Ngay khi mới xuất hiện, USB đã trở thành một vấn đề nghiêm trọng đối với bảo mật thông tin. Hệ thống tin sử dụng các thiết bị lưu trữ USB có khả năng đứng trước các nguy cơ về bảo mật, tính toàn vẹn của thông tin, bị áp đặt các thông tin sai lệch và nhiễm các phần mềm độc hại.
Một phương pháp điển hình để bảo vệ thông tin khỏi các kiểu tấn công khác nhau là hạn chế quyền truy cập vào nó. Điều tương tự cũng được thực hiện đối với thông tin được lưu trữ trong USB. Một số tổ chức thực hiện các biện pháp quyết liệt như loại bỏ hoặc niêm phong các đầu nối USB. Đây là một trong những giải pháp hiệu quả, tuy nhiên có một số điểm hạn chế không khó để nhận ra. Thứ nhất, các cổng kết nối chuẩn USB là cần thiết đối với các thiết bị ngoại vi như chuột, bàn phím, máy in, máy scan hay webcam. Thứ hai, việc loại bỏ hay niêm phong các cổng kết nối chuẩn USB sẽ gặp phải những khó khăn trong các công việc liên quan đến thông tin, đặc biệt trong thời đại số, đến từ thói quen, tâm lý sử dụng cũng như tính tiện dụng, phổ biến của các thiết bị lưu trữ chuẩn giao tiếp USB.
Hệ thống PUAA là tổ hợp phần mềm và/hoặc công cụ phần cứng ngăn chặn các nỗ lực truy cập trái phép.
Hệ thống bảo vệ thông tin, chống truy cập trái phép cho phép kiểm soát quyền truy cập của hệ thống và các thiết bị ngoại vi được kết nối với nó, trong đó có USB. Tuy nhiên, các chức năng kiểm soát quyền truy cập từ bên ngoài không phải là mục đích chính của công cụ này, do đó chức năng này kém hơn so với các hệ thống ngăn chặn thất thoát dữ liệu (Data Loss Prevention - DLP).
Hệ thống DLP là hệ thống phần cứng và phần mềm hoạt động dựa trên dựa trên việc phân tích các luồng dữ liệu đi qua hệ thống khi thông tin bí mật được phát hiện trong luồng này, một số cơ chế của hệ thống sẽ được kích hoạt và việc truyền thông tin sẽ bị chặn.
Hệ thống DLP được thiết kế để cung cấp khả năng kiểm soát việc tuyền thông tin bí mật ra bên ngoài tổ chức thông qua tất cả các kênh có sẵn, bao gồm cả USB. Vì vậy, kiểm soát quyền truy cập vào ổ USB là một trong những chức năng chính của DLP. Ngoài ra, các hệ thống DLP có khả năng kiểm soát các lỗ hổng khác của hệ thống thông tin. Tuy nhiên, bản thân các hệ thống DLP không đảm bảo tính bảo mật của máy tính. Do đó, để chúng hoạt động an toàn, cần phải cài đặt cùng một hệ thống bảo mật thông tin.
Vì vậy, việc sử dụng hệ thống DLP để kiểm soát quyền truy cập của người dùng vào ổ USB là hợp lý trong hai trường hợp. Thứ nhất, giá thành thực thi các hệ thống DLP rẻ hơn các hệ thống PUAA và việc sử dụng PUAA là không cần thiết. Thứ hai, các hệ thống DLP được sử dụng với mục đính tăng cường chức năng của hệ thống PUAA.
Việc sử dụng các công cụ mã hóa cho USB cũng giải quyết vấn đề kiểm soát quyền truy cập vào thông tin được lưu trữ trên đó. Nhược điểm chính của các giải pháp này là sự phức tạp của việc quản lý khóa mã. Trong trường hợp đơn giản nhất, các khóa được tính toán dựa trên mật khẩu của người dùng. Đồng thời, USB có thể được sử dụng bởi cùng một người dùng bên ngoài. Do đó cần có một hệ thống tạo và quản lý khóa mã chỉ hoạt động trong môi trường nhất định và không cho phép người dùng tạo khóa mã bên ngoài môi trường đó.
Tuy nhiên, việc quản lý công cụ mã hóa không phải là một vấn đề đơn giản mà cần một môi trường an toàn cho hoạt động của công cụ mã hóa, do đó có thể cần sử dụng đến các hệ thống PUAA. Ngoài ra, mã hóa USB hoàn toàn không cung cấp khả năng kiểm soát truy cập vào các giao diện khác.
