khigiadano
15-07-2008, 11:26 AM
“Human is error"
Nhiều năm làm việc trong lĩnh vực infosec với không ít kỷ niệm vui buồn, thứ duy nhất làm tôi cảm thấy không trọn vẹn trong nghề nghiệp chính là “quái thú DDOS”. Suy cho cùng tất cả mọi vấn đề phức tạp của Internet đều xuất phát từ con người. Chúng ta đă để cho bản ngă dẫn dắt, chúng ta đă tạo điều kiện và nuôi dưỡng con quái thú này."
Rồi một ngày nào đó, chính nó sẽ huỷ diệt một hệ thống giao tiếp lớn nhất và hữu ích nhất hiện tại. Câu nhận định của người xưa - “Human is error” - nghe thật xót xa nhưng cũng thật chí lư!
Một Internet đầy khiếm khuyết
Cho đến tận bây giờ Internet vẫn mang trong ḿnh nó những khiếm khuyết từ lúc nó được xây dựng – những khiếm khuyết của quá tŕnh thiết kế ra Internet. Một số khiếm khuyết là do giới hạn về tầm nh́n và sự chủ quan, đa số các khiếm khuyết c̣n lại là do con người vô t́nh hay cố t́nh tạo ra:
Người Mỹ áp đặt free speak – Internet nặc danh toàn phần
Thật khó tin, một hệ thống với hơn 1 tỷ người tham gia sử dụng lại không hề có cơ chế định danh người dùng!
Điều này có nghĩa là bản chất thiết kế của Internet không hề đ̣i hỏi người dùng phải xác thực khi sử dụng. Muốn dùng internet? Bạn chỉ cần ngồi vào bất cứ máy tính nào có kết nối và sử dụng nó. Internet không quan tâm danh tính, dấu vân tay ... , hay bất cứ thứ ǵ khác ở bạn!
Rất ít người dám chạy ra đường và … cướp giật một thứ ǵ đó của người khác. Nhưng ở trên Internet, họ sẽ rất tự tin khi thực hiện một hành vi xấu, bởi v́ họ biết Internet che chở cho họ!
Theo tôi nghĩ, nếu muốn người Mỹ đă có thể tạo ra một Internet an toàn hơn bằng cách “ép buộc” mọi người dùng xác thực danh tính trước khi sử dụng. Về kỹ thuật điều này có thể hiện thực rất đơn giản, bạn có thể h́nh dung trước khi có thể sử dụng internet bạn phải cung cấp dấu vân tay để kích hoạt network interface!
Người Mỹ không quan tâm đến vấn đề này, v́ họ thích free speak và “áp đặt” đặc tính free speak cho toàn Internet. Loài người sử dụng Internet-nặc danh, họ sẽ rất tự tin để free speak. Tuy nhiên, khi nặc danh loài người lại trở nên rất hoang dă và thể hiện rơ nét đặc tính “con” của ḿnh. Họ tấn công lẫn nhau, đánh cướp, v..v.
Về kỹ thuật, giao tiếp trên Internet là trực tiếp thuần tuư. A giao tiếp với B sẽ không cần phải xin phép C, bản chất thiết kế của Internet hỗ trợ điều này và mọi nỗ lực kiểm soát thông tin của C sẽ dễ dàng bị vô hiệu hoá. Bạn có thể nh́n thấy điều này với các website bị firewall bởi ISP sẽ dễ dàng bị vô hiệu bằng vô số proxy trên Internet hoặc các kỹ thuật tunneling. Internet là do người Mỹ thiết kế, quản lư, kiểm soát, khai thác và họ có khả năng áp đặt !!!
Loài người hành xử cục bộ - Internet thiếu khả năng phối hợp
Có rất nhiều vấn đề của Internet về phương diện kỹ thuật rất dễ giải quyết, nhưng do chúng ta hành xử cục bộ nên đă không giải quyết được.
Điển h́nh là vấn đề giả mạo địa chỉ IP. Nếu triệt tiêu được khả năng giả mạo địa chỉ IP th́ gần như giải được 80% bài toán nặc danh và cả những bài toán khác của Internet.
