• Thứ Hai, 08/02/2010 15:18 (GMT+7)

    “Mồi ngon” cho tội phạm bảo mật

    Khi iPhone, BlackBerry và nhiều thiết bị di động khác trở nên thông dụng hơn thì phần mềm nguy hại sẽ ra sức khai thác những lỗ hổng bảo mật trên các thiết bị này.

    Cuối tháng 10/2009 vừa qua, Sheran Gunasekera - lập trình viên người Inđônêsia - đã khiến làng công nghệ và viễn thông thế giới “lên ruột” khi công bố PhoneSnoop, một phần mềm chạy trên điện thoại di động (ĐTDĐ) có khả năng nghe trộm các cuộc đàm thoại của người dùng (xem bài chi tiết tại địa chỉ www.pcworld.com.vn/O1002_3).

    Hồi chuông cảnh tính

    Rõ ràng là điện thoại thông minh (smartphone) và sự gia tăng ngày càng nhiều về số lượng người dùng thiết bị di động (TBDĐ) đang trở thành mục tiêu lớn hơn bao giờ hết cho các phần mềm nguy hại như worm, virus và spyware. Với sự xuất hiện có thể xem là rất đúng lúc, PhoneSnoop một lần nữa gióng lên hồi chuông cảnh tỉnh cho cả người dùng di động lẫn các hãng sản xuất và cung cấp dịch vụ di động.

    Ông Ðỗ Thắng:

    Ông Ðỗ Thắng:"Bảo mật
    thậm chí phải được áp đặt
    từ cấp quản trị hệ thống"

    Theo ông Jeff Wilson, phân tích viên chính tại công ty tư vấn Infonetics Research, những hiểm họa bảo mật cho ĐTDĐ hoàn toàn có thể trở thành hiện thực. Về phần mình, Gunasekera cho rằng anh viết phần mềm PhoneSnoop nhằm cảnh báo những rủi ro bảo mật đã và đang tồn tại trên BlackBerry, nền tảng di động được cho là an toàn hơn so với các nền tảng khác, đồng thời nhấn mạnh đến việc ngay khi có những lớp bảo mật “cứng” thì yếu tố con người vẫn có thể được khai thác.

    Trao đổi với Thế Giới Vi Tính, ông Nguyễn Thành Nam, chuyên gia bảo mật tại Việt Nam, cho rằng bảo mật trên TBDĐ nói chung có thể xem như đang ở vạch xuất phát, smartphone nói riêng thì có nhỉnh hơn một chút nhưng về cơ bản vẫn còn rất hạn chế, trong vài trường hợp còn tệ hơn điện thoại chỉ có tính năng gọi/nghe thông thường (dumb phone). Ông Nam cũng nhận định, hiện người dùng và các hãng chỉ nói đến giải pháp bảo mật “mềm” được cài đặt trên thiết bị chứ chưa đề cập đến giải pháp trong chuẩn viễn thông như 2G, 3G... do đó thông tin cá nhân, tin nhắn, nhật ký cuộc gọi và các thông tin riêng khác có thể dễ dàng bị phơi bày nếu kẻ gian lấy được thiết bị hoặc thậm chí bị truy xuất từ xa qua hình thức tấn công “bluetooth” hay “bluesniper rifle”.

    Thực tế cho thấy, smartphone đang trở nên thông dụng và thể hiện sự xuất sắc trong việc xử lý nhiều nhiệm vụ hơn, như giao dịch chứng khoán, chi trả hóa đơn hay mua sắm trực tuyến. Và những điều này đã khiến cho smartphone hấp dẫn hơn đối với tin tặc. Công ty nghiên cứu thị trường ABI Reasearch dự báo, số lượng smartphone bán ra vào năm 2014 sẽ đạt mức 330 triệu chiếc so với 178,3 triệu chiếc của năm 2009.

    Tương tự lĩnh vực máy tính, tin tặc có thể tấn công người dùng ĐTDĐ thông qua trang web hay email, và đặc biệt là từ cửa hàng bán ứng dụng, trò chơi trực tuyến - điển hình là vụ các trò chơi của Storm8 được phân phối trên App Store có hành vi lén lút thu thập danh bạ liên lạc trên máy của người dùng bị phanh phui.

    Ở tình huống này, ông Nam cho rằng, cần cảnh giác khi tải về các ứng dụng từ Internet bởi với một số điện thoại (như iPhone) và mô hình cung cấp phần mềm tập trung (như App Store hay Android Market) thì việc dụ dỗ người dùng cài đặt phần mềm giả tạo (phishing application) trở nên dễ dàng hơn bao giờ hết.

    Còn theo một khảo sát gần đây của Trend Micro, tại Mỹ, cứ 5 người dùng smartphone thì có 1 người từng chạm trán với cái được gọi là “mưu đồ bất lương”, nói rõ hơn là nơi mà tin tặc đóng giả vai ngân hàng hay một dịch vụ nào đó từng được người dùng tin tưởng đế cố gắng thu thập thông tin cá nhân của người dùng - trên máy tính và Internet.

    Ý thức và xuyên suốt

    Theo ông Võ Đỗ Thắng - Giám đốc Trung tâm Đào tạo An ninh mạng Athena, điện thoại càng thông minh thì chúng càng có thể thực hiện được nhiều ứng dụng như một máy tính, khi đó tin tặc hoàn toàn có thể khai thác được các lỗ hổng. Trong khi đó đối tượng sử dụng smartphone ngày càng nhiều nhưng đa số lại gần như không có kiến thức về bảo mật. Hơn thế, đồng quan điểm với ông Nam, ông Thắng cũng cho rằng các tính năng bảo mật trên smartphone chỉ tập trung tạo “cảm giác an toàn” chứ chưa thật sự an toàn cho người dùng, đặc biệt là người dùng thiếu kiến thức bảo mật trên smartphone, và đó cũng chính là nhược điểm lớn nhất của chúng.

    Ông Thành Nam: “Người dùng nên “ngô nghê” hóa thiết bị “thông minh” của mình”.

    Ông Thành Nam: “Người
    dùng nên “ngô nghê” hóa
    thiết bị “thông minh” của
    mình”.

    Dưới góc nhìn của một người làm công tác tư vấn bảo mật, theo ông Nam, nhu cầu về tính năng và mục đích sử dụng là 2 yếu tố quan trọng nhất nếu như người dùng quan tâm đến một sản phẩm bảo mật cho TBDĐ hoặc bất kỳ hệ thống, dự án CNTT nào. “Với smartphone, hãy tắt ngay các tính năng cũng như kết nối khi đã dùng xong, nói cách khác là người dùng nên “ngô nghê hóa” thiết bị “thông minh” của mình”, ông Nam chia sẻ.

    “Người dùng nên thường xuyên cài đặt các bản sửa lỗi (hotfix) cho HĐH của smartphone cũng như đừng quá lạm dụng chiếc smartphone của mình, thay vào đó hãy dùng chúng trong những trường hợp cần thiết và hữu ích”, giảng viên Trương Văn Cường - trung tâm Athena, bổ sung.

    Không riêng với người dùng, theo ông Thắng, bảo mật không chỉ dừng lại ở cấp độ ý thức mà cần phải được xây dựng, thậm chí là áp đặt từ cấp nhà quản trị hệ thống. Gần đây, vài mẫu smartphone cho phép đồng bộ hệ thống email cộng tác của doanh nghiệp, theo nhiều quản trị hệ thống giàu kinh nghiệm mà phóng viên TGVT có dịp trao đổi về công tác bảo mật và triển khai email nội bộ trên TBDĐ, việc xác định được chủ nhân thực sự có quyền truy xuất dữ liệu doanh nghiệp từ TBDĐ là điều làm họ đau đầu nhất. “Điện thoại là tài sản cá nhân, song phần nhiều dữ liệu lưu trên đó lại là tài sản doanh nghiệp, có nhiều dữ liệu thuộc dạng nhạy cảm và hạn chế chia sẻ”, ông Thắng nói. Dĩ nhiên, cũng theo ông Thắng, khi các nhà quản trị “ép” người dùng di động phải tuân thủ quá nhiều thao tác để xác thực người dùng thì dĩ nhiên sự linh hoạt của cái gọi là tính di động cũng sẽ giảm xuống, song điều này đảm bảo sự an toàn cho cả người dùng, thiết bị lẫn mạng dữ liệu doanh nghiệp.

    “Trong các năm trước, mọi người thường nói đến ý thức/nhận thức bảo mật; nhưng từ 2010, bảo mật cần phải được đẩy lên thành kiến thức”, ông Thắng nhấn mạnh, “Việc này cũng tương tự như trong giao thông, mọi người phải có kiến thức về luật giao thông, phải đi học để có bằng lái xe”. Về phần mình, ông Nam cho rằng, trước hết người dùng phải có nhận thức và sau đó là phải có đủ kiến thức để sử dụng các giải pháp bảo mật được cung cấp. “Để triển khai hiệu quả một giải pháp bảo mật, trước tiên cần sự quán triệt và áp dụng xuyên suốt từ cấp quản trị cho đến người dùng cuối”, ông Nam khuyến nghị.

    Cơ hội kinh doanh

    Viễn cảnh gia tăng các mối đe dọa đối với các thiết bị cầm tay (trong đó có smartphone) đồng nghĩa với việc sẽ có một thời kỳ tươi sáng mới cho các hãng bảo mật. Nhiều công ty nghiên cứu thị trường dự báo, doanh số của phân khúc phần mềm bảo mật di động sẽ tăng lên mức 1,6 tỷ USD vào năm 2013 so với 113 triệu USD trong năm 2008.

    Thực vậy, các gã khổng lồ trong ngành bảo mật như McAfee, Symantec, Trend Micro cũng như những “tân binh” như Discretix và Callpod đã hành động và bước đầu gặt hái được nhiều thành công.

    Về phần mình, Symantec đang trong quá trình phát triển một sản phẩm và dự kiến năm 2010 sẽ cho phép các mạng di động cung cấp cho khách hàng tính năng lọc nội dung web và kiểm soát truy xuất (dành cho các bậc phụ huynh) trên smartphone.

    Song song đó, nhu cầu tự bảo vệ thông tin trên ĐTDĐ từ khách hàng đơn lẻ cũng tăng lên đáng kể. Phân tích viên Wilson dự báo khách hàng sẽ chi từ 10USD đến 20USD mỗi năm cho phần mềm bảo mật trên TBDĐ. “Con số này rõ ràng là thấp hơn so với phần mềm bảo mật dành cho máy tính cá nhân, tuy nhiên điều này hoàn toàn hợp lý bởi mức độ nhận thức về bảo mật trên di động vẫn thấp hơn”, Wilson cho biết.

    Theo nhiều chuyên gia trong lĩnh vực bảo mật, sự phòng vệ trên smartphone là điều cần thiết bởi gần như 100% smartphone hiện nay đều không an toàn. Do đó, nếu một phần mềm bảo mật dành cho di động chứng tỏ được sức mạnh thì người dùng smartphone chắc chắc sẽ không ngần ngại “bấm bụng” đầu tư.

    Anh Khoa

    ID: A1002_18