Cảnh báo: Trung Quốc đang khai thác quy trình bảo mật Internet để đánh cắp dữ liệu

18/10/21, 10:16 Thế giới

Các chuyên gia an ninh mạng cảnh báo, để truy cập dữ liệu từ những người dùng thiếu cảnh giác, Đảng Cộng sản Trung Quốc (ĐCSTQ) có thể khai thác dữ liệu từ một quy trình xác thực toàn cầu được cho là an toàn, nhưng trên thực tế thì không.

Ảnh tệp được chụp vào ngày 4/8/2020, Prince, một thành viên của nhóm hack Red Hacker Alliance, người từ chối cung cấp tên thật của mình, sử dụng máy tính của mình tại văn phòng của họ ở Đông Quan, tỉnh Quảng Đông, miền nam Trung Quốc.(Ảnh qua Getty Images)

Các chuyên gia này cho biết, trong khi mã hóa vẫn là phương pháp ưa thích để bảo mật dữ liệu kỹ thuật số và bảo vệ máy tính, trong một số trường hợp, chính các chứng nhận số được sử dụng để xác thực trên internet đang cho phép chính quyền Trung Quốc xâm nhập vào các mạng máy tính khác nhau và gây thiệt hại.

Các tổ chức trên khắp thế giới, được gọi là các nhà cung cấp chứng thực số (CA), phát hành chứng nhận số để xác minh danh tính của thực thể kỹ thuật số trên internet.

Theo Andrew Jenkinson, Giám đốc điều hành của công ty an ninh mạng Cybersec Innovation Partners (CIP) và là tác giả của cuốn sách: “Stuxnet to Sunburst: 20 Years of Digital Exploitation and Cyber Warfare,” chứng chỉ số có thể được so sánh với hộ chiếu hoặc giấy phép lái xe..

“Nếu không có nó, người hoặc thiết bị họ đang sử dụng không thể theo tiêu chuẩn ngành và mã hóa dữ liệu quan trọng có thể bị bỏ qua, để lại dữ liệu được mã hóa ở dạng văn bản thuần túy,” Jenkinson nói với Epoch Times.

Thông qua mật mã, chứng chỉ kỹ thuật số được sử dụng để mã hóa thông tin liên lạc nội bộ và bên ngoài nhằm ngăn chặn tin tặc, chẳng hạn như chặn và đánh cắp dữ liệu. Nhưng các chứng chỉ không hợp lệ hoặc giả mạo có thể thao túng toàn bộ quá trình mã hóa và kết quả là hàng triệu người dùng đã nhận được cảm giác an toàn sai, Jenkinson nói.

Niềm tin sai lầm

Michael Duren, phó chủ tịch điều hành của công ty an ninh mạng Global Cyber ​​Risk LLC, cho biết chứng nhận số thường được các CA đáng tin cậy cấp và mức độ tin cậy ngang nhau sau đó sẽ được chuyển cho các nhà cung cấp trung gian. Tuy nhiên, nó sẽ tạo cơ hội cho một tổ chức cộng sản, một kẻ xấu xa hoặc một tổ chức không đáng tin cậy cấp chứng nhận cho những “kẻ bất chính” khác trong có vẻ là đáng tin cậy nhưng thực tế lại không hề đáng tin cậy, ông nói.

“Khi một chứng nhận được một tổ chức đáng tin cậy cấp, thì chứng nhận đó sẽ được tin cậy. Nhưng cái mà công ty phát hành thực sự có thể làm là chuyển sự tin tưởng đó cho một ai đó không đáng tin cậy,” Duren nói.

Duren cho biết, vì lý do này, ông sẽ không bao giờ tin tưởng cơ quan cấp chứng chỉ của Trung Quốc. Ông biết nhiều công ty đã cấm chứng nhận của Trung Quốc vì chúng được cấp cho các tổ chức không hề đáng tin cậy.

Jenkinson cho hay các cơ quan cấp chứng chỉ của Trung Quốc chiếm một tỷ lệ nhỏ trong tổng thể ngành và các chứng chỉ mà họ cấp thường chỉ giới hạn ở các công ty và sản phẩm của Trung Quốc.

Bức ảnh chụp vào ngày 4/8/2020 này cho thấy Prince, một thành viên của nhóm hack Red Hacker Alliance đã từ chối cung cấp tên thật của mình, sử dụng máy tính của mình tại văn phòng của họ ở Đông Quan, tỉnh Quảng Đông, miền nam Trung Quốc. (Ảnh qua Getty Images)

Vào năm 2015, các chứng nhận do Trung tâm Thông tin Mạng Internet Trung Quốc (CNNIC), cơ quan nhà nước giám sát cơ quan đăng ký tên miền của Trung Quốc cấp, đã bị đặt nghi vấn. Google và Mozilla đã cấm các chứng nhận CNNIC khi biết được các chứng nhận số trái phép được kết nối với một số miền. Cả hai công ty internet này đều phản đối việc CNNIC giao quyền cấp chứng nhận cho một công ty Ai Cập cấp chứng nhận trái phép.

Theo Jenkinson, các chứng chỉ CNNIC đã bị cấm vì chúng có “cửa sau”.

Ông nói: “Cửa sau có nghĩa là [cơ quan cấp chứng nhận Trung Quốc] có thể tiếp quản quyền quản trị và gửi dữ liệu trở lại công ty mẹ.”

Kể từ năm 2016, Mozilla, Google, Apple và Microsoft cũng đã cấm Cơ quan cấp chứng chỉ Trung Quốc WoSign và công ty con StartCom của họ vì các hành vi bảo mật không thể chấp nhận.

Lỗi an ninh

Jenkinson nói, bất chấp những lệnh cấm đối với chứng chỉ kỹ thuật số của Trung Quốc trong những năm gần đây, ĐCSTQ không hề bị nản lòng và đang chơi trò đi đường dài.

Ông chỉ ra một phát hiện đáng báo động được công ty an ninh mạng của ông tìm ra cách đây 2 năm, đã ảnh hưởng đến một công ty tư vấn đa quốc gia.

Ông cho biết, thông thường chứng nhận số có hiệu lực một vài năm, tùy thuộc vào tổ chức cấp chứng nhận và việc gia hạn là bắt buộc để giữ cho chúng hợp lệ và dữ liệu mà chúng phải bảo vệ an toàn.

“Nhưng vào năm 2019, CIP Chinese đã phát hiện ra các chứng chỉ đã tồn tại trong 999 năm,” Jenkinson nói.

Công ty của ông đã phát hiện ra điều này khi kiểm tra máy tính xách tay của một công ty tư vấn nổi tiếng toàn cầu.

Mục thông tin mô tả 4 thành viên quân đội Trung Quốc bị truy tố về tội đột nhập vào Equifax Inc. và đánh cắp dữ liệu của hàng triệu người Mỹ được nhìn thấy ngay sau khi Bộ trưởng Tư pháp William Barr tổ chức một cuộc họp báo tại Bộ Tư pháp về Ngày 10/2/2020 tại Washington, DC. (Ảnh qua Getty Images)

Jenkinson đã chỉ ra lỗi bảo mật này cho  công ty trên và đề nghị cung cấp các dịch vụ bảo mật máy tính và mạng của khách hàng. Nhưng công ty đã từ chối.

Ông nói: “Hoặc là họ cực kỳ tự mãn, hoặc họ đồng lõa,” và lưu ý rằng khách hàng của công ty này có cả các tổ chức thuộc chính phủ Hoa Kỳ.

Jenkinson cho biết công ty trị giá hàng tỷ đô la này không thể khắc phục được vấn đề, có nghĩa là hàng trăm nghìn người có thể bị ảnh hưởng bởi sự xâm nhập của Trung Quốc, thông qua hệ thống bảo mật lỏng lẻo của công ty.

Ông nói, công ty này đang làm tổn hại đến khách hàng của mình mỗi khi ai đó sử dụng một trong những chiếc máy tính xách tay của họ. Ví dụ: các công ty hoặc khách hàng sử dụng dịch vụ của công ty có thể bị đòi tiền chuộc, bị đánh cắp tài sản trí tuệ hoặc nhận phải mã độc hại được cài đặt nhằm mục đích sử dụng sau này.

“Công ty này vi phạm mọi quy định về quyền riêng tư mà con người biết — và họ chỉ muốn làm ngơ điều đó,” vị chuyên gia an ninh mạng cho biết, đặc biệt chỉ ra luật bảo vệ dữ liệu nghiêm ngặt của Liên minh Châu Âu.

Và nếu thông tin này được công khai, hậu quả sẽ rất lớn, Jenkinson nói.

“Hãy tưởng tượng một cuộc tấn công kiểu “waterhole attack” hoặc một cuộc tấn công từng ổ đĩa, một cuộc tấn công mà tội phạm mạng có thể chỉ cần ngồi đó và dễ dàng chiếm quyền truy cập để thu thập dữ liệu mà không cần nghĩ đến hoặc phải giải mã nó — bởi vì tất cả đều ở dạng văn bản thuần túy [do chứng chỉ giả mạo hoặc lỗi cấu hình],” ông nói.

Jenkinson cho biết: “Đối với một công ty có uy tín lớn như vậy mà lại lựa chọn không bảo vệ khách hàng của mình thì thật là một sự điên rồ.”

