Bài học rút ra chính
- Trang web của Nhà Trắng đã ẩn một thông điệp trong mã HTML kêu gọi thuê người viết mã cho nhóm công nghệ của mình.
- Các chuyên gia nói rằng cách ẩn tin nhắn trong "quả trứng Phục sinh" không nhất thiết phải làm đúng về mặt an ninh mạng.
- Tuy nhiên, việc quản lý thực hiện một bước để ưu tiên tuyển dụng các nhà phát triển là một điều tốt.
Vài ngày sau khi Tổng thống Biden tuyên thệ nhậm chức, mọi người nhận thấy một thông điệp bí mật ẩn trong trang web mới của Nhà Trắng kêu gọi thuê lập trình viên.
Thông báo ẩn trong HTML của trang web có nội dung: "Nếu bạn đang đọc nội dung này, chúng tôi cần bạn trợ giúp để xây dựng lại tốt hơn. Https://usds.gov." Tất nhiên, chỉ những người đang tìm kiếm thứ gì đó mới có thể tìm thấy mã, đó là lý do tại sao các chuyên gia cho rằng những quả trứng Phục sinh như thế này không phải là một động thái tốt cho an ninh mạng.
"Khi bạn viết phần mềm, cách bạn trình bày thông tin cho người dùng phải thông qua [a] giao diện xác định. [Nhưng] ngụ ý rằng bằng cách đi xung quanh và tìm kiếm những nơi bất thường, họ có thể tìm thấy thứ gì đó hữu ích, tôi nghĩ điều đó khuyến khích "Ed Amoroso, Giám đốc điều hành của TAG Cyber, nói với Lifewire trong một cuộc phỏng vấn qua điện thoại.
Thông điệp đằng sau thông điệp
Lần đầu tiên được tìm thấy bởi một người dùng Twitter, lời kêu gọi các lập trình viên tham gia nhóm công nghệ của Nhà Trắng, được gọi là Dịch vụ Kỹ thuật số Hoa Kỳ - dành cho những người am hiểu công nghệ và đủ tò mò để xem Mã HTML của Nhà Trắng trong vài ngày đầu tiên của chính quyền mới.
Chiến thuật ẩn thông điệp bí mật, hay "trứng Phục sinh", trong mã HTML không có gì mới và đã được mọi loại công ty sử dụng vì nhiều lý do khác nhau. Lấy ví dụ, một lần Microsoft Word biến thành một cỗ máy bắn bi nếu người dùng gõ "blue" vào tài liệu Word, bôi đậm nó, sau đó chuyển từ này thành màu xanh lam.
Nhưng Amoroso cho biết trang web của Nhà Trắng nên tập trung vào bảo mật và thu hút loại ứng viên lập trình và mã hóa phù hợp, thay vì tập trung vào xu hướng săn tìm quả trứng Phục sinh ẩn giấu.
"Trong kỹ thuật phần mềm, chúng tôi không thực sự thích những thứ như vậy … nó phải là một giao diện an toàn bảo mật được xác định rõ ràng", anh ấy nói.
Amoroso cho biết trứng Phục sinh khuyến khích mọi người chọc phá, và mặc dù đó chắc chắn là nhu cầu chất lượng đối với lập trình viên, nhưng nó không nhất thiết phải là chất lượng để được đưa vào trang web của Nhà Trắng, theo như những lo ngại về an ninh mạng.
"Tôi hiểu được những gì họ đang cố gắng làm, nhưng bằng cách khuyến khích mọi người chọc phá, điều đó sẽ kết thúc ở đâu?" anh ấy nói.
Ưu tiên Công nghệ trong Chính quyền Mới
Tuy nhiên, ngay cả khi các chuyên gia tin rằng cách Nhà Trắng yêu cầu các lập trình viên áp dụng không phải là con đường tốt nhất, Amoroso nói rằng đó là điều tuyệt vời mà chính quyền đang nỗ lực để ưu tiên công nghệ.
"Thật tuyệt vời [đối với họ] khi tìm kiếm các nhà phát triển và cải thiện cơ sở hạ tầng trực tuyến", anh ấy nói.
Người viết mã được thuê sẽ làm việc cho nhóm công nghệ Dịch vụ Kỹ thuật số Hoa Kỳ, bao gồm các nhà thiết kế, kỹ sư và chuyên gia chính sách kỹ thuật số. Nhóm do Tổng thống Barack Obama thành lập vào năm 2014, được giao nhiệm vụ phụ trách các vấn đề liên quan đến công nghệ, chẳng hạn như hiện đại hóa các trang web và nền tảng của chính phủ.
Amoroso trước đây đã nói với Lifewire rằng chính quyền Biden cần áp dụng một kế hoạch an ninh mạng thành công nhằm giải quyết các mối quan tâm chính.
Lời kêu gọi lập trình viên của Nhà Trắng không thể đến vào thời điểm tốt hơn, khi những người trẻ tuổi tham gia vào lĩnh vực an ninh mạng với nhu cầu cao. Một cuộc khảo sát của Check Point Software Technologies từ tháng 11 năm 2020 cho thấy 78% tổ chức cho biết họ thiếu kỹ năng mạng.
Tuy nhiên, Amoroso nói thêm rằng các lập trình viên có quan điểm về an ninh mạng sẽ đặc biệt hữu ích cho việc quản lý này.
"Các nhà phát triển phần mềm xây dựng cơ sở hạ tầng và ngày nay, tất cả chúng ta đều biết rằng có những phương pháp mà bạn có thể tuân theo khi tiến hành phát triển phần mềm sẽ giảm thiểu rủi ro bảo mật", ông nói. "Điều quan trọng là tìm kiếm các nhà phát triển có nhiều kinh nghiệm hơn về bảo mật."
Nếu bạn là một lập trình viên có quan điểm về an ninh mạng, bạn không nên đăng ký. Dịch vụ Kỹ thuật số Hoa Kỳ đang yêu cầu những người quan tâm liên hệ trực tiếp với họ về việc đăng ký một vị trí.
