Thiết bị IoT bị tấn công như thế nào?

- in Internet của vạn vật IoT (Internet of Things)

 Thiết bị có tích hợp Internet càng ngày càng phổ biến, từ đồng hồ đeo tay cho tới máy ảnh, xe đạp và ô tô…

Với những sản phẩm quan trọng, liên quan đến tính mạng con người, thì việc tích hợp IoT cần sự quan tâm đặc biệt về tính an toàn hơn. Năm 2015 đã cho chúng ta thấy vài ví dụ điển hình.

Có thời khi giới công nghệ còn phân biệt giữa không gian mạng (cyberspace), thế giới PC với tin tặc và đời sống thực tế bằng xương bằng thịt (meatspace). Lúc ấy, bất kỳ ai sống trong không gian mạng thì có thể ít dòm ngó gì đến thế giới đời thực. Nhưng ngày nay, máy tính có kết nối không dây đang xâm nhập vào thế giới thực – meatspace. Chúng được nhúng vào mọi thứ, từ đồ chơi cho đến cơ thể, cả xe ô tô. Năm 2015 càng cho thấy rõ hơn một điều là Internet of Things (IoT) càng làm cho xu hướng này đậm nét hơn, mang thế giới ảo vào đời thực.

Các nhà nghiên cứu bảo mật đã “soi” cho chúng ta thấy mọi lỗ hổng bảo mật, từ con búp bê Barbie có Wi-Fi đến chiếc xe Jeep Cherokee nặng 2 tấn. Nhưng những trình diễn bảo mật ấy vẫn chưa tạo sự ấn tượng bởi vì chúng chưa gây tác hại nào khủng khiếp. Dù vậy, các chuyên gia bảo mật cho rằng 2015 là năm khởi đầu của một loại tấn công mạng mới, qua các thiết bị IoT, như một chuyên gia nói rằng: “Búp bê Barbie sẽ trở thành một phần của vũ khí giết người hàng loạt.”

Trang tin Wired đã chỉ ra vài chủng loại sản phẩm IoT đã phát hiện lỗ hổng bảo mật trong năm 2015, và những lỗ hổng này có nguy cơ tiềm tàng rất cao trong tương lai.

iot-sec-1
Bảo mật cho IoT, nhất là những sản phẩm liên quan đến tính mạng con người, cần được xem trọng.

Ô tô tích hợp Internet

Năm 2014, có một thử nghiệm tấn công từ xa chiếc Jeep Cherokee, vô hiệu hoá hệ thống phanh/thắng và bộ truyền động của xe. Chỉ bấy nhiêu thôi cũng đã khiến hãng xe Fiat Chrysler thu hồi 1,4 triệu xe của họ, sau đó họ gửi thư cho khách hàng, có kèm bút USB để vá một lỗi trong hệ thống thông tin – giải trí (infotainment) và để chặn tấn công từ xa qua mạng Sprint kết nối với xe ô tô và xe tải.

Vụ tấn công Jeep trên mới chỉ là vụ đầu tiên trong một loạt vụ tấm công từ xa liên quan đến ngành công nghiệp ô tô trong suốt hè 2014. Tại hội nghị tin tặc DefCon hồi tháng 8/2015, nhà nghiên cứu bảo mật Marc Rogers và người đồng sáng lập, CTO của công ty bảo mật Lookout, Kevin Mahaffey, đã trưng ra một loạt lỗ hổng họ phát hiện được trong chiếc xe tự lái Tesla Model S, cho phép kẻ xấu kết nối laptop của chúng đến đường cáp mạng của xe bên dưới kính chắn gió của tài xế, khởi động chiếc xe trị giá 100.000 USD này bằng một lệnh trên một phần mềm và điều khiển chiếc xe lái từ xa.

Hay thậm chí, tin tặc cũng có thể cấy một trojan vào mạng nội bộ của xe để có thể sau này tắt máy xe trong khi có người nào đó đang dùng. Các lỗ hổng khác mà họ phát hiện về mặt lý thuyết cũng có thể điều khiển chiếc xe từ xa nhưng họ chưa thử qua. Tesla đã nhanh chóng vá ngay những lỗ hổng này.

Trong khi đó, cũng tại DefCon, nhà nghiên cứu bảo mật Samy Kamkar cũng đưa ra một thiết bị kích thước cỡ cuốn sách mà anh tạo ra và đặt tên cho nó là OwnStar, có thể cài trên một chiếc xe GM để can thiệp đường truyền từ app điện thoại thông minh OnStar của tài xế và có khả năng định vị chiếc xe, mở khoá xe và khởi động xe. Ngay sau đó, Kamkar còn phát hiện những cách tương tự để qua mặt ứng dụng của BMW và Mercedes Benz. Chỉ vài ngày sau đó, các nhà nghiên cứu bảo mật tại đại học California, Mỹ cũng trình diễn họ lợi dụng được một thiết bị nhỏ mà các công ty bảo hiểm yêu cầu người dùng gắn trên kính chắn gió để theo dõi tốc độ và độ tăng tốc của xe. Thông qua thiết bị nhỏ đó, họ có thể gửi lệnh đến một chiếc Corvette để vô hiệu hóa hệ thống phanh xe.

Rõ ràng, những demo tấn công như trên là thông điệp không chỉ cho ngành công nghiệp ô tô nói riêng, mà còn cho cả người dùng và các nhà làm luật nói chung.

Thiết bị y tế

IoT không chỉ có thể gây ra thảm hoạ cho ngành công nghiệp ô tô mà còn nguy hiểm đối với cả các thiết bị y tế, vì tin tặc cũng có thể lợi dụng những lỗ hổng này để gây những việc chết người. Bác sĩ chuyên khoa tim mạch Dick Cheney gặp sự cố khi thiết bị trợ tim bị mất kết nối Wi-Fi. Các thiết bị tiêm, bơm thuốc, hóa trị, các hệ thống quản lý thuốc cũng là điểm cần quan tâm đến bảo mật. Nhà nghiên cứu bảo mật Billy Rios sau một lần vào phòng cấp cứu của một bệnh viện, ông phát hiện ra những lỗ hổng nghiêm trọng, cho phép tin tặc có thể thay đổi toa thuốc từ xa cho bất kỳ bệnh nhân nào. Năm 2015, Mỹ cũng phát hiện những lỗ hổng bảo mật trong máy bơm insulin. Nhưng không may là nhiều vấn đề bảo mật trong ngành y không thể đơn giản chỉ là đưa ra bản vá lỗi là xong, mà đôi khi cả một hệ thống cần cấu trúc lại.

Và những món đồ khác

Đối với thị trường hàng tiêu dùng, ít nhất có một công ty rất háo hức tích hợp Wi-Fi vào đồ dùng trong năm 2015 này.

Mattel thêm tính năng Wi-Fi vào dòng búp bê Hello Barbie của họ để nó có thể trò chuyện với trẻ theo thời gian thực dựa vào hệ thống AI, kết nối với app trên điện thoại thông minh để ghi lại mọi cuộc nói chuyện thì những dữ liệu đàm thoại ấy có thể bị can thiệp, bị làm giả và mất cắp. Chiếc tủ lạnh thông minh của Samsung có thể đồng bộ với Google Calendar lại không xác thực được chứng thực bảo mật SSL, khiến dữ liệu đăng nhập của người dùng Gmail bị “phơi” cho tin tặc. Thậm chí cả webcam theo dõi em bé dành cho các bậc phụ huynh cũng bị công ty bảo mật Rapid7 đưa vào danh sách thiết bị dễ bị tấn công.

Chưa hết, cặp vợ chồng tin tặc Runa Sandvik và Michael Auger hồi tháng 7/2015 đã cho tờ Wired thấy họ có thể điều khiển được ống ngắm của cây súng trường TrackingPoint có tích hợp Wi-Fi, thậm chí họ còn có thể vô hiệu hoá cây súng ấy, làm chệch mục tiêu.

Rõ ràng, khi tích hợp công nghệ vào những thứ truyền thống, biến chúng trở thành thiết bị IoT thì có thể đó là con dao hai lưỡi, mà mặt tiêu cực lại nhiều hơn. Hy vọng năm 2016, các ngành công nghiệp sẽ rút ra được nhiều bài học về bảo mật IoT hơn.

Theo PCWorld

Xếp hạng bài viết

Bạn có quan tâm tới

Gần 90% tổ chức tại APAC sẽ ứng dụng IoT vào năm 2019

Theo dự báo của hãng phân tích thị