Ngày 23/3, trên blog chính thức về bảo mật, Google tuyên bố “đã biết về các chứng thực số trái phép cho một số tên miền của Google” từ 3 ngày trước đó. Đây là những chứng thực số được cấp phát bởi công ty MCS Holdings có trụ sở tại Ai Cập.

Đáng lưu ý là MCS Holdings được điều hành bởi Trung tâm thông tin mạng Internet Trung Quốc (CNNIC). Kể từ năm 2010, nhiều trình duyệt web đã cho phép CNNIC cấp chứng thực số.

Cấu trúc Internet dựa trên việc sử dụng các chứng thực bảo mật. Mỗi trang web chỉ có một chứng thực số, và nhiều trình duyệt Internet dựa vào đó để xác nhận xem website ấy có thực sự đúng như những gì nó thể hiện hay không.

Tầm quan trọng của chứng thực về bảo mật Internet là không thể phủ nhận, theo James Gabberty, giáo sư hệ thống thông tin tại Đại học Pace, New York.

Trong cuộc phỏng vấn qua điện thoại, giáo sư Gabberty nói: “[Chứng thực bảo mật] là nền tảng cho tất cả mọi thứ… Quyền chứng thực là chìa khóa cho mọi thứ. Nếu không, [người dùng sẽ] không có niềm tin vào Internet. Một trang web trông hợp lệ nhưng lại có thể bị giả mạo và bạn sẽ chẳng bao giờ biết điều đó”.

Chứng thực là chìa khóa cho mọi thứ. Nếu không, sẽ không có niềm tin vào Internet.

— GS. James Gabberty, ĐH Pace

Giáo sư Gabberty nói thêm, nếu các tổ chức cấp chứng thực số lại vi phạm lòng tin của người sử dụng, thì “toàn bộ cấu trúc Web thương mại điện tử như chúng ta vẫn biết sẽ bị phá vỡ, bởi điều đó nghĩa bạn không thể tin tưởng bất cứ ai. [Vì vậy,] đảm bảo chứng thực là ưu tiên số một”.

Kiểu tấn công ‘người nghe trộm’

Là tập đoàn sở hữu trình duyệt Firefox phổ biến, Mozilla cũng viết về những vi phạm an ninh trên blog bảo mật của mình. Mozilla cho biết, chứng thực giả mạo từ CNNIC đã được sử dụng để thực hiện các cuộc tấn công theo kiểu ‘người nghe trộm’ (man-in-the-middle). Đó chính xác là loại tấn công mà giáo sư Gabberty đã cảnh báo.

Vậy, tấn công theo kiểu ‘người nghe trộm’ là gì?

Minh họa về tấn công 'người nghe trộm'
Minh họa về tấn công ‘người nghe trộm’

Giả sử An muốn giao tiếp với Bình, còn Hà là người muốn ngăn chặn và “làm nhiễu” cuộc trò chuyện đó. Đầu tiên, An yêu cầu Bình cung cấp chìa khóa công khai của anh. Và giả sử Bình gửi chìa khóa công khai này cho An, nhưng Hà lại có khả năng can thiệp vào thông tin trao đổi giữa hai người. Khi đó, Hà sẽ gửi chìa khóa của mình cho An và giả mạo đó là chìa khóa từ Bình. An nhận được chìa khóa và tưởng đó là của Bình, vì vậy cô dùng chìa khóa vừa nhận để mã hóa thông tin rồi gửi lại cho Bình. Một lần nữa, Hà lại ngăn chặn thông tin đến phía Bình. Sử dụng chìa khóa của mình, Hà có khả năng giải mã thông tin đã được An mã hóa và thay đổi nội dung thông tin ấy. Sau đó, sử dụng chìa khóa Bình đã gửi cho An trước đó, Hà lại mã hóa thông tin giả mạo này rồi gửi cho Bình. Khi Bình nhận được thông tin mới mã hóa, anh sẽ lầm tưởng đó là tin từ An. Đây chính là cách tấn công theo kiểu ‘người nghe trộm’, còn gọi là tấn công man-in-the-middle.

Trong trường hợp tấn công man-in-the-middle, trang web tạo cảm giác an toàn cho người sử dụng, nhưng thực chất lại đang lấy cắp dữ liệu của người dùng.

Xem thêm: Trung Quốc sẽ bắt người dùng Internet đăng ký tên thật

Theo Mozilla, CNNIC được sử dụng “để tạo chứng thực cho các tên miền mà chủ thiết bị không sở hữu và kiểm soát [tên miền ấy] một cách hợp pháp”. Nói cách khác, nó đã được sử dụng để đánh lừa các trang web không thuộc về nó. Hiện vẫn chưa rõ website nào đã trở thành ‘nạn nhân’.

Vụ việc này chứng tỏ mối quan ngại lâu nay về CNNIC là sự thật, bởi vì trên thực tế, công ty này có quyền cấp phát chứng thực bảo mật. Trong sự kiện gần đây nhất, Google khẳng định: “Hầu hết các trình duyệt web và hệ điều hành đều tin tưởng những chứng thực lỗi do [CNNIC] phát hành”. Như vậy, nếu điều này còn tiếp diễn, thì dữ liệu của người dùng sẽ bị xâm phạm.

Google đã cảnh báo CNNIC và các trình duyệt khác, đồng thời ngăn chặn các chứng thực vi phạm của MCS Holdings.

Trung tâm thông tin mạng Internet Trung Quốc (CNNICC).
Trung tâm thông tin mạng Internet Trung Quốc (CNNICC).

Google cho biết: CNNIC liên hệ với Google vào ngày 22/5 để khẳng định rằng họ đã liên lạc với MCS Holdings. Về phía mình, MCS Holdings nói rằng họ đang giữ khóa bí mật (private key) trong một ủy nhiệm man-in-the-middle proxy. Ủy nhiệm này có thể ngăn chặn các kết nối an toàn bằng cách giả mạo như là trang web mà người dùng muốn đến; đôi khi, nó cũng được sử dụng trong một số công ty để ngăn chặn lượng truy cập bảo mật của nhân viên vì mục đích giám sát hoặc vì các lý do hợp lệ.

“Thông thường, máy tính của nhân viên phải được cấu hình để tin tưởng vào một proxy, mà nhờ đó, proxy ấy mới có thể làm được điều này”, Google cho biết. “Tuy nhiên, trong trường hợp này, các proxy được trao quyền đầy đủ của một nhà phát hành chứng thực số [Certificate Authority – CA] công cộng. Đây là một vi phạm nghiêm trọng của hệ thống CA”.

Google lưu ý rằng mặc dù CNNIC quy kết trách nhiệm cho MCS Holdings, nhưng “CNNIC vẫn ủy thác phần lớn quyền hạn của mình cho một tổ chức không phù hợp nắm giữ”.

Nói cách khác, CNNIC phải chịu trách nhiệm về những vi phạm của MCS Holdings. Là công ty con của CNNIC, MSC Holdings đã sử dụng một hệ thống cấm để ngăn chặn lượng truy cập mà đáng lẽ là an toàn đối với người sử dụng.

Google cho biết hiện chưa có bằng chứng cho thấy các chứng thực đã bị lạm dụng, do đó, hãng không khuyến cáo người dùng thay đổi mật khẩu vào thời điểm hiện tại.

Tuy nhiên, Google cho biết thêm: “Tại thời điểm này, chúng tôi đang xem xét những hành động nào là thỏa đáng”.

Xem thêm: Các trang tin của Reuters ngừng hoạt động tại Trung Quốc

“Thành tích” bất hảo

Trong nhiều năm qua, tổ chức tự do Internet GreatFire.org đã đã cảnh báo về các nguy cơ bảo mật từ CNNIC, và sự hiện diện của nó trong các phần mềm từ Google, Microsoft, Apple, và Mozilla.

Trên website chính thức, GreatFire cho biết: kể từ năm 2013, GreatFire đã kêu gọi các công ty phần mềm lớn thu hồi chứng thực do CNNIC cấp phát. “Đáng lưu ý nhất, chúng tôi đã nêu lên vấn đề này khi báo cáo về các cuộc tấn công nghe trộm (MITM) của Cục Quản lý Không gian ảo Trung Quốc (CAC) vào Google, Microsoft Outlook, Apple, Yahoo và Github”.

GreatFire tuyên bố rằng trường hợp mới đây nhất là “bằng chứng xác đáng cho thấy CNNIC đứng đằng sau một cuộc tấn công MITM mới vào Google”.

“CNNIC hoặc là đồng lõa trong các vụ tấn công MITM gần đây, hoặc đã cố tình cho phép các cuộc tấn công ấy xảy ra”, GreatFire khẳng định. “Chúng tôi đã chứng kiến ​​các nhà chức trách Trung Quốc sử dụng cuộc tấn công MITM vào iCloud của Apple, Google, Outlook của Microsoft, và Yahoo riêng trong tháng này”.

Trở lại năm 2014, GreatFire cảnh báo: “CNNIC đã thực hiện (và cố gắng che giấu) việc kiểm duyệt Internet, sản xuất phần mềm độc hại và có hành động vi phạm bảo mật”. Hãng cũng lưu ý rằng ở Trung Quốc, nhiều người dùng am hiểu công nghệ cũng có cảnh báo tương tự về CNNIC.

Một trong những lỗ hổng quan trọng trong cơ cấu của CNNIC là: người đứng đầu cơ quan này cũng đồng thời là người phụ trách kiểm duyệt Internet trong Đảng Cộng sản Trung Quốc, ông Lỗ Vĩ.

Ông Lỗ là giám đốc văn phòng tổng của nhóm lãnh đạo trung ương về bảo mật và thông tin Internet, và là Phó trưởng Ban Tuyên giáo Trung ương.

Trong một thông cáo báo chí, GreatFire đã cáo buộc rằng ông Lỗ Vĩ và cơ quan quản lý không gian ảo (CAC) là “đồng lõa trong vụ tấn công vào các thuộc tính Internet trước đây”.

“Hiện tại, chúng tôi đã có bằng chứng cụ thể cho thấy CAC và CNNIC đứng đằng sau những hành động sai phạm và đang gây nguy hiểm cho sự an toàn và an ninh trên Internet cho tất cả mọi người”, tổ chức này tuyên bố.

Joshua Philipp, Thời báo Đại Kỷ Nguyên tiếng Anh

Ánh Sao biên dịch

Xem thêm:

Bài Liên Quan

Quảng Cáo:

loading...

Clip hay: