Lỗ hổng bảo mật Wifi mang tên KRACK nổi lên trong những ngày gần đây đã làm điên đảo cả ngành công nghiệp công nghệ cao, ảnh hưởng đến hầu hết mọi thiết bị không dây, khiến chúng trở thành mục tiêu để các hacker xâm nhập vào các kết nối Internet.
Theo Wired, hậu quả của lỗ hổng KRACK để lại cho chúng ta nhiều điều phải giải quyết. Mặc dù các chuyên gia an ninh mạng cho biết, các nền tảng lớn như iOS, macOS và Windows đều không bị ảnh hưởng hoặc đã được vá lỗi, nhưng hàng triệu các router và các thiết bị IoT (Internet vạn vật) khác dường như sẽ chẳng bao giờ được cập nhật bất kỳ bản vá nào, do đó, hậu quả thực sự của KRACK sẽ còn tiếp diễn trong nhiều năm nữa.
Lỗ hổng KRACK đã cho thấy vấn đề đối với các thiết bị IoT (như camera an ninh) nguy hiểm như thế nào, và cũng cho thấy sự chậm chạp khi tìm hướng giải quyết của cả ngành công nghiệp công nghệ cao.
Một thảm hoạ
Để tránh lỗ hổng KRACK, chỉ có một cách duy nhất là phải cập nhật bản vá lỗi cho các thiết bị.
Nếu bạn sử dụng iPhone, Mac, hoặc máy tính Windows thì các bản vá lỗi hiện đã sẵn sàng để tải về. Còn nếu bạn dùng Android, các nhà sản xuất cho biết họ đang làm việc tích cực để đưa các bản cập nhật đến tay người dùng sớm nhất có thể (tuy nhiên sẽ mất nhiều thời gian, trừ khi bạn sử dụng Pixel hoặc Nexus).
Vậy còn với các router, camera an ninh, các thiết bị kết nối Internet khác thì sao?
HD Moore, một nhà nghiên cứu an ninh mạng tại Atredis Partners cho biết: "Trong 20 năm nữa, vẫn sẽ có những thiết bị bị ảnh hưởng bởi lỗ hổng này".
Nguyên nhân của vấn đề này nằm ở chỗ, các thiết bị IoT rất hiếm khi nhận được các bản cập nhật phần mềm cần thiết để vá các lỗ hổng an ninh. Với một lỗ hổng nghiêm trọng như KRACK, ngành công nghiệp công nghệ cao cần những nỗ lực được định hướng mới có thể giải quyết được. Đối với người dùng thông thường, điều này có nghĩa là tốt nhất bạn nên mua một thiết bị mới đã được vá lỗi sẵn trước khi xuất xưởng.
Tuy nhiên, cho dù một công ty có tìm cách vá được lỗ hổng trên các thiết bị của mình, thì vấn đề còn rắc rối hơn thế. Lấy Netgear làm một ví dụ: ngay khi lỗ hổng KRACK bị phát hiện, Netgear đã nhanh chóng tung ra một số bản vá lỗi cho nhiều mẫu router của hãng. Nhưng trớ trêu là hãng sản xuất đến hơn 1.200 sản phẩm, và mỗi sản phẩm lại cần phải được kiểm tra kỹ trước từng tác động của KRACK.
Thậm chí, Netgear còn không thể tự mình đưa ra các bản vá; trong một số trường hợp, họ cần các đối tác sản xuất chipset của mình cùng hợp tác. Khi đã hoàn thành các bản vá, công ty lại phải đối mặt với vấn đề làm sao để thông báo tới mọi khác hàng rằng thiết bị của họ cần được cập nhật càng sớm càng tốt. Hãng sẽ phải gửi email tới từng khách hàng đã đăng ký sản phẩm, đăng các thông báo lên các diễn đàn... và phần lớn các khách hàng của Netgear sẽ phải đọc các bản tin như bản tin bạn đang đọc để biết sự việc, rồi phải mày mò tìm đúng đường link để tải và cài đặt bản vá. Khó khăn chưa dừng lại ở đó: quá trình cập nhật đòi hỏi người dùng phải đăng nhập vào giao diện quản lý thiết bị trên máy tính, và không phải ai cũng rành công việc này.
CIO của Netgear Tejas Shah cho biết: "Tôi không khẳng định rằng ai cũng có thể làm việc này. Chúng tôi sẽ phải hướng dẫn các khách hàng và giúp đỡ họ khi có vấn đề xảy ra".
Đây là thách thức không chỉ của riêng Netgear, nhưng qua đó chúng ta có thể thấy các thiết bị không dây sẽ phải đối mặt với những vấn đề phức tạp như thế nào khi một lỗ hổng khủng khiếp như KRACK xảy ra.
Đó là đối với router, còn đối với các thiết bị IoT thì câu chuyện còn ở một tầm cao khác. Ví dụ một chiếc tủ lạnh có kết nối Internet: tất nhiên nó sẽ khó có thể nhận được các bản vá cần thiết. Các tủ lạnh thông minh, hệ thống cửa sổ kết nối Internet và hệ thống tưới nước điều khiển qua mạng... đều có một điểm chung là không có giao diện quản lý cụ thể và dễ dàng truy cập, do đó việc cập nhật các bản vá cho chúng sẽ vô cùng khó khăn. Các chuyên gia an ninh mạng cho rằng, các thiết bị gia dụng thông minh như trên khi bị hack sẽ không thể khiến thông tin của bạn bị lộ lọt, nhưng các thiết bị IoT thì lại khác.
Bob Rudis, trưởng nhóm nghiên cứu dữ liệu tại công ty an ninh mạng Rapid7 cho biết: "Nếu một kẻ nào đó tấn công vào các thiết bị IoT của bạn, chúng có thể lợi dụng điều đó để tấn công liên hoàn và điều khiển các thiết bị gia dụng khác, như mở cửa gara ô-tô, hay mở khoá các cánh cửa trong nhà".
