Đăng ký Đăng nhập
Trang chủ Công nghệ thông tin An ninh bảo mật Những lỗ hổng tồn tại trong hệ thống internet...

Tài liệu Những lỗ hổng tồn tại trong hệ thống internet

.DOC
29
366
75

Mô tả:

NHỮNG LỖ HỔNG TỒN TẠI TRONG HỆ THỐNG  INTERNET ­ FULL Những lỗỗ hổng tỗồn tại trong hệ thỗống Internet Internet là thứ mà chúng ta sử dụng hằằng ngày hằằng gi ờ, rấất nhiềằu cơ quan, doanh nghiệp, chính phủ đang vận hành dựa trền mạng lưới này. Nhưng đáng buồằn thay, Internet lại khồng an toàn ngay từ trong cồất lõi c ủa mình. Để tìm hiểu lý do vì sao một hệ thồấng mạng toàn cấằu v ới hơn 3 tỷ người dùng lại gặp vấấn đềằ lớn như thềấ, m ời các bạn theo bài viềất bền dưới. Có tấất cả 3 phấằn: Phấằn đấằu nói việc Internet được tạo ra mà khồng có đấằy đ ủ các tính nằng an toàn. Phấằn thứ hai kể vềằ một giao thức được viềất tạm trền 3 tờ khằn ằn nh ưng đềấn giờ vấẫn đóng vai trò cực kì quan tr ọng đ ể Internet ch ạy đ ược. Phấằn cuồấi cùng đềằ cập đềấn những hiểm họa từ một h ệ thồấng m ạng thiềấu an toàn đã được một nhóm hacker 7 người cảnh báo trước, nhưng đáng tiềấc là lời cảnh báo đó đã bị bỏ qua. Bài hơi dài, nhưng đ ảm b ảo đ ọc xong các bạn seẫ biềất thềm được rấất nhiềằu thồng tin hữu ích, cũng nh ư hi ểu h ơn vềằ cách mà Internet hoạt động. Phầồn 1: Internet khỗng được xầy dựng để bảo mật trước chính người dùng của mình     Internet được phát triển từ một hệ thồấng mạng dùng đ ể kềất nồấi các đại học, viện nghiền cứu với nhau, cũng như đ ể giúp Myẫ có hạ tấằng liền lạc trong bồấi cảnh chiềấn tranh hạt nhấn Người dùng ban đấằu chỉ là những kĩ sư, nhà khoa học, nh ững người khồng có mục đích xấấu trong việc lạm dụng mạng Lúc đó nguy cơ tấấn cồng qua mạng chưa rõ ràng Chính vì thềấ người ta khồng nghĩ nhiềằu vềằ việc b ảo m ật cho Internet, đặc biệt là những nguy cơ đềấn từ chính những ng ười dùng Internet chứ khồng phải tác nhấn bền ngoài. Phấằn 2: Một giải pháp viềất vội trền 3 tờ khằn ằn vấẫn còn được dùng đềấn tận ngày nay   Giải pháp đó mang tền BGP - cách thức đ ể các router biềất đ ược cấằn phải gửi dữ liệu theo đường nào để đềấn được đích BGP do 2 kĩ sư phát minh ra trong giờ ằn trưa, thềấ nền h ọ dùng 3 t ờ khằn ằn để phác họa ý tưởng của mình    BGP đáng ra chỉ là một giải pháp ngằấn hạn, nh ưng nó vấẫn còn đ ược dùng đềấn tận bấy giờ BGP bị cấấu hình sai đã dấẫn đềấn một sồấ s ự cồấ đáng tiềấc: l ưu l ượng YouTube bị hướng vềằ Pakistan nằm 2008, dữ liệu c ủa quấn đ ội Myẫ đi qua Trung Quồấc trong vòng 16 phút hồằi nằm 2010, thồng tin h ạt nhấn của Anh đi qua Ukraine BGP đang dấằn được thay thềấ và tích hợp kh ả nằng mã hóa nh ưng tồấc độ áp dụng của các nhà mạng vấẫn còn rấất chậm chạp Phấằn 3: Hiểm họa được báo trước - và bị làm ngơ     Một nhóm hacker tền L0pht từng cảnh báo quồấc h ội Myẫ vềằ s ự mấất an toàn của Internet Nhưng khồng có hành động cụ thể nào được đưa ra L0pht thường họp nhau trong một cằn gác xềấp ở Boston, n ơi đ ược xem là thiền đường của những gã mề cồng nghệ L0pht đã phát hiện ra nhiềằu lồẫ hổng bảo m ật nghiềm tr ọng trong các phấằn mềằm được dùng phổ biềấn, nhấất là các phấằn mềằm vềằ Internet ----------------------------------------------------------- Phấằn 1: Internet khồng được xấy dựng để bảo mật trước người dùng của chính mình - những vấấn đềằ khồng thể được khằấc phục Sự nguy hiểm đếốn từ bến trong David D. Clark, một nhà khoa học làm việc cho Đ ại h ọc MIT, nh ớ chính xác lấằn đấằu tiền mà ồng nhìn thấấy mặt tồấi của Internet. Lúc đó ồng đang ngồằi trong một cuộc họp với các kĩ sư mạng vào tháng 11/1988, thềấ rồằi h ọ vồ tình nghe được tin tức vềằ một con sấu máy tính nguy hiểm đang lấy nhanh - cũng là phấằn mềằm mã độc đấằu tiền lan truyềằn r ộng rãi trền thềấ gi ới. Ngay lập tức, một trong những kĩ sư đang ngồằi ở đó, đ ứng d ậy và nói: "Chềất tiệt, tồi nghĩ tồi đã sửa lồẫi này rồằi chứ". Cuộc tấấn cồng của con sấu máy tính nói trền đã làm s ập hàng nghìn máy tính và gấy thiệt hại nhiềằu tỉ USD, và rõ ràng đấy khồng ch ỉ là lồẫi c ủa m ột người duy nhấất. Con sấu này đã tận dụng tính mở, nhanh và thiềấu ki ểm soát của Internet để thực thi một dòng mã đ ộc trền h ệ thồấng vồấn đ ược thiềất kềấ chỉ để truyềằn tải các tập tin hay email vồ h ại. David D. Clark, chụp tại phòng thí nghiệm của ông ở Đại học MIT, nói rằằng các nhà sáng lập ra Internet có nghĩ đếến bảo mật, nhưng chỉ phòng tránh các tác nhân từ bến ngoài Nhiềằu thập kỉ sau, với cả trằm tỉ USD được chi cho lĩnh vực b ảo m ật máy tính, những nguy cơ tương tự vấẫn khồng hềằ giảm đi mà th ậm chí ngày càng trở nền nguy hiểm hơn. Lúc trước hacker chỉ tấấn cồng các máy tính cá nhấn, giờ thì họ còn nhằấm đềấn các ngấn hàng, chuồẫi bán l ẻ, c ơ quan nhà nước, studio Hollywood, thậm chí cả các đ ập nước, nhà máy điện h ạt nhấn và cả máy bay. Và sự nguy hiểm nói trền đã gấy ra một cú sồấc với nh ững ng ười góp phấằn tạo ra Internet. Ngay cả những kĩ sư đã dành nhiềằu nằm đ ể thiềất kềấ nền mạng này cũng khồng ngờ rằằng chỉ vài chục nằm sau, Internet đã tr ở nền cực kì phổ biềấn và được xài rộng khằấp thềấ gi ới, đi kèm theo đó cũng là những mồấi hiểm họa khủng khiềấp. Clark nhớ lại: "Khồng phải là chúng tồi khồng nghĩ vềằ bảo m ật. Chúng tồi biềất rằằng có những người khồng đáng tin c ậy ở ngoài kia, và chúng tồi đã nghĩ rằằng chúng tồi có thể loại trừ bọn họ (khỏi Internet)." Nói cách khác, các kĩ sư đã nghĩ vềằ tính bảo mật cho hệ thồấng m ạng c ủa mình, h ọ tìm được cách loại bỏ những kẻ muồấn xấm nhập trái phép hay các mồấi nguy vềằ mặt quấn sự, nhưng họ khồng ngờ rằằng người dùng Internet l ại có ngày sử dụng mạng lưới này để tấấn cồng lấẫn nhau. "Chúng tồi khồng t ập trung vào việc bạn seẫ làm hỏng hệ thồấng từ bền trong", Vinton G. Cerf, một trong những người đã giúp xấy dựng nền Internet và cũng là c ựu phó chủ tịch Google, chia sẻ. Vinton G. Cerf, giờ đang là một quan chức của Google cho biếết ông ước gì ông và nhà khoa học máy tính Robert E. Kahn đã có thể tích hợp khả nằng mã hóa vào giao thức TCP/IP. Như vậy thì Internet có thể đã tr ở nến an toàn hơn Dù gì đi nữa thì vụ tấấn cồng của sấu "Morris Worm" hồằi nằm 1988 - đ ược đặt theo tền của Robert T. Morris, một sinh viền tồất nghi ệp tr ường Cornell University và cũng là tác giả của con sấu này - đã tr ở thành m ột hồằi chuồng cảnh tỉnh cho những kiềấn trúc sư đã tham gia xấy d ựng Internet. Nó cho thấấy Internet đã phát triển vượt ra kh ỏi thềấ gi ới lý t ưởng c ủa các kĩ sư và nhà khoa học vồấn chỉ có ý định sử dụng m ạng lưới này cho m ục đích tồất. Đáng tiềấc, hồằi chuồng này xuấất hiện quá trềẫ. Thềấ h ệ "sáng l ập" ra Internet đã khồng còn chịu trách nhiệm vềằ sản phẩm c ủa mình. Và th ật s ự, lúc đó khồng còn ai chịu trách nhiệm vềằ Internet c ả. Sinh ra để dùng trong thảm họa hạt nhần Cha đẻ của Internet là nhà khoa học Donald W. Davies và kĩ sư Paul Baran - người muồấn chuẩn bị sằẫn sàng cho tổ quồấc c ủa mình trong tình c ảnh chiềấn tranh hạt nhấn. Trong một tài liệu nằm 1960 khi ồng đang làm cho cồng ty Rand Corp, Baran nói vềằ ý tưởng tạo ra m ột h ệ thồấng m ạng đ ủ vững chằấc để có thể giúp những người sồấng sót liền l ạc và giúp đ ỡ nhau khi thảm họa hạt nhấn xảy ra, từ đó giảm thiểu thiệt h ại cho đấất n ước, xấy dựng lại nềằn kinh tềấ cũng như triển khai một kềấ ho ặc đánh tr ả. Còn Davies thì có một tấằm nhìn "hòa bình" hơn. Máy tính trong th ời kỳ đó thường rấất to và cấằn phải phục vụ nhiềằu người dùng cùng lúc. Đ ể đằng nhập vào những cồẫ máy này cấằn phải có một đường điện tho ại đ ược m ở liền tục ngay cả khi việc truyềằn tín hiệu khồng ph ải lúc nào cũng diềẫn ra. Thềấ rồằi đềấn giữa những nằm 1960, ồng bằất đấằu đềằ xuấất vềằ m ột h ệ thồấng có thể cằất dữ liệu thành các mảnh nhỏ đ ể truyềằn đi trong nhiềằu lấằn, nh ư vậy thì nhiềằu người có thể cùng chia sẻ một đường dấy điện tho ại trong khi họ đằng nhập vào máy tính. Davies thậm chí còn thiềất l ập m ột m ạng nhỏ như vậy để cho thấấy tính khả thi của ý tưởng. Cả hai ý tưởng nói trền, một cho chiềấn tranh và một cho hòa bình, đã hòa hợp lại trong suồất chặng đường phát triển của Internet. Nhưng động lực phát triển quan trọng nhấất c ủa Internet l ại đềấn t ừ c ơ quan nghiền cứu khoa học của Bộ quồấc phòng Myẫ, còn g ọi là ARPA hay DARPA. Cơ quan này được thành lập vào nằm 1958 sau khi chính quyềằn Liền bang Xồ Viềất cho phóng vệ tinh Sputnik lền khồng gian, cũng là lúc Myẫ lo lằấng bị bỏ lại phía sau xét vềằ m ặt nghiền c ứu khoa h ọc. Khoảng một thập kỉ sau đó, ARPA bằất đấằu phát triển một mạng máy tính mới mang tền ARPANET. Họ bằất đấằu tuyển dụng các nhà khoa h ọc và bằất tay với những trường đại học, viện nghiền cứu hàng đấằu nước Myẫ. Chính những người này đã thành lập nền thềấ hệ tạo dựng Internet. Khi mạng ARPANET mở kềất nồấi đấằu tiền nằm 1969 giữa 3 đ ại h ọc ở bang California và 1 ở bang Utah, mục tiều của họ khá đ ơn giản: đấy ch ỉ là m ột dự án nghiền cứu nhằằm chuyển fle cho nhau cũng như cho phép truy c ập các máy tính từ xa. Lúc này, người ta chỉ nghĩ đềấn việc làm cho ARPANET hoạt động được, khi đó cũng khồng có nhiềằu hiểm h ọa có th ể x ảy ra, và trong mạng cũng khồng có nhiềằu thứ giá trị đềấn nồẫi ph ải đánh cằấp. Ng ười ta khồng đột nhập vào ngấn hàng bởi vì nơi đấy khồng bảo m ật. Ng ười ta cướp ngấn hàng tại vì đấy là nơi chứa tiềằn. Các nhà khoa h ọc nghĩ rằằng h ọ chỉ đang xấy dựng một lớp học mà thồi, nhưng hóa ra nó đã tr ở thành một "ngấn hàng thồng tin". Nhà khoa học Leonard Kleinrock đứng cạnh một chiếếc máy tính đặc bi ệt với tác dụng gâằn giôếng như router ngày nay. Nó được dùng để gửi đi thông điệp đâằu tiến trến Internet vào nằm 1969 từ phòng thí nghi ệm c ủa Kleinrock Trong những nằm sau đó, ARPANET bằất đấằu kềất nồấi 15 đ ịa đi ểm trền khằấp nước Myẫ. Tuy nhiền, lúc đó người ta vấẫn chưa rõ vềằ tác dụng c ủa m ạng lưới này ngoài việc gửi fle, còn việc truy c ập máy tính t ừ xa lúc đó vấẫn còn khá vấất vả. Đềấn nằm 1972, khi email ra đ ời thì ng ười ta m ới bằất đấằu cảm thấấy ARPANET hấấp dấẫn. Sau đó 1 nằm, 75% l ưu l ượng c ủa m ạng này được sử dụng cho email. Tháng 10/1972, nhóm ARPA lấằn đấằu tiền làm ra m ột màn demo cho m ạng của mình trước cồng chúng, cũng như các ứng dụng thực tềấ c ủa nó. Màn trình diềẫn này khá thành cồng, ngoại trừ việc hệ thồấng b ị sập trong m ột khoảnh khằấc ngằấn. Nhưng chỉ nhiều đó cũng đã đ ủ làm cho Robert Metcalfe - người đồằng sáng tạo ra cồng nghệ Ethernet và vềằ sau thành lập cồng ty mạng 3Com - cảm thấấy khó chịu. "Họ (những ng ười demo) cảm thấấy vui vẻ. Họ cười cười nói nói. Họ khồng nh ận ra rằằng điềằu này nguy hiểm như thềấ nào... Vụ sập hệ thồấng cho thấấy rằằng đấy ch ỉ là m ột món đồằ chơi". Lo ngại từ NSA ARPANET hoạt động bằằng cách cằất nhỏ một thồng điệp, m ột t ập tin nào đó thành nhiềằu mảnh, sau đó gửi chúng đi rồằi rồằi đấằu bền kia seẫ ghép l ại theo đúng thứ tự và tạo thành thồng điệp hoàn chỉnh. Kĩ thu ật này g ọi là "packet switching", và một trong những khấu quan tr ọng là ph ải biềất được các mảnh nào đã đềấn đích, mảnh nào bị thấất l ạc đ ể g ửi l ại. Packet switching cho thấấy tính chính xác rấất cao, nhưng đ ộc đáo b ởi vì nó có th ể hoạt động mà khồng cấằn có ai đứng ra kiểm soát hay điềằu khi ển. Ngay c ả ngày nay cũng khồng ai thật sự kiểm soát Internet, kể c ả B ộ quồấc phòng Myẫ vồấn là đơn vị bỏ tiềằn của ra để đấằu tư. Trong thời gian đấằu, mạng hoạt động khá ổn, nhưng khi m ạng l ưới này mở rộng ra, người ta cấằn phải kềất nồấi nhiềằu hệ thồấng mạng nh ỏ h ơn vào chung với ARPANET. Đó có thể là đ ường truyềằn từ vệ tinh, đ ường truyềằn bằằng sóng radio để đi khoảng cách xa, chứ khồng ch ỉ là các đ ường truyềằn mặt đấất nữa. Thềấ rồằi một giao thức mới đ ược t ạo ra v ới tền g ọi TCP/IP. Nó cho phép bấất kì mạng máy tính nào trền thềấ gi ới có th ể kềất nồấi tr ực tiềấp với nhau, khồng quan trọng phấằn cứng, phấằn mềằm hay ngồn ngữ máy tính bền dưới là gì. Nhưng việc packet switching và TCI/IP ra đ ời cũng làm dấấy lền nh ững lo ngại vềằ thồng tin. Người ta có thể dềẫ dàng đánh cằấp các gói d ữ liệu trong lúc truyềằn tải, vàviệc này có thể được ngằn chặn bằằng cách tích hợp các kĩ thuật mã hóa. Tuy nhiền, việc triển khai mã hóa và gi ải mã khồng ph ải là giải pháp khả thi ở thời điểm bấấy giờ bởi nó cấằn đềấn nằng l ực x ử lý l ớn trong khi máy tính thời đó khồng đủ mạnh. Ngoài ra, các đ ơn v ị đã dùng mạng cũng cấằn phải mua sằấm phấằn c ứng m ới, m ột chuy ện mà h ọ khồng sằẫn lòng thực hiện do chi phí cao. Cuồấi cùng, việc phấn phồấi các khóa đ ể giải mã cũng là một vấấn đềằ nan giải cho đềấn t ận th ời bu ổi hi ện đ ại. Song song đó còn có những lý do chính tr ị: Cơ quan an ninh quồấc gia Myẫ (NSA) khồng muồấn các gói dữ liệu được mã hóa b ởi điềằu đó seẫ khiềấn h ọ khồng thể kiểm soát nội dung được gửi đi, từ đó gấy ảnh h ưởng đềấn an ninh quồấc gia. Vào những nằm 70 thì NSA vấẫn có quyềằn yều cấằu m ột nhà nghiền cứu khồng được đằng tải một tài liệu khoa h ọc nào đó nềấu nó ảnh hưởng đềấn an ninh Myẫ. Sau những nằm 70, Cerf và Kahn khồng còn tiềấp t ục nồẫ l ực đ ưa mã hóa vào TCP/IP nữa. Thay vào đó, việc mã hóa và giải mã giờ seẫ đ ược th ực hiện bằằng phấằn cứng hoặc phấằn mềằm ở đấằu g ửi và đấằu nh ận. Vấấn đềằ là khồng phải ai cũng có khả nằng mã hóa dữ liệu trước khi g ửi đi, m ột sồấ người thì khồng chịu mã hóa vì sự phức tạp trong cách vận hành, và đấy cũng chính là điểm yềấu để các hacker có thể khai thác và tấấn cồng. Internet ra đời Vào ngày 1/1/1983, ngày "Flag Day", đánh dấấu sự kiện kh ởi đ ộng l ại h ệ thồấng mạng và cũng là ngày mà việc "quay đấằu tr ở lại" gấằn nh ư là khồng thể. Dấằn dấằn, mọi máy tính trền ARPANET và các m ạng con đềằu s ử d ụng TCP/IP để liền lạc, các mạng nhỏ trền toàn thềấ giới dấằn dấằn dấằn liền kềất l ại thành một mạng lớn hơn. Và thềấ là Internet ra đ ời. Lúc đó vấẫn còn những hạn chềấ vềằ việc tiềấp c ận Internet do máy tính cá nhấn còn đằất, đường truyềằn cũng khồng nhiềằu. Chủ yềấu nh ững ng ười "online" là những người làm cho các trường đại học, cơ quan chính phủ cũng như các cồng ty cồng nghệ. Vềằ sau các rào cản này đ ược g ỡ b ỏ, t ạo ra một cộng đồằng lớn hơn bấất kì quồấc gia nào trền thềấ gi ới nh ưng l ại khồng có một ai đứng ra kiểm soát. Riềng quấn đ ội Myẫ, h ọ đã tri ển khai cồng nghệ mã hóa cho các hệ thồấng mạng c ủa mình, nh ưng còn các mạng dấn dụng thì mấất quá nhiềằu thời gian đ ể đ ưa mã hóa vào th ực tềấ. Ngay cả đềấn bấy giờ quá trình đó vấẫn chưa hoàn tấất, k ể c ả sau khi v ụ lùm xùm vềằ việc nghe lén/theo dõi của NSA bị cồng khai vào nằm 2013. Cerf cho biềất ồng ước gì ồng và Kahn đã có th ể tích h ợp mã hóa vào TCP/IP ngay từ những ngày đấằu tiền. "Chúng ta đáng leẫ đã có th ể s ử d ụng cơ chềấ mã hóa một cách phổ biềấn hơn trền Internet. Tồi có th ể t ưởng tượng ra viềẫn cảnh này một cách dềẫ dàng". Mã hóa khồng lo ại b ỏ hoàn toàn các mồấi nguy hiểm, nhưng ít nhấất nó seẫ h ạn chềấ đ ược các mồấi nguy hiểm trền Internet. Tuy nhiền thật đáng tiềấc, điềằu đó đã khồng x ảy ra, và mọi chuyện seẫ khồng bao giờ có thể quay trở lại mồấc ban đấằu. Nhưng nềấu có cơ chềấ mã hóa thì TCI/IP seẫ rấất khó đ ể tri ển khai vào nh ững nằm 80, lúc đó liệu Internet có trở nền phổ biềấn như bấy gi ờ hay khồng hay lại bị thay thềấ bởi một mạng lưới nào đó dềẫ dùng hơn nhưng cũng l ại kém an toàn? Đấy là một vấấn đềằ vấẫn còn đ ược tranh cãi đềấn t ận bấy gi ờ. Những lỗỗ hổng tỗồn tại trong hệ thỗống Internet Phầồn 2: Một giải pháp được viếốt vội trến 3 tờ khăn ăn vầỗn đang là trụ cột của Ba Internet tờ đếốn ngày khăn nay ăn Một thời gian sau khi Internet bằất đấằu đ ược triển khai r ộng rãi, m ạng này bằất đấằu phát triển như vũ bảo. Và khi Internet càng phát tri ển thì ng ười ta càng tiềấn gấằn hơn đềấn giới hạn toán học c ủa m ột trong những giao th ức cơ bản nhấất giúp hệ thồấng mạng này vận hành. Chính vì thềấ, trong m ột bữa trưa vào nằm 1989, có hai kĩ sư mạng bằất đấằu phác th ảo ý t ưởng c ủa mình trền một tờ khằn ằn gấằn đó. Rồằi hai t ờ. Rồằi ba t ờ. Ít ai có th ể ng ờ rằằng thứ giao thức được viềất trền 3 tờ giấấy này seẫ s ớm làm m ột cu ộc cách mạng với Internet, và nó vấẫn còn đang đ ược sử dụng cho đềấn t ận ngày hồm nay. Giao thức này có cái tền chính thức là Border Gateway Protocol - BGP, còn tền đùa vui là "giao thức 3 tờ khằn ằn" theo những kĩ s ư đã phát minh ra đó. Ở mức cơ bản nhấất, BGP giúp router biềất đ ược cách g ửi các dòng d ữ liệu xuyền qua nhiềằu nút mạng chằằn chịt trong thềấ gi ới Internet, hay nói cách khác là giúp router chọn ra một con đường đi đúng đằấn trong bồấi cảnh Internet khồng có tấấm bản đồằ nào c ụ th ể, cũng ch ẳng có ai đ ứng giữa để "phấn luồằng giao thồng". Một thồng điệp (BGP message) seẫ đ ược gửi liền tục giữa các nút mạng (hay các router) đ ể nói cho nút m ạng khác biềất rằằng đường truyềằn nào còn trồấng để mà truyềằn d ữ li ệu cho phù h ợp, tránh chui vào các đường đang bị "kẹt xe". Nhưng BGP cũng là nguy cơ khiềấn dữ liệu có th ể b ị đánh cằấp trong quá trình truyềằn tải bởi bấất kì cá nhấn hay tổ chức nào, miềẫn là h ọ có đ ủ kĩ nằng và quyềằn truy cập. Lý do mà BGP vấẫn còn ẩn ch ứa s ự thiềấu an toàn như thềấ cũng là vì nó được xấy dựng với niềằm tin vào ng ười dùng, rằằng người dùng seẫ khồng làm hại lấẫn nhau. Điềằu này đúng với nhiềằu chục nằm trước, nhưng ở thềấ giới hiện đại thì khồng. Ngoài ra, BGP còn bị một vấấn đềằ là đồi khi nó điềằu h ướng d ữ li ệu đi theo những cách khá lạ lùng. Đồi khi dữ liệu gửi giữa hai máy tính ở Myẫ l ại ph ải đi vòng sang tận Ireland trước khi quay vềằ, một lấằn khác thì d ữ li ệu vềằ h ạt nhấn của Anh lại đi đấu đó qua Ukraina trước khi đềấn đ ược đích. Nh ững sự cồấ như thềấ này seẫ được nói rõ hơn ở phấằn bền dưới. Vì sao lại là BGP? Các cảnh báo vềằ sự thiềấu an toàn của BGP th ực chấất đã có t ừng nh ững ngày đấằu khi giao thức này ra đ ời. Yakov Rekhter, một trong nh ững ng ười đồằng sáng tạo ra BGP, cho biềất rằằng bảo mật khồng ph ải là th ứ mà ng ười ta quan tấm vào nằm 1989. Lúc đó, người ta chỉ quan tấm là làm sao đ ể mọi thứ hoạt động được, người ta cũng khồng nghĩ đềấn việc phát tán những thứ độc hại trền Internet. Tóm lại, "bảo mật khồng ph ải là vấấn đềằ lớn". Yakov Rekhter Vấấn đềằ lớn khi đó nhãn tiềằn hơn, rõ ràng h ơn rấất nhiềằu: các kĩ s ư cấằn nghĩ một giải pháp mới để việc truyềằn tải dữ liệu trền Internet đ ược tiềấp t ục, bằằng khồng khi giao thức cũ (EGP, tiềằn nhiệm c ủa BGP) ch ạm đềấn gi ới hạn toán học thì mạng seẫ sập hoàn toàn. Ngoài ra, hệ thồấng m ạng ARPANET cũng đang chuẩn bị đóng cửa sau hơn 2 thập kỷ ho ạt đ ộng. Chưa hềất, người ta còn phải giải quyềất tình tr ạng looping, t ức là d ữ li ệu được gửi từ router này đềấn router khác, tiều hao tài nguyền máy tính nhưng khồng bao giờ đềấn được đích cuồấi cùng. Đấy mới là những th ứ làm họ lo lằấng, khồng phải là những thứ bảo mật xa vời. Lúc đó, Yakov Rekhter đang làm việc cho IBM, còn m ột đồằng sáng t ạo khác là Kirk Lougheed thì đang làm cho Cisco. "Tấất c ả chúng tồi đềằu cấằn phải bán router. Chúng tồi có đ ộng lực kinh tềấ rấất m ạnh đ ể đ ảm b ảo rằằng mạng phải hoạt động. Khi Yakov và tồi đ ưa ra giải pháp c ủa mình và có vẻ như nó chạy được, người ta chấấp nhận nó bởi họ khồng cấằn thay đ ổi gì nhiềằu", Lougheed nhớ lại. Ngoài BGP cũng có một sồấ nồẫ lực khác nhằằm c ải thiện khả nằng truyềằn t ải của Internet. Tuy nhiền, BGP giành chiềấn thằấng bởi nó đ ơn giản, gi ải quyềất ngay vấấn đềằ hiện tại và đủ khả nằng đ ể giúp dữ liệu tiềấp t ục ch ảy m ột cách trơn tru ngay cả khi Internet phát triển lền gấấp nhiềằu lấằn. Thềấ nền các nhà mạng cũng như những cồng ty phấằn cứng, phấằn mềằm trền toàn thềấ giới bằất đấằu chấấp nhận BGP và triển khai giao th ức này m ột cách r ộng rãi vào hạ tấằng, sản phẩm của mình. Một tờ khằn ằn đếằ cập đếến BGP với nội dung được do Yakov Rekhter veẽ lại Khi một cồng nghệ đã được triển khai ở quy mồ lớn như thềấ, nó seẫ khồng thể được thay thềấ nữa. Lý do? Việc thay thềấ seẫ phát sinh chi phí và có th ể làm gián đoạn việc kinh doanh của nhiềằu đơn vị và tổ chức, hi ển nhiền là họ khồng đồằng ý để chuyện này diềẫn ra. Thềấ nền cồng ngh ệ m ới h ơn c ứ xềấp chồằng lền cái cũ, dấằn dấằn hình thành nhiềằu l ớp chằấp vá ch ứ phấằn lõi thì khồng bao giờ thật sự thay đổi. Bạn cứ tưởng tượng tình c ảnh c ủa Internet hiện nay giồấng như việc bạn đang vận hành m ột ngấn hàng vồ cùng hiện đại nhưng phấằn nềằn thì vấẫn chỉ được làm bằằng r ơm rạ và bùn đấất mà thồi. Internet data flow Các sự cỗố nổi bật của BGP Sự chuyển hướng của lưu lượng Internet nềấu bị sai sót, dù là vồ tình hay cồấ ý, cũng có thể trở thành một vấấn đềằ lớn. Có leẫ sự cồấ n ổi tiềấng nhấất đó là vào tháng 2/2008 khi một nhà mạng ở Pakistan vồ tình h ướng m ọi l ưu lượng YouTube trền toàn thềấ giới vềằ máy chủ của mình. Kềất qu ả là YouTube sập trong 2 giờ đồằng hồằ, còn hệ thồấng c ủa nhà m ạng này cũng bị tề liệt. Nguồằn gồấc của sự việc đềấn từ một lệnh của chính ph ủ Pakistan yều cấằu các nhà mạng trong nước phải chặn YouTube sau khi diềẫn ra những cu ộc nổi loạn vì một đoạn video chềấ giữa nhà tiền tri Muhammad đ ược tung lền website này. Khi nhà mạng này đang cấấu hình thồng đi ệp BGP, h ọ đã vồ tình làm sai một vài thứ và dấẫn đềấn hậu qu ả nói trền. Nhưng mồấi nguy hiểm thật sự lại đềấn từ những vụ tấấn cồng một cách có chủ đích. Trong giai đoạn giữa tháng 2 đềấn tháng 5 nằm 2014, m ột hacker nào đó đã kiểm soát lưu lượng của hàng chục cồng ty Internet l ớn, trong đó có Amazon và Alibaba, nhằằm chiềấm lấấy các đồằng bitcoin đang đ ược giao dịch trền mạng. Đềấn khi vụ tấấn cồng đ ược phát hi ện, sồấ bitcoin tr ị giá 84.000$ đã bị lấấy trộm, và nguy hiểm h ơn, hacker này đã thay đ ổi thồng điệp BGP để hằấn ta khồng bị lộ danh tính. Chưa hềất, một ai đó đã khiềấn lưu lượng Internet c ủa quấn đ ội Myẫ b ị chuyển hướng đi sang Trung Quồấc trong vòng 18 phút vào tháng 4/2010. Đấy cũng là vụ án được nghiền cứu kĩ nhấất trong l ịch s ử phát tri ển c ủa BGP, nhưng các chuyền gia vấẫn còn tranh cãi liệu v ụ này có ph ải là cồấ ý hay khồng. Sự việc bằất đấằu khi nhà mạng China Telecom - m ột cồng ty thuộc sở hữu nhà nước tại Trung Quồấc - gửi đi một thồng đi ệp BGP đ ể thồng báo vềằ đường truyềằn trồấng của mình đềấn vài ch ục nghìn router trền thềấ giới, trong sồấ đó có 16.000 router ở Myẫ. Vì khồng có c ơ chềấ nào đ ể kiểm tra xem thồng điệp BGP đó xuấất phát t ừ đấu, các router trền toàn cấằu bằất đấằu gửi dữ liệu vềằ Bằấc Kinh. Trong sồấ những đ ơn v ị b ị ảnh h ưởng có lực lượng bộ binh, lính thủy đánh bộ và c ả khồng quấn Myẫ. Ít lấu sau thồng điệp BGP này đã đ ược sửa lại, nhưng nềấu v ụ vi ệc là cồấ ý thì chính phủ Trung Quồấc có thể đã tận dụng 16 phút nói trền đ ể phấn tích và tìm kiềấm các password cũng như dữ liệu nh ạy c ảm c ủa quấn đ ội Myẫ. Nguy hiểm hơn, Trung Quồấc có thể đã lưu các dữ liệu này l ại đ ể phấn tích dấằn dấằn sau đó. Tấất cả những sự cồấ này cho thấấy rằằng BGP có th ể b ị l ợi d ụng đ ể tấấn cồng một mục tiều nhấất định trền Internet. Khi thồng điệp BGP b ị cấấu hình sai, nó có thể khiềấn các router phấn vấn khồng biềất nền g ửi đi đấu và cuồấi cùng chọn đường gửi đi qua các router khồng đáng tin c ậy. "Khỗng ai mua đỗồ bảo mật của chúng tỗi bán c ả" Vì sao người ta đã biềất đềấn tác hại của BGP nhưng khồng thay thềấ nó hay đưa ra biện pháp nào tồất hơn? Các nhà phề bình cho rằằng ch ẳng ai thích b ị hack, nhưng khi khách hàng của mình bị hack thì các cồng ty l ại khồng có trách nhiệm pháp lý nào cả, điềằu này làm cho các cồng ty cung cấấp gi ải pháp mạng trở nền thiềấu trách nhiệm. Trong khi đó, việc tri ển khai các giải pháp bảo mật thì tồấn kém, tính nằng lại h ạn chềấ, hiệu nằng c ủa h ệ thồấng thì bị giảm đi. Những cồng ty thử kinh doanh các sản phẩm với tính nằng b ảo m ật nấng cao, chẳng hạn như tích hợp sằẫn cồng nghệ mã hóa, thì lại khồng nh ận được nhiềằu sự quan tấm từ phía người dùng. Họ thích những th ứ rẻ và dềẫ dùng hơn là những sản phẩm bảo mật, Robert Metcalfe - nhà sáng l ập 3Com - đã nhận xét như thềấ. "Chúng tồi đã thử làm ra chúng (s ản ph ẩm bảo mật), chúng tồi bán chúng, nhưng chẳng ai mua c ả". Sau vụ án nằm 2010 khiềấn dữ liệu của quấn đ ội Myẫ đi sang Trung Quồấc, B ộ an ninh quồấc gia Myẫ đã chi mạnh 8 triệu USD trong 4 nằm nhằằm phát tri ển và triển khai cồng nghệ BGP với tính bảo mật cao h ơn. B ước đấằu tiền trong nồẫ lực này là tạo ra một hệ thồấng mã hóa và định danh m ới đ ể bu ộc router nói lền mình là ai, ở quồấc gia nào, lo ại lưu l ượng nào seẫ th ường được xử lý. Nềấu hệ thồấng này được phát triển và áp dụng thành cồng, việc một cồng ty Pakistan chiềấm lấấy lưu lượng của YouTube seẫ khó xảy ra hơn. Các router seẫ dềẫ dàng bỏ qua những thồng điệp BGP b ị cấấu hình sai và hạn chềấ được các sự cồấ như đã đềằ c ập ở phấằn trền. Nhưng việc thuyềất phục các nhà mạng trền toàn cấằu cùng tham gia vào nồẫ lực này khồng phải là chuyện đơn giản. Hiện nhiềằu nhà m ạng đã dùng flter để hạn chềấ thồng điệp BGP sai. Giải pháp này ch ỉ x ử lý đ ược m ột phấằn nhỏ của vấấn đềằ nhưng nó dềẫ hơn nhiềằu so v ới vi ệc dùng các khóa mã hóa. Một sồấ nhà mạng khác thì đang cùng nhau phát tri ển BGPSEC v ới các tính nằng bảo mật nấng cao đ ể dấằn thay thềấ cho BGP.
- Xem thêm -

Tài liệu liên quan