Internet là thứ mà chúng ta sử dụng hằng ngày hằng giờ, rất nhiều cơ quan, doanh nghiệp, chính phủ đang vận hành dựa trên mạng lưới này. Nhưng đáng buồn thay, Internet lại không an toàn ngay từ trong cốt lõi của mình. Để tìm hiểu lý do vì sao một hệ thống mạng toàn cầu với hơn 3 tỷ người dùng lại gặp vấn đề lớn như thế, mời các bạn theo bài viết bên dưới. Có tất cả 3 phần: Phần đầu nói việc Internet được tạo ra mà không có đầy đủ các tính năng an toàn. Phần thứ hai kể về một giao thức được viết tạm trên 3 tờ khăn ăn nhưng đến giờ vẫn đóng vai trò cực kì quan trọng để Internet chạy được. Phần cuối cùng đề cập đến những hiểm họa từ một hệ thống mạng thiếu an toàn đã được một nhóm hacker 7 người cảnh báo trước, nhưng đáng tiếc là lời cảnh báo đó đã bị bỏ qua. Bài hơi dài, nhưng đảm bảo đọc xong các bạn sẽ biết thêm được rất nhiều thông tin hữu ích, cũng như hiểu hơn về cách mà Internet hoạt động.
Phần 1: Internet không được xây dựng để bảo mật trước chính người dùng của mình
- Internet được phát triển từ một hệ thống mạng dùng để kết nối các đại học, viện nghiên cứu với nhau, cũng như để giúp Mỹ có hạ tầng liên lạc trong bối cảnh chiến tranh hạt nhân
- Người dùng ban đầu chỉ là những kĩ sư, nhà khoa học, những người không có mục đích xấu trong việc lạm dụng mạng
- Lúc đó nguy cơ tấn công qua mạng chưa rõ ràng
- Chính vì thế người ta không nghĩ nhiều về việc bảo mật cho Internet, đặc biệt là những nguy cơ đến từ chính những người dùng Internet chứ không phải tác nhân bên ngoài.
Phần 2: Một giải pháp viết vội trên 3 tờ khăn ăn vẫn còn được dùng đến tận ngày nay
- Giải pháp đó mang tên BGP - cách thức để các router biết được cần phải gửi dữ liệu theo đường nào để đến được đích
- BGP do 2 kĩ sư phát minh ra trong giờ ăn trưa, thế nên họ dùng 3 tờ khăn ăn để phác họa ý tưởng của mình
- BGP đáng ra chỉ là một giải pháp ngắn hạn, nhưng nó vẫn còn được dùng đến tận bây giờ
- BGP bị cấu hình sai đã dẫn đến một số sự cố đáng tiếc: lưu lượng YouTube bị hướng về Pakistan năm 2008, dữ liệu của quân đội Mỹ đi qua Trung Quốc trong vòng 16 phút hồi năm 2010, thông tin hạt nhân của Anh đi qua Ukraine
- BGP đang dần được thay thế và tích hợp khả năng mã hóa nhưng tốc độ áp dụng của các nhà mạng vẫn còn rất chậm chạp
Phần 3: Hiểm họa được báo trước - và bị làm ngơ
- Một nhóm hacker tên L0pht từng cảnh báo quốc hội Mỹ về sự mất an toàn của Internet
- Nhưng không có hành động cụ thể nào được đưa ra
- L0pht thường họp nhau trong một căn gác xếp ở Boston, nơi được xem là thiên đường của những gã mê công nghệ
- L0pht đã phát hiện ra nhiều lỗ hổng bảo mật nghiêm trọng trong các phần mềm được dùng phổ biến, nhất là các phần mềm về Internet
Phần 1: Internet không được xây dựng để bảo mật trước người dùng của chính mình - những vấn đề không thể được khắc phục
Sự nguy hiểm đến từ bên trong
David D. Clark, một nhà khoa học làm việc cho Đại học MIT, nhớ chính xác lần đầu tiên mà ông nhìn thấy mặt tối của Internet. Lúc đó ông đang ngồi trong một cuộc họp với các kĩ sư mạng vào tháng 11/1988, thế rồi họ vô tình nghe được tin tức về một con sâu máy tính nguy hiểm đang lây nhanh - cũng là phần mềm mã độc đầu tiên lan truyền rộng rãi trên thế giới. Ngay lập tức, một trong những kĩ sư đang ngồi ở đó, đứng dậy và nói: "Chết tiệt, tôi nghĩ tôi đã sửa lỗi này rồi chứ".
Cuộc tấn công của con sâu máy tính nói trên đã làm sập hàng nghìn máy tính và gây thiệt hại nhiều tỉ USD, và rõ ràng đây không chỉ là lỗi của một người duy nhất. Con sâu này đã tận dụng tính mở, nhanh và thiếu kiểm soát của
Internet để thực thi một dòng mã độc trên hệ thống vốn được thiết kế chỉ để truyền tải các tập tin hay email vô hại.
David D. Clark, chụp tại phòng thí nghiệm của ông ở Đại học MIT, nói rằng các nhà sáng lập ra Internet có nghĩ đến bảo mật, nhưng chỉ phòng tránh các tác nhân từ bên ngoài
Nhiều thập kỉ sau, với cả trăm tỉ USD được chi cho lĩnh vực bảo mật máy tính, những nguy cơ tương tự vẫn không hề giảm đi mà thậm chí ngày càng trở nên nguy hiểm hơn. Lúc trước hacker chỉ tấn công các máy tính cá nhân, giờ thì họ còn nhắm đến các ngân hàng, chuỗi bán lẻ, cơ quan nhà nước, studio Hollywood, thậm chí cả các đập nước, nhà máy điện hạt nhân và cả máy bay.
Và sự nguy hiểm nói trên đã gây ra một cú sốc với những người góp phần tạo ra Internet. Ngay cả những kĩ sư đã dành nhiều năm để thiết kế nên mạng này cũng không ngờ rằng chỉ vài chục năm sau, Internet đã trở nên cực kì phổ biến và được xài rộng khắp thế giới, đi kèm theo đó cũng là những mối hiểm họa khủng khiếp.
Clark nhớ lại: "Không phải là chúng tôi không nghĩ về bảo mật. Chúng tôi biết rằng có những người không đáng tin cậy ở ngoài kia, và chúng tôi đã nghĩ rằng chúng tôi có thể loại trừ bọn họ (khỏi Internet)." Nói cách khác, các kĩ sư đã nghĩ về tính bảo mật cho hệ thống mạng của mình, họ tìm được cách loại bỏ những kẻ muốn xâm nhập trái phép hay các mối nguy về mặt quân sự, nhưng họ không ngờ rằng người dùng Internet lại có ngày sử dụng mạng lưới này để tấn công lẫn nhau. "Chúng tôi không tập trung vào việc bạn sẽ làm hỏng hệ thống từ bên trong", Vinton G. Cerf, một trong những người đã giúp xây dựng nên Internet và cũng là cựu phó chủ tịch Google, chia sẻ.
Vinton G. Cerf, giờ đang là một quan chức của Google cho biết ông ước gì ông và nhà khoa học máy tính Robert E. Kahn đã có thể tích hợp khả năng mã hóa vào giao thức TCP/IP. Như vậy thì Internet có thể đã trở nên an toàn hơn
Dù gì đi nữa thì vụ tấn công của sâu "Morris Worm" hồi năm 1988 - được đặt theo tên của Robert T. Morris, một sinh viên tốt nghiệp trường Cornell University và cũng là tác giả của con sâu này - đã trở thành một hồi chuông cảnh tỉnh cho những kiến trúc sư đã tham gia xây dựng Internet. Nó cho thấy Internet đã phát triển vượt ra khỏi thế giới lý tưởng của các kĩ sư và nhà khoa học vốn chỉ có ý định sử dụng mạng lưới này cho mục đích tốt.
Đáng tiếc, hồi chuông này xuất hiện quá trễ. Thế hệ "sáng lập" ra Internet đã không còn chịu trách nhiệm về sản phẩm của mình. Và thật sự, lúc đó không còn ai chịu trách nhiệm về Internet cả.
Sinh ra để dùng trong thảm họa hạt nhân
Cha đẻ của Internet là nhà khoa học Donald W. Davies và kĩ sư Paul Baran - người muốn chuẩn bị sẵn sàng cho tổ quốc của mình trong tình cảnh chiến tranh hạt nhân. Trong một tài liệu năm 1960 khi ông đang làm cho công ty Rand Corp, Baran nói về ý tưởng tạo ra một hệ thống mạng đủ vững chắc để có thể giúp những người sống sót liên lạc và giúp đỡ nhau khi thảm họa hạt nhân xảy ra, từ đó giảm thiểu thiệt hại cho đất nước, xây dựng lại nền kinh tế cũng như triển khai một kế hoặc đánh trả.
Còn Davies thì có một tầm nhìn "hòa bình" hơn. Máy tính trong thời kỳ đó thường rất to và cần phải phục vụ nhiều người dùng cùng lúc. Để đăng nhập vào những cỗ máy này cần phải có một đường điện thoại được mở liên tục ngay cả khi việc truyền tín hiệu không phải lúc nào cũng diễn ra. Thế rồi đến giữa những năm 1960, ông bắt đầu đề xuất về một hệ thống có thể cắt dữ liệu thành các mảnh nhỏ để truyền đi trong nhiều lần, như vậy thì nhiều người có thể cùng chia sẻ một đường dây điện thoại trong khi họ đăng nhập vào máy tính. Davies thậm chí còn thiết lập một mạng nhỏ như vậy để cho thấy tính khả thi của ý tưởng.
Cả hai ý tưởng nói trên, một cho chiến tranh và một cho hòa bình, đã hòa hợp lại trong suốt chặng đường phát triển của Internet.
Nhưng động lực phát triển quan trọng nhất của Internet lại đến từ cơ quan nghiên cứu khoa học của Bộ quốc phòng Mỹ, còn gọi là ARPA hay DARPA. Cơ quan này được thành lập vào năm 1958 sau khi chính quyền Liên bang Xô Viết cho phóng vệ tinh Sputnik lên không gian, cũng là lúc Mỹ lo lắng bị bỏ lại phía sau xét về mặt nghiên cứu khoa học.
Khoảng một thập kỉ sau đó, ARPA bắt đầu phát triển một mạng máy tính mới mang tên ARPANET. Họ bắt đầu tuyển dụng các nhà khoa học và bắt tay với những trường đại học, viện nghiên cứu hàng đầu nước Mỹ. Chính những người này đã thành lập nên thế hệ tạo dựng Internet.
Khi mạng ARPANET mở kết nối đầu tiên năm 1969 giữa 3 đại học ở bang California và 1 ở bang Utah, mục tiêu của họ khá đơn giản: đây chỉ là một dự án nghiên cứu nhằm chuyển file cho nhau cũng như cho phép truy cập các máy tính từ xa. Lúc này, người ta chỉ nghĩ đến việc làm cho ARPANET hoạt động được, khi đó cũng không có nhiều hiểm họa có thể xảy ra, và trong mạng cũng không có nhiều thứ giá trị đến nỗi phải đánh cắp. Người ta không đột nhập vào ngân hàng bởi vì nơi đây không bảo mật. Người ta cướp ngân hàng tại vì đây là nơi chứa tiền. Các nhà khoa học nghĩ rằng họ chỉ đang xây dựng một lớp học mà thôi, nhưng hóa ra nó đã trở thành một "ngân hàng thông tin".
