VnReview
Hà Nội

Trung Quốc lợi dụng website chưa mã hóa để tấn công DDoS

Trang Gizmodo đưa tin, trong mấy tuần qua, Trung Quốc đã sử dụng cơ sở hạ tầng Internet trong nước để tấn công các đối thủ chính trị, bằng cách biến trình duyệt web của người dùng thành công cụ DDoS.

China Github

Các cuộc tấn công này đã vi phạm sâu sắc niềm tin cơ bản về việc Internet phải được hoạt động một cách tự nhiên, suôn sẻ, đồng thời tạo cảm giác lo lắng chưa từng có trong lịch sử về các cuộc tấn công từ chối dịch vụ. Trung Quốc đã khai thác việc nhiều trang web lớn vẫn dùng giao thức HTTP bảo mật kém hơn so với giao thức HTTPS, cho phép tường lửa Great Firewall chỉnh sửa các trang web đó. Ngoài ra, Trung Quốc còn lợi dụng việc các trình duyệt web sẵn sàng chạy mã JavaScript. Những thực tế này cho phép; Trung Quốc dàn xếp một số lượng lớn các hệ thống "zombie" cả trong và ngoài Trung Quốc, tạo ra hàng tỷ yêu cầu nhằm áp đảo các máy chủ của con mồi.

Cuộc tấn công của Trung Quốc nhắm tới nền tảng GitHub, và các URL sử dụng trong cuộc tấn công này đánh vào 2 kho chứa của GitHub là greatfile và cn-nytimes. Như một bài phân tích được các nhà nghiên cứu của hãng Netressec giải thích, cuộc tấn công đã chỉnh sửa Baidu Analytics JavaScript của trên công cụ tìm kiếm Baidu để cấy một bản copy mã độc. Phiên bản JavaScript mã độc đã hướng dẫn các trình duyệt tạo ra các yêu cầu thường xuyên vào hai URL của GitHub. Miễn là trình duyệt vẫn ở trên một trang web chứa Baidu Analytics, nó sẽ tiếp tục tạo ra lưu lượng. Điều quan trọng cần lưu ý là dù Trung Quốc sử dụng đặc quyền để truy cập vào các router chính nhằm thay đổi nguồn Baidu, song chính người dùng cuối trên khắp thế giới nếu đang chạy mã độc này đều bị tấn công vào trình duyệt.

GitHub tuyên bố đây là cuộc tấn công DDoS lớn nhất họ từng bị. Dù vậy, các dịch vụ của GitHub vẫn hoạt động online bình thường. Thực ra, do GitHub triển khai HTTPS rộng rãi, nên Trung Quốc rất khó kiểm duyệt các thiết bị đầu cuối cụ thể nếu không kiểm duyệt toàn bộ GitHub. Một trong những lợi thế mà HTTPS cung cấp là nó không chỉ mã hóa nội dung của trang web, mà còn cả những URL cụ thể của trang. Trừ phi bạn truy cập vào các phím riêng tư, hacker rất khó xác định chính xác URL nào trong trang đang bị tiếp cận trên một phiên duyệt web an toàn. Và nếu hacker không thể xác định yêu cầu nào trên trang web mà họ muốn chặn, họ buộc phải chặn toàn bộ trang nếu muốn ngăn người dùng tiếp cận đến một số trang.

Đây là một lợi thế lớn cho những người muốn tiếp cận thông tin một cách tự do trong một chế độ kiểm duyệt. Để giảm thiểu nguy cơ thông tin quan trọng bị kiểm duyệt, người sáng tạo nội dung có thể nhân bản dữ liệu của họ lên một phạm vi an toàn, các nhà kiểm duyệt có thể miễn cưỡng ngăn chặn nội dung này vì sợ hậu quả chính trị hay tài chính. Dường như đó chính xác là những gì đã xảy ra trong tình huống này. Trước khi cuộc tấn công vào GitHub bắt đầu vào ngày 26/3, GreatFire.org báo có một cuộc tấn công vào máy chủ của họ bắt đầu từ ngày 17/3. Và quả thực, việc ngăn chặn GitHub sẽ có tác động xấu đến các lập trình viên Trung Quốc và do đó ảnh hưởng đến nền kinh tế Trung Quốc. Trước đây, Trung Quốc từng chặn trang web này vào tháng 1/2013, song cựu giám đốc Google Trung Quốc Kai-Fu Lee đã đăng trên trang tiểu blog Sina Weibo rằng đây là hành động "vô lý", và nó "sẽ chỉ làm nền công nghiệp lập trình của Trung Quốc bị tách khỏi thế giới, khiến Trung Quốc mất tính cạnh tranh và tầm nhìn". Lần này, Trung Quốc đã thực hiện một bước xa hơn, sử dụng các doanh nghiệp internet Trung Quốc làm vũ khí để kiểm duyệt những nội dung quan trọng.

Trung Quốc đã cấy payload (là đoạn code sẽ chạy trên hệ thống máy tính từ xa, là 1 phần virus máy tính để thực thi mã độc) giữa các máy chủ của Baidu và cấy payload khi lưu lượng internet thoát ra khỏi Trung Quốc. Điều này chỉ có thể xảy ra do tập lệnh Baidu Analytics nằm trên các trang web không sử dụng mã hóa theo mặc định. Nếu không có HTTPS, bất cứ ai ngồi giữa máy chủ web và người dùng cuối đều có thể chỉnh sửa nội dung tùy ý. Đây là một phần lý do chúng ta cần triển khai 100% HTTPS cho toàn bộ web. Đồng thời, điều quan trọng cần lưu ý là HTTPS không hoàn toàn chóng lại 100% các hoạt động mã độc. Chính phủ Trung Quốc có thể dễ dàng dựa vào Baidu để cung cấp các khóa mã hóa của họ cho các nhà kiểm duyệt thực hiện cuộc tấn công. Ngoài ra, họ có thể buộc Baidu gửi mã độc hại trực tiếp từ máy chủ. Khi các chính phủ có thể buộc các dịch vụ web cung cấp khóa mã hóa, một số lượng lớn thông tin về hoạt động của người sử dụng cuối sẽ bị tiết lộ.

Trung Quốc không phải là nước duy nhất có khả năng kỹ thuật làm quá tải lưu lượng. Hầu hết các chính phủ đều có thể áp dụng kỹ thuật này, nếu họ lưu trữ JavaScript trong lãnh thổ của họ và có công cụ để chỉnh sửa lưu lượng internet khi ra khỏi đất nước. Điều này rất phổ biến với các website có thư viện tiện ích và mạng lưới quảng cáo được lưu trữ trên cộng đồng máy chủ toàn cầu. Bất kỳ ai trong các nguồn bên thứ ba cũng có thể sửa đổi nội dung trang, tiết lộ thói quen duyệt web, hoặc thực hiện cuộc tấn công như với GitHub.

Giải pháp cho vấn đề này gồm hai phần: kỹ thuật và chính trị. Là một nhà bảo trì trang web, bạn có thể lưu trữ các thư viện tiện ích ở trong nước. Bằng cách hy sinh một nguồn tài nguyên từ xa, trang web của bạn sẽ không dính mã độc JavaScript do người dùng thực hiện. Quản trị hệ thống có thể triển khai giao thức HTTPS, khiến những kẻ cấy mã độc gặp nhiều khó khăn hơn khi muốn điều chỉnh lưu lượng. Hoặc mọi người có thể hỗ trợ các sáng kiến như Manila Principles, tìm cách thiết lập khuôn khổ pháp lý rõ ràng quanh chuyện hạn chế nội dung. Chỉ có sự kết hợp của các chính sách lành mạnh và các biện pháp kỹ thuật mới có thể hạn chế quyền lực của các chính phủ trong việc chiếm quyền điều khiển trình duyệt và sử dụng chúng để kiểm duyệt Internet trên toàn thế giới.

Hương Mai

Theo Gizmodo

Chủ đề khác