Phân tích hiện tượng bất thường BGP xảy ra tại Venezuela

Ý kiến trên Hacker News

• Diễn biến bình luận ở đây hơi bất ngờ. Mọi người đều nói về nỗi sợ đối với các công ty Mỹ, nhưng có vẻ không liên quan nhiều đến nội dung bài viết
  Bài của Cloudflare chỉ đơn giản giải thích cách BGP hoạt động và chỉ ra rằng rò rỉ tuyến từ ISP ở Venezuela đã xảy ra khá thường xuyên
  Tất nhiên Cloudflare có thể sai hoặc đang che giấu điều gì đó, nhưng không có chỗ nào trong bài nói rằng họ đã trực tiếp can thiệp. Không rõ mọi người dựa vào đâu mà lại chắc chắn như vậy

  • Tôi không nghĩ có bằng chứng nào đáng sợ trong bài này
    Tuy vậy, nhìn vào các vụ Stuxnet hay Dual EC DRBG thì không nên đánh giá thấp khả năng chính phủ tận dụng 0-day
    Bạn tôi từng làm ở một công ty FANG và nói rằng đã thấy họ cung cấp trực tiếp luồng dữ liệu cho chính phủ. Backdoor ở ISP cũng là chuyện có thật (Room 641A)
    Nếu Cloudflare đã hợp tác theo lệnh của tòa, liệu họ có thể viết một bài phủ nhận điều đó về mặt pháp lý không?
    Vì thế tôi nghĩ sự hoài nghi cơ bản của mọi người là có cơ sở. Kết luận của Cloudflare rằng “đây là vấn đề cũ nên không có gì to tát” nghe hơi yếu
  • Tôi cũng có cùng thắc mắc. Tôi không hiểu bài này bằng cách nào lại dẫn tới kết luận có sự can thiệp của chính phủ Mỹ
    Tôi cũng muốn biết liệu trong cấu trúc BGP có lý do nào khiến Mỹ làm chuyện này dễ hơn các nước khác không
  • Có lẽ phần lớn chỉ nhìn tiêu đề rồi phán đoán. Hơn nữa còn có bối cảnh lịch sử là Mỹ trước đây thực sự đã làm những chuyện như vậy
    Dạo này dư luận về chính phủ Mỹ vốn đã rất hoài nghi, nên cả sự cố nhỏ cũng dễ bị nghi ngờ
    Hoặc cũng có thể chỉ là tài khoản xã hội của Nga hay Trung Quốc, nhưng ai mà biết được
  • Vài ngày trước cũng có một bài tương tự — bài loworbitsecurity liên hệ giả thuyết xâm lược Venezuela với hiện tượng BGP bất thường
    Ngoài ra, bài CNN nói rằng Trump đã nhắc tới khả năng hành động quân sự cả với đồng minh
    Với chính quyền hiện tại thì tôi còn nghĩ họ sẽ công khai khoe kiểu tấn công này. Nên hiện giờ tôi vẫn nghiêng về khả năng “lỗi cấu hình đơn thuần”
    Dù vậy, việc người ta ngày càng mất niềm tin cũng là điều tự nhiên khi mỗi lần Mỹ xuất hiện trên tin tức lại là đe dọa, rút lui hoặc trừng phạt

• Tôi đang buồn ngủ nhưng vẫn thấy bài viết rất thú vị. Phân tích AS path prepending củng cố khá tốt giả thuyết “tai nạn”
  Nếu một quốc gia muốn chặn bắt lưu lượng, sẽ không có lý do gì để cố tình làm đường đi dài hơn
  Khả năng cao chỉ là một lỗi cấu hình định tuyến đơn thuần. BGP vẫn là một hệ thống dựa trên niềm tin nên chỉ một lỗi gõ nhỏ cũng có thể ảnh hưởng toàn cầu
  Bộ lọc export bị thiếu nghe hợp lý hơn là ác ý

  • Cũng có phản biện rằng “nếu là tác nhân nhà nước thì họ cũng có thể cố tình đệm sai đường đi”
    Trên thực tế cũng có tác nhân phi nhà nước thao túng lưu lượng quảng cáo
    Dù vậy, từ góc độ vận hành mạng thì những lỗi kiểu này rất thường gặp, và các script điều chỉnh lưu lượng tự động đôi khi còn làm vấn đề tệ hơn
    Cuối cùng, vấn đề vẫn là lỗ hổng cấu trúc của BGP. Bảo mật và BGP đến giờ vẫn là hai từ khó đi cùng nhau

• Một tài liệu đáng tham khảo là NSA Network Shaping 101, một trong các tài liệu Snowden
  Đây là tài liệu viết năm 2007, giải thích về ASIN và điều khiển lưu lượng lớp 3

  • Nhưng “layer 3 shaping” trong tài liệu này có vẻ không liên quan lắm đến hiện tượng BGP bất thường
    Nó chỉ ở mức giải thích cấu trúc mà lưu lượng gửi tới một IP cụ thể sẽ đi qua liên kết đó
  • Buồn cười là ngay cả NSA cũng dùng sai khái niệm ASN. Giống như nói “hàng xóm của tôi sống trong chuỗi ký tự ‘123 Main Street’” vậy

• Sau khi đọc bài, tôi lại thấy rợn người vì mức độ gắn kết giữa doanh nghiệp Mỹ và chính phủ sâu đến mức nào
  Đây là điều tôi vốn đã biết từ trước, nhưng lần này có cảm giác niềm tin đã sụp đổ hoàn toàn. Nó giống như một bước ngoặt của thời đại

  • Trước đây tôi có một người bạn từng nói về chuyện nghe lén hợp pháp, và tôi vẫn nhớ vẻ mặt anh ấy lúc đó cứng hẳn lại
    Loại hạ tầng giám sát này đã tồn tại từ rất lâu, và Nhật Bản cũng từng giám sát lưu lượng thời gian thực vào năm 2003
    Giờ đây công nghệ DPI đã quá dễ để triển khai
  • Cái vòng lặp mất niềm tin này dường như cứ lặp lại mỗi 10 năm
    Người mới vào ngành thường bắt đầu rất ngây thơ, rồi cuối cùng cũng nhận ra cấu trúc gắn bó chặt chẽ giữa chính phủ và doanh nghiệp và mất niềm tin
    Một thời gian sau lại có thế hệ mới lặp lại đúng quá trình đó
  • Cho rằng Cloudflare đang cố che đậy một chiến dịch của chính phủ Mỹ có vẻ là diễn giải quá mức
    Ý chính của bài là Hanlon’s razor, tức là nên nghi ngờ sai sót trước khi nghi ngờ ác ý
    Tất nhiên nếu Cloudflare bóp méo sự thật thì họ đáng bị chỉ trích, nhưng hiện vẫn chưa có bằng chứng nào như vậy
  • “Doanh nghiệp dính líu với chính phủ” thì nước nào cũng vậy. Không có gì mới mẻ cả

• Nghĩ tới hạ tầng cũ kỹ của Venezuela thì tôi tự hỏi liệu có cần đến một cuộc tấn công mạng cao cấp hay không
  Thực tế là các nhà thầu tham nhũng đã bàn giao những hệ thống tồi tệ

  • Thật ra ở những nước như vậy, chỉ cần vài chục nghìn USD là có thể mua được người trực tiếp thao tác trên switch
    So với tấn công mạng thì cấu trúc tham nhũng mới là vấn đề lớn hơn nhiều
  • Tôi cũng từng dùng CANTV, và mất tới 9 năm rưỡi mới lắp xong đường điện thoại
    Cuối cùng tôi phải đưa tiền cho một kỹ thuật viên đang làm ngoài đường để giải quyết, mà số điện thoại đó lại là số của một hãng taxi
    Trong môi trường như vậy, bàn về tấn công BGP nghe hơi vô nghĩa
  • Vụ tấn công lưới điện thực sự từng xảy ra thì không liên quan tới BGP. Có vẻ chỉ là một lỗi mạng đơn thuần

• Bài này là một màn ôn lại BGP khá hay
  Hồi còn làm kỹ sư mạng, tôi dùng rất nhiều BGP community magic, và
  nếu BGP chỉ biểu diễn ba loại là provider, customer và peer thì có lẽ mọi thứ đã đơn giản hơn nhiều

  • Đúng, sẽ đơn giản hơn nhiều, nhưng đơn giản không phải lúc nào cũng tốt
    Cũng giống như trên Google Maps, nếu bỏ dữ liệu giao thông hay đèn tín hiệu thì tính toán sẽ dễ hơn nhưng kết quả lại tệ hại

• Trước đây Google Maps từng dẫn tôi từ đường cao tốc vào bãi đỗ xe Walmart rồi vòng sang một đường cao tốc khác
  Khi đó tôi nghĩ chỉ là lỗi thuật toán, nhưng nếu nó dẫn tôi qua drive-thru của McDonald’s thì chắc tôi đã nghi là có âm mưu
  Vụ này cũng tương tự, nhìn theo hướng lỗi đơn thuần có vẻ thuyết phục hơn

  • Lý do rò rỉ tuyến BGP không xảy ra thường xuyên hơn là nhờ bộ lọc của các ISP khác. Sai sót dễ xảy ra hơn ta tưởng nhiều

• Tôi thấy hơi đáng sợ khi hạ tầng cốt lõi của Internet lại được vận hành chủ yếu bởi các công ty Mỹ
  Có lẽ giờ các nước khác cũng nên xây dựng những cấu trúc độc lập

  • Nhưng bản thân Internet vốn là hệ thống do quân đội, đại học và doanh nghiệp Mỹ tạo ra, nên cũng chẳng có gì lạ
    Vậy thì ai mới nên là người quản lý thay thế?
  • Châu Âu hoàn toàn có thể tạo ra một công ty như Cloudflare, nhưng vấn đề là chảy máu chất xám và thiếu đầu tư
  • Internet về bản chất là phi tập trung. Không tồn tại thứ như router BGP trung tâm

• Tôi đã quan sát các sự cố BGP từ lâu và luôn cảm thấy rất khó phân biệt giữa thay đổi có chủ đích, sai sót và sự cố cấu trúc
  Vì vậy tôi thường đặt trước ba câu hỏi: phạm vi ảnh hưởng có tăng dần không, đường đi có thay đổi đối xứng không, và quá trình khôi phục có gọn gàng không
  Rồi tôi xem trước các thay đổi trong AS-path prepending và so sánh mức độ quan sát được theo từng khu vực
  Cuối cùng tôi truy dấu xem “ai là người hưởng lợi”. Tôi tò mò không biết người khác dùng chỉ số nào để phát hiện vấn đề

• Độ phủ toàn cầu của Cloudflare thực sự rất ấn tượng

  • Nhưng tôi lại nghĩ đó là một sự tập trung rủi ro nguy hiểm đối với thế giới. Đã đến lúc các công ty ngoài Mỹ phải độc lập hơn
  • Với mạng Anycast thì có thể quan sát BGP từ nhiều điểm khác nhau, nên đây không phải năng lực riêng của Cloudflare
    Dù vậy, họ là một tổ chức thiên về kỹ thuật, nên rất giỏi công khai những phân tích như thế này
  • Thực ra ai cũng có thể dùng RIPE RIS để làm phân tích tương tự
  • Cloudflare có rất nhiều nguồn lực, và thành thật mà nói là một công ty rất xuất sắc