China's Great Firewall spreads overseas

Saturday, March 27, 2010 Long Nguyễn Hoàng 0 Comments

http://lh4.ggpht.com/_t-TerzRlVWg/S62W5JF6d7I/AAAAAAAACWw/-2JNd65JgA0/the-internet-in-china-great-firewall.jpg

Một lỗi mạng đã khiến cho các máy tính tại Chile và Mỹ nằm dưới sự kiểm soát của tường lửa Great Firewall của Trung Quốc, chuyển hướng những người muốn truy cập vào Facebook, Twitter và YouTube đến các máy chủ ở Trung Quốc.

Các chuyên gia bảo mật không chắc chắn chính xác cách thức xảy ra, nhưng điều đó cho thấy ít nhất một ISP mới đây đã bắt đầu lấy thông tin DNS cấp cao (miền tên máy chủ) từ cái được gọi là máy chủ DNS gốc, có trụ sở tại Trung Quốc. Máy chủ này nằm ngoài tầm kiểm soát của Trung Quốc, được điều khiển bởi nhà cung cấp dịch vụ Netnod (Thụy Điển), trả lại thông tin DNS dành cho người dùng Trung Quốc, có hiệu quả lan rộng mạng lưới kiểm duyệt của Trung Quốc ở nước ngoài. Trung Quốc kiểm soát chặt chẽ người truy cập một số trang web, sử dụng một công nghệ được biết đến với cái tên Great Firewall của Trung Quốc.

Vấn đề này đã được báo cáo hôm thứ Tư bởi Mauricio Ereche, một admin DNS với NIC Chile, người đã phát hiện ra rằng một ISP không tên tại địa phương báo rằng các truy vấn DNS cho các trang web như Facebook.com, Twitter.com và YouTube.com - tất cả đều đã bị chặn ở Trung Quốc - đã được chuyển đến một địa chỉ không có thật.

Chưa rõ vấn đề trên phổ biến tới mức nào. Ereche đã báo cáo rằng ông nhận được thông tin không có thật từ ba điểm truy cập mạng ở Chile, và một ở California, nhưng vào ngày thứ Năm, ông cho rằng, vấn đề không còn là ngẫu nhiên nữa. "Các dấu vết cho thấy rằng chúng ta đã không tới được máy chủ tại Trung Quốc", ông viết trong một bài đăng thảo luận nhóm.

Các chuyên gia mạng nói rằng vấn đề này xảy ra là do ít nhất một ISP bên ngoài đã chỉ các truy vấn DNS đến một máy chủ gốc có trụ sở tại Trung Quốc. Đây là điều mà các nhà cung cấp dịch vụ bên ngoài của Trung Quốc không nên làm bởi vì nó cho phép mạng lưới kiểm duyệt của Trung Quốc "rò rỉ" ra bên ngoài lãnh thổ nước này.

Các nhà nghiên cứu đã biết từ lâu rằng Trung Quốc đã thay đổi hoàn toàn DNS định tuyến thông tin để chuyển hướng người dùng tới các dịch vụ do chính phủ kiểm duyệt - chạy trên các máy chủ thay vì các trang web như Facebook và Twitter. Nhưng đây là lần đầu tiên công bố công khai rằng những bộ định tuyến (router) này đã bị rò rỉ ra bên ngoài Trung Quốc, theo Rodney Joffe, một gia công nghệ cao cấp của công ty dịch vụ DNS Neustar. "Một cách bất ngờ, hậu quả là những người bên ngoài Trung Quốc có thể gặp lỗi hoặc bị chuyển hướng đến các máy chủ tại Trung Quốc", ông nói.

Bằng cách sử dụng một máy chủ có nguồn gốc tại Trung Quốc, ISP cần phải cung cấp cho Trung Quốc cách kiểm soát tất cả các lưu lượng người dùng của họ qua mạng. Điều đó là các mối nguy an ninh lớn cho những người có mạng lưới được chấp nhận và các bộ định tuyến bị rò rỉ, Joffe nói.

ISP sử dụng các bộ định tuyến xấu có thể đã gây lỗi BGP (Border Gateway Protocol) của hệ thống, được sử dụng để định tuyến trên Internet, theo Danny McPherson, trưởng nhóm an ninh với Arbor Networks. "Tôi không nghĩ rằng nó đã được thực hiện do cố ý," ông nói. "Đây là ví dụ về việc một thông tin có thể bị hỏng hay bị rò rỉ, vượt ra ngoài giới hạn mà nó được đặt ra, dễ tới thế nào."

Trong tháng 2 năm 2008, thông tin BGP từ Pakistan - nơi vốn đã từng cấm cửa YouTube - đã được chia sẻ rộng rãi với quốc tế, khiến cho àng triệu người dùng bị khóa truy cập tới trang web video của Google.

Trong một thư điện tử, giám đốc điều hành Netnod Kurt Erik Lindqvist cho biết công ty của ông không lưu trữ các bộ định tuyến xấu trên máy chủ. Có nhiều khả năng chúng đã bị thay đổi bởi các máy nằm đâu đó trên mạng Trung Quốc, McPherson nói.

Sự cố này cho thấy rằng BGP vẫn còn là một liên kết yếu kém chủ yếu trên Internet, Joffe nói. "Điều đó thực sự làm đảo lộn quan điểm bảo mật và quan điểm riêng tư."

Đây là lần đầu tiên mà kiểu hành vi này được đưa ra công chúng, nhưng nó có vẻ đã xảy ra được một thời gian rồi. Trong một bài thảo luận nhóm vào ngày Thứ tư, nhà nghiên cứu Nominet Roy Arends nói rằng ông đã nghiên cứu vấn đề này một năm.

Arends đã biên soạn một danh sách 20 tên miền kích hoạt các loại kết quả xấu, báo cáo bởi Ereche. Arends đang giữ bí mật tên của những lĩnh vực, nhưng ông đã xuất bản một số dữ liệu của mình trong bài thảo luận của ông.

"Tôi đã muốn giữ nội bộ chuyện này, tuy nhiên, giờ thì sự thật đã được phơi bày", Arends đã viết.

0 comments: