật của họ có thể bị xâm phạm.
Khải Anh