“Lỗ hổng chết người” từ camera giám sát, wi-fi…
Cuộc thi An ninh mạng quốc tế WhiteHat Grand Prix 2018 sẽ diễn ra vào đầu tháng 11/2018 với đề thi chung kết là “tấn công lỗ hổng trên thiết bị IoT”.
Mỗi đội sẽ được cấp một hệ thống mạng giống thực tế tại doanh nghiệp với các thiết bị IoT như: router, modem wi-fi, camera giám sát, hệ thống điều khiển trung tâm, thiết bị đầu cuối… Nhiệm vụ của các đội thi là phải vượt qua các lỗ hổng bảo mật tồn tại trên các thiết bị IoT và ghi điểm.
Không phải ngẫu nhiên mà Bkav lại chọn chủ đề này. Lỗ hổng trên thiết bị IoT đang thực sự là “lỗ hổng chết người” tại các doanh nghiệp, tổ chức, cá nhân.
Theo Bkav, các thiết bị như router wi-fi, camera IP… đã trở thành đích nhắm của các hacker, điển hình là sự bùng nổ các biến thể mới của mã độc Mirai, trong đó có biến thể nhắm mục tiêu đến Việt Nam. Nghiên cứu của Bkav cho thấy, có tới 76% camera IP tại Việt Nam hiện vẫn dùng tài khoản và mật khẩu được nhà sản xuất cài đặt sẵn.
“Trong một số cuộc tấn công từ chối dịch vụ mà chúng tôi có ghi nhận khi tiến hành phân tích các botnet (mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từ xa - PV) tham gia tấn công không phải là các máy tính thông thường như trước, mà là các thiết bị IoT, đặc biệt là các camera IP vốn được ưu tiên về băng thông.
Điều này khiến hậu quả của các cuộc tấn công từ chối dịch vụ nghiêm trọng hơn và nạn nhân gần như không có khả năng chống đỡ. Chúng ta có thể thấy rõ điều này thông qua cuộc tấn công của mã độc Mirai sử dụng các thiết bị IoT làm sập một phần mạng Internet của nước Mỹ”, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết.
Báo cáo của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cho thấy, trong 316.000 camera giám sát được kết nối, công khai trên mạng Internet tại Việt Nam, có hơn 147.000 thiết bị có lỗ hổng (65%). Với thiết bị router Việt Nam, có khoảng 28.000 địa chỉ đã bị tấn công bằng mã độc Mirai và các biến thể Mirai.
“Thiết bị IoT được sử dụng trong doanh nghiệp như camera, các hệ thống điều khiển tự động… thường có những cảm biến để can thiệp trực tiếp vào môi trường doanh nghiệp như quay phim, chụp ảnh, nghe lén… Khi bị tin tặc tấn công, kiểm soát, chính các thiết bị IoT này có thể trở thành công cụ để tin tặc đánh cắp thông tin, phá hoại hoạt động kinh doanh… gây thiệt hại lớn về tài chính, thậm chí cả con người, như thiết bị trong lĩnh vực y tế, giao thông, phương tiện vận chuyển…”, ông Trần Quang Chiến, Tổng giám đốc Công ty cổ phần CyStack Việt Nam cảnh báo.
Hạn chế thiệt hại bằng cách nào?
Để phòng, chống những cuộc tấn công ẩn trong thiết bị IoT, ngay từ khi xây dựng các hệ thống ứng dụng trên nền tảng IoT, các doanh nghiệp cần có ý thức trang bị các giải pháp đảm bảo an toàn thông tin cho hệ thống cũng như người sử dụng.
Theo ông Nguyễn Hoài Nam (Cục An toàn thông tin), muốn ứng phó với tình trạng này, cần xây dựng hệ thống giám sát quốc gia để nhận biết những cuộc tấn công sử dụng thiết bị IoT một cách nhanh nhất, sau đó, tiến hành vô hiệu hóa máy chủ điều khiển để ngăn chặn hành vi tấn công.
“Điều nguy hiểm là hiện nay, các lỗ hổng của thiết bị IoT thường được cập nhật tương đối chậm, cách thức để cập nhật bản vá lỗ hổng trong một số trường hợp phức tạp hơn so với việc cập nhật của máy chủ và máy tính cá nhân.
Vì vậy, ngay cả khi doanh nghiệp đã được thông báo về các lỗ hổng của thiết bị IoT, thì việc khắc phục cũng mất khá nhiều thời gian. Trong trường hợp đó, doanh nghiệp có thể cân nhắc cô lập các thiết bị này cho đến khi nhận được bản vá lỗ hổng từ nhà sản xuất hoặc có một phương án khắc phục tương đương”, ông Nam khuyến cáo.
Dưới góc độ chặn nguy hiểm từ nguồn, ông Trần Quang Chiến cho rằng, nhiệm vụ chính thuộc về các đơn vị phát triển thiết bị. Theo đó, các đơn vị này cần chú trọng đầu tư về bảo mật để tạo ra các sản phẩm an toàn, phục vụ nhu cầu của người dùng.
Về lâu dài, các thiết bị IoT, đặc biệt là thiết bị sử dụng cho Chính phủ điện tử, thành phố thông minh… sẽ đóng vai trò quan trọng, có tác động lớn đến đời sống kinh tế- xã hội của đất nước. Vì vậy, Nhà nước, đơn vị nghiên cứu cần có những kế hoạch, nhiệm vụ để chủ động sản xuất các thiết bị, thay vì phải phụ thuộc, mua từ các quốc gia khác.
Đồng quan điểm trên, ông Ngô Tuấn Anh nhấn mạnh, cơ quan quản lý nhà nước cần đưa ra các chuẩn về an toàn cho các thiết bị IoT để tránh việc người dùng có thể sử dụng thiết bị không đạt chuẩn. Về phía các doanh nghiệp sản xuất, kinh doanh thiết bị, cần quan tâm đảm bảo an toàn cho khách hàng.
“Người sử dụng thiết bị IoT nên chọn sản phẩm có nguồn gốc rõ ràng, cài đặt biện pháp bảo vệ, thay đổi cấu hình mặc định để tránh truy cập bất hợp pháp”, ông Ngô Tuấn Anh nói.