Cảnh báo: Trung Quốc đang khai thác quy trình bảo mật Internet để đánh cắp dữ liệu

18/10/21, 10:16 Thế giới
(FILES) In this file photo taken on August 04, 2020, Prince, a member of the hacking group Red Hacker Alliance who refused to give his real name, uses his computer at their office in Dongguan, China's southern Guangdong province. - As the number of online devices surges and super-fast 5G connections roll out, record numbers of companies are offering up to seven-figure rewards to ethical hackers who can successfully attack their cybersecurity systems. (Photo by NICOLAS ASFOURI / AFP) (Photo by NICOLAS ASFOURI/AFP via Getty Images)

Các chuyên gia an ninh mạng cảnh báo, để truy cập dữ liệu từ những người dùng thiếu cảnh giác, Đảng Cộng sản Trung Quốc (ĐCSTQ) có thể khai thác dữ liệu từ một quy trình xác thực toàn cầu được cho là an toàn, nhưng trên thực tế thì không.

Ảnh tệp được chụp vào ngày 4/8/2020, Prince, một thành viên của nhóm hack Red Hacker Alliance, người từ chối cung cấp tên thật của mình, sử dụng máy tính của mình tại văn phòng của họ ở Đông Quan, tỉnh Quảng Đông, miền nam Trung Quốc.(Ảnh qua Getty Images)

Các chuyên gia này cho biết, trong khi mã hóa vẫn là phương pháp ưa thích để bảo mật dữ liệu kỹ thuật số và bảo vệ máy tính, trong một số trường hợp, chính các chứng nhận số được sử dụng để xác thực trên internet đang cho phép chính quyền Trung Quốc xâm nhập vào các mạng máy tính khác nhau và gây thiệt hại.

Các tổ chức trên khắp thế giới, được gọi là các nhà cung cấp chứng thực số (CA), phát hành chứng nhận số để xác minh danh tính của thực thể kỹ thuật số trên internet.

Theo Andrew Jenkinson, Giám đốc điều hành của công ty an ninh mạng Cybersec Innovation Partners (CIP) và là tác giả của cuốn sách: “Stuxnet to Sunburst: 20 Years of Digital Exploitation and Cyber Warfare,” chứng chỉ số có thể được so sánh với hộ chiếu hoặc giấy phép lái xe..

“Nếu không có nó, người hoặc thiết bị họ đang sử dụng không thể theo tiêu chuẩn ngành và mã hóa dữ liệu quan trọng có thể bị bỏ qua, để lại dữ liệu được mã hóa ở dạng văn bản thuần túy,” Jenkinson nói với Epoch Times.

Thông qua mật mã, chứng chỉ kỹ thuật số được sử dụng để mã hóa thông tin liên lạc nội bộ và bên ngoài nhằm ngăn chặn tin tặc, chẳng hạn như chặn và đánh cắp dữ liệu. Nhưng các chứng chỉ không hợp lệ hoặc giả mạo có thể thao túng toàn bộ quá trình mã hóa và kết quả là hàng triệu người dùng đã nhận được cảm giác an toàn sai, Jenkinson nói.

Niềm tin sai lầm

Michael Duren, phó chủ tịch điều hành của công ty an ninh mạng Global Cyber ​​Risk LLC, cho biết chứng nhận số thường được các CA đáng tin cậy cấp và mức độ tin cậy ngang nhau sau đó sẽ được chuyển cho các nhà cung cấp trung gian. Tuy nhiên, nó sẽ tạo cơ hội cho một tổ chức cộng sản, một kẻ xấu xa hoặc một tổ chức không đáng tin cậy cấp chứng nhận cho những “kẻ bất chính” khác trong có vẻ là đáng tin cậy nhưng thực tế lại không hề đáng tin cậy, ông nói.

“Khi một chứng nhận được một tổ chức đáng tin cậy cấp, thì chứng nhận đó sẽ được tin cậy. Nhưng cái mà công ty phát hành thực sự có thể làm là chuyển sự tin tưởng đó cho một ai đó không đáng tin cậy,” Duren nói.

Duren cho biết, vì lý do này, ông sẽ không bao giờ tin tưởng cơ quan cấp chứng chỉ của Trung Quốc. Ông biết nhiều công ty đã cấm chứng nhận của Trung Quốc vì chúng được cấp cho các tổ chức không hề đáng tin cậy.

Jenkinson cho hay các cơ quan cấp chứng chỉ của Trung Quốc chiếm một tỷ lệ nhỏ trong tổng thể ngành và các chứng chỉ mà họ cấp thường chỉ giới hạn ở các công ty và sản phẩm của Trung Quốc.

Bức ảnh chụp vào ngày 4/8/2020 này cho thấy Prince, một thành viên của nhóm hack Red Hacker Alliance đã từ chối cung cấp tên thật của mình, sử dụng máy tính của mình tại văn phòng của họ ở Đông Quan, tỉnh Quảng Đông, miền nam Trung Quốc. (Ảnh qua Getty Images)

Vào năm 2015, các chứng nhận do Trung tâm Thông tin Mạng Internet Trung Quốc (CNNIC), cơ quan nhà nước giám sát cơ quan đăng ký tên miền của Trung Quốc cấp, đã bị đặt nghi vấn. Google và Mozilla đã cấm các chứng nhận CNNIC khi biết được các chứng nhận số trái phép được kết nối với một số miền. Cả hai công ty internet này đều phản đối việc CNNIC giao quyền cấp chứng nhận cho một công ty Ai Cập cấp chứng nhận trái phép.

