"Quái thú DDoS" và bản ngã của con người

Tại sao DDoS - Một hình thái tấn công từ chối dịch vụ đã được các hacker chân chính không còn thừa nhận nữa - lại đang phổ biến và trở thành thứ vũ khí nguy hiểm đến mức không thể chống đỡ? Trong nhiều nguyên nhân, có một điều đau lòng là DDoS phát sinh từ chính những tham vọng xấu khi làm chủ và điều khiển được thông tin của những cá nhân.

“Human is error"

Nhiều năm làm việc trong lĩnh vực infosec với không ít kỷ niệm vui buồn, thứ duy nhất làm tôi cảm thấy không trọn vẹn trong nghề nghiệp chính là “quái thú DDOS”. Suy cho cùng tất cả mọi vấn đề phức tạp của Internet đều xuất phát từ con người. Chúng ta đã để cho bản ngã dẫn dắt, chúng ta đã tạo điều kiện và nuôi dưỡng con quái thú này."

Rồi một ngày nào đó, chính nó sẽ huỷ diệt một hệ thống giao tiếp lớn nhất và hữu ích nhất hiện tại. Câu nhận định của người xưa - “Human is error” - nghe thật xót xa nhưng cũng thật chí lý!

Một Internet đầy khiếm khuyết

Cho đến tận bây giờ Internet vẫn mang trong mình nó những khiếm khuyết từ lúc nó được xây dựng – những khiếm khuyết của quá trình thiết kế ra Internet. Một số khiếm khuyết là do giới hạn về tầm nhìn và sự chủ quan, đa số các khiếm khuyết còn lại là do con người vô tình hay cố tình tạo ra:

Người Mỹ áp đặt free speak – Internet nặc danh toàn phần

Thật khó tin, một hệ thống với hơn 1 tỷ người tham gia sử dụng lại không hề có cơ chế định danh người dùng!

Điều này có nghĩa là bản chất thiết kế của Internet không hề đòi hỏi người dùng phải xác thực khi sử dụng. Muốn dùng internet? Bạn chỉ cần ngồi vào bất cứ máy tính nào có kết nối và sử dụng nó. Internet không quan tâm danh tính, dấu vân tay ... , hay bất cứ thứ gì khác ở bạn!

Rất ít người dám chạy ra đường và … cướp giật một thứ gì đó của người khác. Nhưng ở trên Internet, họ sẽ rất tự tin khi thực hiện một hành vi xấu, bởi vì họ biết Internet che chở cho họ!

Theo tôi nghĩ, nếu muốn người Mỹ đã có thể tạo ra một Internet an toàn hơn bằng cách “ép buộc” mọi người dùng xác thực danh tính trước khi sử dụng. Về kỹ thuật điều này có thể hiện thực rất đơn giản, bạn có thể hình dung trước khi có thể sử dụng internet bạn phải cung cấp dấu vân tay để kích hoạt network interface!

Người Mỹ không quan tâm đến vấn đề này, vì họ thích free speak và “áp đặt” đặc tính free speak cho toàn Internet. Loài người sử dụng Internet-nặc danh, họ sẽ rất tự tin để free speak. Tuy nhiên, khi nặc danh loài người lại trở nên rất hoang dã và thể hiện rõ nét đặc tính “con” của mình. Họ tấn công lẫn nhau, đánh cướp, v..v.

Về kỹ thuật, giao tiếp trên Internet là trực tiếp thuần tuý. A giao tiếp với B sẽ không cần phải xin phép C, bản chất thiết kế của Internet hỗ trợ điều này và mọi nỗ lực kiểm soát thông tin của C sẽ dễ dàng bị vô hiệu hoá. Bạn có thể nhìn thấy điều này với các website bị firewall bởi ISP sẽ dễ dàng bị vô hiệu bằng vô số proxy trên Internet hoặc các kỹ thuật tunneling. Internet là do người Mỹ thiết kế, quản lý, kiểm soát, khai thác và họ có khả năng áp đặt !!!

Loài người hành xử cục bộ - Internet thiếu khả năng phối hợp

Có rất nhiều vấn đề của Internet về phương diện kỹ thuật rất dễ giải quyết, nhưng do chúng ta hành xử cục bộ nên đã không giải quyết được.

