Vấn Đề Hạ Tầng Gây Ra Vô Số Sự Cố Mất Kết Nối Internet

Trong khoảng vài tuần vào năm 2014, các hacker đã đánh cắp hàng ngàn đô la mỗi ngày từ các chủ sở hữu tiền điện tử. Năm 2017, sự cố mất kết nối Internet xuất hiện khắp Hoa Kỳ trong vài giờ. Năm ngoái, Google Cloud gặp sự cố kéo dài hàng giờ. Đầu tháng này, một phần lớn dữ liệu di động châu Âu đã bị chuyển hướng qua mạng của Trung Quốc do nhà nước hậu thuẫn. Và vào thứ Hai, các trang web và dịch vụ trên toàn thế giới—bao gồm cả công ty hạ tầng internet Cloudflare—gặp sự cố trong vài giờ. Những sự kiện này có vẻ khác nhau, nhưng thực sự tất cả đều xuất phát từ vấn đề—một số tình cờ, một số có chủ đích—với một hệ thống định tuyến internet cơ bản gọi là Giao thức Cổng Biên Giới.

Trang web được phân phối, nhưng cũng liên kết. Điều này là cần thiết để dữ liệu có thể di chuyển trên toàn cầu mà không bị kiểm soát bởi một đơn vị duy nhất. Vì vậy, mỗi khi bạn tải một trang web hoặc gửi một email, BGP là hệ thống chịu trách nhiệm tối ưu hóa tuyến đường mà dữ liệu di chuyển qua những mạng phức tạp và liên kết này. Và khi nó gặp vấn đề, toàn bộ internet cảm nhận được.

Ban đầu được nảy ra vào năm 1989 (trên hai tờ giấy lót), phiên bản của BGP sử dụng ngày nay vẫn giữ nguyên chủ yếu từ năm 1994. Mặc dù BGP đã mở rộng một cách đáng kể, không thể phủ nhận rằng internet đã khác rất nhiều so với 25 năm trước. Trên thực tế, cách BGP được thiết kế mang lại nguy cơ mất kết nối, thao tác và chặn dữ liệu—tất cả đã xảy ra.

Các bộ định tuyến cột sống của internet—những nút công nghiệp lớn thường do các nhà cung cấp dịch vụ internet quản lý, không phải là Linksys ở nhà bạn—mỗi cái điều khiển một bộ địa chỉ IP và các tuyến đường. Các nhà cung cấp dịch vụ internet và các tổ chức lớn khác sử dụng BGP để thông báo những tuyến đường này cho thế giới và tính toán các con đường. Hãy tưởng tượng như bạn đang lên kế hoạch cho một chuyến đi xuyên quốc gia: Bạn cần biết về các lựa chọn tuyến đường khác nhau trong mỗi khu vực, để bạn có thể ghé thăm tất cả các mê cung ngô đúng và chiếc ghế đ rocking lớn nhất thế giới mà không thêm quá nhiều đoạn lái xe mỗi ngày. Nhưng nếu GPS của bạn lỗi thời, bạn có thể kết thúc ở một con đường cụt hoặc trên một con đường mới hoàn toàn tránh qua bãi muối.

Trên internet, việc dữ liệu đến đúng nơi là quan trọng, nhưng BGP dựa vào một điều hơi trơn tru: sự tin cậy. Giao thức không được thiết kế để xác minh độc lập các tuyến đường của các mạng cá nhân. Nếu những hệ thống tự động được gọi là thông báo nhầm tuyến đường—hoặc bị chiếm đoạt để phát sóng tuyến đường không chính xác—luồng dữ liệu bắt đầu chồng chéo hoặc chuyển hướng theo cách tạp nham có thể dẫn đến vấn đề kết nối. Đó giống như nếu hacker thiết lập biển chuyển hướng hoặc thay đổi tên đường, để bạn vào một con đường dẫn đến nhà của bố mẹ đồng hương thay vì một công viên nước. Và nếu một kẻ tấn công chế tạo một trong những sự chuyển hướng này cẩn thận, họ có thể thậm chí kiểm soát luồng dữ liệu để chặn nó.

"Đó là một giao thức được xây dựng với tư duy dựa trên sự tin cậy," nói Jérôme Fleury, giám đốc kỹ thuật mạng cho Cloudflare. "Không có cơ chế bảo mật vào thời điểm đó; thực sự không có gì ngoại trừ sự tin tưởng. Và nó thực sự hoạt động khá tốt trong nhiều năm. Nhưng vấn đề chính bây giờ là bạn sẽ tìm thấy nhiều diễn viên xấu trên internet, và bạn sẽ tìm thấy những diễn viên xấu thực sự có thể vận hành bộ định tuyến ngay bây giờ. Và con người cũng dễ mắc lỗi. Vì vậy câu hỏi là, làm thế nào chúng ta di chuyển đồng hồ từ định tuyến BGP dựa trên niềm tin sang một khuôn khổ có xác thực?"

BGP không phải là hệ thống internet lịch sử duy nhất có vấn đề về sự tin tưởng. Một giao thức cơ bản khác, được biết đến là Hệ thống Tên Miền, đã đối mặt với các vấn đề tương tự. Nếu BGP là hệ thống định hướng của internet, DNS là cuốn sổ địa chỉ của nó. Chiếm đoạt DNS đã trở thành một vấn đề an ninh lớn trên toàn thế giới, và Bộ An Ninh Nội địa thậm chí đã ban hành chỉ thị khẩn cấp vào tháng 1 nhằm bảo vệ tài khoản DNS.

Tuy nhiên, giống như DNS, lo ngại về BGP đã tồn tại từ hàng thập kỷ. Vào năm 1998, ví dụ, một nhóm hacker từ tổ chức L0pht đã nổi tiếng làm chứng trước Quốc hội rằng họ có thể làm ngừng internet trong 30 phút bằng cách tấn công BGP. Mười năm sau, Kim Zetter đánh giá tình trạng không an toàn của BGP trên MYTOUR, viết: "Chính phủ và các quan chức ngành công nghiệp đã biết về vấn đề này hơn một thập kỷ và tuy nhiên đã tiến triển rất ít trong việc giải quyết nó, mặc dù có những ảnh hưởng quan trọng đến an ninh quốc gia".

Một thập kỷ nữa trôi qua, hàng nghìn sự cố định tuyến BGP xảy ra mỗi năm. Và trong khi hầu hết là nhỏ và tình cờ, ngày càng có nhiều cuộc tấn công mục tiêu, hiểm độc. Tháng 12, cố vấn cấp cao NSA Rob Joyce cụ thể đề cập đến tình trạng không an toàn của BGP như một mối đe dọa ngày càng cấp bách trong phòng thủ an ninh mạng quốc tế.

Do sự nhanh chóng hồi sinh này trong vài năm qua, cộng đồng bảo tồn internet và tiêu chuẩn đã bắt đầu đạt được tiến triển thực sự trong việc khuyến khích cấu hình BGP an toàn và thêm xác thực tuyến đường. Năm 2017, Viện Tiêu chuẩn và Công nghệ Quốc gia hợp tác với DHS để phát triển một bộ tiêu chuẩn phòng thủ định tuyến được xuất bản bởi Tổ chức Nhiệm vụ Kỹ thuật Internet. Năm ngoái, các nhà nghiên cứu đã xuất bản một khuôn khổ phòng thủ tấn công BGP cho các nhà điều hành mạng do Quỹ Nghiên cứu Khoa học Quốc gia, DHS và Hội đồng Nghiên cứu Châu Âu tài trợ. Và kể từ năm 2014, một liên minh ngày càng lớn của các nhà điều hành mạng và Tổ chức Xã hội Internet đã đang lập mã và khuyến khích các biện pháp an toàn BGP thông qua MANRS, hay còn gọi là Thỏa thuận Chung Nhau về Quy Chuẩn An Ninh Định Tuyến.

