Bạn có hoàn toàn an toàn với xác thực đa yếu tố – phần 1



“Những gì bạn cho là an toàn hôm nay có thể sẽ không còn an toàn vào ngày mai” — eff.org

Giới thiệu

Vào năm 2016, khi tôi vẫn còn đang thụ án, tôi đã đọc một bài báo về IMSI-catcher (tạm dịch là công cụ tạo trạm phát sống di động giả), đặc biệt là về một thiết bị có tên Stingray trên tạp chí Bloomberg. Vì những tính năng nổi trội, người ta cũng dùng cái tên Stingray để mô tả những thiết bị loại này. Sau khi đọc được những bài báo đó, tôi đã cố gắng tìm kiếm thêm thông tin, nhưng do điều kiện hạn chế nên tôi chỉ viết một vài trang vào nhật ký của mình về các vấn đề liên quan đến quyền riêng tư của con người. Bây giờ, tôi nghĩ đã là thời điểm phù hợp để tôi viết một bài chia sẻ về việc nâng cao ý thức bảo mật cho những người có giới hạn về kiến ​​thức an ninh mạng.

Hinh 1. Tấn công bằng phần cứng IMSI-catcher

Về cơ bản, IMSI-catcher là một thiết bị có thể chặn tin nhắn, cuộc gọi, theo dõi vị trí và chiếm quyền điều khiển phiên dữ liệu. Nghe có vẻ đáng sợ đúng không? Đúng vậy, nó khiến chúng ta lo sợ về việc trở thành mục tiêu của tin tặc, tội phạm mạng hoặc một nhóm gián điệp. Tôi tin rằng nó sẽ trở nên đáng sợ hơn vì mọi thứ ngày càng được kết nối với nhau khi mà chúng ta đang sống trong kỷ nguyên IoT (Internet of Things). Đặc biệt là mạng 5G mới sẽ sớm trở nên “phổ biến”, và bạn nên biết rằng mạng 4G/5G có thể dễ bị khai thác do sự ‘trộn lẫn/hỗn tạp’ của các công nghệ cũ. Bên cạnh đó, cái mà chúng ta gọi là IoT (Internet of Things) sẽ có rất nhiều lỗ hổng vì IoT được tạo ra bằng cách gắn hàng chục tỷ thiết bị thông minh vào mạng 5G.

“Lỗ hổng lớn nhất dẫn đến việc bị tấn công vẫn là yếu tố con người. Đó là bạn! Hãy bắt đầu đọc hướng dẫn này ngay bây giờ để trang bị cho mình những kiến thức cơ bản về an ninh mạng.”

Trong một email mà tôi đã gửi tới Positive Technologies, một công ty an ninh mạng, tôi đã yêu cầu và được đội ngũ của họ gửi một báo cáo về các vấn đề bảo mật của mạng 5G. Tôi rất ngạc nhiên khi đọc được rằng:

“Các mạng viễn thông thay đổi rất chậm. Quá trình chuyển đổi sang một công nghệ mới thường có rất nhiều giai đoạn và mất nhiều năm. Do đó trong một thời gian dài, mạng 5G sẽ được sử dụng song song với mạng 4G, thậm chí cả mạng 3G và 2G. Chúng ta cũng phải lưu ý rằng các nhà cung cấp mạng và các quốc gia khác nhau sẽ chuyển từ 4G sang 5G với tốc độ khác nhau. Mạng 5G sẽ dựa trên lõi của mạng 4G, vì vậy cũng sẽ thừa hưởng các lỗ hổng của mạng 4G. Một trong các mối đe dọa là cross-protocol attacks (tạm dịch: tấn công đa giao thức), khi tin tặc khai thác các lỗ hổng trong nhiều giao thức cùng một lúc. Một cuộc tấn công thông thường có thể bắt đầu bằng việc khai thác các lỗ hổng của mạng 4G hoặc thậm chí là 3G, sau khi có được kết quả, kẻ tấn công sẽ sử dụng những kết quả đó trên mạng 5G. Ví dụ: kẻ tấn công có thể lấy IMSI (Danh tính thuê bao di động quốc tế) của người dùng bằng cách khai thác lỗ hổng trong mạng 3G và một khi IMSI của người dùng bị lộ, kẻ tấn công có thể thực hiện các cuộc tấn công tinh vi hơn bao gồm theo dõi vị trí, nghe lén cuộc gọi, tin nhắn văn bản, và chiếm quyền điều khiển phiên dữ liệu. Trong một thử nghiệm gần đây, các lỗ hổng như vậy đã được tìm thấy trên 74% các mạng được thử nghiệm.”

Với công nghệ mới của mạng 5G, chắc chắn là 5G sẽ an toàn hơn 2G khi nói đến những thứ như quyền riêng tư, mã hóa và xác thực. Mặc dù vậy, trong một tuyên bố quan trọng khác, báo cáo đề cập rằng “thật không may, các nhà cung cấp mạng thường rất ít hoặc không nghĩ đến vấn đề bảo mật khi xây dựng mạng trong quá trình thử nghiệm và thậm chí là trong quá trình triển khai. Các chính sách bảo mật chỉ được áp dụng một khi mạng đã được đưa vào sử dụng và có các thuê bao trả phí. Cách làm như vậy có thể giúp việc triển khai mạng được nhanh hơn và có thể tiết kiệm được một số tiền lúc đầu. Nhưng về lâu dài sẽ gây ra những rắc rối lớn về tài chính vì các nhà cung cấp mạng buộc phải mua thêm những thiết bị không có trong ngân sách ban đầu của họ. Và vì không có sự chuẩn bị kỹ lưỡng, nên các giải pháp mới thường kém tương thích với kiến trúc mạng hiện có. Trong những trường hợp như vậy, việc đáp ứng đầy đủ các yêu cầu bảo mật có thể trở nên gần như không thể.” Bỡi vì cuối cùng thì cốt lõi của việc kinh doanh thường vẫn là tiền.

Khi đọc đến đây thì bạn chắc cũng biết mã OTP (mật khẩu dùng một lần) qua tin nhắn đã nằm trong tay tin tặc, phải không? Đặc biệt là khi thiết bị IMSI-catcher (công cụ tạo trạm phát sống di động giả) có thể mua online hoặc có thể tự làm với phần cứng rẻ tiền và phần mềm khai thác lỗ hổng của những mạng viễn thông cũ như 2G và 3G có sẵn để download và hacker chỉ có một chiếc máy tính xách tay nữa là đủ.

“Hiện nay, không chỉ riêng mạng 4G hoặc 5G mang lại rắc rối về bảo mật cho bạn, mà bạn cũng nên lo ngại đến các vấn đề bảo mật khác sẽ được tiết lộ trong các báo cáo sau đây.”

Một sự thật phũ phàng là có rất nhiều dark web quảng cáo về dịch vụ nghe lén cuộc gọi/tin nhắn. Trong quá trình tìm hiểu của tôi, tôi thấy ít nhất có 3 dark-webs đang cung cấp dịch vụ này.

Hinh 2. Ba trang web ngầm bán dịch vụ hack SMS/Call.



Tại sao tôi lại đề cập đến Stingray, IMSI-catcher và mạng 4G / 5G? Bởi vì nó có liên quan một chút đến chủ đề MFA này — nó sẽ giúp bạn hiểu được tầm quan trọng của các chính sách bảo mật của nhà cung cấp mạng di động (MNO) của bạn. Đã đến lúc các bạn nên suy nghĩ về cách để bảo vệ mình khỏi tin tặc, tội phạm mạng hoặc các nhóm gián điệp. Cùng với đó là các vấn đề liên quan khác và giải pháp cho sự an toàn của bạn trong giai đoạn Mạng-lưới-vạn-vật-kết-nối-Internet (IoT). Hiện nay, không chỉ riêng mạng 4G hoặc 5G mang lại rắc rối về bảo mật cho bạn, mà bạn cũng nên lo ngại đến các vấn đề bảo mật khác sẽ được tiết lộ sau đây.

Thêm nữa, cách đây không lâu, có tin một người đàn ông Việt Nam bị mất tiền trong tài khoản Vietcombank — anh ta nói rằng anh ta không nhận được bất kỳ tin nhắn OTP nào. Trường hợp khác là một người trong gia đình tôi bị mất tài khoản Facebook — cô ấy nói rằng cô ấy đã sử dụng một mật khẩu dễ đoán. Và trường hợp tiếp theo mà tôi biết là một trong những người bạn của tôi, một kỹ sư phần mềm, đã bị mất một trong các tài khoản Gmail của mình — anh ta tin rằng anh ta là nạn nhân của một cuộc tấn công Stingray nhằm theo dõi điện thoại của mình. Ai sẽ là nạn nhân tiếp theo? Đó có thể là bất kỳ ai, kể cả bản thân tôi.

