2 điểm bởi GN⁺ 2025-04-24 | 1 bình luận | Chia sẻ qua WhatsApp
  • Khủng hoảng gián đoạn cơ sở dữ liệu CVE cho thấy hệ thống an ninh mạng liên bang Mỹ có thể bị lung lay chỉ bởi các quyết định về ngân sách, nhân sự và tổ chức
  • Nếu CVE, điểm tham chiếu chung cho các lỗ hổng bảo mật trong 25 năm qua, bị suy yếu, bên phòng thủ sẽ phải tốn thời gian xác nhận có đang nói về cùng một lỗ hổng hay không, còn kẻ tấn công có thể lợi dụng sự hỗn loạn đó
  • CISA đã nằm trong diện cắt giảm hơn 1/3 nhân sự, và hợp đồng CVE của MITRE được gia hạn vào sát hạn chót nhưng sẽ hết hạn lại vào tháng 3/2026
  • Việc sa thải lãnh đạo NSA·US Cyber Command, giải thể trên thực tế CSRB, dừng điều tra Salt Typhoon, chuyển trọng tâm chuẩn bị sang bang và địa phương, cùng việc cắt giảm trợ cấp liên bang đang làm suy yếu năng lực phòng thủ liên bang
  • Cùng với việc DOGE tiếp cận các hệ thống liên bang nhạy cảm, sự suy yếu an ninh do chính Mỹ tự gây ra có thể ảnh hưởng cả đến hệ sinh thái công nghệ bên ngoài nước Mỹ

Khủng hoảng gián đoạn CVE và sự hỗn loạn trong quản lý lỗ hổng

  • Cơ sở dữ liệu Common Vulnerabilities and Exposures, tức CVE, là danh mục cốt lõi trên thực tế đã tổng hợp gần như mọi lỗ hổng bảo mật trong 25 năm qua
  • Cựu giám đốc CISA Jen Easterly mô tả CVE là một danh mục toàn cầu cho phép các đội ngũ bảo mật, nhà cung cấp phần mềm, nhà nghiên cứu và chính phủ tổ chức và thảo luận về lỗ hổng theo cùng một hệ quy chiếu
  • Nếu không có CVE, mỗi tổ chức sẽ dùng danh sách khác nhau hoặc ứng phó mà không có danh sách nào, thời gian xác nhận có đang nói về cùng một vấn đề hay không sẽ tăng lên, và kẻ tấn công có thể lợi dụng sự hỗn loạn đó
  • CISA, cơ quan giám sát CVE, đã nằm trong diện cắt giảm hơn 1/3 nhân sự, và nhân viên được thông báo phải chọn giữa tiếp tục làm việc hay từ chức trước nửa đêm thứ Hai
  • Hợp đồng CVE của MITRE đã được gia hạn ngay trước hạn chót, nhưng dự kiến sẽ hết hạn lại vào tháng 3/2026

Thu hẹp CISA và các tổ chức an ninh mạng liên bang

  • Việc cắt giảm nhân sự tại CISA và sự bất định về hợp đồng có liên hệ trực tiếp với vấn đề duy trì CVE
  • Trước đây, việc gia hạn hợp đồng CVE gần như là một quyết định đương nhiên, nhưng hiện vẫn chưa rõ liệu lần gia hạn tiếp theo có diễn ra hay không
  • Nếu nền tảng chung như CVE bị lung lay, sẽ khó điều phối việc ứng phó lỗ hổng trên toàn bộ lĩnh vực an ninh kỹ thuật

Giải thể các nhân sự an ninh mạng cấp cao và cơ quan cố vấn

  • Tướng Timothy D. Haugh, người đứng đầu NSA và US Cyber Command, đã bị sa thải vào đầu tháng 4
    • Ông được xem là nhân vật quan trọng trong việc bảo vệ hạ tầng mạng quốc gia, bao gồm ứng phó với sự can thiệp của Nga sau cuộc bầu cử năm 2016
    • Một nguyên nhân được nhắc đến là Laura Loomer, nhân vật cực hữu theo thuyết âm mưu và có liên hệ với Trump, không ưa ông
  • Cyber Safety Review Board, tức CSRB, là tổ chức được chính quyền Biden thành lập để điều tra các sự cố mạng lớn
    • Toàn bộ thành viên đã bị chấm dứt nhiệm vụ, khiến cơ quan này trên thực tế bị giải thể
    • Các cuộc điều tra về những cuộc tấn công mạng quan trọng như vụ hack “Salt Typhoon” của Trung Quốc đã bị dừng lại
  • Cuộc tấn công Salt Typhoon cũng nhắm vào Trump và Phó tổng thống JD Vance, nhưng chính quyền bị chỉ trích là không coi trọng vấn đề này

