Chuyên gia Cheryl Ajluni của hãng Keysight Technologies vừa có bài viết “Cất cánh và biến mất cùng với dữ liệu IoT của bạn?” phân tích về những nguy cơ an ninh bảo mật đối với IoT bay và cách thức để giảm thiểu các nguy cơ.

An ninh bảo mật là thách thức lớn với IoT bay

{keywords}

Thế giới tuyệt vời của Internet vạn vật (IoT) đã có nhiều thay đổi. Những ý tưởng mới lạ và hấp dẫn trước đây đã nhanh chóng đi vào trái tim và khối óc của người tiêu dùng khắp mọi nơi. Từ các thiết bị đeo như Fitbit và thiết bị theo dõi vật nuôi, đến nông nghiệp thông minh, giờ đây IoT đang vươn tới bầu trời.

Keysight-1: IoT bay mở ra một ranh giới mới cho các thiết bị thông minh — một ranh giới kèm theo vô vàn thách thức.

IoT bay về cơ bản là thiết bị bay không người lái (drone) được trang bị đầy đủ và có khả năng kết nối mạng. Thiết bị bay này mở ra một ranh giới mới cho các thiết bị thông minh — một ranh giới kèm theo vô vàn thách thức.

Một thách thức lớn với IoT bay là an ninh bảo mật. Thách thức này không chỉ nằm ở việc thiết bị thông minh của người dùng vô tình bị sử dụng để  tấn công từ chối dịch vụ (DDoS) phân tán trên mạng botnet. Nguyên nhân là có nhiều cách sử dụng thiết bị drone cho các mục đích bất chính. Ví dụ: tin tặc có thể chặn dữ liệu truyền giữa thiết bị drone và trạm gốc. Hoặc tin tặc có thể dùng thiết bị drone để chiếm quyền kiểm soát vật lý một thiết bị thông minh, và sử dụng thiết bị thông minh đó làm cửa hậu xâm nhập vào mạng công ty.

Nếu bạn nghĩ rằng kịch bản này khó có thể xảy ra, hãy lưu ý rằng các nhà nghiên cứu từ Viện Khoa học Weizmann ở Israel và Đại học Dalhousie ở Canada đã làm được điều đó vào năm 2016. Bằng cách trang bị cho thiết bị drone một bộ công cụ tấn công tự động, các nhà nghiên cứu có thể xâm nhập vào một bóng đèn thông minh. Từ bóng đèn bị xâm nhập này, chỉ trong vài phút các nhà nghiên cứu nhanh chóng xâm nhập được tất cả các bóng đèn thông minh tương tự trong tòa nhà văn phòng mục tiêu, và họ có thể bật tắt đèn chiếu sáng của tòa nhà. Nếu đây là một cuộc tấn công thực sự, tình hình có thể còn tồi tệ hơn nhiều.

Vào cuối năm 2019, một nhóm nghiên cứu khác đã sử dụng thiết bị bay DJI Drone để chiếm quyền kiểm soát một chiếc TV thông minh. Một lần nữa, nếu đây là một cuộc tấn công thực sự, tin tặc có thể dễ dàng thay đổi nội dung trên màn hình của người xem, hiển thị tin nhắn lừa đảo để lấy thông tin cá nhân như mật khẩu hoặc thậm chí sử dụng phần mềm keylogger để ghi lại từ xa những lần bấm nút điều khiển TV từ xa.

Làm sao đảm bảo khả năng an ninh bảo mật cho thiết bị drone?

{keywords}

Mặc dù có các thách thức về bảo mật, thiết bị drone vẫn được kỳ vọng sẽ ngày càng đóng vai trò quan trọng trong mọi công việc, từ giao hàng tận nơi cho khách hàng, theo dõi tội phạm cho tới việc vận chuyển nhanh chóng hàng cứu trợ trong các tình huống khẩn cấp, thuốc và vắc xin.

Keysight-2: Bất chấp các mối đe dọa mạng tiềm ẩn, thiết bị drone đưa ra giải pháp hữu hiệu để cung cấp nhanh chóng vật tư y tế và vắc xin nhằm ngăn chặn tại nguồn sự bùng phát của các bệnh dịch nguy hiểm chết người và dễ lây truyền.

Để tạo điều kiện cho các hoạt động trên vận hành tối ưu, cần đảm bảo khả năng an ninh bảo mật cho thiết bị drone. Điều đó có nghĩa là cần giải quyết vấn đề từ trước thay vì chờ đến lúc vấn đề đã xảy ra.

