Apple là gã nhà giàu công nghệ. Vào quý I/2016, Apple nắm giữ 55 tỷ USD tiền mặt cùng với 178 tỷ USD tiền dự phòng khác. Khi mọi mảng kinh doanh đều đang trên đỉnh, ngay cả việc xài cho hết số tiền đó cũng gây đau đầu, bằng chứng là Tim Cook có những mục đầu tư khá khó hiểu gần đây, như công nghệ theo dõi nhịp tim hay bản quyền âm nhạc của Frank Ocean.
Vì thế, thật đáng ngạc nhiên khi họ đang chi rất khiêm tốn cho vấn đề bảo mật. Chương trình tặng thưởng cho người phát hiện lỗi gần đây chỉ trị giá 200.000 USD, con số quá bé nhỏ so với những con số hàng triệu USD mà các gã hacker chợ đen sẽ trả để tìm ra lỗi tương tự.
Điều này dấy lên nhiều lo ngại, gần đây một lỗi iOS bỗng nhiên xuất hiện. Phần mềm theo dõi từ công ty Israel NSOGroup được phát hiện đang theo dõi nhà hoạt động xã hội Ahmed Mansoor ở UAE.
Phần mềm này cho phép jailbreak iPhone từ xa, điều chưa từng có tiền lệ. Apple nhanh chóng vá lỗi này trong bản nâng cấp iOS gần nhất, nhưng người ta ngờ rằng iOS không còn "bất khả xâm phạm". Một lỗi tương tự gần đây đã được rao bán với giá gần 1 triệu USD trên chợ đen.
Nhiều người lập tức chỉ trích: Vì sao Apple không trả nhiều hơn cho người tìm ra lỗi, họ có quá nhiều tiền.
Nhiều người dùng tỏ ra tức tối vì Apple quá "keo kiệt" với chiến dịch tiền thưởng. |
Nhìn kỹ hơn, đây không phải điều gì mới. Đã là một truyền thống nhiều thế kỷ rằng các công ty chỉ chi rất khiêm tốn cho các khoản này. Với Android, Google chỉ trả khoảng 50.000 USD, Chrome là 100.000 USD với các lỗi trên Chromebook. Microsoft cũng chỉ 125.000 USD là tối đa.
Khó lòng xác định những gã buôn ở chợ đen sẽ trả bao nhiêu cho các lỗi tương tự, nhưng chắc chắn sẽ cao hơn, theo nhiều lời đồng tình từ nhân viên các tập đoàn tiền thưởng này.
Vấn đề ở đây, tiền thưởng nên được dùng để khuyến khích hành động đúng đắn, chứ không phải để so kè với chợ đen.
Chiến lược bạo liệt dùng tiền để đè chết các công ty chợ đen hầu như không khả thi. Một mặt, Apple có hàng núi tiền để đua tay đôi với bất kỳ gã chợ đen nào, nhưng vấn đề lớn hơn tiền rất nhiều.
Apple không thiếu tiền, nhưng đó không phải giải pháp. Ảnh: WSJ. |
Các công ty như NSOGroup muốn tìm một cách để xâm nhập iPhone - một là đủ. Vì thế, họ sẽ trả hàng triệu USD để các hacker giữ im lặng, khiến Apple không nhận ra lỗi đó.
"Giá cho lỗi không phải chỉ để trả cho lỗi đó", CEO Katie Moussouris từ Luta Security, một trong những tên tuổi lớn nhất ngành tiền thưởng cho biết, "họ đang trả cho quyền được độc quyền cũng như khai thác dài hạn các lỗi".
Việc của Apple khó khăn hơn nhiều. Họ phải sửa những lỗi được báo cáo trong vòng 1 tuần, và đôi khi không thể sửa hết tất cả các lỗi. Trong khi các công ty chỉ cần trả 1 lần để "sở hữu" lỗi suốt 1 năm, Apple phải trả tiền liên tục mỗi khi có lỗi xuất hiện.
Khi một lỗ hổng được vá, NSOGroup và nhiều tên tuổi khác sẽ phải tìm ra cách khác để xâm nhập iOS, và mỗi bản vá trên thực tế sẽ càng tạo ra lỗ hổng tiềm năng. Sự cố Stagefright năm ngoái của Android đã tạo đà cho một loạt các lỗi khác, cả trong việc tấn công bản cũ hoặc vượt mặt bản vá.
Bản iOS vừa qua đã là bản vá lỗi thứ 7 Apple tung ra trong năm nay, với mỗi bản sửa hàng tá bug, nhiều trong số chúng đã tồn tại qua nhiều bản vá khác nhau.
Điều này không hàm ý rằng người dùng không an toàn, nó chỉ cho thấy bạn không thể tìm đến sự hoàn hảo bằng cách phóng tiền thưởng. Giải pháp lâu dài duy nhất là thành lập đội ngũ an ninh mạng với nhiệm vụ ngồi dò lỗi. Nhưng không đội ngũ nào đủ sức tìm ra tất cả các lỗi, do vậy, chương trình tiền thưởng là giải pháp bổ sung tốt nhất, nhưng về bản chất, nó chỉ dừng lại ở mức giải pháp bổ sung.
Nếu Apple hào phóng tiền trả thưởng, điều này có thể gây ảnh hưởng đến chính đội ngũ của họ. Viết và tung ra bản vá là công việc phức tạp, mỗi bước đi đều cần sự tinh tế cũng như sáng tạo như việc tìm lỗi.
Do đó, nếu giá tìm ra lỗi cao hơn quá nhiều so với giá sửa lỗi, đội ngũ của họ có thể sẽ "chuyển việc", chọn công việc nhẹ nhàng hơn.
"Nếu Apple và các công ty khác cố nâng giá các lỗi, họ có thể mất đi đội ngũ cần thiết để vá các lỗi ấy", Mousssouris nói.
Apple không giữ tiền, cái họ đang giữ là đội ngũ an ninh của mình. Ảnh: Pexel. |
Đó là nguyên nhân cho sự đối lập của thị trường bất hợp pháp - nhưng hào phóng của chợ đen và thị trường hợp pháp - nhưng eo hẹp trong mảng báo lỗi. Các nhà nghiên cứu làm việc cho Apple sẽ được trả tương đương với việc bán lỗi chợ đen. Nhưng bản thân các kỹ sư sẽ không đi bán lỗi, đơn giản vì niềm tin phần mềm của họ là hoàn hảo, hoặc họ có những vấn đề khác mà tiền không giải quyết được.
Người dùng chỉ có thể hy vọng những lỗi nghiêm trọng sẽ không bị những kẻ xấu nắm giữ. Các vụ việc vừa qua là minh chứng cho thấy những gì cần đánh đổi để giữ sự an toàn của hệ thống. Hãy hy vọng những kỹ sư của Apple xem trọng người dùng và những hệ quả do lỗi cao hơn tiền bạc thường tình.