Những rủi ro bảo mật trong mạng IoT

Xu hướng Internet vạn vật (IoT) đang phát triển nhanh đến mức đã được hiểu là cuộc cách mạng công nghiệp tiếp theo. Trong một thời gian dài, thiết bị IoT dường như chưa được khắc phục các vấn đề về an ninh bảo mật bất chấp sự lan tỏa có mặt khắp nơi. Năm 2017 đã ghi nhận mức cao kỷ lục 104 lỗ hổng trong thiết bị IoT và đáng ngại là con số này đang tăng lên. Xu hướng gia tăng số lượng lỗ hổng bảo mật liên quan đến sự phổ biến quá nhanh của các thiết bị thông minh trong cuộc sống hiện đại, những thay đổi trong công nghệ IoT khiến cho các thiết bị IoT rẻ hơn và dễ dàng tiếp cận hơn với nhiều người dùng.

Các thiết bị IoT thường có nguồn tài nguyên hạn chế và dễ bị tấn công bởi các đối thủ nguy hiểm. Kẻ tấn công có thể xâm phạm một thiết bị IoT và sử dụng nó làm cầu nối để tấn công bắc cầu các thiết bị IoT khác.

Do đó, một thiết bị IoT bị xâm phạm có thể dần dẫn đến việc hàng nghìn thiết bị IoT khác bị xâm phạm, giống như bệnh truyền nhiễm vậy. Kẻ tấn công có thể sử dụng một mạng lưới lớn các thiết bị IoT bị xâm phạm để tấn công một dịch vụ hoặc một nền tảng mà mọi thiết bị sử dụng hoặc kết nối tới.

Vấn đề an ninh IoT đem đến những thách thức về mặt công nghệ đối với thiết bị đầu cuối, mạng lưới và nền tảng. Ngoài ra, nó còn đặt ra những thách thức về quy trình bố trí công nghệ an ninh một cách toàn diện.

Các mối đe dọa thường nhắm vào tính độc đạo của thiết bị IoT, chúng có thể xuất phát từ hệ sinh thái ứng dụng hoặc từ lỗi cấu hình do sự thiếu kinh nghiệm hoặc hạn chế hệ thống của người dùng…  Dưới đây là những lỗ hổng bảo mật mà các hệ thống IoT dễ gặp phải.

Vấn đề về giao diện Web IoT

Giao diện người dùng (UI) Web vốn rất quen thuộc với chúng ta, tuy nhiên đối với các ứng dụng IoT thì chúng thường có sự khác biệt rất lớn.

Đối với các ứng dụng IoT, giao diện người dùng web có vai trò quan trọng: kiểm soát các tính năng và chức năng, thiết lập cấu hình thiết bị và tích hợp các thiết bị vào các hệ thống nhanh và dễ dàng hơn. Giao diện này thường bỏ qua rất nhiều tiêu chuẩn an ninh bảo mật khiến đây trở thành điểm khai thác lỗ hổng của tin tặc.

Các vấn đề đối với các giao diện web IoT cũng tương tự như đối với các ứng dụng Web khác của doanh nghiệp đã từng gặp phải trước đó.

Bên cạnh lỗ hổng SQL injection trong các ứng dụng IoT thì command injection (khả năng chèn nội dung câu lệnh hệ thống vào phần đầu ứng dụng và thực thi các câu lệnh đó ngoài phạm vi kiểm soát của ứng dụng) và Cross-Site Scripting (một lỗi bảo mật cho phép tin tặc nhúng mã độc vào một trang web) cũng là những lỗ hổng giúp tội phạm mạng dễ dàng truy cập thiết bị, thực hiện việc điều khiển, giám sát hệ thống cũng như truy cập các hoạt động trong thời gian thực.

Ngoài ra nếu giao diện web không thực hiện đúng chuẩn HTTPS, kẻ tấn công có thể khai thác để ăn cắp dữ liệu nhạy cảm truyền trên mạng mà không được mã hóa.

Giải pháp khắc phục vấn đề này cũng không khác nhiều so với các ứng dụng Web khác của doanh nghiệp như : Xác nhận đầu vào, yêu cầu mật khẩu mạnh (và không cho phép sử dụng mật khẩu mặc định trong giai đoạn đầu tiên thiết lập), không hiển thị thông tin đăng nhập, giới hạn nỗ lực thử lại mật khẩu nhiều lần và đảm bảo quy trình khôi phục tên người dùng và mật khẩu.

Thiếu xác thực

Việc xác thực người dùng cho ứng dụng IoT là cần thiết bởi chúng có thể giúp kiểm soát quyền truy cập của tòa nhà và kiểm soát môi trường hoặc cung cấp quyền truy cập vào thiết bị âm thanh, video. Việc xác thực thường là bắt buộc nhưng nhiều trong số hệ thống IoT hiện nay dường như đang thiếu bước định danh người dùng này.

Hai loại xác thực quan trọng đối với các ứng dụng IoT, đầu tiên là xác thực người dùng tiếp theo đó là xác thực thiết bị. Do tính chất phức tạp của nhiều môi trường IoT, câu hỏi đặt ra là liệu mỗi thiết bị có yêu cầu xác thực hay không hoặc liệu một xác thực hệ thống có đủ cho mọi thiết bị trên mạng hay không? Những câu hỏi này cần được cân nhắc bởi chúng tác động trực tiếp vào các nhà thiết kế hệ thống tuy nhiên nếu đáp ứng đầy đủ những yêu cầu trên thì sẽ giúp việc xác thực mạnh và dễ dàng kiểm soát quy trình vận hành hơn.

Đăng nhập 1 lần vào hệ thống cũng là một loại xác thực thiết bị rất quan trọng. Bởi người dùng không xác thực ở mỗi giao diện nên các thiết bị trong mạng IoT cần yêu cầu tự xác thực giữa chúng để kẻ tấn công không thể lợi dụng như một cổng độc hại để thâm nhập vào hệ thống.

Cũng như với bảo mật giao diện Web, nền tảng để khắc phục lỗ hổng bảo mật này là nhận định IoT như một mạng ứng dụng "thực". Bởi vì nhiều thiết bị không có UI hoặc tùy thuộc vào ứng dụng của trình duyệt để tương tác với người dùng nên yêu cầu xác thực sẽ nghiêm ngặt bất kỳ thiết bị nào tham gia vào mạng ứng dụng IoT.

Thiết lập mặc định bị khóa

Hầu hết tên người dùng và mật khẩu được thiết lập mặt định trong mọi thiết bị IoT vì thế bất kì ai cũng có thể tìm kiếm chúng trên Google. Và chúng trở thành vấn đề nghiêm trọng vì thói quen sử dụng của người dùng hay không thể thay đổi các thiết lập mặc định của thiết bị IoT.

Việc sử dụng thiết lập mặc định có thể là mối nguy hiểm lớn nhất nhưng bên cạnh đó còn rất nhiều cài đặt quan trọng khác có thể bị lợi dụng. Các thông số mạng khác bao gồm các cổng được sử dụng, thiết lập mọi người dùng có đặc quyền quản trị, thông tin đăng nhập cũng cần thay đổi khi triển khai để đáp ứng nhu cầu bảo mật.

Ngoài việc cho phép các thiết lập bảo mật kết nối với hạ tầng bảo mật hiện có của mỗi hệ thống cùng những thay đổi thiết lập mặc định sẽ khiến cuộc tấn công IoT trở nên khó khăn và phức tạp hơn.

Lỗ hổng phần mềm điều khiển

Do sự phát triển liên tục của công nghệ, các nhà phát triển phần mềm thường xuyên cập nhập các phiên bản firmware (phần mềm điều khiển cấp thấp nhiều thiết bị điện tử) mới nhằm xử lý các lỗ hổng và đáp ứng nhu cầu của người dùng.

Việc cập nhật bản vá trên các thiết bị cầm tay như máy tính xách tay, điện thoại thông minh ngày càng trở nên dễ dàng với giao diện thân thiện. Tuy nhiên đối với những thiết bị kết nối Internet khác như hệ thống mở cửa gara tự động, máy pha cà phê, bóng đèn thì sẽ rất phiền toái nếu như doanh nghiệp hay cá nhân muốn nâng cấp firmware hay cài bản vá.

Các nhà nghiên cứu tại công ty phần mềm bảo mật Radware vừa chỉ ra một hình thức tấn công mới, phá hủy các thiết bị IoT thay vì thiết lập thành một mạng botnet. Được đặt tên là từ chối dịch vụ lâu dài (PDoS), các cuộc tấn công thậm chí có thể dẫn đến việc phải thay thế hay cài lại phần mềm. Cụ thể, các lỗ hổng bảo mật bị lợi dụng để phá hủy firmware hoặc các chức năng cơ bản của hệ thống.

Một trong những công cụ được sử dụng ở dạng tấn công này có tên BrickerBot. Các nhà nghiên cứu đã quan sát được hai biến thể xuất hiện từ ngày 20/3/2017. Một biến thể có vòng đời rất ngắn, trong khi biến thể còn lại vẫn tiếp tục hoạt động. Cả hai biến thể này đều có cùng mục đích là xâm nhập vào thiết bị IoT và đánh sập bộ nhớ thiết bị.

Mặt khác, hầu hết những thiết bị dân dụng được thiết kế tương đối cũ và nay chỉ bổ sung tính năng Internet. Đối với nhiều sản phẩm, Internet không phải là yếu tố chính làm nên thiết bị do vậy mà bảo mật  cho chúng càng không phải là vấn đề được quan tâm đúng mức. Điều đó khiến cho firmware trở thành một lỗ hổng nghiêm trọng và tin tặc đã lợi dụng chúng để thực hiện các cuộc tấn công.

Bảo mật hệ thống mạng yếu kém

Lỗ hổng bảo mật trong thiết bị vốn đã rất nguy hiểm và với IoT thì còn nghiêm trọng hơn bởi chúng ảnh hưởng mang tính dây chuyền có thể khiến toàn bộ hệ thống bị sụp đổ.  

Thực tế, nhiều người dùng lắp đặt các thiết bị IoT trên mạng gia đình của họ mà không sử dụng và cấu hình tường lửa, điều này khiến kẻ tấn công chiếm quyền kiểm soát các thiết bị IoT dễ dàng hơn.

Trong nhiều trường hợp, mặc dù tường lửa có được sử dụng nhưng nó chỉ tập trung vào kiểm soát lưu lượng truy cập đến từ bên ngoài vào. Một trường hợp khác là thiết bị IoT có thể kết nối với máy chủ điều khiển của chúng từ bên trong hệ thống mạng, và việc khai thác lỗ hổng từ trao đổi dữ liệu không mã hóa.

Đây là lý do chính khiến nhiều dự án đang được phát triển, nhằm phát hiện ra các hệ thống yếu kém trên Internet. Một trong những mô hình đó là hệ thống Shoda, cỗ máy tìm kiếm của Trend Micro nhằm quét các hệ thống và tài nguyên bảo mật yếu trên mạng, là đối tượng dễ bị hacker dòm ngó. Các báo cáo của hệ thống Shodan tỏ ra hữu dụng vì nó không chỉ dựa trên địa chỉ IP của các thiết bị kết nối, nó còn nhận biết được phần mềm cài đặt lên thiết bị đó và phiên bản phần mềm của thiết bị. Những thông tin như vậy có thể giúp các công ty bảo mật nhận biết khá chính xác loại thiết bị đang kết nối chứ không chỉ là địa chỉ IP mà thôi. Tuy nhiên những công cụ tương tự như Shoda cũng có thể được phát triển bởi nhóm tin tặc.

Giao thức MQTT

Hiện nay có rất nhiều giao thức truyền thông giữa các thiết bị IoT như HTTP, CoAp, MTTQ. Trong giai đoạn gần đây, giao thức MQTT (Message Queuing Telemetry Transport) nổi lên như một giao thức được sử dụng phổ biến trong IoT và được nhiều hãng công nghệ áp dụng.

Đây là một giao thức truyền thông điệp (message) theo mô hình publish/subscribe (xuất bản – theo dõi), sử dụng băng thông thấp, độ tin cậy cao và có khả năng hoạt động trong điều kiện đường truyền không ổn định. Kiến trúc mức cao (high-level) của MQTT gồm 2 phần chính là Broker và Clients. MQTT Clients tương thích với hầu hết các nền tảng hệ điều hành hiện có: MAC OS, Windows, Linux, Android, iOS... MQTT là một giao thức mở và được Ủy ban Kỹ thuật OASIS chuẩn hóa. Điều này làm cho giao thức này dễ dàng chấp nhận cho nhiều loại thiết bị, nền tảng và hệ điều hành IoT.

MQTT được thiết kế để tạo ra một giao thức nhẹ và linh hoạt nhất có thể nhưng việc thực hiện các điều khiển bảo mật nghiêm ngặt có thể phức tạp và nó cũng có thể làm suy yếu bản chất của giao thức. Việc thường chỉ sử dụng lớp bảo mật xác thực ở tầng ứng dụng thường là không đủ đối với một hệ thống IoT tầm doanh nghiệp

Điều quan trọng cần lưu ý với MQTT cũng như các giao thức khác là lỗ hổng có thể không nằm trong giao thức mà xuất hiện từ cách thức vận hành chúng.

Chìa khóa để đảm bảo an toàn cho IoT là cần nắm rõ về những gì thực sự được triển khai trong hệ thống mạng, các luồng dữ liệu truyền tải qua các thiết bị cục bộ và hệ thống đám mây để phân tích cũng như kiểm soát dữ liệu.

Minh Cao