• Thứ Sáu, 01/08/2014 14:13 (GMT+7)

    Rủi ro bảo mật trên thiết bị IoT

    Thạch An
    Internet of Things được xem là kỷ nguyên mới của sự tiện dụng và tự động hóa nhưng thời điểm hiện tại chỉ mới được xem là sự khởi đầu và còn rất nhiều vấn đề về bảo mật an toàn thông tin.

    Fortifu- bộ phận bảo mật ứng dụng của HP đã có nhiều cuộc thử nghiệm với 10 thiết bị phổ biến đang tham gia vào Internet of things và có tới 70% trong số đó chưa có nền tảng an ninh bảo mật. Trung bình mỗi sản phẩm gặp phải 25 lỗi hoặc nguy cơ ảnh hưởng đến mức độ an toàn của người dùng, điển hình là vòi phun nước cho cỏ hay hệ thống điều khiển nhiệt độ trong nhà.

    Thiết bị IoT thường giao tiếp dữ liệ thông qua các giao thức không được mã hóa, đôi khi sử dụng hệ thống mạng Wi-Fi công cộng dễ dàng bị tấn công. Các thiết bị này dễ bị tấn công dưới dạng cross-site scripting (kĩ thuật tấn công bằng cách chèn mã độc vào các website động, phổ biến ở ứng dụng Web), tại thời điểm hiện tại khó có thể đảm bảo dữ liệu người dùng có thể được đảm bảo khi tương tác với loạt thiết bị này.

    Hệ thống thiết bị IoT có quá nhiều lỗ hổng bảo mật.
    Khi người dùng đưa thông tin thẻ tín dụng vào Smart TV thì đây liệu có phải là hành động đúng đắn khi không có ai bảo vệ thiết bị IoT này.Theo Gartner, Internet of Things dự kiến ​​sẽ có khoảng 26 tỷ thiết bị vào năm 2020. Sản phẩm và dịch vụ IoT sẽ tạo ra doanh thu 300 tỷ USD trong năm 2020 và từ nay cho đến thời điểm đó thì còn quá nhiều cạm bẫy về vấn đề an ninh dữ liệu

    Qua 10 loại thiết bị thử nghiệm, Fortify đã tìm thấy 250 lỗ hổng. Ngoài bộ kiểm soát nhiệt độ, TV, bộ điều khiển phun nước cho bãi cỏ còn có các thiết bị về camera trong nhà, khóa cửa số, cửa tự động của nhà để xe....Thời điểm này thì các thiết bị IoT thường được kết nối đến ứng dụng nội bộ được cung cấp bởi nhà sản xuất hay nhà dịch vụ bên thứ 3. HP không nêu tên cụ thể các thiết bị kiểm tra nhưng hiện tại trên thị trường thì thiết bị kiểm soát nhiệt độ nổi bật nhất là Nest Labs và Honeywell Lyric.

    Có 80% thiết bị, cùng với đám mây của người dùng và các thành phần ứng dụng di động không đủ yêu cầu về an toàn mật khẩu, theo báo cáo của HP thì 90% mật khẩu có thông tin cá nhân dễ nhận biết. Hơn nữa, 70% các thiết bị, linh kiện điện thoại di động và đám mây của người dùng cho phép hacker sử dụng phương pháp Enumeration định danh các tài khoản người dùng hợp lệ hoặc các tài nguyên dùng chung không được bảo vệ kỹ, (Enumeration là một cách để trích các tài khoản hợp lệ hoặc các tài nguyên từ hệ thốngcó thể xác định).

    6 trong số 10 thiết bị không sử dụng mã hóa khi người dùng tải bản cập nhật phần mềm, một số lượng đáng báo động với các ứng dụng. Ngoài ra, 70% thiết bị thử nghiệm thường xuyên sử dụng dịch vụ mạng không được mã hóa và thông tin truyền đi trong dưới dạng thông tin văn bản đơn giản và không có đảm bảo về an toàn bảo mật. Một số lỗ hổng rất cơ bản như cho phép sử dụng "1234" để thiết lập mật khẩu.

    Bộ điều khiển phun nước khó bị tấn công nhưng đây cũng là nguy cơ tiềm ẩn.

    Tổng kết lại sau khi thử nghiệm 10 thiết bị IoT thì các chuyên gia bảo mật cho rằng lỗ hổng đáng báo động nhất chính là mã hóa dữ liệu, người dùng có thể dễ dàng bị hack tài khoản hay mật khẩu. Nếu thiết bị được sử dụng bên trong hệ thống mạng của doanh nghiệp thì không chỉ các sản phẩm IoT bị tấn công mà sẽ làm ảnh hưởng đến hàng loạt máy tính khác. Doanh nghiệp nếu trang bị thiết bị IoT thì có thể yêu cầu các nhà cung cấp thiết bị kiểm tra phần mềm đi kèm trước khi đi vào sử dụng để tự bảo vệ mình. Việc người sử dụng phải tự tìm giải pháp để bảo vệ mình trong khi các nhà sản xuất đưa ra loạt sản phẩm đầy lỗi bảo mật thì thật khó có thể chấp nhận được.

    Trước khi các thiết bị IoT được thiết lập quy trình bảo mật dữ liệu, và mã hóa đường truyền thì những mối đe dọa về các cuộc tấn công luôn thường trực. Hiện tại có rất ít phần mềm bảo mật trên máy tính truyền thống có thể kiểm soát các thiết bị kết nối hoạt động trong nhà. Bộ phận Fortifu của HP thừa nhận rằng sẽ ít có khả năng bộ điều khiển phun nước cho cỏ bị tấn công hay đánh cắp dữ liệu. Nhưng nếu sản phẩm này nằm trên hệ thống mạng gia đình thì đây là cánh cửa đã mở đối với hacker.