Phần mềm sạch.

Phần mềm sạch

(Nhân đọc ICTNews có tin “Tổng Giám đốc điều hành Tập đoàn Microsoft, ông Steve Ballmer sẽ đến Hà Nội ngày 24/5 tới đây để dự lễ ra mắt phần mềm Office 2010”. Bài viết này là để chào mừng ông)
Hôm qua, khi viết bài về Ubuntu Privacy Remix, có một đoạn nhắc đến hệ điều hành sạch. Tôi nhớ lại trước đây có nghe nói về một cái “cổng hậu – backdoor” gì đó trong Windows liền chạy sang thỉnh giáo cụ Gúc về “windows backdoor”. Dưới đây là vài điều cụ dạy.
“Cổng hậu – backdoor” là cái mà Wikipedia viết “là một phương pháp bỏ qua quá trình xác thực người dùng thông thường để truy cập từ xa vào máy tính, … mà vẫn không bị phát hiện. Backdoor có thể là một chương trình được cài lên máy (vd: Back Orifice) hoặc thay đổi một chương trình đã có hay một thiết bị phần cứng”.
Tóm lại là một cái cổng bí mật để lẻn vào nhà mà chủ nhà không biết.
Sau đây là trích dịch bản tin BBC ngày 3/9/1999:

Cảnh báo an ninh về cổng hậu của Windows

“Trên Internet hiện đang xôn xao về tin một chuyên gia an ninh máy tính đã phát hiện ra rằng trong mỗi bản Windows 95,98, NT4 và 2000 có thể có một cổng hậu dành riêng cho Cục An ninh Quốc gia Mỹ (NSA – America’s National Security Agency).

Hình 1: Những chỗ đánh dấu là khóa mã mới tìm thấy trong Windows

Microsoft tuyên bố kiên quyết phủ nhận việc lạm dụng khóa mã thứ hai trong Windows: “Điều đó chỉ dùng để đảm bảo rằng chúng tôi tuân thủ quy định xuất khẩu (mật mã) của chính phủ Mỹ. Chúng tôi không chia sẻ các khóa mã bí mật (cho NSA)”
Nhà khoa học trưởng Andrew Fernandes của công ty chuyên về mật mã Cryptonym, Ohio là người đã phát hiện ra khóa mã thứ hai của Windows dùng cho mã hóa.
Điều đáng chú ý là khóa mã thứ hai đó có thẻ “NSAKEY” (xem hình 1, chỗ mũi tên thứ hai) làm rộ lên tin đồn là NSA đã thuyết phục Microsoft dành cho họ một cổng bí mật vào Windows.
Microsoft giải thích rằng họ gọi đó là “NSA key” vì liên quan đến việc xem xét xuất khẩu phần mềm.
Chính quyền Clinton đưa ra những hạn chế xuất khẩu các phần mềm mã hóa mạnh vì sợ bọn khủng bố và tội phạm có thể dùng nó để chống lại Mỹ.”
Mười năm sau, trích dịch bài báo của ComputerWorld ngày 19/11/2009:

