Joshua Philipp, Epoch
Times
31-3-2015
Một cơ quan mạng của Trung Quốc chịu trách nhiệm về
việc bảo đảm an ninh của mạng lưới internet toàn cầu đã thỏa hiệp, theo tin từ
gã khổng lồ Google.
Ngày 23 tháng 3, Google công bố trên trang blog bảo mật của
mình rằng ba ngày trước, họ “bắt đầu nhận ra việc xuất hiện các chứng chỉ số
trái phép cho một số tên miền của Google”. Các chứng chỉ được phát hành bởi
tổ chức MCS Holdings trụ sở tại Ai Cập.
[Chứng chỉ số (digital certificates)
được cài đặt sẵn trong các trình duyệt web, là cơ sở để trình duyệt web
xác định một website có đáng tin cậy hay không. Chứng chỉ số về cơ bản chỉ được
phát hành bởi các tổ chức có thẩm quyền].
MCS Holdings được điều hành bởi Trung tâm thông
tin mạng Internet Trung Quốc (CNNICC). Từ năm 2010, nhiều trình duyệt web
lớn đã công nhận cho việc sử dụng các chứng chỉ số được phát hành bởi
CNNICC.
Cấu trúc của Internet dựa trên việc sử dụng các chứng chỉ.
Mỗi trang web có một chứng chỉ, và trình duyệt Internet dựa trên chứng chỉ để
xác minh rằng trang web mà người dùng đang sử dụng đúng là trang chính thống
[không phải trang giả mạo].
Theo James Gabberty, giáo sư bộ môn Các hệ thống Thông
tin tại Đại học Pace thành phố New York, thì tầm quan trọng của một chứng chỉ bảo
mật Internet là điều không thể bị làm suy giảm.
Trong một cuộc phỏng vấn điện thoại, giáo sư Gabberty đã
nói: “Chứng chỉ bảo mật là nền tảng cho tất cả mọi thứ. Cơ quan cấp chứng chỉ
là then chốt trong tất cả. Nếu không sẽ không có bất cứ niềm tin nào vào
Internet. Một trang web giả mạo trông giống như trang web hợp lệ và bạn thậm
chí sẽ chẳng bao giờ biết điều đó. ”
Ông cũng nói thêm, nếu các cơ quan phụ trách về chứng chỉ
vi phạm lòng tin của người dùng, như CNNIC đang bị cáo buộc, “toàn bộ cấu trúc
Web thương mại điện tử như chúng ta biết sẽ vỡ vụn, bởi vì nó có nghĩa là bạn
không thể tin tưởng bất cứ ai. Bảo vệ các chứng chỉ là ưu tiên số một. ”
Cuộc tấn công Man-in-the-Middle
(MITM)
Mozilla, công ty nổi tiếng với trình duyệt web
Firefox, cũng đã viết về những vi phạm an ninh trên trang bảo mật của mình. Họ
cho biết rằng các chứng chỉ số bị mua chuộc từ CNNIC đã được sử
dụng để thực hiện các cuộc tấn công man-in-the-middle, đó là chính xác là những
kiểu tấn công mà Gabberty đã cảnh báo.
Trong một cuộc tấn công MITM, người dùng mở một trang web
mà trông có vẻ an toàn, nhưng sau đó trang web được sử dụng để ăn cắp dữ liệu của người
dùng.
Theo Mozilla, CNNIC đã được sử dụng “để tạo chứng chỉ cho
các tên miền mà người chủ này không sở hữu hoặc kiểm soát một
cách hợp pháp.” Nói cách khác, nó đã được sử dụng để giả mạo các trang web mà
không thuộc về nó. Hiện vẫn chưa rõ những website nào đã bị thành mục
tiêu.
Vụ việc này đã chứng minh một mối quan tâm từ lâu về
CNNIC của một số chuyên gia bảo mật. Các công ty Trung Quốc có thể phát
hành ra các chứng chỉ bảo mật, và trong sự kiện mới nhất, Google tuyên bố,
“chứng chỉ số phát hành sai vẫn được tin tưởng bởi hầu như tất cả các
trình duyệt web và hệ điều hành.”
Google đã cảnh báo CNNIC và các trình duyệt khác, nhằm ngăn
chặn sự vi phạm của MCS Holdings về chứng nhận số.
Google cho biết CNNIC đã liên lạc với Google vào
ngày 22 tháng Năm và tuyên bố họ đã liên lạc với tổ chức MCS Holdings. MCS
đã trả lời rằng họ giữ các “khóa bảo mật” (private key) trong một máy chủ ủy
nhiệm giữ vai trò trung gian (man-in-the-middle proxy) để có thể “can thiệp và
các kết nối bảo mật bằng cách đóng giả trang web đích, và thỉnh thoảng được sử
dụng bởi các công ty nhằm can thiệp vào đường truyền của nhân viên họ để giám
sát hoặc sử dụng cho các mục đích hợp pháp.”
Google nói : “Máy tính của các nhân viên thông thường cần phải
được cấu hình để tin tưởng một proxy thì nó [proxy] mới có thể làm được
điều này. Tuy nhiên, trong trường hợp này, các proxy đó được trao quyền đầy đủ
của một CA công cộng [Public Certificate Authority], đó là một sự vi phạm
nghiêm trọng đối với hệ thống CA”.
Google lưu ý thêm rằng bất chấp việc CNNIC khăng khăng đổ
lỗi cho MCS Holdings, “CNNIC thực chất vẫn là đã thực hiện việc ủy quyền cho một
tổ chức không phù hợp để nắm giữ vai trò đó.”
Nói cách khác, CNNIC chịu trách nhiệm về hành động
hacking gây hại thực hiện bởi tổ chức MCS, mặc dù CNNIC đổ lỗi cho
công ty con của nó. Tổ chức MCS đã sử dụng một hệ thống bị cấm, nhằm cho phép
nó can thiệp vào đường truyền an toàn của người sử dụng.
Google cho biết hiện chưa có bằng chứng cho thấy
các chứng chỉ đã bị gây hại, và chưa khuyên người dùng thay đổi mật
khẩu của họ vào lúc này.
Tuy nhiên, “Tại thời điểm này chúng tôi đang xem xét những
hành động nào tiếp theo là thích hợp.”
Bằng chứng
Tổ chức tự do Internet GreatFire.org nhiều năm qua đã cảnh
báo về nguy cơ bảo mật thực hiện bởi CNNIC, và sự hiện diện được phê chuẩn
của nó trong các phần mềm từ Google, Microsoft, Apple, và Mozilla.
GreatFire đã viết trên website của mình rằng kể từ năm
2013 họ đã kêu gọi các công ty phần mềm lớn thu hồi giấy chứng nhận do
CNNIC cấp. Họ đã viết: “Đáng chú ý nhất, chúng tôi đã nêu lên vấn đề
này khi chúng tôi báo cáo về việc Cục Quản lý không gian ảo của Trung Quốc
(CAC) tấn công man-in-the-middle (MITM) vào Google, Microsoft Outlook, Apple,
Yahoo và Github.”
Greatfire phát biểu rằng vụ việc mới nhất là “bằng chứng
cho thấy CNNIC đứng đằng sau một cuộc tấn công MITM mới vào Google.”
Greatfire nói: “CNNIC hoặc là đồng lõa trong vụ tấn công
MITM gần đây hoặc đã cố ý cho phép các cuộc tấn công xảy ra. Chúng tôi đã chứng
kiến các nhà chức trách Trung Quốc sử
dụng các cuộc tấn công MITM vào iCloud của Apple, Google, Outlook của
Microsoft, và Yahoo trong riêng tháng này.”
Trở lại năm 2014, GreatFire cảnh báo “CNNIC đã thực hiện
(và cố gắng để che dấu) kiểm duyệt Internet, sản xuất phần mềm độc hại và có
các hành động về bảo mật rất xấu.” Họ cũng lưu ý rằng ở Trung Quốc,
nhiều người dùng rành công nghệ đã đưa ra các cảnh báo tương tự về CNNIC.
Một trong những lỗ hổng quan trọng trong cơ cấu CNNIC đó
là chủ tịch của công ty này cũng đồng thời là quan chức cấp cao của Đảng Cộng
sản chuyên trách về kiểm duyệt Internet, Lỗ Vĩ (Lu Wei).
Ông Lỗ là giám đốc văn phòng tổng hợp của Trung ương Nhóm
lãnh đạo về Thông tin và An toàn Internet, cơ quan điều hành Internet
ở Trung Quốc, và ông còn là Phó trưởng Ban Tuyên giáo Trung ương.
GreatFire cáo buộc trong một thông cáo báo chí rằng Lỗ Vĩ
và ủy ban Quản lý Không gian ảo Trung Quốc (CAC) do ông ta phụ trách là “đồng
lõa trong các vụ tấn công vào các tài sản Internet thuộc sở hữu nước
ngoài trong quá khứ.”
“Bây giờ chúng tôi có bằng chứng cụ thể, trong đó cho thấy
rằng CAC và CNNIC đứng đằng sau những hành động gây nguy hại cho sự an
toàn và an ninh trên Internet của tất cả mọi người,” GreatFire phát
biểu.
No comments:
Post a Comment