Tường lửa
vạn lý tường lửa [the great firewall] là cái tên mà truyền thông phương tây bắt đầu gọi từ năm 1997
Chặn địa chỉ IP
một máy tính trên mạng lưới [web] đang bắn những gói dữ liệu vào internet: một địa chỉ ip xác định địa điểm mà dữ liệu đang đi đến và cách để đến đích đó
chính phủ đại lục giữ một danh sách chặn những địa chị ip bị cấm của những trang web nước ngoài
nếu một gói ip trụ sở Trung Quốc bị nhận diện là đang đi đến một địa chỉ trên danh sách chặn thì gói sẽ được đặt vào một con đường dẫn đến hư vô [nowhere], dữ liệu tan biến vào hư không và người gửi hoang mang
nhược điểm của phương pháp này là phải cập nhật danh sách chặn - quan trọng hơn là dễ lách bằng một máy chủ proxy: giống như một trạm dừng trung gian thứ 3 [third middle stop way station] cho những gói dữ liệu
cho nên bước tiếp theo để đảm bảo kiểm duyệt đúng mực là chặn thêm
Đầu độc DNS
đây là phương pháp kiểm duyệt chính của vạn lý tường lửa
DNS viết tắt cho hệ thống tên miền [domain name system] là danh bạ điện thoại internet: cơ chế biến những đường dẫn "hệ thống định vị tài nguyên thống nhất" [url uniform resource locator] là những tên trang web ta gõ vào trở thành địa chỉ IP
sau đó trình duyệt web có thể sử dụng địa chỉ ip để truy nhập trang web hoặc máy chủ
khi một người Trung Quốc gõ vào trình duyệt đường dẫn như "google.com" thì tên miền cần được biến thành một địa chỉ ip để trình duyệt có thể tìm trang web trong mẫu hỏi đưa ra
những yêu cầu dns này được thoả mãn bởi những thiết bị giải [resolver]: những máy tính trên mạng lưới web sẽ phản hồi những đề nghị, thiết bị giải sẽ nhận đề nghị từ người đề nghị và đặt mẫu hỏi cho cái được gọi là những máy chủ dns để tìm địa chỉ ip đúng cho đề nghị
Trung Quốc giữ một danh sách chặn dns khoảng 15000 từ khoá trong đó có google
nếu một người Trung Quốc cố gắng truy nhập google, tường lửa sẽ chắn đề nghị dns ấy và gửi cho thiết bị giải dns Trung Quốc một địa chỉ ip vô hiệu lực - nghĩa là nó đầu độc lời đề nghị
người đề nghị sẽ không bao giờ nhận lại được một địa chỉ ip hợp lệ, nên trình duyệt không thể tải dữ liệu trang web
hệ phương pháp [methodology] này hiệu quả vì hệ thống dns đã thiết kế cách đây hơn 30 năm khi an ninh chưa cần thiết rộng rãi
cho nên khi một thiết bị giải đưa mẫu hỏi một máy chủ dns có thẩm quyền, chúng không có cách nào xác nhận được liệu lời đáp chúng nhận lại là đúng hay không
phiên bản mới hơn của dns là phần mở rộng bảo mật tên miền [dnssec] ngày nay đã giới thiệu những bảo vệ đúng nguồn chính gốc [origin] và khỏi bị chặn cướp [hijack]
ở đây tường lửa khá tinh vi mà những máy bộ định tuyến [router] đã có thể chặn cướp những mẫu hỏi dns và gửi trả những hồi đáp dns giả mạo - ngăn người ta lách tường lửa bằng cách gửi mẫu hỏi một thiết bị giải dns bên thứ 3 bên ngoài đại lục
TCP drop
2 phương pháp đã đề cập thì tập trung vào ngăn một người khỏi tìm được rồi chạm vào địa chỉ ip của một loạt những trang web [site] bị ghi sổ
thế hệ đầu tiên của vạn lý tường lửa đã bắt đầu với 2 hệ phương pháp ấy
khía cạnh thứ 3 của tường lửa là gián đoạn rời chuyển dữ liệu từ máy chủ đến máy khách: chính phủ Trung Quốc giữ một danh sách chặn những từ khoá, một người dùng kết nối với máy chủ và yêu cầu dữ liệu
giao thức truyền thông để làm thế được gọi tên là giao thức kiểm soát truyền tải [transmission control protocol / tcp]
sau đó tường lửa bắt đầu quét nội dung tìm bất cứ thứ gì nằm trên danh sách chặn
nếu nội dung của trang web có từ khoá nào như vậy thì tường lửa gửi một tín hiệu huỷ kết nối tcp giữa máy chủ và vật chủ: tường lửa thực ra sẽ cho phép dữ liệu đầu tiên nhận lấy đề nghị từ máy chủ, quét nó tìm nội dung bị cấm
một khi nó huỷ kết nối tcp, nó làm thế theo một cách liên tục để sao cho những nỗ lực sau đó cũng thất bại: đây giải thích tại sao tác giả cảm thấy đôi khi mình có thể tiếp cận được một trang web nhất định đằng sau tường lửa trong một giai đoạn thời gian ngắn trước khi nó từ từ chìm xuống và bị huỷ
lưu ý là việc lọc nội dung và chặn từ khoá thì đắt đỏ và phức tạp, cho nên Trung Quốc đã tìm đến những công ty bán công nghệ Mỹ để mua
chương trình chặn từ khoá năm 2004 lần đầu tiên thực hiện bởi những hệ thống của công ty Cisco trụ sở California
phần lớn công nghệ thuở đầu của tường lửa là mua từ Cisco và Sun Microsystems, nay Sun đã thuộc về Oracle
2 công ty thung lũng Silicon đã làm việc thân cận với Phương Tân Hưng người được mệnh danh là cha đẻ của vạn lý tường lửa
một VPN là một môi trường liên lạc tư được xây dựng trên những cơ sở liên lạc công cộng: căn bản giúp kết nối với thế giới internet bên ngoài
một người dùng kết nối một máy tính vào VPN để mã hoá [encrypt] lưu lượng truy cập và gửi nó đến một máy chủ nước ngoài
vì được mã hoá, tường lửa không thể thẩm tra gói dữ liệu và phải để nó qua
nhưng tường lửa cũng thông minh, hiểu rõ những giao thức VPN thông thường, nó [tường lửa] áp dụng một số kỹ thuật kinh nghiệm thực tiễn để phát hiện lưu lượng truy cập VPN
ví dụ nếu 99% lưu lượng truy cập một địa chỉ duy nhất và nó bị mã hoá thì nó có lẽ là VPN và có thể bị chặn
tường lửa cũng có thể nhận ra những giao thức VPN phổ biến như openVPN
ở thế giới ngoại tuyến [offline] chính phủ Trung Quốc đã bắt đầu quy định và hạn chế sử dụng VPN - không phải cấm hoàn toàn VPN mà chỉ là không được dùng mà không có một giấy phép từ chính phủ
năm 2017 công an Trung Quốc đã đàn áp những VPN bất hợp pháp bị bán trên taobao: một số người bị giam giữ 3-5 năm tù và bị phạt 1000 đôla Mỹ tội bán và sử dụng VPN mà không xin giấy phép
chính phủ Trung Quốc tiếp tục tự kiềm chế để không cấm thẳng VPN
Kết
với giới kinh doanh internet Trung Quốc thì tường lửa đã hạn chế cạnh tranh internet từ phương tây như Google hay Facebook - không phải nói là Tencent, Baidu hay Alibaba không thể tồn tại nếu bị cạnh tranh vì các công ty Trung Quốc phần lớn đã đánh bại những đối thủ phương tây vào thời điểm tường lửa ra mắt - ví dụ Alibaba và Ebay đã vượt mặt Google
có lẽ ảnh hưởng lớn nhất của tường lửa là nó đã cho phép ngành internet Trung Quốc được linh động làm theo ý mình [leeway] những hành vy nhất định mà phương tây đã có thể chỉ trích
ví dụ weibo nổi tiếng là lấy cắp nội dung từ twitter
baidu và bê bối quảng cáo dược phẩm thì đã rất om xòm
wechat không tải những đường dẫn từ những công ty đối thủ cạnh tranh
những hành vy của những công ty tư và chính phủ Trung Quốc thì dù sao cũng nên nhắm vào những lạm dụng ấy
phong hoả trường thành là tường lửa tinh vi nhất so với những đồng đạo thế giới, nhưng không đơn độc - những phần tường lửa cũng được áp dụng ở những quốc gia khác
ví dụ Đức sử dụng những bộ lọc nội dung để chặn những trang web tân phát xít
Anh có khả năng thực hiện một rào chặn theo lệnh toà án những trang web dành cho vi phạm bản quyền và tội phạm khác
nhưng đừng nhầm lẫn, xã hội phương tây nói chung đã quyết định là không cho phép tường lửa - danh sách chặn từ khoá của Trung Quốc thì được quyết định bởi đảng cộng sản
nhiều người có thể thống nhất những điểm mà ta cần hạn chế tự do internet: Trung Quốc có quan điểm riêng và phương tây vẫn giữ ý kiến của mình
tường lửa cũng phản ánh cam kết của chính phủ Trung Quốc vào một biện pháp mở cửa - tường lửa không phải để bịt miệng: làm thế thì thực hiện đã dễ hơn nhiều
thay vào đó, tường lửa là một chặn có mục tiêu nhắm một bộ phận nhỏ của toàn bộ internet
người ta tập trung vào việc chặn, đúng thôi, nhưng thực tế là phần lớn người Trung Quốc không quan tâm, phần lớn chỉ muốn nói về vũ trụ điện ảnh Marvel và ủng hộ đội tuyển thể thao hâm mộ
lý do tại sao mạng lưới web có vẻ hạn chế với những người phương tây trong đó có tác giả: ở quán cafe Starbuck ở Thượng Hải có lẽ vì ta chủ yếu truy cập web thông qua những mảnh bị xác định mục tiêu kỹ càng mà Trung Quốc chặn
nó phản ánh chúng ta, người phương tây, quá lệ thuộc google, facebook và wikipedia, twitter kể cho ta biết những gì ta nghĩ là cần biết về thế giới
Không có nhận xét nào:
Đăng nhận xét