New York Times đã tự cứu mình khỏi tin tặc như thế nào?

(ICTPress) - Vào buổi chiều Thứ Ba ngày 27/8, trang web của Thời báo New York (New York Times - Times) không thể truy cập được và lúc được lúc không vào ngày 28/8.

Làm thế nào mà một trong những công ty truyền thông lớn nhất trên thế giới bị sập 1 ngày và hơn thế?

Trang web của New York Times đã bị tấn công bằng một hệ thống tên miền, mà những tin tặc đã nhắm vào hệ thống phù hợp với URL của trang web - như nytimes.com - đến các server nơi mà các nội dung của trang web được lưu trữ. Không có nội dung nào của New York Times bị ảnh hưởng; người đọc chỉ không tìm thấy nội dung.

Bí quyết: Quy định an ninh đơn giản có thể đã ngăn chặn được cuộc tấn công.

Các thông tin DNS của New York Times được một công ty có trụ sở tại Australia có tên là Melbourne IT quản lý. Đây là một công ty thương mại có nhiệm vụ chính là quản lí việc đăng kí, bảo lưu tên miền Internet quốc tế (registrar) tương tự như công ty GoDaddy của Mỹ.

Dường như các tin tặc tấn công New York Times có thể đã thâm nhập an ninh của Melbourne IT bằng cách lấy mật khẩu và tên người sử dụng của một người quản trị.

Marc Frons, Giám đốc CNTT của Times cho biết bài báo riêng của tờ báo này về vụ tấn công mà thủ phạm có thể là “Quân đội điện tử Syria (SEA) hoặc ai đó đang cố gắng làm khó họ”.

Điều này không nói gì nhiều. SEA là một nhóm tin tặc được cho là có liên hệ lỏng lẻo hay ủng hộ chế độ của Tổng thống Syria Bashar al-Assad. SEA cũng rất tích cực gần đây, trong vài tháng qua, đã nhận trách nhiệm các cuộc tấn công vào The Onion, National Public Radio và trang blog của nhà báo Anh Jon Snow (không liên hệ tới Game of Thrones).

Thế nào là một cuộc tấn công DNS?

DNS là một phần quan trọng của kiến trúc thông tin của Internet.

“DNS về cơ bản vẫn như vậy kể từ khi Web bắt đầu… và ngay từ ban đầu DNS không được xây dựng để hỗ trợ Web như hiện nay”,  Kevin O'Brien, một kiến trúc sư các giải pháp doanh nghiệp từ Cloudlock, một công ty an ninh dữ liệu dựa trên đám mây cho biết.

Theo O'Brien, DNS có một số lỗi cấu trúc, mà các tin tặc đã khai thác để đánh sập New York Times.

Đây là cách DNS vận hành: khi bạn muốn vào một trang web, bạn gõ tên miền của trang web đó. Trong trường hợp của New York Times, đó là nytimes.com, các quyền mà New York Times đã mua từ Melbourne IT.

Khi Melbourne IT đã đăng ký tên miền này, công ty này đã tạo một đăng nhập trong đăng ký DNS kết nối "nytimes.com" tới địa chỉ giao thức Internet của các server New York Times, 170.149.168.130.

Việc đăng ký này (registry) là cần thiết bởi vì các tên miền được thiết kế để nhiều người, chứ không phải máy tính, dễ dàng hiểu được. Các tên miền không chỉ đến nội dung Web theo cách mà một máy tính có thể hiểu. Tương tự, các địa chỉ IP không thân thiện người sử dụng cho nhiều người.

Do đó khi bạn gõ "nytimes.com”, trình duyệt web của bạn kết nối bạn tới một trong nhiều server DNS mà ở đó việc đăng ký được lưu và phù hợp các chữ với địa chỉ IP được đăng ký tương ứng 170.149.168.130.

Các tin tặc nhắm vào đăng ký này. Chúng đã lấy một tên người sử dụng và mật khẩu của Melbourne IT, thâm nhập vào hệ thống của công ty này và thay đổi các thông tin DNS mà sau đó đi đến các server DNS trên Internet.

O'Brien likened DNS servers to a phonebook: people can search the book by a person's name and find the entry that connects the person to a telephone number. What the hackers did is like changing the number next to the New York Times' name in the phonebook.

O'Brien đã ghi các server DNS vào một danh bạ điện thoại: mọi người có thể tìm kiếm danh bạ theo tên người và tìm thấy cách thâm nhập có kết nối người tới một số điện thoại. Những gì các tin tặc làm là giống như thay đổi số gần với tên của New York Times trong danh bạ điện thoại.