Yêu cầu kỹ thuật để loại trừ vấn đề giả mạo địa chỉ IP là mỗi network owner phải thực hiện lọc (filter) kiểm soát các packet đi ra khỏi hệ thống của mạng ḿnh và loại trừ các packet có địa chỉ nguồn không thích hợp. Làm việc này mất năm phút, đơn giản là thêm vào vài ḍng trong access list của border router. Hơn hai mươi năm qua, vấn đề giả mạo địa chỉ vẫn không giải quyết được! Đơn giản chỉ v́ việc giả mạo địa chỉ IP không ảnh hưởng trực tiếp đến network owner – chủ nghĩa “mặc kệ nó” điển h́nh.
Điều ǵ sẽ xảy ra nếu các quốc gia không phối hợp với nhau để giải quyết các vấn nạn của Internet. Một số hệ thống của nước X bị hacker nước Z sử dụng để tấn công mạng của nước Y, các quốc gia này sẽ phối hợp với nhau như thế nào? Làm sao để trừng phạt hành vi của hacker nếu không có thoả thuận về luật ??! Hiện tại hầu như chưa có bước tiến nào của các quốc gia trong việc chuẩn bị cho các khả năng này!
Bản chất của "quái thú" DDOS
Tấn công DDOS không có ǵ phức tạp về phương diện kỹ thuật. Định nghĩa đơn thuần của tấn công DDOS : “Là một kiểu tấn công đưa một hệ thống cung cấp dịch vụ đến mức hoạt động tới hạn về tài nguyên, hay gây nhầm lẫn logic dẫn đến hệ thống ngừng hoạt động”.
Khỉkhông giải thích nhiều bản chất của DDOS, và tránh việc truyền tải thông tin độc hại.
Pḥng chống Flash-DDOS là cực kỳ khó khăn, V́ sao vậy?
+ Không thể phân biệt giữa request tấn công và request thông thường vào hệ thống. Khi số lượng request đến hệ thống rất lớn th́ người quản trị sẽ cần “gạt bỏ” bớt các request tấn công, tuy nhiên anh ta sẽ gặp khó khăn trong việc “t́m và diệt” request tấn công.
+ Tấn công đến từ mọi phía: có mạng lưới tấn công linh hoạt nên hầu như không thể nhận diện request tấn công từ địa chỉ IP nguồn
+ Tất cả biện pháp kỹ thuật an toàn thông tin đều gặp phải một giới hạn thực tế-đó là tài nguyên của mọi hệ thống đều là hữu hạn. Khi xử lư các request th́ các biện pháp này sẽ sử dụng tài nguyên của hệ thống, khi số lượng request là rất lớn th́ chính việc xử lư “t́m và diệt” sẽ ngốn hết tài nguyên của hệ thống (CPU, RAM, ...)
- Truy lùng thủ phạm tấn công Flash-DDOS gặp nhiều khó khăn: hacker chỉ tiếp xúc các 3rd party website 1 lần duy nhất để upload flash và anh ta có quyền chọn lựa! Quá tŕnh tấn công là tự xảy ra và bất đồng bộ, nên anh ta chỉ cần upload và sau đó mọi việc tự diễn ra. Hệ thống nạn nhân hầu như không thể biết các 3rd party website đang “treo” flash tử thần (trừ khi hacker không đủ tŕnh độ và để lộ referer trong các flash request-trường hợp này ngày càng ít). Chỉ có chính user đang bị lợi dụng tấn công hoặc các ISP mới tiếp xúc trực tiếp các 3rd party website đang “treo” flash tử thần, user th́ không thể biết và không cần biết, ISP th́ có thể biết và không có trách nhiệm phải làm! Nạn nhân bị thiệt hại nhiều nhất và cảm thấy cô độc nhất – đặc biệt nếu họ là các doanh nghiệp có hoạt động diễn ra trên mạng – doanh nghiệp thương mại điện tử.
Quái thú và bản ngă của "netizen"
Các kiếm khuyết của Internet sẽ càng làm các bản ngă của con người bộc lộ rơ nét. Flash-DDOS là vô cùng nguy hiểm, dễ thực hiện, hầu như không thể chống đỡ hay truy lùng thủ phạm!
