Thứ Năm, 7 tháng 11, 2013

Hội nghị Black Hat và Def Con 2013: Những phát hiện mới về lỗ hổng bảo mật

Từ 27/7/2013, hàng nghìn hacker máy tính sẽ đến Las Vegas để tham dự Hội nghị thường niên Black Hat và Def Con, hai sự kiện về bảo mật và an toàn thông tin nổi tiếng trên toàn cầu. Tại đây, những người tham dự sẽ giới thiệu những phát hiện mới liên quan tới các lỗ hổng an toàn thông tin của mình. Một số lỗ hổng về an toàn đã được tiết lộ tại Black Hat và Def Con các năm trước như hack iPhone trong một phút thông qua sạc pin giả, truy cập vào hệ thống camera giám sát của ngân hàng, nhà tù, cơ sở quân sự với
Năm nay, hai sự kiện này dự kiến sẽ  giới thiệu một số khả năng mà hacker có thể sử dụng để can thiệp vào cuộc sống của người dùng thiết bị công nghệ thông tin - viễn thông.
1. Tìm ra những tin nhắn tự hủy
Ứng dụng Facebook Poke có khả năng gửi tin nhắn, hình ảnh, video đến một hoặc nhiều bạn bè. Thông điệp từ Poke sẽ hiển thị cho người nhận xem trong vòng 10 giây rồi tự biến mất. Snapchat, Wickr là những ứng dụng có tính năng tương tự, cũng gửi tin nhắn rồi tự hủy tin đó. Người dùng nghĩ rằng các ứng dụng này rất an toàn vì nó chẳng lưu lại gì, nhưng thực tế thì không phải như vậy. Hai chuyên gia thử nghiệm kỹ thuật số Drea London và Kyle O'Meara sẽ trình bày cách thức đọc lại những tin nhắn tưởng chừng đã bị xóa. Bằng cách xem xét bộ nhớ trong của điện thoại, kiểm tra dữ liệu được gửi cũng như ping vào máy chủ của ứng dụng, hai chuyên gia này đã biết cách lấy các tin nhắn từ Poke, Snapchat, Wickr trước, trong và sau khi người dùng đã gửi tin.
2.  Theo dõi qua Camera thể thao GoPro

Máy quay GoPro thường được sử dụng cho các chuyến đi vì khả năng kết nối Internet và các phần mềm cài sẵn hữu ích. Hai nhà nghiên cứu bảo mật Todd Manning và Zach Lanier đã tìm ra nhiều cách để biến chiếc GoPro của của người dùng thành một thiết bị có thể bị điều khiển từ xa để theo dõi giọng nói. Vấn đề này sẽ trở nên nghiêm trọng trong trường hợp sử dụng GoPro để ghi hình những hoạt động cần phải bảo mật. 
3. Hack và tạo mô hình 3D của chìa khóa cửa
Ổ khóa Wi-Fi, hay ổ khóa thông minh có thể bị hack, nên nhiều người vẫn sử dụng ổ khóa truyền thống. Thế nhưng việc đó cũng không phải là an toàn bởi vì một nhóm hacker có thể tạo ra mô hình 3D của bất kì chiếc chìa khóa nào được sản xuất bởi Schlage Primus, một hãng chuyên cung cấp ổ khóa có độ an toàn cao ở Mỹ. Nhóm hacker chỉ cần có số series của ổ khóa, và khi đã có mô hình thì họ sẽ đi in 3D và tạo ra những chiếc chìa khóa giả.
Ngoài ra, một nhóm chuyên gia bảo mật khác cũng kiếm ra cách "mở, vượt qua hoặc giải mã" một ổ khóa thông dụng chỉ trong vài giây. 

4. Nghe trộm cuộc gọi trên điện thoại di động 
Hai năm trước, giới hacker đã có thể nghe trộm các cuộc gọi trên điện thoại di động trên mạng GSM chỉ bằng thiết bị có giá dưới 1500 USD. Giờ đây, một nhóm ba chuyên gia về  bảo mật đã tìm ra cách làm tương tự với điện thoại sử dụng mạng CDMA, và giá để mua thiết bị phục vụ cho việc hack này chỉ là 300 USD hoặc thấp hơn.
Họ sẽ sử dụng một chiếc hộp và điện thoại của người dùng sẽ tự kết nối vào đây khi gửi hay nhận cuộc gọi, tin nhắn, email, duyệt web. Hacker xem được tất cả dữ liệu đi qua đây. Chiếc hộp này thực chất là một chiếc femtocell, một trạm phát sóng nhỏ đặt trong hộ gia đình để giúp tăng tín hiệu và khả năng phủ sóng của mạng di động. Khi nằm trong tầm hoạt động của femtocell, điện thoại sẽ tự định tuyến dữ liệu đi qua chiếc hộp này mà không thông báo đến người dùng.