Theo Jenkinson, các chứng chỉ CNNIC đã bị cấm vì chúng có “cửa sau”.

Ông nói: “Cửa sau có nghĩa là [cơ quan cấp chứng nhận Trung Quốc] có thể tiếp quản quyền quản trị và gửi dữ liệu trở lại công ty mẹ.”

Kể từ năm 2016, Mozilla, Google, Apple và Microsoft cũng đã cấm Cơ quan cấp chứng chỉ Trung Quốc WoSign và công ty con StartCom của họ vì các hành vi bảo mật không thể chấp nhận.

Lỗi an ninh

Jenkinson nói, bất chấp những lệnh cấm đối với chứng chỉ kỹ thuật số của Trung Quốc trong những năm gần đây, ĐCSTQ không hề bị nản lòng và đang chơi trò đi đường dài.

Ông chỉ ra một phát hiện đáng báo động được công ty an ninh mạng của ông tìm ra cách đây 2 năm, đã ảnh hưởng đến một công ty tư vấn đa quốc gia.

Ông cho biết, thông thường chứng nhận số có hiệu lực một vài năm, tùy thuộc vào tổ chức cấp chứng nhận và việc gia hạn là bắt buộc để giữ cho chúng hợp lệ và dữ liệu mà chúng phải bảo vệ an toàn.

“Nhưng vào năm 2019, CIP Chinese đã phát hiện ra các chứng chỉ đã tồn tại trong 999 năm,” Jenkinson nói.

Công ty của ông đã phát hiện ra điều này khi kiểm tra máy tính xách tay của một công ty tư vấn nổi tiếng toàn cầu.

Mục thông tin mô tả 4 thành viên quân đội Trung Quốc bị truy tố về tội đột nhập vào Equifax Inc. và đánh cắp dữ liệu của hàng triệu người Mỹ được nhìn thấy ngay sau khi Bộ trưởng Tư pháp William Barr tổ chức một cuộc họp báo tại Bộ Tư pháp về Ngày 10/2/2020 tại Washington, DC. (Ảnh qua Getty Images)

Jenkinson đã chỉ ra lỗi bảo mật này cho  công ty trên và đề nghị cung cấp các dịch vụ bảo mật máy tính và mạng của khách hàng. Nhưng công ty đã từ chối.

Ông nói: “Hoặc là họ cực kỳ tự mãn, hoặc họ đồng lõa,” và lưu ý rằng khách hàng của công ty này có cả các tổ chức thuộc chính phủ Hoa Kỳ.

Jenkinson cho biết công ty trị giá hàng tỷ đô la này không thể khắc phục được vấn đề, có nghĩa là hàng trăm nghìn người có thể bị ảnh hưởng bởi sự xâm nhập của Trung Quốc, thông qua hệ thống bảo mật lỏng lẻo của công ty.

Ông nói, công ty này đang làm tổn hại đến khách hàng của mình mỗi khi ai đó sử dụng một trong những chiếc máy tính xách tay của họ. Ví dụ: các công ty hoặc khách hàng sử dụng dịch vụ của công ty có thể bị đòi tiền chuộc, bị đánh cắp tài sản trí tuệ hoặc nhận phải mã độc hại được cài đặt nhằm mục đích sử dụng sau này.

“Công ty này vi phạm mọi quy định về quyền riêng tư mà con người biết — và họ chỉ muốn làm ngơ điều đó,” vị chuyên gia an ninh mạng cho biết, đặc biệt chỉ ra luật bảo vệ dữ liệu nghiêm ngặt của Liên minh Châu Âu.

Và nếu thông tin này được công khai, hậu quả sẽ rất lớn, Jenkinson nói.

“Hãy tưởng tượng một cuộc tấn công kiểu “waterhole attack” hoặc một cuộc tấn công từng ổ đĩa, một cuộc tấn công mà tội phạm mạng có thể chỉ cần ngồi đó và dễ dàng chiếm quyền truy cập để thu thập dữ liệu mà không cần nghĩ đến hoặc phải giải mã nó — bởi vì tất cả đều ở dạng văn bản thuần túy [do chứng chỉ giả mạo hoặc lỗi cấu hình],” ông nói.

Jenkinson cho biết: “Đối với một công ty có uy tín lớn như vậy mà lại lựa chọn không bảo vệ khách hàng của mình thì thật là một sự điên rồ.”

Một vấn đề nan giải

Theo Jenkinson, thiệt hại kinh tế do tội phạm mạng vẫn chưa có xu hướng khắc phục đúng hướng.

Theo báo cáo từ công ty bảo mật máy tính McAfee, thiệt hại toàn cầu do tội phạm mạng vượt quá 1.000 tỷ USD vào năm 2020. Công ty nghiên cứu Cybersecurity Ventures cho biết vào năm 2021, thiệt hại dự kiến ​​sẽ leo thang lên hơn 6.000 tỷ USD.

Jenkinson dự đoán rằng thiệt hại kinh tế sẽ vượt quá 10.000 tỷ USD vào năm 2025.

Ông nói: “Điều này sẽ ảnh hưởng đến mọi người cả đàn ông, phụ nữ và trẻ em. Con Chúng ta đang ở trên một cái dốc trơn trượt, mà chính chúng ta đang bôi trơn nó.”

Jenkinson cho biết, để bắt đầu đảo ngược xu hướng này, “mọi người không nên sử dụng chứng chỉ số CNNIC của Trung Quốc.”

Duren của Global Cyber ​​Risk đồng ý với biện pháp này, ông nói: “Bất kỳ thứ gì đến từ một thực thể do nhà nước kiểm soát như cộng sản Trung Quốc đóng vai trò là cơ quan cấp chứng chỉ đều không nên được tin cậy.”

Jenkinson nói rằng các CA cần kiểm soát và giám sát tốt hơn. “Nếu không thực hiện được điều này, không ai có bất kỳ cơ hội nào để biết chứng nhận số nào đang được sử dụng, vì một máy tính xách tay tiêu chuẩn chứa hàng trăm nghìn phiên bản chứng nhận số.”

Jenkinson lưu ý rằng các sản phẩm máy tính của Trung Quốc sẽ chủ trương sử dụng chứng chỉ số của Trung Quốc. Do đó, người dùng các sản phẩm như vậy nên biết rằng kết quả là bảo mật của họ có thể bị xâm phạm.

Thiện Thành (Theo Epoch Times)

Dịch bệnh: Lời cảnh tỉnh từ những dự ngôn

Dịch bệnh: Lời cảnh tỉnh từ những dự ngôn

Trung Quốc và Đài Loan: cùng nguồn cội nhưng sao khác biệt đến thế?

Trung Quốc và Đài Loan: cùng nguồn cội nhưng sao khác biệt đến thế?

Tam cương và nỗi oan của Nho giáo

Tam cương và nỗi oan của Nho giáo

Lúc sa cơ đừng bi lụy, Trời sinh ra ta ắc có chỗ dùng

Lúc sa cơ đừng bi lụy, Trời sinh ra ta ắc có chỗ dùng

TT Trump gặp gỡ người tập Pháp Luân Công và các nạn nhân bị đàn áp tôn giáo

TT Trump gặp gỡ người tập Pháp Luân Công và các nạn nhân bị đàn áp tôn giáo

Dòng nước cam lồ và câu chuyện của người kỹ nữ

Dòng nước cam lồ và câu chuyện của người kỹ nữ

Chuyện cổ Phật gia: Ai tỉnh, ai say?

Chuyện cổ Phật gia: Ai tỉnh, ai say?

Tinh Hoa kể chuyện: Cậu bé mù xây cầu

Tinh Hoa kể chuyện: Cậu bé mù xây cầu

Trước khi đại náo Thiên Cung  Tôn Ngộ Không là người như thế nào?

Trước khi đại náo Thiên Cung Tôn Ngộ Không là người như thế nào?

Ly kỳ chuyện Tôn Tẫn đắc Đạo thành tiên

Ly kỳ chuyện Tôn Tẫn đắc Đạo thành tiên

  • Dịch bệnh: Lời cảnh tỉnh từ những dự ngôn

    Dịch bệnh: Lời cảnh tỉnh từ những dự ngôn

  • Trung Quốc và Đài Loan: cùng nguồn cội nhưng sao khác biệt đến thế?

    Trung Quốc và Đài Loan: cùng nguồn cội nhưng sao khác biệt đến thế?

  • Tam cương và nỗi oan của Nho giáo

    Tam cương và nỗi oan của Nho giáo

  • Lúc sa cơ đừng bi lụy, Trời sinh ra ta ắc có chỗ dùng

    Lúc sa cơ đừng bi lụy, Trời sinh ra ta ắc có chỗ dùng

  • TT Trump gặp gỡ người tập Pháp Luân Công và các nạn nhân bị đàn áp tôn giáo

    TT Trump gặp gỡ người tập Pháp Luân Công và các nạn nhân bị đàn áp tôn giáo

  • Dòng nước cam lồ và câu chuyện của người kỹ nữ

    Dòng nước cam lồ và câu chuyện của người kỹ nữ

  • Chuyện cổ Phật gia: Ai tỉnh, ai say?

    Chuyện cổ Phật gia: Ai tỉnh, ai say?

  • Tinh Hoa kể chuyện: Cậu bé mù xây cầu

    Tinh Hoa kể chuyện: Cậu bé mù xây cầu

  • Trước khi đại náo Thiên Cung  Tôn Ngộ Không là người như thế nào?

    Trước khi đại náo Thiên Cung Tôn Ngộ Không là người như thế nào?

  • Ly kỳ chuyện Tôn Tẫn đắc Đạo thành tiên

    Ly kỳ chuyện Tôn Tẫn đắc Đạo thành tiên