Điển hình là vấn đề giả mạo địa chỉ IP. Nếu triệt tiêu được khả năng giả mạo địa chỉ IP thì gần như giải được 80% bài toán nặc danh và cả những bài toán khác của Internet.

Yêu cầu kỹ thuật để loại trừ vấn đề giả mạo địa chỉ IP là mỗi network owner phải thực hiện lọc (filter) kiểm soát các packet đi ra khỏi hệ thống của mạng mình và loại trừ các packet có địa chỉ nguồn không thích hợp. Làm việc này mất năm phút, đơn giản là thêm vào vài dòng trong access list của border router. Hơn hai mươi năm qua, vấn đề giả mạo địa chỉ vẫn không giải quyết được! Đơn giản chỉ vì việc giả mạo địa chỉ IP không ảnh hưởng trực tiếp đến network owner – chủ nghĩa “mặc kệ nó” điển hình.

Điều gì sẽ xảy ra nếu các quốc gia không phối hợp với nhau để giải quyết các vấn nạn của Internet. Một số hệ thống của nước X bị hacker nước Z sử dụng để tấn công mạng của nước Y, các quốc gia này sẽ phối hợp với nhau như thế nào? Làm sao để trừng phạt hành vi của hacker nếu không có thoả thuận về luật ??! Hiện tại hầu như chưa có bước tiến nào của các quốc gia trong việc chuẩn bị cho các khả năng này!

Bản chất của "quái thú" DDOS

Tấn công DDOS không có gì phức tạp về phương diện kỹ thuật. Định nghĩa đơn thuần của tấn công DDOS : “Là một kiểu tấn công đưa một hệ thống cung cấp dịch vụ đến mức hoạt động tới hạn về tài nguyên, hay gây nhầm lẫn logic dẫn đến hệ thống ngừng hoạt động”.

Tôi không giải thích nhiều bản chất của DDOS, nhưng chỉ muốn so sánh hai dạng thức cổ điển và hình thái mới của DDOS là Flash-DDOS.

Hình thái DDOS cổ điển

Vấn đề then chốt của hacker tấn công bằng hình thái cổ điển là nắm quyền điều khiển càng nhiều máy tính càng tốt, sau đó anh ta sẽ trực tiếp phát động tấn công hàng loạt từ xa thông qua một kênh điều khiển. Với quy mô mạng lưới tấn công bao gồm vài trăm nghìn máy, hình thái này có thể đánh gục ngay lập tức bất cứ hệ thống nào. Phối hợp với khả năng giả mạo địa chỉ IP, kiểu tấn công này sẽ rất khó lần theo dầu vết.

Mô hình Hình thái DDOS cổ điển

Mô hình này có một số nhược điểm:

- Mạng lưới tấn công là cố định và tấn công xảy ra đồng loạt nên rất dễ điều tra ngược tìm manh mối.

- Software cài lên các Infected Agent là giống nhau và có thể dùng làm bằng chứng kết tội hacker.

- Phía nạn nhân có thể điều chỉnh hệ thống phòng vệ để ngăn chặn vì mạng lưới tấn công là “khả kiến”.

- Hacker buộc phải trực tiếp kết nối đến mạng lưới các máy tấn công tại thời điểm tấn công để điều khiển nên rất dễ lần ra thủ phạm.

Flash-DDOS

Lợi dụng tính phổ biến và khả năng có thể thực hiện vai trò của web client của Flash player (hầu như có trong mọi trình duyệt trên Internet hiện tại) hacker tiến hành “cải tiến” mô hình DDOS cổ điển.

Hacker treo một file flash trên một website trung gian có nhiều người truy xuất, người dùng truy xuất website này file flash sẽ được tải về máy và được chương trình Flash thực thi. Từ đây vô số các yêu cầu truy xuất sẽ gởi đến website mục tiêu.

Không thể chặn Flash DDoS !