5. Máy tính theo dõi chuyển động
Brendan O’Connor, một chuyên gia bảo mật, đã tạo nên một hệ thống (trị giá 60 USD). bao gồm nhiều cảm biến gắn xung quanh một khu vực hoặc quanh thành phố, Hệ thống này có thể theo dõi gần như mọi thứ, từ điện thoại, máy tính bảng, PC. Tín hiệu tương ứng sẽ được gửi về cơ sở dữ liệu trung tâm trong quá trình theo dõi và sau đó nó sẽ được ánh xạ lên một bản đồ. Hiện nay mỗi người ra đường đều mang ít nhất một thiết bị di động, do đó hệ thống nói trên có thể theo dõi khi chúng ta di chuyển.
6. Dừng hoạt động của nhà máy điện
Mạng không dây thường được dùng để điều khiển các nhà máy điện, và thực chất thì nó đã có mặt trong các nhà máy điện hạt nhân, nhiệt điện, thủy điện. Hai hacker mới đây đã phát hiện ra một lỗ hổng bảo mật trong hệ thống thiết bị được sản xuất bởi ba hãng tự động hóa không dây hàng đầu trên thế giới. Khi khai thác thành công lỗ hổng, hacker ác ý sẽ được quyền đọc và ghi dữ liệu vào những thiết bị nói trên trong khoảng cách 64km chỉ bằng một bộ thu nhận sóng radio.
Một khi đã truy cập được vào hệ thống điều khiển thiết bị, hacker có thể gây sai lệch kết quả đo của các cảm biến, ghi đè dữ liệu trái phép. Hành động này sẽ dẫn đến việc nhà máy chạy không hết công suất, điện thế có thể bị tăng mạnh bất chợt, còn dầu để chạy máy phát thì có thể bị trộn sai tỷ lệ. Bên cạnh đó, hacker cũng có thể vô hiệu hóa mạng không dây và cho cả nhà máy ngừng hoạt động.
Kiểu tấn công này có thể để lại hậu quả cực kỳ nghiêm trọng, tùy theo chức năng và quy mô của nhà máy

7. Đột nhập vào ngôi nhà thông minh 
Hãy bắt đầu với những chiếc Smart TV: hacker có thể truy cập vào những chiếc TV thông minh này để lấy cắp thông tin cá nhân, cài virus, chiếm quyền điều khiển webcam và micro trong khi người dùng không hề biết gì. Hacker cũng có thể can thiệp vào bộ điều nhiệt trong nhà hoặc chương trình đóng, mở cửa tự động. Như vậy, thiết bị gia dụng thông minh đang ngày càng cung cấp nhiều tiện ích nhưng kèm theo đó cũng là các nguy cơ bảo mật rất lớn.

8. Điều khiển máy trợ tim 
Năm 2006, chỉ tính riêng ở Mỹ, khoảng 350.000 máy trợ tim và 173.000 bộ khử rung được cấy vào người các bệnh nhân, và các thiết bị y tế này có kết nối không dây. Hacker nổi tiếng Barnaby Jack dự định sẽ trình diễn việc truy cập và chiếm quyền điều khiển những thiết bị y tế này, riêng với máy trợ tim thì anh có thể ra lệnh cho chúng tăng xung điện hoặc dừng hoạt động ở khoảng cách 9m. 
Phiên thuyết trình của Jack ở Black Hat vẫn được giữ nguyên và người ta sẽ dùng khoảng thời gian đó để tưởng niệm những công trình nghiên cứu rất có ích của anh. Trước đó anh cũng là người tìm ra cách khiến máy ATM “nhả” tiền mặt ra ngoài mà không cần dùng đến bất kỳ tài khoản ngân hàng nào. Jack cũng đã phát hiện ra lỗi cho phép hack máy bơm insulin và có thể gây hại cho bệnh nhân từ xa.

9. Chiếm quyền điều khiển ô tô  khi xe đang chạy
Việc hack xe ô tô đã và đang trở thành một xu hướng của giới hacker trong năm nay. Những chuyên gia bảo mật có thể “đột nhập” vào xe của người dùng và điều khiển nó từ xa, có thể tinh chỉnh lại thông số trên panel trước tay lái. Hơn nữa, hacker có thể vô hiệu hóa hệ thống phanh xe, điều khiển bánh lái trái phép, tăng tốc độ hoặc làm sai lệch chỉ số báo xăng.

Việt Anh (Theo The Verge)

Không có nhận xét nào:

Đăng nhận xét