Đó là lý do mà nâng cao nhận thức về an ninh mạng xung quanh điện thoại thông minh và các công nghệ của nó trở thành trọng tâm chính của thời điểm hiện nay — không chỉ cho phía khách hàng mà còn cho phía doanh nghiệp. Nó sẽ thức tỉnh bạn và bạn sẽ nhận ra rằng đã đến lúc phải trang bị cho mình những kiến thức cơ bản về an ninh mạng. An ninh mạng là sự hợp tác giữa ba bên: người dân — doanh nghiệp — chính phủ — tất cả các bên phải làm việc cùng nhau để làm cho mọi thứ an toàn hơn.

Hinh 3. Mô hình an ninh mạng hỗ trợ hoàn hảo.

Những điều cần biết

Tôi biết về Xác thực đa yếu tố (MFA) khi tôi còn là một hacker và tội phạm mạng, trong những ngày đó, một số nền tảng trực tuyến đã sử dụng MFA như một cách để bảo vệ khách hàng của họ. Năm 2012, tôi nhớ ngân hàng Đông Á có cấp thẻ ngân hàng cho tôi, mỗi khi tôi đăng nhập vào tài khoản ngân hàng, nó yêu cầu tôi nhập chính xác các số dựa trên thẻ ngân hàng. Ngày nay, tôi tin rằng chúng ta cần nhiều cách hơn để bảo vệ các tài khoản trực tuyến — vì mọi thứ sẽ được kết nối thông qua nhà thông minh, thành phố thông minh và chính vì vậy mà bạn sẽ có nhiều mối đe dọa trực tuyến hơn.

“MFA có giúp bạn bảo vệ Facebook, Gmail hoặc tiền của bạn một cách hoàn hảo không? Có một câu nói cũ rằng “Có công mài sắt có ngày nên kim.” Đối với phòng thủ mạng, liệu các phương pháp tốt nhất có tạo nên sự phòng thủ hoàn hảo không? Dĩ nhiên là không!”

Thật may mắn khi mà MFA đã được tích hợp rộng rãi vào hầu hết các nền tảng trực tuyến lớn như Facebook, Gmail, Twitter, hệ thống ngân hàng trực tuyến, v.v. — để giúp tăng cường bảo mật cho tài khoản của người dùng. Có một số MFA phổ biến như câu hỏi bảo mật, mã PIN, cụm mật khẩu bảo mật, thẻ ngân hàng, OTP (“mật khẩu một lần” qua tin nhắn văn bản / hộp thư thoại, phần mềm xác thực), thông báo đẩy, sinh trắc học (vân tay, nhận dạng khuôn mặt, giọng nói, nhận dạng mống mắt, quét võng mạc, keystroke dynamics, nhận dạng chữ ký) và khóa bảo mật phần cứng. Tuy nhiên, mỗi phương pháp xác thực đều có điểm mạnh và điểm yếu riêng, chúng cũng có thể kết hợp với nhau để tăng cường bảo mật.

Sẽ có nhiều bạn cho rằng việc thêm một MFA như phần mềm xác thực thì thật là rắc rối. Vì bạn sẽ cần thực hiện thêm một bước nữa để đăng nhập vào các trang web yêu thích của mình. Nghe có vẻ giống như bạn phải mặc một chiếc áo khoác, thay vì chỉ cần mặc một chiếc áo phông. Nhưng nếu không có MFA, bạn có thể dễ dàng bị tấn công bởi những tin tặc muốn đánh cắp thông tin nhận dạng cá nhân, truy cập tài khoản ngân hàng của bạn hoặc xâm nhập vào cổng thẻ tín dụng trực tuyến của bạn. Tuy nhiên, khi bạn sử dụng MFA, bạn sẽ thêm một lớp bảo vệ chống lại tin tặc. Câu hỏi đặt ra là: Tại sao bạn phải sử dụng MFA?

Hình 4. Bản so sánh xác thực đa yếu tố.

Vì nếu chỉ có mật khẩu mạnh thôi là chưa đủ, đó là lý do tại sao cần xác thực đa yếu tố (MFA). Tuy nhiên, liệu MFA có giúp bạn bảo vệ Facebook, Gmail hoặc tiền của bạn một cách hoàn hảo? Có một câu nói cũ rằng “Có công mài sắt có ngày nên kim.” Đối với phòng thủ mạng, liệu các phương pháp hay nhất có tạo nên sự phòng thủ hoàn hảo không? Dĩ nhiên là không! Công bằng mà nói, bạn càng thiết lập nhiều lớp MFA cho các tài khoản trực tuyến của mình thì bạn càng an toàn — nó sẽ giúp bạn tránh khỏi việc trở thành mục tiêu của một tin tặc không chuyên nghiệp.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật