TiaSang
Thứ 4, Ngày 23 tháng 5 năm 2018
Diễn đàn

Kiểm soát con robot khổng lồ internet

11/05/2018 08:00 - Bruce Schneier (*)

Với Internet của vạn vật, chúng ta đang tạo ra một con robot có kích cỡ bằng cả thế giới. Nhưng làm sao để có thể kiểm soát nó?


Ransomware – một phần mềm độc hại được các hacker cài vào máy tính của nạn nhân, mã hóa dữ liệu của họ để tống tiền.

Ngày 21/10/2016 có ai đó sử dụng đầu ghi hình kĩ thuật số (DVR) của bạn, hoặc ít nhất là một DVR giống của bạn cùng hàng triệu webcam, bộ định tuyến (router) và những thiết bị nối mạng ít bảo mật khác, phát động cuộc tấn công tạo ra phản ứng dây chuyền, khiến cả Twitter, Reddit, Netflix và rất nhiều trang mạng khác bị đánh sập. Hẳn là bạn không bao giờ nghĩ chiếc DVR của mình lại có sức mạnh đáng sợ đến vậy, nhưng đó là sự thực

Sự trỗi dậy của con robot khổng lồ

Ngày nay, con người đã không còn sở hữu các đồ vật tích hợp máy tính, mà ngược lại chúng ta đang có những chiếc máy tính có những đồ vật gắn theo nó. Chiếc máy ATM thực chất là một chiếc máy tính có chứa tiền ở trong đó. Chiếc xe ô tô của bạn không còn là một thiết bị cơ khí với vài chiếc máy tính đặt ở trong mà nó là một chiếc máy tính với bốn bánh xe và một động cơ. Chính xác hơn, nó là một hệ thống được tạo nên bởi 100 chiếc máy tính cùng với bốn bánh xe và một động cơ. Và, đương nhiên, chiếc điện thoại của bạn đã hoàn toàn trở thành một chiếc máy tính thông dụng vào năm 2007, khi Iphone ra mắt lần đầu tiên. Mạng internet cũng không đơn thuần chỉ là các trang web mà chúng ta truy cập, mà đó là toàn bộ thế giới chúng ta sống được vi tính hóa, hòa mạng, liên kết nối. Đó chính là tương lai mà chúng ta vẫn hay gọi bằng cái tên Internet của vạn vật (Internet of Things - IoT).   

Nói một cách khái quát, IoT có ba phần: Thứ nhất là các cảm biến thu thập dữ liệu về chúng ta và môi trường mà chúng ta đang sống như: nhiệt kế thông minh, cảm biến gắn trên đường xá và cao tốc, những chiếc smartphone thông dụng với cảm biến chuyển động và định vị GPS; Thứ hai là “những thứ thông minh” giúp chúng ta phân tích ý nghĩa của những dữ liệu này và cho biết nên làm gì với chúng, như bộ vi xử lý máy tính của các thiết bị và trên các đám mây điện toán hay các bộ nhớ lưu trữ tất cả các thông tin; và Thứ ba là các bộ phận chấp hành – trực tiếp ảnh hưởng lên môi trường của chúng ta. Mục đích của nhiệt kế thông minh không phải là để ghi lại nhiệt độ mà là để điều khiển lò sưởi hay điều hòa nhiệt độ. Những chiếc xe tự lái thu thập thông tin về đường xá và môi trường để có thể đi đến đích an toàn.    

Hãy nghĩ những cảm biến giống như mắt và tai của internet, các bộ phận chấp hành là tay và chân, còn những những thứ trung gian như bộ xử lý thì đóng vai trò não bộ. Như vậy, chúng ta đang xây dựng một mạng internet có thể nhận biết, suy nghĩ và hành động – chính là định nghĩa kinh điển về robot. Nói cách khác, chúng ta đang tạo ra một con robot có kích cỡ bằng cả thế giới mà không hề biết.

Cụm từ Internet vạn vật cũng chưa đủ để mô tả con robot này. Nó là sự kết hợp của nhiều xu thế máy tính có tuổi đời vài thập kỉ qua: điện toán di động, điện toán đám mây, máy tính có năng lượng vĩnh cửu, dữ liệu thông tin cá nhân khổng lồ. IoT – hay chính xác hơn các hệ thống vật lý - số, tự động hóa và trí tuệ nhân tạo. Mặc dù vẫn chưa được thông minh lắm, nhưng IoT đang tiến hóa từng ngày để trở nên mạnh mẽ với nhiều khả năng hơn, thông qua những kết nối mà chúng ta đang xây dựng. Nó cũng đang trở nên cực kì nguy hiểm.

Yêu cầu về bảo mật luôn là vấn đề song hành kể từ khi máy tính xuất hiện. Và mặc dù bí mật không nằm trong thiết kế ban đầu của internet, song lại là điều mà chúng ta luôn cố gắng để đạt tới.

Bảo mật điện toán truyền thống thường được phân chia theo ba thuộc tính quan trọng sau đây: tính bí mật, tính toàn vẹn và sẵn sàng của dữ liệu. Hiện nay, phần lớn các mối quan ngại thường tập trung vào tính bảo mật. Chúng ta thường lo lắng về dữ liệu của mình và ai có quyền truy cập vào đó - đó là thế giới của sự riêng tư và sự giám sát, của ăn cắp và lạm dụng dữ liệu. Tuy nhiên, còn rất nhiều mối đe dọa dưới các hình thức khác. Như những nguy cơ về tính sẵn sàng: virus máy tính xóa bỏ dữ liệu, hay các ransomware mã hóa dữ liệu rồi yêu cầu chúng ta thanh toán bằng tài khoản ngân hàng. Hay các mối đe dọa về tính toàn vẹn như việc hacker thao túng danh mục nhập liệu của chúng ta cho những mục đích khác, từ thay đổi điểm số trên lớp đến số dư tài khoản ngân hàng. Rất nhiều trong số các mối đe dọa này là có hại. Chẳng hạn, nhiều bệnh viện đã phải chịu phí tổn hàng chục ngàn USD vì tội phạm mạng sử dụng ransomware mã hóa những tệp tin y tế quan trọng; hay như JPMorgan Chase phải chi nửa tỷ USD mỗi năm cho an ninh mạng.

Hiện nay, những đe dọa liên quan đến tính toàn vẹn và tính sẵn sàng đang trở nên ngày càng phong phú và nghiêm trọng hơn so với những nguy cơ về tính bí mật. Một khi máy tính bắt đầu có ảnh hưởng trực tiếp về mặt vật chất đối với thế giới, nó thực sự kéo theo những rủi ro liên quan đến đời sống lẫn tài sản của chúng ta. Có sự khác biệt căn bản giữa sự cố máy tính khiến bạn làm mất dữ liệu thống kê với trục trặc của thiết bị điều hòa nhịp tim khiến bạn đánh đổi bằng cả mạng sống. Điều này hoàn toàn không hề bị cường điệu hóa khi gần đây, các nhà nghiên cứu bảo mật phát hiện thấy những lỗ hổng nghiêm trọng trong thiết bị cấy ghép tim tại Bệnh viện St Jude Medical. Nếu chúng ta cho Internet tay và chân thì nó sẽ có khả năng đấm đá.

Không có cách nào vá lỗi

Do đó, có rất nhiều yêu cầu khác nhau liên quan đến bảo mật, và hậu quả của những sai sót có thể dừng lại ở hoạt động giám sát trái phép, cho tới hành vi tống tiền bằng các ransomware, cho đến sự chết chóc hàng loạt.

