Thứ Ba, 7 tháng 2, 2023

Trung Quốc và vạn lý tường lửa [phong hoả trường thành]

tác giả nhớ lại lần đầu tiên bị nằm bên trong tường lửa Trung Quốc là ở sân bay quốc tế Phố Đông thành phố Thượng Hải: bấy giờ tác giả đã xoay xở tìm được một điểm phát sóng wifi ở quán cafe Starbuck và muốn truy cập hòm thư điện tử của mình - khi ấy tác giả mới bay 13 giờ đồng hồ - nhưng không thành công
hết ngày hôm đó, tác giả đã phải gõ nhật ký lên phần mềm microft word
tường lửa đã ảnh hưởng lớn đến nền kinh tế Trung Quốc
nhờ chặn phương tây - là những công ty internet Mỹ - Trung Quốc đã có thể tạo ra một văn hoá Internet độc nhất vô nhị riêng và kiểm soát được dòng chảy thông tin truyền đến nhân dân đại lục
vì tường lửa là kỹ thuật lắp đặt Internet nên ít người biết cách thức nó hoạt động và mức độ tinh vi của nó: người ta chỉ biết là không truy cập được email

Tường lửa
vạn lý tường lửa [the great firewall] là cái tên mà truyền thông phương tây bắt đầu gọi từ năm 1997
ý tưởng cho tường lửa đã xuất hiện năm 1996 chỉ hai năm sau khi Internet cập bến đại lục
cái ta gọi là tường lửa thì chỉ là một tập hợp con của dự án khiên vàng: phần còn lại của dự án khiên vàng thì tập trung vào những cách khác để kiểm soát và kiểm duyệt thông tin - bao gồm phần mềm và máy tính giám sát, camera qua web và quy định của những nhà cung cấp dịch vụ Internet
ý định của chính phủ với tường lửa là ngăn truyền tải thông tin liên quan đến âm mưu phá hoại tiến trình thống nhất "tự nhiên" [natural unification], bịa đặt, tung tin đồn nhảm, kêu gọi lật đổ chính phủ, khiêu dâm và dụ dỗ đánh bạc, bạo lực hoặc giết người - đây là phần của đạo luật an ninh mà quy định được dựa theo để đưa ra
thập niên 1990 tường lửa được triển khai để ngăn truy nhập nhờ cách chặn địa chỉ IP [internet protocol] và tên miền
chính phủ đã thắt chặt quản lý truy cập Internet ở nhiều quán cafe internet - chủ quán phải báo cáo những hành vi vi phạm và phải cài đặt phần mềm giám sát trên các máy tính
các nhà cung cấp dịch vụ internet được yêu cầu xác nhận ID của mọi người dùng, giống như những ngân hàng Mỹ và các công ty công nghệ tài chính [fintech] cần tài liệu chứng minh thư của khách hàng để mở một tài khoản ngân hàng
năm 2004 tường lửa đã ra mắt công nghệ chặn từ khoá: TCP drop
từ ấy, chính phủ đã tập trung vào cải thiện triển khai ban đầu: xử lý những công cụ ẩn danh được phát triển để lách tường lửa - dự án phần mềm mã nguồn mở shadowsocks và mạng riêng ảo [VPN / virtual private network] - xây dựng thêm công suất ở những tỉnh miền tây Trung Quốc, củng cố cổng biên giới mà qua đó tất cả lưu lượng Internet Trung Quốc trao đổi với phương tây
ngày nay tường lửa hoạt động hiệu quả như vậy một phần vì những cổng biên giới internet bị thắt chặt quản lý: những công ty sở hữu nhà nước Trung Quốc như nhà mạng China Unicom đã vận hành những điểm trao đổi internet kết nối tới phần còn lại của thế giới - những công ty ấy bán lại cho những nhà mạng internet phục vụ làm kho bán lẻ cho truy cập internet
tường lửa cũng có bộ phận lớn nhân lực: một đội ngũ công nhân giám sát nội dung và báo cáo những vi phạm - như mạng xã hội Facebook tuyển dụng nhân viên theo dõi và dán nhãn nội dung bẩn để máy lọc AI nhận diện
tường lửa có nhiều khía cạnh và chính phủ thì vẫn tiếp tục chỉnh sửa để đạt kết quả tốt nhất
tường lửa có 3 nguyên tắc hoạt động bao trùm

Chặn địa chỉ IP
một máy tính trên mạng lưới [web] đang bắn những gói dữ liệu vào internet: một địa chỉ ip xác định địa điểm mà dữ liệu đang đi đến và cách để đến đích đó
chính phủ đại lục giữ một danh sách chặn những địa chị ip bị cấm của những trang web nước ngoài
nếu một gói ip trụ sở Trung Quốc bị nhận diện là đang đi đến một địa chỉ trên danh sách chặn thì gói sẽ được đặt vào một con đường dẫn đến hư vô [nowhere], dữ liệu tan biến vào hư không và người gửi hoang mang
nhược điểm của phương pháp này là phải cập nhật danh sách chặn - quan trọng hơn là dễ lách bằng một máy chủ proxy: giống như một trạm dừng trung gian thứ 3 [third middle stop way station] cho những gói dữ liệu
cho nên bước tiếp theo để đảm bảo kiểm duyệt đúng mực là chặn thêm

Đầu độc DNS
đây là phương pháp kiểm duyệt chính của vạn lý tường lửa
DNS viết tắt cho hệ thống tên miền [domain name system] là danh bạ điện thoại internet: cơ chế biến những đường dẫn "hệ thống định vị tài nguyên thống nhất" [url uniform resource locator] là những tên trang web ta gõ vào trở thành địa chỉ IP
sau đó trình duyệt web có thể sử dụng địa chỉ ip để truy nhập trang web hoặc máy chủ
khi một người Trung Quốc gõ vào trình duyệt đường dẫn như "google.com" thì tên miền cần được biến thành một địa chỉ ip để trình duyệt có thể tìm trang web trong mẫu hỏi đưa ra
những yêu cầu dns này được thoả mãn bởi những thiết bị giải [resolver]: những máy tính trên mạng lưới web sẽ phản hồi những đề nghị, thiết bị giải sẽ nhận đề nghị từ người đề nghị và đặt mẫu hỏi cho cái được gọi là những máy chủ dns để tìm địa chỉ ip đúng cho đề nghị
Trung Quốc giữ một danh sách chặn dns khoảng 15000 từ khoá trong đó có google
nếu một người Trung Quốc cố gắng truy nhập google, tường lửa sẽ chắn đề nghị dns ấy và gửi cho thiết bị giải dns Trung Quốc một địa chỉ ip vô hiệu lực - nghĩa là nó đầu độc lời đề nghị
người đề nghị sẽ không bao giờ nhận lại được một địa chỉ ip hợp lệ, nên trình duyệt không thể tải dữ liệu trang web
hệ phương pháp [methodology] này hiệu quả vì hệ thống dns đã thiết kế cách đây hơn 30 năm khi an ninh chưa cần thiết rộng rãi
cho nên khi một thiết bị giải đưa mẫu hỏi một máy chủ dns có thẩm quyền, chúng không có cách nào xác nhận được liệu lời đáp chúng nhận lại là đúng hay không
phiên bản mới hơn của dns là phần mở rộng bảo mật tên miền [dnssec] ngày nay đã giới thiệu những bảo vệ đúng nguồn chính gốc [origin] và khỏi bị chặn cướp [hijack]
ở đây tường lửa khá tinh vi mà những máy bộ định tuyến [router] đã có thể chặn cướp những mẫu hỏi dns và gửi trả những hồi đáp dns giả mạo - ngăn người ta lách tường lửa bằng cách gửi mẫu hỏi một thiết bị giải dns bên thứ 3 bên ngoài đại lục

TCP drop
2 phương pháp đã đề cập thì tập trung vào ngăn một người khỏi tìm được rồi chạm vào địa chỉ ip của một loạt những trang web [site] bị ghi sổ
thế hệ đầu tiên của vạn lý tường lửa đã bắt đầu với 2 hệ phương pháp ấy
khía cạnh thứ 3 của tường lửa là gián đoạn rời chuyển dữ liệu từ máy chủ đến máy khách: chính phủ Trung Quốc giữ một danh sách chặn những từ khoá, một người dùng kết nối với máy chủ và yêu cầu dữ liệu
giao thức truyền thông để làm thế được gọi tên là giao thức kiểm soát truyền tải [transmission control protocol / tcp]
sau đó tường lửa bắt đầu quét nội dung tìm bất cứ thứ gì nằm trên danh sách chặn
nếu nội dung của trang web có từ khoá nào như vậy thì tường lửa gửi một tín hiệu huỷ kết nối tcp giữa máy chủ và vật chủ: tường lửa thực ra sẽ cho phép dữ liệu đầu tiên nhận lấy đề nghị từ máy chủ, quét nó tìm nội dung bị cấm
một khi nó huỷ kết nối tcp, nó làm thế theo một cách liên tục để sao cho những nỗ lực sau đó cũng thất bại: đây giải thích tại sao tác giả cảm thấy đôi khi mình có thể tiếp cận được một trang web nhất định đằng sau tường lửa trong một giai đoạn thời gian ngắn trước khi nó từ từ chìm xuống và bị huỷ
lưu ý là việc lọc nội dung và chặn từ khoá thì đắt đỏ và phức tạp, cho nên Trung Quốc đã tìm đến những công ty bán công nghệ Mỹ để mua
chương trình chặn từ khoá năm 2004 lần đầu tiên thực hiện bởi những hệ thống của công ty Cisco trụ sở California
phần lớn công nghệ thuở đầu của tường lửa là mua từ Cisco và Sun Microsystems, nay Sun đã thuộc về Oracle
2 công ty thung lũng Silicon đã làm việc thân cận với Phương Tân Hưng người được mệnh danh là cha đẻ của vạn lý tường lửa
ngay sau khi vạn lý tường lửa ra mắt, người ta đã bắt đầu sử dụng mạng riêng ảo [VPN] để lách tường lửa: phần lớn là những người am hiểu công nghệ máy tính tìm cách truy cập google, twitter...
một VPN là một môi trường liên lạc tư được xây dựng trên những cơ sở liên lạc công cộng: căn bản giúp kết nối với thế giới internet bên ngoài
một người dùng kết nối một máy tính vào VPN để mã hoá [encrypt] lưu lượng truy cập và gửi nó đến một máy chủ nước ngoài
vì được mã hoá, tường lửa không thể thẩm tra gói dữ liệu và phải để nó qua
nhưng tường lửa cũng thông minh, hiểu rõ những giao thức VPN thông thường, nó [tường lửa] áp dụng một số kỹ thuật kinh nghiệm thực tiễn để phát hiện lưu lượng truy cập VPN
ví dụ nếu 99% lưu lượng truy cập một địa chỉ duy nhất và nó bị mã hoá thì nó có lẽ là VPN và có thể bị chặn
tường lửa cũng có thể nhận ra những giao thức VPN phổ biến như openVPN
ở thế giới ngoại tuyến [offline] chính phủ Trung Quốc đã bắt đầu quy định và hạn chế sử dụng VPN - không phải cấm hoàn toàn VPN mà chỉ là không được dùng mà không có một giấy phép từ chính phủ
năm 2017 công an Trung Quốc đã đàn áp những VPN bất hợp pháp bị bán trên taobao: một số người bị giam giữ 3-5 năm tù và bị phạt 1000 đôla Mỹ tội bán và sử dụng VPN mà không xin giấy phép
chính phủ Trung Quốc tiếp tục tự kiềm chế để không cấm thẳng VPN

Kết
với giới kinh doanh internet Trung Quốc thì tường lửa đã hạn chế cạnh tranh internet từ phương tây như Google hay Facebook - không phải nói là Tencent, Baidu hay Alibaba không thể tồn tại nếu bị cạnh tranh vì các công ty Trung Quốc phần lớn đã đánh bại những đối thủ phương tây vào thời điểm tường lửa ra mắt - ví dụ Alibaba và Ebay đã vượt mặt Google
có lẽ ảnh hưởng lớn nhất của tường lửa là nó đã cho phép ngành internet Trung Quốc được linh động làm theo ý mình [leeway] những hành vy nhất định mà phương tây đã có thể chỉ trích
ví dụ weibo nổi tiếng là lấy cắp nội dung từ twitter
baidu và bê bối quảng cáo dược phẩm thì đã rất om xòm
wechat không tải những đường dẫn từ những công ty đối thủ cạnh tranh
những hành vy của những công ty tư và chính phủ Trung Quốc thì dù sao cũng nên nhắm vào những lạm dụng ấy
phong hoả trường thành là tường lửa tinh vi nhất so với những đồng đạo thế giới, nhưng không đơn độc - những phần tường lửa cũng được áp dụng ở những quốc gia khác
ví dụ Đức sử dụng những bộ lọc nội dung để chặn những trang web tân phát xít
Anh có khả năng thực hiện một rào chặn theo lệnh toà án những trang web dành cho vi phạm bản quyền và tội phạm khác
nhưng đừng nhầm lẫn, xã hội phương tây nói chung đã quyết định là không cho phép tường lửa - danh sách chặn từ khoá của Trung Quốc thì được quyết định bởi đảng cộng sản
nhiều người có thể thống nhất những điểm mà ta cần hạn chế tự do internet: Trung Quốc có quan điểm riêng và phương tây vẫn giữ ý kiến của mình
tường lửa cũng phản ánh cam kết của chính phủ Trung Quốc vào một biện pháp mở cửa - tường lửa không phải để bịt miệng: làm thế thì thực hiện đã dễ hơn nhiều
thay vào đó, tường lửa là một chặn có mục tiêu nhắm một bộ phận nhỏ của toàn bộ internet
người ta tập trung vào việc chặn, đúng thôi, nhưng thực tế là phần lớn người Trung Quốc không quan tâm, phần lớn chỉ muốn nói về vũ trụ điện ảnh Marvel và ủng hộ đội tuyển thể thao hâm mộ
lý do tại sao mạng lưới web có vẻ hạn chế với những người phương tây trong đó có tác giả: ở quán cafe Starbuck ở Thượng Hải có lẽ vì ta chủ yếu truy cập web thông qua những mảnh bị xác định mục tiêu kỹ càng mà Trung Quốc chặn
nó phản ánh chúng ta, người phương tây, quá lệ thuộc google, facebook và wikipedia, twitter kể cho ta biết những gì ta nghĩ là cần biết về thế giới

Không có nhận xét nào:

Đăng nhận xét