Microsoft là một khâu yếu trong an ninh quốc gia.

Cyber War : Microsoft a weak link in national security

(Đây là bài điểm cuốn sách mới của một cựu cố vấn Nhà Trắng. Tôi tóm tắt một số đoạn đáng chú ý. -zxc232)

Cựu cố vấn Nhà Trắng Richard A. Clarke vừa công bố cuốn sách mới “ Chiến tranh mạng: mối đe dọa tiếp theo của An ninh Quốc gia và điều cần làm”

Clark chính là người đã nhiều lần cảnh báo Nhà Trắng về Al Qaeda trước khi xảy ra vụ tấn công 11/9/2001. Do đó ông trở thành người được công chúng biết đến nhiều nhất về chủ đề An ninh Quốc gia.

Richard A. Clarke

Xem thêm về tiểu sử của Clarke tại đây và tại đây. Ông là chuyên gia quốc tế về an ninh nói chung trong đó có an ninh mạng, là cố vấn an ninh cao cấp qua 3 đời tổng thống Mỹ. Các chức vụ từng giữ:

– Trợ lý đặc biệt của Tổng thống về các công việc toàn cầu (Special Assistant to the President for Global Affairs)
– Nhà điều phối quốc gia về an ninh và chống khủng bố (National Coordinator for Security and Counterterrorism)
– Cố vấn đặc biệt cho Tổng thống về an ninh mạng (Special Advisor to the President for Cyber Security)

Trong cuốn sách trên, Clarke viết: “ Trong khi có vẻ như nước Mỹ có một ưu thế nào đó về chiến tranh mạng, thực tế loại chiến tranh đó đặt Mỹ vào hoàn cảnh hiểm nghèo hơn các nước khác. Sự phụ thuộc rất lớn của hệ thống tài chính và năng lượng của Mỹ vào không gian mạng phơi bày chúng ta trước những cuộc tấn công trên mạng có sức tàn phá lớn. “Điều ai cũng biết là dân chúng Mỹ và các công ty cổ phần đang điều hành các hệ thống then chốt của đất nước là những đối tượng chắc sẽ bị tổn thương trong một cuộc chiến trên mạng”

Từ trang 64 của sách, tác giả giả thiết bạn là trợ lý của Tổng thống về An ninh Quốc nội và dẫn dắt bạn đi qua một kịch bản sụp đổ. Cục An ninh Quốc gia vừa gửi đến điện thoại BlackBerry của bạn một cảnh báo nguy hiểm:” Một số chương trình mã độc đang chuyển động với quy mô lớn trên mạng Internet về phía nước Mỹ, tác động tới các hệ thống hạ tầng tối quan trọng”.

Nhưng trong thời gian bạn còn đang đi tới văn phòng làm việc, một trong những mạng chính đã sụp đổ vì bị tấn công từ chối dịch vụ. Hệ thống máy tính hỏng dẫn đến các nhà máy lọc dầu khổng lồ trong cả nước bốc cháy. Trung tâm kiểm soát không lưu của cục Hàng không Liên bang ở Virginia cũng bị sập mạng và các đòn đánh vẫn còn đang tiếp tục.

Cục trưởng cục Kho bạc báo cáo với bạn “Thống đốc Ngân hàng trung ương vừa gọi. Trung tâm dữ liệu của Ngân hàng và các bản sao lưu đã bị tàn phá lớn. Tất cả dữ liệu bị mất”. Điện bị mất trên toàn quốc.Hàng nghìn người đã chết và còn nhiều nữa. Nhưng những người cần phải báo cáo với bạn không liên lạc được.

Clarke giận dữ viết “Vào thời điểm bắt đầu kỷ nguyên chiến tranh mạng, chính phủ Mỹ bảo dân chúng và ngành công nghiệp là hãy tự bảo vệ chính họ”

Tại sao nhà nước đối phó với vấn đề đó chậm như vậy. Clarke cho rằng đó là do thiếu đồng thuận về những việc phải làm và sợ những thủ tục hành chính trì trệ.

