Chương 12 INTERNET CỦA GIÁM SÁT
Vài năm trước đây, không ai quan tâm đến bộ điều nhiệt trong nhà. Đó là loại điều nhiệt đơn giản hoạt động thủ công, giúp duy trì nhiệt độ thoải mái cho ngôi nhà. Sau đó, nó được lập trình. Rồi một công ty tên là Nest quyết định rằng bạn nên có khả năng kiểm soát nó bằng một ứng dụng dựa trên nền tảng Internet. Bạn có thể cảm nhận được điều tôi sẽ nhắc đến, đúng không?
Trong một bài đánh giá sản phẩm với giọng đầy thù hằn về bộ điều nhiệt Wi-Fi Smart Touchscreen của Honeywell, một người tự gọi mình là General (Tướng) viết trên Amazon rằng người vợ cũ đã lấy ngôi nhà, con chó, và khoản tiền tiết kiệm khi về hưu, nhưng anh ta đã giữ lại được mật khẩu bộ điều nhiệt Honeywell. General nói khi người vợ cũ cùng bạn trai ra khỏi thị trấn, anh ta sẽ tăng nhiệt độ trong nhà lên, sau đó đưa trở về nhiệt độ bình thường trước khi họ quay lại. “Chỉ riêng việc nghĩ đến hóa đơn tiền điện của họ cũng khiến tôi mỉm cười.”
Các nhà nghiên cứu tại Hội nghị Bảo mật Black Hat tại Mỹ năm 2014 đã tiết lộ một số sơ hở trong phần mềm của bộ điều nhiệt Nest. Điều quan trọng cần lưu ý là nhiều sơ hở trong số này yêu cầu quyền truy cập vật lý vào thiết bị, nghĩa là có người sẽ phải vào trong nhà của bạn và cài đặt cổng USB trên bộ điều nhiệt. Daniel Buentello, một nhà nghiên cứu bảo mật độc lập, một trong bốn diễn giả đã nói về việc xâm nhập thiết bị này, nói: “Đây là một máy tính mà người dùng không thể cài phần mềm chống virus. Tệ hơn nữa, có một cánh cửa hậu bí mật mà kẻ xấu có thể sử dụng và ở đó mãi mãi. Nó cứ như là một con ruồi đậu trên tường vậy.”
Nhóm nghiên cứu trên công chiếu một video quay cảnh họ thay đổi giao diện bộ điều nhiệt Nest (họ làm cho nó trông giống như ống kính máy ảnh lặn HAL 9000) và tải lên nhiều tính năng mới khác. Điều thú vị là, họ không thể tắt tính năng báo cáo tự động trong thiết bị, vì vậy họ đành tự tạo công cụ riêng để làm điều đó. Công cụ này sẽ cắt luồng dữ liệu chảy ngược trở lại Google, công ty mẹ của Nest.
Nhận xét về bài thuyết trình trên, Zoz Cuccias của Nest sau đó đã nói với VentureBeat: “Tất cả các thiết bị phần cứng – từ máy tính xách tay đến điện thoại thông minh – đều dễ bị bẻ khóa; đây không phải là vấn đề của riêng ai. Đây là một cách bẻ khóa vật lý yêu cầu truy cập vật lý vào Nest Learning Thermostat. Nếu có người vào được trong nhà của bạn và được tự do, rất có thể họ sẽ cài đặt thiết bị riêng, hoặc lấy đồ trang sức. Việc bẻ khóa này không ảnh hưởng đến an ninh của máy chủ hoặc các kết nối với máy chủ, và theo những gì chúng tôi biết, chưa có thiết bị nào được truy cập và xâm nhập từ xa. Bảo mật khách hàng là rất quan trọng đối với chúng tôi và ưu tiên cao nhất của chúng tôi là lỗ hổng từ xa. Một trong những biện pháp phòng thủ tốt nhất của bạn là mua Dropcam Pro để có thể giám sát nhà của mình khi vắng nhà.”
Với sự ra đời của Internet Vạn Vật, các công ty như Google đang háo hức chiếm lĩnh từng khía cạnh trong đó để sở hữu các nền tảng mà các sản phẩm khác sẽ sử dụng. Nói cách khác, các công ty này muốn thiết bị do các công ty khác phát triển phải kết nối với dịch vụ của họ chứ không phải với dịch vụ của công ty khác. Google sở hữu cả Dropcam và Nest, nhưng họ muốn các thiết bị Internet Vạn Vật khác, chẳng hạn như bóng đèn thông minh và các thiết bị giám sát trẻ, kết nối với tài khoản Google của người dùng. Ưu điểm của điều này, ít nhất là với Google, là họ thu thập được nhiều dữ liệu thô hơn về thói quen cá nhân của bạn (và điều này áp dụng cho bất kỳ công ty lớn nào – Apple, Samsung, thậm chí cả Honeywell).
Khi nói về Internet Vạn Vật, chuyên gia bảo mật máy tính Bruce Schneier kết luận trong một cuộc phỏng vấn rằng: “Điều này rất giống với lĩnh vực máy tính trong những năm 1990. Không ai chú ý đến an ninh, không ai cập nhật, không ai biết bất cứ điều gì – tất cả đều thực sự, thực sự rất tệ và nó sẽ đổ sụp. Sẽ có những lỗ hổng, chúng sẽ bị kẻ xấu khai thác, và không có cách nào để vá chúng.”
Để chứng minh điều đó, mùa hè năm 2013, nhà báo Kashmir Hill đã tiến hành điều tra và tự thực hiện xâm nhập máy tính. Bằng cách sử dụng tìm kiếm của Google, cô tìm thấy một cụm từ đơn giản cho phép cô điều khiển một số thiết bị trung tâm (hub) Insteon cho nhà riêng. Hub là thiết bị trung tâm cung cấp quyền truy cập trực tiếp vào một ứng dụng di động hoặc Internet. Thông qua ứng dụng này, mọi người có thể kiểm soát ánh sáng trong phòng khách, khóa cửa ra vào, hoặc điều chỉnh nhiệt độ trong nhà. Thông qua Internet, chủ sở hữu có thể điều chỉnh những yếu tố này trong khi vắng nhà.
Như Hill đã chỉ ra, kẻ tấn công cũng có thể sử dụng Internet để liên lạc từ xa với hub. Để lấy bằng chứng, cô liên lạc với Thomas Hatley, một người lạ hoàn toàn, sống ở Oregon, và xin phép lấy nhà của anh để thử nghiệm.
Từ nhà cô ở San Francisco, Hill có thể bật và tắt đèn trong nhà Hatley cách đó 1.000km về phía bờ biển Thái Bình Dương. Cô cũng có thể điều khiển bồn tắm nước nóng, quạt, tivi, máy bơm nước, cửa garage, và máy quay video giám sát – nếu anh kết nối các thiết bị đó.
Vấn đề (hiện đã được khắc phục) là Insteon đã đưa tất cả các thông tin của Hatley lên Google. Tệ hơn, quyền truy cập thông tin này không được bảo vệ bằng mật khẩu vào thời điểm đó – bất kỳ ai gặp được thông tin này đều có thể kiểm soát bất kỳ hub Insteon nào tìm được trên mạng. Bộ định tuyến của Hatley có mật khẩu, nhưng có thể tránh dùng đến mật khẩu bằng cách tìm kiếm cổng được Insteon sử dụng – và Hill đã làm như vậy.
“Nhà của Thomas Hatley là một trong số tám nhà mà tôi đã truy cập được,” Hill viết. “Thông tin nhạy cảm đã được tiết lộ – không chỉ những ứng dụng và thiết bị mà mọi người có, mà còn cả múi giờ (cùng với đó là thành phố lớn gần nhất với nhà của họ), địa chỉ IP và thậm chí cả tên của một đứa trẻ; rõ ràng, các bậc cha mẹ muốn có thể cắm điện cho ti-vi từ xa. Trong ít nhất ba trường hợp, có đủ thông tin để tìm ra vị trí thực của các ngôi nhà trên Internet. Tên của hầu hết các hệ thống là chung chung, nhưng với một trong những trường hợp đó, dữ liệu bao gồm cả địa chỉ đường phố, giúp tôi có thể lần ra địa chỉ một ngôi nhà ở Connecticut.”
Cùng lúc đó, Nitesh Dhanjani, một nhà nghiên cứu bảo mật, cũng phát hiện một vấn đề tương tự. Dhanjani tập trung nghiên cứu hệ thống chiếu sáng Philips Hue, cho phép chủ sở hữu điều chỉnh màu sắc và độ sáng của bóng đèn từ thiết bị di động. Bóng đèn có phổ màu gồm 16 triệu màu.
Dhanjani thấy rằng chỉ cần chèn một tập lệnh đơn giản vào một máy tính ở nhà trên mạng của gia đình là đủ để gây ra một cuộc tấn công từ chối dịch vụ – DDoS – trên hệ thống chiếu sáng. Nói cách khác, anh có thể khiến bóng đèn Hue ở bất kỳ phòng nào tắt đi theo ý muốn. Nội dung tập lệnh anh viết là một mã đơn giản để khi người dùng khởi động lại bóng đèn, nó sẽ nhanh chóng tắt đi và sẽ tiếp tục tắt khi mã chương trình còn hoạt động.
Dhanjani nói rằng điều này có thể gây ra rắc rối nghiêm trọng cho một tòa nhà văn phòng hoặc chung cư. Mã chương trình sẽ làm cho tất cả các đèn không hoạt động được, và những người bị ảnh hưởng sẽ gọi cho sở điện địa phương chỉ để phát hiện ra rằng khu vực của họ không bị cúp điện.
Trong khi các thiết bị gia dụng tự động hóa có thể truy cập Internet có thể là mục tiêu trực tiếp của các cuộc tấn công DDoS, nhưng đồng thời chúng cũng có thể bị xâm nhập và tham gia vào một botnet – một đội quân các thiết bị bị nhiễm độc phụ thuộc vào một bộ điều khiển có thể được sử dụng để khởi động các cuộc tấn công DDoS chống lại các hệ thống khác trên Internet. Tháng 10 năm 2016, một công ty tên là Dyn, chuyên xử lý các dịch vụ cơ sở hạ tầng DNS cho các thương hiệu Internet lớn như Twitter, Reddit và Spotify, đã phải hứng chịu một cuộc tấn công nặng nề kiểu này. Hàng triệu người dùng ở miền đông của Mỹ không thể truy cập nhiều website lớn vì trình duyệt của họ không thể tiếp cận các dịch vụ DNS của Dyn.
Thủ phạm là một phần mềm độc hại gọi là Mirai, một chương trình độc hại sục sạo trên Internet để tìm kiếm các thiết bị Internet Vạn Vật không an toàn, như camera CCTV, bộ định tuyến, DVR, và thiết bị giám sát trẻ, để chiếm đoạt điều khiển và tận dụng cho các cuộc tấn công trong tương lai. Mirai cố gắng chiếm quyền kiểm soát thiết bị bằng cách đoán mật khẩu đơn giản. Nếu cuộc tấn công thành công, thiết bị sẽ được kết nối với một botnet trực sẵn ở đó. Giờ đây, với một dòng lệnh đơn giản, kẻ điều hành mạng botnet có thể chỉ dẫn mọi thiết bị – trong số đó có hàng trăm nghìn hoặc hàng triệu thiết bị – gửi dữ liệu đến một trang đích và đưa thông tin dồn dập vào để đánh sập trang đó.
Tuy không thể ngăn chặn hacker thực hiện các cuộc tấn công DDoS, bạn có thể trở thành vô hình trước các botnet của chúng. Mục đầu tiên khi triển khai thiết bị Internet Vạn Vật là thay đổi mật khẩu thành một thứ khó đoán. Nếu bạn đã triển khai một thiết bị, việc khởi động lại nó sẽ loại bỏ bất kỳ mã độc hại hiện có nào.
Các tập lệnh máy tính có thể ảnh hưởng đến các hệ thống nhà thông minh khác.
Nếu gia đình bạn có trẻ sơ sinh, bạn có thể sử dụng thiết bị giám sát trẻ. Thiết bị này, có thể là micro hoặc camera hoặc kết hợp cả hai, cho phép cha mẹ ra khỏi phòng nhưng vẫn theo dõi được trẻ. Thật không may, những thiết bị này cũng có thể mời gọi người khác theo dõi trẻ.
Thiết bị giám sát trẻ bằng kỹ thuật tương tự (analog) sử dụng tần số không dây trong dải tần 43-50 MHz. Những tần số này lần đầu tiên được sử dụng cho điện thoại không dây trong những năm 1990, và bất kỳ ai có máy quét vô tuyến giá rẻ đều có thể dễ dàng chặn các cuộc gọi không dây mà đối tượng không hay biết.
Thậm chí ngày nay, hacker có thể sử dụng một máy phân tích phổ để phát hiện tần số mà một thiết bị giám sát trẻ analog sử dụng, sau đó dùng các phương án phân giải mô hình hóa khác nhau để chuyển đổi tín hiệu điện thành âm thanh. Cũng có thể dùng một máy quét cảnh sát mua ở một cửa hàng điện tử. Đã có rất nhiều vụ án pháp lý trong đó những người hàng xóm sử dụng thiết bị giám sát trẻ của cùng một thương hiệu, đặt cho cùng một kênh để nghe lén lẫn nhau. Năm 2009, Wes Denkov ở Chicago đã kiện các nhà sản xuất thiết bị giám sát trẻ Summer Infant Day & Night, tuyên bố rằng hàng xóm của anh có thể nghe những cuộc trò chuyện riêng được thực hiện tại nhà anh.
