Dịch vụ phân giải tên miền 8.8.8.8 của Google đã bị tấn công hôm qua
Mạng Internet đang trở rủi ro hơn bao giờ hết, đặc biệt là khi người dùng càng ngày càng lệ thuộc vào các dịch vụ trên mạng, cung cấp vô số thông tin cá nhân cũng như thông tin tài chính. Theo trang The Hacker News, dịch vụ phân giải tên miền (domain name system resolver) lớn nhất thế giới của Google với tên gọi Google Public DNS đã bị tin tặc tấn công cuối tuần vừa rồi.
Thông tin từ công ty BGPmon cho biết, địa chỉ máy chủ của Google (8.8.8.8/32) đã bị khống chế trong 22 phút rạng sáng Chủ nhật theo giờ Việt Nam. Hệ thống phân giải của Google xử lý trung bình 150 tỉ yêu cầu một ngày, như vậy có khoảng hai tỉ yêu cầu phân giải đã bị chuyển hướng. Theo các chuyên gia, tin tặc có thể đã lợi dụng một lỗ hổng bảo mật trong một giao thức cơ sở của mạng Internet có tên gọi Border Gateway Protocol (BGP) khiến cho các thiết bị hạ tầng của Brazil và Venezuela cập nhật thông tin sai lệch và định tuyến sai.
Hệ thống tên miền là cuốn danh bạ cho mạng Internet, cho phép người dùng dễ dàng truy cập các máy chủ bằng cách ghi nhớ một tên miền ngắn gọn (ví dụ tinhte.vn) thay vì phải nhớ các địa chỉ IP dài dòng (ví dụ 190.93.251.57). Với xu thế toàn cầu chuyển sang sử dụng IPv6, địa chỉ của các máy chủ dài hơn nữa thì vai trò của dịch vụ phân giải càng trở nên quan trọng.
Tấn công BGP là một dạng tấn công man-in-the-middle (MITM) quy mô rộng và rất khó phát hiện. Tin tặc đóng vai trò người trung gian giữa người dùng và Google, xử lý tùy ý trước khi trả lại kết quả phân giải tên miền. Ví dụ: người dùng gõ địa chỉ http://facebook.com vào trình duyệt, máy tính sẽ gửi yêu cầu phân giải tên miền facebook.com, tin tặc trả lại địa chỉ máy chủ của mình thay vì địa chỉ thực của Facebook, người dùng nhập thông tin đăng nhập sẽ bị tin tặc đánh cắp.
Kĩ thuật tấn công GBP lần đầu được hai chuyên gia bảo mật Tony Kapela và Alex Pilosov trình bày tại DEFCON 2008. Đây cũng không phải là lần đầu dịch vụ của Google bị tấn công, năm 2010 dịch vụ này bị ảnh hưởng ở Romania và Áo.