Tổng thống Mỹ Obama cho phép NSA khai thác các lỗ hổng zero-day vì mục đích an ninh quốc gia

Theo tờ New York Times, vào thứ 7 tuần trước, tổng thống Obama đã có quyết định sáng suốt rằng bất cứ khi nào Cơ quan Tình Báo Mỹ NSA phát hiện ra các lỗ hổng lớn, trong hầu hết các trường hợp cơ quan này nên công khai chúng chứ không được khai thác một cách bí mật.

Chính sách của Obama về các lỗ hổng được sử dụng của NSA

Tuy nhiên, có một trường hợp ngoại lệ đối với lời tuyên bố trên: ” Trừ khi có một chiến lược an ninh quốc gia rõ ràng hoặc cần thực thi pháp luật”. Có nghĩa là chính sách này tạo nên một kẽ hở cho các cơ quan tình báo như NSA duy trì  các chương trình giám sát bằng cách khai thác các lỗ hổng bảo mật để tạo ra các vũ khí mạng.

Sau 3 tháng xem xét lời đề nghị [File PDF], báo cáo cuối cùng của Nhóm đánh giá về tình báo và các công nghệ truyền thông đã được đệ trình lên tổng thống Obama vào tháng 12 năm ngoái, trong đó có đoạn viết: “Trong một vài trường hợp hãn hữu, Chính sách của Mỹ có thể ủy quyền ngắn hạn cho phép sử dụng lỗ hổng Zero – Day vào việc tập hợp tình báo ưu tiên cao, đánh giá liên ngành liên quan đến tất cả các cơ quan thích hợp”

Tổng thống Obama đã đưa ra quyết định này vào tháng 1 năm nay, nhưng  nó đã bị lộ trong vòng một ngày sau khi câu chuyện về lỗ hổng bảo mật HeartBleed trong OpenSSL được phát hiện vào tuần trước và Bloomberg đã báo cáo rằng NSA có thể đã biết về lỗ hổng này 2 năm trước và tiếp tục sử dụng chúng để lấy thông tin thay vì tiết lộ nó.

Văn phòng Giám đốc cơ quan Tình Báo Quốc Gia (ODNI) đưa ra một tuyên bố vào thứ Sáu phản bác lại báo cáo của Bloomberg nói rằng NSA không hề biết gì về lỗ hổng Heartbleed cho đến khi nó được công bố rộng rãi.

Báo cáo của ODNI kết luận: “Trong lần phản hồi  lại những đề nghị của Nhóm đánh giá về tình báo và các công nghệ truyền thông của tổng thống, Nhà Trắng đã xem xét các chính sách của họ về lĩnh vực này và tiếp thêm sức mạnh cho quy trình trình đánh giá liên ngành để quyết định khi nào sẽ chia sẻ các lỗ hổng. Nếu không có một nhu cầu hành pháp và an ninh quốc gia rõ ràng thì quy trình này sẽ thiên về trách nhiệm công bố các lỗ hổng đó” , trùng với các khuyến nghị đã nêu ở trên.

Lỗ hổng Zero-day có thể được mua bởi đối với bất kỳ ai, ở bất kỳ thời điểm nào

Như chúng ta đã biết, Chính Phủ Mỹ là khách hàng đặt mua vũ khí mạng và các bản khai thác zero-day lớn nhất, NSA và FBI đã và đang sử dụng các vũ khí này từ nhiều năm trước nhằm do thám thông tin trên toàn thế giới.

Trong những bản khai thác thu thập được của NSA, có khoảng 50% được mua lại, và không còn nghi nghờ gì nữa, chúng đã được hợp pháp hóa dựa trên cái nhãn vì “Các nhu cầu hành pháp và an ninh quốc gia”. Nhờ có khuyến nghị ngoại lệ trên, việc sử dụng các bản khai thác zero-day hiện nay đủ cơ sở pháp lý để chống lại bất cứ kẻ nào ở bất cứ thời điểm nào.

Báo cáo của nhóm đánh giá cũng đề cập, Chính sách của Mỹ nói chung nên linh động để đảm bảo rằng lỗ hổng zero-day cần nhanh chóng bị chặn, để những lỗ hổng cơ bản trong mạng lưới Chính Phủ và các mạng khác được khắc phục.

Vào tháng ba, các dữ liệu của Edward Snowden tiết lộ rằng Cơ quan an ninh quốc gia tiến hành một cuộc tấn công mạng lớn được gọi là “Operation Shotgiant” chống lại chính phủ Trung Quốc và các công ty mạng Huewei, vào đầu năm 2009  Cơ quan này cũng bị buộc tội đánh cắp các mã nguồn sản phẩm.

Nguồn: thehackernews.com