CFAA cản trở các nhà nghiên cứu về bảo mật của Mỹ?
Diễn đàn - Ngày đăng : 22:33, 03/11/2015
Luật pháp đang giết chết sự nghiệp các nhà nghiên cứu
Jeremiah Grossman, CEO công ty bảo mật mạng Whitehat Security cho rằng, việc triển khai mạnh mẽ Đạo luật này sẽ khiến các nhà nghiên cứu từ bỏ công việc tìm kiếm những lỗ hổng nghiêm trọng trên Internet, dẫn đến tình hình bảo mật chung càng trở nên phức tạp.
H.D. Moore, giám đốc nghiên cứu của công ty tư vấn bảo mật Rapid7 trả lời phỏng vấn báo Guardian rằng, ông đã bị chính quyền cảnh cáo hồi năm ngoái về dự án mang tên Critical.IO. Công trình này bắt đầu từ năm 2012 nhằm tìm kiếm các lỗ hổng phổ biến rộng rãi bằng cách sử dụng chương trình máy tính tự động để phát hiện ra những điểm yếu trên toàn bộ Internet. Họ đã tìm thấy một số lỗ hổng phổ biến rộng rãi mang tính chất rất nghiêm trọng, trong đó có một trường hợp được cho là khoảng 40-50 triệu máy tính kết nối mạng có thể đã bị xâm nhập do những yếu kém trong giao thức mạng Universal Plug and Play (UPnP). Mặc dù ông công khai minh bạch vai trò cũng như lý do nghiên cứu của mình, đồng thời không hề nêu ra tổ chức nào phải chịu trách nhiệm cho những sai sót, nhưng điều đó không cải thiện được tình hình trước con mắt của những nhà thực thi pháp luật.
Năm 2013, chàng trai Aaron Swartz, người sáng lập mạng xã hội Reddit, đồng tác giả định dạng tập tin RSS phiên bản 1.0 đã tự tử vì những cáo buộc từ tòa án cho rằng anh ta dính dáng đến sự việc lén đăng tải 4 triệu tài liệu từ kho lưu trữ của tạp chí trực tuyến JSTOR. Sự việc sẽ không nghiêm trọng đến mức này nếu tòa án không đưa ra mức án quá nặng lên tới hàng trăm triệu USD và 35 năm tù giam.
Luật pháp không khuyến khích các hoạt động nghiên cứu
Moore nói: "Bạn cần người có thể đi sâu vào những chi tiết của hệ thống, người biết cách tận dụng những lợi thế của công nghệ như một tên tội phạm sẽ làm. Từ đó giúp mọi người hiểu các mối đe dọa, đồng thời hỗ trợ các nhà cung cấp sửa chữa chúng. Thật đáng tiếc tại thời điểm này, luật pháp không khuyến khích điều đó. Họ không phân biệt tội phạm với nhà nghiên cứu, cũng như không muốn giúp người dân biết về những rủi ro có thể gặp phải”.
Nhiều nhà nghiên cứu khác cũng gặp phải vấn đề tương tự. Zach Lanier, chuyên gia bảo mật của Duo Security cho biết, các nhóm nghiên cứu của ông đã đạt được nhiều kết quả tốt trước khi đạo luật CFAA được áp dụng suốt thập kỷ vừa qua. Sau khi tìm thấy lỗ hổng nghiêm trọng trong một "thiết bị nhúng trên thị trường dành cho trẻ em" và báo cáo với nhà sản xuất, ông đã nhận được những lời đe dọa từ các luật sư vì hành động đó. "Chúng tôi chỉ cố gắng hợp tác và muốn trao đổi với họ, nhưng thứ chúng tôi nhận được là cuộc gọi từ luật sư. Họ không hiểu hoặc không muốn hiểu những điều chúng tôi làm. Họ tuyên bố chúng tôi đã xâm nhập vào hệ thống của họ”. Nguy cơ có thể bị truy tố buộc Lanier và cộng sự từ bỏ công trình nghiên cứu đó.
Nỗ lực cải cách luật CFAA đang chìm dần. Các nhà nghiên cứu đã hy vọng trường hợp của Andrew Auernheimer sẽ đi tiên phong trong cuộc chiến này. Auernheimer từng bị luật CFAA kết án do đã phát tán thông tin có lỗ hổng trên trang web của AT&T có thể hack dữ liệu của người dùng Ipad. Tuy nhiên, Auernheimer kháng án thành công do đã thuyết phục được tòa án bởi vì các thẩm phán đã đồng ý với trường hợp riêng ở New Jersey, chứ không phải vì bất kỳ vấn đề gì thuộc về bản chất của CFAA .
Sau cái chết của Aaron, một dự luật mang tên anh cũng đã được đề xuất sửa đổi. Nhiều người vẫn hy vọng “dự luật Aaron” sẽ được thông qua nhằm giảm hình phạt hiện đang được áp dụng quá nặng.
Các nhà lập pháp muốn hình phạt nặng hơn đối với tin tặc
Các nghị sĩ không đưa ra bất kỳ bình luận nào về “dự luật Aaron”. Quốc hội vẫn đang thảo luận về vấn đề này. Sau một số vi phạm nghiêm trọng như trường hợp hệ thống bán lẻ khổng lồ của Mỹ bị xâm nhập hay hành động gián điệp nhằm vào các tổ chức của Mỹ do chính quyền Trung Quốc tài trợ, nhiều người muốn hình phạt lớn hơn từ CFAA cho các hoạt động đó.
Hiện nay, quy định của CFAA thực sự gây khó khăn trong việc kết án thế nào là bất hợp pháp. Ví dụ: những người cố tình truy cập một máy tính mà không được phép hoặc vượt quá thẩm quyền là vi phạm pháp luật nhưng họ lại không nói rõ thế nào là “không được phép” hay “vượt quá thẩm quyền”? Mọi thứ hầu như đều do tòa án tự quyết định.
Vì vậy, một mặt, với hành động xâm nhập nghiêm trọng, các thành viên Quốc hội cần đưa ra hình phạt cứng rắn hơn. Mặt khác, CFAA phải quy định rõ ràng những hành vi nào được cho là hợp pháp nên khuyến khích, hành vi nào vi phạm pháp luật cần phải trừng trị.
Ngoài ra, còn những mối lo ngại nếu CFAA điều chỉnh để có lợi cho ngành công nghiệp bảo mật, tin tặc sẽ lợi dụng những kẽ hở trong quy định về các hoạt động nghiên cứu. Cần phải có biện pháp xác định hoặc chứng minh thế nào là nghiên cứu phục vụ cộng đồng. Moore nói: “Cách bạn công bố những lỗ hổng được phát hiện như thế nào? Đó có phải là loại thông tin bạn được phép truy cập? Đây không phải là vấn đề dễ giải quyết, nhưng nó sẽ rất quan trọng và có ý nghĩa nếu các chuyên gia muốn bảo vệ chính mình”.