Microsoft phủ nhận việc tạo backdoor trong Windows 7

“Microsoft hôm nay phủ nhận họ đã tạo một cổng hậu trong Windows 7, vấn đề này đã xuất hiện ngày hôm qua khi một viên chức cao cấp của cục An ninh Quốc gia Mỹ xác nhận trước quốc hội rằng cục đã làm việc về hệ điều hành đó.
“Microsoft đã và sẽ không tạo cổng hậu trong Windows”, Người phát ngôn của công ty nói, phản bác lại bài báo trước đó trên ComputerWorld.”
Bài báo trước đó ngày 18/11/2009 của ComputerWorld có nhan đề “Cục An ninh Quốc gia Mỹ giúp đỡ phát triển Windows 7” trong đó nhắc đến lời khai của viên chức cao cấp NSA trước quốc hội Mỹ đã nêu ở trên. Bài báo còn nói rằng năm 2007, NSA cũng đã khẳng định rằng đã thò tay vào Windows Vista.
Nếu bạn chịu khó xem những gì Gúc được từ cặp từ khóa “Windows backdoor” thì còn nhiều tin nữa, các báo chí lớn trên thế giới như CNN cũng tham gia.
Tất nhiên, phía Microsoft và NSA thì khẳng định rằng đây chỉ là những thủ tục kiểm tra an ninh thông thường để đảm bảo là kỹ thuật mã hóa không bị bọn khủng bố và tội phạm lợi dụng, là sự hỗ trợ lẫn nhau để đảm bảo các tiêu chuẩn an ninh. Phía đối nghịch thì cho rằng đây là việc vi phạm quyền riêng tư cho phép NSA có thể chui vào bất kỳ máy tính nào cài Windows mà chủ nhân nó không hề hay biết. NSA là tổ chức có khá nhiều tai tiếng về xem trộm, nghe lén (xem thêm)
Ở đây ta không bàn đến chuyện bên nào đúng, sai. Có điều không có cách nào để kiểm tra được là thực sự có cổng hậu trong Windows hay không ngoài việc tin vào tuyên bố của Microsoft vì mã nguồn của Windows không công bố. Cho nên từ năm 1999 đến giờ, nghi ngờ vẫn không nguôi.
Đối với người dùng cá nhân thì không quan trọng lắm. Nhưng đối với các chính phủ, quân đội, tình báo, công an thì đây là vấn đề nghiêm trọng. Kể cả khi máy không nối mạng, nếu một người biết cổng hậu đó có cơ hội tiếp cận được máy tính cũng có thể khai thác thông tin đã mã hóa trong máy, vượt qua các hàng rào bảo vệ đã có.
Và cổng hậu không chỉ có ở hệ điều hành. Nó có thể có trong bất kỳ phần mềm nào cài trên máy.
Vì vậy mà tại sao Trung quốc có bản Linux Hồng kỳ, Bắc Hàn có bản Linux Sao đỏ, Cuba có bản Linux gì đó không nhớ tên, v.v… và chính các cơ quan tình báo Mỹ cũng dùng Linux để đảm bảo an ninh.
Về nguyên tắc, theo suy luận của tôi, có thể đảm bảo một bản phần mềm nguồn mở là sạch, không có mã độc, cổng hậu gì cài cắm trong đó bằng một trong những cách sau:

1. Không dùng phần mềm đã dịch sẵn ra mã thực thi. Tải mã nguồn của phần mềm về tự dịch ra mã thực thi để chạy. Mã nguồn đã để công khai trên Internet, ai cũng có thể xem được thì chắc là (không đảm bảo 100%) không có gì độc hại cài cắm trong đó.
2. Nếu muốn đảm bảo 100% phải có một đội chuyên gia giỏi, rà soát từng dòng mã nguồn để tin chắc là không có mã độc, sửa đổi để tăng cường an ninh theo ý mình rồi mới dịch ra mã thực thi để dùng. Điều này khó khả thi trong thực tế ở cái “đội chuyên gia giỏi” đó. Tầm cỡ quốc gia mới thực hiện được.

Việc công khai mã nguồn là ưu thế nổi trội nhất của phần mềm nguồn mở dưới góc độ an ninh, bảo mật.
Trước đây, để đánh phá hệ thống điện, Mỹ phải cho máy bay ném bom trực tiếp các nhà máy điện. Nay thì một kẻ thù giấu mặt ngồi ở châu Phi, luồn qua các máy chủ ở Anh có thể đánh sập hệ thống điều khiển điện trung tâm của ta trong nháy mắt. Điều này vừa xảy ra với các website chính phủ của Hàn quốc và Mỹ gần đây.
Tất nhiên để đảm bảo an ninh mạng có nhiều vấn đề, ngay cả phần mềm nguồn mở cũng không phải miễn nhiễm. Nhưng trong đó, vấn đề có cổng hậu hay không là một điểm yếu cốt tử.
Vậy mà các cơ quan chính phủ, các tập đoàn quốc doanh lớn vẫn đua nhau mua phần mềm nguồn đóng! Đợi mất bò mới lo rào chuồng chăng?