Anh sắp đưa yêu cầu “cấm sử dụng mật khẩu mặc định” trên thiết bị IoT

An toàn thông tin - Ngày đăng : 16:45, 05/12/2021

Các thiết bị Internet vạn vật (IoT) như máy theo dõi thể dục và bóng đèn thông minh kết nối với internet - hiện là một phần của cuộc sống hàng ngày đối với hầu hết mọi người.

Tuy nhiên, an toàn an ninh mạng vẫn là một thách thức với các thiết bị IoT, và theo hãng bảo mật Kaspersky, tình hình đã trở nên tồi tệ hơn. Có 1,5 tỷ vụ vi phạm bảo mật trên thiết bị IoT chỉ trong 6 tháng đầu năm 2021, gần như gấp đôi so với 639 triệu vụ trong cả năm 2020. Điều này phần lớn do các nhà sản xuất thiết bị thường xuất xưởng sản phẩm với mật khẩu mặc định yếu và các thành phần không an toàn của bên thứ ba.

Trong nỗ lực giúp người tiêu dùng cải thiện khả năng bảo mật của thiết bị IoT, chính phủ Vương quốc Anh tuần này đã giới thiệu dự luật Cơ sở hạ tầng viễn thông và an ninh sản phẩm (PSTI). Dự luật yêu cầu các nhà sản xuất, nhập khẩu và phân phối IoT phải đáp ứng các tiêu chuẩn an ninh mạng nhất định.

Dự luật PSTI của Anh vẫn chưa chính thức được thông qua để trở thành luật. Tuy nhiên, theo các nguồn tin chính phủ, dự luật sẽ được thông qua ngay khi quốc hội cho phép. Điều này có nghĩa là luật có thể sẽ được ban hành và có hiệu lực vào năm 2022.

Hiện tại, dự luật đã được công bố với người dân nước Anh, cho thấy kết quả nhiều tháng tham vấn của các chuyên gia trong ngành đã tác động đến luật như thế nào.

Luật mới sẽ đưa ra những biện pháp bảo vệ an ninh nào cho người tiêu dùng?

Trên thực tế, dự luật PSTI đưa ra ba bước quy định nhằm đảm bảo an toàn an ninh thông tin cho các thiết bị thông minh:

Thứ nhất, không được phép sử dụng mật khẩu yếu, mật khẩu mặc định, thiết lập ban đầu trong các thiết bị thông minh. Thay vào đó, tất cả các thiết bị sẽ phải đi kèm với mật khẩu riêng và không thể thiết lập quay lại mật khẩu chung, mặc định ban đầu.

Thứ hai, phải công bố công khai địa chỉ liên hệ của các nhà nghiên cứu, tin tặc, thợ săn tiền thưởng và những thứ tương tự của các báo cáo lỗ hổng bảo mật.

Thứ ba, người tiêu dùng phải được thông báo về khoảng thời gian mà thiết bị họ mua sẽ nhận được các bản cập nhật bảo mật và được thông báo tại thời điểm mua hàng. Nếu thiết bị không thể nhận được các bản cập nhật hoặc bản vá lỗi đó hoặc không nhận được bất kỳ bản vá lỗi nào thì sự cố này phải được khai báo.

George Papamargaritis, Giám đốc của Obrela Security Industries, cho biết: “Một trong những vectơ tấn công được sử dụng phổ biến nhất là thông qua mật khẩu mặc định, dễ đoán và được tải trước trên nhiều thiết bị. Thực tế việc luật mới cấm mật khẩu mặc định là một bước tiến lớn và nó sẽ khuyến khích các nhà sản xuất thiết bị xem xét bảo mật trước khi tiếp thị sản phẩm, nếu không họ có thể phải đối mặt với những khoản tiền phạt lớn có khả năng phá hủy doanh nghiệp".

Laurie Mercer, kỹ sư bảo mật tại HackerOne, cho biết: “Chúng ta đang tiến đến một thời điểm mà các tính năng bảo mật phải có ngay từ khi thiết kế sản phẩm, đó sẽ là một yêu cầu bắt buộc và không phải là một suy nghĩ muộn màng. Đây là một cột mốc quan trọng hướng tới các sản phẩm kết nối an toàn hơn và cho thấy Vương quốc Anh đang dẫn đầu trong việc tạo ra một xã hội kết nối kỹ thuật số an toàn".

Luật mới sẽ ảnh hưởng đến những thiết bị thông minh nào?

Đó sẽ là các thiết bị tiêu dùng và bao gồm bộ định tuyến, camera an ninh, máy chơi game, TV, loa thông minh và trợ lý, màn hình theo dõi, chăm sóc em bé, chuông cửa và điện thoại thông minh. Những thiết bị như máy tính xách tay và máy tính để bàn, thiết bị y tế, ô tô hoặc đồng hồ thông minh không nằm trong diện ảnh hưởng của luật mới này.

Anh sắp đưa yêu cầu “cấm sử dụng mật khẩu mặc định” trên thiết bị IoT thành luật - Ảnh 1.

Các thiết bị như loa thông minh, camera giám sát... sẽ không được có mật khẩu mặc định. Ảnh: Biometric Update

Ngoài ra, đây là một bước tiến tốt khi luật sẽ áp dụng cho cả nhà sản xuất thiết bị và nhà nhập khẩu, đơn vị phân phối và bán sản phẩm. Mọi thứ sẽ được một cơ quan quản lý giám sát. Hiện tại, cơ quan quản lý này vẫn chưa được chỉ định. Những vi phạm sẽ bị phạt khoản tiền 10 triệu bảng Anh hoặc 4% doanh thu toàn cầu; vi phạm liên tục có thể bị phạt 20.000 bảng mỗi ngày.

Nhìn chung, những quy định này là tốt nhưng vẫn có các hạn chế, vì nhiều thiết bị thông minh “khá ngốc” khi nói đến bảo mật và không có khả năng vá lỗi phần ''sụn'' (firmware); lúc đó luật sẽ chỉ yêu cầu những thiết bị phải có thông báo là không có khả năng vá lỗi. Ngay cả đối với những thứ có thể được vá, luật cũng không có yêu cầu tự động vá. Nếu không có tính năng tự động hóa như vậy, hầu hết người tiêu dùng sẽ không bận tâm. Do đó, những thiết bị này kém an toàn vì chứa các lỗ hổng bảo mật, và  các tác nhân đe dọa sẽ khai thác những điểm yếu này.

Mới chỉ là những bước quan trọng đầu tiên trong vấn đề bảo mật thiết bị IoT

Tạp chí Forbes đã trò chuyện với David Rogers, Giám đốc điều hành tại Copper Horse và là chủ tịch của Nhóm chống bảo mật và gian lận của Hiệp hội GSM (GSMA). Rogers cũng là thành viên ban điều hành của Tổ chức Bảo mật Internet of Things. Với hơn 20 năm kinh nghiệm trong lĩnh vực bảo mật thiết bị nhúng, David đã tình nguyện soạn thảo một bộ yêu cầu kỹ thuật, và cho ra Bộ quy tắc thực hành về bảo mật IoT dành cho người tiêu dùng của Vương quốc Anh.

Rogers chỉ ra nghiên cứu của công ty ông cho thấy 4/5 công ty thiết bị IoT không đưa ra bất kỳ cách nào để các nhà nghiên cứu bảo mật có thể liên hệ với họ. “Đó là một tình trạng thực sự gây sốc và thực sự là phần nổi của tảng băng chìm, điều đó cho thấy gì khả năng bảo đảm an toàn cho các sản phẩm của các công ty này?”

Rogers đồng ý rằng Dự luật PSTI mới là bước đầu tiên đề cập đến ba nhiệm vụ hàng đầu của quy tắc thực hành. Ông nói: “Điều này đã đánh vào các vấn đề chính và nếu chúng ta chỉ giải quyết những phần đó, chúng ta sẽ còn phải đi một chặng đường dài để bảo vệ người tiêu dùng. Câu chuyện còn lâu mới hết và thông điệp quan trọng đối với ngành phải là”, Rogers nhấn mạnh, "tại sao phải chờ đợi? Lý do là gì? Điều tồi tệ đang xảy ra và trách nhiệm của các nhà sản xuất IoT là một phần của giải pháp".

Trong khi đó, trên trang TechCrunch, Rodolphe Harand, giám đốc điều hành tại YesWeHack, cho biết: “Những bước bảo mật mạng cơ bản, chẳng hạn như thay đổi mật khẩu mặc định, có thể là bước đầu tiên trong chặng đường dài để cải thiện tính bảo mật cho các loại thiết bị này. Với việc các nhà sản xuất phải đưa ra một mật khẩu duy nhất mới, về cơ bản sẽ cung cấp thêm một lớp bảo vệ bổ sung cho sản phẩm IoT”

Nhưng những người khác nói rằng các biện pháp - đặc biệt là lệnh cấm mật khẩu dễ đoán - chưa được suy nghĩ thấu đáo và có thể tạo ra cơ hội mới cho những kẻ lợi dụng.

Matt Middleton-Leal, giám đốc điều hành tại Qualys cho biết: “Việc cấm đặt mật khẩu mặc định là điều đáng hoan nghênh, nhưng nếu mỗi thiết bị có một mật khẩu riêng, thì ai chịu trách nhiệm quản lý điều này?. “Người dùng cuối thường quên mật khẩu của chính họ, vì vậy, nếu thiết bị cần sửa chữa, chuyên gia sẽ làm cách nào để có quyền truy cập? Đây là vấn đề nguy hiểm vì các nhà sản xuất có thể phải cung cấp tài khoản người dùng siêu cấp hoặc quyền truy cập cửa hậu”.

Techcrunch cho biết Middleton-Leal, cùng với những người khác trong ngành, cũng lo ngại về yêu cầu bắt buộc công bố lỗ hổng sản phẩm dự luật PSTI. Về nguyên tắc, mặc dù hợp lý, vì nó đảm bảo các nhà nghiên cứu bảo mật có thể liên hệ riêng với nhà sản xuất để cảnh báo các lỗ hổng và lỗi để chúng có thể được sửa, nhưng lại không có điều nào trong dự luật yêu cầu các lỗi phải được sửa trước khi chúng được tiết lộ.

Vấn đề nêu chi tiết thời gian thiết bị sẽ nhận được bản cập nhật bảo mật, cũng đang bị phản đối vì lo ngại rằng nó có thể khuyến khích các nhà sản xuất giảm giá khi một thiết bị gần hết tuổi thọ, điều này có thể khuyến khích người tiêu dùng mua thiết bị giảm giá và họ sẽ sớm rơi vào tình huống không có hỗ trợ bảo mật.

David Rogers thừa nhận đó là một thử thách khi nói về vấn đề bảo mật sản phẩm, bởi vì mọi thứ liên tục thay đổi. Nếu một lỗ hổng được phát hiện, nó cần được giải quyết và vá ngay nếu có thể. Ông nói: “Đó là lý do tại sao mọi thứ thật tồi tệ xét khi hiện nay các nhà sản xuất thiết bị IoT rất chậm trễ trong việc cung cấp các bản vá cập nhật và cung cấp thông tin đó một cách rõ ràng cho người tiêu dùng và nhà bán lẻ”.

Jake Moore, chuyên gia an ninh mạng tại ESET, kết luận: “Đây là sự khởi đầu của một phong trào lớn hướng tới một xã hội trực tuyến an toàn hơn, nhưng nó sẽ không thay đổi trong một sớm một chiều. Những đề xuất này chính xác là những gì cần thiết để giúp mọi người đi đúng hướng sau khi các biện pháp bảo mật truyền thống điển hình không còn đủ mạnh".

Trên trang Nakedsecurity, chính phủ Anh cho biết “thiết bị IoT phải bảo vệ người tiêu dùng khỏi những nguy cơ mất an toàn thông tin mạng”.

Nakedsecurity cho biết trong dự luật này, chính phủ Anh tuyên bố an toàn thông tin mạng phải là một vấn đề quan tâm của các nhà sản xuất thiết bị IoT, người tiêu dùng mong đợi sản phẩm an toàn. Trong một báo cáo năm 2020 của Internet of Things Security Foundation, chỉ 1/5 nhà sản xuất duy trì các hệ thống báo cáo về các lỗ hổng bảo mật. Điều này đe dọa quyền riêng tư của công dân, an ninh của mạng và làm tăng nguy cơ bị tổn hại./.

Bảo Bình