Cảnh báo đáng lo ngại về mức độ bảo mật các trang web của chính phủ Trung Quốc
Các nhà nghiên cứu đều đến từ Viện Công nghệ Cáp Nhĩ Tân, mô tả nghiên cứu này đang xem xét kỹ lưỡng “những thách thức về an ninh và sự phụ thuộc đang bao vây cơ sở hạ tầng web của chính phủ Trung Quốc”. Họ tuyên bố đã tiết lộ “những lỗ hổng và sự phụ thuộc đáng kể có thể cản trở tính hiệu quả và an toàn kỹ thuật số của các hệ thống web của chính phủ”.
Các nhà nghiên cứu đã xem xét việc phân giải tên miền, sử dụng thư viện của bên thứ ba, dịch vụ của Cơ quan cấp chứng thư số (CA), dịch vụ Mạng phân phối nội dung (CDN), nhà cung cấp dịch vụ Internet (ISP), việc áp dụng HTTPS, tích hợp IPv6, triển khai mở rộng bảo mật hệ thống tên miền (DNSSEC) và hiệu suất trang web.
Nghiên cứu này đã tìm thấy rất nhiều vấn đề với các kết nối của các website. Hơn một phần tư tên miền được sử dụng bởi các trang web của chính phủ Trung Quốc được phát hiện không có bản ghi tên máy chủ (NS) - nghĩa là có thể chúng thiếu cấu hình DNS hiệu quả và có thể không đáng tin cậy hoặc không thể truy cập được. Một phát hiện khác là "sự phụ thuộc đáng chú ý" vào năm nhà cung cấp dịch vụ DNS - sự thiếu đa dạng có thể khiến cơ sở hạ tầng mạng gặp phải các điểm lỗi duy nhất.
Các nhà nghiên cứu viết: “Trong trường hợp xảy ra sự cố kỹ thuật, tấn công mạng hoặc hành động pháp lý ảnh hưởng đến một trong những nhà cung cấp chính này, một phần đáng kể cơ sở hạ tầng DNS có thể bị xâm phạm, ảnh hưởng đến khả năng truy cập và bảo mật trên diện rộng”.
Hơn nữa, 4.250 hệ thống đã sử dụng các phiên bản thư viện JavaScript jQuery dễ bị tấn công bởi CVE-2020-23064 - nghĩa là chúng có nguy cơ bị tấn công từ xa, vốn là một vấn đề đã biết trong khoảng 4 năm.
Mặc dù các ISP mà các trang web chính phủ sử dụng mới phát hiện có phạm vi trải rộng về mặt địa lý được phân bổ vừa phải, các nhà nghiên cứu cho rằng khả năng dự phòng của máy chủ chưa đáp ứng được yêu cầu để có được độ tin cậy và bảo mật tối ưu.
Nhóm nghiên cứu nhận thấy: "Trong số các ISP, China Mobile, China Telecom, China Unicom và Alibaba Cloud chiếm 98,29% thị trường", nhóm giải thích rằng "nếu một trong các ISP gặp sự cố hoặc bị tấn công, toàn bộ mạng có thể bị ảnh hưởng, gây ra tình trạng ngừng dịch vụ trên diện rộng".
Các nhà nghiên cứu cũng tìm thấy một nhóm chữ ký DNSSEC không được ký - mặc dù 101 bản ghi tên miền phụ được phát hiện có bản ghi RRSIG (Chữ ký bản ghi tài nguyên).
Các tác giả giải thích: “Sự khác biệt này cho thấy rằng mặc dù các bản ghi DNS cụ thể có thể đã được ký, nhưng những chữ ký đó có thể không được thể hiện chính xác trong cơ sở dữ liệu whois hoặc việc ký có thể bị giới hạn ở một số tên miền phụ nhất định thay vì bao gồm toàn bộ tên miền”.
Và cuối cùng, phân tích Zed Attack Proxy (ZAP) đã tìm thấy:
- 10.187 trang web không được định cấu hình với tiêu đề X-Content-Type-Options, điều này có thể khiến chúng dễ bị tấn công giả mạo kiểu MIME;
- 10.323 trang web không đặt tiêu đề Chính sách bảo mật nội dung (CSP), điều này có thể làm tăng nguy cơ tấn công tập XSS;
- 8.182 trang web thiếu Mã thông báo chống CSRF, khiến chúng dễ bị tấn công giả mạo yêu cầu giữa các trang (CSRF);
- 3.203 trang web đã đưa Chỉ thị Wildcard vào chính sách bảo mật nội dung của họ;
- 8.158 trang web thiếu tiêu đề chống clickjacking, khiến chúng dễ bị tấn công bằng clickjacking hơn;
3.313 trang web chưa bật thuộc tính HttpOnly cho cookie;
- 6.624 cookie thiếu thuộc tính SameSite, điều này có thể khiến cookie có nguy cơ bị truy cập không đúng cách;
- 1.069 trang web rò rỉ thông tin về địa chỉ IP riêng tư, có thể tiết lộ thông tin nhạy cảm về kiến trúc hệ thống.
Các nhà nghiên cứu kết luận rằng cuộc điều tra đã phát hiện ra “các vấn đề cấp bách về bảo mật và phụ thuộc” có thể không có giải pháp khắc phục nhanh chóng.
Các nhà nghiên cứu viết: “Mặc dù đã phân tích kỹ lưỡng nhưng các giải pháp thực tế để tăng cường bảo mật cho các hệ thống này vẫn khó nắm bắt”. “Tính nhạy cảm của chúng trước các cuộc tấn công mạng, có thể tạo điều kiện cho sự lây lan của nội dung độc hại hoặc phần mềm độc hại, nhấn mạnh nhu cầu cấp thiết về giám sát thời gian thực và phát hiện hoạt động độc hại.”
Nghiên cứu cũng nhấn mạnh sự cần thiết phải “kiểm tra nghiêm ngặt và cập nhật thường xuyên” các thư viện của bên thứ ba và ủng hộ “việc phân phối đa dạng các nút mạng, có thể tăng cường đáng kể khả năng phục hồi và hiệu suất của hệ thống”.
Nghiên cứu này có thể sẽ không được đón nhận một cách tích cực ở Bắc Kinh, vì chính phủ Trung Quốc đã kêu gọi cải thiện các dịch vụ và ứng dụng kỹ thuật số của chính phủ, đồng thời đưa ra các sắc lệnh về cải thiện an ninh mạng.
Nguyễn Anh Tuấn (theo The Register)