Bản ngă thứ nhất – muốn có quyền lực
Nắm quyền điều khiển hệ thống thông tin của người khác là một quyền lực! Để có quyền lực này, giới hacker chính quy sẽ phải nghiên cứu và làm việc thật nghiêm túc trong một thời gian rất dài (5-10 năm). Đối với họ, mục tiêu sau cùng của quá tŕnh hacking là nắm quyền điều khiển toàn bộ hệ thống – có thể coi đó là một thú vui, họ không phá hoại hay tước đoạt công sức của người khác. Đó là một tṛ chơi trí tuệ và mang lại sự phát triển cho các hệ thống thông tin.
Nhiều người muốn có quyền lực này, nhưng họ lại không muốn làm việc và không muốn chờ đợi lâu! Họ sử dụng “quái thú DDOS”, họ muốn có một quyền lực đơn giản là làm cho một hệ thống bị ngưng hoạt động và từ đó họ cho rằng ḿnh đă đạt đến quyền lực tối thượng – quyền sinh sát!
Thật ra, họ đă đặt dấu chấm hết cho con đường trở thành một hacker chính quy và bước vào bóng tối với những kiến thức và mục tiếu hết sức nông cạn. Điểm thú vị của tṛ chơi là ở quá tŕnh chơi, kết quả th́ có ǵ là quan trọng?
Sao lại chơi một tṛ chơi mà bạn có quá nhiều lợi thế, buộc người khác phải tham gia và luôn gây thiệt hại nặng nề cho xă hội?
Bản ngă thứ hai – tham lam và bất tài
Gần đây có rất nhiều vụ DDOS v́ các nguyên nhân kinh tế, các doanh nghiệp TMĐT vừa chớm h́nh thành trong quá tŕnh cạnh tranh đă “huy động” DDOS như một phương cách cạnh tranh và đoạt tiên cơ trên thị trường hết sức nóng bỏng này!
Một đồng xu bạn bỏ ra để thuê DDOS chính là một nhát cuốc đào mồ chôn TMĐT của Việt Nam - trong đó có bạn. Hăy suy nghĩ và hành động thật chín chắn! Hăy tạo ra các sản phẩm tốt, giá rẻ, dịch vụ chu đáo, thị trường sẽ có chọn lựa của nó.
Bản ngă thứ ba – ích kỷ cục bộ và dối trá
Để giải quyết bài toán DDOS rất cần sự phối hợp của nhiều đối tượng: người dùng cuối, ISP, các nhà làm luật, các chuyên gia, …
Nhận thấy nguy cơ từ DDOS, chúng ta vẫn c̣n chậm chân trong việc đưa những cánh tay ra cùng nhau giải quyết vấn nạn này. Chúng ta đang cố thủ trong cái vỏ ốc cá nhân và chờ đợi một phép màu xảy ra để DDOS không c̣n tồn tại. Điều này là không thể, ít nhất là trong 05 năm tới, đă đến lúc phải hành động!
Là những chuyên gia, chúng ta phải trung thực và thật sự có những nhận định đúng đắn về thảm hoạ này. Dối trá v́ bất cứ lư do ǵ đều là không thể chấp nhận được. Chúng ta không thể có bất kỳ dấu vết hay thông tin ǵ từ log trên các hệ thống, hăy nói sự thật về khả năng điều tra DDOS cho cộng đồng biết và cùng nhau nh́n nhận bản chất của vấn đề, từ đó đề ra các biện pháp phối hợp giải quyết! Không che dấu thông tin về một “nạn dịch” – điều mà mọi bác sĩ đều biết!
Kết luận
DDOS và các h́nh thái tấn công khác trên Internet là có thể khắc phục với sự quyết tâm cao và sự mạnh mẽ gạt bỏ các bản ngă của chúng ta, với sự cộng tác nhiệt t́nh và có trách nhiệm của các ISP.Trung tâm VNCERT ra đời là một sự đáp ứng cho các kỳ vọng lớn lao của cộng đồng TMĐT Việt Nam. Tôi vẫn có niềm tin lớn vào sự ổn định của Internet Việt Nam trong thời gian sắp đến.
Nguồn : Mất tiêu
Nhiều năm làm việc trong lĩnh vực infosec với không ít kỷ niệm vui buồn, thứ duy nhất làm tôi cảm thấy không trọn vẹn trong nghề nghiệp chính là “quái thú DDOS”. Suy cho cùng tất cả mọi vấn đề phức tạp của Internet đều xuất phát từ con người. Chúng ta đă để cho bản ngă dẫn dắt, chúng ta đă tạo điều kiện và nuôi dưỡng con quái thú này."
Rồi một ngày nào đó, chính nó sẽ huỷ diệt một hệ thống giao tiếp lớn nhất và hữu ích nhất hiện tại. Câu nhận định của người xưa - “Human is error” - nghe thật xót xa nhưng cũng thật chí lư!
Một Internet đầy khiếm khuyết
Cho đến tận bây giờ Internet vẫn mang trong ḿnh nó những khiếm khuyết từ lúc nó được xây dựng – những khiếm khuyết của quá tŕnh thiết kế ra Internet. Một số khiếm khuyết là do giới hạn về tầm nh́n và sự chủ quan, đa số các khiếm khuyết c̣n lại là do con người vô t́nh hay cố t́nh tạo ra:
Người Mỹ áp đặt free speak – Internet nặc danh toàn phần
Thật khó tin, một hệ thống với hơn 1 tỷ người tham gia sử dụng lại không hề có cơ chế định danh người dùng!
Điều này có nghĩa là bản chất thiết kế của Internet không hề đ̣i hỏi người dùng phải xác thực khi sử dụng. Muốn dùng internet? Bạn chỉ cần ngồi vào bất cứ máy tính nào có kết nối và sử dụng nó. Internet không quan tâm danh tính, dấu vân tay ... , hay bất cứ thứ ǵ khác ở bạn!
Rất ít người dám chạy ra đường và … cướp giật một thứ ǵ đó của người khác. Nhưng ở trên Internet, họ sẽ rất tự tin khi thực hiện một hành vi xấu, bởi v́ họ biết Internet che chở cho họ!
Theo tôi nghĩ, nếu muốn người Mỹ đă có thể tạo ra một Internet an toàn hơn bằng cách “ép buộc” mọi người dùng xác thực danh tính trước khi sử dụng. Về kỹ thuật điều này có thể hiện thực rất đơn giản, bạn có thể h́nh dung trước khi có thể sử dụng internet bạn phải cung cấp dấu vân tay để kích hoạt network interface!
Người Mỹ không quan tâm đến vấn đề này, v́ họ thích free speak và “áp đặt” đặc tính free speak cho toàn Internet. Loài người sử dụng Internet-nặc danh, họ sẽ rất tự tin để free speak. Tuy nhiên, khi nặc danh loài người lại trở nên rất hoang dă và thể hiện rơ nét đặc tính “con” của ḿnh. Họ tấn công lẫn nhau, đánh cướp, v..v.
Về kỹ thuật, giao tiếp trên Internet là trực tiếp thuần tuư. A giao tiếp với B sẽ không cần phải xin phép C, bản chất thiết kế của Internet hỗ trợ điều này và mọi nỗ lực kiểm soát thông tin của C sẽ dễ dàng bị vô hiệu hoá. Bạn có thể nh́n thấy điều này với các website bị firewall bởi ISP sẽ dễ dàng bị vô hiệu bằng vô số proxy trên Internet hoặc các kỹ thuật tunneling. Internet là do người Mỹ thiết kế, quản lư, kiểm soát, khai thác và họ có khả năng áp đặt !!!
Loài người hành xử cục bộ - Internet thiếu khả năng phối hợp
Có rất nhiều vấn đề của Internet về phương diện kỹ thuật rất dễ giải quyết, nhưng do chúng ta hành xử cục bộ nên đă không giải quyết được.
Điển h́nh là vấn đề giả mạo địa chỉ IP. Nếu triệt tiêu được khả năng giả mạo địa chỉ IP th́ gần như giải được 80% bài toán nặc danh và cả những bài toán khác của Internet.
Yêu cầu kỹ thuật để loại trừ vấn đề giả mạo địa chỉ IP là mỗi network owner phải thực hiện lọc (filter) kiểm soát các packet đi ra khỏi hệ thống của mạng ḿnh và loại trừ các packet có địa chỉ nguồn không thích hợp. Làm việc này mất năm phút, đơn giản là thêm vào vài ḍng trong access list của border router. Hơn hai mươi năm qua, vấn đề giả mạo địa chỉ vẫn không giải quyết được! Đơn giản chỉ v́ việc giả mạo địa chỉ IP không ảnh hưởng trực tiếp đến network owner – chủ nghĩa “mặc kệ nó” điển h́nh.
Điều ǵ sẽ xảy ra nếu các quốc gia không phối hợp với nhau để giải quyết các vấn nạn của Internet. Một số hệ thống của nước X bị hacker nước Z sử dụng để tấn công mạng của nước Y, các quốc gia này sẽ phối hợp với nhau như thế nào? Làm sao để trừng phạt hành vi của hacker nếu không có thoả thuận về luật ??! Hiện tại hầu như chưa có bước tiến nào của các quốc gia trong việc chuẩn bị cho các khả năng này!
Bản chất của "quái thú" DDOS
Tấn công DDOS không có ǵ phức tạp về phương diện kỹ thuật. Định nghĩa đơn thuần của tấn công DDOS : “Là một kiểu tấn công đưa một hệ thống cung cấp dịch vụ đến mức hoạt động tới hạn về tài nguyên, hay gây nhầm lẫn logic dẫn đến hệ thống ngừng hoạt động”.
Khỉkhông giải thích nhiều bản chất của DDOS, và tránh việc truyền tải thông tin độc hại.
Pḥng chống Flash-DDOS là cực kỳ khó khăn, V́ sao vậy?
+ Không thể phân biệt giữa request tấn công và request thông thường vào hệ thống. Khi số lượng request đến hệ thống rất lớn th́ người quản trị sẽ cần “gạt bỏ” bớt các request tấn công, tuy nhiên anh ta sẽ gặp khó khăn trong việc “t́m và diệt” request tấn công.
+ Tấn công đến từ mọi phía: có mạng lưới tấn công linh hoạt nên hầu như không thể nhận diện request tấn công từ địa chỉ IP nguồn
+ Tất cả biện pháp kỹ thuật an toàn thông tin đều gặp phải một giới hạn thực tế-đó là tài nguyên của mọi hệ thống đều là hữu hạn. Khi xử lư các request th́ các biện pháp này sẽ sử dụng tài nguyên của hệ thống, khi số lượng request là rất lớn th́ chính việc xử lư “t́m và diệt” sẽ ngốn hết tài nguyên của hệ thống (CPU, RAM, ...)
- Truy lùng thủ phạm tấn công Flash-DDOS gặp nhiều khó khăn: hacker chỉ tiếp xúc các 3rd party website 1 lần duy nhất để upload flash và anh ta có quyền chọn lựa! Quá tŕnh tấn công là tự xảy ra và bất đồng bộ, nên anh ta chỉ cần upload và sau đó mọi việc tự diễn ra. Hệ thống nạn nhân hầu như không thể biết các 3rd party website đang “treo” flash tử thần (trừ khi hacker không đủ tŕnh độ và để lộ referer trong các flash request-trường hợp này ngày càng ít). Chỉ có chính user đang bị lợi dụng tấn công hoặc các ISP mới tiếp xúc trực tiếp các 3rd party website đang “treo” flash tử thần, user th́ không thể biết và không cần biết, ISP th́ có thể biết và không có trách nhiệm phải làm! Nạn nhân bị thiệt hại nhiều nhất và cảm thấy cô độc nhất – đặc biệt nếu họ là các doanh nghiệp có hoạt động diễn ra trên mạng – doanh nghiệp thương mại điện tử.
Quái thú và bản ngă của "netizen"
Các kiếm khuyết của Internet sẽ càng làm các bản ngă của con người bộc lộ rơ nét. Flash-DDOS là vô cùng nguy hiểm, dễ thực hiện, hầu như không thể chống đỡ hay truy lùng thủ phạm!
Bản ngă thứ nhất – muốn có quyền lực
Nắm quyền điều khiển hệ thống thông tin của người khác là một quyền lực! Để có quyền lực này, giới hacker chính quy sẽ phải nghiên cứu và làm việc thật nghiêm túc trong một thời gian rất dài (5-10 năm). Đối với họ, mục tiêu sau cùng của quá tŕnh hacking là nắm quyền điều khiển toàn bộ hệ thống – có thể coi đó là một thú vui, họ không phá hoại hay tước đoạt công sức của người khác. Đó là một tṛ chơi trí tuệ và mang lại sự phát triển cho các hệ thống thông tin.
Nhiều người muốn có quyền lực này, nhưng họ lại không muốn làm việc và không muốn chờ đợi lâu! Họ sử dụng “quái thú DDOS”, họ muốn có một quyền lực đơn giản là làm cho một hệ thống bị ngưng hoạt động và từ đó họ cho rằng ḿnh đă đạt đến quyền lực tối thượng – quyền sinh sát!
Thật ra, họ đă đặt dấu chấm hết cho con đường trở thành một hacker chính quy và bước vào bóng tối với những kiến thức và mục tiếu hết sức nông cạn. Điểm thú vị của tṛ chơi là ở quá tŕnh chơi, kết quả th́ có ǵ là quan trọng?
Sao lại chơi một tṛ chơi mà bạn có quá nhiều lợi thế, buộc người khác phải tham gia và luôn gây thiệt hại nặng nề cho xă hội?
Bản ngă thứ hai – tham lam và bất tài
Gần đây có rất nhiều vụ DDOS v́ các nguyên nhân kinh tế, các doanh nghiệp TMĐT vừa chớm h́nh thành trong quá tŕnh cạnh tranh đă “huy động” DDOS như một phương cách cạnh tranh và đoạt tiên cơ trên thị trường hết sức nóng bỏng này!
Một đồng xu bạn bỏ ra để thuê DDOS chính là một nhát cuốc đào mồ chôn TMĐT của Việt Nam - trong đó có bạn. Hăy suy nghĩ và hành động thật chín chắn! Hăy tạo ra các sản phẩm tốt, giá rẻ, dịch vụ chu đáo, thị trường sẽ có chọn lựa của nó.
Bản ngă thứ ba – ích kỷ cục bộ và dối trá
Để giải quyết bài toán DDOS rất cần sự phối hợp của nhiều đối tượng: người dùng cuối, ISP, các nhà làm luật, các chuyên gia, …
Nhận thấy nguy cơ từ DDOS, chúng ta vẫn c̣n chậm chân trong việc đưa những cánh tay ra cùng nhau giải quyết vấn nạn này. Chúng ta đang cố thủ trong cái vỏ ốc cá nhân và chờ đợi một phép màu xảy ra để DDOS không c̣n tồn tại. Điều này là không thể, ít nhất là trong 05 năm tới, đă đến lúc phải hành động!
Là những chuyên gia, chúng ta phải trung thực và thật sự có những nhận định đúng đắn về thảm hoạ này. Dối trá v́ bất cứ lư do ǵ đều là không thể chấp nhận được. Chúng ta không thể có bất kỳ dấu vết hay thông tin ǵ từ log trên các hệ thống, hăy nói sự thật về khả năng điều tra DDOS cho cộng đồng biết và cùng nhau nh́n nhận bản chất của vấn đề, từ đó đề ra các biện pháp phối hợp giải quyết! Không che dấu thông tin về một “nạn dịch” – điều mà mọi bác sĩ đều biết!
Kết luận
DDOS và các h́nh thái tấn công khác trên Internet là có thể khắc phục với sự quyết tâm cao và sự mạnh mẽ gạt bỏ các bản ngă của chúng ta, với sự cộng tác nhiệt t́nh và có trách nhiệm của các ISP.Trung tâm VNCERT ra đời là một sự đáp ứng cho các kỳ vọng lớn lao của cộng đồng TMĐT Việt Nam. Tôi vẫn có niềm tin lớn vào sự ổn định của Internet Việt Nam trong thời gian sắp đến.
Nguồn : Mất tiêu