BM: Google Việt Nam bị tấn công... ?

Wednesday, February 25, 2015

Google Việt Nam bị tấn công... ?

Google bị tấn công, lỗi do dịch vụ DNS 8.8.8.8 hay do đâu? Liệu dữ liệu người dùng có bị ảnh hưởng không?

Vào khoảng 12 giờ trưa ngày hôm qua (23/2), Google Việt Nam tại địa chỉ http://google.com.vn bỗng nhiên bị gián đoạn truy cập và trang chủ hiển thị thông báo dịch vụ tìm kiếm lớn nhất thế giới này bị tấn công bởi nhóm Lizard Squad – nhóm hacker đứng sau vụ tấn công máy chủ game online của Sony và Microsoft.

Ngay lập tức cộng đồng mạng đặt ra nhiều nghi vấn và cho rằng máy chủ của Google đã bị tấn công trực tiếp dẫn tới tình trạng trên, thậm chí nhiều ý kiến còn cho rằng dịch vụ DNS của Google có địa chỉ 8.8.8.8/8.8.4.4 đã bị tấn công.

Những thông tin chúng tôi tổng hợp được phía dưới sẽ phần nào giúp bạn đọc hiểu rõ hơn về vụ tấn công đầu năm này.

Google bị tấn công vào dịch vụ DNS 8.8.8.8/8.8.4.4 ?

Khi Google bị thay đổi nội dung trang chủ (deface), nhiều người nhận thấy nếu không sử dụng DNS 8.8.8.8/8.8.4.4 hoặc dùng các DNS khác thì có thể truy cập bình thường vào trang tìm kiếm. Nhận định trên tưởng chừng đúng nhưng sự thật lại hoàn toàn ngược lại.

Hai địa chỉ 8.8.8.8 à 8.8.4.4 thường được người dùng Việt Nam sử dụng có tốc độ xóa cache nhanh hơn so với các DNS khác. Vì vậy khi trang chủ Google Việt Nam bị chuyển hướng, người dùng DNS trên sẽ được trỏ tới trang hiển thị của Lizard Squad sớm hơn, địa chỉ DNS 8.8.8.8/8.8.4.4 không bị tấn công.

Dịch vụ của Google bị hacker kiểm soát?

Việc thay đổi nội dung trang chủ Google khiến người dùng tưởng chừng dịch vụ này đã bị hacker kiểm soát. Tuy nhiên trên thực tế, hacker chỉ có thể kiểm soát tên miền google.com.vn chứ chưa thể “đụng chạm” vào máy chủ Google.

Hiểu một cách đơn giản, website hoạt động được gồm hai phần chính: domain (tên miền) và server (máy chủ).

Tên miền được đăng ký và quản lý tại các đại lý cung cấp, toàn bộ tên miền .VN dù đăng ký tại đâu cũng sẽ được kiểm soát bởi Trung tâm Internet Việt Nam VNNIC. Tuy nhiên nếu chỉ có tên miền thì website không thể hoạt động, nó cần nội dung bên trong, toàn bộ nội dung sẽ được lưu tại máy chủ.

Tên miền liên kết với máy chủ thông qua DNS/IP server, nếu muốn lấy cắp thông tin người dùng dịch vụ, hacker buộc phải tấn công vào máy chủ. Nếu chỉ kiểm soát tên miền, giống như việc họ chỉ nắm được cái vỏ mà thôi.

Vào ngày hôm qua, chúng tôi nhận thấy hai bản ghi DNS của Google.com.vn đã bị thay đổi. Từ ns1.google.com thành dan.ns.cloudflare.com và từ ns2.google.com thành irma.ns.cloudflare.com.

Hai DNS được chuyển tới là hai trong số rất nhiều DNS trung gian của dịch vụ CloudFlare. Đây là dịch vụ được sử dụng phổ biến nhằm nâng cao bảo mật, tránh tấn công DDoS. Từ hai DNS trung gian trên, hacker có thể chuyển tên miền google.com.vn sang bất kỳ máy chủ nào họ muốn, khiến nội dung hiển thị khi truy cập google.com.vn không còn hiển thị trang tìm kiếm mà hiển thị nội dung ở máy chủ mới.

Trả lời GenK, bà Amy Kunrojpanya, Giám đốc truyền thông Việt Nam và Những Thị Trường Mới Nổi thuộc Google châu Á Thái Bình Dương, khẳng định các dịch vụ của Google trên tên miền google.com.vn không bị ảnh hưởng. Do hacker chưa thể tấn công được vào máy chủ Google.

Lỗi do ai?

Khi phạm vi cuộc tấn công được khoanh vùng lại ở việc kiểm soát tên miền, Trung tâm Internet Việt Nam VNNIC đã nhanh chóng khẳng định, hệ thống của VNNIC không hề ghi nhận bất kì cuộc tấn công nào vào tên miền google.com.vn. Việc thay đổi bản ghi DNS của tên miền trên được gửi lệnh từ đại lý cung cấp tên miền độc lập có tên Qinetics Solution Berhad tại Malaysia.

Công ty cung cấp tên miền Google.com.vn – một đại lý của VNNIC

Từ thông tin trên, có thể đặt ra hai giải thiết cho cuộc tấn công này:

1. Hacker đã chiếm được thông tin tài khoản đăng nhập để quản lý tên miền google.com.vn tại đại lý Qinetics Solution Berhad. Sau đó đăng nhập vào và thay đổi bản ghi DNS.

2. Dịch vụ quản lý tên miền của Qinetics Solution Berhad có lỗi và các hacker đã khai thác được, từ đó thay đổi bản ghi DNS.

Hacker kiểm soát tên miền có nguy hiểm gì không?

Dù không tấn công được máy chủ Google để lấy cắp thông tin, tuy nhiên việc hacker kiểm soát được tên miền cũng có thể gây ra nhiều hậu quả nguy hiểm.

Khi kiểm soát google.com.vn, hacker hoàn toàn có thể chuyển hướng tên miền đó tới một máy chủ mới hoàn toàn. Máy chủ này sẽ hiển thị giao diện giống với trang tìm kiếm Google và các trang dịch vụ như Gmail, Adwords,… Nếu bạn đăng nhập sẽ bị lộ tài khoản và mật khẩu mà không hay biết.

May mắn rằng sự cố với tên miền google.com.vn chỉ xảy ra trong một thời gian ngắn, và có vẻ hacker chỉ muốn “thể hiện” mà không lợi dụng để lừa đảo, chiếm đoạt. Hiện tại VNNIC đã khôi phục lại hai bản ghi ban đầu và Google.com.vn có thể hoạt động bình thường.