CFAA cản trở các nhà nghiên cứu về bảo mật của Mỹ?

03/11/2015 22:33
Theo dõi ICTVietnam trên

Nhiều người trong ngành công nghiệp bảo mật cũng bày tỏ mối quan tâm sâu sắc đến việc áp dụng đạo luật lạm dụng và gian lận máy tính (CFAA) của Mỹ, khi chính quyền và giới luật sư đang cản trở bất kỳ ai có thiện ý muốn tìm kiếm các lỗ hổng trên Internet. Họ cho rằng đạo luật có những hình phạt quá nặng, quy định chung chung và không có ngoại lệ.

Luật pháp đang giết chết sự nghiệp các nhà nghiên cứu

Jeremiah Grossman, CEO công ty bảo mật mạng Whitehat Security cho rằng, việc triển khai mạnh mẽ Đạo luật này sẽ khiến các nhà nghiên cứu từ bỏ công việc tìm kiếm những lỗ hổng nghiêm trọng trên Internet, dẫn đến tình hình bảo mật chung càng trở nên phức tạp. 

H.D. Moore, giám đốc nghiên cứu của công ty tư vấn bảo mật Rapid7 trả lời phỏng vấn báo Guardian rằng, ông đã bị chính quyền cảnh cáo hồi năm ngoái về dự án mang tên Critical.IO. Công trình này bắt đầu từ năm 2012 nhằm ​​tìm kiếm các lỗ hổng phổ biến rộng rãi bằng cách sử dụng chương trình máy tính tự động để phát hiện ra những điểm yếu trên toàn bộ Internet. Họ đã tìm thấy một số lỗ hổng phổ biến rộng rãi mang tính chất rất nghiêm trọng, trong đó có một trường hợp được cho là khoảng 40-50 triệu máy tính kết nối mạng có thể đã bị xâm nhập do những yếu kém trong giao thức mạng Universal Plug and Play (UPnP). Mặc dù ông công khai minh bạch vai trò cũng như lý do nghiên cứu của mình, đồng thời không hề nêu ra tổ chức nào phải chịu trách nhiệm cho những sai sót, nhưng điều đó không cải thiện được tình hình trước con mắt của những nhà thực thi pháp luật.  

Năm 2013, chàng trai Aaron Swartz, người sáng lập mạng xã hội Reddit, đồng tác giả định dạng tập tin RSS phiên bản 1.0 đã tự tử vì những cáo buộc từ tòa án cho rằng anh ta dính dáng đến sự việc lén đăng tải 4 triệu tài liệu từ kho lưu trữ của tạp chí trực tuyến JSTOR. Sự việc sẽ không nghiêm trọng đến mức này nếu tòa án không đưa ra mức án quá nặng lên tới hàng trăm triệu USD và 35 năm tù giam.  

Luật pháp không khuyến khích các hoạt động nghiên cứu

Moore nói: "Bạn cần người có thể đi sâu vào những chi tiết của hệ thống, người biết cách tận dụng những lợi thế của công nghệ như một tên tội phạm sẽ làm. Từ đó giúp mọi người hiểu các mối đe dọa, đồng thời hỗ trợ các nhà cung cấp sửa chữa chúng. Thật đáng tiếc tại thời điểm này, luật pháp không khuyến khích điều đó. Họ không phân biệt tội phạm với nhà nghiên cứu, cũng như không muốn giúp người dân biết về những rủi ro có thể gặp phải”.

Nhiều nhà nghiên cứu khác cũng gặp phải vấn đề tương tự. Zach Lanier, chuyên gia bảo mật của Duo Security cho biết, các nhóm nghiên cứu của ông đã đạt được nhiều kết quả tốt trước khi đạo luật CFAA được áp dụng suốt thập kỷ vừa qua. Sau khi tìm thấy lỗ hổng nghiêm trọng trong một "thiết bị nhúng trên thị trường dành cho trẻ em" và báo cáo với nhà sản xuất, ông đã nhận được những lời đe dọa từ các luật sư vì hành động đó. "Chúng tôi chỉ cố gắng hợp tác và muốn trao đổi với họ, nhưng thứ chúng tôi nhận được là cuộc gọi từ luật sư. Họ không hiểu hoặc không muốn hiểu những điều chúng tôi làm. Họ tuyên bố chúng tôi đã xâm nhập vào hệ thống của họ”. Nguy cơ có thể bị truy tố buộc Lanier và cộng sự từ bỏ công trình nghiên cứu đó.

