Bảo mật web sa sút vì... luật pháp

Lỗ hổng bảo mật trên các trình ứng dụng trực tuyến nhiều khả năng sẽ bị “bỏ mặc” khi giới hacker “mũ trắng” không muốn “khui” ra vì ngại gặp rắc rối với pháp luật.

Nguy cơ hiện hữu

Các ứng dụng web hiện đang đẩy những chuyên gia săn tìm lỗ hổng bảo mật vào tình thế cực kỳ khó xử: Làm thế nào để kiểm nghiệm được độ bảo mật của chúng mà không bị tống giam? Bởi một lẽ đơn giản, khi kiểm nghiệm các phần mềm quen thuộc như Windows hay Word, họ hoàn toàn làm được trên máy tính cá nhân, song với các trình ứng dụng web, những phần mềm chạy trên máy chủ do người khác quản lý, việc khảo sát độ bảo mật sẽ là phạm pháp và dễ bị truy tố như chơi!

Ông Wendy Seltzer, phó giáo sư luật Internet thuộc đại học luật Brooklyn, New York cho biết: “Ngày càng nhiều những đe doạ về mặt pháp luật trong việc kiểm nghiệm một phần mềm chạy trên hệ thống do người khác quản lý. Đây quả là thách thức thật sự của mô hình phần mềm mới này”.

Và vì những đe doạ pháp luật đó, những hacker mũ trắng vốn một thời được tôn vinh vì những phát hiện hữu ích trên các phần mềm truyền thống nay lại tỏ ý ngần ngại trước chuyện “dò xét” những ứng dụng web. Điều này có nghĩa, các trình ứng dụng web sẽ không được “săm soi” kỹ lưỡng như các phần mềm truyền thống và các lỗ hổng bảo mật có nguy cơ bị "để dành lại" cho những hacker mũ đen.

Ông Jeremiah Grossman, giám đốc công nghệ công ty bảo mật web WhiteHat Security nhận định: “Chúng ta đang mất dần "động lực vì cộng đồng" trong lĩnh vực bảo mật. Nếu việc tìm kiếm các sơ hở bảo mật trên website bị coi là phạm pháp, vậy thì có nghĩa rằng chỉ có những kẻ xấu mới biết chỗ những sơ hở đó. Đây quả là một trong những vấn đề lớn của lĩnh vực bảo mật thông tin, khi chúng ta chuyển sang kỷ nguyên của Web 2.0”.

Ông Caleb Sima, giám đốc công nghệ của hãng bảo mật web SPIDynamics tán đồng quan điểm cho rằng, những đe doạ về mặt pháp luật đã ảnh hưởng “đáng kể” trong việc khiến cho các ứng dụng web giảm khả năng an toàn. Ông nói: “Nếu có lỗ hổng bảo mật, chắc chắn sẽ chỉ có các hacker mũ đen tìm ra chúng vì họ chẳng phải sợ bất cứ điều gì. Thực tế này sẽ khiến mức độ bảo mật của các ứng dụng web giảm đi”.

Xu hướng tấn công “Web 2.0” đang ngày một rầm rộ hơn khi công nghệ này có khả năng “mở rộng” các tính năng của website. Tuy nhiên, cũng theo các chuyên gia, khi những trang web có thêm nhiều tính năng và phương thức hoạt động gần giống với các trình ứng dụng desktop thì các nguy cơ bảo mật cũng tăng theo.

Luật pháp cứng nhắc?

Theo ông Jonathan Zittrain, giáo sư về quy định và quản lý Internet thuộc Viện nghiên cứu Internet, đại học Oxford, việc tìm kiếm lỗ hổng chương trình đã trở nên nhàm tẻ đối với những người chuyên khảo sát các phần mềm desktop vì họ hoàn toàn có thể “xé rào” luật pháp để làm điều đó. Song với các trang web thì mọi thứ lại hết sức rành mạch.

Nguồn: anitian.com

Ông Zittrain nói: “Theo điều luật về lạm dụng và gian lận máy tính ở Mỹ (Computer Fraud and Abuse) cũng như các điều luật tương ứng ở nhiều nước khác, truy cập trái phép vào máy tính kể cả vượt quyền truy cập cho phép đều là phạm tội. Ấy thế mà hành vi “hack” máy tính để tìm kiếm lỗ hổng bảo mật (trong trình ứng dụng web) lại cũng là như thế”.

Phía khởi tố có thể “lôi ra” rất nhiều thứ luật để buộc tội những người đã “đột nhập” vào ứng dụng trực tuyến của họ, song luật về chống lạm dụng và gian lận máy tính sẽ là căn cứ pháp lý đầu tiên của họ. Bộ luật này quy định rõ cả mức tiền phạt cũng như thời hạn tù giam lên tới một năm cho các đối tượng “cố ý truy cập trái phép vào máy tính đã được bảo vệ và gây ra tổn thất”.

Ông Seltzer bình luận: “Điều này quả là rắc rối với những người vì cộng đồng, muốn chỉ ra các lỗ hổng để những dữ liệu cá nhân cũng như thông tin không bị đánh cắp”.

Một trường hợp rõ nhất về điều này chính là vụ việc của một chuyên gia bảo mật có tên Eric McCarty. Hồi tháng giêng năm nay, Eric bị kết án 6 tháng quản thúc tại nhà, 3 năm thứ thách và phải nộp 36761,26 USD tiền bồi thường cho Đại học Nam California. McCarty bị buộc tội đã lấy dữ liệu trái phép của hệ thống ứng dụng trực tuyến của đại học này mặc dù đã hết lời thanh minh rằng anh chỉ muốn giúp cho hệ thống đó được an toàn hơn.

Còn tại xứ sở sương mù, anh chàng Daniel Cuthbert cũng bị phạt 1750 USD vì tội đã đột nhập website quyên góp tiền ủng hộ các nạn nhân của trận sóng thần tại châu Á năm 2004. Cuthbert cho biết, anh quyết định kiểm tra lại độ bảo mật của trang web này vì nghi ngờ nó bị “dính” phishing.

Không phải tất cả đều quay lưng

Song tất nhiên không phải chủ nhân nào của các website cũng “lạnh lùng” dùng “lý”, với các hacker mũ trắng như vậy.

Ông Christopher Blum, giám đốc bảo mật của NetSuite, nhà cung cấp trình ứng dụng thương mại trực tuyến tại San Mateo, California cho biết: “Nhìn chung các hacker mũ trắng đã giúp ích nhiều cho chúng tôi. Song họ chỉ thực sự giúp ích khi những sơ hở đó được họ thông báo một cách riêng tư để hoạt động của công ty không “đổ bể” và dữ liệu của khách hàng cũng được giữ kín”.

Cũng theo ông Blum, tính tới nay, đã có hai trường hợp NetSuite được một chuyên gia bảo mật báo cho sai sót của phần mềm. Trong cả hai lần đó, những lỗ hổng đã được “vá” và tất nhiên, cá nhân đó cũng không hề bị khởi tố”. Ông Blum khẳng định: “Việc phát hiện sơ hở có trách nhiệm là việc làm tốt và giúp hoàn thiện chất lượng phần mềm”.

Cả những đại gia như Google và Yahoo cũng rất hoan nghênh việc phát hiện với tinh thần trách nhiệm những sơ hở bảo mật. Tất nhiên, khi được các công ty phần mềm hay các công ty kinh doanh web ủng hộ, những chuyên gia sau khi phát hiện sai sót đã không công bố rộng rãi mà liên hệ trực tiếp với nhà sản xuất để trao đổi về lỗi này, và vì vậy, các công ty có thể sửa chữa.

Giải pháp nào cho hacker "mũ trắng"?

Nguồn: sbi-secureit

Theo giới chuyên gia, cách tốt nhất để những hacker mũ trắng có thể thoải mái “hành động” là xin phép thẳng với công ty sở hữu phần mềm. Ông Blum của NetSuite cho biết, hãng của ông sẵn sàng chấp nhận những đề nghị như thế, song tất nhiên cũng có vài điều kiện kèm theo. Tuy nhiên, không phải không có những công ty không muốn ai khác “sờ mó” gì vào chương trình của họ.

Chẳng hạn ông Sima của SPI Dynamics cho rằng: “Bảo mật trong kín đáo là tốt nhất. Tôi không có ý định cởi mở mọi thứ và tạo điều kiện cho các hacker khảo sát phần mềm của tôi”.

Lại cũng có các hãng kinh doanh web tạo ra bản sao các phần mềm của họ để các hacker mũ trắng tiến hành khảo sát, thăm dò. Cách làm này vừa khiến chương trình chính thống không bị nguy hại gì vừa đảm bảo an toàn cho kho dữ liệu khách hàng. Dù ông Sima có tỏ ra phản ứng thì vẫn có khá nhiều chuyên gia bảo mật tỏ vẻ ưa chuộng phương pháp này.

“Đây quả là một ý tưởng hay”. Ông Billy Hoffman, nhà nghiên cứu hàng đầu của SPI Dynamics nhận xét. Ông lý giải: “Một mô hình chính thống độc lập sẽ giúp công ty không gặp phải nguy cơ lớn hơn về bảo mật. Chi phí bỏ ra thì ít nhưng cái lợi đem lại thì lớn vô kể. Thậm chí những ai thông minh có thể đưa ra phần thưởng khuyến khích tìm ra các sơ hở chính đáng”.

Trong thực tế, các hãng kinh doanh web cũng giống với các hãng phần mềm truyền thống, đều phải thuê công ty bảo mật kiểm tra độ an toàn cho chương trình của mình. NetSuite là một ví dụ, ông Blum cho biết, hãng ông thường xuyên phải dùng công cụ quét mã tìm lỗi của Fortify Software và hàng tháng phải trả tiền thuê quét dò lỗi trên trang web cho hãng Ambiron Trustwave. Tuy nhiên, người ta luôn tìm thấy những sơ hở bảo mật mới.

Bên cạnh những điều luật chống lại các nhà nghiên cứu bảo mật, vẫn còn những luật khác ủng hộ họ. Cụ thể Luật khai báo vi phạm dữ liệu (Data breach notification laws) nói riêng đã buộc các tổ chức phải thắt chặt hơn độ bảo mật của họ. Song dẫu thế thì các hacker “mũ trắng” vẫn không thể tự do kiểm tra các ứng dụng web và tìm kiếm lỗ hổng được.

Đỗ Dương