NHỮNG LỖ HỔNG TỒN TẠI TRONG HỆ THỐNG
INTERNET FULL
Những lỗỗ hổng tỗồn tại trong hệ thỗống
Internet
Internet là thứ mà chúng ta sử dụng hằằng ngày hằằng gi ờ,
rấất nhiềằu cơ quan, doanh nghiệp, chính phủ đang vận
hành dựa trền mạng lưới này. Nhưng đáng buồằn thay,
Internet lại khồng an toàn ngay từ trong cồất lõi c ủa mình.
Để tìm hiểu lý do vì sao một hệ thồấng mạng toàn cấằu v ới
hơn 3 tỷ người dùng lại gặp vấấn đềằ lớn như thềấ, m ời các
bạn theo bài viềất bền dưới. Có tấất cả 3 phấằn: Phấằn đấằu
nói việc Internet được tạo ra mà khồng có đấằy đ ủ các
tính nằng an toàn.
Phấằn thứ hai kể vềằ một giao thức được viềất tạm trền 3 tờ khằn ằn nh ưng
đềấn giờ vấẫn đóng vai trò cực kì quan tr ọng đ ể Internet ch ạy đ ược. Phấằn
cuồấi cùng đềằ cập đềấn những hiểm họa từ một h ệ thồấng m ạng thiềấu an
toàn đã được một nhóm hacker 7 người cảnh báo trước, nhưng đáng tiềấc
là lời cảnh báo đó đã bị bỏ qua. Bài hơi dài, nhưng đ ảm b ảo đ ọc xong các
bạn seẫ biềất thềm được rấất nhiềằu thồng tin hữu ích, cũng nh ư hi ểu h ơn vềằ
cách
mà
Internet
hoạt
động.
Phầồn 1: Internet khỗng được xầy dựng để
bảo mật trước chính người dùng của
mình
Internet được phát triển từ một hệ thồấng mạng dùng đ ể kềất nồấi
các đại học, viện nghiền cứu với nhau, cũng như đ ể giúp Myẫ có hạ
tấằng liền lạc trong bồấi cảnh chiềấn tranh hạt nhấn
Người dùng ban đấằu chỉ là những kĩ sư, nhà khoa học, nh ững người
khồng có mục đích xấấu trong việc lạm dụng mạng
Lúc đó nguy cơ tấấn cồng qua mạng chưa rõ ràng
Chính vì thềấ người ta khồng nghĩ nhiềằu vềằ việc b ảo m ật cho
Internet, đặc biệt là những nguy cơ đềấn từ chính những ng ười dùng
Internet chứ khồng phải tác nhấn bền ngoài.
Phấằn 2: Một giải pháp viềất vội trền 3 tờ
khằn ằn vấẫn còn được dùng đềấn tận ngày
nay
Giải pháp đó mang tền BGP - cách thức đ ể các router biềất đ ược cấằn
phải gửi dữ liệu theo đường nào để đềấn được đích
BGP do 2 kĩ sư phát minh ra trong giờ ằn trưa, thềấ nền h ọ dùng 3 t ờ
khằn ằn để phác họa ý tưởng của mình
BGP đáng ra chỉ là một giải pháp ngằấn hạn, nh ưng nó vấẫn còn đ ược
dùng đềấn tận bấy giờ
BGP bị cấấu hình sai đã dấẫn đềấn một sồấ s ự cồấ đáng tiềấc: l ưu l ượng
YouTube bị hướng vềằ Pakistan nằm 2008, dữ liệu c ủa quấn đ ội Myẫ
đi qua Trung Quồấc trong vòng 16 phút hồằi nằm 2010, thồng tin h ạt
nhấn của Anh đi qua Ukraine
BGP đang dấằn được thay thềấ và tích hợp kh ả nằng mã hóa nh ưng
tồấc độ áp dụng của các nhà mạng vấẫn còn rấất chậm chạp
Phấằn 3: Hiểm họa được báo trước - và bị
làm
ngơ
Một nhóm hacker tền L0pht từng cảnh báo quồấc h ội Myẫ vềằ s ự mấất
an toàn của Internet
Nhưng khồng có hành động cụ thể nào được đưa ra
L0pht thường họp nhau trong một cằn gác xềấp ở Boston, n ơi đ ược
xem là thiền đường của những gã mề cồng nghệ
L0pht đã phát hiện ra nhiềằu lồẫ hổng bảo m ật nghiềm tr ọng trong
các phấằn mềằm được dùng phổ biềấn, nhấất là các phấằn mềằm vềằ
Internet
-----------------------------------------------------------
Phấằn 1: Internet khồng được xấy dựng để
bảo mật trước người dùng của chính mình
- những vấấn đềằ khồng thể được khằấc phục
Sự
nguy
hiểm
đếốn
từ
bến
trong
David D. Clark, một nhà khoa học làm việc cho Đ ại h ọc MIT, nh ớ chính xác
lấằn đấằu tiền mà ồng nhìn thấấy mặt tồấi của Internet. Lúc đó ồng đang ngồằi
trong một cuộc họp với các kĩ sư mạng vào tháng 11/1988, thềấ rồằi h ọ vồ
tình nghe được tin tức vềằ một con sấu máy tính nguy hiểm đang lấy nhanh
- cũng là phấằn mềằm mã độc đấằu tiền lan truyềằn r ộng rãi trền thềấ gi ới. Ngay
lập tức, một trong những kĩ sư đang ngồằi ở đó, đ ứng d ậy và nói: "Chềất
tiệt,
tồi
nghĩ
tồi
đã
sửa
lồẫi
này
rồằi
chứ".
Cuộc tấấn cồng của con sấu máy tính nói trền đã làm s ập hàng nghìn máy
tính và gấy thiệt hại nhiềằu tỉ USD, và rõ ràng đấy khồng ch ỉ là lồẫi c ủa m ột
người duy nhấất. Con sấu này đã tận dụng tính mở, nhanh và thiềấu ki ểm
soát của Internet để thực thi một dòng mã đ ộc trền h ệ thồấng vồấn đ ược
thiềất kềấ chỉ để truyềằn tải các tập tin hay email vồ h ại.
David D. Clark, chụp tại phòng thí nghiệm của ông ở Đại học MIT, nói rằằng
các nhà sáng lập ra Internet có nghĩ đếến bảo mật, nhưng chỉ phòng tránh
các tác nhân từ bến ngoài
Nhiềằu thập kỉ sau, với cả trằm tỉ USD được chi cho lĩnh vực b ảo m ật máy
tính, những nguy cơ tương tự vấẫn khồng hềằ giảm đi mà th ậm chí ngày
càng trở nền nguy hiểm hơn. Lúc trước hacker chỉ tấấn cồng các máy tính
cá nhấn, giờ thì họ còn nhằấm đềấn các ngấn hàng, chuồẫi bán l ẻ, c ơ quan
nhà nước, studio Hollywood, thậm chí cả các đ ập nước, nhà máy điện h ạt
nhấn
và
cả
máy
bay.
Và sự nguy hiểm nói trền đã gấy ra một cú sồấc với nh ững ng ười góp phấằn
tạo ra Internet. Ngay cả những kĩ sư đã dành nhiềằu nằm đ ể thiềất kềấ nền
mạng này cũng khồng ngờ rằằng chỉ vài chục nằm sau, Internet đã tr ở nền
cực kì phổ biềấn và được xài rộng khằấp thềấ gi ới, đi kèm theo đó cũng là
những
mồấi
hiểm
họa
khủng
khiềấp.
Clark nhớ lại: "Khồng phải là chúng tồi khồng nghĩ vềằ bảo m ật. Chúng tồi
biềất rằằng có những người khồng đáng tin c ậy ở ngoài kia, và chúng tồi đã
nghĩ rằằng chúng tồi có thể loại trừ bọn họ (khỏi Internet)." Nói cách khác,
các kĩ sư đã nghĩ vềằ tính bảo mật cho hệ thồấng m ạng c ủa mình, h ọ tìm
được cách loại bỏ những kẻ muồấn xấm nhập trái phép hay các mồấi nguy
vềằ mặt quấn sự, nhưng họ khồng ngờ rằằng người dùng Internet l ại có
ngày sử dụng mạng lưới này để tấấn cồng lấẫn nhau. "Chúng tồi khồng t ập
trung vào việc bạn seẫ làm hỏng hệ thồấng từ bền trong", Vinton G. Cerf,
một trong những người đã giúp xấy dựng nền Internet và cũng là c ựu phó
chủ
tịch
Google,
chia
sẻ.
Vinton G. Cerf, giờ đang là một quan chức của Google cho biếết ông ước gì
ông và nhà khoa học máy tính Robert E. Kahn đã có thể tích hợp khả nằng
mã hóa vào giao thức TCP/IP. Như vậy thì Internet có thể đã tr ở nến an toàn
hơn
Dù gì đi nữa thì vụ tấấn cồng của sấu "Morris Worm" hồằi nằm 1988 - đ ược
đặt theo tền của Robert T. Morris, một sinh viền tồất nghi ệp tr ường
Cornell University và cũng là tác giả của con sấu này - đã tr ở thành m ột hồằi
chuồng cảnh tỉnh cho những kiềấn trúc sư đã tham gia xấy d ựng Internet.
Nó cho thấấy Internet đã phát triển vượt ra kh ỏi thềấ gi ới lý t ưởng c ủa các
kĩ sư và nhà khoa học vồấn chỉ có ý định sử dụng m ạng lưới này cho m ục
đích
tồất.
Đáng tiềấc, hồằi chuồng này xuấất hiện quá trềẫ. Thềấ h ệ "sáng l ập" ra Internet
đã khồng còn chịu trách nhiệm vềằ sản phẩm c ủa mình. Và th ật s ự, lúc đó
khồng
còn
ai
chịu
trách
nhiệm
vềằ
Internet
c ả.
Sinh
ra
để
dùng
trong
thảm
họa
hạt
nhần
Cha đẻ của Internet là nhà khoa học Donald W. Davies và kĩ sư Paul Baran
- người muồấn chuẩn bị sằẫn sàng cho tổ quồấc c ủa mình trong tình c ảnh
chiềấn tranh hạt nhấn. Trong một tài liệu nằm 1960 khi ồng đang làm cho
cồng ty Rand Corp, Baran nói vềằ ý tưởng tạo ra m ột h ệ thồấng m ạng đ ủ
vững chằấc để có thể giúp những người sồấng sót liền l ạc và giúp đ ỡ nhau
khi thảm họa hạt nhấn xảy ra, từ đó giảm thiểu thiệt h ại cho đấất n ước,
xấy dựng lại nềằn kinh tềấ cũng như triển khai một kềấ ho ặc đánh tr ả.
Còn Davies thì có một tấằm nhìn "hòa bình" hơn. Máy tính trong th ời kỳ đó
thường rấất to và cấằn phải phục vụ nhiềằu người dùng cùng lúc. Đ ể đằng
nhập vào những cồẫ máy này cấằn phải có một đường điện tho ại đ ược m ở
liền tục ngay cả khi việc truyềằn tín hiệu khồng ph ải lúc nào cũng diềẫn ra.
Thềấ rồằi đềấn giữa những nằm 1960, ồng bằất đấằu đềằ xuấất vềằ m ột h ệ thồấng
có thể cằất dữ liệu thành các mảnh nhỏ đ ể truyềằn đi trong nhiềằu lấằn, nh ư
vậy thì nhiềằu người có thể cùng chia sẻ một đường dấy điện tho ại trong
khi họ đằng nhập vào máy tính. Davies thậm chí còn thiềất l ập m ột m ạng
nhỏ
như
vậy
để
cho
thấấy
tính
khả
thi
của
ý
tưởng.
Cả hai ý tưởng nói trền, một cho chiềấn tranh và một cho hòa bình, đã hòa
hợp lại trong suồất chặng đường phát triển của Internet.
Nhưng động lực phát triển quan trọng nhấất c ủa Internet l ại đềấn t ừ c ơ
quan nghiền cứu khoa học của Bộ quồấc phòng Myẫ, còn g ọi là ARPA hay
DARPA. Cơ quan này được thành lập vào nằm 1958 sau khi chính quyềằn
Liền bang Xồ Viềất cho phóng vệ tinh Sputnik lền khồng gian, cũng là lúc
Myẫ lo lằấng bị bỏ lại phía sau xét vềằ m ặt nghiền c ứu khoa h ọc.
Khoảng một thập kỉ sau đó, ARPA bằất đấằu phát triển một mạng máy tính
mới mang tền ARPANET. Họ bằất đấằu tuyển dụng các nhà khoa h ọc và bằất
tay với những trường đại học, viện nghiền cứu hàng đấằu nước Myẫ. Chính
những người này đã thành lập nền thềấ hệ tạo dựng Internet.
Khi mạng ARPANET mở kềất nồấi đấằu tiền nằm 1969 giữa 3 đ ại h ọc ở bang
California và 1 ở bang Utah, mục tiều của họ khá đ ơn giản: đấy ch ỉ là m ột
dự án nghiền cứu nhằằm chuyển fle cho nhau cũng như cho phép truy c ập
các máy tính từ xa. Lúc này, người ta chỉ nghĩ đềấn việc làm cho ARPANET
hoạt động được, khi đó cũng khồng có nhiềằu hiểm h ọa có th ể x ảy ra, và
trong mạng cũng khồng có nhiềằu thứ giá trị đềấn nồẫi ph ải đánh cằấp. Ng ười
ta khồng đột nhập vào ngấn hàng bởi vì nơi đấy khồng bảo m ật. Ng ười ta
cướp ngấn hàng tại vì đấy là nơi chứa tiềằn. Các nhà khoa h ọc nghĩ rằằng h ọ
chỉ đang xấy dựng một lớp học mà thồi, nhưng hóa ra nó đã tr ở thành
một
"ngấn
hàng
thồng
tin".
