Ngay khi mới xuất hiện, USB đã trở thành một vấn đề nghiêm trọng đối với bảo mật thông tin. Hệ thống tin sử dụng các thiết bị lưu trữ USB có khả năng đứng trước các nguy cơ về bảo mật, tính toàn vẹn của thông tin, bị áp đặt các thông tin sai lệch và nhiễm các phần mềm độc hại.
Một phương pháp điển hình để bảo vệ thông tin khỏi các kiểu tấn công khác nhau là hạn chế quyền truy cập vào nó. Điều tương tự cũng được thực hiện đối với thông tin được lưu trữ trong USB. Một số tổ chức thực hiện các biện pháp quyết liệt như loại bỏ hoặc niêm phong các đầu nối USB. Đây là một trong những giải pháp hiệu quả, tuy nhiên có một số điểm hạn chế không khó để nhận ra. Thứ nhất, các cổng kết nối chuẩn USB là cần thiết đối với các thiết bị ngoại vi như chuột, bàn phím, máy in, máy scan hay webcam. Thứ hai, việc loại bỏ hay niêm phong các cổng kết nối chuẩn USB sẽ gặp phải những khó khăn trong các công việc liên quan đến thông tin, đặc biệt trong thời đại số, đến từ thói quen, tâm lý sử dụng cũng như tính tiện dụng, phổ biến của các thiết bị lưu trữ chuẩn giao tiếp USB.
Hệ thống PUAA là tổ hợp phần mềm và/hoặc công cụ phần cứng ngăn chặn các nỗ lực truy cập trái phép.
Hệ thống bảo vệ thông tin, chống truy cập trái phép cho phép kiểm soát quyền truy cập của hệ thống và các thiết bị ngoại vi được kết nối với nó, trong đó có USB. Tuy nhiên, các chức năng kiểm soát quyền truy cập từ bên ngoài không phải là mục đích chính của công cụ này, do đó chức năng này kém hơn so với các hệ thống ngăn chặn thất thoát dữ liệu (Data Loss Prevention - DLP).
Hệ thống DLP là hệ thống phần cứng và phần mềm hoạt động dựa trên dựa trên việc phân tích các luồng dữ liệu đi qua hệ thống khi thông tin bí mật được phát hiện trong luồng này, một số cơ chế của hệ thống sẽ được kích hoạt và việc truyền thông tin sẽ bị chặn.
Hệ thống DLP được thiết kế để cung cấp khả năng kiểm soát việc tuyền thông tin bí mật ra bên ngoài tổ chức thông qua tất cả các kênh có sẵn, bao gồm cả USB. Vì vậy, kiểm soát quyền truy cập vào ổ USB là một trong những chức năng chính của DLP. Ngoài ra, các hệ thống DLP có khả năng kiểm soát các lỗ hổng khác của hệ thống thông tin. Tuy nhiên, bản thân các hệ thống DLP không đảm bảo tính bảo mật của máy tính. Do đó, để chúng hoạt động an toàn, cần phải cài đặt cùng một hệ thống bảo mật thông tin.
Vì vậy, việc sử dụng hệ thống DLP để kiểm soát quyền truy cập của người dùng vào ổ USB là hợp lý trong hai trường hợp. Thứ nhất, giá thành thực thi các hệ thống DLP rẻ hơn các hệ thống PUAA và việc sử dụng PUAA là không cần thiết. Thứ hai, các hệ thống DLP được sử dụng với mục đính tăng cường chức năng của hệ thống PUAA.
Việc sử dụng các công cụ mã hóa cho USB cũng giải quyết vấn đề kiểm soát quyền truy cập vào thông tin được lưu trữ trên đó. Nhược điểm chính của các giải pháp này là sự phức tạp của việc quản lý khóa mã. Trong trường hợp đơn giản nhất, các khóa được tính toán dựa trên mật khẩu của người dùng. Đồng thời, USB có thể được sử dụng bởi cùng một người dùng bên ngoài. Do đó cần có một hệ thống tạo và quản lý khóa mã chỉ hoạt động trong môi trường nhất định và không cho phép người dùng tạo khóa mã bên ngoài môi trường đó.
Tuy nhiên, việc quản lý công cụ mã hóa không phải là một vấn đề đơn giản mà cần một môi trường an toàn cho hoạt động của công cụ mã hóa, do đó có thể cần sử dụng đến các hệ thống PUAA. Ngoài ra, mã hóa USB hoàn toàn không cung cấp khả năng kiểm soát truy cập vào các giao diện khác.
Tất cả các giải pháp trên cho vấn đề USB đều thực hiện nhiệm vụ kiểm soát quyền truy cập vào USB một chiều từ các máy tính có quyền truy cập vào USB đó.
Bên cạnh đó, cần giải quyết một nhiệm vụ quan trọng hơn là từ chối quyền truy cập vào thông tin được ghi trên USB từ tất cả các máy tính khác, tức là việc ăn cắp và mất USB vẫn còn nguy hiểm.
Tất cả các phương pháp bảo vệ thông tin trên USB được coi là ngầm định trước đây đều bắt nguồn từ thực tế rằng phương tiện này là phương tiện lưu trữ thông tin thụ động, như đĩa mềm, CD, DVD. Thực chất, các USB chứa bộ điều khiển có thể lập trình cung cấp quyền truy cập vào bộ nhớ flash bên trong, do đó vấn đề bảo vệ thông tin được ghi bên ngoài phạm vi được kiểm soát sẽ được giải quyết đơn giản: cần tạo một ổ USB với hệ thống an ninh tích hợp hoạt động trên bộ điều khiển này.
Hiện nay, trên thị trường có một số sản phẩm được sản xuất bằng công nghệ này. Trong số đó có: iStorage datAshur PRO USB, Kingston DataTraveler Vault Privacy; Aegis Secure Key, IronKey S200, Eaget FU5, LockHeed Martin IronClad,... Dưới đây là đặc trưng kỹ thuật của một số dòng thiết bị USB này.
- Bảo mật phần cứng XTS-AES 256 bít FIPS 140-2 Level 3;
- Sử dụng công nghệ chống mở vỏ;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng phím bấm trên thiết bị;
- Tích hợp tính năng bảo vệ chống virus ESET NOD32® có khả năng ngay lập tức phát hiện nguy hiểm và hiển thị cảnh báo, không cần cài đặt, bản quyền 5 năm;
- Cung cấp khả năng điều chỉnh cấu hình một số tính năng kỹ thuật thông qua SafeConsonle;
- Bảo mật phần cứng XTS-AES 256 bít FIPS -197;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng;
- Bảo mật phần cứng XTS-AES 256;
- Xác thực: Công nghệ vân tay, đảm bảo khả năng lưu trữ 08 mẫu vân tay nhận dạng từng mẫu trong thời gian 0.3 giây;
Xu hướng phát triển các thiết bị USB có mã hóa ngày càng được hoàn thiện và phát triển cả về tốc độ, dung lượng cứng như tính an ninh, an toàn, bảo mật. Tuy nhiên chúng có môt số điểm chung:
Thứ nhất, sử dụng nền tảng mã hóa phần cứng để mã hóa phân vùng lưu trữ flash.
Thứ hai, tham gia vào quá trình mã hóa khi chúng được lưu trữ trong các bộ nhớ Non-Volatile Memory (bộ nhớ không bay hơi) dạng flash bên trong USB.
Thứ ba, thực thi tính năng hạn chế truy cập thông tin trong bộ nhớ flash trong bằng mật khẩu hoặc xác thực sinh trắc học người dùng.
Ngoài ra, một số thiết bị USB mã hóa được tích hợp tính năng chống mở vỏ, xóa thông tin khi phát hiện có nỗ lực xâm nhập vật lý trái phép và ghi nhật ký cần thiết cho hệ thống bảo mật thông tin.
Bài viết phân tích các giải pháp đảm bảo an toàn, bảo mật cho các thiết bị lưu trữ chuẩn USB dựa trên nền tảng hạn chế quyền truy cập và mã hóa và hân tích nhược điểm của các giải pháp đảm bảo an toàn dựa trên nền tảng hạn chế quyền truy cập, cũng như tính ưu việt của giải pháp mã hóa và xu hướng phát triển của các thiết bị USB mã hóa. Đây là một trong các biện pháp hiệu quả để khiến USB trở lên an toàn hơn, nhưng vẫn không hạn chế được các nguy cơ mất an toàn khi sử dụng bên ngoài khu vực được cho phép trên các hệ thống thông tin có khả năng lây nhiễm virus, mã độc. Phần II của bài báo sẽ đề xuất giải pháp nâng cao tính an toàn, khác phục các hạn chế của các USB mã hóa dựa trên công nghệ xác thực đa nhân tố giữa phần mềm thực thi độc lập được cài đặt trên máy tính và module phần cứng, phần mềm của thiết bị USB.
TÀI LIỆU THAM KHẢO 1. Madison, Alex, (2016-07-09) “Keychain Not Included: The Five Highest-Capacity USB Flash Drives for Your Digital Life”. Digital Trends. 2. Athow, Desire, (2016-07-04) “The best USB flash drives 2016”. Tech Radar. 3. Dave (Jing) Tian, Nolen Scaife, Deepak Kumary, Michael Baileyy, Adam Batesy, Kevin R. B. Butle, (052019), “SoK: “Plug & Pray” Today – Understanding USB Insecurity in Versions 1 through C. |
Trần Văn Khánh, Nguyễn Thành Vinh, Đào Thanh Long
10:00 | 04/07/2019
17:00 | 20/06/2022
10:00 | 08/07/2020
09:00 | 02/04/2024
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
16:00 | 14/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
09:00 | 13/04/2023
Đám mây lai (Hybird - cloud) là sự kết hợp giữa các nền tảng điện toán đám mây, bao gồm một hay nhiều nhà cung cấp dịch vụ đám mây công cộng (ví dụ như Amazon hay Google) với một nền tảng đám mây nội bộ được thiết kế riêng cho một tổ chức hoặc một cơ sở hạ tầng IT của tư nhân. Đám mây công cộng và đám mây nội bộ hoạt động độc lập với nhau và giao tiếp thông qua kết nối được mã hóa để truyền tải dữ liệu và ứng dụng.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024