Giới thiệu
Khi tôi đang ở Mỹ vào năm 2016, tôi đã đọc một bài báo về thiết bị chặn bắt nhận dạng thuê bao di động quốc tế (IMSI-catcher), đặc biệt về một thiết bị có tên Stingray trên Tạp chí Bloomberg. Vì những tính năng nổi trội, mà người ta cũng dùng cái tên Stingray để mô tả cho những thiết bị loại này. Tuy nhiên, thời điểm đó tôi không được tiếp cận với nguồn thông tin rộng khắp. Nhưng đó lại là nguyên nhân thôi thúc tôi chia sẻ kiến thức của mình để góp phần nhỏ trong việc nâng cao kiến thức cộng đồng.
IMSI-catcher là một thiết bị có thể chặn bắt tin nhắn, cuộc gọi, theo dõi vị trí và chiếm quyền điều khiển phiên dữ liệu. Thiết bị này khiến người dùng lo sợ về rò rỉ thông tin cá nhân khi trở thành mục tiêu của tội phạm mạng. Những mối lo ngại này sẽ ngày càng gia tăng khi mọi thứ được kết nối với nhau bởi khi chúng ta đang sống trong kỷ nguyên kết nối vạn vật (Internet of Things - IoT). Đặc biệt, mạng 5G sẽ sớm trở nên phổ biến và dễ tồn tại nguy cơ bị khai thác do sự trộn lẫn, hỗn tạp của các công nghệ cũ. Bên cạnh đó, IoT ẩn chứa rất nhiều lỗ hổng, vì nó được tạo ra bằng cách kết nối hàng chục tỷ thiết bị thông minh.
Trong một email mà tôi đã gửi tới Công ty an ninh mạng Positive Technologies, tôi đã yêu cầu và được đội ngũ của họ gửi một báo cáo về các vấn đề bảo mật của mạng 5G. Tôi rất ngạc nhiên khi đọc được rằng: “Các mạng viễn thông thay đổi rất chậm. Quá trình chuyển đổi sang một công nghệ mới thường trải qua nhiều giai đoạn và mất nhiều năm. Do đó, mạng 5G sẽ được sử dụng song song với mạng 4G, thậm chí cả mạng 3G và 2G trong một thời gian dài. Chúng ta cũng phải lưu ý rằng tốc độ chuyển đổi từ 4G sang 5G của các nhà cung cấp mạng và các quốc gia là khác nhau. Mạng 5G sẽ dựa trên lõi của mạng 4G, vì vậy cũng sẽ kế thừa các lỗ hổng của mạng 4G.
Một trong các mối đe dọa là tấn công đa giao thức (cross-protocol attacks), khi tin tặc khai thác các lỗ hổng trong nhiều giao thức cùng một lúc. Một cuộc tấn công có thể bắt đầu bằng việc khai thác các lỗ hổng của mạng 4G hoặc thậm chí là 3G. Thông tin có được sau đó sẽ được sử dụng để tấn công trên mạng 5G. Ví dụ, kẻ tấn công có thể lấy được danh tính thuê bao di động quốc tế (International mobile subscriber identity - IMSI) của người dùng bằng cách khai thác lỗ hổng trong mạng 3G. Nếu IMSI của người dùng bị lộ, kẻ tấn công có thể thực hiện các cuộc tấn công tinh vi hơn bao gồm theo dõi vị trí, nghe lén cuộc gọi, tin nhắn văn bản và chiếm quyền điều khiển phiên dữ liệu. Trong một thử nghiệm gần đây, các lỗ hổng như vậy đã được tìm thấy trên 74% các mạng được thử nghiệm”.
Với công nghệ mới của mạng 5G, chắc chắn 5G sẽ an toàn hơn 2G trong việc bảo vệ quyền riêng tư, mã hóa và xác thực. Mặc dù vậy, một khẳng định quan trọng của báo cáo cho rằng “Không may, các nhà cung cấp mạng thường rất ít hoặc không nghĩ đến vấn đề bảo mật khi xây dựng mạng trong quá trình thử nghiệm và thậm chí là trong quá trình triển khai. Các chính sách bảo mật chỉ được áp dụng một khi mạng đã được đưa vào sử dụng và có các thuê bao trả phí. Cách làm như vậy có thể giúp việc triển khai mạng được nhanh hơn và có thể tiết kiệm chi phí ban đầu, nhưng về lâu dài sẽ gây ra những vấn đề lớn về tài chính, vì các nhà cung cấp mạng buộc phải mua thêm những thiết bị không có trong ngân sách ban đầu của họ. Do không có sự chuẩn bị kỹ lưỡng, nên các giải pháp mới thường kém tương thích với kiến trúc mạng hiện có. Trong những trường hợp như vậy, việc đáp ứng đầy đủ các yêu cầu bảo mật trở nên bất khả thi”. Bởi cốt lõi của việc kinh doanh là tạo ra giá trị kinh tế.
Mật khẩu dùng một lần (One Time Password - OTP) qua tin nhắn hoàn toàn có thể nằm trong tay tin tặc. Đặc biệt là khi thiết bị IMSI-catcher có thể dễ dàng mua trực tuyến hoặc tự thiết kế với phần cứng chi phí thấp và có sẵn. Do đó, tội phạm mạng có thể dễ dàng tấn công các mạng viễn thông cũ như 2G và 3G.
Một sự thật đáng sợ khác là có rất nhiều trang web đen quảng cáo về dịch vụ nghe lén cuộc gọi, tin nhắn. Trong quá trình tìm hiểu, tôi đã tìm thấy ít nhất có 3 trang web đang cung cấp dịch vụ này.
Stingray, IMSI-catcher và mạng 4G/5G đều có liên quan đến . Song song, không chỉ riêng vấn đề bảo mật của mạng 4G hay 5G, mà về các vấn đề bảo mật khác cũng đang thu hút sự quan tâm của giới chuyên môn.
Tháng 10/2020, một người dùng tại Việt Nam bị mất tiền trong tài khoản Vietcombank mà không nhận được bất kỳ tin nhắn OTP nào. Một trường hợp khác là một người dùng bị mất tài khoản Facebook do sử dụng một mật khẩu dễ đoán. Một trong những người bạn của tôi - một kỹ sư phần mềm đã bị mất tài khoản Gmail. Anh cho rằng mình là nạn nhân của một cuộc tấn công Stingray theo dõi điện thoại. Ai sẽ là nạn nhân tiếp theo? Đó có thể là bất kỳ ai, kể cả bản thân tôi.
Đó là lý do mà, việc nâng cao nhận thức về bảo mật điện thoại thông minh và các công nghệ của nó trở nên quan trọng, không chỉ cho khách hàng mà còn cho doanh nghiệp. Nó sẽ cảnh báo người dùng nhận ra rằng, đã đến lúc phải trang bị cho mình những kiến thức cơ bản về an ninh mạng. Bởi an ninh mạng là sự hợp tác giữa ba bên: người dân, doanh nghiệp và chính phủ. Tất cả các bên phải làm việc cùng nhau để khiến mọi thứ an toàn hơn.
Hình 3. Mô hình phối hợp an ninh mạng hoàn hảo
Những điều cần biết
Tôi biết về MFA khi còn là một tin tặc. Thời điểm đó, một số nền tảng trực tuyến đã sử dụng MFA như một cách để bảo vệ khách hàng của họ. Năm 2012, ngân hàng Đông Á có cấp thẻ ngân hàng cho tôi, mỗi khi tôi đăng nhập vào tài khoản ngân hàng sẽ yêu cầu tôi nhập chính xác các số dựa trên thẻ ngân hàng. Nhưng ngày nay, tôi tin rằng chúng ta cần nhiều cách hơn để bảo vệ các tài khoản trực tuyến, vì mọi thứ sẽ được kết nối thông qua nhà thông minh, thành phố thông minh. Chính vì vậy, người dùng sẽ đối diện với nhiều mối đe dọa trực tuyến hơn.
May mắn rằng MFA đã được tích hợp rộng rãi vào hầu hết các nền tảng trực tuyến lớn như Facebook, Gmail, Twitter, hệ thống ngân hàng trực tuyến... để giúp tăng cường bảo mật cho tài khoản của người dùng. Có một số MFA phổ biến như câu hỏi bảo mật, mã PIN, cụm mật khẩu bảo mật, thẻ ngân hàng, OTP qua tin nhắn văn bản/thoại, phần mềm xác thực), thông báo đẩy, sinh trắc học (vân tay, nhận dạng khuôn mặt, giọng nói, nhận dạng mống mắt, quét võng mạc, động lực học gõ phím (keystroke dynamics), nhận dạng chữ ký) và khóa cứng bảo mật. Tuy nhiên, mỗi phương pháp xác thực đều có điểm mạnh và điểm yếu riêng, chúng cũng có thể kết hợp với nhau để tăng cường bảo mật.
Hình 4. Bảng so sánh các hình thức xác thực đa nhân tố
Việc bổ sung tính năng MFA như phần mềm xác thực có thể là một điều rắc rối. Vì người dùng sẽ cần thực hiện thêm một bước nữa mới đăng nhập thành công vào các trang web yêu thích của mình. Nhưng nếu không có MFA, người dùng sẽ dễ dàng bị tấn công bởi tin tặc muốn đánh cắp thông tin nhận dạng cá nhân, truy cập tài khoản ngân hàng hoặc xâm nhập vào cổng thẻ tín dụng trực tuyến của họ. Câu hỏi đặt ra là: Tại sao người dùng phải sử dụng MFA?
Bởi nếu chỉ có mật khẩu mạnh thôi là chưa đủ. Tuy nhiên, liệu MFA có giúp người dùng bảo vệ Facebook, Gmail hoặc tiền một cách hoàn hảo không? Đối với phòng thủ mạng, liệu các phương pháp tốt nhất có tạo nên sự phòng thủ hoàn hảo không? Câu trả lời là không. Người dùng càng thiết lập nhiều lớp MFA cho các tài khoản trực tuyến của mình thì càng an toàn. Nó sẽ giúp người dùng tránh khỏi việc trở thành mục tiêu của một tin tặc không chuyên nghiệp.
Ngô Minh Hiếu (Hieupc)
09:00 | 28/05/2020
10:00 | 20/09/2019
17:00 | 30/08/2024
Xu hướng sử dụng mạng botnet để thực hiện tấn công DDoS của tin tặc ngày càng tăng cao, dẫn đến lưu lượng truy cập vào trang web tăng đột ngột và làm cho server bị quá tải, gây ra những tổn thất nặng nề cho các doanh nghiệp. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên máy tính của các cơ quan, tổ chức tại Việt Nam dễ bị tin tặc tấn công. Qua đó cũng đề xuất một số khuyến nghị nâng cao cảnh giác góp phần cho công tác phòng chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
09:00 | 13/06/2024
Trong phạm vi của bài báo này, chúng tôi sẽ trình bày những nội dung xoay quanh các vấn đề về sự tác động của trí tuệ nhân tạo (AI) cùng với hậu quả khi chúng ta tin tưởng tuyệt đối vào sức mạnh mà nó mang tới. Cũng như chúng tôi đề xuất sự cần thiết của việc xây dựng và hoàn thiện các chính sách bảo vệ các nội dung do AI tạo ra tuân thủ pháp luật và bảo vệ người dùng.
14:00 | 10/05/2024
Hiện nay, người dùng mạng máy tính đang thường xuyên phải đối mặt với những rủi ro từ các mối đe dọa mạng, như mã độc, phần mềm gián điệp, rootkit, tấn công lừa đảo,… Đối với Windows 11, dù hệ điều hành này có khả năng bảo mật nâng cao so với những phiên bản Windows trước đây, tuy nhiên không vì vậy mà người dùng được phép chủ quan. Trong bài báo này sẽ chia sẻ tới độc giả một số tùy chỉnh cấu hình nâng cao giúp Windows 11 trở nên bảo mật và an toàn hơn.
10:00 | 02/01/2024
Trong hệ mật RSA, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ mật này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức quan tâm nghiên cứu. Trong bài viết này, nhóm tác giả đã tổng hợp một số khuyến nghị cho mức an toàn đối với độ dài khóa RSA được Lenstra, Verheul và ECRYPT đề xuất.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Đứng trước thách thức về các mối đe dọa nâng cao, khái niệm về “chuỗi tiêu diệt” được sử dụng để phòng, chống các mối đe dọa này. Phần 2 của bài báo tập trung trình bày về các biện pháp phát hiện, bảo vệ hệ thống khỏi tấn công APT, khai thác lỗ hổng Zero-day và tấn công chuỗi cung ứng.
13:00 | 18/11/2024
