Giới thiệu
Khi tôi đang ở Mỹ vào năm 2016, tôi đã đọc một bài báo về thiết bị chặn bắt nhận dạng thuê bao di động quốc tế (IMSI-catcher), đặc biệt về một thiết bị có tên Stingray trên Tạp chí Bloomberg. Vì những tính năng nổi trội, mà người ta cũng dùng cái tên Stingray để mô tả cho những thiết bị loại này. Tuy nhiên, thời điểm đó tôi không được tiếp cận với nguồn thông tin rộng khắp. Nhưng đó lại là nguyên nhân thôi thúc tôi chia sẻ kiến thức của mình để góp phần nhỏ trong việc nâng cao kiến thức cộng đồng.
IMSI-catcher là một thiết bị có thể chặn bắt tin nhắn, cuộc gọi, theo dõi vị trí và chiếm quyền điều khiển phiên dữ liệu. Thiết bị này khiến người dùng lo sợ về rò rỉ thông tin cá nhân khi trở thành mục tiêu của tội phạm mạng. Những mối lo ngại này sẽ ngày càng gia tăng khi mọi thứ được kết nối với nhau bởi khi chúng ta đang sống trong kỷ nguyên kết nối vạn vật (Internet of Things - IoT). Đặc biệt, mạng 5G sẽ sớm trở nên phổ biến và dễ tồn tại nguy cơ bị khai thác do sự trộn lẫn, hỗn tạp của các công nghệ cũ. Bên cạnh đó, IoT ẩn chứa rất nhiều lỗ hổng, vì nó được tạo ra bằng cách kết nối hàng chục tỷ thiết bị thông minh.
Trong một email mà tôi đã gửi tới Công ty an ninh mạng Positive Technologies, tôi đã yêu cầu và được đội ngũ của họ gửi một báo cáo về các vấn đề bảo mật của mạng 5G. Tôi rất ngạc nhiên khi đọc được rằng: “Các mạng viễn thông thay đổi rất chậm. Quá trình chuyển đổi sang một công nghệ mới thường trải qua nhiều giai đoạn và mất nhiều năm. Do đó, mạng 5G sẽ được sử dụng song song với mạng 4G, thậm chí cả mạng 3G và 2G trong một thời gian dài. Chúng ta cũng phải lưu ý rằng tốc độ chuyển đổi từ 4G sang 5G của các nhà cung cấp mạng và các quốc gia là khác nhau. Mạng 5G sẽ dựa trên lõi của mạng 4G, vì vậy cũng sẽ kế thừa các lỗ hổng của mạng 4G.
Một trong các mối đe dọa là tấn công đa giao thức (cross-protocol attacks), khi tin tặc khai thác các lỗ hổng trong nhiều giao thức cùng một lúc. Một cuộc tấn công có thể bắt đầu bằng việc khai thác các lỗ hổng của mạng 4G hoặc thậm chí là 3G. Thông tin có được sau đó sẽ được sử dụng để tấn công trên mạng 5G. Ví dụ, kẻ tấn công có thể lấy được danh tính thuê bao di động quốc tế (International mobile subscriber identity - IMSI) của người dùng bằng cách khai thác lỗ hổng trong mạng 3G. Nếu IMSI của người dùng bị lộ, kẻ tấn công có thể thực hiện các cuộc tấn công tinh vi hơn bao gồm theo dõi vị trí, nghe lén cuộc gọi, tin nhắn văn bản và chiếm quyền điều khiển phiên dữ liệu. Trong một thử nghiệm gần đây, các lỗ hổng như vậy đã được tìm thấy trên 74% các mạng được thử nghiệm”.
Với công nghệ mới của mạng 5G, chắc chắn 5G sẽ an toàn hơn 2G trong việc bảo vệ quyền riêng tư, mã hóa và xác thực. Mặc dù vậy, một khẳng định quan trọng của báo cáo cho rằng “Không may, các nhà cung cấp mạng thường rất ít hoặc không nghĩ đến vấn đề bảo mật khi xây dựng mạng trong quá trình thử nghiệm và thậm chí là trong quá trình triển khai. Các chính sách bảo mật chỉ được áp dụng một khi mạng đã được đưa vào sử dụng và có các thuê bao trả phí. Cách làm như vậy có thể giúp việc triển khai mạng được nhanh hơn và có thể tiết kiệm chi phí ban đầu, nhưng về lâu dài sẽ gây ra những vấn đề lớn về tài chính, vì các nhà cung cấp mạng buộc phải mua thêm những thiết bị không có trong ngân sách ban đầu của họ. Do không có sự chuẩn bị kỹ lưỡng, nên các giải pháp mới thường kém tương thích với kiến trúc mạng hiện có. Trong những trường hợp như vậy, việc đáp ứng đầy đủ các yêu cầu bảo mật trở nên bất khả thi”. Bởi cốt lõi của việc kinh doanh là tạo ra giá trị kinh tế.
Mật khẩu dùng một lần (One Time Password - OTP) qua tin nhắn hoàn toàn có thể nằm trong tay tin tặc. Đặc biệt là khi thiết bị IMSI-catcher có thể dễ dàng mua trực tuyến hoặc tự thiết kế với phần cứng chi phí thấp và có sẵn. Do đó, tội phạm mạng có thể dễ dàng tấn công các mạng viễn thông cũ như 2G và 3G.
Một sự thật đáng sợ khác là có rất nhiều trang web đen quảng cáo về dịch vụ nghe lén cuộc gọi, tin nhắn. Trong quá trình tìm hiểu, tôi đã tìm thấy ít nhất có 3 trang web đang cung cấp dịch vụ này.
Stingray, IMSI-catcher và mạng 4G/5G đều có liên quan đến vấn đề xác thực đa nhân tố (Multi - factor authentication - MFA). Song song, không chỉ riêng vấn đề bảo mật của mạng 4G hay 5G, mà về các vấn đề bảo mật khác cũng đang thu hút sự quan tâm của giới chuyên môn.
Tháng 10/2020, một người dùng tại Việt Nam bị mất tiền trong tài khoản Vietcombank mà không nhận được bất kỳ tin nhắn OTP nào. Một trường hợp khác là một người dùng bị mất tài khoản Facebook do sử dụng một mật khẩu dễ đoán. Một trong những người bạn của tôi - một kỹ sư phần mềm đã bị mất tài khoản Gmail. Anh cho rằng mình là nạn nhân của một cuộc tấn công Stingray theo dõi điện thoại. Ai sẽ là nạn nhân tiếp theo? Đó có thể là bất kỳ ai, kể cả bản thân tôi.
Đó là lý do mà, việc nâng cao nhận thức về bảo mật điện thoại thông minh và các công nghệ của nó trở nên quan trọng, không chỉ cho khách hàng mà còn cho doanh nghiệp. Nó sẽ cảnh báo người dùng nhận ra rằng, đã đến lúc phải trang bị cho mình những kiến thức cơ bản về an ninh mạng. Bởi an ninh mạng là sự hợp tác giữa ba bên: người dân, doanh nghiệp và chính phủ. Tất cả các bên phải làm việc cùng nhau để khiến mọi thứ an toàn hơn.
Hình 3. Mô hình phối hợp an ninh mạng hoàn hảo
Những điều cần biết
Tôi biết về MFA khi còn là một tin tặc. Thời điểm đó, một số nền tảng trực tuyến đã sử dụng MFA như một cách để bảo vệ khách hàng của họ. Năm 2012, ngân hàng Đông Á có cấp thẻ ngân hàng cho tôi, mỗi khi tôi đăng nhập vào tài khoản ngân hàng sẽ yêu cầu tôi nhập chính xác các số dựa trên thẻ ngân hàng. Nhưng ngày nay, tôi tin rằng chúng ta cần nhiều cách hơn để bảo vệ các tài khoản trực tuyến, vì mọi thứ sẽ được kết nối thông qua nhà thông minh, thành phố thông minh. Chính vì vậy, người dùng sẽ đối diện với nhiều mối đe dọa trực tuyến hơn.
May mắn rằng MFA đã được tích hợp rộng rãi vào hầu hết các nền tảng trực tuyến lớn như Facebook, Gmail, Twitter, hệ thống ngân hàng trực tuyến... để giúp tăng cường bảo mật cho tài khoản của người dùng. Có một số MFA phổ biến như câu hỏi bảo mật, mã PIN, cụm mật khẩu bảo mật, thẻ ngân hàng, OTP qua tin nhắn văn bản/thoại, phần mềm xác thực), thông báo đẩy, sinh trắc học (vân tay, nhận dạng khuôn mặt, giọng nói, nhận dạng mống mắt, quét võng mạc, động lực học gõ phím (keystroke dynamics), nhận dạng chữ ký) và khóa cứng bảo mật. Tuy nhiên, mỗi phương pháp xác thực đều có điểm mạnh và điểm yếu riêng, chúng cũng có thể kết hợp với nhau để tăng cường bảo mật.
Hình 4. Bảng so sánh các hình thức xác thực đa nhân tố
Việc bổ sung tính năng MFA như phần mềm xác thực có thể là một điều rắc rối. Vì người dùng sẽ cần thực hiện thêm một bước nữa mới đăng nhập thành công vào các trang web yêu thích của mình. Nhưng nếu không có MFA, người dùng sẽ dễ dàng bị tấn công bởi tin tặc muốn đánh cắp thông tin nhận dạng cá nhân, truy cập tài khoản ngân hàng hoặc xâm nhập vào cổng thẻ tín dụng trực tuyến của họ. Câu hỏi đặt ra là: Tại sao người dùng phải sử dụng MFA?
Bởi nếu chỉ có mật khẩu mạnh thôi là chưa đủ. Tuy nhiên, liệu MFA có giúp người dùng bảo vệ Facebook, Gmail hoặc tiền một cách hoàn hảo không? Đối với phòng thủ mạng, liệu các phương pháp tốt nhất có tạo nên sự phòng thủ hoàn hảo không? Câu trả lời là không. Người dùng càng thiết lập nhiều lớp MFA cho các tài khoản trực tuyến của mình thì càng an toàn. Nó sẽ giúp người dùng tránh khỏi việc trở thành mục tiêu của một tin tặc không chuyên nghiệp.
Ngô Minh Hiếu (Hieupc)
09:00 | 28/05/2020
10:00 | 20/09/2019
15:00 | 24/10/2023
Google cho biết đang thử nghiệm tính năng “IP Protection” mới cho trình duyệt Chrome để nâng cao quyền riêng tư của người dùng bằng cách che giấu địa chỉ IP của họ bằng máy chủ proxy.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
14:00 | 02/08/2023
Ngày nay, nhiều tổ chức/doanh nghiệp (TC/DN) đã nhận thức được việc chuyển khối lượng công việc lên đám mây sẽ an toàn hơn là tại cơ sở. Phần lớn cho rằng nhà cung cấp dịch vụ đám mây (CSP) sẽ chịu trách nhiệm về bảo mật. Tuy nhiên, để có được điều này thì cần phải có các bước quan trọng để đảm bảo tính bảo mật của nó.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024