Trung Quốc lợi dụng website chưa mã hóa để tấn công DDoS

MrQuậy

Well-Known Member
24/09/2013
178
2.221 bài viết
Trung Quốc lợi dụng website chưa mã hóa để tấn công DDoS
Trang Gizmodo đưa tin, trong mấy tuần qua, Trung Quốc đã sử dụng cơ sở hạ tầng Internet trong nước để tấn công các đối thủ chính trị, bằng cách biến trình duyệt web của người dùng thành công cụ DDoS.

1394919.jpg

Các cuộc tấn công này đã vi phạm niềm tin về việc Internet phải được hoạt động một cách tự nhiên, đồng thời tạo cảm giác lo lắng chưa từng có trong lịch sử về các cuộc tấn công từ chối dịch vụ. Trung Quốc đã khai thác việc nhiều trang web lớn vẫn dùng giao thức HTTP (bảo mật kém hơn so với giao thức HTTPS), cho phép tường lửa Great Firewall chỉnh sửa các trang web đó. Ngoài ra, Trung Quốc còn tận dụng các lỗ hổng từ JavaScript trong trình duyệt web. Những thực tế này cho phép Trung Quốc dàn xếp một số lượng lớn các hệ thống "zombie" cả trong và ngoài lãnh thổ, tạo ra hàng tỷ yêu cầu áp đảo các máy chủ của con mồi.

Cuộc tấn công của Trung Quốc nhắm tới nền tảng GitHub, và các URL sử dụng trong cuộc tấn công này đánh vào hai trang của GitHub là Greatfile và Cn-nytimes. Trong bài phân tích được các nhà nghiên cứu của Netressec, cuộc tấn công đã chỉnh sửa JavaScript trên công cụ tìm kiếm Baidu để cấy một bản copy mã độc. Phiên bản mã độc JavaScript đã khiến các trình duyệt tạo ra các kết nối liên tục vào hai URL của GitHub. Miễn là trình duyệt vẫn ở trên một trang web chứa Baidu Analytics, nó sẽ tiếp tục tạo ra lưu lượng. Điều quan trọng cần lưu ý là dù Trung Quốc sử dụng đặc quyền để truy cập vào các router chính nhằm thay đổi nguồn Baidu, song chính người dùng cuối trên khắp thế giới nếu đang chạy mã độc này đều có thể bị tấn công từ trình duyệt.

GitHub tuyên bố đây là cuộc tấn công DDoS lớn nhất họ từng gặp phải. Dù vậy, các dịch vụ của GitHub vẫn hoạt động online bình thường. Do GitHub triển khai HTTPS rộng rãi, nên Trung Quốc rất khó kiểm duyệt các thiết bị đầu cuối cụ thể nếu không kiểm soát toàn bộ GitHub. Một trong những lợi thế mà HTTPS cung cấp là nó không chỉ mã hóa nội dung của trang web, mà còn cả những URL cụ thể của trang. Khi lựa chọn truy cập theo cách riêng tư, hacker rất khó xác định chính xác URL nào trong trang được truy cập. Và nếu hacker không thể xác định yêu cầu trên trang web mà họ muốn chặn, họ buộc phải chặn toàn bộ các trang nếu muốn ngăn người dùng truy cập vào.

Đây là một lợi thế lớn cho những người muốn tiếp cận thông tin một cách tự do trong chế độ kiểm duyệt. Để giảm thiểu nguy cơ thông tin quan trọng bị kiểm duyệt, những người sáng tạo nội dung có thể nhân bản dữ liệu của họ trong một phạm vi an toàn, các nhà kiểm duyệt có thể miễn cưỡng ngăn chặn nội dung này vì sợ hậu quả chính trị hay tài chính. Dường như đó chính xác là những gì đã xảy ra trong tình huống này.

Trước khi cuộc tấn công GitHub bắt đầu vào ngày 26/3, GreatFire.org thông báo có một cuộc tấn công vào máy chủ của họ bắt đầu từ ngày 17/3. Và quả thực, việc ngăn chặn GitHub sẽ có tác động xấu đến các lập trình viên Trung Quốc và do đó ảnh hưởng đến nền kinh tế Trung Quốc. Trước đây, Trung Quốc từng chặn trang web này vào tháng 1/2013. Cựu giám đốc Google Trung Quốc Kai-Fu Lee đã đăng trên trang Sina Weibo rằng đây là hành động "vô lý", và nó "sẽ chỉ làm nền công nghiệp lập trình Trung Quốc bị tách khỏi thế giới, khiến Trung Quốc mất tính cạnh tranh và tầm nhìn". Lần này, Trung Quốc đã thực hiện một bước xa hơn, sử dụng các doanh nghiệp internet nội địa làm vũ khí để kiểm duyệt những nội dung quan trọng.

1394248.jpg

Trung Quốc đã cấy payload (đoạn code sẽ chạy trên hệ thống máy tính từ xa, là một phần mềm virus máy tính để thực thi mã độc) giữa các máy chủ của Baidu và cấy payload khi lưu lượng internet thoát ra khỏi Trung Quốc. Điều này chỉ có thể xảy ra do tập lệnh Baidu Analytics nằm trên các trang web không sử dụng mã hóa theo mặc định. Nếu không có HTTPS, tin tặc truy cập vào kết nối giữa máy chủ web và người dùng cuối có thể chỉnh sửa nội dung tùy ý. Đây là một phần lý do chúng ta cần triển khai 100% HTTPS cho toàn bộ web. Đồng thời, điều quan trọng cần lưu ý là HTTPS không hoàn toàn chống lại 100% các mã độc. Chính phủ Trung Quốc có thể dựa vào Baidu để cung cấp các khóa mã hóa cho các nhà kiểm duyệt thực hiện các cuộc tấn công. Ngoài ra, họ có thể buộc Baidu gửi mã độc trực tiếp từ máy chủ. Khi chính phủ có thể buộc các dịch vụ web cung cấp khóa mã hóa, một lượng lớn thông tin về hoạt động của người sử dụng cuối sẽ bị tiết lộ.

Trung Quốc không phải là nước duy nhất có khả năng kỹ thuật làm quá tải lưu lượng. Nhiều chính phủ hiện nay có thể áp dụng kỹ thuật này, nếu họ lưu trữ JavaScript trong và các công cụ để chỉnh sửa lưu lượng internet khi ra khỏi quốc gia của mình. Điều này rất phổ biến với các website có thư viện tiện ích và mạng lưới quảng cáo được lưu trữ trên máy chủ toàn cầu. Các đối tác ở bên thứ ba có thể sửa đổi nội dung trang, tiết lộ thói quen duyệt web hoặc thực hiện cuộc tấn công như với GitHub.

Giải pháp cho vấn đề này gồm hai phần: kỹ thuật và chính trị. Là một nhà bảo trì trang web, bạn có thể lưu trữ các thư viện tiện ích ở máy chủ trong nước. Bằng cách hy sinh một nguồn tài nguyên từ xa, trang web của bạn sẽ không dính mã độc JavaScript do tin tặc thực hiện. Quản trị hệ thống có thể triển khai giao thức HTTPS, khiến những kẻ cấy mã độc gặp nhiều khó khăn hơn khi muốn điều chỉnh lưu lượng. Hoặc mọi người có thể hỗ trợ các sáng kiến như Manila Principles, tìm cách thiết lập khuôn khổ pháp lý rõ ràng quanh chuyện hạn chế nội dung. Chỉ có sự kết hợp của các chính sách kiểm duyệt và các biện pháp kỹ thuật mới có thể hạn chế quyền lực của các chính phủ trong việc chiếm quyền điều khiển trình duyệt và sử dụng chúng để kiểm soát Internet toàn thế giới.

Theo Vnreview
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên