Google gọi thẳng tên cơ quan quản lý internet Trung Quốc thực hiện tấn công mạng


Google gọi thẳng tên cơ quan quản lý internet Trung Quốc thực hiện tấn công mạng

Những đóa hoa tưởng nhớ được đặt bên ngoài trụ sở của Google ở Trung Quốc sau khi hãng này tuyên bố rời khỏi thị trường Trung Quốc, chụp ngày 20 tháng 1 năm 2010 (Wikimedia Commons)

Một cơ quan mạng của Trung Quốc chịu trách nhiệm về việc bảo đảm an ninh của mạng lưới internet toàn cầu đã thỏa hiệp, theo tin từ gã khổng lồ Google.

Ngày 23 tháng 3, Google công bố trên trang blog bảo mật của mình rằng ba ngày trước, họ “bắt đầu nhận ra việc xuất hiện các chứng chỉ số trái phép cho một số tên miền của Google”. Các chứng chỉ được phát hành bởi tổ chức MCS Holdings trụ sở tại Ai Cập.

[Chứng chỉ số (digital certificates) được cài đặt sẵn trong các trình duyệt web, là cơ sở để trình duyệt web xác định một website có đáng tin cậy hay không. Chứng chỉ số về cơ bản chỉ được phát hành bởi các tổ chức có thẩm quyền].

MCS Holdings được điều hành bởi Trung tâm thông tin mạng Internet Trung Quốc (CNNICC). Từ năm 2010, nhiều trình duyệt web lớn đã công nhận cho việc sử dụng các chứng chỉ số được phát hành bởi CNNICC.

Cấu trúc của Internet dựa trên việc sử dụng các chứng chỉ. Mỗi trang web có một chứng chỉ, và trình duyệt Internet dựa trên chứng chỉ để xác minh rằng trang web mà người dùng đang sử dụng đúng là trang chính thống [không phải trang giả mạo].

Theo James Gabberty, giáo sư bộ môn Các hệ thống Thông tin tại Đại học Pace thành phố New York, thì tầm quan trọng của một chứng chỉ bảo mật Internet là điều không thể bị làm suy giảm.

Trong một cuộc phỏng vấn điện thoại, giáo sư Gabberty đã nói: “Chứng chỉ bảo mật là nền tảng cho tất cả mọi thứ. Cơ quan cấp chứng chỉ là then chốt trong tất cả. Nếu không sẽ không có bất cứ niềm tin nào vào Internet. Một trang web giả mạo trông giống như trang web hợp lệ và bạn thậm chí sẽ chẳng bao giờ biết điều đó”.

Cơ quan cấp chứng chỉ là then chốt cho tất cả. Nếu không sẽ không có bất cứ niềm tin nào vào Internet.
— James Gabberty

Ông cũng nói thêm, nếu các cơ quan phụ trách về chứng chỉ vi phạm lòng tin của người dùng, như CNNIC đang bị cáo buộc, “toàn bộ cấu trúc Web thương mại điện tử như chúng ta biết sẽ vỡ vụn, bởi vì nó có nghĩa là bạn không thể tin tưởng bất cứ ai. Bảo vệ các chứng chỉ là ưu tiên số một”.

Cuộc tấn công Man-in-the-Middle (MITM)

Mozilla, công ty nổi tiếng với trình duyệt web Firefox, cũng đã viết về những vi phạm an ninh trên trang bảo mật của mình. Họ cho biết rằng các chứng chỉ số bị mua chuộc từ CNNIC đã được sử dụng để thực hiện các cuộc tấn công man-in-the-middle, đó là chính xác là những kiểu tấn công mà Gabberty đã cảnh báo.

Trong một cuộc tấn công MITM, người dùng mở một trang web mà trông có vẻ an toàn, nhưng sau đó trang web được sử dụng để ăn cắp dữ liệu của người dùng.

Theo Mozilla, CNNIC đã được sử dụng “để tạo chứng chỉ cho các tên miền mà người chủ này không sở hữu hoặc kiểm soát một cách hợp pháp”. Nói cách khác, nó đã được sử dụng để giả mạo các trang web mà không thuộc về nó. Hiện vẫn chưa rõ những website nào đã bị thành mục tiêu.

Vụ việc này đã chứng minh một mối quan tâm từ lâu về CNNIC của một số chuyên gia bảo mật. Các công ty Trung Quốc có thể phát hành ra các chứng chỉ bảo mật, và trong sự kiện mới nhất, Google tuyên bố, “chứng chỉ số phát hành sai vẫn được tin tưởng bởi hầu như tất cả các trình duyệt web và hệ điều hành”.

Google đã cảnh báo CNNIC và các trình duyệt khác, nhằm ngăn chặn sự vi phạm của MCS Holdings về chứng nhận số.

Google cho biết CNNIC đã liên lạc với Google vào ngày 22 tháng Năm và tuyên bố họ đã liên lạc với tổ chức MCS Holdings. MCS đã trả lời rằng họ giữ các “khóa bảo mật” (private key) trong một máy chủ ủy nhiệm giữ vai trò trung gian (man-in-the-middle proxy) để có thể “can thiệp và các kết nối bảo mật bằng cách đóng giả trang web đích, và thỉnh thoảng được sử dụng bởi các công ty nhằm can thiệp vào đường truyền của nhân viên họ để giám sát hoặc sử dụng cho các mục đích hợp pháp”.

Google nói : “Máy tính của các nhân viên thông thường cần phải được cấu hình để tin tưởng một proxy thì nó [proxy] mới có thể làm được điều này. Tuy nhiên, trong trường hợp này, các proxy đó được trao quyền đầy đủ của một CA công cộng [Public Certificate Authority], đó là một sự vi phạm nghiêm trọng đối với hệ thống CA”.

Các proxy đó được trao quyền đầy đủ của một CA công cộng, đó là một sự vi phạm nghiêm trọng đối với hệ thống CA.
– Google

Google lưu ý thêm rằng bất chấp việc CNNIC khăng khăng đổ lỗi cho MCS Holdings, “CNNIC thực chất vẫn là đã thực hiện việc ủy quyền cho một tổ chức không phù hợp để nắm giữ vai trò đó”.

Nói cách khác, CNNIC chịu trách nhiệm về hành động hacking gây hại thực hiện bởi tổ chức MCS, mặc dù CNNIC đổ lỗi cho công ty con của nó. Tổ chức MCS đã sử dụng một hệ thống bị cấm, nhằm cho phép nó can thiệp vào đường truyền an toàn của người sử dụng.

Google cho biết hiện chưa có bằng chứng cho thấy các chứng chỉ đã bị gây hại, và chưa khuyên người dùng thay đổi mật khẩu của họ vào lúc này.

Tuy nhiên, “Tại thời điểm này chúng tôi đang xem xét những hành động nào tiếp theo là thích hợp”.

Bằng chứng

Tổ chức tự do Internet GreatFire.org nhiều năm qua đã cảnh báo về nguy cơ bảo mật thực hiện bởi CNNIC, và sự hiện diện được phê chuẩn của nó trong các phần mềm từ Google, Microsoft, Apple, và Mozilla.

GreatFire đã viết trên website của mình rằng kể từ năm 2013 họ đã kêu gọi các công ty phần mềm lớn thu hồi giấy chứng nhận do CNNIC cấp. Họ đã viết: “Đáng chú ý nhất, chúng tôi đã nêu lên vấn đề này khi chúng tôi báo cáo về việc Cục Quản lý không gian ảo của Trung Quốc (CAC) tấn công man-in-the-middle (MITM) vào Google, Microsoft Outlook, Apple, Yahoo và Github”.

Greatfire phát biểu rằng vụ việc mới nhất là “bằng chứng cho thấy CNNIC đứng đằng sau một cuộc tấn công MITM mới vào Google”.

Greatfire nói: “CNNIC hoặc là đồng lõa trong vụ tấn công MITM gần đây hoặc đã cố ý cho phép các cuộc tấn công xảy ra. Chúng tôi đã chứng kiến ​​các nhà chức trách Trung Quốc sử dụng các cuộc tấn công MITM vào iCloud của Apple, Google, Outlook của Microsoft, và Yahoo trong riêng tháng này”.

Trở lại năm 2014, GreatFire cảnh báo “CNNIC đã thực hiện (và cố gắng để che dấu) kiểm duyệt Internet, sản xuất phần mềm độc hại và có các hành động về bảo mật rất xấu”. Họ cũng lưu ý rằng ở Trung Quốc, nhiều người dùng rành công nghệ đã đưa ra các cảnh báo tương tự về CNNIC.

Một trong những lỗ hổng quan trọng trong cơ cấu CNNIC đó là chủ tịch của công ty này cũng đồng thời là quan chức cấp cao của Đảng Cộng sản chuyên trách về kiểm duyệt Internet, Lỗ Vĩ (Lu Wei).

Ông Lỗ là giám đốc văn phòng tổng hợp của Trung ương Nhóm lãnh đạo về Thông tin và An toàn Internet (cơ quan điều hành Internet ở Trung Quốc) kiêm Phó trưởng Ban Tuyên giáo Trung ương.

GreatFire cáo buộc trong một thông cáo báo chí rằng Lỗ Vĩ và ủy ban Quản lý Không gian ảo Trung Quốc (CAC) do ông ta phụ trách là “đồng lõa trong các vụ tấn công vào các tài sản Internet thuộc sở hữu nước ngoài trong quá khứ”.

“Bây giờ chúng tôi có bằng chứng cụ thể, trong đó cho thấy rằng CAC và CNNIC đứng đằng sau những hành động gây nguy hại cho sự an toàn và an ninh trên Internet của tất cả mọi người”, GreatFire phát biểu.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s