Để khắc phục tình trạng trên, bạn có thể sử dụng thiết bị giám sát trẻ bằng phương pháp kỹ thuật số. Những loại này vẫn dễ bị nghe trộm, nhưng chúng có an ninh tốt hơn và nhiều tùy chọn cấu hình hơn. Ví dụ, bạn có thể cập nhật phần mềm của thiết bị giám sát (phần mềm trên chip) ngay sau khi mua. Ngoài ra, hãy nhớ thay đổi tên người dùng và mật khẩu mặc định.
Ở đây, một lần nữa, thiết kế của thiết bị có thể nằm ngoài tầm kiểm soát của bạn. Nitesh Dhanjani phát hiện ra rằng thiết bị giám sát trẻ không dây Belkin WeMo sử dụng mã thông báo token trong một ứng dụng mà sau khi được cài đặt trên thiết bị di động và được sử dụng trên mạng gia đình, sẽ duy trì trạng thái hoạt động – từ bất cứ nơi đâu trên thế giới. Giả sử bạn đồng ý trông đứa cháu gái mới sinh và anh trai bạn nhờ bạn tải ứng dụng Belkin về điện thoại của bạn thông qua mạng gia đình nội bộ của anh ấy (với may mắn nào đó, mạng này được bảo vệ bằng mật khẩu WPA2). Giờ đây, bạn có quyền truy cập vào thiết bị giám sát trẻ của người anh trai từ khắp nơi trên đất nước, từ khắp nơi trên thế giới.
Dhanjani lưu ý rằng lỗ hổng thiết kế này xuất hiện trong nhiều thiết bị Internet Vạn Vật được kết nối với nhau. Về cơ bản, các thiết bị này giả định rằng mọi thứ trên mạng cục bộ đều đáng tin cậy. Nếu trong nhà của tất cả chúng ta đều có 20 hoặc 30 thiết bị như vậy, mô hình bảo mật sẽ phải thay đổi. Vì mọi thứ trên mạng lưới đều đáng tin cậy, khi đó một lỗ hổng trong bất kỳ thiết bị nào – thiết bị giám sát trẻ, bóng đèn, bộ điều nhiệt – có thể cho phép kẻ tấn công từ xa truy cập vào mạng gia đình thông minh của bạn và cho hắn cơ hội tìm hiểu thêm về thói quen cá nhân của bạn.
Trước khi các ứng dụng di động ra đời, chúng ta có thiết bị điều khiển từ xa cầm tay. Hầu hết chúng ta khi đó đều còn quá trẻ để có thể nhớ về những ngày trước khi tivi có điều khiển từ xa – thời mà mọi người phải đứng dậy khỏi ghế và vặn núm để thay đổi kênh, hoặc để tăng âm lượng. Ngày nay, chúng ta có thể nằm trên ghế sofa và điều khiển tivi bằng giọng nói. Điều đó có thể rất thuận tiện, nhưng nó cũng có nghĩa là tivi đang lắng nghe, dù chỉ là lệnh để nó tự bật lên.
Trong những ngày đầu, điều khiển từ xa ti-vi đòi hỏi phải có đường ngắm trực tiếp và được vận hành bằng cách sử dụng loại ánh sáng đặc biệt, cụ thể là công nghệ hồng ngoại. Một điều khiển từ xa chạy bằng pin sẽ phát ra một chuỗi ánh sáng nhấp nháy hầu như không nhìn thấy được bằng mắt thường nhưng có thể nhìn thấy (xin nhắc lại là trong tầm mắt) bằng một cảm biến trên ti-vi. Chiếc ti-vi làm gì để biết bạn muốn bật nó lên? Đơn giản: cảm biến hồng ngoại nằm trong ti-vi luôn bật, ở chế độ nghỉ, chờ một chuỗi xung ánh sáng hồng ngoại đặc biệt từ điều khiển từ xa cầm tay để đánh thức nó.
Ti-vi điều khiển từ xa phát triển qua nhiều năm để tích hợp tín hiệu không dây, điều đó có nghĩa là bạn không phải đứng ngay trước ti-vi; bạn có thể đi sang một bên, đôi khi là đi sang một căn phòng khác. Lại một lần nữa, ti-vi luôn ở chế độ chờ tín hiệu thích hợp để đánh thức nó.
Chuyển tới thời của những chiếc ti-vi được kích hoạt bằng giọng nói. Chúng loại bỏ chiếc điều khiển từ xa. Thay vào đó, bạn chỉ cần nói một câu ngớ ngẩn như “Ti-vi bật” hoặc “Chào ti-vi” là nó tự động bật lên.
Mùa xuân năm 2015, các nhà nghiên cứu bảo mật Ken Munro và David Lodge muốn xem liệu ti-vi Samsung kích hoạt bằng giọng nói có lắng nghe các cuộc hội thoại trong phòng ngay cả khi không hoạt động hay không. Trong khi họ thấy rằng ti-vi kỹ thuật số thực sự nghỉ khi chúng được tắt – điều này khiến chúng ta yên tâm – thì những chiếc ti-vi thế hệ mới này ghi lại mọi điều được nói ra sau khi bạn cấp cho chúng một lệnh đơn giản, chẳng hạn như “Chào ti-vi” (nghĩa là chúng ghi lại mọi thứ cho đến khi nhận được lệnh tắt một lần nữa). Có bao nhiêu người trong chúng ta sẽ nhớ giữ im lặng hoàn toàn trong khi tivi đang bật?
Chúng ta sẽ không nhớ điều đó, và để làm cho vấn đề còn trở nên đáng lo ngại hơn, những gì chúng ta nói (và những gì được ghi lại) sau lệnh “Chào ti-vi” không được mã hóa. Nếu truy cập được vào mạng gia đình của bạn, tôi có thể nghe lén bất kỳ cuộc trò chuyện nào bạn đang thực hiện trong nhà trong khi tivi được bật. Lập luận bảo vệ cho việc giữ tivi ở chế độ nghe là nó cần phải nghe các lệnh khác từ bạn, chẳng hạn như “Tăng âm lượng,” “Thay đổi kênh” và “Tắt âm thanh.” Điều đó có thể là tốt, ngoại trừ việc các lệnh thoại thu được sẽ được chuyển tới vệ tinh trước khi chúng quay trở lại. Và bởi vì toàn bộ chuỗi dữ liệu không được mã hóa, tôi có thể thực hiện một cuộc tấn công MITM trên ti-vi của bạn, chèn các lệnh của riêng tôi để thay đổi kênh của bạn, tăng âm lượng, hoặc đơn giản là tắt ti-vi bất cứ khi nào tôi muốn.
Hãy suy nghĩ một lát. Điều đó có nghĩa là nếu bạn đang ở trong phòng có ti-vi được kích hoạt bằng giọng nói, đang trò chuyện với ai đó và bạn quyết định bật ti-vi, sau đó nội dung cuộc trò chuyện có thể được chiếc ti-vi ghi lại. Hơn nữa, cuộc trò chuyện về đợt bán bánh nướng sắp tới tại trường tiểu học có thể được truyền đến một máy chủ ở đâu đó cách xa phòng khách của bạn. Trong thực tế, Samsung không chỉ truyền dữ liệu đó cho bản thân hãng này mà còn cho Nuance, một công ty phần mềm nhận dạng giọng nói. Đó là hai công ty có thông tin quan trọng về việc bán bánh nướng sắp tới.
Và chúng ta hãy cùng trung thực thừa nhận một thực tế rằng những cuộc nói chuyện trong phòng xem ti-vi có thể không liên quan đến việc bán bánh nướng. Có thể bạn đang nói về điều gì đó bất hợp pháp mà cơ quan thực thi pháp luật có thể muốn biết. Hoàn toàn có khả năng là các công ty này sẽ thông báo cho cơ quan thực thi pháp luật, nhưng nếu chẳng hạn cơ quan thực thi pháp luật đã quan tâm đến bạn từ trước, thì các nhà chức trách có thể ra lệnh bắt buộc các công ty này cung cấp các bản gỡ băng hoàn chỉnh. “Xin lỗi, nhưng chính chiếc tivi thông minh của bạn đã tiết lộ bí mật của bạn…”
Để bảo vệ mình, Samsung tuyên bố rằng các tình huống nghe trộm như vậy đã được đề cập trong thỏa thuận riêng tư mà tất cả người dùng hoàn toàn đồng ý khi họ bật ti-vi. Nhưng lần cuối cùng bạn đọc thỏa thuận về quyền riêng tư trước khi bật một thiết bị lần đầu tiên là khi nào? Samsung cho biết trong tương lai gần, tất cả các thông tin liên lạc ti-vi của hãng này sẽ được mã hóa. Nhưng đến năm 2015, hầu hết các mẫu trên thị trường đều không được bảo vệ.
May mắn thay, có nhiều cách để vô hiệu hóa tính năng giống dòng HAL 9000 này trên chiếc Samsung và có lẽ là trên cả ti-vi của các nhà sản xuất khác. Với Samsung PN60F8500 và các sản phẩm tương tự, đi vào menu Settings (Cài đặt), chọn “Smart Features” (Tính năng thông minh), sau đó trong “Voice Recognition” (Nhận dạng giọng nói), chọn “Off” (Tắt). Nhưng nếu muốn ngăn ti-vi ghi lại các cuộc hội thoại nhạy cảm trong nhà, bạn sẽ phải từ bỏ việc ra lệnh cho nó bằng giọng nói. Với điều khiển từ xa, bạn vẫn có thể chọn nút micro và ra lệnh. Hoặc bạn có thể đứng dậy khỏi ghế và tự mình chuyển kênh. Tôi biết. Cuộc sống thật khó khăn.
