Năng lực phòng thủ mạng của Mỹ đang bị tháo dỡ từ bên trong
(theregister.com)- Khủng hoảng gián đoạn cơ sở dữ liệu CVE cho thấy hệ thống an ninh mạng liên bang Mỹ có thể bị lung lay chỉ bởi các quyết định về ngân sách, nhân sự và tổ chức
- Nếu CVE, điểm tham chiếu chung cho các lỗ hổng bảo mật trong 25 năm qua, bị suy yếu, bên phòng thủ sẽ phải tốn thời gian xác nhận có đang nói về cùng một lỗ hổng hay không, còn kẻ tấn công có thể lợi dụng sự hỗn loạn đó
- CISA đã nằm trong diện cắt giảm hơn 1/3 nhân sự, và hợp đồng CVE của MITRE được gia hạn vào sát hạn chót nhưng sẽ hết hạn lại vào tháng 3/2026
- Việc sa thải lãnh đạo NSA·US Cyber Command, giải thể trên thực tế CSRB, dừng điều tra Salt Typhoon, chuyển trọng tâm chuẩn bị sang bang và địa phương, cùng việc cắt giảm trợ cấp liên bang đang làm suy yếu năng lực phòng thủ liên bang
- Cùng với việc DOGE tiếp cận các hệ thống liên bang nhạy cảm, sự suy yếu an ninh do chính Mỹ tự gây ra có thể ảnh hưởng cả đến hệ sinh thái công nghệ bên ngoài nước Mỹ
Khủng hoảng gián đoạn CVE và sự hỗn loạn trong quản lý lỗ hổng
- Cơ sở dữ liệu Common Vulnerabilities and Exposures, tức CVE, là danh mục cốt lõi trên thực tế đã tổng hợp gần như mọi lỗ hổng bảo mật trong 25 năm qua
- Cựu giám đốc CISA Jen Easterly mô tả CVE là một danh mục toàn cầu cho phép các đội ngũ bảo mật, nhà cung cấp phần mềm, nhà nghiên cứu và chính phủ tổ chức và thảo luận về lỗ hổng theo cùng một hệ quy chiếu
- Nếu không có CVE, mỗi tổ chức sẽ dùng danh sách khác nhau hoặc ứng phó mà không có danh sách nào, thời gian xác nhận có đang nói về cùng một vấn đề hay không sẽ tăng lên, và kẻ tấn công có thể lợi dụng sự hỗn loạn đó
- CISA, cơ quan giám sát CVE, đã nằm trong diện cắt giảm hơn 1/3 nhân sự, và nhân viên được thông báo phải chọn giữa tiếp tục làm việc hay từ chức trước nửa đêm thứ Hai
- Hợp đồng CVE của MITRE đã được gia hạn ngay trước hạn chót, nhưng dự kiến sẽ hết hạn lại vào tháng 3/2026
Thu hẹp CISA và các tổ chức an ninh mạng liên bang
- Việc cắt giảm nhân sự tại CISA và sự bất định về hợp đồng có liên hệ trực tiếp với vấn đề duy trì CVE
- Trước đây, việc gia hạn hợp đồng CVE gần như là một quyết định đương nhiên, nhưng hiện vẫn chưa rõ liệu lần gia hạn tiếp theo có diễn ra hay không
- Nếu nền tảng chung như CVE bị lung lay, sẽ khó điều phối việc ứng phó lỗ hổng trên toàn bộ lĩnh vực an ninh kỹ thuật
Giải thể các nhân sự an ninh mạng cấp cao và cơ quan cố vấn
- Tướng Timothy D. Haugh, người đứng đầu NSA và US Cyber Command, đã bị sa thải vào đầu tháng 4
- Ông được xem là nhân vật quan trọng trong việc bảo vệ hạ tầng mạng quốc gia, bao gồm ứng phó với sự can thiệp của Nga sau cuộc bầu cử năm 2016
- Một nguyên nhân được nhắc đến là Laura Loomer, nhân vật cực hữu theo thuyết âm mưu và có liên hệ với Trump, không ưa ông
- Cyber Safety Review Board, tức CSRB, là tổ chức được chính quyền Biden thành lập để điều tra các sự cố mạng lớn
- Toàn bộ thành viên đã bị chấm dứt nhiệm vụ, khiến cơ quan này trên thực tế bị giải thể
- Các cuộc điều tra về những cuộc tấn công mạng quan trọng như vụ hack “Salt Typhoon” của Trung Quốc đã bị dừng lại
- Cuộc tấn công Salt Typhoon cũng nhắm vào Trump và Phó tổng thống JD Vance, nhưng chính quyền bị chỉ trích là không coi trọng vấn đề này
Chuyển trọng tâm chuẩn bị sang bang·địa phương và thu hẹp hỗ trợ liên bang
- Sắc lệnh hành pháp Achieving Efficiency Through State and Local Preparedness của Trump nêu rằng năng lực chuẩn bị được sở hữu và quản lý hiệu quả nhất ở cấp bang, địa phương và cá nhân, còn chính phủ liên bang sẽ hỗ trợ việc đó
- Sắc lệnh này đưa cả tấn công mạng, cháy rừng, bão và thời tiết không gian vào nhóm đối tượng cần ra quyết định và đầu tư ở cấp địa phương
- Vì tấn công mạng không dừng lại trong phạm vi một bang cụ thể, có ý kiến cho rằng mô hình 50 bang tự đối phó riêng với các nhóm hacker được nhà nước hậu thuẫn là phi thực tế