Nhà khoa học Leonard Kleinrock đứng cạnh một chiếếc máy tính đặc bi ệt với
tác dụng gâằn giôếng như router ngày nay. Nó được dùng để gửi đi thông
điệp đâằu tiến trến Internet vào nằm 1969 từ phòng thí nghi ệm c ủa Kleinrock
Trong những nằm sau đó, ARPANET bằất đấằu kềất nồấi 15 đ ịa đi ểm trền khằấp
nước Myẫ. Tuy nhiền, lúc đó người ta vấẫn chưa rõ vềằ tác dụng c ủa m ạng
lưới này ngoài việc gửi fle, còn việc truy c ập máy tính t ừ xa lúc đó vấẫn
còn khá vấất vả. Đềấn nằm 1972, khi email ra đ ời thì ng ười ta m ới bằất đấằu
cảm thấấy ARPANET hấấp dấẫn. Sau đó 1 nằm, 75% l ưu l ượng c ủa m ạng này
được
sử
dụng
cho
email.
Tháng 10/1972, nhóm ARPA lấằn đấằu tiền làm ra m ột màn demo cho m ạng
của mình trước cồng chúng, cũng như các ứng dụng thực tềấ c ủa nó. Màn
trình diềẫn này khá thành cồng, ngoại trừ việc hệ thồấng b ị sập trong m ột
khoảnh khằấc ngằấn. Nhưng chỉ nhiều đó cũng đã đ ủ làm cho Robert
Metcalfe - người đồằng sáng tạo ra cồng nghệ Ethernet và vềằ sau thành
lập cồng ty mạng 3Com - cảm thấấy khó chịu. "Họ (những ng ười demo)
cảm thấấy vui vẻ. Họ cười cười nói nói. Họ khồng nh ận ra rằằng điềằu này
nguy hiểm như thềấ nào... Vụ sập hệ thồấng cho thấấy rằằng đấy ch ỉ là m ột
món
đồằ
chơi".
Lo
ngại
từ
NSA
ARPANET hoạt động bằằng cách cằất nhỏ một thồng điệp, m ột t ập tin nào
đó thành nhiềằu mảnh, sau đó gửi chúng đi rồằi rồằi đấằu bền kia seẫ ghép l ại
theo đúng thứ tự và tạo thành thồng điệp hoàn chỉnh. Kĩ thu ật này g ọi là
"packet switching", và một trong những khấu quan tr ọng là ph ải biềất
được các mảnh nào đã đềấn đích, mảnh nào bị thấất l ạc đ ể g ửi l ại. Packet
switching cho thấấy tính chính xác rấất cao, nhưng đ ộc đáo b ởi vì nó có th ể
hoạt động mà khồng cấằn có ai đứng ra kiểm soát hay điềằu khi ển. Ngay c ả
ngày nay cũng khồng ai thật sự kiểm soát Internet, kể c ả B ộ quồấc phòng
Myẫ vồấn là đơn vị bỏ tiềằn của ra để đấằu tư.
Trong thời gian đấằu, mạng hoạt động khá ổn, nhưng khi m ạng l ưới này
mở rộng ra, người ta cấằn phải kềất nồấi nhiềằu hệ thồấng mạng nh ỏ h ơn vào
chung với ARPANET. Đó có thể là đ ường truyềằn từ vệ tinh, đ ường truyềằn
bằằng sóng radio để đi khoảng cách xa, chứ khồng ch ỉ là các đ ường truyềằn
mặt đấất nữa. Thềấ rồằi một giao thức mới đ ược t ạo ra v ới tền g ọi TCP/IP.
Nó cho phép bấất kì mạng máy tính nào trền thềấ gi ới có th ể kềất nồấi tr ực
tiềấp với nhau, khồng quan trọng phấằn cứng, phấằn mềằm hay ngồn ngữ máy
tính
bền
dưới
là
gì.
Nhưng việc packet switching và TCI/IP ra đ ời cũng làm dấấy lền nh ững lo
ngại vềằ thồng tin. Người ta có thể dềẫ dàng đánh cằấp các gói d ữ liệu trong
lúc truyềằn tải, vàviệc này có thể được ngằn chặn bằằng cách tích hợp các kĩ
thuật mã hóa. Tuy nhiền, việc triển khai mã hóa và gi ải mã khồng ph ải là
giải pháp khả thi ở thời điểm bấấy giờ bởi nó cấằn đềấn nằng l ực x ử lý l ớn
trong khi máy tính thời đó khồng đủ mạnh. Ngoài ra, các đ ơn v ị đã dùng
mạng cũng cấằn phải mua sằấm phấằn c ứng m ới, m ột chuy ện mà h ọ khồng
sằẫn lòng thực hiện do chi phí cao. Cuồấi cùng, việc phấn phồấi các khóa đ ể
giải mã cũng là một vấấn đềằ nan giải cho đềấn t ận th ời bu ổi hi ện đ ại.
Song song đó còn có những lý do chính tr ị: Cơ quan an ninh quồấc gia Myẫ
(NSA) khồng muồấn các gói dữ liệu được mã hóa b ởi điềằu đó seẫ khiềấn h ọ
khồng thể kiểm soát nội dung được gửi đi, từ đó gấy ảnh h ưởng đềấn an
ninh quồấc gia. Vào những nằm 70 thì NSA vấẫn có quyềằn yều cấằu m ột nhà
nghiền cứu khồng được đằng tải một tài liệu khoa h ọc nào đó nềấu nó ảnh
hưởng
đềấn
an
ninh
Myẫ.
Sau những nằm 70, Cerf và Kahn khồng còn tiềấp t ục nồẫ l ực đ ưa mã hóa
vào TCP/IP nữa. Thay vào đó, việc mã hóa và giải mã giờ seẫ đ ược th ực
hiện bằằng phấằn cứng hoặc phấằn mềằm ở đấằu g ửi và đấằu nh ận. Vấấn đềằ là
khồng phải ai cũng có khả nằng mã hóa dữ liệu trước khi g ửi đi, m ột sồấ
người thì khồng chịu mã hóa vì sự phức tạp trong cách vận hành, và đấy
cũng chính là điểm yềấu để các hacker có thể khai thác và tấấn cồng.
Internet
ra
đời
Vào ngày 1/1/1983, ngày "Flag Day", đánh dấấu sự kiện kh ởi đ ộng l ại h ệ
thồấng mạng và cũng là ngày mà việc "quay đấằu tr ở lại" gấằn nh ư là khồng
thể. Dấằn dấằn, mọi máy tính trền ARPANET và các m ạng con đềằu s ử d ụng
TCP/IP để liền lạc, các mạng nhỏ trền toàn thềấ giới dấằn dấằn dấằn liền kềất l ại
thành một mạng lớn hơn. Và thềấ là Internet ra đ ời.
Lúc đó vấẫn còn những hạn chềấ vềằ việc tiềấp c ận Internet do máy tính cá
nhấn còn đằất, đường truyềằn cũng khồng nhiềằu. Chủ yềấu nh ững ng ười
"online" là những người làm cho các trường đại học, cơ quan chính phủ
cũng như các cồng ty cồng nghệ. Vềằ sau các rào cản này đ ược g ỡ b ỏ, t ạo
ra một cộng đồằng lớn hơn bấất kì quồấc gia nào trền thềấ gi ới nh ưng l ại
khồng có một ai đứng ra kiểm soát. Riềng quấn đ ội Myẫ, h ọ đã tri ển khai
cồng nghệ mã hóa cho các hệ thồấng mạng c ủa mình, nh ưng còn các
mạng dấn dụng thì mấất quá nhiềằu thời gian đ ể đ ưa mã hóa vào th ực tềấ.
Ngay cả đềấn bấy giờ quá trình đó vấẫn chưa hoàn tấất, k ể c ả sau khi v ụ lùm
xùm vềằ việc nghe lén/theo dõi của NSA bị cồng khai vào nằm 2013.
Cerf cho biềất ồng ước gì ồng và Kahn đã có th ể tích h ợp mã hóa vào
TCP/IP ngay từ những ngày đấằu tiền. "Chúng ta đáng leẫ đã có th ể s ử d ụng
cơ chềấ mã hóa một cách phổ biềấn hơn trền Internet. Tồi có th ể t ưởng
tượng ra viềẫn cảnh này một cách dềẫ dàng". Mã hóa khồng lo ại b ỏ hoàn
toàn các mồấi nguy hiểm, nhưng ít nhấất nó seẫ h ạn chềấ đ ược các mồấi nguy
hiểm trền Internet. Tuy nhiền thật đáng tiềấc, điềằu đó đã khồng x ảy ra, và
mọi chuyện seẫ khồng bao giờ có thể quay trở lại mồấc ban đấằu.
Nhưng nềấu có cơ chềấ mã hóa thì TCI/IP seẫ rấất khó đ ể tri ển khai vào nh ững
nằm 80, lúc đó liệu Internet có trở nền phổ biềấn như bấy gi ờ hay khồng
hay lại bị thay thềấ bởi một mạng lưới nào đó dềẫ dùng hơn nhưng cũng l ại
kém an toàn? Đấy là một vấấn đềằ vấẫn còn đ ược tranh cãi đềấn t ận bấy gi ờ.
Những lỗỗ hổng tỗồn tại trong hệ thỗống
Internet Phầồn 2: Một giải pháp được viếốt
vội trến 3 tờ khăn ăn vầỗn đang là trụ cột
của
Ba
Internet
tờ
đếốn
ngày
khăn
nay
ăn
Một thời gian sau khi Internet bằất đấằu đ ược triển khai r ộng rãi, m ạng này
bằất đấằu phát triển như vũ bảo. Và khi Internet càng phát tri ển thì ng ười ta
càng tiềấn gấằn hơn đềấn giới hạn toán học c ủa m ột trong những giao th ức
cơ bản nhấất giúp hệ thồấng mạng này vận hành. Chính vì thềấ, trong m ột
bữa trưa vào nằm 1989, có hai kĩ sư mạng bằất đấằu phác th ảo ý t ưởng c ủa
mình trền một tờ khằn ằn gấằn đó. Rồằi hai t ờ. Rồằi ba t ờ. Ít ai có th ể ng ờ
rằằng thứ giao thức được viềất trền 3 tờ giấấy này seẫ s ớm làm m ột cu ộc cách
mạng với Internet, và nó vấẫn còn đang đ ược sử dụng cho đềấn t ận ngày
hồm
nay.
Giao thức này có cái tền chính thức là Border Gateway Protocol - BGP, còn
tền đùa vui là "giao thức 3 tờ khằn ằn" theo những kĩ s ư đã phát minh ra
đó. Ở mức cơ bản nhấất, BGP giúp router biềất đ ược cách g ửi các dòng d ữ
liệu xuyền qua nhiềằu nút mạng chằằn chịt trong thềấ gi ới Internet, hay nói
cách khác là giúp router chọn ra một con đường đi đúng đằấn trong bồấi
cảnh Internet khồng có tấấm bản đồằ nào c ụ th ể, cũng ch ẳng có ai đ ứng
giữa để "phấn luồằng giao thồng". Một thồng điệp (BGP message) seẫ đ ược
gửi liền tục giữa các nút mạng (hay các router) đ ể nói cho nút m ạng khác
biềất rằằng đường truyềằn nào còn trồấng để mà truyềằn d ữ li ệu cho phù h ợp,
tránh
chui
vào
các
đường
đang
bị
"kẹt
xe".
Nhưng BGP cũng là nguy cơ khiềấn dữ liệu có th ể b ị đánh cằấp trong quá
trình truyềằn tải bởi bấất kì cá nhấn hay tổ chức nào, miềẫn là h ọ có đ ủ kĩ
nằng và quyềằn truy cập. Lý do mà BGP vấẫn còn ẩn ch ứa s ự thiềấu an toàn
như thềấ cũng là vì nó được xấy dựng với niềằm tin vào ng ười dùng, rằằng
người dùng seẫ khồng làm hại lấẫn nhau. Điềằu này đúng với nhiềằu chục nằm
trước,
nhưng
ở
thềấ
giới
hiện
đại
thì
khồng.
Ngoài ra, BGP còn bị một vấấn đềằ là đồi khi nó điềằu h ướng d ữ li ệu đi theo
những cách khá lạ lùng. Đồi khi dữ liệu gửi giữa hai máy tính ở Myẫ l ại ph ải
đi vòng sang tận Ireland trước khi quay vềằ, một lấằn khác thì d ữ li ệu vềằ h ạt
nhấn của Anh lại đi đấu đó qua Ukraina trước khi đềấn đ ược đích. Nh ững
sự cồấ như thềấ này seẫ được nói rõ hơn ở phấằn bền dưới.
Vì
sao
lại
là
BGP?
Các cảnh báo vềằ sự thiềấu an toàn của BGP th ực chấất đã có t ừng nh ững
ngày đấằu khi giao thức này ra đ ời. Yakov Rekhter, một trong nh ững ng ười
đồằng sáng tạo ra BGP, cho biềất rằằng bảo mật khồng ph ải là th ứ mà ng ười
ta quan tấm vào nằm 1989. Lúc đó, người ta chỉ quan tấm là làm sao đ ể
mọi thứ hoạt động được, người ta cũng khồng nghĩ đềấn việc phát tán
những thứ độc hại trền Internet. Tóm lại, "bảo mật khồng ph ải là vấấn đềằ
lớn".
Yakov Rekhter
Vấấn đềằ lớn khi đó nhãn tiềằn hơn, rõ ràng h ơn rấất nhiềằu: các kĩ s ư cấằn nghĩ
một giải pháp mới để việc truyềằn tải dữ liệu trền Internet đ ược tiềấp t ục,
bằằng khồng khi giao thức cũ (EGP, tiềằn nhiệm c ủa BGP) ch ạm đềấn gi ới
hạn toán học thì mạng seẫ sập hoàn toàn. Ngoài ra, hệ thồấng m ạng
ARPANET cũng đang chuẩn bị đóng cửa sau hơn 2 thập kỷ ho ạt đ ộng.
Chưa hềất, người ta còn phải giải quyềất tình tr ạng looping, t ức là d ữ li ệu
được gửi từ router này đềấn router khác, tiều hao tài nguyền máy tính
nhưng khồng bao giờ đềấn được đích cuồấi cùng. Đấy mới là những th ứ làm
họ lo lằấng, khồng phải là những thứ bảo mật xa vời.
Lúc đó, Yakov Rekhter đang làm việc cho IBM, còn m ột đồằng sáng t ạo
khác là Kirk Lougheed thì đang làm cho Cisco. "Tấất c ả chúng tồi đềằu cấằn
phải bán router. Chúng tồi có đ ộng lực kinh tềấ rấất m ạnh đ ể đ ảm b ảo rằằng
mạng phải hoạt động. Khi Yakov và tồi đ ưa ra giải pháp c ủa mình và có
vẻ như nó chạy được, người ta chấấp nhận nó bởi họ khồng cấằn thay đ ổi
gì
nhiềằu",
Lougheed
nhớ
lại.
Ngoài BGP cũng có một sồấ nồẫ lực khác nhằằm c ải thiện khả nằng truyềằn t ải
của Internet. Tuy nhiền, BGP giành chiềấn thằấng bởi nó đ ơn giản, gi ải quyềất
ngay vấấn đềằ hiện tại và đủ khả nằng đ ể giúp dữ liệu tiềấp t ục ch ảy m ột
cách trơn tru ngay cả khi Internet phát triển lền gấấp nhiềằu lấằn. Thềấ nền
các nhà mạng cũng như những cồng ty phấằn cứng, phấằn mềằm trền toàn
thềấ giới bằất đấằu chấấp nhận BGP và triển khai giao th ức này m ột cách r ộng
rãi
vào
hạ
tấằng,
sản
phẩm
của
mình.
Một tờ khằn ằn đếằ cập đếến BGP với nội dung được do Yakov Rekhter veẽ lại
Khi một cồng nghệ đã được triển khai ở quy mồ lớn như thềấ, nó seẫ khồng
thể được thay thềấ nữa. Lý do? Việc thay thềấ seẫ phát sinh chi phí và có th ể
làm gián đoạn việc kinh doanh của nhiềằu đơn vị và tổ chức, hi ển nhiền là
họ khồng đồằng ý để chuyện này diềẫn ra. Thềấ nền cồng ngh ệ m ới h ơn c ứ
xềấp chồằng lền cái cũ, dấằn dấằn hình thành nhiềằu l ớp chằấp vá ch ứ phấằn lõi
thì khồng bao giờ thật sự thay đổi. Bạn cứ tưởng tượng tình c ảnh c ủa
Internet hiện nay giồấng như việc bạn đang vận hành m ột ngấn hàng vồ
cùng hiện đại nhưng phấằn nềằn thì vấẫn chỉ được làm bằằng r ơm rạ và bùn
đấất
mà
thồi.
Internet data flow
Các
sự
cỗố
nổi
bật
của
BGP
Sự chuyển hướng của lưu lượng Internet nềấu bị sai sót, dù là vồ tình hay
cồấ ý, cũng có thể trở thành một vấấn đềằ lớn. Có leẫ sự cồấ n ổi tiềấng nhấất đó
là vào tháng 2/2008 khi một nhà mạng ở Pakistan vồ tình h ướng m ọi l ưu
lượng YouTube trền toàn thềấ giới vềằ máy chủ của mình. Kềất qu ả là
YouTube sập trong 2 giờ đồằng hồằ, còn hệ thồấng c ủa nhà m ạng này cũng
bị
tề
liệt.
Nguồằn gồấc của sự việc đềấn từ một lệnh của chính ph ủ Pakistan yều cấằu
các nhà mạng trong nước phải chặn YouTube sau khi diềẫn ra những cu ộc
nổi loạn vì một đoạn video chềấ giữa nhà tiền tri Muhammad đ ược tung
lền website này. Khi nhà mạng này đang cấấu hình thồng đi ệp BGP, h ọ đã
vồ tình làm sai một vài thứ và dấẫn đềấn hậu qu ả nói trền.
Nhưng mồấi nguy hiểm thật sự lại đềấn từ những vụ tấấn cồng một cách có
chủ đích. Trong giai đoạn giữa tháng 2 đềấn tháng 5 nằm 2014, m ột hacker
nào đó đã kiểm soát lưu lượng của hàng chục cồng ty Internet l ớn, trong
đó có Amazon và Alibaba, nhằằm chiềấm lấấy các đồằng bitcoin đang đ ược
giao dịch trền mạng. Đềấn khi vụ tấấn cồng đ ược phát hi ện, sồấ bitcoin tr ị
giá 84.000$ đã bị lấấy trộm, và nguy hiểm h ơn, hacker này đã thay đ ổi
thồng điệp BGP để hằấn ta khồng bị lộ danh tính.
Chưa hềất, một ai đó đã khiềấn lưu lượng Internet c ủa quấn đ ội Myẫ b ị
chuyển hướng đi sang Trung Quồấc trong vòng 18 phút vào tháng 4/2010.
Đấy cũng là vụ án được nghiền cứu kĩ nhấất trong l ịch s ử phát tri ển c ủa
BGP, nhưng các chuyền gia vấẫn còn tranh cãi liệu v ụ này có ph ải là cồấ ý
hay khồng. Sự việc bằất đấằu khi nhà mạng China Telecom - m ột cồng ty
thuộc sở hữu nhà nước tại Trung Quồấc - gửi đi một thồng đi ệp BGP đ ể
thồng báo vềằ đường truyềằn trồấng của mình đềấn vài ch ục nghìn router trền
thềấ giới, trong sồấ đó có 16.000 router ở Myẫ. Vì khồng có c ơ chềấ nào đ ể
kiểm tra xem thồng điệp BGP đó xuấất phát t ừ đấu, các router trền toàn
cấằu bằất đấằu gửi dữ liệu vềằ Bằấc Kinh. Trong sồấ những đ ơn v ị b ị ảnh h ưởng
có lực lượng bộ binh, lính thủy đánh bộ và c ả khồng quấn Myẫ.
Ít lấu sau thồng điệp BGP này đã đ ược sửa lại, nhưng nềấu v ụ vi ệc là cồấ ý
thì chính phủ Trung Quồấc có thể đã tận dụng 16 phút nói trền đ ể phấn
tích và tìm kiềấm các password cũng như dữ liệu nh ạy c ảm c ủa quấn đ ội
Myẫ. Nguy hiểm hơn, Trung Quồấc có thể đã lưu các dữ liệu này l ại đ ể phấn
tích
dấằn
dấằn
sau
đó.
Tấất cả những sự cồấ này cho thấấy rằằng BGP có th ể b ị l ợi d ụng đ ể tấấn cồng
một mục tiều nhấất định trền Internet. Khi thồng điệp BGP b ị cấấu hình sai,
nó có thể khiềấn các router phấn vấn khồng biềất nền g ửi đi đấu và cuồấi
cùng chọn đường gửi đi qua các router khồng đáng tin c ậy.
"Khỗng
ai
mua
đỗồ
bảo
mật
của
chúng
tỗi
bán
c ả"
Vì sao người ta đã biềất đềấn tác hại của BGP nhưng khồng thay thềấ nó hay
đưa ra biện pháp nào tồất hơn? Các nhà phề bình cho rằằng ch ẳng ai thích b ị
hack, nhưng khi khách hàng của mình bị hack thì các cồng ty l ại khồng có
trách nhiệm pháp lý nào cả, điềằu này làm cho các cồng ty cung cấấp gi ải
pháp mạng trở nền thiềấu trách nhiệm. Trong khi đó, việc tri ển khai các
giải pháp bảo mật thì tồấn kém, tính nằng lại h ạn chềấ, hiệu nằng c ủa h ệ
thồấng
thì
bị
giảm
đi.
Những cồng ty thử kinh doanh các sản phẩm với tính nằng b ảo m ật nấng
cao, chẳng hạn như tích hợp sằẫn cồng nghệ mã hóa, thì lại khồng nh ận
được nhiềằu sự quan tấm từ phía người dùng. Họ thích những th ứ rẻ và dềẫ
dùng hơn là những sản phẩm bảo mật, Robert Metcalfe - nhà sáng l ập
3Com - đã nhận xét như thềấ. "Chúng tồi đã thử làm ra chúng (s ản ph ẩm
bảo mật), chúng tồi bán chúng, nhưng chẳng ai mua c ả".
Sau vụ án nằm 2010 khiềấn dữ liệu của quấn đ ội Myẫ đi sang Trung Quồấc, B ộ
an ninh quồấc gia Myẫ đã chi mạnh 8 triệu USD trong 4 nằm nhằằm phát tri ển
và triển khai cồng nghệ BGP với tính bảo mật cao h ơn. B ước đấằu tiền
trong nồẫ lực này là tạo ra một hệ thồấng mã hóa và định danh m ới đ ể bu ộc
router nói lền mình là ai, ở quồấc gia nào, lo ại lưu l ượng nào seẫ th ường
được xử lý. Nềấu hệ thồấng này được phát triển và áp dụng thành cồng,
việc một cồng ty Pakistan chiềấm lấấy lưu lượng của YouTube seẫ khó xảy ra
hơn. Các router seẫ dềẫ dàng bỏ qua những thồng điệp BGP b ị cấấu hình sai
và hạn chềấ được các sự cồấ như đã đềằ c ập ở phấằn trền.
Nhưng việc thuyềất phục các nhà mạng trền toàn cấằu cùng tham gia vào
nồẫ lực này khồng phải là chuyện đơn giản. Hiện nhiềằu nhà m ạng đã dùng
flter để hạn chềấ thồng điệp BGP sai. Giải pháp này ch ỉ x ử lý đ ược m ột
phấằn nhỏ của vấấn đềằ nhưng nó dềẫ hơn nhiềằu so v ới vi ệc dùng các khóa
mã hóa. Một sồấ nhà mạng khác thì đang cùng nhau phát tri ển BGPSEC v ới
các tính nằng bảo mật nấng cao đ ể dấằn thay thềấ cho BGP.
- Xem thêm -