Điều gì sẽ xảy ra khi internet có những nâng cấp lớn về mặt bảo mật?

07:20 PM 11/09/2018 In bài viết

1 weakest link broken rusted chain security breach hacked

Cơ quan Quản lý tên miền quốc tế và Internet (ICANN) sẽ có cuộc họp vào 17 tháng 9 tới và có vẻ như họ sẽ quyết định sử dụng hoặc không sử dụng những nâng cấp quan trọng trong việc sử dụng giao thức DNSSEC (Domain Name System Security Extensions). Giao thức này có thể hiểu là một trong những giao thức quan trọng để mã hóa và giải mã thông tin (KSK) phục vụ cho việc bảo mật các máy chủ cơ bản của Internet.

ICANN nói rằng, Các thay đổi quan trọng này là những bước đi quan trọng và thiết yếu, có thể coi việc này giống như cách mà người dùng Internet thay đổi thói quen sử dụng và thay đổi mật khẩu của họ. Bản cập nhật sẽ giúp ngăn chặn một số hoạt động tấn công nhằm kiểm soát hoặc điều hướng thông tin người dùng để có thể lấy cắp thông tin cá nhân.

Việc chuyển đổi KSK gốc từ năm 1990 sang KSK năm 2017 được cho là diễn ra gần một năm trước, tuy nhiên việc này bị trì hoãn cho tới 11 tháng 10 năm nay vì lo ngại việc chuyển đổi sẽ làm gián đoạn kết nôi Internet của một lượng người dùng đáng kể.

ICANN cho biết thêm, việc tái đầu tư KSK có nghĩa là họ tạo ra một cặp khóa công khai và riêng tư được mã hóa hoàn toàn mới cho các bên hoạt động dựa trên mạng Internet. Các trình phân giải sẽ chạy phần mềm giúp chuyển đổi tên các trang web thành các địa chỉ IP số.

Các nhà cung cấp dịch vụ này đồng thời sẽ hoạt động đồng thời như các nhà quản trị mạng, nhà khai thác hệ thống tên miền (DNS), nhà phát triển phần mềm phân giải DNS, nhà phân phối phần cứng và phần mềm, ICANN đã nói.

ICANN cho biết họ hy vọng sẽ có những tác động tối thiểu của người dùng từ KSK gốc, nhưng một tỷ lệ không nhỏ những người dùng sẽ gặp vấn đề khi chuyển đổi tên miền thành địa chỉ IP.

Tồn tại một số vấn đề cần được cân nhắc. “Trong đó là việc có một số lượn nhỏ các phần mở rộng bảo mật hệ thống tến miền (DNSSEC) khi đưa vào quy trình phân giải bị quy định cấu hình sai và một số người dùng gặp trục trặc với vấn đề này”. ICANN đã viết trong một thông cáo gần đây. Các trình phân giải nhận yêu cầu phân giải DNS và tìm máy chủ DNS có thể thực hiện những vấn đề này.

Verisign gần đây đã viết , đầu năm nay họ bắt đầu liên lạc với những nhà khai thác của các máy chủ, và có những báo cáo về các Trust Anchor cũ. Trong nhiều trường hợp, không thể xác định được bên chịu trách nhiệm, phần lớn các vấn đề đều do việc gửi các địa chỉ động của ISP. Ngoài ra cuối năm ngoái, ICANN đã bắt đầu nhận dữ liệu tín hiệu tin cậy từ nhiều nhà khai thác máy chủ gốc hơn, cũng như dữ liệu từ các máy chỉ khác khi họ nâng caaos các phần mềm cung cấp tín hiệu. Hiện nay, tỷ lệ phản hồi Trust Anchor giữ ở mức tương đối ổn định là khoảng 7%, Verisign đã viết.

Doanh nghiệp và người dùng mong đợi điều gì khi những nâng cấp này được đưa ra? Trước hết, ICANN cho biết người dùng dựa vào hệ thống KSK mới và người dùng dựa vào xác thực DNSSEC sẽ không thấy bất kỳ tác động nào. Phân tích dữ liệu cho thấy hơn 90% người dùng sẽ không bị ảnh hưởng, ICANN cho biết.

Đối với các doanh nghiệp, họ nên cập nhật các phần mềm để tự động để thay đổi (đôi khi được gọi là “RFC 5011” rollovers) hoặc tự cài đặt những phần quan trọng từ bây giờ. Nếu không bật cập nhật tự động, họ sẽ phải làm trước ngày 10 tháng 9, hoặc cơ chế  cập nhật sẽ không hoạt động chính xác cho việc nâng cấp sắp tới, Paul Hoffman, kỹ thuật viên chính tại ICANN cho biết.

Một bài báo gần đây của ICANN- Những mong đợi trong quá trình phát triển cập nhật KSK sẽ giải thích một số vấn đề cụ thể:

  • Nếu tất cả người dùng không có KSK mới trong cấu hình Trust Anchor của họ, người dùng sẽ bắt đầu gặp những lỗi về phân giải tên tại một số thời điểm trong vòng 48 giờ sau khi những nâng cấp được đưa ra.
  • Khi lỗi này xảy ra, nếu người dùng có nhiều trình phân giải được định cấu hình, hệ thống của họ sẽ thử các giải pháp khác để xác định lại cấu hình. Điều này có thể làm chậm độ phân giải DNS khi hệ thống đang nâng cấp và chuyển đổi, tuy nhiên người dùng vẫn nhận được độ phân giải DNS mà thậm chí không nhận thấy sự chậm lại.
  • Nếu người dùng không chuẩn bị cho việc nâng cấp, họ sẽ nhận thấy các lỗi trong vòng 48 tiếng sau khi nâng cấp được đưa lên. Họ sẽ thấy các lỗi khác nhau tùy thuộc vào việc tra cứu các DNS. Trong các trình duyệt, một số trang web sẽ không khả dụng. Trong các trang web về thư điện tử, một phần nội dung thư có thể sẽ xuất hiện lỗi hiển thị.
  • Khi các nhà khai thác phát hiện ra rằng xác thực DNSSEC của họ phân giải không thành công, họ nên thay đổi cấu hình phân giải để tạm thời tắt xác thực DNSSEC. Điều này sẽ giúp giải quyết vấn đề này.
  • Sau đó, các nhà điều hành nên cài đặt càng sớm càng tốt KSK-2017 như một Trust anchor và bật lại xác thực DNSSEC. ICANN cung cấp hướng dẫn cập nhật Trust anchor.

“Những cập nhật mới này không phải là một công nghệ mới. Thực thế khi KSK đầu tiên được thêm vào  khu vực phát triển năm 2010, chúng tôi đã biết rằng nó sẽ làm thay đổi Internet vào một thời điểm nào đó”, Hoffman đã nói. “ Việc nâng cấp sẽ giúp DNS trở nên mạnh mẽ hơn và giúp cho chúng ta thuận tiện hơn trong tương lai”.

Thùy Linh