Trang chủ » » News » Smart home & IoT

Smart home & IoT

Tại sao Chính phủ Nhật Bản quyết định hack các thiết bị IoT của người dân?

Các chuyên gia đã gióng lên hồi chuông cảnh báo trong nhiều năm, với rất ít tiến bộ. Vì vậy, trong tháng này, Nhật Bản sẽ thực hiện bước đi triệt để là hack công dân của chính mình để cố gắng cảnh báo họ về những rủi ro do các thiết bị hỗ trợ internet của họ gây ra.
Tại sao Chính phủ Nhật Bản quyết định hack các thiết bị IoT của người dân?
(CNN) - Trẻ em chơi trong phòng tập thể dục trường trung học ở Indonesia; một người đàn ông chuẩn bị đi ngủ trong một căn hộ ở Moscow; một gia đình người Úc đến và đi từ nhà để xe của họ; và một người phụ nữ cho mèo ăn ở Nhật Bản.

Tất cả những thứ này được phát trực tuyến trên internet vào thứ Sáu tới bất kỳ ai biết địa chỉ chính xác, thông qua các camera có ít hoặc không có bảo mật, chủ sở hữu có thể không nhận ra họ đang phát sóng trực tuyến mỗi giây.

Sự gia tăng của "internet of thing" (IOT) - một thuật ngữ mơ hồ bao trùm bất cứ thứ gì kết nối với internet mà bạn thường không mong đợi - đã tràn ngập các hộ gia đình và doanh nghiệp trên toàn thế giới với các thiết bị bảo mật kém có thể truy cập trực tuyến, từ webcam và máy in đến tủ lạnh và loa "thông minh".

Các chuyên gia đã gióng lên hồi chuông cảnh báo trong nhiều năm, với rất ít tiến bộ. Vì vậy, trong tháng này, Nhật Bản sẽ thực hiện bước đi triệt để là hack công dân của chính mình để cố gắng cảnh báo họ về những rủi ro do các thiết bị hỗ trợ internet của họ gây ra.

 

Khi chính phủ quyết định trở thành Hacker

Bắt đầu từ ngày 20 tháng 2, các quan chức Nhật Bản sẽ bắt đầu thăm dò 200 triệu địa chỉ IP được liên kết với quốc gia này, đánh hơi các thiết bị có bảo mật kém hoặc ít.

Một đạo luật đã được thông qua vào năm ngoái để cho phép hack hàng loạt, như là một phần của sự chuẩn bị an ninh trước Thế vận hội Tokyo 2020.

Theo Bộ Nội vụ và Truyền thông (MIAC), hai phần ba các cuộc tấn công mạng tại Nhật Bản trong năm 2016 nhắm vào các thiết bị IOT. Các quan chức lo ngại một số loại tấn công liên quan đến IOT có thể được sử dụng để nhắm mục tiêu hoặc phá vỡ Thế vận hội.
Ngoài việc kiểm tra máy chủ nào không có bảo mật, nhóm Nhật Bản cũng sẽ kiểm tra 100 kết hợp tên người dùng và mật khẩu phổ biến, chẳng hạn như "admin / admin" hoặc "1234", MIAC cho biết trong một tuyên bố.

Michael Gazeley, giám đốc công ty bảo mật Network Box có trụ sở tại Hồng Kông, cảnh báo rằng trong khi ý định của thử nghiệm là tốt, nó có thể gây phản tác dụng cho người dùng, bằng cách tạo ra một vectơ tấn công dễ dàng cho tin tặc.

"Công chúng nói chung sẽ phải hết sức cảnh giác", ông nói. "Thật dễ dàng để gửi cho ai đó (mọi người) một email lừa đảo, tự xưng là từ chính phủ, nói rằng 'Các thiết bị IOT của bạn đã thất bại trong thử nghiệm của chúng tôi, vui lòng nhấp vào liên kết này để được cập nhật', dẫn đến một số lượng lớn thành công hack? "

 

Vấn đề toàn cầu

Trong khi Nhật Bản có thể cảnh giác cao hơn các quốc gia khác do Thế vận hội đang đến gần, vấn đề mà chính phủ của họ đang cố gắng giải quyết là vấn đề toàn cầu.

Công ty nghiên cứu Gartner ước tính sẽ có 20,4 tỷ thiết bị IOT trực tuyến vào năm 2020, tăng từ khoảng 11 tỷ vào năm 2018.

Mọi thứ, từ bóng đèn đến người cho chim ăn ngày càng có kết nối không dây, và nhiều thiết bị có thể được truy cập từ bất cứ đâu qua internet, bởi vì nếu chúng ta không thể bật đèn năm phút trước khi về nhà, chúng ta còn sống trong tương lai chứ?

Tuy nhiên, nhiều trong số các thiết bị này có rất ít hoặc không có bảo mật, đặc biệt là ở phần dưới của phổ giá.