Việc thay đổi này có thể mất 15 phút để thực hiện, O'Brien cho biết. Một khi các tin tặc thực hiện thay đổi, sẽ mất một lúc để thay đổi này lan rộng đến các server DNS trên Internet.

Đối với một cửa sổ chính, gõ nytimes.com vào trình duyệt sẽ dẫn bạn không phải đến các server của Times, nhưng tới một trang web chủ đề SEA có thông điệp “bị tấn công bởi Quân đội điện tử Syria”.

Phần lớn thời gian, các trình duyệt đơn giản không thể định vị một địa chỉ IP liên quan tới tên miền www.nytimes.com, do một thông báo lỗi trình duyệt.

Về mặt kỹ thuật, các trang web không cần tên miền, và trang báo Times không bị sập hoàn toàn. Nhưng để truy cập, bạn sẽ phải biết địa chỉ IP 170.149.168.130 và nhập vào trình duyệt của bạn.

Làm thế nào để ngăn chặn một cuộc tấn công DNS

New York Times đã có thể ngăn chặn cuộc tấn công này?  Vì luôn có nguy cơ an ninh trực tuyến, nên không có gì dễ dàng. Có thông tin cho rằng Times và Melbourne IT đã thực hiện một số việc để làm cuộc tấn công này khó khăn hơn và thậm chí việc đánh sập đã không khả thi.

Ví dụ, 2 đơn vị này đã thực hiện khóa đăng ký. Thường thì các cơ quan đăng ký DNS cho khách hàng lựa chọn, điều này khi được triển khai sẽ khó khăn cho bất cứ ai muốn thay đổi các thông tin DNS, có thể quản lý các link giữa một tên miền và một địa chỉ IP. Bất lợi của khóa đăng ký này là nó có thể kéo dài thời gian cần thiết để thực hiện bất cứ thay đổi cấu trúc nào cho cơ quan đăng ký.

Tuy nhiên, O'Brien đã chỉ ra rằng các tin tặc không thực hiện bất cứ đe dọa quan trọng nào đối với cả cấu trúc trang web của New York Times hay Melbourne IT. Đúng hơn, những tin tặc đã lấy được các ủy nhiệm đăng nhập do cướp hay lừa một nhân viên để lấy thông tin. Đây là một sự khác biệt giữa việc đánh đổ một cánh cửa và ăn cắp chìa khóa.

“Lý do tôi nhận biết được cuộc tấn công này khá non nớt là vì ai đó đã lấy tên người sử dụng và mật khẩu và thâm nhập vào hệ thống của Melbourne IT. Chúng không làm việc gì kiểu siêu công nghệ hay phức tạp. Điều này về cơ bản không phải là Melbourne IT thất bại, đó là những đề phòng đã không được đặt đúng chỗ”.

Những đề phòng đó có thể đã được triển khai gồm xác thực hai yếu tố, yêu cầu người muốn đăng nhập vào một hệ thống để biết một mật khẩu và sau đó đi vào một số thông tin - thường là một loạt số được gõ chữ lên điện thoại di động. Nếu không có điện thoại di động chính xác - thì khó lấy cắp hơn là mật khẩu - tin tặc không thể thâm nhập vào hệ thống.

Nhưng bản thân kiến trúc DNS là gì? Nếu đường trục Internet bị lỗi cơ bản hoặc lỗi thời, đã đến lúc thay DNS bằng một hệ thống tốt hơn.

“Điều này nảy ra vấn đề theo thời gian, và có những ý tưởng cho các loại quản lý ghi chép khác. Ví dụ, một số chuyên gia đã gợi ý một vài loại mở rộng trình duyệt mà có thể giúp “chia tải” kết nối các tên miền với các địa chỉ IP.

Tuy nhiên, triển khai kiểu thay đổi lướt qua này có nghĩa là thay đổi toàn diện cách Internet làm việc. “Bạn cần ai đó có quyền ở cấp chính phủ và có thể là cấp liên chỉnh phủ, để sáng tạo một Internet không phụ thuộc DNS”, O'Brien cho biết.

Cấu trúc Internet đã không thay đổi trong nhiều năm, có nghĩa là sẽ không thể sớm thay đổi.

“Bạn có thể quay lại giữa những năm 1990 và thấy vào thời điểm đó một số nơi dễ bị khai thác nhất [ở DNS] đã bị các tin tặc nổi tiếng phơi bày. Và lúc này năm 2013 chúng ta vẫn dễ dàng bị khai thác”, O'Brien cho biết.

 QM