Ngay cả khi tất cả những sáng kiến này đang nhận được đà tăng, vẫn khó để đưa mọi ISP và nhà điều hành mạng triển khai những thay đổi đó. Nhưng nhiều người chơi lớn ít nhất là đã đồng thuận triển khai bộ lọc tuyến đường và RPKI, như AT&T, nhóm hạ tầng Thụy Điển NetNod, tập đoàn viễn thông lớn của Nhật Bản NTT Communications, và Cloudflare chính.

Vấn đề ghép hình được trình bày rõ trong sự cố của Cloudflare tuần này. Công ty thép Pennsylvania Allegheny Technologies sử dụng hai nhà cung cấp internet để kết nối. Nó nhận thông tin định tuyến ngẫu nhiên và không chính xác từ một nhà cung cấp, một nhà cung cấp dịch vụ internet tại Miền Tây nhỏ, và vô tình chuyển tiếp nó đến nhà cung cấp khác, Verizon. Nhà cung cấp nhỏ hơn đã bắt đầu sai sót định tuyến, nhưng Verizon—một khối lớn với tài nguyên khổng lồ—cũng không triển khai bộ lọc BGP và kiểm tra xác thực mà đã bắt lỗi. Thiếu những bảo vệ này, khách hàng của Verizon trên toàn thế giới, bao gồm cả Cloudflare, đã trải qua sự cố và thất bại. Verizon không phản hồi yêu cầu bình luận về sự cố.

"Hoạt động của ATI không phải là nguyên nhân cũng như không bị ảnh hưởng," một người phát ngôn của Allegheny nói với MYTOUR. "Chúng tôi mong đợi Verizon giải quyết vấn đề một cách nhanh chóng đại diện cho tất cả người dùng."

Nếu sự cố vào thứ Hai được gây ra bởi hacker, họ có thể sử dụng chuỗi sự cố như một cuộc tấn công từ chối dịch vụ—chặn người dùng truy cập vào các trang web và dịch vụ web phổ biến trên khắp thế giới. Trong các loại tấn công BGP khác, giống như vụ tấn công vào các nhà cung cấp dịch vụ viễn thông châu Âu vào đầu tháng này, một kẻ tấn công có thể chuyển hướng giao thông mạng một cách chiến lược để theo dõi hoặc thu thập thông tin tình báo. Đây là lý do tại sao phòng thủ BGP quan trọng đến vậy. Chúng không chỉ bảo vệ trước những gián đoạn dịch vụ do lỗi, mà còn bảo vệ cơ bản về an ninh và quyền riêng tư trên internet.

"Điều này là minh chứng cho sự tài năng của những giao thức Internet sớm, bao gồm cả BGP, mà chúng ta đã có thể mở rộng chúng ngoài giới hạn thiết kế dự kiến ban đầu," nói Roland Dobbins, kỹ sư chính tại công ty an ninh mạng Netscout Arbor. "Những người không chuyên thường xem internet như một cái gì đó công nghệ cao, rực rỡ như tàu vũ trụ Enterprise. Nhưng không phải như vậy chút nào. Nó giống như một tàu chiến Hải quân Hoàng gia thế kỷ 18. Có rất nhiều chạy nhảy và la hét và kêu gọi và kéo dây để cố gắng đưa mọi thứ vào hướng đúng."

• Instagram ngọt ngào và hơi nhạt nhòa—nhưng quảng cáo!
• Thay đổi cuộc sống của bạn: cưỡi ngựa cầu vồng
• Jigsaw mua chiến dịch troll Nga như một thí nghiệm
• Mọi thứ bạn muốn—và cần—biết về người ngoài hành tinh
• Một chuyến đi nhanh qua đồi trong chiếc Porsche 911 hybrid
• 💻 Nâng cấp trò chơi làm việc của bạn với laptop, bàn phím, phương án thay thế gõ, và tai nghe chống ồn yêu thích của đội ngũ Gear chúng tôi
• 📩 Muốn thêm không? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện mới và tuyệt vời nhất của chúng tôi