Chỉ có một cách để tránh mối nguy này là nâng cấp các thiết bị đã được kết nối vào hệ thống như trên, vốn tốn rất nhiều chi phí. Còn nếu bạn ngại tốn kém, thì một điều chắc chắn là chúng sẽ là miếng mồi ngon cho các hacker trong ít nhất vài thập kỷ tới.
Tự động cập nhật
Thời gian qua, đã có nhiều giải pháp tăng cường an ninh cho các thiết bị IoT được triển khai.
Các router thế hệ mới hiện nay đã được trang bị một giao diện quản lý đơn giản hơn, và đặc biệt là hỗ trợ tính năng tự động cập nhật. Có nghĩa là khi một sự cố như KRACK xảy ra, hãng sản xuất sẽ có thể ngay lập tức cảnh báo đến người dùng, đồng thời tung ra một bản vá mà không cần người dùng phải động chân động tay gì cả.
Eero - một hãng chuyên về các thiết bị mạng - là một ví dụ điển hình cho việc này. Hãng đã tự động tung một bản vá lỗ hổng KRACK đến các khách hàng nằm trong chương trình thử nghiệm (beta) của mình chỉ vài giờ sau khi sự cố xảy ra. Sau đó, họ giám sát các thiết bị đã được cập nhật này để chắc chắn bản vá là hoàn hảo, và cuối cùng tiếp tục tung các bản vá này đến tất cả các người dùng còn lại.
CEO của Eero Nick Weaver cho biết: "Hệ thống của chúng tôi được thiết kế để đối phó với các tình huống như thế này ngay từ gốc. Nếu chúng tôi muốn tung ra một bản vá cho tất cả các thiết bị của hãng, chúng tôi có thể thực hiện việc đó gần như tức thời. Đó là một tính năng cốt lõi trong sản phẩm của Eero".
Tuy nhiên, không có điều gì hoàn hảo. Tính năng tự động cập nhật cũng có vấn đề của nó.
Hồi tháng 8, một công ty sản xuất khoá thông minh là Lockstate đã vô tình làm tê liệt một trong các sản phẩm của mình bởi gửi nhầm một bản cập nhật bị lỗi, khiến một số khách hàng phải gửi các ổ khoá thông minh của họ về công ty để reset lại chúng.
Các hacker cũng đã từng lợi dụng tính năng tự động cập nhật để phát tán malware trên diện rộng, như trường hợp malware NotPetya tại Ukraine trước đây.
Dù sao thì trong bối cảnh hiện tại, khi phải đánh đổi giữa tiện lợi và bảo mật, thì tính năng tự động cập nhật là một điểm sáng. Với hệ thống beta như của Eero, hầu như mọi vấn đề trong các bản vá sẽ được giải quyết trước khi bản vá chính thức được tung ra rộng rãi, góp phần tránh được sự cố như Lockstate gặp phải. Tính năng tự động cập nhật sẽ mang lại rất nhiều lợi ích, tất nhiên là khi người ta thực hiện nó một cách chuẩn xác.
Giải quyết vấn đề
Những cải tiến, dù chậm, cũng đã bắt đầu xuất hiện. Hiện nay, muốn phát triển một hệ thống nhà thông minh như HomeKit của Apple, các nhà sản xuất phải đạt được những yêu cầu bảo mật nhất định. Họ sẽ phải chứng minh được khả năng bảo vệ các thiết bị của mình an toàn, và cam kết duy trì tính toàn vẹn của hệ thống.
Thượng nghị sỹ Mark Warner ở bang Virginia hồi tháng 8 vừa qua đã đưa ra một dự thảo luật trong đó đề ra những tiêu chuẩn an ninh tối thiểu đối với các thiết bị thông minh. Chưa biết liệu dự luật này có được thông qua không, nhưng với việc KRACK đang tung hoành như hiện tại thì nó ít nhiều sẽ thu hút được sự chú ý của nhiều nhà làm luật.
Tuy nhiên, nhiều người cho rằng các dự luật này sẽ nhanh chóng bị tụt hậu so với sự phát triển thần tốc của ngành công nghiệp công nghệ cao. Họ cho rằng có lẽ ngành IT nên "mượn" giải pháp của các ngành công nghiệp khác, ví dụ như ngành xe hơi: "Nếu một nhà sản xuất xe hơi phát hiện ra một lỗi nghiêm trọng trên các xe do mình sản xuất, họ sẽ ngay lập tức triệu hồi chúng, sửa lỗi hoặc thay mới". Các nhà sản xuất không những sẽ phải ra một thông báo triệu hồi, họ còn phải liên hệ trực tiếp với từng khách hàng một. Nghe thì có vẻ chuyên nghiệp, nhưng nếu mang "nguyên xi" hướng giải quyết này lên thế giới IoT có lẽ sẽ phải mất rất nhiều thời gian.
Do đó, có thể thấy dường như không có phương thức hiệu quả nhất cho mọi vấn đề an ninh trên các thiết bị IoT. Chúng ta chỉ có thể hi vọng các công ty có thể hợp tác với nhau tốt hơn nhằm nhanh chóng vá các lỗ hổng có thể xảy ra, qua đó cho người tiêu dùng thấy được gía trị của sản phẩm họ đã mua, tạo nên một hệ sinh thái bền chặt mà hiện chưa tồn tại.
Những mong muốn của người dùng như trên không phải quá lớn, nhưng sự cố KRACK vừa qua đã cho chúng ta thấy ngành công nghiệp công nghệ cao, và IoT, còn một chặng đường rất xa nữa để có thể đạt được.
Theo VnReview
Thêm bình luận