Tất cả các giải pháp trên cho vấn đề USB đều thực hiện nhiệm vụ kiểm soát quyền truy cập vào USB một chiều từ các máy tính có quyền truy cập vào USB đó.
Bên cạnh đó, cần giải quyết một nhiệm vụ quan trọng hơn là từ chối quyền truy cập vào thông tin được ghi trên USB từ tất cả các máy tính khác, tức là việc ăn cắp và mất USB vẫn còn nguy hiểm.
Tất cả các phương pháp bảo vệ thông tin trên USB được coi là ngầm định trước đây đều bắt nguồn từ thực tế rằng phương tiện này là phương tiện lưu trữ thông tin thụ động, như đĩa mềm, CD, DVD. Thực chất, các USB chứa bộ điều khiển có thể lập trình cung cấp quyền truy cập vào bộ nhớ flash bên trong, do đó vấn đề bảo vệ thông tin được ghi bên ngoài phạm vi được kiểm soát sẽ được giải quyết đơn giản: cần tạo một ổ USB với hệ thống an ninh tích hợp hoạt động trên bộ điều khiển này.
Hiện nay, trên thị trường có một số sản phẩm được sản xuất bằng công nghệ này. Trong số đó có: iStorage datAshur PRO USB, Kingston DataTraveler Vault Privacy; Aegis Secure Key, IronKey S200, Eaget FU5, LockHeed Martin IronClad,... Dưới đây là đặc trưng kỹ thuật của một số dòng thiết bị USB này.
- Bảo mật phần cứng XTS-AES 256 bít FIPS 140-2 Level 3;
- Sử dụng công nghệ chống mở vỏ;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng phím bấm trên thiết bị;
- Tích hợp tính năng bảo vệ chống virus ESET NOD32® có khả năng ngay lập tức phát hiện nguy hiểm và hiển thị cảnh báo, không cần cài đặt, bản quyền 5 năm;
- Cung cấp khả năng điều chỉnh cấu hình một số tính năng kỹ thuật thông qua SafeConsonle;
- Bảo mật phần cứng XTS-AES 256 bít FIPS -197;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng;
- Bảo mật phần cứng XTS-AES 256;
- Xác thực: Công nghệ vân tay, đảm bảo khả năng lưu trữ 08 mẫu vân tay nhận dạng từng mẫu trong thời gian 0.3 giây;
Xu hướng phát triển các thiết bị USB có mã hóa ngày càng được hoàn thiện và phát triển cả về tốc độ, dung lượng cứng như tính an ninh, an toàn, bảo mật. Tuy nhiên chúng có môt số điểm chung:
Thứ nhất, sử dụng nền tảng mã hóa phần cứng để mã hóa phân vùng lưu trữ flash.
Thứ hai, tham gia vào quá trình mã hóa khi chúng được lưu trữ trong các bộ nhớ Non-Volatile Memory (bộ nhớ không bay hơi) dạng flash bên trong USB.
Thứ ba, thực thi tính năng hạn chế truy cập thông tin trong bộ nhớ flash trong bằng mật khẩu hoặc xác thực sinh trắc học người dùng.
Ngoài ra, một số thiết bị USB mã hóa được tích hợp tính năng chống mở vỏ, xóa thông tin khi phát hiện có nỗ lực xâm nhập vật lý trái phép và ghi nhật ký cần thiết cho hệ thống bảo mật thông tin.
Bài viết phân tích các giải pháp đảm bảo an toàn, bảo mật cho các thiết bị lưu trữ chuẩn USB dựa trên nền tảng hạn chế quyền truy cập và mã hóa và hân tích nhược điểm của các giải pháp đảm bảo an toàn dựa trên nền tảng hạn chế quyền truy cập, cũng như tính ưu việt của giải pháp mã hóa và xu hướng phát triển của các thiết bị USB mã hóa. Đây là một trong các biện pháp hiệu quả để khiến USB trở lên an toàn hơn, nhưng vẫn không hạn chế được các nguy cơ mất an toàn khi sử dụng bên ngoài khu vực được cho phép trên các hệ thống thông tin có khả năng lây nhiễm virus, mã độc. Phần II của bài báo sẽ đề xuất giải pháp nâng cao tính an toàn, khác phục các hạn chế của các USB mã hóa dựa trên công nghệ xác thực đa nhân tố giữa phần mềm thực thi độc lập được cài đặt trên máy tính và module phần cứng, phần mềm của thiết bị USB.
TÀI LIỆU THAM KHẢO 1. Madison, Alex, (2016-07-09) “Keychain Not Included: The Five Highest-Capacity USB Flash Drives for Your Digital Life”. Digital Trends. 2. Athow, Desire, (2016-07-04) “The best USB flash drives 2016”. Tech Radar. 3. Dave (Jing) Tian, Nolen Scaife, Deepak Kumary, Michael Baileyy, Adam Batesy, Kevin R. B. Butle, (052019), “SoK: “Plug & Pray” Today – Understanding USB Insecurity in Versions 1 through C. |
Trần Văn Khánh, Nguyễn Thành Vinh, Đào Thanh Long
10:00 | 04/07/2019
17:00 | 20/06/2022
10:00 | 08/07/2020
09:00 | 02/04/2024
17:00 | 03/01/2025
Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Tiếp nối phần I đã trình bày trong số trước, phần II của bài viết nhóm tác giả sẽ tiếp tục giới thiệu tới độc giả một số kỹ năng cần thiết cho các tổ chức để ngăn ngừa và giảm thiểu tác động của các cuộc tấn công ransomware.
10:00 | 16/08/2024
Trong những năm gần đây, công nghệ Deepfake đã trở nên ngày càng phổ biến hơn, cho phép tạo ra các video thực đến mức chúng ta khó có thể phân biệt với các video quay thực tế. Tuy nhiên, công nghệ này đã bị các tác nhân đe dọa lợi dụng để tạo ra những nội dung giả mạo, hoán đổi khuôn mặt nhằm mục đích lừa đảo, gây ảnh hưởng tiêu cực đến xã hội. Do đó, việc phát triển các công cụ phát hiện Deepfake mang tính cấp bách hơn bao giờ hết. Bài viết này sẽ giới thiệu tổng quan về một số kỹ thuật và công cụ phát hiện Deepfake hiệu quả.
09:00 | 25/07/2024
Thế vận hội Olympics – một sự kiện thể thao lớn nhất trong năm 2024 sẽ được bắt đầu vào ngày 27/7 tại Paris, Pháp. Đây sẽ là thời điểm tội phạm mạng tìm kiếm cơ hội tấn công nhắm vào các tổ chức, cá nhân với động cơ trực tiếp là tài chính thông qua các hình thức như lừa đảo, gian lận kỹ thuật số hoặc thu thập dữ liệu có giá trị từ người tham dự, người xem và nhà tài trợ.
15:00 | 19/02/2024
SoftEther là phần mềm xây dựng mạng riêng ảo (Virtual Private Network - VPN ) cho phép hoạt động ở lớp 2 trong mô hình OSI (lớp liên kết dữ liệu). SoftEther tích hợp nhiều giao thức VPN mà có thể hoạt động ở các lớp khác nhau, trong đó có giao thức SE-VPN hoạt động ở lớp 2. Bài viết này giới thiệu về giải pháp máy chủ VPN tích hợp SoftEther, cũng như trình bày về cách xử lý, đóng gói gói tin của giao thức SE-VPN được sử dụng trong máy chủ SoftEther.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong kỷ nguyên số hóa, việc ứng dụng các công nghệ hiện đại đóng vai trò rất quan trọng trong bảo vệ dữ liệu, hệ thống máy tính, ngăn chặn chúng khỏi sự tấn công hoặc truy cập trái phép. Blockchain và trí tuệ nhân tạo (AI) là hai trong số những công nghệ mạnh mẽ đã được ứng dụng và phát huy hiệu quả trong nhiều lĩnh vực của đời sống. Với những ưu thế vượt trội của từng công nghệ, việc kết hợp AI và Blockchain có thể đem lại nhiều giải pháp hiệu quả nhằm đảm bảo an ninh mạng (ANM), an toàn thông tin (ATTT). Bài viết sẽ giới thiệu về ứng dụng của công nghệ AI và Blockchain trong bảo đảm ANM, ATTT cũng như phân tích khả năng tích hợp hai công nghệ này trong phát hiện, ngăn chặn các mối đe dọa hiện nay.
10:00 | 06/02/2025