Một vấn đề nan giải

Theo Jenkinson, thiệt hại kinh tế do tội phạm mạng vẫn chưa có xu hướng khắc phục đúng hướng.

Theo báo cáo từ công ty bảo mật máy tính McAfee, thiệt hại toàn cầu do tội phạm mạng vượt quá 1.000 tỷ USD vào năm 2020. Công ty nghiên cứu Cybersecurity Ventures cho biết vào năm 2021, thiệt hại dự kiến ​​sẽ leo thang lên hơn 6.000 tỷ USD.

Jenkinson dự đoán rằng thiệt hại kinh tế sẽ vượt quá 10.000 tỷ USD vào năm 2025.

Ông nói: “Điều này sẽ ảnh hưởng đến mọi người cả đàn ông, phụ nữ và trẻ em. Con Chúng ta đang ở trên một cái dốc trơn trượt, mà chính chúng ta đang bôi trơn nó.”

Jenkinson cho biết, để bắt đầu đảo ngược xu hướng này, “mọi người không nên sử dụng chứng chỉ số CNNIC của Trung Quốc.”

Duren của Global Cyber ​​Risk đồng ý với biện pháp này, ông nói: “Bất kỳ thứ gì đến từ một thực thể do nhà nước kiểm soát như cộng sản Trung Quốc đóng vai trò là cơ quan cấp chứng chỉ đều không nên được tin cậy.”

Jenkinson nói rằng các CA cần kiểm soát và giám sát tốt hơn. “Nếu không thực hiện được điều này, không ai có bất kỳ cơ hội nào để biết chứng nhận số nào đang được sử dụng, vì một máy tính xách tay tiêu chuẩn chứa hàng trăm nghìn phiên bản chứng nhận số.”

Jenkinson lưu ý rằng các sản phẩm máy tính của Trung Quốc sẽ chủ trương sử dụng chứng chỉ số của Trung Quốc. Do đó, người dùng các sản phẩm như vậy nên biết rằng kết quả là bảo mật của họ có thể bị xâm phạm.

Thiện Thành (Theo Epoch Times)

Ad will display in 09 seconds

Trước khi đại náo Thiên Cung Tôn Ngộ Không là người như thế nào?

Ad will display in 09 seconds

Chuyện về một người hùng và người cha mafia

Ad will display in 09 seconds

Điều gì khiến Quỷ Thần phẫn nộ

Ad will display in 09 seconds

Chuyển sinh sang kiếp sau, vẫn đòi báo thù

Ad will display in 09 seconds

Lòng trung thực đáng giá bao nhiêu?

Ad will display in 09 seconds

Vì sao Mục Kiền Liên có nhiều thần thông nhưng vẫn bị đám trẻ đánh đập?

Ad will display in 09 seconds

Vô lễ làm nhục Phật, quả báo 9 vạn năm

Ad will display in 09 seconds

Trải nghiệm cận tử của một thanh niên Mỹ

Ad will display in 09 seconds

Thế nào là Ông Bụt, Ông Phật và Ông Tiên?

Ad will display in 09 seconds

Người Việt đang khao khát điều gì?

  • Trước khi đại náo Thiên Cung  Tôn Ngộ Không là người như thế nào?

    Trước khi đại náo Thiên Cung Tôn Ngộ Không là người như thế nào?

  • Chuyện về một người hùng và người cha mafia

    Chuyện về một người hùng và người cha mafia

  • Điều gì khiến Quỷ Thần phẫn nộ

    Điều gì khiến Quỷ Thần phẫn nộ

  • Chuyển sinh sang kiếp sau, vẫn đòi báo thù

    Chuyển sinh sang kiếp sau, vẫn đòi báo thù

  • Lòng trung thực đáng giá bao nhiêu?

    Lòng trung thực đáng giá bao nhiêu?

  • Vì sao Mục Kiền Liên có nhiều thần thông nhưng vẫn bị đám trẻ đánh đập?

    Vì sao Mục Kiền Liên có nhiều thần thông nhưng vẫn bị đám trẻ đánh đập?

  • Vô lễ làm nhục Phật, quả báo 9 vạn năm

    Vô lễ làm nhục Phật, quả báo 9 vạn năm

  • Trải nghiệm cận tử của một thanh niên Mỹ

    Trải nghiệm cận tử của một thanh niên Mỹ

  • Thế nào là Ông Bụt, Ông Phật và Ông Tiên?

    Thế nào là Ông Bụt, Ông Phật và Ông Tiên?

  • Người Việt đang khao khát điều gì?

    Người Việt đang khao khát điều gì?

x