Tại sao Internet lại ngày càng trở nên thiếu an toàn như vậy? Câu trả lời là do hai nguyên nhân mà chúng ta không thể thay đổi chỉ trong một sớm một chiều:
1. Mạng Internet chưa bao giờ được chuẩn bị để đối phó với những vấn đề này.
Chúng ta đang sử dụng Internet để nạp tiền vào tài khoản ngân hàng, kinh doanh, học tập và thậm chí tiến hành cả các hoạt động quốc phòng. Đây là những công việc yêu cầu sự riêng tư và sự đảm bảo rằng mọi người thực sự làm đúng như những gì họ nói. Tuy nhiên, mạng Internet, như nó đã được thiết kế, không thể thỏa mãn cả hai yêu cầu trên.
Khi mà World Wide Web được tạo ra 25 năm trước, nó chỉ tồn tại như là một kênh thông tin để các nhà vật lý học trao đổi các nghiên cứu của mình. Nó từng là một cộng đồng nhỏ, gần gũi và tràn đầy sự tin tưởng giữa các nhà khoa học. Và cho tới nay, việc truyền tải các thông điệp trên Internet bằng văn bản đơn thuần vẫn là một tiêu chuẩn. Bất kỳ ai cũng có thể ấn vào một liên kết để đọc những gì bạn viết.
Từ 20 năm trước, các kỹ sư đã tạo ra giao thức HTTPS để bảo vệ các cuộc hội thoại bằng cách mã hóa chúng – nhưng phải tới tận bây giờ, các hãng cung cấp dịch vụ thư điện tử và mạng xã hội tới sử dụng giao thức này. Thậm chí những trang web như Instagram hay Reddit vẫn không để HTTPS làm mặc định.
Mạng Internet cũng được tạo ra dựa trên các quy tắc yêu cầu mỗi gói thông tin phải được gửi tới một địa chỉ hợp lệ. Nhưng những quy định đó lại không chặt chẽ về việc xác nhận nguồn tin, vì vậy chúng có thể bị qua mặt. Kết quả là các hacker có thể làm giả một địa chỉ phản hồi. Và khi hàng triệu gói thông tin "gian lận" được gửi trả lại cùng một lúc, một trang web có thể bị ngừng hoạt động bởi một cơn lũ lưu lượng truy cập bất hợp pháp – đó chính là một vụ "Tấn công từ chối dịch vụ" (DoS).
"Khi Internet mới phát triển, môi trường mạng vẫn còn thân thiện. Điều đó giờ đã không còn đúng nữa"– theo Paul Vixie, người đã có công trong việc tạo nên các cách thức kết nối tới website của chúng ta ngày nay – "Một mạng lưới đáng tin cậy dành cho các trường đại học không phải là một mạng lưới toàn cầu dành cho toàn thể nhân loại".
2. Phần mềm là một mớ hỗn hợp của các khối lego thiếu sót.
Có một sự thật phũ phàng và xấu xí của thế giới khoa học máy tính ngày nay: Các nhà phát triển không kiểm tra ứng dụng của họ đủ chặt chẽ để phát hiện ra các lỗi bảo mật. Khi mà các phần mềm đang ngày càng mang lại nhiều lợi nhuận, thì các nhà phát triển càng phải chịu những áp lực cực lớn để đưa ra những ứng dụng mới càng nhanh càng tốt.
Trong một bài luận viết về quá trình sản xuất phần mềm kiểu "mỳ ăn liền", nhà phát triển Peter Welch đã giải thích làm thế nào để các nhà phát triển thời nay nhanh chóng tạo ra những đoạn mã – đó là không cần kiểm tra lại để tìm lỗi và để đảm bảo rằng mọi thứ sẽ không sụp đổ hoặc cho phép hacker thâm nhập. "Mọi người đang bắt đầu đốt cháy giai đoạn và tăng tốc" – Welch cho biết – "Công đoạn lập trình đang ít nghiêng về các giá trị khoa học và hướng nhiều hơn đến việc sản xuất sản phẩm. Chúng tôi đang phải hy sinh một phần bảo mật cho tốc độ viết phần mềm".
Đôi khi, những đoạn mã thiếu sót đó lại trở nên phổ biến, nhất là trong một thế giới mà phần lớn người dùng bị phụ thuộc vào các phần mềm mã nguồn mở. Những chương trình này được tạo nên để chia sẻ miễn phí và được dùng bởi tất cả các đối tượng – những công ty startup, ngân hàng, hay thậm chí cả chính phủ.
Đang tồn tại một suy nghĩ ảo tưởng về tính bảo mật trong cộng đồng người dùng Internet, rằng: Có rất nhiều lập trình viên đã nhìn qua đoạn mã, vì vậy nếu có lỗi, nhất định họ đã tìm ra. Do đó, những phần mềm mã nguồn mở là an toàn tuyệt đối, kể cả khi không có ai phải chịu trách nhiệm trực tiếp kiểm tra chúng?!
Đó là một quan điểm hoàn toàn sai lầm! Lỗ hổng bảo mật "Shellshock" là ví dụ hoàn hảo để minh họa cho suy nghĩ thiếu sót đó. Đột nhiên, một chương trình phổ biến đến mức nó đã được cài đặt trên hàng triệu thiết bị trên khắp thế giới, lại bị phát hiện là có một lỗ hổng chết người đã tồn tại tới hơn 20 năm! Rất nhiều con mắt đã quan sát nó, nhưng không ai phát hiện ra … cho tới tận bây giờ.
Anh Minh - Theo CNN
Có thể bạn quan tâm: