Internet of things – Những nguy cơ tiềm ẩn về bảo mật
Một chuyên gia bảo mật tên Matthew Garrett mới đây có mua một số sản phẩm ngôi nhà thông minh trên Amazon, trong đó có một ổ điện thông minh AuYou. Là một người dùng, song cũng là một người có kinh nghiệm về bảo mật, Garrett đã xem xét kỹ hơn về AuYou Wi-Fi Switch và phát hiện ra một ...
Thế là anh viết một bài review trên Amazon để cảnh báo cho mọi người. Điều này cũng đặt ra một câu hỏi lớn hơn trong thời đại Internet of Things (IoT) bùng nổ: làm thế nào để đảm bảo an toàn cho ngôi nhà, cơ quan hay rộng hơn là cho các cơ sở sản xuất khi ngày càng nhiều thiết bị thông minh được đưa vào sử dụng?
Ổ cắm Wi-Fi để lộ địa chỉ MAC
Trước hết chúng ta hãy xem qua review của Garrett để có một cái nhìn thật kỹ. Bỏ qua các nhận xét về phần cứng mà hầu hết đều là tốt và phần mềm hầu hết đều chê vì không kết nối được, Garrett nói rằng khi anh thử xem xét các gói dữ liệu được gửi từ ứng dụng trên điện thoại sang AuYou Wi-Fi Switch thì thấy địa chỉ MAC của ổ điện mình trong đó. Địa chỉ này là duy nhất cho từng thiết bị có kết nối Wi-Fi và bạn sẽ không thể tìm thấy thiết bị thứ hai trên thế giới sở hữu cùng dãy MAC này. Điện thoại, máy tính, router, TV của bạn cũng đều có một dãy MAC riêng. Tương tự, mỗi cục AuYou Wi-Fi Switch cũng có MAC riêng.
Sự kiện Topdev Techtalk #57: Break into the IoT Generation do Topdev tổ chức
với sự hỗ trợ nội dung từ Microsoft*Hồ Chí Minh: ngày 31/03/2017
Mỗi khi bạn điều khiển ổ cắm làm gì đó, ví dụ bật lên hay tắt đi, ứng dụng trên smartphone sẽ gửi gói dữ liệu này từ điện thoại lên một máy chủ ở Trung Quốc. Máy chủ sẽ lắng nghe, đọc gói dữ liệu và dò địa chỉ MAC để biết cần gửi tới ổ AuYou Wi-Fi Switch nào. Khi ổ cắm nhận được gói này, nó sẽ thực thi lệnh chứa bên trong. Vấn đề là ứng dụng trên di động của AuYou không mã hóa đúng mức các gói dữ liệu, vậy nên Garrett chỉ cần một biện pháp đơn giản là có thể xem được nội dung của gói.
Giả sử trong quá trình truyền dữ liệu, hacker có thể đánh cắp được địa chỉ MAC này, hoặc trên server có ai đó đột nhập vào và lấy trộm dãy MAC của ổ cắm trong nhà Garrett. Và khi đã có địa chỉ này trong tay, hacker hoàn toàn có thể giả lập lại các gói dữ liệu đó để điều khiển từ xa ổ cắm của Garrett từ bất kỳ nơi nào trên thế giới.
Bạn vẫn có thể tắt tính năng này đi. Nếu smartphone và ổ AuYou ở trong cùng mạng Wi-Fi thì gói dữ liệu sẽ được gửi thẳng từ điện thoại tới ổ, nhưng nếu bạn đi ra ngoài và muốn điều khiển ổ cắm ở nhà thì buộc phải đi qua máy chủ nói trên, và khi bạn tắt tính năng này đi thì xem như mất một chức năng quan trọng của thứ mà bạn đã bỏ nhiều tiền để mua về.
Tóm lại, Garrett nói: “Đây là thiết bị rất không an toàn, không có cách nào bạn có thể làm cho nó an toàn hơn, và nếu bạn muốn nó bảo mật hơn thì bạn sẽ bị mất đi những tính năng hữu ích mà đáng ra nó phải có. Đừng mua nó”.
Sự an toàn của bản thân và cộng đồng trong thời đại Internet of Things
Những phân tích của Garrett đều rất kỹ càng và biết một sản phẩm không an toàn, nhưng anh có thể làm được điều này vì anh có kiến thức và kinh nghiệm. Với một người dùng bình thường, làm thế nào chúng ta có thể biết điều đó? Chúng ta không rảnh rỗi và không thể ngồi truy vết xem các thiết bị smartphone của mình gửi dữ liệu đi đâu, mã hóa tới mức nào, có lộ thông tin cá nhân gì trong đó hay không. Chúng ta chỉ đơn giản là mua một sản phẩm về, cắm điện vào rồi sử dụng. Chúng ta không cần phải làm những việc mà đáng ra nhà sản xuất phải tự làm và đảm bảo rằng chúng chạy tốt trước khi bán hàng.
Chính vì điều này mà câu hỏi về tính bảo mật của các thiết bị IoT đang là một trong những vấn đề rất được quan tâm trong vài năm trở lại đây. Người dùng bình thường chỉ mua về và sử dụng, họ không biết được những rủi ro tiềm ẩn đằng sau sản phẩm của mình vì không có đủ kiến thức chuyên môn để phân tích. Các doanh nghiệp mua IoT về gắn trong văn phòng, nhà xưởng đôi khi cũng không có thời gian hay nhân lực để thực hiện những việc phân tích nói trên.
Kaspersky mới đây đã nói về thách thức trong việc bảo mật IoT. Họ đã đưa ví dụ về các ngôi nhà thông minh có thể bị hack dễ dàng. Không chỉ có nhà, ngay cả cửa hàng rửa xe tự động, hệ thống camera giám sát của cảnh sát đều có thể bị đột nhập bởi một ai đó nhằm rửa xe miễn phí hay muốn thoát tội chẳng hạn. Và đừng quên IoT còn bao gồm cả smartwatch, smartband cùng hàng tá thứ khác mà bạn đeo trên người, chúng đang từng giờ từng phút ghi lại vị trí và các thông số cơ thể của mình. Ai đó có thể xâm nhập vào chiếc smartwatch của bạn để biết bạn đang làm gì, đó không còn là một viễn cảnh xa vời nữa.
Wind River System, một công ty con của Intel chuyên về thiết bị nhúng, đã có một báo cáo với tiêu đều “Đi tìm viên đạn bạc”, ý là họ muốn tìm một giải pháp tốt để giải quyết hầu hết các vấn đề bảo mật của IoT trong thế giới hiện nay. Tóm gọn lại, đại ý của Wind River như sau:
- Bảo mật phải là một nền tảng cơ bản cho IoT.
- Hiện chưa có một quy định bắt buộc vào về việc triển khai bảo mật cho các thiết bị IoT.
- Người ta cho rằng, và kỳ vọng rằng, sẽ có cách nào đó để nhét 25 năm kinh nghiệm của ngành bảo mật vào các thiết bị IoT trong khi điều này là vô cùng thiếu thực tế.
- Sẽ không có viên đạn bạc nào có thể giảm thiểu tất cả rủi ro bảo mật một cách hiệu quả.
Thực chất chuyện tương tự cũng đã diễn ra với Internet vào những ngày đầu ra đời. Trong những năm 90, khi Internet bắt đầu lan rộng thì các cuộc tấn công mạng, hack, DDoS, lừa đảo cũng diễn ra ồ ạt… Ngày nay Internet cũng không an toàn, thỉnh thoảng chúng ta vẫn thấy người này người kia bị hack, bị dính virus, những người nổi tiếng bị lấy trộm tài khoản mạng xã hội, hay thiết bị bỗng nhiên bị khóa rồi đòi tiền chuộc. Với nhiều chục năm phát triển mà Internet vẫn còn những lỗ hổng như thế thì chúng ta khó mà kỳ vọng IoT sẽ tuyệt đối an toàn.
Thiếu quy định từ các cơ quan chức năng
Như Wind River đã đề cập, hiện chưa có bất kỳ quy định nào dành cho các thiết bị IoT liên quan tới bảo mật. Hãy tưởng tượng điều này giống như việc bạn mua một gói bánh snack mà chẳng biết mình đang ăn cái gì, khi nào hết hạn, ai là người sản xuất, bao nhiêu calorie… Hay như bạn mua một cái ổ điện mà không biết thông tin gì về điện áp, cường độ và mức an toàn.
Hồi đầu năm nay, Edith Ramirez, nữ chủ tịch của Ủy ban thương mại liên bang Mỹ (FTC), đã phát biểu tại triển lãm CES 2016 rằng các thiết bị IoT đang đặt ra một nguy cơ lớn về bảo mật. Khi các cảm biến được tích hợp vào những món đồ mà thường ngày bạn sử dụng và đang ghi lại mọi hoạt động của bạn, việc rò rỉ ra ngoài có thể sẽ trở thành thảm họa. Ramirez nói về 3 thách thức chính với tương lai của IoT:
- Thu thập dữ liệu mọi lúc mọi nơi.
- Sử dụng dữ liệu của người dùng theo những cách mà họ không kỳ vọng.
- Nguy cơ bảo mật ngày càng gia tăng
Ramirez nhấn mạnh các nhà phát triển IoT hiện không dành thời gian để nghĩ làm thế nào tránh được các cuộc tấn công vào thiết bị của mình. Bà thúc giục các công ty phải tăng cường những giải pháp bảo mật và đưa chúng vào sản phẩm IoT nhằm đảm bảo an toàn cho người dùng. Có thể đó là việc giảm lượng dữ liệu được thu thập, minh bạch hóa các thông tin bảo mật và cho phép người dùng tắt tính năng ghi nhận dữ liệu đi. “Kích thước nhỏ và năng lực xử lý hạn chế của nhiều thiết bị kết nối có thể khiến việc triển khai mã hóa, cũng như những cách bảo mật khác, trở nên khó khăn. Ngoài ra, nhiều thiết bị có giá rẻ và có thể dùng chỉ một lần. Nếu một lỗ hổng bị phát hiện trên những thiết bị dạng này, sẽ khó về mặt kinh tế để các hãng cập nhật phần mềm và vá lỗi”.
Sự kiện Topdev Techtalk #57: Break into the IoT Generation do Topdev tổ chức
với sự hỗ trợ nội dung từ Microsoft*Hồ Chí Minh: ngày 31/03/2017
Sự phát triển phần cứng và thiếu thống nhất của chuẩn giao tiếp sẽ là vấn đề với bảo mật
Đọc tới đây có thể bạn sẽ nghĩ rằng những vấn đề phần cứng mà Edith Ramirez của FTC nêu trên sẽ được khắc phục. Đúng, một số! Khi thị trường phát triển, chúng ta sẽ thấy thêm nhiều khoản đầu tư hơn vào IoT, các nhà sản xuất cũng tìm ra những công nghệ mới, hướng đi mới để cải tiến bảo mật. Các hãng chip như Intel, Qualcomm, ARM sẽ tạo ra những con chip mạnh hơn để dùng trong IoT và giúp việc mã hóa trở nên dễ dàng hơn. Bảo mật khi đó sẽ trở thành một trong những điểm mạnh để bán sản phẩm vì chẳng ai lại muốn căn nhà hay cơ quan của mình bị hack cả.
Nhưng cũng có một số vấn đề cần quan tâm. Thứ nhất, chip IoT chủ yếu dựa trên các nền tảng, kiến trúc đã cũ. Nhiều sản phẩm trên thị trường hiện nay sử dụng các chip cũ, ví dụ Intel Edision dùng nhân Quark với cùng tập lệnh CPU như Pentium P54C. Một trong những lý do của việc này là để tiết kiệm chi phí sản xuất và phát triển. Một vài con chip mới, ví dụ Edison thế hệ kế tiếp, dùng nhân Atom Silvermont nhanh hơn, xịn hơn nhưng lại đắt hơn khiến giá sản phẩm đội lên và làm nhà sản xuất mất đi lợi thế cạnh tranh về giá. Với những thiết bị giá rẻ và sử dụng một hay hai lần như FTC nói đến, chắc chắn chúng sẽ không sớm chuyển qua dùng những con chip mới như thế.
Việc Intel, Qualcomm hay ARM bán những nền tảng điện toán theo kiểu thiết kế tham chiếu có thể giúp các sản phẩm IoT trở nên chuẩn hóa hơn, giá thấp hơn. Đây cũng là giải pháp mà những hãng làm chip từng áp dụng cho mảng điện thoại / tablet và nó đã tỏ ra có hiệu quả. Các “ông lớn” này cũng có thể cung cấp một số giải pháp phần mềm để giúp việc bảo mật IoT tốt hơn, tức là các hãng nhỏ không cần phải lo về vấn đề đó nữa và họ chỉ tập trung phát triển rồi đẩy sản phẩm ra thị trường mà thôi.
Chưa hết, bên cạnh phần cứng thì cách thức truyền dữ liệu giữa các thiết bị IoT với nhau hay với máy chủ và thiết bị của người dùng cũng là một nguyên nhân dẫn đến sự thiếu an toàn của IoT. Hiện tại có rất nhiều chuẩn được đặt ra và không có một sự thống nhất giữa các hãng. Những chuẩn lớn lớn thì có AllJoyn (liên minh LG, Cisco, Sony, Panasonic…), HomeKit (Apple), OCF (Intel, Samsung, Microsoft), SmartThings (Samsung là chủ yếu), Google thì có Brillo. Còn chuẩn nhỏ hơn thì có rất nhiều, nhiều công ty nhỏ thậm chí còn tự xài giao thức truyền dữ liệu của riêng mình nên để lại nhiều lỗ hổng không đáng có.
Phá vỡ mọi rào cản để khám phá thế giới công nghệ IoT đa sắc màu! Đăng kí ngay!Chỉ khi nào có một chuẩn toàn cầu, được các cơ quan chức năng quy định, kiểm nghiệm rõ ràng và buộc các doanh nghiệp tuân thủ thì rủi ro về việc rò rỉ thông tin cá nhân của người dùng mới được giảm thiểu. Việc này giống như cách mà các tem EC, FCC đang được dán lên các sản phẩm tiêu dùng, chỉ khác là nó liên quan nhiều tới vấn đề bảo mật.
Tóm lại, IoT càng lúc càng phát triển thì cũng sinh ra nhiều vấn đề bảo mật mới. Xu hướng IoT hóa toàn cầu là không thể tránh khỏi, giờ là lúc các hãng sản xuất cùng ngồi lại với nhau để bảo vệ người dùng theo cách tốt nhất có thể, song vẫn không làm giảm đi trải nghiệm khi sử dụng các sản phẩm IoT. Không ai muốn bị hack, và một khi đã bị hack thì khách hàng sẽ rời bỏ công ty đó mãi mãi nên việc này là chuyện cần làm và phải làm sớm.
Nguồn: Techtalk via khoahocphothong via Toptal, Amazon, Wind River, FTC