Trong danh sách những nguyên nhân đối phó kém. Microsoft là nguyên nhân thứ 5.

Microsoft là một trong những công ty nổi tiếng về tài trợ cho các nhà hoạt động chính trị. Người khổng lồ phần mềm hào phóng này đã chuyển từ việc hậu thuẫn cho đảng Cộng hòa trong nhiệm kỳ của tổng thống Clinton sang tiếp tục ủng hộ Obama, nhưng chương trình vẫn luôn luôn rõ ràng: “ Đừng quy định gì về an ninh trong công nghiệp phần mềm, đừng để Lầu Năm góc ngừng dùng phần mềm của chúng tôi dù nó có bao nhiêu khe hở an ninh đi nữa và đừng có nói gì về sản xuất phần mềm ở nước ngoài hoặc đàm phán với Trung quốc”

Clark ghi nhận rằng, ban đầu Microsoft không có ý định làm phần mềm cho những mạng quan trọng. Mục đích của công ty chỉ là “bán được phần mềm với chi phí sản xuất thấp. Khởi đầu không có khoản đầu tư nào cho việc bảo đảm chất lượng một cách kỹ lưỡng và kiểm soát chất lượng như NASA yêu cầu đối với các phần mềm dùng trong các chuyến bay vũ trụ có người lái.”

Tuy thế mọi người vẫn mua phần mềm Microsoft để dùng cho những hệ thống quan trọng. “Chúng rẻ hơn các phần mềm tự viết”. Và khi chính phủ tung ra chương trình Phần mềm bán sẵn (Commercial Off-the-Shelf) để cắt giảm chi phí, phần mềm Microsoft bắt đầu thâm nhập vào mạng quân sự. Những loại cải cách cắt giảm chi phí như thế “mang vào Lầu Năm góc nguyên xi những lỗi và khe hở an ninh như trên máy tính riêng của bạn.”

Sự cố trên tàu sân bay USS Yorktown năm 1997 là hậu quả của điều đó. Toàn bộ mạng điều hành con tàu này dùng Windows NT. “Khi Windows NT bị treo như Windows thường bị, cả con tàu trở thành một cục gạch nổi chết dí trên mặt nước.

Phản ứng lại với sự cố đó và “cả đống những sự cố khác – a legion of other failures”, chính phủ bắt đầu nhìn sang hệ điều hành Linux. Bộ Quốc phòng đã có thể “đổi tay và chuyển hướng” sang phần mềm nguồn mở, chọn những thành phần họ cần và khắc phục các lỗi dễ dàng hơn nhiều.

Đối phó lại điều đó, Clark viết: “Microsoft, kể cả đích thân Bill Gates, bắt đầu chiến đấu để làm chậm quá trình chấp nhận phần mềm nguồn mở của các ủy ban chính phủ. Tuy thế, vì các cơ quan chính phủ vẫn dùng Linux nên tôi đã yêu cầu cục An ninh quốc gia (NSA) tiến hành đánh giá Linux. Trong một động thái làm cộng đồng nguồn mở giật mình, NSA đã tham gia cộng đồng nguồn mở bằng cách công bố các sửa chữa để tăng cường an ninh cho Linux ( SELinux là do NSA phát triển và nguồn mở hóa năm 2000). Microsoft cho tôi một ấn tượng rất rõ ràng là nếu chính phủ Mỹ ủng hộ Linux, Microsoft sẽ ngừng hợp tác với chính phủ ( nghĩa là ngừng đóng góp các loại quỹ). Điều đó chẳng ảnh hưởng gì đến tôi nhưng có tác động đến các người khác. Phần lớn các cơ quan chính phủ vẫn tiếp tục mua phần mềm Microsoft, mặc dù Linux là miễn phí.”

Microsoft cũng giữ quan điểm cứng rắn đó với ngành công nghiệp ngân hàng và tài chính, dứt khoát từ chối yêu cầu của các chuyên gia an ninh đòi truy cập mã nguồn. Khi các ngân hàng đe dọa dùng Linux, Microsoft đề nghị họ chờ đến phiên bản hệ điều hành mới – Vista.

Clarke tâm sự: “Người của Microsoft công nhận với tôi rằng công ty thực sự không chú ý nghiêm chỉnh đến an ninh, ngay cả khi họ lúng túng vì những lỗi an ninh bị khai thác công khai và thường xuyên”. Khi Apple và Linux bắt đầu tạo nên sự cạnh tranh thật sự ( về an ninh), Microsoft mới nâng cấp chất lượng trong vài năm gần đây. Nhưng điều mà Microsoft làm đầu tiên là lobby để chống lại việc đưa ra các tiêu chuẩn an ninh cao hơn của chính phủ.

Clarke kết luận: “Microsoft có thể mua được nhiều người phát ngôn và những nhà hoạt động hậu trường với chi phí chỉ bằng phần nhỏ của chi phí để tạo ra một hệ điều hành an toàn hơn. Công ty đó là một trong vài công ty thống trị công nghiệp mạng mà với họ hiện tại như thế này là tốt, thay đổi có thể sẽ xấu.”

Lời bình của người dịch:

Clarke kết án Microsoft khá nặng và đó là quan điểm riêng của ông. Tuy nhiên, quan điểm này rất có trọng lượng dựa trên chức vụ mà ông từng đảm nhiệm và những thông tin mà ông có. Hơn nữa, ông không thể đặt điều vu cáo Microsoft về một vấn đề nghiêm trọng đến thế mà không có cơ sở nếu không muốn bị kiện ngược ra tòa.

Thái độ thù địch của Clarke có lẽ bắt nguồn từ những va chạm và áp lực mà ông gặp trong quá trình làm việc với Microsoft về an ninh phần mềm. Thái độ cứng rắn của Microsoft xuất phát từ địa vị bá chủ thế giới về phần mềm của họ và cũng không có gì là lạ. Tay xe ôm ở đầu ngõ nhà tôi kể rằng hồi Bill Gate sang Việt nam, chúng ta cũng có thương lượng về các điều kiện mua phần mềm, đại loại như “nếu chúng tôi mua phần mềm, ông hãy để tiền đó đầu tư vào việc phát triển phần mềm ở Việt nam” v.v và v.v.. Một trong những người tham gia đàm phán sau đó có kết một câu “Nhục lắm!” Và tay xe ôm vừa mân mê cái mũ bảo hiểm dành cho khách nói: “Có lẽ cảm giác đó là một trong những nguyên nhân cho một loạt chủ trương, chỉ thị thúc đẩy dùng phần mềm nguồn mở tại Việt nam sau đó.”

Qua lời Clarke ta có thể thấy rằng cuộc đấu tranh giữa phần mềm nguồn mở và nguồn đóng không đơn giản chỉ là trên phương diện kỹ thuật, cái nào hay hơn, tốt hơn. Nó còn là cuộc đấu tranh để bảo vệ lợi nhuận, bất chấp cả an ninh quốc gia và dùng đến một vũ khí mạnh nhất thế giới là tiền. Như có lần tôi đã nói ở đây, hoạt động vận động hậu trường (lobby) là hoạt động hợp pháp trong chính trường Mỹ. Cả hai phe đều có các tổ chức để làm việc này, nhưng chắc là về tiền thì phe ủng hộ phần mềm nguồn mở kém hơn rất nhiều.

Với chúng ta, những người ủng hộ PMNM, từ nay biết thêm một điều: PMNM chưa được dùng ở những nơi đáng lẽ có thể dùng được không phải vì nó kém mà còn vì nhiều lý do “tế nhị” khác.

Ngay cả ở Việt nam cũng thế. Tôi được quyền mua phần mềm cho cơ quan mà lại đi dùng PMNM không mất tiền đúng là có hơi “điên”.

Các quan chức có trách nhiệm về an ninh suy nghĩ thế nào về cuốn sách này?