"Vấn đề là không có động cơ tiền tệ cho các công ty đầu tư vào các biện pháp an ninh mạng cần thiết để giữ an toàn cho sản phẩm của họ", Bruce Schneier, chuyên gia bảo mật và tác giả của Click Here để giết mọi người: Bảo mật và sống còn trong một thế giới siêu kết nối , đã viết cho CNN năm ngoái.

"Người tiêu dùng sẽ mua sản phẩm mà không có các tính năng bảo mật thích hợp, không biết rằng thông tin của họ dễ bị tổn thương. Và luật trách nhiệm hiện hành khiến các công ty khó có thể chịu trách nhiệm về bảo mật phần mềm kém chất lượng."

Các thiết bị không an toàn đặt ra một loạt các mối đe dọa. Rõ ràng nhất, và có lẽ đáng báo động nhất, là sự riêng tư. Sử dụng Shodan, một công cụ tìm kiếm cho các thiết bị IOT, CNN đã truy cập vào nhiều nguồn cấp dữ liệu camera đang được phát trực tuyến.

Nguồn cấp dữ liệu căn hộ ở Moscow cho thấy một người đàn ông mở một chiếc ghế dài có thể gập ra và cởi quần áo để đi ngủ, dường như không biết anh ta có thể được xem qua camera qua phòng. Tại ngôi nhà ở Perth, máy chủ webcam chứa các bản ghi âm trị giá hàng tuần, cho thấy sự đến và đi hàng ngày của gia đình.

Tại một địa chỉ IP khác, dường như thuộc về một gia đình, CNN có thể truy cập bộ định tuyến internet bằng cách sử dụng kết hợp tên người dùng và mật khẩu mặc định, nhìn thấy tất cả các thiết bị được kết nối với nó, cũng như mật khẩu Wi-Fi.

Nếu có ai muốn, họ có thể đặt lại bộ định tuyến và khóa mọi người hoặc cố gắng gạch thiết bị bằng cách cài đặt bản cập nhật bị lỗi. Các chủ sở hữu có thể sẽ không bao giờ nhận ra họ đang bị tấn công qua internet.

Nhưng nguy cơ thực sự của các thiết bị IOT không an toàn không phải là chúng sẽ được sử dụng để tấn công chủ sở hữu của chúng, mà là chúng sẽ được đồng ý cho các cuộc tấn công trực tuyến lớn, như đã xảy ra vào năm 2016.
 

Hệ thống mạng sụp đổ

Trong nhiều năm, tin tặc đã sử dụng cái gọi là "botnet" - bộ sưu tập các thiết bị bị xâm nhập - để gửi email spam, đánh cắp dữ liệu và thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Các cuộc tấn công DDoS được sử dụng để buộc các trang web ngoại tuyến bằng cách tràn ngập lưu lượng truy cập và áp đảo các máy chủ của họ bằng các yêu cầu. Theo truyền thống, các botnet DDoS được tạo thành từ hàng trăm máy tính bị xâm nhập - tin tặc sẽ chạy các tập lệnh trong nền để tải trang web mục tiêu nhiều lần mà không có kiến ​​thức của chủ sở hữu thiết bị.

Xây dựng một mạng lưới lớn các máy tính bị hack có thể khó khăn, tuy nhiên, vì hệ điều hành, email và bảo mật người dùng nói chung được cải thiện. Khi so sánh, các thiết bị IOT, có ít hoặc không có bảo mật và chủ sở hữu thậm chí có thể không nhận ra thiết bị của mình có khả năng làm gì, là mục tiêu hoàn hảo.

Vào cuối năm 2016, botnet Mirai đã phát động cuộc tấn công DDoS lớn nhất từ ​​trước đến nay, sử dụng mạng lưới khoảng 600.000 thiết bị IOT bị hack. Cuộc tấn công đã thành công trong việc đánh sập một phần lớn internet của Hoa Kỳ ngoại tuyến, bao gồm Netflix và Twitter.

Schneier và những người khác đã cảnh báo về các cuộc tấn công trong tương lai theo mô hình này, khi các thiết bị IOT ngày càng lan rộng và kêu gọi pháp luật buộc các nhà sản xuất phải cải thiện an ninh.

Tuy nhiên, với các nhà sản xuất và chuỗi cung ứng trải rộng trên toàn thế giới, điều này có thể chứng minh nói dễ hơn làm. Nếu bất cứ điều gì, Gazeley nói, một số nhà sản xuất thiết bị dường như đang đi theo hướng ngược lại.

"Ngày càng có nhiều (thiết bị) được tạo ra mà không có cách nào để cập nhật chương trình cơ sở và cũng không có cách nào để thay đổi cài đặt tài khoản hoặc mật khẩu mặc định", ông nói.

"Internet của mọi thứ đã nhanh chóng trở thành lỗ hổng của mọi thứ. Nếu có sự lựa chọn giữa sự tiện lợi và an ninh, thì đó thường là sự tiện lợi chiến thắng; đặc biệt là trong thế giới điện tử tiêu dùng."

 
(Nguyễn Thảo Trường - http://DienElectric.com theo CNN)
BÀI VIẾT XEM NHIỀU