Anh: "Huawei không cần cài 'cửa hậu' mà họ mở luôn cửa chính cho hacker vào"

Đó chính là nội dung của một bản báo cáo vừa được công bố hôm thứ 5 vừa qua. Những thiếu sót đã nêu - nhiều trong số đó từng được Huawei hứa hẹn sẽ cải thiện - xuất phát từ những vấn đề trong quy trình phát triển phần mềm của hãng. Kết quả nghiên cứu này xuất hiện giữa thời điểm Mỹ và các nước đồng minh đang tìm cách cấm các sản phẩm của Huawei trên toàn thế giới (đặc biệt là trong các mạng không dây 5G), bởi những quan ngại rằng các thiết bị của Huawei có thể bị kiểm soát bởi chính phủ Trung Quốc, hoặc Huawei có thể nhận lệnh từ Bắc Kinh và ngó lơ các biện pháp bảo mật khi được yêu cầu.

Dù những cuộc thảo luận mang đậm tính "địa chính trị" đang ngày một nóng lên xoay quanh các sản phẩm của Huawei, bản báo cáo của nhóm giám sát của chính phủ Anh kết luận rằng những lỗ hổng trong mã nguồn của Huawei có liên quan đến "năng lực kỹ thuật và các thủ pháp bảo vệ an ninh mạng căn bản", và chúng có thể bị lợi dụng bởi bất kỳ ai. Bản báo cáo không kết luận những lỗ hổng này là những backdoor được cố tình cài đặt sẵn theo yêu cầu của chính phủ Trung Quốc. Nhưng dù sao đi nữa, chúng vẫn là một vấn đề lớn - có thể bị lợi dụng bởi các cơ quan tình báo Mỹ và Liên minh tình báo Five Eyes, nhưng có vẻ như Nhà trắng không tỏ ra quan ngại về điều này.

"Không hề có backdoor, bởi Huawei không cần backdoor. Họ mở sẵn cửa chính (front door) luôn rồi" - James Lewis, một cựu quan chức Bộ Ngoại giao và giám đốc Chương trình Công nghệ và Chính sách công của Trung tâm Chiến lược và Nghiên cứu Quốc tế cho biết - "Chính phủ Anh có rất nhiều vấn đề với vấn nạn hack từ Trung Quốc. Các hacker Thuỵ Điển không thường xuyên đột nhập đánh cắp tài sản trí tuệ của Anh. Nếu Huawei là một công ty Thuỵ Điển hay Brazil, hay thứ gì đó khác, sẽ chẳng có vấn đề gì. Nhưng họ lại bị xem như một công cụ của chính phủ Trung Quốc".

Các công ty viễn thông Mỹ hầu như đã "nghỉ chơi" với Huawei kể từ khi xuất hiện bản báo cáo Quốc hội vào năm 2012 về nguy cơ tiềm tàng đe doạ an ninh quốc gia bởi các sản phẩm của Huawei. Và Tổng thống Trump đã đưa ra một Lệnh thực thi nhằm cấm hoàn toàn các trang thiết bị của công ty Trung Quốc này. Nhưng các nhà mạng tại các quốc gia khác, bao gồm Anh, đã tìm cách triển khai các trang thiết bị không dây giá tốt, hiệu quả của Huawei một cách an toàn. Anh thậm chí còn thành lập Trung tâm Đánh giá An ninh mạng Huawei vào năm 2010 nhằm kiểm tra phần cứng và phần mềm của Huawei ngay khi chúng rời khỏi các nhà máy của công ty này để vận chuyển sang Mỹ.

Cũng chính nhóm giám sát của trung tâm này là người đã đưa ra bản báo cáo nêu trên. Tài liệu của họ còn nêu lên rằng rất khó để khẳng định liệu mã nguồn mà nhóm này đã kiểm tra có phải là mã nguồn thực sự đang được tích hợp trên các sản phẩm của Huawei hay không.

Dưới một góc độ nào đó, thách thức trong việc đánh giá nguy cơ gây ra bởi các sản phẩm của Huawei có liên quan đến những vấn đề lớn hơn của ngành công nghiệp: làm thế nào để đánh giá chính xác sự toàn vẹn của phần mềm độc quyền. Một số lỗ hổng bảo mật hệ thống được tiết lộ trong bản báo cáo mang tính căn bản đến khó hiểu, nhưng các nhà phân tích bảo mật cho biết loại hình kiểm tra này nhiều khả năng sẽ vén màn những sai sót đáng xấu hổ trong hầu hết các sản phẩm của mọi công ty - ngay cả khi lỗi của Huawei là cực kỳ nghiêm trọng.

"Các công ty hiển nhiên không muốn nhận những bản báo cáo kiểm tra bảo mật tiết lộ những sai sót của họ, đó là lý do vì sao họ có những tiêu chuẩn an ninh nội bộ và bộ phận đảm bảo chất lượng" - Lukasz Olejnik, một chuyên gia tư vấn an ninh mạng độc lập và là cộng tác viên nghiên cứu tại Trung tâm Công nghệ và Vấn đề toàn cầu của Đại học Oxford cho biết.

Dù bản báo cáo không kết luận rằng các sản phẩm của Huawei có kèm backdoor nguy hiểm, nhưng những vấn đề mà nó đề cập đến vẫn sẽ tạo cho Nhà trắng thêm nhiều lý do để cương quyết loại bỏ Huawei khỏi thị trường Mỹ và các nước đồng minh. Anh đã tìm cách tích hợp các sản phẩm của Huawei vào hạ tầng viễn thông của họ một cách an toàn trong gần một thập kỷ, nhưng bản báo cáo này cho thấy nguy cơ có lẽ là quá lớn, đến mức quốc gia này không thể tự mình giải quyết được nữa.

"Anh từ lâu đã cố tách biệt vấn đề lòng tin và gián điệp khỏi khía cạnh kỹ thuật, cho rằng nguy cơ về kỹ thuật là có thể xử lý được, và rằng luôn có nguy cơ xảy ra" - Olejnik nói. Nhưng bản báo cáo này dường như đã đặt dấu chấm hỏi đối với những đảm bảo trước đây về khả năng xử lý nguy cơ đến từ Huawei của Anh.

Về phần mình, Huawei vẫn giữ quan điểm rằng sẽ tăng cường các phương thức bảo vệ an ninh trong các quy trình kỹ thuật của hãng, và cho biết họ ủng hộ sự cộng tác giữa ngành công nghiệp và các cơ quan quản lý quốc tế để đảm bảo vấn đề an ninh trong các mạng lưới viễn thông trên toàn thế giới. "Bản báo cáo năm 2019 của Ban Giám sát HCSEC nêu chi tiết một số quan ngại về khả năng phát triển phần mềm của Huawei. Vấn đề đã được xác định... nhờ đó chúng tôi biết được những vấn đề quan trọng cần giải quyết trong quá trình cải tổ khả năng phát triển phần mềm đang được tiến hành". Công ty đã tuyên bố sẽ đầu tư 2 tỷ USD nhằm cải tiến kỹ thuật.

Tuy nhiên, sau nhiều năm hứa hẹn, các nhà quan sát cho biết thật khó để tin rằng Huawei sẽ ưu tiên thực hiện bất kỳ thay đổi đáng kể nào. Đặc biệt khi mà công ty dường như đang hưởng lợi từ những sơ suất do thiết kế như thế này.

Tham khảo: Wired