Với xu thế phát triển mạnh của IoT, không gian mạng đang ngày càng mở rộng nhanh chóng. 100.000 đối tượng mới kết nối với Internet mỗi giờ. Tuy nhiên, IoT cũng ẩn chứa những rủi ro lớn về bảo mật và an toàn thông tin. Lổ hổng bảo mật trong các sản phẩm thông minh hiện nay rất nhiều, mở ra một cơ hội khác cho tin tặc, botnet và các dạng tội phạm mạng theo đó nảy nở.
Thay vì tấn công máy tính xách tay và cài botnet vào để tạo thành một đội quân máy tính thì hacker lại tận dụng các thiết bị IoT, như camera giám sát CCTV, smartTV hay các hệ thống tự động trong nhà. Đã có những ví dụ như camera CCTV trở thành một đội quân botnet, tạo ra tấn công DDoS vào ngân hàng và các mục tiêu khác. Hồi đầu năm nay, đã diễn ra một làn sóng tấn công tủ lạnh thông minh. Không như máy tính bàn hay xách tay, chúng ta rất khó phát hiện botnet có trong thiết bị IoT.
Hệ thống camera an ninh đang là các mục tiêu dễ dàng để hacker xâm nhập bởi bảo mật kém và thường chạy trên hệ điều hành cũ. Người mua ít khi cài đặt các bản vá lỗi. Giữa năm 2016, theo báo cáo của Arbor Networks, hàng ngàn camera CCTV kết nối web đã bị nhóm tin tặc Lizard Squad chiếm quyền sử dụng. Khi các camera bị chiếm quyền điều khiển, chúng được tập hợp lại thành một mạng botnet (máy ma). Sau đó, botnet này được sử dụng để tấn công từ chối dịch vụ (DDOS) đến các ngân hàng, trang web game, chính phủ và các nhà cung cấp Internet.
Mỗi bo mạch camera có thể không xử lý mạnh mẽ như một chiếc máy tính, nhưng với số lượng khổng lồ, các bo mạch này có thể gây ngập các trang web với dữ liệu đổ tới lên đến 400 Gbps tương đương 429.000 MB/s.
Trong khi đó, nhiều hãng cung cấp thiết bị mạng, giải pháp bảo mật cũng bị cáo buộc cài cắm mã độc, chương trình cửa hậu từ khi xuất xưởng như thiết bị mạng, tường lửa của hãng Juniper và Fortinet có tài khoản mặc định mà người dùng không được biết, một số dòng máy tính của hãng Lenovo sử dụng phần mềm LSE có tính năng như một phần mềm gián điệp; một số dòng điện thoại thông minh của các hãng sản xuất như Lenovo, Huawei, HTC, Philips, Oppo...sử dụng bộ vi xử lý MT6852 của MediaTek... cũng tồn tại cửa hậu cho phép tin tặc tấn công, kích hoạt quyền quản trị (root).
Giữa tháng 11/2016, theo nhật báo New York Times, phần mềm gián điệp cài trên một số điện thoại android “Made in China” không chỉ đánh cắp tin nhắn cá nhân của người dùng, chúng còn theo dõi mọi chuyển động cũng như tất cả số điện thoại họ liên lạc.
Kryptowire là công ty an ninh phát hiện ra lỗ hổng bảo mật. Họ khẳng định phần mềm của công ty Trung Quốc Shanghai Adups Technology truyền nội dung đầy đủ của tin nhắn, danh sách liên lạc, danh bạ cuộc gọi, thông tin địa điểm và nhiều dữ liệu khác về một máy chủ ở Trung Quốc.
Đoạn mã được cài sẵn trên điện thoại khi bán ra và người tiêu dùng không được thông báo về việc bị theo dõi và cũng không thể vô hiệu hóa được nó. các nhà phân tích để ý thấy chiếc điện thoại gửi tin nhắn về một máy chủ ở thành phố Thượng Hải đăng ký bở Adups. Kryptowire đã báo cáo phát hiện này cho chính phủ Mỹ và công bố rộng rãi hôm 15/11/2016 (http://www.kryptowire.com/adups_security_analysis.html). Một nhà sản xuất điện thoại của Mỹ - BLU Products – cho biết 120.000 điện thoại của họ bị ảnh hưởng và công ty đã phải cập nhật lại firmware (phần mềm hệ thống) để loại bỏ tính năng do thám.
Số lượng các thiết bị nhiễm mã độc này trên toàn cầu hiện chưa thống kê được nhưng theo số liệu của Adups Technology, trên thế giới có hơn 700 triệu điện thoại, xe hơi và các thiết bị thông minh cài phần mềm của họ.
Không dừng lại ở đó, cuối tháng 11/2016, hãng nghiên cứu BitSight Technologies đã tìm thấy cổng hậu được cài sẵn trong phần mềm hệ thống (firmware) trên 2,8 triệu smartphone chạy hệ điều hành Android. Backdoor này xuất hiện trong firmware của công ty Trung Quốc Ragentek. Hãng BitSight cho biết hầu hết thiết bị chứa backdoor được bán ở Mỹ và do công ty Blu Products sản xuất. Ngoài ra còn có một phần nhỏ điện thoại của các công ty khác như Infinix, Doogee, Leagoo và Xolo. Trong số này, Infinix là nhà sản xuất điện thoại Hong Kong và đang bán một số mẫu smartphone tại Việt Nam như HotNote X551, Hot 3 LTE X553... với mức giá dưới 3 triệu đồng (phân tích của BitSight Technologies về cửa hậu của Ragentek: http://blog.anubisnetworks.com/blog/ragentek-android-ota-update-mechanism-vulnerable-to-mitm-attack).
Trang tin The Washington Free Beacon ngày 29/11/2016 dẫn báo cáo từ bộ phận tình báo hỗn hợp J-2 của Bộ Quốc phòng Mỹ khẳng định một số công ty công nghệ đang phối hợp cùng chính phủ Trung Quốc để thu thập thông tin. Cụ thể, Công ty Boyusec, tên đầy đủ là Công ty công nghệ thông tin Bo Yu Quảng Châu, đang hợp tác cùng Công ty viễn thông Huawei để phát triển các công cụ được dùng để cài đặt vào những thiết bị viễn thông và máy vi tính. Qua đó, công cụ ẩn sẽ lấy dữ liệu và thậm chí chiếm quyền kiểm soát của thiết bị viễn thông lẫn máy vi tính. Báo cáo của Lầu Năm Góc khẳng định: “Giữa Bộ An ninh quốc gia Trung Quốc và Huawei hợp tác rất thân thiết. Họ đang cùng nhau phát triển công cụ dùng để sao chép và kiểm soát thiết bị viễn thông” (http://freebeacon.com/national-security/pentagon-links-chinese-cyber-security-firm-beijing-spy-service/).
Bảo mật cho các thiết bị đầu cuối, đặc biệt là sự đa dạng của các loại thiết bị IoT, là rất khó khăn vì những lý do về kỹ thuật, công nghệ và thậm chí cả nền văn hóa. Đối với người dùng thông thường, đã là rất khó để khiến họ cập nhật những bản vá mới nhất trên máy tính xách tay, điện thoại thông minh. Nay với một thế giới thiết bị nào cũng có kết nối Internet như hệ thống mở cửa gara tự động, máy pha cà phê, mắt kính hoặc thậm chí đôi giày tập chạy bộ cũng có thể có những lỗ hổng bảo mật. Khi nhà sản xuất muốn nâng cấp firmware hay cài bản vá cho những thiết bị này sẽ rất phiền phức.
Dễ thấy, các thiết bị đầu cuối, cho dù là của những hãng cung cấp uy tín cũng không thể hoàn toàn tin tưởng. Họ có thể vì lợi ích doanh nghiệp hoặc lợi ích chính quốc gia của họ mà dấu lại những “cửa hậu” trong các thiết bị để dùng trong một số trường hợp nhất định. Cùng với quá trình đẩy mạnh ứng dụng CNTT và hướng tới thế giới kết nối IoT, xu hướng gia tăng tấn công mạng là tất yếu. Bởi vậy, dự đoán được các nguy cơ về ATTT để có biện pháp phòng ngừa phù hợp là trách nhiệm của chủ sở hữu và quản lý các hệ thống thông tin.