• Thứ Ba, 17/12/2013 15:10 (GMT+7)

    Hacker mũ trắng thí nghiệm cách lấy thông tin từ mạng Wi-Fi

    Huy Hoàng
    Để minh họa một trong nhiều cách mà người dùng các sản phẩm di động có thể bị mất dữ liệu cá nhân, mới đây các hacker mũ trắng đã phối hợp cùng với hãng bảo mật Trend Micro thực hiện những thí nghiệm để cho thấy việc thu thập tên người dùng, mật khẩu, contact, thậm chí thông tin giao dịch ngân hàng... từ mạng Wi-Fi công cộng dễ như thế nào.

    Theo Computer Weekly thì các thí nghiệm này tiến hành như một phần của nghiên cứu được ủy quyền bởi Trend Micro, nhằm chỉ ra rằng thế giới công nghệ tại Anh đang bỏ mặc đi quyền lợi và sự an toàn cho người dùng di động. Các thông tin hacker mũ trắng thu thập bằng cách chặn thông tin truyền đi từ các thiết bị khi truy cập các phần mềm miễn phí trực tuyến.

    Thu thập dữ liệu trên Wi-Fi công cộng

    Thí nghiệm đầu tiên được tiến hành tại 1 điểm phát sóng Wi-fi công cộng tại thù đô London, được cấp phép truy cập dữ liệu thu được. Với những thí nghiệm này, nhóm nghiên cứu mong muốn sẽ nâng cao được nhận thức người dùng, cũng như chính phủ về những rủi ro khi sử dụng Internet thông qua thiết bị di động và Wi-Fi công cộng.

    Thí nghiệm sử dụng một bộ định tuyến 4G để truy cập internet, kết nối với một điểm truy cập không dây và một máy tính xách tay. Hầu hết những người tham gia thử nghiệm đã rất ngạc nhiên khi các gói dữ liệu của họ bị thu thập khi sử dụng thiết bị duyệt ứng dụng trực tuyến. Không ai trong số những người tham gia nhận thức được rằng các tin tặc có thể thiết lập các điểm truy cập không dây giả mạo để ăn cắp thông tin cá nhân. Họ cũng rất ngạc nhiên khi phát hiện ra rằng nhiều thông tin mà nhà cung cấp dịch vụ có được đã không được mã hóa.

    Việc lấy những thông tin quan trọng của người dùng với hacker là thật sự đơn giản!
    Giả mạo dải ứng dụng mã hóa

    Thí nghiệm thứ 2 được thực hiện bằng cách sử dụng mạng không dây của các công ty tư nhân và một loạt các ứng dụng smartphone. Peter Wood, Giám đốc Điều hành của First Base Technologies đã ngạc nhiên khi nhận ra rằng các thông tin cá nhân quá dễ dàng bị thu thập chỉ bằng những ứng dụng di động dễ dàng tìm thấy trên thị trường ứng dụng hiện nay.

    Dưới dạng một ứng dụng liên quan đến giáo dục, ứng dụng đưa vào thử nghiệm có mục đích tấn công các thiết bị sử dụng mạng không dây. Mike McLaughlin, Kỹ thuật viên và Kiểm tra viên cao cấp của First Base Technologies đã cho thấy chỉ cần người dùng truy cập Internet, mọi thông tin của họ đều có thể bị phơi bày mà không cần nhiều thiết bị hay kỹ thuật phức tạp. Điều này có nghĩa rằng, các công nghệ mã hóa đang bị bỏ ngỏ, không thật sự được chú trọng và phát triển. Qua đó, tin tặc lợi dụng điều này đánh cắp thông tin không được mã hóa. Trong một môi trường yêu thích học tập như Anh, ứng dụng liên quan đến giáo dục như một mồi nhử mà người dùng dễ dàng mắc phải, và đánh mất luôn thông tin cá nhân quan trọng của mình.

    Tầm quan trọng từ “tường lửa” của con người

    Việc ngăn chặn quá trình ăn cắp thông tin dữ liệu cần xuất phát từ nhiều người, chứ không thể từ một cá nhân. Hiện nay các công nghệ tường lửa đang được phát triển ngày càng tiên tiến. Tuy nhiên nếu không có sự tác động từ con người thì những công nghệ chỉ được phát triển nhưng không được sử dụng đúng cách. Theo McLaughlin, các ứng dụng liên quan đến giáo dục là mồi nhử lý tưởng mà các tin tặc dễ dàng phát triển ẩn chứa âm mưu tấn công tài khoản.

    Các công ty, tập đoàn lớn nên chú trọng đầu tư vào việc phát triển nhân sự phổ biến các hoạt động bảo đảm an ninh cho người dùng công nghệ. Những cá nhân này sẽ là cầu nối giữa người dùng với những chính sách bảo vệ vấn đề bảo mật của họ trong công ty. Theo Peter Wood, trong một tổ chức với 500 nhân viên, mức lương dành cho những người cầu nối là không quan trọng bằng việc họ có thể tạo nên sự khác biệt trong nhận thức về vấn đề an ninh bảo mật so với những công ty khác.

    Bên cạnh đó, chính phủ cũng cần phải đóng góp một phần không nhỏ vào công cuộc bảo mật này. Các điểm phát sóng Wi-fi cần được cải thiện, phát triển công nghệ bảo mật. Nếu thực hiện được quá trình này thành công, các ứng dụng dù được phát triển cho việc đánh cắp thông tin dữ liệu cũng không thể dễ dàng thực hiện âm mưu được như hiện nay.