Theo ông Maik Morgenstern, Giám đốc kỹ thuật (CTO) của Tổ chức bình chọn và đánh giá phần mềm chống virus AV Test, hầu hết các thiết bị Internet of Things (Internet của vạn vật – IoT) có mặt trên thị trường hiện nay đều đang tồn tại các lỗ hổng bảo mật, tạo ra nguy cơ mất an toàn thông tin (ATTT) đối với dữ liệu cá nhân, đe dọa đến đời sống riêng tư của người dùng.
Tại Hội nghị Quốc tế về phòng chống mã độc toàn cầu (AVAR 2015) diễn ra tại Đà Nẵng từ ngày 2 – 4/12/2015 vừa qua, ông Maik Morgenstern, Giám đốc kỹ thuật của Tổ chức đánh giá phần mềm chống virus AV Test đã trình bày bài tham luận “Người dùng là mục tiêu trong kỷ nguyên Internet of Things” (You are the target in the Internet of Things). Trong đó, ông khẳng định, trong kỷ nguyên IoT, các thiết bị có kết nối Internet như máy theo dõi sức khỏe (Fitness Tracker), các thiết bị trong nhà thông minh (Smarthome), đồng hồ thông minh (Smartwatch)…sẽ tạo cho con người một cuộc sống tiện nghi, thoải mái. Tuy nhiên, dữ liệu cá nhân lưu trữ trong các thiết bị đó hoàn toàn có thể bị tội phạm mạng khai thác trái phép. Từ đó, đe dọa trực tiếp đến đời sống riêng tư của người dùng.
Ông Maik Morgenstern cho biết, sau hơn 2 năm nghiên cứu hơn 30 loại IoT, tổ chức AV Test nhận thấy rằng hầu hết các sản phẩm đang có mặt trên thị trường đều “có vấn đề” đối với ATTT. Nhiều thiết bị này không được kiểm tra và chứng thực bởi các cơ quan có thẩm quyền. Các dữ liệu trên một số thiết bị có thể bị theo dõi từ xa và bị thay đổi mà người dùng không hề hay biết. Thậm chí, các lỗ hổng bảo mật đang tồn tại trong các thiết bị này không được báo cáo và chậm chễ khi đưa ra các bản vá, sửa lỗi. Những vấn đề này cần sớm được khắc phục để đảm bảo ATTT cho người dùng trong bối cảnh các cuộc chiến tranh mạng ngày một gia tăng.
Theo ông Maik Morgenstern, Giám đốc kỹ thuật của tổ chức AV Test, nhiều thiết bị IoT đang có mặt trên thị trường chưa đảm bảo ATTT |
Theo ông Maik Morgensterm, các thiết bị IoT dễ bị tấn công, đánh cắp thông tin nhất hiện nay là các công cụ theo dõi người dùng. Đó là các máy theo dõi sức khỏe (Fitness Tracker), các thiết bị quan sát trong nhà thông minh. Với các thiết bị này, người dùng có thể kiểm tra được những thông tin như nhịp tim, huyết áp, thời gian vận động trong ngày, những ai đang có mặt trong nhà, số tiền chi tiêu trong tháng, hợp đồng bảo hiểm v.v… Nếu các phần mềm bảo mật trong thiết bị này không được xây dựng và cập nhật thường xuyên, tin tặc có thể tấn công vào hệ thống cơ sở dữ liệu để chiếm đoạt, chỉnh sửa thông tin cá nhân hoặc chiếm quyền điều khiển thiết bị.
Cụ thể hơn, tội phạm mạng có thể kiểm soát được số lượng thành viên trong nhà, nắm được các kế hoạch di chuyển, công tác của người dùng rồi lên kế hoạch, tấn công đột nhập khi có điều kiện. Chúng còn có thể thay đổi các thông tin liên quan đến sức khỏe người dùng, thay đổi thông tin giao dịch thương mại điện tử, kiểm soát khả năng hoạt động của từng đồ dùng trong nhà như TV, tủ lạnh, lò vi sóng,… miễn là chúng có kết nối Internet. Không những vậy, tin tặc còn đánh cắp mật khẩu bảo vệ của các thiết bị IoT. Thậm chí, chúng còn có thể dự đoán được người dùng sẽ sử dụng mật khẩu nào trong tương lai.
Đặc biệt, thông qua việc chiếm đoạt các thiết bị IoT, tin tặc có thể theo dõi hoạt động của từng thành viên trong gia đình như để tiến hành các hoạt động như tổ chức bắt cóc trẻ em để tống tiền. Việc thông tin trên các thiết bị đeo (wearable) của nạn nhân trong các vụ phạm tội bị đột thay đổi cũng có thể gây khó khăn rất nhiều cho các cơ quan điều tra.
Mới đây, ông Triệu Trần Đức, Giám đốc Công ty CMC InfoSec cũng cảnh báo rằng trong kỷ nguyên IoT, các thiết bị như TV, máy giặt, tủ lạnh cũng có thể trở thành vũ khí chiến tranh mạnh của tin tặc. Với nhận thức không đầy đủ về ATTT, người dùng Việt Nam dễ dàng để thiết bị của mình bị đột nhập, chiếm quyền quyển soát để tấn công vào hệ thống bảo mật của nhiều cơ quan, tổ chức, doanh nghiệp.
Theo ICT