Flash DDOS có một số đặc tính khiến cho việc ngăn chặn và phát hiện gần như là không thể:

- Mạng lưới tấn công phức tạp và tự hình thành:

+ Không cần thiết phải nắm quyền điều khiển và cài DDOS software vào các infected agent. Thay vào đó mọi user với một trình duyệt có hỗ trợ nội dung Flash (có Flash player) sẽ trở thành công cụ tấn công.

+ Số lượng attack agent tùy thuộc vào số lượng user truy xuất các 3rd party website đã bị hacker “nhúng” nội dung flash, số lượng này thay đổi theo thời gian và hoàn toàn không thể nhận biết địa chỉ IP nguồn, vì đây là các user thông thường.

+ Không hề có quá trình gởi lệnh và nhận báo cáo giữa hacker và mạng lưới tấn công, toàn bộ lệnh tấn công được “nhúng” trong nội dung flash và hacker không cần nhận báo cáo do đây là mô hình tấn công bất đồng bộ.

+ Tấn công bất đồng bộ: việc tấn công diễn ra không cần có mệnh lệnh. User truy xuất 3rd party website, load nội dung flash về trình duyệt và Flash player thực thi nội dung flash thì ngay lập tức máy của họ trở thành một attack agent-liên tục gởi hàng trăm request đến webserver nạn nhân.

+ Quy mô tấn công phụ thuộc vào số lượng 3rd party website bị lợi dụng và số lượng user thường xuyên truy xuất các website này. Chỉ tính trung bình hacker lợi dung được 10 3rd party website và mỗi website này có số lượng truy xuất khoảng 100 user tại một thời điểm thì tổng số request mà server nạn nhân phải hứng chịu tại một thời điểm lên đến con số vài chục ngàn!!! Đây là một số liệu kinh hoàng với bất kỳ ai làm quản tri hệ thống của bất cứ website nào và kết quả thường là hệ thống tê liệt ngay lập tức!

Phòng chống Flash-DDOS là cực kỳ khó khăn, Vì sao vậy?

+ Không thể phân biệt giữa request tấn công và request thông thường vào hệ thống. Khi số lượng request đến hệ thống rất lớn thì người quản trị sẽ cần “gạt bỏ” bớt các request tấn công, tuy nhiên anh ta sẽ gặp khó khăn trong việc “tìm và diệt” request tấn công.

+ Tấn công đến từ mọi phía: có mạng lưới tấn công linh hoạt nên hầu như không thể nhận diện request tấn công từ địa chỉ IP nguồn

+ Tất cả biện pháp kỹ thuật an toàn thông tin đều gặp phải một giới hạn thực tế-đó là tài nguyên của mọi hệ thống đều là hữu hạn. Khi xử lý các request thì các biện pháp này sẽ sử dụng tài nguyên của hệ thống, khi số lượng request là rất lớn thì chính việc xử lý “tìm và diệt” sẽ ngốn hết tài nguyên của hệ thống (CPU, RAM, ...)

- Truy lùng thủ phạm tấn công Flash-DDOS gặp nhiều khó khăn: hacker chỉ tiếp xúc các 3rd party website 1 lần duy nhất để upload flash và anh ta có quyền chọn lựa! Quá trình tấn công là tự xảy ra và bất đồng bộ, nên anh ta chỉ cần upload và sau đó mọi việc tự diễn ra. Hệ thống nạn nhân hầu như không thể biết các 3rd party website đang “treo” flash tử thần (trừ khi hacker không đủ trình độ và để lộ referer trong các flash request-trường hợp này ngày càng ít). Chỉ có chính user đang bị lợi dụng tấn công hoặc các ISP mới tiếp xúc trực tiếp các 3rd party website đang “treo” flash tử thần, user thì không thể biết và không cần biết, ISP thì có thể biết và không có trách nhiệm phải làm! Nạn nhân bị thiệt hại nhiều nhất và cảm thấy cô độc nhất – đặc biệt nếu họ là các doanh nghiệp có hoạt động diễn ra trên mạng – doanh nghiệp thương mại điện tử.

Quái thú và bản ngã của "netizen"

Các kiếm khuyết của Internet sẽ càng làm các bản ngã của con người bộc lộ rõ nét. Flash-DDOS là vô cùng nguy hiểm, dễ thực hiện, hầu như không thể chống đỡ hay truy lùng thủ phạm!

