Bảo mật Internet of things: rủi ro nhà bị hack, cơ quan bị xâm nhập, xưởng bị điều khiển từ xa

Giả sử trong quá trình truyền dữ liệu, hacker có thể đánh cắp được địa chỉ MAC này, hoặc trên server có ai đó đột nhập vào và lấy trộm dãy MAC của ổ cắm trong nhà Garrett. Và khi đã có địa chỉ này trong tay, hacker hoàn toàn có thể giả lập lại các gói dữ liệu đó để điều khiển từ xa ổ cắm của Garrett từ bất kì nơi nào trên thế giới.

Bạn vẫn có thể tắt tính năng này đi. Nếu smartphone và ổ AuYou ở trong cùng mạng Wi-Fi thì gói dữ liệu sẽ được gửi thẳng từ điện thoại tới ổ, nhưng nếu bạn đi ra ngoài và muốn điều khiển ổ cắm ở nhà thì buộc phải đi qua máy chủ nói trên, và khi bạn tắt tính năng này đi thì xem như mất một chức năng quan trọng của thứ mà bạn đã bỏ nhiều tiền để mua về.

Tóm lại, Garrett nói: "Đây là thiết bị rất không an toàn, không có cách nào bạn có thể làm cho nó an toàn hơn, và nếu bạn muốn nó bảo mật hơn thì bạn sẽ bị mất đi những tính năng hữu ích mà đáng ra nó phải có. Đừng mua nó".

Sự an toàn của bản thân và cộng đồng trong thời đại Internet of Things

Những phân tích của Garrett đều rất kĩ càng và biết một sản phẩm không an toàn, nhưng anh có thể làm được điều này vì anh có kiến thức và kinh nghiệm. Với một người dùng bình thường như mình và nhiều anh em Tinh tế, làm thế nào chúng ta có thể biết điều đó? Chúng ta không rảnh (và không thể) ngồi truy vết xem các thiết bị smart home của mình gửi dữ liệu đi đâu, mã hóa tới mức nào, có lộ thông tin cá nhân gì trong đó hay không. Chúng ta chỉ đơn giản là mua một sản phẩm về, cắm điện vào rồi sử dụng. Chúng ta không cần phải làm những việc mà đáng ra nhà sản xuất phải tự làm và đảm bảo rằng chúng chạy tốt trước khi bán hàng.

Chính vì điều này mà câu hỏi về tính bảo mật của các thiết bị Internet of Things đang là một trong những vấn đề rất được quan tâm trong vài năm trở lại đây. Người dùng bình thường chỉ mua về và sử dụng, họ không biết được những rủi ro tiềm ẩn đằng sau sản phẩm của mình vì không có đủ kiến thức chuyên môn để phân tích. Các doanh nghiệp mua IoT về gắn trong văn phòng, nhà xưởng đôi khi cũng không có thời gian hay nhân lực để thực hiện những việc phân tích nói trên.


Kaspersky mới đây đã nói về thách thức trong việc bảo mật IoT. Họ đã đưa ví dụ về các ngôi nhà smart home có thể bị hack dễ dàng. Không chỉ có nhà, ngay cả cửa hàng rửa xe tự động, hệ thống camera giám sát của cảnh sát đều có thể bị đột nhập bởi một ai đó nhằm rửa xe miễn phí hay muốn thoát tội chẳng hạn. Và đừng quên IoT còn bao gồm cả smartwatch, smartband cùng hàng tá thứ khác mà bạn đeo trên người, chúng đang từng giờ từng phút ghi lại vị trí và các thông số cơ thể của mình. Ai đó có thể xâm nhập vào chiếc smartwatch của bạn để biết bạn đang làm gì, đó không còn là một viễn cảnh xa xời nữa.

Wind River System, một công ty con của Intel chuyên về thiết bị nhúng, đã có một báo cáo với tiêu đều "Đi tìm viên đạn bạc", ý là họ muốn tìm một giải pháp tốt để giải quyết hầu hết các vấn đề bảo mật của IoT trong thế giới hiện nay. Tóm gọn lại, đại ý của Wind River như sau

• Bảo mật phải là một nền tảng cơ bản cho IoT
• Hiện chưa có một quy định bắt buộc vào về việc triển khai bảo mật cho các thiết bị IoT
• Người ta cho rằng, và kỳ vọng rằng, sẽ có cách nào đó để nhét 25 năm kinh nghiệm của ngành bảo mật vào các thiết bị IoT trong khi điều này là vô cùng thiếu thực tế
• Sẽ không có viên đạn bạc nào có thể giảm thiểu tất cả rủi ro bảo mật một cách hiệu quả

Thực chất chuyện tương tự cũng đã diễn ra với Internet vào những ngày đầu ra đời. Trong những năm 90, khi Internet bắt đầu lan rộng thì các cuộc tấn công mạng, hack, DDoS, lừa đảo cũng diễn ra ồ ạt. Ngày nay Internet cũng không an toàn, thỉnh thoảng chúng ta vẫn thấy người này người kia bị hack, bị dính virus, những người nổi tiếng bị lấy trộm tài khoản mạng xã hội, hay thiết bị bỗng nhiên bị khóa rồi đòi tiền chuộc. Với nhiều chục năm phát triển mà Internet vẫn còn những lỗ hổng như thế thì chúng ta khó mà kỳ vọng IoT sẽ tuyệt đối an toàn.

Thiếu quy định từ các cơ quan chức năng

Như Wind River đã đề cập, hiện chưa có bất kì quy định nào dành cho các thiết bị IoT liên quan tới bảo mật. Hãy tưởng tượng điều này giống như việc bạn mua một gói bánh snack mà chẳng biết mình đang ăn cái gì, khi nào hết hạn, ai là người sản xuất, calorie bao nhiêu. Hay như bạn mua một cái ổ điện mà không biết thông tin gì về điện áp, cường độ và mức an toàn.

Hồi đầu năm nay, Edith Ramirez, nữ chủ tịch của Ủy ban thương mại liên bang Mỹ (FTC), đã phát biểu tại triển lãm CES 2016 rằng các thiết bị IoT đang đặc ra một nguy cơ lớn về bảo mật. Khi mà các cảm biến được tích hợp với những món đồ mà thường ngày bạn sử dụng và đang ghi lại mọi hoạt động của bạn, việc rò rỉ ra ngoài có thể sẽ trở thành thảm họa. Ramirez nói về 3 thách thức chính với tương lai của IoT:

• Thu thập dữ liệu mọi lúc mọi nơi
• Sử dụng dữ liệu của người dùng theo những cách mà họ không kỳ vọng
• Nguy cơ bảo mật ngày càng gia tăng

Ramirez nhấn mạnh các nhà phát triển IoT hiện không dành thời gian để nghĩ làm thế nào tránh được các cuộc tấn công vào thiết bị của mình. Bà thúc giục các công ty phải tăng cường những giải pháp bảo mật và đưa chúng vào sản phẩm IoT nhằm đảm bảo an toàn cho người dùng. Có thể đó là việc giảm lượng dữ liệu được thu thập, minh bạch hóa các thông tin bảo mật và cho phép người dùng tắt tính năng ghi nhận dữ liệu đi. "Kích thước nhỏ và năng lực xử lý hạn chế của nhiều thiết bị kết nối có thể khiến việc triển khai mã hóa, cũng như những cách bảo mật khác, trở nên khó khăn. Ngoài ra, nhiều thiết bị có giá rẻ và có thể dùng chỉ một lần. Nếu một lỗ hổng bị phát hiện trên những thiết bị dạng này, sẽ khó về mặt kinh tế để các hãng update phần mềm và vá lỗi".

Sự phát triển phần cứng và thiếu thống nhất của chuẩn giao tiếp sẽ là vấn đề với bảo mật

Đọc tới đây có thể bạn sẽ nghĩ rằng những vấn đề phần cứng mà sếp FTC nói rồi sẽ được khắc phục. Đúng, một số. Khi thị trường phát triển, chúng ta sẽ thấy thêm nhiều khoản đầu tư hơn vào IoT, các nhà sản xuất cũng tìm ra những công nghệ mới, hướng đi mới để cải tiến bảo mật. Các hãng chip như Intel, Qualcomm, ARM sẽ tạo ra những con chip mạnh hơn để dùng trong IoT và giúp việc mã hóa trở nên dễ dàng hơn. Bảo mật khi đó sẽ trở thành một trong những điểm mạnh để bán sản phẩm vì chẳng ai lại muốn căn nhà hay cơ quan của mình bị hack cả. Vì công nghệ luôn phát triển mà.

Nhưng cũng có một số vấn đề cần quan tâm. Thứ nhất, chip IoT chủ yếu dựa trên các nền tảng, kiến trúc đã cũ. Nhiều sản phẩm trên thị trường hiện nay sử dụng các chip cũ, ví dụ Intel Edision dùng nhân Quark với cùng tập lệnh CPU như Pentium P54C. Một trong những lý do của việc này là để tiết kiệm chi phí sản xuất và phát triển. Một vài con chip mới, ví dụ Edison thế hệ kế tiếp, dùng nhân Atom Silvermont nhanh hơn, xịn hơn nhưng lại đắt hơn khiến giá sản phẩm đội lên và làm nhà sản xuất mất đi lợi thế cạnh tranh về giá. Với những thiết bị giá rẻ và sử dụng một-hai lần như FTC nói đến, chắc chắn chúng sẽ không sớm chuyển qua dùng những con chip mới như thế này.

Việc Intel, Qualcomm hay ARM bán những nền tảng điện toán theo kiểu thiết kế tham chiếu có thể giúp các sản phẩm IoT trở nên chuẩn hóa hơn, giá thấp hơn. Đây cũng là giải pháp mà những hãng làm chip từng áp dụng cho mảng điện thoại / tablet và nó đã tỏ ra có hiệu quả. Các "ông lớn" này cũng có thể cung cấp một số giải pháp phần mềm để giúp việc bảo mật IoT tốt hơn, tức là các hãng nhỏ không cần phải lo về vấn đề đó nữa và họ chỉ tập trung phát triển rồi đẩy sản phẩm ra thị trường mà thôi.

Chưa hết, bên cạnh phần cứng thì cách thức truyền dữ liệu giữa các thiết bị IoT với nhau hay với máy chủ và thiết bị của người dùng cũng là một nguyên nhân dẫn đến sự thiếu an toàn của IoT. Hiện tại có rất nhiều chuẩn được đặt ra và không có một sự thống nhất giữa các hãng. Những chuẩn lớn lớn thì có AllJoyn (liên minh LG, Cisco, Sony, Panasonic...), HomeKit (Apple), OCF (Intel, Samsung, Microsoft), SmartThings (Samsung là chủ yếu), Google thì có Brillo. Còn chuẩn nhỏ hơn thì có rất nhiều, nhiều công ty nhỏ thậm chí còn tự xài giao thức truyền dữ liệu của riêng mình nên để lại nhiều lỗ hổng không đáng có.

Chỉ khi nào có một chuẩn toàn cầu, được các cơ quan chức năng quy định, kiểm nghiệm rõ ràng và buộc các doanh nghiệp tuân thủ thì rủi ro về việc rò rỉ thông tin cá nhân của người dùng mới được giảm thiểu. Việc này giống như cách mà các tem EC, FCC đang được dán lên các sản phẩm tiêu dùng, chỉ khác là nó liên quan nhiều tới vấn đề bảo mật.

Tóm lại, IoT càng lúc càng phát triển thì cũng sinh ra nhiều vấn đề bảo mật mới. Xu hướng IoT hóa toàn cầu là không thể tránh khỏi, giờ là lúc các hãng sản xuất cùng ngồi lại với nhau để bảo vệ người dùng theo cách nhiều nhất có thể, song vẫn không làm giảm đi trải nghiệm khi sử dụng các sản phẩm IoT. Không ai muốn bị hack, và một khi đã bị hack thì khách hàng sẽ rời bỏ công ty đó mãi mãi nên việc này là chuyện cần làm và phải làm sớm.