Cho đến nay, các máy tính và điện thoại thông minh của chúng ta phần nào vẫn duy trì được sự an toàn là do các công ty như Microsoft, Apple và Google đã đầu tư rất nhiều thời gian và nguồn lực cho việc kiểm thử các đoạn mã trước khi phát hành sản phẩm và kịp thời vá lỗi khi có lỗ hổng được phát hiện. Những công ty như vậy có khả năng hỗ trợ cho một đội ngũ lớn và chuyên tâm như vậy nhờ khoản lợi nhuận khổng lồ kiếm được từ hoạt động kinh doanh, và một phần là để sản phẩm của họ trở nên cạnh tranh về độ an toàn. Không may, mô thức này đã không thể đúng với các hệ thống nhúng như máy camera DVR hay bộ router trong gia đình, vì chúng thường được bán với mức lợi nhuận thấp hơn nhiều và do bên thứ ba gia công xây dựng – những công ty này, đơn giản là không đủ chuyên môn để làm cho chúng an toàn.

Tại một Hội nghị gần đây của các hacker, một chuyên gia an ninh mạng đã phân tích lỗ hổng trên 30 loại router gia đình và có thể xâm nhập tới một nửa trong số đó, bao gồm cả những thương hiệu nổi tiếng, phổ biến nhất. Hay những vụ tấn công từ chối dịch vụ (DdoS) đã khiến cho nhiều trang web nổi tiếng như Reddit và Twitter bị gián đoạn truy cập hồi tháng 10/2016, vốn được kích hoạt bởi các lỗ hổng trên webcam và máy quay DVR. Trong tháng 8/2017, hai chuyên gia bảo mật cũng đã trình diễn phương pháp tấn công ransomware vào một nhiệt kế thông minh.

Điều tồi tệ hơn là hầu hết các thiết bị này đều không có cách nào để vá lỗi. Những công ty như Microsoft và Apple liên tục phát hành các bản vá bảo mật cho máy tính cá nhân của bạn, hay việc vá lỗi một số router gia đình cũng là điều khả thi về mặt kỹ thuật, nhưng lại theo những cách phức tạp mà chỉ các chuyên gia mới thực hiện nổi. Và nhiều khi, cách duy nhất để cập nhật phần sụn (giao thoa giữa phần cứng và phần mềm) trong các máy quay DVR bị hack, đó là hãy vứt bỏ và mua một cái mới.


Thị trường không thể sửa những lỗi này bởi thực sự cả người mua lẫn người bán đều không quan tâm. Người sở hữu webcam hay DVR thường chẳng mấy quan tâm khi họ bị lợi dụng cho các cuộc tấn công từ chối dịch vụ (DDoS). Các thiết bị tương đối rẻ tiền, vẫn hoạt động tốt, và họ cũng chẳng biết ai là nạn nhân của những vụ tấn công đó. Người bán càng không bận tâm, đơn giản họ chỉ muốn bán các phiên bản mới hơn, tốt hơn, còn người mua chỉ cần hỏi giá cả và tính năng. Thị trường không thể tự giải quyết được điều này, sự mất an toàn thông tin này được các nhà kinh tế gọi là ảnh hưởng ngoại lai: quyết định mua hoặc bán của một người sẽ tạo ra hiệu ứng ảnh hưởng đến những người khác. Nó giống như một kiểu ô nhiễm vô hình.      

Ba giải pháp chính sách

Trong khi những chi tiết về bất cứ hệ thống an ninh máy tính nào đều mang tính kĩ thuật, thì mang công nghệ ứng dụng rộng rãi vào thực tế lại là vấn đề của luật pháp, kinh tế, tâm lý học và xã hội học. Xây dựng các chính sách đúng đắn cũng quan trọng không kém gì xây dựng công nghệ chính xác bởi vì, để đảm bảo an ninh mạng, luật pháp và công nghệ phải liên kết chặt chẽ với nhau. Đó có lẽ là bài học quan trọng nhất mà vụ phanh phui NSA của Edward Snowden đem lại. Chúng ta từng biết rằng công nghệ có thể hạ bệ luật pháp. Còn Snowden thì chứng minh rằng luật pháp có thể khiến công nghệ làm tay sai cho mình.