Nỗ lực cải cách luật CFAA đang chìm dần. Các nhà nghiên cứu đã hy vọng trường hợp của Andrew Auernheimer sẽ đi tiên phong trong cuộc chiến này. Auernheimer từng bị luật CFAA kết án do đã phát tán thông tin có lỗ hổng trên trang web của AT&T có thể hack dữ liệu của người dùng Ipad. Tuy nhiên, Auernheimer kháng án thành công do đã thuyết phục được tòa án bởi vì các thẩm phán đã đồng ý với trường hợp riêng ở New Jersey, chứ không phải vì bất kỳ vấn đề gì thuộc về bản chất của CFAA .

Sau cái chết của Aaron, một dự luật mang tên anh cũng đã được đề xuất sửa đổi. Nhiều người vẫn hy vọng “dự luật Aaron” sẽ được thông qua nhằm giảm hình phạt hiện đang được áp dụng quá nặng.  

Các nhà lập pháp muốn hình phạt nặng hơn đối với tin tặc

Các nghị sĩ không đưa ra bất kỳ bình luận nào về “dự luật Aaron”. Quốc hội vẫn đang thảo luận về vấn đề này. Sau một số vi phạm nghiêm trọng như trường hợp hệ thống bán lẻ khổng lồ của Mỹ bị xâm nhập hay hành động gián điệp nhằm vào các tổ chức của Mỹ do chính quyền Trung Quốc tài trợ, nhiều người muốn hình phạt lớn hơn từ CFAA cho các hoạt động đó. 

Hiện nay, quy định của CFAA thực sự gây khó khăn trong việc kết án thế nào là bất hợp pháp. Ví dụ: những người cố tình truy cập một máy tính mà không được phép hoặc vượt quá thẩm quyền là vi phạm pháp luật nhưng họ lại không nói rõ thế nào là “không được phép” hay “vượt quá thẩm quyền”? Mọi thứ hầu như đều do tòa án tự quyết định.

Vì vậy, một mặt, với hành động xâm nhập nghiêm trọng, các thành viên Quốc hội cần đưa ra hình phạt cứng rắn hơn. Mặt khác, CFAA phải quy định rõ ràng những hành vi nào được cho là hợp pháp nên khuyến khích, hành vi nào vi phạm pháp luật cần phải trừng trị.

Ngoài ra, còn những mối lo ngại nếu CFAA điều chỉnh để có lợi cho ngành công nghiệp bảo mật, tin tặc sẽ lợi dụng những kẽ hở trong quy định về các hoạt động nghiên cứu. Cần phải có biện pháp xác định hoặc chứng minh thế nào là nghiên cứu phục vụ cộng đồng. Moore nói: “Cách bạn công bố những lỗ hổng được phát hiện như thế nào? Đó có phải là loại thông tin bạn được phép truy cập? Đây không phải là vấn đề dễ giải quyết, nhưng nó sẽ rất quan trọng và có ý nghĩa nếu các chuyên gia muốn bảo vệ chính mình”.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • Hai nền tảng số MISA được công nhận là sản phẩm Thương hiệu quốc gia Việt Nam 2024
    Vượt qua hơn 1.000 hồ sơ và nhiều vòng thẩm định khắt khe, MISA có hai nền tảng số đạt danh hiệu Thương hiệu quốc gia Việt Nam 2024.
  • Sản phẩm, dịch vụ của VinaPhone được công nhận là Thương hiệu Quốc gia
    Tại lễ công bố sản phẩm đạt Thương hiệu Quốc gia Việt Nam năm 2024 do Bộ Công Thương tổ chức, sản phẩm, dịch vụ VinaPhone 5G, Truyền hình MyTV, chứng thực ký số công cộng (VNPT CA)... của VNPT VinaPhone đã được công nhận là Thương hiệu Quốc gia 2024.
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
CFAA cản trở các nhà nghiên cứu về bảo mật của Mỹ?
POWERED BY ONECMS - A PRODUCT OF NEKO