• Thứ Bảy, 06/09/2014 05:53 (GMT+7)

    Bảo mật cho thiết bị IoT còn nhiều trở ngại

    Bùi Lê Duy
    Bảo mật cho máy tính để bàn, máy tính xách tay còn nhiều khó khăn và cần đến cả sự "chịu khó" của người dùng thì đối với các thiết bị IoT, vấn đề bảo mật còn rắc rối hơn nữa.

    Theo một nghiên cứu gần đây, 70% người Mỹ có kế hoạch trong vòng 5 năm tới, sở hữu một thiết bị điện tử dân dụng thông minh như tủ lạnh có kết nối internet hoặc máy điều hòa nhiệt độ. Đó là một tỉ lệ tiếp nhận công nghệ mới rất cao, vì hiện nay, số người sở hữu thiết bị gia dụng thông minh tại Mỹ chỉ chiếm 4%.

    Tuy vậy, lổ hổng bảo mật trong các sản phẩm thông minh như trên hiện nay rất nhiều, mở ra một cơ hội khác cho tin tặc, botnet và các dạng tội phạm mạng theo đó nảy nở. Hồi đầu năm nay, có một làn sóng tấn công tủ lạnh thông minh. Nhưng dù vậy, thế giới thiết bị IoT (Internet of Things) không có dấu chững lại mà vẫn lớn mạnh.

    Sau đó, một trong những viện nghiên cứu hàng đầu thế giới quyết định lao vào mảng bảo mật CNTT, đưa 700 sinh viên nghiên cứu chuyên về mảng này, đó là viện Horst Gortz ở đại học Ruhr, Đức. Một nhóm nghiên cứu khác ở HGI, do giáo sư mảng bảo mật nhúng Christoph Paar chỉ đạo, đã phát hiện ra nhiều lỗ hổng và giúp các nhà sản xuất vá các lỗ hổng trong các thiết bị IoT như thiết bị tiêu dùng, xe hơi, các router không dây kết nối với chúng.

    Theo giáo sư Paar, bảo mật cho các thiết bị IoT là rất khó khăn vì những lý do về kỹ thuật, công nghệ và thậm chí cả nền văn hóa.

    Đối với người dùng thông thường, đã là rất khó để khiến họ cập nhật những bản vá mới nhất trên máy tính xách tay, điện thoại thông minh. Nay với một thế giới thiết bị nào cũng có kết nối Internet như hệ thống mở cửa gara tự động, máy pha cà phê, mắt kính hoặc thậm chí đôi giày tập chạy bộ cũng có thể có những lỗ hổng bảo mật. Và nếu muốn vá chúng, thật rất phiền phức khi nhà sản xuất muốn nâng cấp firmware hay cài bản vá.

    Hơn nữa, hầu hết vật dụng có kết nối Internet thường đều có từ xưa, và nay chỉ bổ sung tính năng mới là Internet mà thôi, có nghĩa là Internet không phải là yếu tố chính làm nên thiết bị đó, do vậy mà bảo mật Internet cho chúng càng không phải là vấn đề đáng để người sử dụng quan tâm. Nhưng bảo mật không chỉ là một tính năng mới khác thêm vào các thiết bị kết nối Internet. Bảo mật yêu cầu các nhà thiết kế và kỹ sư phải ứng dụng chúng cùng với những khác biệt về văn hóa nữa.

    Theo ông Paar, lỗi trong bảo mật là không thể chấp nhận được với thiết bị IoT. Nếu bạn viết phần mềm và phần mềm đó chưa được tối ưu, có thể phần mềm đó sẽ bị giảm 10% năng suất. 10% tệ hơn ấy vẫn có thể cho kết quả tốt. Còn nếu bạn phạm một lỗi bảo mật nhỏ nào đó mà kẻ tấn công khai thác được thì lập tức toàn bộ hệ thống sẽ sụp đổ. Đó là điểm khác biệt của bảo mật cho thiết bị IoT.

    Đội ngũ nghiên cứu của ông Paar hè vừa rồi đã tổng kết các cuộc tấn công thiết bị IoT mà họ gọi là tấn công kênh biên (side-channel). Ví dụ, năm 2013, Paar và 6 cộng sự của ông phát hiện một lỗi trong đồng hồ số có kết nối Internet do Simons Voss phát triển. Lỗi này liên quan đến một con số phát sinh có thể đoán được mà thuật toán của đồng hồ sử dụng khi yêu cầu người dùng nhập mật khẩu. Họ tìm thấy được lỗi trong thuật toán bảo mật thông qua một liên kết không dây giữa đồng hồ và bộ điều khiển từ xa.

    Dựa theo cách này, đội của ông Paar cũng lần đầu tiên phát hiện ra được điểm yếu của các nhà sản xuất và đưa ra bản vá giúp họ sửa lỗi trước khi công bố lỗ hổng này.

    Nhiều báo cáo nghiên cứu bảo mật do nhóm bảo mật nhúng Embedded Security xuất bản. Theo ông Paar, các yếu tố phía sau lỗ hổng không chỉ liên quan về mặt kỹ thuật mà còn về lý do kinh tế. Nhưng nếu phát triển ứng dụng khôn khéo và tận dụng tốt công nghệ hiện có thì ông Paar vẫn tin rằng có thể chặn được tin tặc.
     

    Nguồn: IEEE