VPN có bị xâm nhập không? Cùng chúng tôi tìm hiểu sâu hơn về vấn đề này

Chúng ta sẽ xem xét về các thông số kỹ thuật của VPN, để xem liệu có lỗ hổng nào cho tin tặc xâm nhập không.

VPN là gì?

Mạng cá nhân ảo (VPN) cho phép bạn tạo một đường truyền bảo mật ảo thông qua Internet đến một mạng hay thiết bị khác. Nếu bạn truy cập Internet bằng đường truyền ảo này, mọi người – kể cả ISP – sẽ gặp khó khăn trong việc theo dõi các hoạt động duyệt web của bạn.

VPN cũng giúp bạn nguỵ trang vị trí địa lý ở bất kỳ đâu trên thế giới và mở khoá các dịch vụ bị giới hạn về địa lý. VPN giúp bảo vệ các bí mật (dữ liệu chưa được công bố) và duy trì sự nguyên trạng (không thay đổi dữ liệu) của các tin nhắn khi nó truyền qua mạng Internet công cộng.

Việc thiết lập một trong những kết nối an toàn này tương đối dễ dàng. Đầu tiên người dùng kết nối Internet thông qua một ISP, sau đó khởi tạo kết nối VPN với máy chủ VPN, bằng cách sử dụng một phần mềm dành cho khách hàng (cài đặt cục bộ). Máy chủ VPN sẽ tìm nạp các trang web được yêu cầu và phản hồi lại  người dùng qua đường truyền an toàn; do đó dữ liệu của người dùng được giữ an toàn và hoàn toàn bảo mật trên Internet.

Mã hoá VPN hoạt động như thế nào?

Giao thức VPN là một tập hợp các quy tắc được thống nhất để truyền và mã hoá dữ liệu. Hầu hết các nhà cung cấp VPN cho người dùng quyền lựa chọn từ một số giao thứ VPN. Những giao thức được dùng nhiều nhất là: giao thức đường hầm điểm – điểm (PPTP), giao thức đường hầm lớp 2 (L2TP), giao thức bảo mật IP (IPSec) và OpenVPN (SSL/TLS).

Để hiểu đầy đủ về cách VPN bảo vệ sự riêng tư của bạn, chúng ta cần đào sâu hơn về khoa học mã hoá. VPN sử dụng một kỹ thuật được gọi là “mã hoá” khiến các dữ liệu dễ đọc của bạn (văn bản thuần tuý) trở nên hoàn toàn không thể đọc được (văn bản mã hoá) bởi bất cứ ai có ý định chặn khi nó được truyền qua Internet. Một thuật toán hoặc mật mã sẽ định hướng cách hoạt động của quá trình mã hoá và giải mã trong các giao thức VPN. Các giao thức VPN sử dụng các thuật toán mật mã giúp bạn ẩn các dữ liệu, giúp hoạt động duyệt web của bạn hoàn toàn riêng tư và bí mật.

Mỗi giao thức VPN lại có điểm mạnh và yếu tuỳ thuộc vào thuật toán mật mã được lập trình trong đó. Một số nhà cung cấp VPN đem đến cho người dùng quyền chọn các loại mật mã khác nhau. Có thể phân loại thuật toán hoặc mật mã dựa vào 3 loại sau đây: thuật toán đối xứng, thuật toán bất đối xứng và thuật toán băm.

Mã hoá đối xứng sử dụng một mã để khoá lại (mã hoá) và một mã khác để mở khoá (giải mã) dữ liệu. Mã hoá bất đối xứng sử dụng hai mã, một để khoá lại (mã hoá) và một để mở khoá (giải mã) dữ liệu. Dưới đây là bảng so sánh tổng quát giữa mã hoá đối xứng và mã hoá bất đối xứng.

Thuộc tính Đối xứng Bất đối xứng
Nhiều đối tượng chia sẻ chung một mã Một đối tượng dùng mã chung, cái còn lại có mã riêng
Trao đổi mã Yêu cầu cơ chế an toàn để gửi và nhận các mã Mã riêng được giữ bí mật bởi chủ sở hữu, còn mã chung được công khai cho mọi người
Tốc độ Ít phức tạp và nhanh hơn Phức tạp hơn và chậm hơn
Độ bền Phá vỡ dễ dàng hơn Phá vỡ khó hơn
Khả năng mở rộng Tốt Tốt hơn
Sử dụng Mã hoá luồng. Ví dụ, mọi thứ Chỉ phân phối một mã và chữ ký điện tử
Gói dịch vụ bảo mật Bảo mật Bảo mật, xác thực và không từ chối
Ví dụ DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 và RC6 RSA, ECC, DSA, và Diffie-Hellman

Mã hoá bất đối xứng là giải pháp cho những hạn chế của mã hoá đối xứng (được nêu trong bảng phía trên). Whitfield Diffie và Martin Hellman là những người đầu tiên tập trung giải quyết những thiếu sót này bằng cách phát triển một thuật toán bất đối xứng có tên là Diffie-Hellman.

Đây là một thuật toán mã hoá phổ biến cho nhiều giao thức VPN, bao gồm: HTTPS, SSH, IPSec và OpenVPN. Thuật toán khiến hai bên không bao giờ gặp nhau trước khi thương lượng một mã bí mật, ngay cả khi giao tiếp qua một kênh công khai không được bảo mật như Internet.

Mã hoá băm là mã hoá một chiều (không thể đảo ngược) được sử dụng để bảo vệ tính toàn vẹn của dữ liệu được truyền. Hầu hết các giao thức VPN đều sử dụng thuật toán băm để xác minh tính chân thực của các tin nhắn được gửi qua VPN. Ví dụ như MD5, SHA-1 và SHA-2. Cả MD5 và SHA-1 đều không được coi là an toàn nữa.

VPN có thể bị xâm nhập, nhưng việc đó rất khó xảy ra. Khả năng bị tấn công khi không dùng VPN lớn hơn rất nhiều so với việc bị tấn công khi dùng VPN.

Liệu có ai đó thực sự xâm nhập được vào VPN không?

VPN vẫn là một trong những biện pháp hiệu quả nhất để duy trì sự bảo mật trực tuyến. Tuy nhiên, bạn cần lưu ý rằng có rất nhiều thứ có thể bị tấn công, đặc biệt nếu bạn là một mục tiêu có giá trị cao và kẻ thù của bạn có đủ thời gian, tiền bạc và nguồn lực. Tin tốt là đa số người dùng không thuộc nhóm “có giá trị cao” nên bạn không cần quá lo lắng về khả năng bị tấn công.

Hành động xâm nhập vào một kết nối VPN liên quan đến việc phá vỡ các mã hoá bằng cách tận dụng những lỗ hổng đã biết hoặc ăn cắp mã. Các cuộc tấn công mã hoá thường được hacker và  người mã hoá sử dụng để phục hồi văn bản thuần tuý từ các phiên bản mã hoá khi không có mã mở. Tuy nhiên việc bẻ mã yêu cầu độ phức tạp và tốn nhiều thời gian, và có thể mất nhiều năm để tiến hành.

Phần lớn các hacker thường tìm cách ăn cắp mã mở, bởi việc này dễ hơn nhiều so với việc bẻ mã. Đây là việc cơ quan gián điệp thường làm khi đối mặt với những thử thách tương tự. Họ làm việc này thành công không phải nhờ toán học, mà do sự kết hợp giữa các mánh khoé công nghệ, khả năng tính toán, gian lận, lệnh của toà án và sự hẫu thuẫn phía sau hậu trường (cửa sau). Các công thức toán học đằng sau mã hoá rất vững chắc và đòi hỏi tính toán vô cùng phức tạp.

Các lỗ hổng VPN hiện tại và khả năng lợi dụng

Những phát hiện trước đây của Edward Snowden – người tiết lộ thông tin của chính phủ Hoa Kỳ và các nhà nghiên cứu an ninh đã chỉ ra rằng Cơ quan gián điệp Hoa Kỳ (NSA) đã bẻ khoá mã hoá đằng sau lưu lượng truy cập Internet khổng lồ, bao gồm cả VPN. Những tài liệu của Snowden cho thấy việc giải mã VPN của NSA liên quan đến việc chặn lưu lượng được mã hoá và truyền một số dữ liệu tới các siêu máy tính, sau đó các siêu máy tính này sẽ tìm ra mã.

Hai nhà nghiên cứu an ninh Alex Halderman và Nadia Heninger cũng đã đưa ra những nghiên cứu thuyết phục chứng tỏ việc NSA đã phát triển khả năng giải mã một số lượng lớn các lưu lượng HTTPS, SSH và VPN trong một cuộc tấn công vào những điểm chung của thuật toán Diffie-Hellman có tên là Logjam.

Thành công của họ dựa trên việc tận dụng một số điểm yếu trong việc thực hiện các thuật toán Diffie-Hellman. Nguyên nhân chính của điểm yếu này là phần mềm mã hoá sử dụng một số nguyên tố tiêu chuẩn khi lập trình nó. Theo ước tính của các nhà nghiên cứu, sẽ mất khoảng một năm và vài trăm triệu đô la để tạo ra một siêu máy tính có khả năng bẻ khoá một thuật toán đơn Diffie-Hellman 1024-bit (chi phí này nằm trong ngân sách hàng năm của NSA).

Thật không may, chỉ có một vài số nguyên tố (ít hơn 1024 bit) thường được sử dụng trong các ứng dụng mã hoá ngoài đời giống như VPN- điều này khiến việc bẻ khoá còn trở nên dễ dàng hơn. Theo Bruce Schneier “toán học rất có ích, nhưng toán học không có trung gian. Mã có trung gian, và đó là lý do khiến mã bị phá vỡ”.

Bạn có nên tiếp tục dùng VPN?

Đối với các nhà cung cấp dịch vụ, đội ngũ nghiên cứu đưa ra khuyến cáo sử dụng mã 2048-bit hoặc mã Diffie-Hellman trở lên, đồng thời cũng đã công bố hướng dẫn cách triển khai TLS. Lực lượng quản lý kỹ thuật (IETF) cũng khuyến cáo nên sử dụng các phiên bản mới nhất của những giao thức, cái yêu cầu các số nguyên tố dài hơn.

Những gián điệp có thể xâm nhập vào các số nguyên tố thường được sử dụng trong các mã Diffie-Hellman lên đến 1024 bit (khoảng 309 chữ số). Các số nguyên tố trong các mã 2048-bit sẽ khiến chúng phải điên đầu, đồng nghĩa với việc trong thời gian rất dài sắp tới các gián điệp không thể dùng những mã này để giải mã dữ liệu được bảo mật.

Đối với người dùng, mặc dù các cơ quan gián điệp đã khai thác lỗ hổng của VPN và các giao thức mã hoá khác nhau để tiếp cận số lưu lượng được mã hoá, thì bạn vẫn được bảo vệ tốt hơn nhiều so với việc giao tiếp bằng văn bản thuần tuý. Tuy máy tính của bạn vẫn có khả năng bị tấn công, nhưng nó sẽ khiến kẻ xâm nhập mất nhiều thời gian và tiền bạc- khiến chúng phải trả giá đắt. Bạn càng vô hình thì bạn càng an toàn.

Theo Edward Snowden, “ các công trình mã hoá. Các hệ thống mã hoá vững chắc được thực hiện đúng cách, là một trong số ít những điều bạn có thể tin cậy”. Nếu có thể, hãy tránh những VPN chủ yếu dựa vào các thuật toán băm MD5 hoặc SHA-1 và các giao thức PPTP hoặc L2TP/ IPSec. Tìm kiếm các công cụ hỗ trợ cho phiên bản hiện tại của OpenVPN (được xem là cực kỳ an toàn) và SHA-2. Nếu bạn không chắc chắn về thuật toán mà VPN của mình đang sử dụng, hãy tham khảo tài liệu về VPN hoặc liên hệ với bộ phận hỗ trợ.

VPN là người bạn đáng tin cậy. Hãy tin vào các mã hoá, tin vào toán học. Tối đa hoá tính năng của nó, và cố hết sức đảm bảo an toàn cho điểm cuối của bạn. Đó là cách giúp bạn duy trì bảo mật, ngay cả khi phải đối mặt với sự tấn công qua kết nối được mã hoá.

Thông tin trên có giúp ích cho bạn không? Hãy chia sẻ!