Những đe dọa bảo mật mới trong một thế giới kết nối

Màn hình giám sát trẻ nhỏ ở nhà của bạn liệu có khả năng được sử dụng để theo dõi bạn? Tivi của bạn có những kênh bạn ưa thích xem có thể bị lợi dụng? Ô tô của bạn có thể bị những kẻ xấu tấn công (hack)? Một thiết bị với vẻ ngoài hoàn toàn vô hại như thiết bị giải mã tín hiệu truyền hình hoặc một router kết nối mạng có thể bị sử dụng như một cổng để cho phép tội phạm mạng truy nhập vào máy tính trong gia đình bạn?

Ngày càng có nhiều thiết bị đang trở thành tâm điểm mục tiêu của các mối đe dọa bảo mật hiện nay, khi kỷ nguyên "Mọi thứ kết nối Internet“ (Internet of Things - IoT) đang trở thành hiện thực. Vậy "Mọi thứ kết nối Internet“ là gì? Về cơ bản, chúng ta đang dịch chuyển sang một kỷ nguyên mà ở đó không chỉ có máy tính được kết nối với Internet. Những thiết bị gia đình, các hệ thống an ninh, hệ thống ánh sáng và hệ thống sưởi tòa nhà, thậm chí cả xe ô tô cũng dần trở thành những thiết bị được kết nối với Internet. Viễn cảnh lớn ở đây đó là một thế giới mà tất cả mọi thứ đều được kết nối với nhau - do vậy, đây được gọi là kỷ nguyên "Mọi thứ kết nối Internet“.

Những bước phát triển thú vị mới sắp trở thành hiện thực. Một ngôi nhà kết nối có thể cho phép người dùng truy cập mạng gia đình trước khi tan sở và bật hệ thống sưởi tòa nhà cũng như lò nướng của mình. Nếu hệ thống cảnh báo của ngôi nhà bị tắt khi bạn rời khỏi nhà vào buổi tối, người dùng có thể tiếp cận hệ thống an ninh của ngôi nhà từ điện thoại thông minh, kiểm tra các camera an ninh và thiết lập lại chế độ cảnh báo nếu không có vấn đề gì xảy ra.

Những phát triển về công nghệ mới thường đi kèm với hàng loạt những mối đe dọa an ninh mới. Hầu hết người dùng hiện nay đều hiểu rõ máy tính của họ có thể bị các phần mềm độc hại nhắm tới. Người dùng cũng đang ngày càng nhận thức rõ các thế hệ điện thoại thông minh mới cũng dễ dàng trở thành mục tiêu tấn công của tội phạm mạng. Tuy nhiên, rất ít người biết tới các mối đe dọa nhắm tới những thiết bị số khác.

THẾ GIỚI KẾT NỐI

Không phải tất cả những mối lo ngại đều liên quan tới các lỗ hổng bảo mật. Tivi kết nối Internet ngày nay đã trở nên khá phổ biến và đi kèm với hàng loạt những tính năng hữu ích như truy nhập dịch vụ truyền hình và lướt web. Mới đây, nhà sản xuất thiết bị điện tử LG khẳng định, một số mẫu tivi của hãng theo dõi những gì mọi người xem và gửi dữ liệu tổng hợp lại cho công ty. Họ thực hiện việc này để tùy chỉnh những quảng cáo hướng tới khách hàng. Tuy nhiên, một lỗi trên hệ thống đã xuất hiện đó là tivi tiếp tục thu thập dữ liệu ngay cả khi tính năng này được tắt. LG đang chuẩn bị một bản cập nhật phần cứng (firmware) và sẽ sửa lỗi này.

Kỷ nguyên "Mọi thứ kết nối Internet" hiện mới chỉ trong giai đoạn đầu và số lượng những thiết bị có kết nối Internet đang ở giai đoạn bùng nổ. Theo Cisco, hiện nay có hơn 10 tỉ thiết bị kết nối Internet trên hành tinh. Với dân số toàn cầu chỉ hơn 7 tỉ người, điều này đồng nghĩa rằng số lượng các thiết bị có kết nối Internet đã nhiều hơn dân số thế giới. Cisco, hãng liên tục theo dõi số lượng các thiết bị, tin rằng số lượng các thiết bị có kết nối Internet sẽ đạt 50 tỉ trong năm 2020. Điều thú vị ở đây là Cisco tin rằng 50% trong mức tăng trưởng này sẽ diễn ra trong vòng 3 năm cuối của thập kỷ này.

Vài năm trở lại đây, chúng ta đã và đang chứng kiến ngày càng nhiều loại thiết bị có kết nối Internet khác nhau, chẳng hạn như thiết bị điều chỉnh nhiệt độ thông thường, bóng đèn điện - có thể được điều khiển bằng điện thoại thông minh. Thậm chí ngành công nghiệp ô tô cũng đã tập trung hơn tới vấn đề này, hứa hẹn tung ra các loại xe kết nối Internet và có thể nhận thông tin liên tục theo thời gian thực.

Song song với sự phát triển bùng nổ của không gian mạng, việc sản xuất các thiết bị kết nối Internet cũng trở nên dễ dàng hơn nhiều. Kết quả là việc sản xuất các loại chip có hiệu suất thấp sẽ ngày càng rẻ hơn. Các công nghệ khác như chipset cho Wifi đã giảm giá mạnh trong vài năm trở lại đây. Tất cả những yếu tố này kết hợp lại cho thấy việc sản xuất các thiết bị kết nối Internet ngày càng trở nên dễ dàng hơn và rẻ hơn theo thời gian.

Ông Raymond Goh, Giám đốc cao cấp phụ trách Kiến trúc hệ thống và liên minh đối tác, Symantec khu vực Nam Á cho biết "Với hàng triệu thiết bị được kết nối Internet trong năm 2014, Symantec dự báo chúng sẽ trở thành thỏi nam châm thu hút những tin tặc (hacker) - và vì thế môi trường "Mọi thứ kết nối Internet“ sẽ trở thành một môi trường đầy nguy cơ, lỗ hổng bảo mật. Các nhà nghiên cứu bảo mật đã chứng kiến những vụ tấn công đối với tivi thông minh, các thiết bị y tế và camera an ninh. Chúng ta cũng đã thấy việc những thiết bị giám sát trẻ nhỏ bị tấn công, giao thông bị đình trệ do những tin tặc đã truy cập hệ thống máy tính điều khiển thông qua một hệ thống camera an ninh.

SÂU LINUX KHAI THÁC LỖ HỔNG BẢO MẬT

Kỷ nguyên "Mọi thứ kết nối Internet“ có thể chỉ mới trong giai đoạn trứng nước nhưng các mối đe dọa bảo mật thì đã tồn tại từ lâu. Chẳng hạn, nhà điều tra Kaoru Hayashi của Symantec mới đây đã phát hiện một loại sâu mới nhắm tới các máy tính chạy hệ điều hành (HĐH) Linux. Hầu hết mọi người đều chưa thử qua Linux, tuy nhiên, HĐH này đóng một vai trò rất quan trọng trong thế giới doanh nghiệp bởi nó được sử dụng rộng rãi trên các máy chủ Web (Web server) và các máy tính lớn (mainfraimes).

Sâu độc này có tên gọi là Linux.Darlloz, ban đầu nó xuất hiện với bề ngoài không có gì bất thường. Nó khai thác một lỗ hổng cũ trong ngôn ngữ lập trình PHP để truy nhập vào một máy tính - sau đó tìm mọi cách đạt được quyền quản trị bằng cách thử hàng loạt tên người dùng và mật khẩu thường được sử dụng và rồi tự phát tán chính nó bằng cách tìm kiếm các máy tính khác. Sâu này tạo một cửa hậu (back-door) trên máy tính bị lây nhiễm và cho phép những kẻ tấn công ra lệnh cho máy tính đó.

Bởi vì sâu này khai thác lỗ hổng cũ trên ngôn ngữ PHP, do vậy, nó chủ yếu phụ thuộc vào việc tìm những máy tính chưa được vá lỗi để phát tán lây nhiễm. Nếu sâu này chỉ có thể làm được những việc như vậy thì không có gì đáng để nói. Kaoru đã xem xét kỹ hơn về loại sâu này và phát hiện một vài điều thú vị. Phiên bản sâu độc đang tung hoành không có kiểm soát này được thiết kế để nhắm tới lây nhiễm những máy tính có kiến trúc bộ vi xử lý Intel x86 - thường được dùng phổ biến trên máy tính cá nhân và các máy chủ. Sau đó, Kaoru phát hiện thêm rằng những phiên bản được thiết kế cho các kiến trúc bộ vi xử lý ARM, PPC, MIPS và MIPSEL đều được lưu trữ (hosted) trên cùng một máy chủ chứa loại sâu gốc. Những kiến trúc bộ vi xử lý này thường được tìm thấy trên các thiết bị như bộ định tuyến (router) trong gia đình, thiết bị giải mã tín hiệu truyền hình, máy quay an ninh và các hệ thống điều khiển công nghiệp. Kẻ tấn công có vẻ như đã ở trong trạng thái sẵn sàng tấn công những thiết bị kể trên và tùy theo ý muốn của chúng.

Một điểm nữa là sâu này có thể quét để phát hiện một biến thể sâu Linux khác là Linux.Aidra. Nếu nó tìm ra bất kỳ tệp tin nào liên quan tới loại sâu này thì nó sẽ tìm cách xóa bỏ các tệp tin đó. Không chỉ vậy, sâu này sẽ tìm cách chặn các cổng giao tiếp được sâu Linux.Aidra sử dụng. Nó sẽ loại bỏ không thương tiếc. Khả năng kẻ tấn công đứng đằng sau Linux.Darlloz biết rằng những thiết bị bị lây nhiễm bởi sâu Linux.Aidra đều có bộ nhớ và sức mạnh xử lý hạn chế, do vậy, chúng không muốn chia sẻ tài nguyên với một loại phần mềm độc hại khác.

Linux.Aidra, loại phần mềm độc hại mà sâu Linux. Darlloz tìm cách loại bỏ, cũng là mối đe dọa kiểu mới. Giống như một vài biến thể của sâu Darlloz đã được Symantec phát hiện, sâu Linux.Aidra nhắm tới các thiết bị nhỏ hơn mà cụ thể là các modem cáp và modem DSL. Sâu này sẽ đưa các thiết bị này vào một mạng máy tính ma (botnet) - sau đó có thể được những kẻ tấn công sử dụng để thực hiện tấn công từ chối dịch vụ (DDoS). Dù tác giả của sâu Darlloz là ai, thì cũng có cơ sở để cho rằng sâu Aidra đã lây nhiễm trên diện rộng và điều này tiềm tàng những rủi ro cho loại mã độc mà người đó viết.

Điều thực sự đáng lo ngại đối với những mối đe dọa bảo mật này đó là trong nhiều trường hợp, ngưới dùng cuối có thể hoàn toàn không biết rằng thiết bị của họ đang chạy trên một hệ điều hành có thể bị tấn công. Những phần mềm này đều được ẩn đi trên thiết bị của họ. Một vấn đề tiềm ẩn đáng lo ngại khác đó là một vài nhà sản xuất thiết bị không cung cấp các bản cập nhật HĐH - một phần là do giới hạn của các thiết bị phần cứng, một phần là do công nghệ lỗi thới, chẳng hạn như không thể chạy phiên bản phần mềm mới.

CAMERA AN NINH CŨNG DỄ BỊ TẨN CÔNG

Đầu năm nay, Ủy ban thương mại Liên bang Mỹ (FTC) đã giải quyết một trường hợp chống lại TRENDnet, công ty sản xuất camera an ninh và màn hình giám sát trẻ nhỏ kết nối Internet. FTC kết luận, TRENDnet đã quảng cáo các camera do hãng sản xuất là an toàn, tuy nhiên, "Trên thực tế, các camera này có chứa phần mềm bị lỗi, để ngỏ khả năng hiển thị trực tuyến và trong vài trường hợp có thể nghe được nếu ai đó có địa chỉ Internst của camera đó. Do lỗi sơ suất này, hình ảnh từ hàng tIăm camera cá nhân của người dùng đã bị công bố tIên Internst.“

Tháng 1/2012, một blogger đã công khai lỗ hổng và điều này dẫn tới nhiều ngưới đưa các liên kết chứa hình ảnh trực tiếp từ 700 camera lên Internet. "Những hình ảnh hiển thị trẻ nhỏ đang ngủ trong cũi, các bé lớn chơi đùa và thanh niên trong cuộc sống thường ngày“ - FTC cho biết. Do vậy, TRENDnet đã phải tăng cướng bảo mật trên các thiết bị của mình, đồng thới phải hứa hẹn không được nói quá về khả năng bảo mật trong các tài liệu quảng cáo trong tương lai.

Điều đáng chú ý của trường hợp TRENDnet là những thiết bị bị đưa vào tầm ngắm hoàn toàn không bị lây nhiễm bởi mã độc. Đơn giản là cấu hình bảo mật của những thiết bị này cho phép bất kỳ ai truy nhập tới chúng (nếu họ biết cách). Đây không phải là trường hợp duy nhất. Hiện nay, có một công cụ tìm kiếm có tên gọi Shodan cho phép mọi ngưới tìm kiếm hàng loạt các thiết bị có kết nối Internet.

Shodan tìm kiếm những thiết bị chứ không phải là các website. Ngoài các camera an ninh và các thiết bị gia đình khác, Shodan còn có thể tìm kiếm các hệ thống kiểm soát nhiệt độ tòa nhà, các nhà máy xử lý nước, ô tô, các đèn giao thông, màn hình tim thai và trạm điều khiển nhà máy điện. Nếu một thiết bị được Shodan tìm thấy thì không có nghĩa là thiết bị đó có lỗ hổng. Tuy nhiên, những dịch vụ như Shodan có thể khiến cho các thiết bị dễ dàng bị phát hiện nếu những kẻ tấn công biết những lỗ hổng trong thiết bị đó.

CÓ Ý THỨC TỰ BẢO VỆ

Để được bảo vệ, Symantec cho biết, ngưới dùng cần quan tâm đến các biện pháp: Kiểm định các thiết bị có kết nối tới Internet; Chú trọng tới những cài đặt bảo mật trên bất kỳ thiết bị nào bạn có. Nếu thiết bị đó có thể truy nhập từ xa, hãy tắt thuộc tính này nếu không cần thiết. Thay đổi mật khẩu mặc định sao cho chỉ có mình bạn biết. Không sử dụng các mật khẩu phổ biến hoặc dễ đoán chẳng hạn như "123456“ hoặc "password“. Một tổ hợp gồm các ký tự, số và biểu tượng sẽ là một mật khẩu mạnh.

Ngoài ra, bạn cũng nên thường xuyên kiểm tra website của nhà sản xuất để theo dõi những cập nhật về phần mềm trên thiết bị. Nếu có lỗ hổng bảo mật trên thiết bị, nhà sản xuất sẽ thường đưa ra bản vá lỗi trong cập nhật phần mềm mới cho thiết bị.

LP

Tài liệu tham khảo

[1].www.cisco.com.
[2].www.symantec.com.

(TCTTTT Kỳ 2/2/2014)