Bất kì sự thay đổi chính sách nào để đảm bảo an ninh cho con robot có kích cỡ cả trái đất này đều đồng nghĩa với sự kiểm soát khá lớn của chính phủ. Tôi biết đó là một hình dung tội lỗi trong thế giới ngày nay nhưng tôi không thể tìm thấy một phương án nào khả dĩ hơn. Đó sẽ là một thách thức to lớn đối với internet, khi bản chất tự do là một trong những điều tuyệt vời nhất của nó, là nhân tố thúc đẩy những đổi mới sáng tạo mang tầm ảnh hưởng toàn cầu của nó. Nhưng tôi không biết câu chuyện này liệu còn tiếp diễn khi internet có thể tác động đến thế giới một cách trực tiếp, bằng vũ lực.

Tôi không nghĩ rằng bất cứ ai trong chúng ta có thể dự đoán được một chính sách toàn diện để đảm bảo an toàn cho thế giới, nhưng đây là một vài cách. Chúng ta cần chính phủ đảm bảo rằng các doanh nghiệp phải tuân thủ những thực hành về an ninh: từ kiểm thử, vá lỗi, các mặc định về an ninh – và cần phải có chế tài nếu như những công ty này không làm được những điều đó. Chúng ta cần chính phủ đưa ra những chính sách bảo vệ dữ liệu cá nhân chặt chẽ và giới hạn việc thu thập và sử dụng dữ liệu. Chúng ta cần bảo đảm rằng những nghiên cứu có trách nhiệm về bảo mật là hợp pháp và được đầu tư đúng đắn. Chúng ta cần thi hành sự minh bạch trong thiết kế, ký thác code các chương trình của công ty cho chính phủ khi nó phá sản và sự tương hợp giữa các thiết bị của những hãng sản xuất khác nhau, để đảo ngược hiệu ứng độc quyền trong những công nghệ liên kết nối. Mọi cá nhân đều có quyền giữ dữ liệu của riêng mình. Và mọi thiết bị có khả năng kết nối internet vẫn còn giữ lại được một số chức năng tối thiểu khi bị ngắt kết nối mạng.


“Chúng ta đang xây dựng một con robot có kích cỡ bằng cả thế giới, biết cảm nhận, suy nghĩ và hành động” - Bruce Schneier.

Dĩ nhiên sẽ có những vấn đề: Thiếu chuyên gia về những vấn đề này trong chính phủ, Thiếu ý chí trong cơ quan nhà nước để làm những công việc hành chính nặng nhọc. Còn giới công nghiệp đang lo lắng về bất cứ sự quan liêu nào phát sinh thêm. Nhưng chính phủ là một thực thể mà chúng ta trông đợi phải giải quyết vấn đề như thế này. Chính phủ có sự bao quát, có thể điều phối trên quy mô rộng và có thể cân bằng lợi ích giữa các bên để xác định và giải quyết vấn đề. Trong mọi trường hợp, Chính phủ phải có trách nhiệm tham dự. Chúng ta phải đối mặt với rủi ro quá lớn và cái giá phải trả cũng quá cao. Bản thân chính phủ hiện cũng đã kiểm soát các hệ thống vật lý ẩn chứa nhiều rủi ro như xe hơi và các thiết bị y tế.

Chúng ta cũng nên bắt đầu ngắt kết nối các hệ thống. Nếu chúng ta không thể đảm bảo cho những hệ thống phức tạp đạt mức an ninh cần thiết để nó có thể vận hành tốt trên thực tế, thì chúng ta không nên xây dựng một thế giới mà mọi thứ đều được vi tính hóa và liên kết.

Đây là những mô hình khác của internet. Chúng ta chỉ khuyến khích việc giao tiếp trong phạm vi địa phương. Chúng ta có thể đưa ra những giới hạn về thu thập và lưu trữ dữ liệu. Chúng ta có thể chủ động khóa các thiết bị, đảo ngược xu hướng biến tất cả mọi thứ thành một chiếc máy tính đa dụng. Và, điều quan trọng nhất, chúng ta có thể hướng tới những hệ thống ít tập trung hơn và phân tán hơn, giống như cách chúng ta hình dung ban đầu về internet.

Tôi đoán rằng chúng ta sẽ sớm đạt tới đỉnh điểm của sự vi tính hóa và kết nối, và rốt cục chúng ta sẽ phải đưa ra những quyết định nghiêm túc về việc chúng ta kết nối mọi thứ vì cái gì và như thế nào. Nhưng giờ đây, chúng ta vẫn còn đang ở trong giai đoạn trăng mật. Chính phủ và các tập đoàn vẫn đang chìm trong cơn say của dữ liệu, và cuộc chạy đua kết nối mọi thứ được khởi sinh từ khao khát quyền lực và thị phần. Một tài liệu được tung ra bởi Edward Snowden có chứa khẩu hiệu của NSA: “Thu thập tất cả”. Một khẩu hiệu tương tự để mô tả internet ngày nay có lẽ là: “Kết nối tất cả”.

Nó sẽ là những quyết định chính sách chủ đích đặt sự an toàn và lợi ích của xã hội lên trên lợi ích của các tập đoàn và khối công nghiệp; ưu tiên an ninh hệ thống của chúng ta lên trên những đòi hỏi của các đơn vị tình báo. Đó là một chính sách khó nuốt với nhiều người nhưng sự an toàn của chúng ta phụ thuộc vào nó.

Đề xuất cuối cùng của tôi: Chúng ta cần nhiều hơn những chuyên gia công nghệ hoạt động vì cộng đồng. Thực hành an ninh IoT đúng đắn phụ thuộc vào sự kết hợp của khu vực công nghệ và khu vực nhà nước, và quan trọng hơn, mỗi bên cần có những chuyên gia từng làm việc cho cả hai phía. Chúng ta cần những nhà công nghệ tham gia vào việc xây dựng chính sách và cần những nhà làm chính sách quan tâm đến công nghệ; Cần tạo ra những cơ hội nghề nghiệp cho những nhà công nghệ vì cộng đồng tương tự như cơ chế sẵn có đang được áp dụng để tạo ra những luật sư công ích; Cũng cần các khóa học, cần các chương trình cấp bằng ở đại học, cho những người hứng thú với những nghề nghiệp trong lĩnh vực công nghệ phục vụ cộng đồng, và cần những học bổng trong những tổ chức cần họ. Những công ty công nghệ cần cho phép nhân viên của mình làm những việc như vậy. Chúng ta cần một hệ sinh thái hỗ trợ những con người là cầu nối giữa công nghệ và luật pháp.

Cho đến bây giờ, chúng ta vẫn để internet tự thân vận động. Nhưng bây giờ, điều đó đã thay đổi, chúng ta không thể trao quyền cho những lập trình viên và các công ty thuê họ có quyền viết nên không gian mạng theo cách họ muốn. Những quyết định mang tính đạo đức, chính trị theo một cách nào đó, cần phải được đưa ra bởi tất cả mọi người. Chúng ta cần nhiệt thành kết nối mọi người, chúng ta đang hăng say kết nối máy móc. “Kết nối tất cả” phải được thay chuyển thành “kết nối con người”.

 

Hải Đăng - Hảo Linh lược dịch
--------
* Bruce Schneier là chuyên gia công nghệ, hiện giữ cương vị CTO tại IBM, thành viên tại Trung tâm Beckman của Đại học Harvard và Hội đồng Tổ chức Electronic Frontier Foundation (EFF)
https://www.schneier.com/essays/archives/2017/01/click_here_to_kill_e.html
** Tít bài do tòa soạn đặt.