Bản ngã thứ nhất – muốn có quyền lực

Nắm quyền điều khiển hệ thống thông tin của người khác là một quyền lực! Để có quyền lực này, giới hacker chính quy sẽ phải nghiên cứu và làm việc thật nghiêm túc trong một thời gian rất dài (5-10 năm). Đối với họ, mục tiêu sau cùng của quá trình hacking là nắm quyền điều khiển toàn bộ hệ thống – có thể coi đó là một thú vui, họ không phá hoại hay tước đoạt công sức của người khác. Đó là một trò chơi trí tuệ và mang lại sự phát triển cho các hệ thống thông tin.

Nhiều người muốn có quyền lực này, nhưng họ lại không muốn làm việc và không muốn chờ đợi lâu! Họ sử dụng “quái thú DDOS”, họ muốn có một quyền lực đơn giản là làm cho một hệ thống bị ngưng hoạt động và từ đó họ cho rằng mình đã đạt đến quyền lực tối thượng – quyền sinh sát!

Thật ra, họ đã đặt dấu chấm hết cho con đường trở thành một hacker chính quy và bước vào bóng tối với những kiến thức và mục tiếu hết sức nông cạn. Điểm thú vị của trò chơi là ở quá trình chơi, kết quả thì có gì là quan trọng?

Sao lại chơi một trò chơi mà bạn có quá nhiều lợi thế, buộc người khác phải tham gia và luôn gây thiệt hại nặng nề cho xã hội?

Bản ngã thứ hai – tham lam và bất tài

Gần đây có rất nhiều vụ DDOS vì các nguyên nhân kinh tế, các doanh nghiệp TMĐT vừa chớm hình thành trong quá trình cạnh tranh đã “huy động” DDOS như một phương cách cạnh tranh và đoạt tiên cơ trên thị trường hết sức nóng bỏng này!

Một đồng xu bạn bỏ ra để thuê DDOS chính là một nhát cuốc đào mồ chôn TMĐT của Việt Nam - trong đó có bạn. Hãy suy nghĩ và hành động thật chín chắn! Hãy tạo ra các sản phẩm tốt, giá rẻ, dịch vụ chu đáo, thị trường sẽ có chọn lựa của nó.

Bản ngã thứ ba – ích kỷ cục bộ và dối trá

Để giải quyết bài toán DDOS rất cần sự phối hợp của nhiều đối tượng: người dùng cuối, ISP, các nhà làm luật, các chuyên gia, …

Nhận thấy nguy cơ từ DDOS, chúng ta vẫn còn chậm chân trong việc đưa những cánh tay ra cùng nhau giải quyết vấn nạn này. Chúng ta đang cố thủ trong cái vỏ ốc cá nhân và chờ đợi một phép màu xảy ra để DDOS không còn tồn tại. Điều này là không thể, ít nhất là trong 05 năm tới, đã đến lúc phải hành động!

Là những chuyên gia, chúng ta phải trung thực và thật sự có những nhận định đúng đắn về thảm hoạ này. Dối trá vì bất cứ lý do gì đều là không thể chấp nhận được. Chúng ta không thể có bất kỳ dấu vết hay thông tin gì từ log trên các hệ thống, hãy nói sự thật về khả năng điều tra DDOS cho cộng đồng biết và cùng nhau nhìn nhận bản chất của vấn đề, từ đó đề ra các biện pháp phối hợp giải quyết! Không che dấu thông tin về một “nạn dịch” – điều mà mọi bác sĩ đều biết!

Kết luận

DDOS và các hình thái tấn công khác trên Internet là có thể khắc phục với sự quyết tâm cao và sự mạnh mẽ gạt bỏ các bản ngã của chúng ta, với sự cộng tác nhiệt tình và có trách nhiệm của các ISP.Trung tâm VNCERT ra đời là một sự đáp ứng cho các kỳ vọng lớn lao của cộng đồng TMĐT Việt Nam. Tôi vẫn có niềm tin lớn vào sự ổn định của Internet Việt Nam trong thời gian sắp đến.

Kiet D.Anh (The Connections Magazine)