Thứ Bảy, 3 tháng 8, 2013

Một số vấn đề bảo mật mà các hacker sẽ trình bày tại hội nghị Black Hat và Def Con 2013

Hacker_DEf_Con_Black_Hat

Tuần này, hàng nghìn hacker máy tính sẽ đến Las Vegas để tham dự Black HatDef Con, hai sự kiện về bảo mậtan toàn thông tin nổi tiếng trên toàn cầu. Những người tham dự thường sẽ tiết lộ những phát hiện mới của hình tại hai hội nghị này, giới báo chí cũng theo dõi sát sao để biết được những thứ nào tưởng chừng như an toàn lại có thể bất chợt quay ra "tấn công" người dùng. Một số thứ đã được tiết lộ tại Black Hat và Def Con các năm trước có thể kể như việc hack iPhone trong một phút thông qua cục sạc giả, truy cập vào hệ thống camera giám sát của ngân hàng, nhà tù, cơ sở quân sự với chỉ những thao tác "đơn giản", hay như việc hack máy ATM để nó nhả tiền ra mà không cần đến tài khoản ngân hàng. Còn trong năm nay thì sao?

Hacker có thể tìm ra những tin nhắn tự hủy của bạn

Ứng dụng Facebook Poke có khả năng gửi tin nhắn, hình ảnh, video đến một hoặc nhiều bạn bè. Thông điệp từ Poke sẽ hiển thị cho người nhận xem trong vòng 10 giây rồi tự biến mất. Snapchat, Wickr là những app có tính năng tương tự, cũng gửi tin nhắn rồi tự hủy tin đó. Chúng ta ngỡ rằng các app này rất an toàn vì nó chẳng lưu lại gì, nhưng thực tế thì không phải như vậy. Hai chuyên gia khám nghiệm kĩ thuật số Drea London và Kyle O'Meara sẽ lên sân khấu tại Def Con 2013 để nói về cách thức đọc lại những tin nhắn tưởng chừng đã bị xóa. Bằng cách xem xét bộ nhớ trong của điện thoại, kiểm tra dữ liệu được gửi cũng như ping vào máy chủ của ứng dụng, hai chuyên gia này đã biết cách lấy các tin nhắn từ Poke, Snapchat, Wickr trước, trong và sau khi người dùng đã gửi tin.

Camera thể thao GoPro có thể bị biến thành camera theo dõi


Camera_GoPro

Hãy tưởng tượng ra một cảnh như sau: bạn gắn camera GoPro lên nón của mình để chuẩn bị cho một chuyến đi phượt bằng xe máy với bạn bè. Chiếc máy quay này tiện ghê, vừa ghi hình đẹp, vừa nhỏ gọn linh hoạt, lại vừa có Wi-Fi tích hợp. Thế nhưng cũng có khả năng là ai đó đang lắng nghe từng lời mà bạn nói ra thông qua kết nối không dây của máy. Hai nhà nghiên cứu bảo mật Todd Manning và Zach Lanier đã tìm ra không chỉ một mà nhiều cách để biến chiếc GoPro của bạn thành một thiết bị theo dõi giọng nói, họ cũng có thể điều khiển nó từ xa. Vấn đề này sẽ trở nên nghiêm trọng trong trường hợp những người lính sử dụng GoPro để ghi hình chiến dịch quân sự của họ, như đoạn video này chẳng hạn.

Sử dụng máy tính để hack và tạo mô hình 3D của chìa khóa cửa


O_khoa_cua

Ổ khóa Wi-Fi, hay ổ khóa thông minh là mồi ngon của hacker xấu, chuyện này ai cũng đoán được., thế nên nhiều người vẫn còn sử dụng ổ khóa truyền thống. Thế nhưng đây cũng không phải là điều an toàn bởi vì một nhóm hacker có thể tạo ra mô hình 3D của bất kì chiếc chìa khóa nào được sản xuất bởi Schlage Primus, một công ty chuyên về ổ khóa bảo mật cao của Mỹ. Tất cả những gì nhóm hacker cần đó là số series của ổ khóa, và khi đã có mô hình thì họ sẽ đi in 3D, và thế là chiếc chìa khóa ra đời.

Ngoài ra, một nhóm chuyên gia bảo mật khác cũng kiếm ra cách "mở, vượt qua hoặc giải mã" một ổ khóa thông dụng chỉ trong vài giây. Họ chờ đến Def Con mới công bố thêm chi tiết về việc này.

Bạn có thể bị nghe trộm cuộc gọi trên điện thoại di động chỉ với thiết bị giá 250$


Tram_di _dong

Hai năm trước, giới hacker đã biết cách lắng nghe cuộc gọi trên điện thoại di động chạy trên mạng GSM chỉ bằng thiết bị có giá dưới 1500$. Giờ đây, một nhóm ba cố vấn bảo mật đã tìm ra cách làm tương tự với điện thoại chạy mạng CDMA, và giá để mua thiết bị phục vụ cho việc hack này chỉ là 300$ hoặc thấp hơn.

Trên trang web Black Hat, nhóm chuyên gia này tiết lộ: "Tôi có một chiếc hộp trên bàn và điện thoại của bạn sẽ tự kết nối vào đây khi bạn gửi hay nhận cuộc gọi, tin nhắn, email, duyệt web. Tôi sở hữu chiếc hộp này. Tôi xem được tất cả dữ liệu đi qua nó và bạn thậm chí còn không biết là bạn đang kết nối với tôi". Chiếc hộp này thực chất là một chiếc femtocell, một trạm phát sóng nhỏ đặt trong hộ gia đình để giúp tăng tín hiệu và khả năng phủ sóng của mạng di động. Chiếc hộp này có giá chỉ chừng 250$, một số công ty điện thoại còn tặng không cho khách hàng của mình. Khi nằm trong tầm hoạt động của femtocell, điện thoại sẽ tự định tuyến dữ liệu đi qua chiếc hộp này mà không thông báo đến người dùng.

Những chiếc máy tính nhỏ xíu đang ghi lại từng bước chân của bạn


Brendan O’Connor, một chuyên gia bảo mật, đã tạo nên một hệ thống trị giá 60$ bao gồm nhiều cảm biến gắn xung quanh một khu vực hoặc quanh thành phố. Hệ thống này có thể theo dõi gần như mọi thứ, từ điện thoại, máy tính bảng, PC. Tín hiệu tương ứng sẽ được gửi về cơ sở dữ liệu trung tâm trong quá trình theo dõi và sau đó nó sẽ được ánh xạ lên một bản đồ. Hiện nay mỗi người ra đường đều mang ít nhất một thiết bị di động, do đó hệ thống nói trên có thể theo dõi từng đường đi nước bước của chúng ta. Nghe y như phim hành động vậy. Được biết nhiều dự án của Brendan O’Connor đã từng được tài trợ bởi Cơ quan Nghiên cứu Các dự án Quốc phòng (DARPA) thuộc chính phủ Mỹ.

Hacker có thể cho dừng hoạt động cả một nhà máy điện


Nha_may_dein_hat_nhan

Mạng không dây thường được dùng để điều khiển các nhà máy điện, và thực chất thì nó đã có mặt trong các nhà máy điện hạt nhân, nhiệt điện, thủy điện. Hai hacker mới đây đã phát hiện ra một lỗ hổng bảo mật trong hệ thống thiết bị được sản xuất bởi ba hãng tự động hóa không dây hàng đầu trên thế giới. Khi khai thác thành công lỗ hổng, hacker có ý đồ xấu sẽ được quyền đọc và ghi dữ liệu vào những thiết bị nói trên trong khoảng cách 64km chỉ bằng một bộ thu nhận sóng radio.

Một khi đã truy cập được vào hệ thống điều khiển thiết bị, hacker có thể gây sai lệch kết quả đo của các cảm biến, ghi đè dữ liệu trái phép. Hành động này sẽ dẫn đến việc nhà máy chạy không hết công suất, điện thế có thể bị tăng mạnh bất chợt, còn dầu để chạy máy phát thì có thể bị trộn sai tỉ lệ. Bên cạnh đó, hacker cũng có thể đơn giản là vô hiệu hóa mạng không dây và cho cả nhà máy ngừng hoạt động. Kiểu tấn công này có thể để lại hậu quả cực kì nghiêm trọng, tùy theo kích cỡ và quy mô của nhà máy. Nghe thật kinh khủng cách bạn nhỉ? Cứ như phim Live Free and Die Hard.

Hacker có thể đột nhập vào ngôi nhà thông minh của bạn


Den_LED_Gunilamp_tinhte_9

Hãy bắt đầu với những chiếc Smart TV: hacker có thể truy cập vào những chiếc TV thông minh này để lấy cắp thông tin cá nhân, cài virus, chiếm quyền điều khiển webcam và micro trong khi bạn vẫn đang ngồi ăn bắp và xem phim với bạn gái mà không hề biết gì. Còn nếu cảm thấy bỗng nhiên không gian trở nên nóng bất chợt, có thể bộ điều nhiệt trong nhà đã bị hacker chỉnh lại rồi. Trong trường hợp đèn nhấp nháy liên tục, cửa tự động bỗng dưng mở giống như phim ma thì cũng có thể hacker đã can thiệp vào nhà của bạn rồi. Trên đây chỉ là một số ví dụ nhỏ cho thấy rằng những thiết bị gia dụng thông minh đang ngày càng cung cấp nhiều tiện ích nhưng đi kèm theo đó cũng là các nguy cơ bảo mật rất lớn.

Bạn có thể bị giật chết bởi chính máy trợ tim của mình


May_tro_tim

Năm 2006, chỉ tính riêng ở Mỹ, khoảng 350.000 máy trợ tim và 173.000 bộ khử rung được cấy vào người các bệnh nhân. Đây cũng là năm mà Cục quản lí Thuộc và Thực phẩm Hoa Kì bắt đầu chấp thuận các thiết bị y tế có kết nối không dây. Hacker nổi tiếng Barnaby Jack dự định sẽ trình diễn việc truy cập và chiếm quyền điều khiển những thiết bị y tế này, riêng với máy trợ tim thì anh có thể ra lệnh cho chúng tăng xung điện hoặc dừng hoạt động để đưa bệnh nhân vào cõi vĩnh hằng. Việc hack này có thể tiến hành ở khoảng cách 9m. Đáng buồn là Jack đã bất thình lình qua đời hồi tuần trước, tuy nhiên phát hiện của anh cũng vẫn làm cho mọi người phải khiếp sợ.

Phiên thuyết trình của Jack ở Black Hat vẫn được giữ nguyên và người ta sẽ dùng khoảng thời gian đó để tưởng niệm những công trình nghiên cứu rất có ích của anh. Trước đó anh cũng là người tìm ra cách khiến máy ATM phun tiền mặt ra ngoài mà không cần dùng đến bất kì tài khoản ngân hàng nào. Jack cũng đã phát hiện ra lỗi cho phép hack máy bơm insulin và "ám sát" một bệnh nhân từ xa.

Hacker có thể điều khiển xe của bạn ngay khi bạn đang lái nó


xe_o_to

Việc hack xe ô tô đã và đang trở thành một xu hướng của giới hacker trong năm nay. Những chuyên gia bảo mật có thể đột nhập vào xe của bạn và điều khiển nó từ xa, họ cũng biết cách tinh chỉnh lại thông số trên panel trước tay lái. Lại thêm một số tình huống "như phim" xuất hiện ở đây: hacker có thể vô hiệu hóa thắng xe, điều khiển bánh lái trái phép, tốc độ bỗng nhiên tăng lên, hoặc bình xăng rỗng như màn hình vẫn hiển thị là đầy bình. Charlie Miller, một chuyên gia bảo mật đến từ Twitter, cùng với Chris Valasek, giám đốc bảo mật của công ty IOActive, mới đây đã trình diễn việc hack nói trên cho tạp chí Forbes xem. Bốn nhóm khác cũng sẽ demo những điều tương tự tại Def Con.

Trên đây chỉ là một vài thứ sẽ diễn ra tại Black Hat và Def Con 2013. Chúng ta hãy chờ xem còn điều bất ngờ nào xuất hiện nữa.