Chuyển trọng tâm chuẩn bị sang bang·địa phương và thu hẹp hỗ trợ liên bang

  • Sắc lệnh hành pháp Achieving Efficiency Through State and Local Preparedness của Trump nêu rằng năng lực chuẩn bị được sở hữu và quản lý hiệu quả nhất ở cấp bang, địa phương và cá nhân, còn chính phủ liên bang sẽ hỗ trợ việc đó
  • Sắc lệnh này đưa cả tấn công mạng, cháy rừng, bão và thời tiết không gian vào nhóm đối tượng cần ra quyết định và đầu tư ở cấp địa phương
  • Vì tấn công mạng không dừng lại trong phạm vi một bang cụ thể, có ý kiến cho rằng mô hình 50 bang tự đối phó riêng với các nhóm hacker được nhà nước hậu thuẫn là phi thực tế
  • Trump cũng đã cắt giảm nguồn tài trợ cho chương trình trợ cấp liên bang chuyên biệt về an ninh mạng ngay từ đầu nhiệm kỳ
  • Các chính quyền bang có thể gặp khó khăn trong việc tuyển đủ chuyên gia bảo mật ở đẳng cấp cao nhất

DOGE tiếp cận hệ thống nhạy cảm và rủi ro dữ liệu

  • Department of Government Efficiency của Elon Musk, tức DOGE, đã tiếp cận các hệ thống liên bang nhạy cảm
  • Các hệ thống bị tiếp cận bao gồm hệ thống thanh toán của Treasury Department và Social Security System
  • Có lo ngại rằng dữ liệu đã bị sao chép đi đâu đó và những người không có quyền xem hoặc sử dụng lại có thể đã tiếp cận được
  • Chỉ trích cho rằng không chỉ năng lực phòng thủ mạng trước bên ngoài bị suy yếu, mà ngay cả dữ liệu có thể trở thành nền tảng cho các cuộc tấn công bảo mật quy mô lớn nhắm vào công dân cá nhân cũng đã bị phơi lộ
  • Trong bối cảnh này, ngay cả vụ một công ty bảo hiểm bị đánh cắp thông tin Social Security của 1,6 triệu người cũng bị xem là nhỏ hơn tương đối

Tác động có thể lan ra ngoài nước Mỹ

  • Mỹ từ lâu đã giữ vai trò dẫn dắt trong an ninh công nghệ, vì vậy sự suy yếu của năng lực phòng thủ mạng liên bang không chỉ là vấn đề nội bộ của Mỹ
  • Mỹ sẽ chịu thiệt hại lớn nhất, nhưng toàn thế giới cũng có thể cảm nhận được dư chấn

1 bình luận

 
GN⁺ 2025-04-24
Các ý kiến trên Hacker News
  • Rốt cuộc chuyện này giúp ích cho người dân Mỹ theo cách nào?

    • Việc dừng Mitre và CVE đi ngược lại lợi ích của Mỹ trong cả khu vực công lẫn tư
      Xét về chi phí thì có thể tranh luận. Ví dụ có thể đặt câu hỏi liệu cơ sở dữ liệu CVE có đáng 50 triệu USD mỗi năm hay không, đặc biệt nếu tính cả lượng việc tồn đọng
      Cũng có thể giả định rằng sẽ xuất hiện các dịch vụ thay thế tư nhân hoặc bán tư nhân, và nhiều dịch vụ cạnh tranh với nhau sẽ cải thiện chất lượng. Cũng có thể lập luận theo kiểu những người theo chủ nghĩa tự do cá nhân rằng mọi dịch vụ không phải là độc quyền cưỡng chế đều nên do khu vực tư nhân đảm nhiệm
      Nhưng đó không phải là lập luận hay. 50 triệu USD nghe có vẻ lớn và có thể có chỗ để cắt giảm. Dù vậy, tôi muốn xem phân tích vận hành thực tế hơn là cứ thế chấm dứt chương trình
      Lập luận thứ hai còn tệ hơn. NIST và NOAA là ví dụ về các cơ quan có lợi ích lớn so với chi phí, và NIST vì lợi nhuận hay NOAA vì lợi nhuận nghe có vẻ chẳng hợp lý lắm. Dù vậy, nhìn chung vẫn đáng cân nhắc ưu nhược điểm của dịch vụ dùng ngân sách công so với phiên bản tư nhân. Một lập luận tệ vẫn còn hơn là không có lập luận nào, nhưng chính quyền hiện tại thậm chí còn không đưa ra được cả những lập luận đó
    • Không giúp ích gì. Đây là tác dụng phụ do thiếu hụt vốn nhân lực của cánh hữu dân túy
      Có nhiều thuyết âm mưu cho rằng việc này sẽ được dùng để đàn áp quyền lợi, và cuối cùng có thể đúng là như vậy. Nhưng điều đó nhiều khả năng sẽ là phản ứng hậu kỳ trước hậu quả của những hành động vụng về
      Quan niệm phổ biến hiện nay trong chính quyền Trump là các chương trình an ninh mạng kiểu này là lãng phí tiền bạc, và khu vực tư nhân sẽ xuất hiện như phép màu để cứu chúng ta
      Giờ thì tất cả mọi người sẽ phải chịu cái giá rất cao của vốn nhân lực thấp
    • Có lẽ bạn đang giả định rằng ban lãnh đạo hiện tại thật sự quan tâm đến việc giúp đỡ người dân Mỹ?
    • Tôi cho rằng đây là một nỗ lực công khai nhằm phát tín hiệu với Nga rằng Mỹ không còn là mối đe dọa trực tiếp nữa. Một nỗ lực vô vọng để tránh một cuộc chiến tranh hai mặt trận trong cuộc chiến thế giới sắp tới
      Thật không may, Putin nhiều khả năng sẽ tiếp tục xâm lược tới tận Fulda Gap của Đức. Nếu chúng ta vẫn còn thuộc NATO, chúng ta sẽ buộc phải tuyên chiến
    • Có vẻ họ nghĩ rằng việc này tiết kiệm ngân sách chính phủ. Không hẳn là có chuyện gì nham hiểm đang diễn ra, mà giống như chỉ nhìn vào các con số trên bảng tính của chính phủ rồi phán xét
      Chính quyền Trump thấy tiền được chi cho các dự án cũng mang lại lợi ích cho người ngoài nước Mỹ, bất kể giá trị nội tại của chúng, rồi mặc nhiên cho rằng tiền của Mỹ đang bị dùng cho nước khác
      Họ không đủ thông minh, không đủ hiểu biết, và cũng chẳng mấy muốn học hỏi hay nghe những người thông minh hơn. Khi thấy một mục ngân sách mà họ không hiểu, họ cho rằng có thể xóa bỏ nó
      Có vẻ họ giả định rằng nếu thứ gì đó thật sự quan trọng, ai đó sẽ biến nó thành một doanh nghiệp
  • Các cuộc trò chuyện trên Signal chỉ là chuyện bên lề so với việc mở toang chính phủ trước rò rỉ dữ liệu và ảnh hưởng từ nước ngoài
    https://www.newsweek.com/doge-whistleblower-stalked-threaten...

    • Những người thân bảo thủ của tôi chỉ xem Fox News, OAN, và Twitchy, một trang meme bảo thủ như thể Fox News đang cố trở nên ngu ngốc hơn nữa
      Họ không thấy những chuyện này. Không có đưa tin đúng nghĩa. Mẹ tôi thậm chí không biết phạm vi của các mức thuế quan, cũng không biết về vụ lừa đảo tiền mã hóa DJT. Tôi đã giải thích về Signal nhiều lần, nhưng bà thật sự không hiểu được những thứ phức tạp
      Mẹ tôi nói “tôi biết Trump là người thô lỗ”, nhưng theo lời bà, bà muốn “nước Mỹ cho người Mỹ”, muốn đặt Trung Quốc vào đúng vị trí của họ, và muốn bảo vệ biên giới
      Tôi nói với cha mình: “Bố nghĩ vì sao nước Mỹ lại mạnh và có ảnh hưởng đến vậy? Vì chúng ta đầu tư vào thế giới và tiếp nhận sinh viên đến Mỹ. Chúng ta không phải là trung tâm của thế giới mà không có lý do”, thì ông chỉ đáp: “Chúng ta là trung tâm của thế giới”
      Đất nước chúng ta đầy những người không thể tư duy trừu tượng và nghiện những lời dối trá
  • Ngân sách không phải là bản chất vấn đề mà là yếu tố đánh lạc hướng. Việc tháo dỡ hệ thống an ninh mạng dân sự là cách khiến công chúng phơi nhiễm trước các chiến dịch gây ảnh hưởng và những thiệt hại khác, để về sau cần thêm các giải pháp kiểu “lãnh đạo mạnh tay” [0,1]
    Chỉ sau khi phá hủy “phòng thủ mạng” thì họ mới có thể tuyên bố có khủng hoảng và nói “an ninh mạng đã chết, an ninh mạng mới muôn năm”
    Và chắc chắn đó sẽ không phải là thứ bảo mật dành cho bạn
    [0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
    [1] https://cybershow.uk/blog/posts/usw/

  • Bài viết hơi mỏng. Việc ngân sách CVE suýt bị cắt gần hết chắc chắn là bi kịch, nhưng bài không đề cập đến chuyện dữ liệu bị rút khỏi NLRB và mọi người bị khóa khỏi tài khoản, còn các khoản cắt giảm trợ cấp liên bang cho an ninh mạng và ngân sách CISA cũng chỉ được nói rất ngắn
    Có nhiều đạn dược hơn nhiều để cho thấy chính quyền Trump và đội DOGE của Musk thật sự bất tài đến mức nào

    • https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
      Bài này trình bày khá chi tiết các dấu hiệu cho thấy nhân viên DOGE đã cố tình nỗ lực che giấu hoạt động của họ trong tài khoản Azure của NLRB. Chắc chắn là điều tốt cho sự minh bạch của chính phủ
      Theo tiết lộ của Berulis, chỉ vài phút sau khi DOGE truy cập hệ thống của NLRB, một người có địa chỉ IP ở Nga đã bắt đầu cố đăng nhập. Các nỗ lực này diễn ra “gần như theo thời gian thực”
      Các lần đăng nhập bị chặn, nhưng đặc biệt đáng lo ngại. Người cố đăng nhập được cho là đã dùng một trong các tài khoản DOGE mới tạo, và biết đúng tên người dùng cùng mật khẩu
    • Họ khá có năng lực đối với mục tiêu thật sự. Mục tiêu không phải là làm nước Mỹ vĩ đại, mà là đập nó thành từng mảnh để những người siêu giàu có thể mua mọi thứ, kể cả đất đai, với giá rẻ mạt
    • Cũng đừng quên việc họ nhắm mục tiêu vào Chris Krebs, người đã bảo vệ an ninh bầu cử
    • Đây không phải là bài báo, mà là một bài bình luận quan điểm
  • Có lẽ cần một cơ sở dữ liệu như CVE không phụ thuộc vào chính phủ Mỹ. Đây là điểm yếu của chính thế giới IT

    • Chính phủ Mỹ vốn đã đảm nhiệm khá tốt những việc kiểu này. Nhìn chung đáng tin cậy, có khả năng chi một ít tiền để bảo vệ các mặt hàng xuất khẩu quốc tế có lợi nhuận lớn, và có thể buộc các chủ sở hữu nền tảng chịu trách nhiệm ngay cả khi họ che giấu vấn đề vì mục đích marketing hoặc cố tình làm cho chúng mập mờ
      Sau khi biết lịch sử CVE trong 10 năm qua, nghiêm túc mà nói thì có thể đề xuất ai đây? Giao thầu phụ cho Cisco hay Oracle à?
    • Phía CVE đang nỗ lực đa dạng hóa nguồn tài trợ
      https://www.thecvefoundation.org/
  • Một ý tưởng táo bạo: hay là phân tán CVE ra nhiều quốc gia để không một tổ chức đơn lẻ nào có quyền xóa sổ nó?
    Chẳng phải đây là cơ sở dữ liệu công khai ngay cả khi Mỹ không hợp tác sao? Có gì ngăn UN, EU, Anh, Úc, v.v. sao chép nó và lập một CVE chung không?

  • Trump sẽ lần thứ hai bất ngờ trước sự thật rằng “mọi thứ đều là máy tính”

  • Đây là phá hoại, vậy ai đã làm?

  • Hội chứng Washington Monument, còn được gọi là hội chứng Mount Rushmore hoặc nguyên tắc lính cứu hỏa trước tiên, là thuật ngữ chỉ hiện tượng các cơ quan chính phủ Mỹ khi đối mặt với cắt giảm ngân sách sẽ cắt giảm những dịch vụ dễ thấy nhất hoặc được đánh giá cao nhất trong số các dịch vụ do chính phủ cung cấp”
    https://en.wikipedia.org/wiki/Washington_Monument_syndrome

    • Không chắc trường hợp này có phù hợp không. Ngoài nhóm kiểu HN ra, công chúng nói chung quan tâm hoặc hiểu về an ninh mạng đến mức nào?