Việc đầu tiên cần làm là phát hiện tất cả các lỗ hổng bảo mật tiềm tàng. Theo thông tin từ Dự án bảo mật ứng dụng web mở (OWASP), 10 lỗ hổng an ninh bảo mật hàng đầu trong mọi thiết bị IoT, trong đó có thiết bị drone, bao gồm: Mật khẩu yếu, dễ đoán hoặc cố định; Dịch vụ mạng không an toàn;Giao diện hệ sinh thái không an toàn; Thiếu cơ chế cập nhật an toàn; Sử dụng các thành tố không an toàn hoặc không được cập nhật; Bảo vệ quyền riêng tư không đầy đủ; Truyền tải và lưu trữ dữ liệu không an toàn; Quản lý thiết bị không đầy đủ; Thông số cài đặt mặc định không an toàn; Bảo vệ phần cứng không đầy đủ.

Chín lỗ hổng an ninh bảo mật đầu trong danh sách trên đây có thể được giải quyết một cách hiệu quả thông qua kiểm thử xâm nhập (PenTest). Ví dụ, bộ quét “brute-force” có thể bẻ khóa các mật khẩu kém. Các công cụ khám phá dịch vụ có thể xác định các thiết bị không an toàn trên mạng. Sử dụng những phương pháp như tấn công fuzzing, quét và tấn công lớp ứng dụng cũng như các kỹ thuật xác thực truyền thông an toàn, người dùng PenTest có thể kiểm thử và sớm phát hiện các lỗ hổng bảo mật không gian mạng trong quá trình phát triển thiết bị drone.

Tuy nhiên, do các cuộc tấn công mạng thường xuyên thay đổi, nên ngay cả giải pháp PenTest tốt nhất cũng có thể nhanh chóng trở nên lỗi thời. Để giải quyết vấn đề theo cách tốt nhất, cần đảm bảo thường xuyên cập nhật mọi công cụ PenTest đang được sử dụng bằng cách đăng ký nhận thông tin về ứng dụng và các mối đe dọa. Bên cạnh đó, cần có giải pháp vật lý để xử lý lỗ hổng an ninh bảo mật cuối cùng trong trường hợp an ninh bảo mật vật lý không được đảm bảo.

Ngược lại, các công ty dễ bị tấn công mạng bằng thiết bị drone có thể phòng thủ bằng cách sử dụng tổ hợp các giải pháp bảo mật đa dạng để bảo vệ mạng. Điều không may là không dễ để tìm được một tổ hợp các giải pháp phù hợp, vì rất khó để đồng thời kiểm chứng các giải pháp và áp dụng trên diện rộng. Hơn nữa, tác động qua lại giữa các giải pháp đôi khi có thể ảnh hưởng đến hiệu năng bảo mật và khả năng chống chịu của mạng.

Để giải quyết những vấn đề này, các doanh nghiệp cần có một ứng dụng dễ sử dụng và hệ sinh thái kiểm thử an ninh bảo mật có khả năng xác minh tính ổn định, độ chính xác, chất lượng của mạng và các thiết bị mạng hiện đại. Lý tưởng nhất là ứng dụng này có thể mô phỏng lưu lượng truy cập hợp pháp, các cuộc tấn công DDoS, các mã độc khai thác, phần mềm độc hại và kiểm thử fuzzing thực tế. Một hệ sinh thái có các khả năng này sẽ tạo điều kiện cho các công ty dễ bị tổn thương mô phỏng lưu lượng tốt và lưu lượng xấu để xác nhận năng lực và tối ưu hóa mạng trong các điều kiện gần nhất với thực tế.

Để có thể nhanh chóng đưa ra thị trường bất kỳ ứng dụng IoT mới nào và làm hài lòng khách hàng trong thời gian dài, cần phải khắc phục nhiều vấn đề về kỹ thuật. Trong trường hợp sử dụng thiết bị drone, an ninh mạng sẽ là một trong những vấn đề kỹ thuật lớn nhất. Các nhà phát triển có thể đi trước một bước so với tin tặc bằng cách sớm đưa các biện pháp bảo mật vào chu kỳ thiết kế và kiểm thử các biện pháp đó một cách thích hợp trong suốt quá trình phát triển.

Về cơ bản, hiện nay thiết bị drone chính là những những chiếc máy tính trên bầu trời, cách duy nhất để ngăn ngừa tội phạm mạng mà vẫn khai thác được toàn bộ lợi ích của IoT bay là phải chuẩn bị sớm nhất có thể để sẵn sàng ứng phó với các cuộc tấn công mạng vốn là không thể tránh khỏi.

An Nhiên