- Trump cũng đã cắt giảm nguồn tài trợ cho chương trình trợ cấp liên bang chuyên biệt về an ninh mạng ngay từ đầu nhiệm kỳ
- Các chính quyền bang có thể gặp khó khăn trong việc tuyển đủ chuyên gia bảo mật ở đẳng cấp cao nhất
DOGE tiếp cận hệ thống nhạy cảm và rủi ro dữ liệu
- Department of Government Efficiency của Elon Musk, tức DOGE, đã tiếp cận các hệ thống liên bang nhạy cảm
- Các hệ thống bị tiếp cận bao gồm hệ thống thanh toán của Treasury Department và Social Security System
- Có lo ngại rằng dữ liệu đã bị sao chép đi đâu đó và những người không có quyền xem hoặc sử dụng lại có thể đã tiếp cận được
- Chỉ trích cho rằng không chỉ năng lực phòng thủ mạng trước bên ngoài bị suy yếu, mà ngay cả dữ liệu có thể trở thành nền tảng cho các cuộc tấn công bảo mật quy mô lớn nhắm vào công dân cá nhân cũng đã bị phơi lộ
- Trong bối cảnh này, ngay cả vụ một công ty bảo hiểm bị đánh cắp thông tin Social Security của 1,6 triệu người cũng bị xem là nhỏ hơn tương đối
Tác động có thể lan ra ngoài nước Mỹ
- Mỹ từ lâu đã giữ vai trò dẫn dắt trong an ninh công nghệ, vì vậy sự suy yếu của năng lực phòng thủ mạng liên bang không chỉ là vấn đề nội bộ của Mỹ
- Mỹ sẽ chịu thiệt hại lớn nhất, nhưng toàn thế giới cũng có thể cảm nhận được dư chấn
1 bình luận
Các ý kiến trên Hacker News
Rốt cuộc chuyện này giúp ích cho người dân Mỹ theo cách nào?
Xét về chi phí thì có thể tranh luận. Ví dụ có thể đặt câu hỏi liệu cơ sở dữ liệu CVE có đáng 50 triệu USD mỗi năm hay không, đặc biệt nếu tính cả lượng việc tồn đọng
Cũng có thể giả định rằng sẽ xuất hiện các dịch vụ thay thế tư nhân hoặc bán tư nhân, và nhiều dịch vụ cạnh tranh với nhau sẽ cải thiện chất lượng. Cũng có thể lập luận theo kiểu những người theo chủ nghĩa tự do cá nhân rằng mọi dịch vụ không phải là độc quyền cưỡng chế đều nên do khu vực tư nhân đảm nhiệm
Nhưng đó không phải là lập luận hay. 50 triệu USD nghe có vẻ lớn và có thể có chỗ để cắt giảm. Dù vậy, tôi muốn xem phân tích vận hành thực tế hơn là cứ thế chấm dứt chương trình
Lập luận thứ hai còn tệ hơn. NIST và NOAA là ví dụ về các cơ quan có lợi ích lớn so với chi phí, và NIST vì lợi nhuận hay NOAA vì lợi nhuận nghe có vẻ chẳng hợp lý lắm. Dù vậy, nhìn chung vẫn đáng cân nhắc ưu nhược điểm của dịch vụ dùng ngân sách công so với phiên bản tư nhân. Một lập luận tệ vẫn còn hơn là không có lập luận nào, nhưng chính quyền hiện tại thậm chí còn không đưa ra được cả những lập luận đó
Có nhiều thuyết âm mưu cho rằng việc này sẽ được dùng để đàn áp quyền lợi, và cuối cùng có thể đúng là như vậy. Nhưng điều đó nhiều khả năng sẽ là phản ứng hậu kỳ trước hậu quả của những hành động vụng về
Quan niệm phổ biến hiện nay trong chính quyền Trump là các chương trình an ninh mạng kiểu này là lãng phí tiền bạc, và khu vực tư nhân sẽ xuất hiện như phép màu để cứu chúng ta
Giờ thì tất cả mọi người sẽ phải chịu cái giá rất cao của vốn nhân lực thấp
Thật không may, Putin nhiều khả năng sẽ tiếp tục xâm lược tới tận Fulda Gap của Đức. Nếu chúng ta vẫn còn thuộc NATO, chúng ta sẽ buộc phải tuyên chiến
Chính quyền Trump thấy tiền được chi cho các dự án cũng mang lại lợi ích cho người ngoài nước Mỹ, bất kể giá trị nội tại của chúng, rồi mặc nhiên cho rằng tiền của Mỹ đang bị dùng cho nước khác
Họ không đủ thông minh, không đủ hiểu biết, và cũng chẳng mấy muốn học hỏi hay nghe những người thông minh hơn. Khi thấy một mục ngân sách mà họ không hiểu, họ cho rằng có thể xóa bỏ nó
Có vẻ họ giả định rằng nếu thứ gì đó thật sự quan trọng, ai đó sẽ biến nó thành một doanh nghiệp
Các cuộc trò chuyện trên Signal chỉ là chuyện bên lề so với việc mở toang chính phủ trước rò rỉ dữ liệu và ảnh hưởng từ nước ngoài
https://www.newsweek.com/doge-whistleblower-stalked-threaten...
Họ không thấy những chuyện này. Không có đưa tin đúng nghĩa. Mẹ tôi thậm chí không biết phạm vi của các mức thuế quan, cũng không biết về vụ lừa đảo tiền mã hóa DJT. Tôi đã giải thích về Signal nhiều lần, nhưng bà thật sự không hiểu được những thứ phức tạp
Mẹ tôi nói “tôi biết Trump là người thô lỗ”, nhưng theo lời bà, bà muốn “nước Mỹ cho người Mỹ”, muốn đặt Trung Quốc vào đúng vị trí của họ, và muốn bảo vệ biên giới
Tôi nói với cha mình: “Bố nghĩ vì sao nước Mỹ lại mạnh và có ảnh hưởng đến vậy? Vì chúng ta đầu tư vào thế giới và tiếp nhận sinh viên đến Mỹ. Chúng ta không phải là trung tâm của thế giới mà không có lý do”, thì ông chỉ đáp: “Chúng ta là trung tâm của thế giới”
Đất nước chúng ta đầy những người không thể tư duy trừu tượng và nghiện những lời dối trá
Ngân sách không phải là bản chất vấn đề mà là yếu tố đánh lạc hướng. Việc tháo dỡ hệ thống an ninh mạng dân sự là cách khiến công chúng phơi nhiễm trước các chiến dịch gây ảnh hưởng và những thiệt hại khác, để về sau cần thêm các giải pháp kiểu “lãnh đạo mạnh tay” [0,1]
Chỉ sau khi phá hủy “phòng thủ mạng” thì họ mới có thể tuyên bố có khủng hoảng và nói “an ninh mạng đã chết, an ninh mạng mới muôn năm”
Và chắc chắn đó sẽ không phải là thứ bảo mật dành cho bạn
[0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
[1] https://cybershow.uk/blog/posts/usw/
Bài viết hơi mỏng. Việc ngân sách CVE suýt bị cắt gần hết chắc chắn là bi kịch, nhưng bài không đề cập đến chuyện dữ liệu bị rút khỏi NLRB và mọi người bị khóa khỏi tài khoản, còn các khoản cắt giảm trợ cấp liên bang cho an ninh mạng và ngân sách CISA cũng chỉ được nói rất ngắn
Có nhiều đạn dược hơn nhiều để cho thấy chính quyền Trump và đội DOGE của Musk thật sự bất tài đến mức nào
Bài này trình bày khá chi tiết các dấu hiệu cho thấy nhân viên DOGE đã cố tình nỗ lực che giấu hoạt động của họ trong tài khoản Azure của NLRB. Chắc chắn là điều tốt cho sự minh bạch của chính phủ
Theo tiết lộ của Berulis, chỉ vài phút sau khi DOGE truy cập hệ thống của NLRB, một người có địa chỉ IP ở Nga đã bắt đầu cố đăng nhập. Các nỗ lực này diễn ra “gần như theo thời gian thực”
Các lần đăng nhập bị chặn, nhưng đặc biệt đáng lo ngại. Người cố đăng nhập được cho là đã dùng một trong các tài khoản DOGE mới tạo, và biết đúng tên người dùng cùng mật khẩu
Có lẽ cần một cơ sở dữ liệu như CVE không phụ thuộc vào chính phủ Mỹ. Đây là điểm yếu của chính thế giới IT
Sau khi biết lịch sử CVE trong 10 năm qua, nghiêm túc mà nói thì có thể đề xuất ai đây? Giao thầu phụ cho Cisco hay Oracle à?
https://www.thecvefoundation.org/
Một ý tưởng táo bạo: hay là phân tán CVE ra nhiều quốc gia để không một tổ chức đơn lẻ nào có quyền xóa sổ nó?
Chẳng phải đây là cơ sở dữ liệu công khai ngay cả khi Mỹ không hợp tác sao? Có gì ngăn UN, EU, Anh, Úc, v.v. sao chép nó và lập một CVE chung không?
Trump sẽ lần thứ hai bất ngờ trước sự thật rằng “mọi thứ đều là máy tính”
Đây là phá hoại, vậy ai đã làm?
“Hội chứng Washington Monument, còn được gọi là hội chứng Mount Rushmore hoặc nguyên tắc lính cứu hỏa trước tiên, là thuật ngữ chỉ hiện tượng các cơ quan chính phủ Mỹ khi đối mặt với cắt giảm ngân sách sẽ cắt giảm những dịch vụ dễ thấy nhất hoặc được đánh giá cao nhất trong số các dịch vụ do chính phủ cung cấp”
https://en.wikipedia.org/wiki/Washington_Monument_syndrome