Nhà khoa học Leonard Kleinrock đứng cạnh một chiếc máy tính đặc biệt với tác dụng gần giống như router ngày nay. Nó được dùng để gửi đi thông điệp đầu tiên trên Internet vào năm 1969 từ phòng thí nghiệm của Kleinrock
Trong những năm sau đó, ARPANET bắt đầu kết nối 15 địa điểm trên khắp nước Mỹ. Tuy nhiên, lúc đó người ta vẫn chưa rõ về tác dụng của mạng lưới này ngoài việc gửi file, còn việc truy cập máy tính từ xa lúc đó vẫn còn khá vất vả. Đến năm 1972, khi email ra đời thì người ta mới bắt đầu cảm thấy ARPANET hấp dẫn. Sau đó 1 năm, 75% lưu lượng của mạng này được sử dụng cho email.
Tháng 10/1972, nhóm ARPA lần đầu tiên làm ra một màn demo cho mạng của mình trước công chúng, cũng như các ứng dụng thực tế của nó. Màn trình diễn này khá thành công, ngoại trừ việc hệ thống bị sập trong một khoảnh khắc ngắn. Nhưng chỉ nhiêu đó cũng đã đủ làm cho Robert Metcalfe - người đồng sáng tạo ra công nghệ Ethernet và về sau thành lập công ty mạng 3Com - cảm thấy khó chịu. "Họ (những người demo) cảm thấy vui vẻ. Họ cười cười nói nói. Họ không nhận ra rằng điều này nguy hiểm như thế nào... Vụ sập hệ thống cho thấy rằng đây chỉ là một món đồ chơi".
Lo ngại từ NSA
ARPANET hoạt động bằng cách cắt nhỏ một thông điệp, một tập tin nào đó thành nhiều mảnh, sau đó gửi chúng đi rồi rồi đầu bên kia sẽ ghép lại theo đúng thứ tự và tạo thành thông điệp hoàn chỉnh. Kĩ thuật này gọi là "packet switching", và một trong những khâu quan trọng là phải biết được các mảnh nào đã đến đích, mảnh nào bị thất lạc để gửi lại. Packet switching cho thấy tính chính xác rất cao, nhưng độc đáo bởi vì nó có thể hoạt động mà không cần có ai đứng ra kiểm soát hay điều khiển. Ngay cả ngày nay cũng không ai thật sự kiểm soát Internet, kể cả Bộ quốc phòng Mỹ vốn là đơn vị bỏ tiền của ra để đầu tư.
Trong thời gian đầu, mạng hoạt động khá ổn, nhưng khi mạng lưới này mở rộng ra, người ta cần phải kết nối nhiều hệ thống mạng nhỏ hơn vào chung với ARPANET. Đó có thể là đường truyền từ vệ tinh, đường truyền bằng sóng radio để đi khoảng cách xa, chứ không chỉ là các đường truyền mặt đất nữa. Thế rồi một giao thức mới được tạo ra với tên gọi TCP/IP. Nó cho phép bất kì mạng máy tính nào trên thế giới có thể kết nối trực tiếp với nhau, không quan trọng phần cứng, phần mềm hay ngôn ngữ máy tính bên dưới là gì.
Nhưng việc packet switching và TCI/IP ra đời cũng làm dấy lên những lo ngại về thông tin. Người ta có thể dễ dàng đánh cắp các gói dữ liệu trong lúc truyền tải, và việc này có thể được ngăn chặn bằng cách tích hợp các kĩ thuật mã hóa. Tuy nhiên, việc triển khai mã hóa và giải mã không phải là giải pháp khả thi ở thời điểm bấy giờ bởi nó cần đến năng lực xử lý lớn trong khi máy tính thời đó không đủ mạnh. Ngoài ra, các đơn vị đã dùng mạng cũng cần phải mua sắm phần cứng mới, một chuyện mà họ không sẵn lòng thực hiện do chi phí cao. Cuối cùng, việc phân phối các khóa để giải mã cũng là một vấn đề nan giải cho đến tận thời buổi hiện đại.
Song song đó còn có những lý do chính trị: Cơ quan an ninh quốc gia Mỹ (NSA) không muốn các gói dữ liệu được mã hóa bởi điều đó sẽ khiến họ không thể kiểm soát nội dung được gửi đi, từ đó gây ảnh hưởng đến an ninh quốc gia. Vào những năm 70 thì NSA vẫn có quyền yêu cầu một nhà nghiên cứu không được đăng tải một tài liệu khoa học nào đó nếu nó ảnh hưởng đến an ninh Mỹ.
Sau những năm 70, Cerf và Kahn không còn tiếp tục nỗ lực đưa mã hóa vào TCP/IP nữa. Thay vào đó, việc mã hóa và giải mã giờ sẽ được thực hiện bằng phần cứng hoặc phần mềm ở đầu gửi và đầu nhận. Vấn đề là không phải ai cũng có khả năng mã hóa dữ liệu trước khi gửi đi, một số người thì không chịu mã hóa vì sự phức tạp trong cách vận hành, và đây cũng chính là điểm yếu để các hacker có thể khai thác và tấn công.
Internet ra đời
Vào ngày 1/1/1983, ngày "Flag Day", đánh dấu sự kiện khởi động lại hệ thống mạng và cũng là ngày mà việc "quay đầu trở lại" gần như là không thể. Dần dần, mọi máy tính trên ARPANET và các mạng con đều sử dụng TCP/IP để liên lạc, các mạng nhỏ trên toàn thế giới dần dần dần liên kết lại thành một mạng lớn hơn. Và thế là Internet ra đời.
Lúc đó vẫn còn những hạn chế về việc tiếp cận Internet do máy tính cá nhân còn đắt, đường truyền cũng không nhiều. Chủ yếu những người "online" là những người làm cho các trường đại học, cơ quan chính phủ cũng như các công ty công nghệ. Về sau các rào cản này được gỡ bỏ, tạo ra một cộng đồng lớn hơn bất kì quốc gia nào trên thế giới nhưng lại không có một ai đứng ra kiểm soát. Riêng quân đội Mỹ, họ đã triển khai công nghệ mã hóa cho các hệ thống mạng của mình, nhưng còn các mạng dân dụng thì mất quá nhiều thời gian để đưa mã hóa vào thực tế. Ngay cả đến bây giờ quá trình đó vẫn chưa hoàn tất, kể cả sau khi vụ lùm xùm về việc nghe lén/theo dõi của NSA bị công khai vào năm 2013.
Cerf cho biết ông ước gì ông và Kahn đã có thể tích hợp mã hóa vào TCP/IP ngay từ những ngày đầu tiên. "Chúng ta đáng lẽ đã có thể sử dụng cơ chế mã hóa một cách phổ biến hơn trên Internet. Tôi có thể tưởng tượng ra viễn cảnh này một cách dễ dàng". Mã hóa không loại bỏ hoàn toàn các mối nguy hiểm, nhưng ít nhất nó sẽ hạn chế được các mối nguy hiểm trên Internet. Tuy nhiên thật đáng tiếc, điều đó đã không xảy ra, và mọi chuyện sẽ không bao giờ có thể quay trở lại mốc ban đầu.
Nhưng nếu có cơ chế mã hóa thì TCI/IP sẽ rất khó để triển khai vào những năm 80, lúc đó liệu Internet có trở nên phổ biến như bây giờ hay không hay lại bị thay thế bởi một mạng lưới nào đó dễ dùng hơn nhưng cũng lại kém an toàn? Đây là một vấn đề vẫn còn được tranh cãi đến tận bây giờ.
Phần 2: Một giải pháp được viết vội trên 3 tờ khăn ăn vẫn đang là trụ cột của Internet đến ngày nay
Ba tờ khăn ăn
Một thời gian sau khi Internet bắt đầu được triển khai rộng rãi, mạng này bắt đầu phát triển như vũ bảo. Và khi Internet càng phát triển thì người ta càng tiến gần hơn đến giới hạn toán học của một trong những giao thức cơ bản nhất giúp hệ thống mạng này vận hành. Chính vì thế, trong một bữa trưa vào năm 1989, có hai kĩ sư mạng bắt đầu phác thảo ý tưởng của mình trên một tờ khăn ăn gần đó. Rồi hai tờ. Rồi ba tờ. Ít ai có thể ngờ rằng thứ giao thức được viết trên 3 tờ giấy này sẽ sớm làm một cuộc cách mạng với Internet, và nó vẫn còn đang được sử dụng cho đến tận ngày hôm nay.
Giao thức này có cái tên chính thức là Border Gateway Protocol - BGP, còn tên đùa vui là "giao thức 3 tờ khăn ăn" theo những kĩ sư đã phát minh ra đó. Ở mức cơ bản nhất, BGP giúp router biết được cách gửi các dòng dữ liệu xuyên qua nhiều nút mạng chằn chịt trong thế giới Internet, hay nói cách khác là giúp router chọn ra một con đường đi đúng đắn trong bối cảnh Internet không có tấm bản đồ nào cụ thể, cũng chẳng có ai đứng giữa để "phân luồng giao thông". Một thông điệp (BGP message) sẽ được gửi liên tục giữa các nút mạng (hay các router) để nói cho nút mạng khác biết rằng đường truyền nào còn trống để mà truyền dữ liệu cho phù hợp, tránh chui vào các đường đang bị "kẹt xe".
Nhưng BGP cũng là nguy cơ khiến dữ liệu có thể bị đánh cắp trong quá trình truyền tải bởi bất kì cá nhân hay tổ chức nào, miễn là họ có đủ kĩ năng và quyền truy cập. Lý do mà BGP vẫn còn ẩn chứa sự thiếu an toàn như thế cũng là vì nó được xây dựng với niềm tin vào người dùng, rằng người dùng sẽ không làm hại lẫn nhau. Điều này đúng với nhiều chục năm trước, nhưng ở thế giới hiện đại thì không.
Ngoài ra, BGP còn bị một vấn đề là đôi khi nó điều hướng dữ liệu đi theo những cách khá lạ lùng. Đôi khi dữ liệu gửi giữa hai máy tính ở Mỹ lại phải đi vòng sang tận Ireland trước khi quay về, một lần khác thì dữ liệu về hạt nhân của Anh lại đi đâu đó qua Ukraina trước khi đến được đích. Những sự cố như thế này sẽ được nói rõ hơn ở phần bên dưới.
Vì sao lại là BGP?
Các cảnh báo về sự thiếu an toàn của BGP thực chất đã có từng những ngày đầu khi giao thức này ra đời. Yakov Rekhter, một trong những người đồng sáng tạo ra BGP, cho biết rằng bảo mật không phải là thứ mà người ta quan tâm vào năm 1989. Lúc đó, người ta chỉ quan tâm là làm sao để mọi thứ hoạt động được, người ta cũng không nghĩ đến việc phát tán những thứ độc hại trên Internet. Tóm lại, "bảo mật không phải là vấn đề lớn".
Yakov Rekhter
Vấn đề lớn khi đó nhãn tiền hơn, rõ ràng hơn rất nhiều: các kĩ sư cần nghĩ một giải pháp mới để việc truyền tải dữ liệu trên Internet được tiếp tục, bằng không khi giao thức cũ (EGP, tiền nhiệm của BGP) chạm đến giới hạn toán học thì mạng sẽ sập hoàn toàn. Ngoài ra, hệ thống mạng ARPANET cũng đang chuẩn bị đóng cửa sau hơn 2 thập kỷ hoạt động. Chưa hết, người ta còn phải giải quyết tình trạng looping, tức là dữ liệu được gửi từ router này đến router khác, tiêu hao tài nguyên máy tính nhưng không bao giờ đến được đích cuốc cùng. Đây mới là những thứ làm họ lo lắng, không phải là những thứ bảo mật xa vời.
Lúc đó, Yakov Rekhter đang làm việc cho IBM, còn một đồng sáng tạo khác là Kirk Lougheed thì đang làm cho Cisco. "Tất cả chúng tôi đều cần phải bán router. Chúng tôi có động lực kinh tế rất mạnh để đảm bảo rằng mạng phải hoạt động. Khi Yakov và tôi đưa ra giải pháp của mình và có vẻ như nó chạy được, người ta chấp nhận nó bởi họ không cần thay đổi gì nhiều", Lougheed nhớ lại.
Ngoài BGP cũng có một số nỗ lực khác nhằm cải thiện khả năng truyền tải của Internet. Tuy nhiên, BGP giành chiến thắng bởi nó đơn giản, giải quyết ngay vấn đề hiện tại và đủ khả năng để giúp dữ liệu tiếp tục chảy một cách trơn tru ngay cả khi Internet phát triển lên gấp nhiều lần. Thế nên các nhà mạng cũng như những công ty phần cứng, phần mềm trên toàn thế giới bắt đầu chấp nhận BGP và triển khai giao thức này một cách rộng rãi vào hạ tầng, sản phẩm của mình.
Một tờ khăn ăn đề cập đến BGP với nội dung được do Yakov Rekhter vẽ lại
Khi một công nghệ đã được triển khai ở quy mô lớn như thế, nó sẽ không thể được thay thế nữa. Lý do? Việc thay thế sẽ phát sinh chi phí và có thể làm giám đoạn việc kinh doanh của nhiều đơn vị và tổ chức, hiển nhiên là họ không đồng ý để chuyện này diễn ra. Thế nên công nghệ mới hơn cứ xếp chồng lên cái cũ, dần dần hình thành nhiều lớp chắp vá chứ phần lõi thì không bao giờ thật sự thay đổi. Bạn cứ tưởng tượng tình cảnh của Internet hiện nay giống như việc bạn đang vận hành một ngân hàng vô cùng hiện đại nhưng phần nền thì vẫn chỉ được làm bằng rơm rạ và bùn đất mà thôi.
Các sự cố nổi bật của BGP
Sự chuyển hướng của lưu lượng Internet nếu bị sai sót, dù là vô tình hay cố ý, cũng có thể trở thành một vấn đề lớn. Có lẽ sự cố nổi tiếng nhất đó là vào tháng 2/2008 khi một nhà mạng ở Pakistan vô tình hướng mọi lưu lượng YouTube trên toàn thế giới về máy chủ của mình. Kết quả là YouTube sập trong 2 giờ đồng hồ, còn hệ thống của nhà mạng này cũng bị tê liệt.
Nguồn gốc của sự việc đến từ một lệnh của chính phủ Pakistan yêu cầu các nhà mạng trong nước phải chặn YouTube sau khi diễn ra những cuộc nổi loạn vì một đoạn video chế giữa nhà tiên tri Muhammad được tung lên website này. Khi nhà mạng này đang cấu hình thông điệp BGP, họ đã vô tình làm sai một vài thứ và dẫn đến hậu quả nói trên.
Nhưng mối nguy hiểm thật sự lại đến từ những vụ tấn công một cách có chủ đích. Trong giai đoạn giữa tháng 2 đến tháng 5 năm 2014, một hacker nào đó đã kiểm soát lưu lượng của hàng chục công ty Internet lớn, trong đó có Amazon và Alibaba, nhằm chiếm lấy các đồng bitcoin đang được giao dịch trên mạng. Đến khi vụ tấn công được phát hiện, số bitcoin trị giá 84.000$ đã bị lấy trộm, và nguy hiểm hơn, hacker này đã thay đổi thông điệp BGP để hắn ta không bị lộ danh tính.
Chưa hết, một ai đó đã khiến lưu lượng Internet của quân đội Mỹ bị chuyển hướng đi sang Trung Quốc trong vòng 18 phút vào tháng 4/2010. Đây cũng là vụ án được nghiên cứu kĩ nhất trong lịch sử phát triển của BGP, nhưng các chuyên gia vẫn còn tranh cãi liệu vụ này có phải là cố ý hay không. Sự việc bắt đầu khi nhà mạng China Telecom - một công ty thuộc sở hữu nhà nước tại Trung Quốc - gửi đi một thông điệp BGP để thông báo về đường truyền trống của mình đến vài chục nghìn router trên thế giới, trong số đó có 16.000 router ở Mỹ. Vì không có chơ chế nào để kiểm tra xem thông điệp BGP đó xuất phát từ đâu, các router trên toàn cầu bắt đầu gửi dữ liệu về Bắc Kinh. Trong số những đơn vị bị ảnh hưởng có lực lượng bộ binh, lính thủy đánh bộ và cả không quân Mỹ.
Ít lâu sau thông điệp BGP này đã được sửa lại, nhưng nếu vụ việc là cố ý thì chính phủ Trung Quốc có thể đã tận dụng 16 phút nói trên để phân tích và tìm kiếm các password cũng như dữ liệu nhạy cảm của quân đội Mỹ. Nguy hiểm hơn, Trung Quốc có thể đã lưu các dữ liệu này lại để phân tích dần dần sau đó.
Tất cả những sự cố này cho thấy rằng BGP có thể bị lợi dụng để tấn công một mục tiêu nhất định trên Internet. Khi thông điệp BGP bị cấu hình sai, nó có thể khiến các router phân vân không biết nên gửi đi đâu và cuối cùng chọn đường gửi đi qua các router không đáng tin cậy.
"Không ai mua đồ bảo mật của chúng tôi bán cả"
Vì sao người ta đã biết đến tác hại của BGP nhưng không thay thế nó hay đưa ra biện pháp nào tốt hơn? Các nhà phê bình cho rằng chẳng ai thích bị hack, nhưng khi khách hàng của mình bị hack thì các công ty lại không có trách nhiệm pháp lý nào cả, điều này làm cho các công ty cung cấp giải pháp mạng trở nên thiếu trách nhiệm. Trong khi đó, việc triển khai các giải pháp bảo mật thì tốn kém, tính năng lại hạn chế, hiệu năng của hệ thống thì bị giảm đi.
Những công ty thử kinh doanh các sản phẩm với tính năng bảo mật nâng cao, chẳng hạn như tích hợp sẵn công nghệ mã hóa, thì lại không nhận được nhiều sự quan tâm từ phía người dùng. Họ thích những thứ rẻ và dễ dùng hơn là những sản phẩm bảo mật, Robert Metcalfe - nhà sáng lập 3Com - đã nhận xét như thế. "Chúng tôi đã thử làm ra chúng (sản phẩm bảo mật), chúng tôi bán chúng, nhưng chẳng ai mua cả".
Sau vụ án năm 2010 khiến dữ liệu của quân đội Mỹ đi sang Trung Quốc, Bộ an ninh quốc gia Mỹ đã chi mạnh 8 triệu USD trong 4 năm nhằm phát triển và triển khai công nghệ BGP với tính bảo mật cao hơn. Bước đầu tiên trong nỗ lực này là tạo ra một hệ thống mã hóa và định danh mới để buộc router nói lên mình là ai, ở quốc gia nào, loại lưu lượng nào sẽ thường được xử lý. Nếu hệ thống này được phát triển và áp dụng thành công, việc một công ty Pakistan chiếm lấy lưu lượng của YouTube sẽ khó xảy ra hơn. Các router sẽ dễ dàng bỏ qua những thông điệp BGP bị cấu hình sai và hạn chế được các sự cố như đã đề cập ở phần trên.
Nhưng việc thuyết phục các nhà mạng trên toàn cầu cùng tham gia vào nỗ lực này không phải là chuyện đơn giản. Hiện nhiều nhà mạng hiện đã dùng filter để hạn chế thông điệp BGP sai. Giải pháp này chỉ xử lý được một phần nhỏ của vấn đề nhưng nó dễ hơn nhiều so với việc dùng các khóa mã hóa. Một số nhà mạng khác thì đang cùng nhau phát triển BGPSEC với các tính năng bảo mật nâng cao để dần thay thế cho BGP.
Cũng có những nhà mạng bắt đầu áp dụng khóa mã hóa cho BGP, trong đó khu vực Trung Đông và Châu Âu có 9% các nhà mạng đã và đang triển khai tính năng này. Ở Mỹ Latin thì có 24%, Châu Phi và Bắc Mỹ thì chỉ 1%. Trên toàn cầu, tính luôn cả Châu Á, thì chỉ mới có 5% nhà mạng có dùng khóa mã hóa cho BGP. Tất nhiên, mục tiêu là đạt đến con số 100%, nhưng không ai biết được mất bao lâu thì giấc mơ này sẽ thành hiện thực.
Rekhter, một trong 2 cha đẻ của BGP, nói: "Sẽ có chi phí liên quan đến việc bảo mật. Và câu hỏi là ai sẽ trả những chi phí đó? Trừ khi các nhà mạng thấy rằng lợi ích sẽ vượt trội hơn so với chi phí, bằng không họ sẽ không bao giờ chịu triển khai những giải pháp bảo mật thật sự". Còn Lougheed thì cho hay: "Nếu việc thiếu đi tính bảo mật sẽ gây ra những tác hại lớn cho các doanh nghiệp thì nhiều người sẽ quan tâm đến việc khắc phục vấn đề này. Còn bây giờ, người ta chỉ đang vá lỗi và cố gắng đi trước những kẻ xấu một bước".
Phần 3: Hiểm họa được báo trước - và bị làm ngơ
Tháng 5/1998, một "băng" hacker bao gồm 7 người ngồi trước Quốc hội Mỹ để cảnh báo về sự thiếu an toàn của Internet. Những người này không phải là những chuyên gia phân tích hay các học giả bác học đến từ những viên nghiên cứu nổi tiếng, họ chỉ là những hacker xuất hiện từ hư vô để mang đến một thông điệp vô cùng đáng sợ.
Các hacker đó bao gồm Brian Oblivion, Tan, Kingpin, Mudge, Weld Pond, Space Rogue, Stefan von Neumann, tất cả đều là nickname chứ không phải tên thật. Bọn họ đã cùng nhau hoạt động trong một nhóm gọi là L0pht.
Họ nói với các nghị sĩ Mỹ rằng chiếc máy tính của các ông bà không an toàn. Không phải vì phần mềm, không phải vì phần cứng, cũng không phải là ở mạng đang nối chúng với nhau. Các công ty làm ra những thứ này không quan tâm, và họ không có lý do gì để quan tâm bởi nếu hệ thống bị sập thì họ chẳng mất gì. Nghiêm trọng hơn, chính quyền liên bang không làm gì, cũng không có đủ kĩ năng để làm gì. "Nếu các ông muốn an toàn thông tin, Internet không phải là nơi các ông muốn tìm tới", Mudge - lúc đó đang 27 tuổi - nói thêm: "Bản thân Internet có thể bị đánh sập bởi bất kì người nào trong số 7 cá nhân đang ngồi trước mặt các ông bà".
Các nghị sĩ nói rõ rằng họ hoàn toàn hiểu tính nghiêm trọng của vấn đề. "Chúng ta phải làm gì đó về chuyện này", nghị sĩ Fred D. Thompson phát biểu. Nhưng đáng tiếc thay, cơ hội đã bị bỏ qua, và 17 năm sau, thế giới vẫn đang phải đối mặt với sự mong manh của Internet.
Đây là Mudge - tên thật là Peiter Zatko. Anh là người đã phá được cơ chế password của Windows
Ngoài L0pht, nhiều cảnh báo cũng đã được đưa ra trong những năm 1990 về sự thiếu an toàn của Internet, cũng như những hiểm họa có thể xảy ra khi Internet đang trở thành một phần của nền kinh tế thế giới. Mọi thứ càng trở nên nghiêm trọng hơn khi World Wide Web ra đời, mở ra một vũ trụ rộng lớn có thể khiến mọi thứ, từ chiếc máy tính cá nhân cho đến các hệ thống dùng trong nhà máy điện, nhà máy nước, bị kiểm soát từ xa và dùng cho mục đích xấu.
Các công ty công nghệ thì thường chỉ khắc phục vấn đề bảo mật sau khi các hacker hay viện nghiên cứu công bố rộng rãi về lỗ hổng bảo mật. Ít có công ty nào chịu chấp nhận chi phí làm mới cần thiết để giúp hệ thống của họ trở nên an toàn hơn. Lý do đơn giản: lợi nhuận của họ phụ thuộc vào nhiều yếu tố khác, ví dụ như các tính năng mới hay các chức năng đẹp mắt, chứ không phải việc ngăn chặn các tin tặc với ý đồ xấu.
Kết quả của cách làm việc này đó là văn hóa "vá và cầu nguyện" (patch and pray) đã được sản sinh ra. Các công ty cứ tiếp tục xây dựng sản phẩm công nghệ của mình, cứ bán chúng thoải mái đến người tiêu dùng, khi nào cần thì vá lỗi sau. Nếu một hệ thống bị sập khiến dữ liệu bị mất hay bị đánh cắp thì gánh nặng khi đó đè lên vai người tiêu dùng và khách hàng, các công ty lớn không chịu trách nhiệm.
Quay trở lại với L0pht, nhóm cho biết họ rất thường thấy thái độ này trong khi làm công việc chính thống của mình. Khi họ phát hiện ra những lỗi phần mềm và báo cáo cho các nhà phát triển, thường câu đầu tiên họ được hỏi là: Còn ai khác biết về chuyện này nữa không?
Thiên đường của những gã mê công nghệ
Các hacker trong nhóm L0pht gặp nhau trên mạng, chủ yếu thông qua các diễn đàn để trao đổi về kinh nghiệm cũng như thủ thuật sử dụng máy tính. Họ đã từng thử nghiệm việc làm tràn bộ đệm của ô nhập password trên Windows khiến hệ thống bị sập, mở đường cho những can thiệp sâu hơn. Chris Wysopal, người có nickname Weld Pond, cho biết: "Sự khác biệt giữa các cách mà nó được thiết ra để chạy và thực tế nó chạy như thế nào chính là nơi các mối nguy hiểm tiềm ẩn".
Nơi gặp gỡ đầu tiên của L0pht là một cái gáp xếp (loft) nằm trên một cửa hàng bán đồ gỗ ở Boston. Bên ngoài thì nhìn căn nhà này cũng bình thường, nhưng bên trong nó chứa rất nhiều máy tính, một cái TV, một băng ghế sô pha, có cả bia lạnh và một khu vực chơi game nữa. Joe Grand, một người thích trượt ván và cũng thành viên trẻ nhất trong L0pht, nhớ lại: "Lúc bước vào đó thật đáng sự, nhưng khi đã vào trong thì Ahhhhh. Đó giống như một cái trại tị nạn theo nhiều cách khác nhau. Nó thật sự đã định hình cuộc đời tôi".
Hầu hết những thứ mà L0pht nghịch ngợm được thu thập từ các bãi phế thải của Boston. Các thành viên của L0pht thường có thói quen tái chế phần cứng để bán tại các khu chợ trời, còn tiền đó thì họ cùng góp chung để trả tiền thuê căn gác như hóa đơn điện nước. Một số món đồ khác thì được giữ lại để phục vụ cho sở thích nghịch đồ công nghệ của cả nhóm. Và tất nhiên, không thể không kể đến những lúc nhóm cố gắng phá hỏng một phần mềm nào đó để tìm ra lỗ hổng bảo mật mà nhà sản xuất không (thèm) phát hiện ra.
Nếu L0pht không bận bịu với việc của mình, họ thường giúp những người khác tìm ra lỗi trong hệ thống của họ. Bọn họ thường hay tụ tập ở một quán bar nơi mà người nào tìm ra một lỗ hổng bảo mật thì sẽ được tặng một ly bia miễn phí. Song song đó, L0pht còn có một trang tin Hacker News Network (được điều hành bởi Space Rogue) nhằm cung cấp cho thế giới biết về các tin tức bảo mật và những phát hiện mới của mình.
Dần dần, Hacker News Network được nhiều người quan tâm nên nó bắt đầu thu hút quảng cáo. Nhóm không muốn sử dụng website chính của mình - L0pht.com - để đặt quảng cáo, thế nên họ quyết định sẽ lấy tiền từ Hacker News Network. Một trong những mẩu quảng cáo trả tiền đầu tiên trên web này là về các cô dâu người Nga.
Lý do mà nhóm sử dụng nickname là vì họ lo sợ bị đuổi việc nếu nhà tuyển dụng của họ phát hiện ra những hoạt động của họ. Đồng thời, L0pht cũng hạn chế phơi bày danh tính của mình để tránh bị các công ty thưa kiện, một nỗi lo đến giờ vẫn còn đối với những ai làm nghề bảo mật tự do.
Phơi bày lỗ hổng bảo mật cho mọi người xem
L0pht thường tự mô tả mình như là các "hacker mũ xám", nằm ở giữa những "hacker mũ trắng" chuyên làm việc tốt với các "hacker mũ đen" chuyên đi phá hoại. Nhóm thường lấy các lỗ hổng bảo mật ra để trêu những công ty lớn, ví dụ như Microsoft, vì họ đã bán các sản phẩm thiếu an toàn đến người dùng của mình. L0pht cũng từng phát hiện khá nhiều lỗi nghiêm trọng trong các phần mềm được sử dụng phổ biến trên thế giới, cả các phần mềm tiêu dùng lẫn phần mềm dành cho doanh nghiệp.
Nhóm hacker này cũng là một trong những nhóm đi đầu quy tắc "tiết lộ có trách nhiệm" và nó vẫn còn được dùng rất nhiều ngay cả ở thời điểm hiện tại. Theo quy tắc này, các nhóm nghiên cứu nếu phát hiện ra lỗi bảo mật thì phải thông báo trước cho hãng làm phần cứng hoặc phần mềm, cho hãng một thời gian để khắc phục lỗi rồi sau đó mới công bố thông tin lên các phương tiện thông tin đại chúng. Giờ thì thậm chí các công ty còn thưởng tiền và đồ vật cho những ai tìm ra lỗi hệ thống.
Năm 1995, Bill Gates đề ra chiến lược "Internet hóa" Windows. Hãng bắt đầu làm trình duyệt Internet Explorer nổi tiếng, sau đó đến các plugin ActiveX, rồi tiếp theo là sự phổ biến của Adobe Flash cũng như các ứng dụng dùng Java chạy trên web. Tất cả những thứ này đã góp phần giúp World Wide Web trở nên phong phú, đa dạng hơn, nhưng cũng vô tình mở ra cách cửa để các hacker thoải mái can thiệp vào hệ thống của người dùng.
Paul Nash, nickname Silicosis (trái), và Chris Wysopal, nickname Weld Pond (phải). Họ là hai trong số các thành viên của L0pht nghỉ việc làm chính thức của mình để tham gia vào @Stake, một công ty bảo mật được xây dựng dựa trên danh tiếng của L0pht. @Stake trải qua nhiều giai đoạn thăng trầm và cuối cùng bị Symantec mua lại năm 2004
Và đáng buồn thay, cũng không nhiều người quan tâm đến bảo mật vào thời điểm đó. Ở Microsoft, người ta tập trung vào việc làm cho tính năng đó chạy được hơn là việc làm cho chúng trở nên an toàn hơn. Cũng đúng thôi khi mà lợi nhuận của công ty phụ thuộc vào những tính năng mới là vào tính bảo mật. Lời cảnh báo của L0pht lại một lần nữa trở nên đúng đắn, nhưng nó lại bị bỏ qua và dẫn đến những hậu quả vô cùng nghiêm trọng, ví dụ như vụ Y2K nổi tiếng hay con sâu máy tính ILOVEYOU khiến 10% PC trên thế giới bị lây nhiễm và tốn đến gần 20 tỉ USD để dọn hậu quả.
Riêng về Microsoft, "kẻ thù" của L0pht, cuối cùng họ cũng dành nhiều sự quan tâm hơn cho việc bảo mật. Nhiều khách hàng lớn nói với Gates rằng nếu ông ấy không làm cho phần mềm của mình an toàn hơn thì họ sẽ chuyển sang dùng những giải pháp khác. Trong một bức thư gửi cho toàn công ty vào tháng 1/2002, Gates có nói rằng bảo mật là thứ nhận được "sự ưu tiên cao nhất trong số những gì mà chúng ta đang làm". Kết quả là công ty đưa cả nghìn kĩ sư ra khỏi việc phát triển sản phẩm và chuyển họ sang mảng bảo mật. Gates cũng cho một nhóm các quan chức của mình đến một căn nhà gỗ cách khoảng 15 phút lái xe tính từ trụ sở chính của công ty và họ buộc phải tìm ra giải pháp cho vấn đề bảo mật, bằng không thì đừng quay lại công ty.
Dù gì đi nữa thì các lỗ hổng bảo mật sẽ không bao giờ được vá một cách hoàn chỉnh. Nếu bạn vá chỗ này các hacker lại tìm ra chỗ khác để mà luồn lách, giống như cách mà một dòng nước tự tìm ra các lỗ nhỏ để liên tục chảy vậy. Với sự góp sức của L0pht và những nhóm hacker tốt khác, họ có thể giúp hạn chế được rủi ro bảo mật, nhưng sẽ không bao giờ có thể loại bỏ hoàn toàn những hiểm họa đối với thế giới Internet cũng như môi trường máy tính hiện nay.
Kết
Nói tóm lại, những vấn đề rắc rối liên quan đến tính bảo mật của Internet không phải mới xuất hiện. Chúng đã tồn tại từ những ngày đầu hệ thống mạng này ra đời, có điều người ta không quan tâm đến chúng vì có những ưu tiên khác quan trọng hơn. Những nỗ lực để tăng tính an toàn, ví dụ như việc đưa bảo mật vào TCI/IP hay thay đổi BGP, thì đã bị bỏ rơi do các giới hạn công nghệ và kĩ thuật cũng như chi phí kinh doanh thời đó. Những vấn đề nói trên có thể sẽ không bao giờ được khắc phục chừng nào Internet còn đang vận hành và còn ảnh hưởng đến cuộc sống cũng như việc kinh doanh của rất nhiều cá nhân, tổ chức trên toàn thế giới. Hay nói cách khác, phóng lao thì phải theo lao, và chúng ta buộc phải chấp nhận một sự thật rằng ở cốt lõi Internet rất dễ bị tổn thương và sẽ không có giải pháp dễ dàng nào có thể sớm xuất hiện.
01:40
Thanh Hồng