Các luồng dữ liệu không được mã hóa không phải là độc quyền của riêng Samsung. Trong khi thử nghiệm ti-vi thông minh LG, một nhà nghiên cứu nhận thấy dữ liệu đang được gửi trở lại LG qua Internet mỗi khi người xem thay đổi kênh. Tivi cũng có tùy chọn cài đặt gọi là “Collection of watching info” (Bộ sưu tập thông tin đang xem), được bật theo mặc định. “Thông tin xem” bao gồm tên của các tệp được lưu trữ trên bất kỳ ổ đĩa USB nào mà bạn kết nối với chiếc tivi LG, giả dụ, một ổ có chứa ảnh chụp kỳ nghỉ gia đình của bạn. Các nhà nghiên cứu đã thực hiện một thí nghiệm khác, trong đó họ tạo ra một tệp video giả và tải nó vào một ổ USB, sau đó cắm nó vào tivi. Khi phân tích lưu lượng mạng, họ thấy rằng tên tệp video được truyền đi không được mã hóa trong luồng http và được gửi đến địa chỉ GB.smartshare.lgtvsdp.com.
Sensory, một công ty cung cấp giải pháp nhận dạng giọng nói nhúng cho các sản phẩm thông minh, nghĩ rằng họ có thể làm nhiều hơn nữa. “Chúng tôi nghĩ rằng sự kỳ diệu bên trong [chiếc ti-vi thông minh] là hãy để nó ở chế độ luôn hoạt động và lắng nghe” Todd Mozer, Giám đốc Điều hành của Sensory cho biết. “Hiện nay, [việc nghe] tiêu thụ quá nhiều năng lượng. Samsung đã có giải pháp thông minh là tạo ra chế độ nghe. Chúng tôi muốn vượt xa điều đó và làm cho nó luôn luôn được bật, luôn luôn lắng nghe bất kể bạn đang ở đâu.”
Bây giờ bạn biết chiếc tivi kỹ thuật số của mình có khả năng làm được những gì, bạn có thể tự hỏi: Điện thoại di động có thể nghe trộm khi nó bị tắt hay không? Có ba đáp án. Có, không, và còn tùy.
Một số người trong cộng đồng các chuyên gia về bảo mật khẳng định rằng dẫu đã tắt điện thoại thông minh, bạn vẫn phải tháo pin ra khỏi thiết bị để chắc chắn rằng nó không lắng nghe bạn nữa. Dường như không có nhiều bằng chứng để ủng hộ điều này. Sau đó, có những người cam đoan rằng chỉ cần tắt điện thoại là đủ. Nhưng tôi nghĩ trong thực tế có những trường hợp, nói ví dụ, nếu phần mềm độc hại được thêm vào điện thoại thông minh, khi ấy nó không tắt hoàn toàn và vẫn có thể ghi lại các cuộc hội thoại ở gần đó. Vì vậy, nó phụ thuộc vào nhiều yếu tố.
Có một số điện thoại hoạt động khi bạn nói một câu lệnh, giống hệt loại ti-vi được kích hoạt bằng giọng nói. Điều này có nghĩa là điện thoại luôn luôn lắng nghe, chỉ chờ đợi câu lệnh kia phát ra. Điều này cũng ngụ ý rằng bằng cách nào đó, những phát ngôn đã được ghi lại hoặc truyền đi. Trong một số điện thoại bị nhiễm phần mềm độc hại thì điều này đúng: camera hoặc micro của điện thoại được kích hoạt khi không có cuộc gọi nào diễn ra. Tôi nghĩ rất hiếm có những trường hợp này.
Nhưng quay lại câu hỏi chính. Có một số người trong cộng đồng bảo mật cam đoan rằng bạn có thể kích hoạt một chiếc điện thoại khi nó bị tắt. Phần mềm độc hại có thể làm cho điện thoại có vẻ như bị tắt trong khi thực tế không phải như vậy. Tuy nhiên, khả năng một người nào đó có thể kích hoạt một điện thoại bị tắt (không có nguồn pin) đối với tôi là không thể. Về cơ bản, bất kỳ thiết bị nào có nguồn pin cho phép phần mềm ở trạng thái hoạt động đều có thể bị khai thác. Có thể sửa dụng một phần mềm chạy nền để khiến cho thiết bị trông giống như bị tắt trong khi nó không tắt. Nhưng một thiết bị không có điện thì không thể làm gì cả. Hoặc nó có thể chăng? Một số người vẫn tranh luận rằng NSA đã đặt chip vào điện thoại của chúng ta để cung cấp năng lượng cho thiết bị và cho phép hoạt động theo dõi diễn ra ngay cả khi điện thoại bị tắt nguồn (ngay cả khi pin bị tháo ra).
Cho dù điện thoại của bạn có khả năng nghe hay không, trình duyệt bạn sử dụng chắc chắn là có. Khoảng năm 2013, Google ra mắt hotwording, một tính năng cho phép bạn đưa ra một lệnh đơn giản để kích hoạt chế độ nghe trong Chrome. Các hãng khác cũng bắt chước, bao gồm Siri của Apple, Cortana của Microsoft, và Alexa của Amazon. Vì vậy, điện thoại, máy tính cá nhân truyền thống, và thiết bị độc lập trên bàn cà phê của bạn đều chứa các dịch vụ dựa trên nền tảng máy chủ, điện toán đám mây được thiết kế để đáp ứng các lệnh thoại như “Siri, ta còn cách trạm xăng gần nhất bao xa?” Có nghĩa là chúng đang lắng nghe. Và nếu điều đó không khiến bạn lo lắng, hãy biết rằng các hoạt động tìm kiếm của các dịch vụ này được ghi lại và lưu trữ vô thời hạn.
Vô thời hạn.
Vậy các thiết bị này nghe được bao nhiêu? Trên thực tế, chúng ta vẫn chưa rõ chúng làm gì trong khi không phải trả lời các câu hỏi của chủ nhân hoặc không phải bận rộn với việc tắt-mở. Ví dụ, khi sử dụng phiên bản máy tính cá nhân truyền thống của trình duyệt Chrome, các nhà nghiên cứu nhận thấy rằng có người nào đó – Google chăng? – đã phải luôn lắng nghe mọi lúc bằng cách bật micro. Tính năng này đến với Chrome từ phần mềm nguồn mở tương ứng của nó, một trình duyệt được gọi là Chromium. Năm 2015, các nhà nghiên cứu phát hiện ra rằng có người nào đó – Google chăng? – có vẻ lắng nghe mọi lúc. Khi điều tra thêm, họ phát hiện ra điều này là do trình duyệt bật micro theo mặc định. Mặc dù được đưa vào trong phần mềm nguồn mở, mã này không có sẵn để kiểm tra.
Điều này tiềm ẩn một số vấn đề. Đầu tiên, “nguồn mở” có nghĩa là mọi người đều có thể kiểm tra mã, nhưng trong trường hợp này mã là một hộp đen, loại mã mà không ai được quyền xem. Thứ hai, mã này tự đi tới phiên bản phổ biến của trình duyệt thông qua bản cập nhật tự động từ Google, thứ mà người dùng không có cơ hội từ chối. Và đến năm 2015, Google vẫn không xóa nó. Họ đã đưa ra một phương tiện để mọi người chọn không tham gia, nhưng việc chọn không tham gia đó yêu cầu kỹ năng lập trình quá phức tạp đến mức người dùng bình thường không thể tự thực hiện.
Có những cách khác, công nghệ thấp hơn để giảm thiểu tính năng nghe trộm đáng sợ này trong Chrome và các chương trình khác. Đối với webcam, chỉ cần đặt một miếng băng dính lên trên. Đối với micro, một trong những biện pháp phòng thủ tốt nhất là cắm micro giả vào ổ cắm micro của máy tính cá nhân truyền thống. Để thực hiện việc này, hãy lấy một bộ tai nghe nhét lỗ hoặc bộ tai nghe có quai cũ bị hỏng và chỉ cần cắt dây gần giắc cắm micro. Bây giờ, cắm cuống của một giắc mic vào ổ cắm. Máy tính sẽ nghĩ rằng ở đó có micro trong khi thực tế là không có. Tất nhiên, nếu bạn muốn thực hiện cuộc gọi bằng Skype hoặc một số dịch vụ trực tuyến khác, thì trước tiên bạn phải tháo đầu cắm. Ngoài ra – và điều này rất quan trọng – hãy đảm bảo rằng hai dây trên cuống mic không chạm nhau để bạn không làm cháy cổng mic.
Một thiết bị kết nối khác sống trong nhà là Amazon Echo, một hub Internet cho phép người dùng đặt phim theo yêu cầu và các sản phẩm khác từ Amazon bằng giọng nói. Echo cũng luôn bật, ở chế độ chờ, nghe từng từ, chờ đợi một câu lệnh để “đánh thức” nó. Bởi vì Amazon Echo thực hiện nhiều hơn một chiếc ti-vi thông minh, nó yêu cầu người dùng lần đầu nói lên đến 25 cụm từ cụ thể vào thiết bị trước khi đưa ra bất kỳ lệnh nào. Amazon có thể cho bạn biết thời tiết bên ngoài, cung cấp kết quả thể thao mới nhất và đặt hàng hoặc sắp xếp lại các mục từ bộ sưu tập của nó nếu bạn yêu cầu điều này. Do tính chất chung của một số cụm từ mà Amazon nhận ra – ví dụ: “Trời có mưa vào ngày mai không?” – điều này có nghĩa là Echo có thể nghe nhiều hơn ti-vi thông minh.
May mắn thay, Amazon cung cấp các cách để xóa dữ liệu giọng nói khỏi Echo. Nếu muốn xóa mọi thứ (ví dụ trong trường hợp bạn định bán Echo), bạn cần truy cập trực tuyến để xóa.
Trong khi tất cả các thiết bị kích hoạt bằng giọng nói này đều yêu cầu một cụm từ lệnh để thức dậy, chúng ta vẫn chưa biết chúng làm gì trong thời gian ngủ – thời gian chúng không bị ra lệnh làm gì. Khi có thể, hãy tắt tính năng kích hoạt bằng giọng nói trong cài đặt cấu hình. Bạn luôn có thể bật lại khi cần.
Ngoài ti-vi và bộ điều nhiệt, tủ lạnh cũng gia nhập cùng Amazon Echo trong Internet Vạn Vật.
Tủ lạnh?
Samsung mới công bố một mô hình tủ lạnh kết nối với lịch Google để hiển thị các sự kiện sắp tới trên màn hình phẳng được gắn vào cửa của thiết bị, một dạng giống như cái bảng trắng mà chúng ta vẫn đặt ở đó. Bây giờ tủ lạnh sẽ được kết nối với Internet thông qua tài khoản Google của bạn.
Samsung đã làm một vài điều đúng đắn trong việc thiết kế tủ lạnh thông minh này, chẳng hạn như một kết nối SSL/https để mã hóa luồng dữ liệu giữa tủ lạnh và máy chủ chứa lịch Google. Và họ đã gửi một chiếc tủ lạnh tương lai đến thử nghiệm tại DEF CON 23 – một trong những hội nghị hacker lớn nhất thế giới.
Tuy nhiên, theo các nhà nghiên cứu bảo mật Ken Munro và David Lodge, những người đã xâm nhập vào dòng giao tiếp của các ti-vi kỹ thuật số, Samsung không kiểm tra chứng chỉ cho phép thực hiện giao tiếp với các máy chủ của Google và lấy thông tin lịch Gmail. Chứng chỉ xác thực rằng thông tin liên lạc giữa tủ lạnh và các máy chủ Google là bảo mật. Nhưng nếu không có nó, kẻ xấu có thể tạo chứng chỉ riêng để nghe trộm kết nối giữa tủ lạnh và Google.
Vậy thì sao?
Trong trường hợp này, khi xâm nhập được vào mạng gia đình của bạn, kẻ xấu không chỉ có thể truy cập vào tủ lạnh và làm hỏng sữa và trứng nhà bạn mà còn có thể truy cập vào thông tin tài khoản Google của bạn bằng cách thực hiện một cuộc tấn công MITM ở phần mềm lịch trong tủ lạnh và ăn cắp thông tin đăng nhập Google của bạn để đọc lén email, thậm chí có thể gây thiệt hại lớn hơn.
Tủ lạnh thông minh vẫn chưa phổ biến. Nhưng rõ ràng, khi chúng ta kết nối nhiều thiết bị hơn với Internet, và thậm chí với mạng gia đình, sẽ có sự mất an toàn. Điều này thật đáng sợ, nhất là khi thứ bị xâm phạm là thứ thực sự quý giá và riêng tư, như gia đình bạn chẳng hạn.
Các công ty Internet Vạn Vật đang nghiên cứu các ứng dụng có thể biến bất kỳ thiết bị nào thành một hệ thống an ninh gia đình. Ví dụ, một ngày nào đó chiếc ti-vi của bạn có thể chứa camera. Trong trường hợp đó, một ứng dụng trên điện thoại thông minh hoặc máy tính bảng có thể cho phép bạn xem bất kỳ phòng nào trong nhà hoặc văn phòng từ bất kỳ vị trí nào ở xa. Đèn cũng có thể bật lên khi có chuyển động bên trong hoặc bên ngoài ngôi nhà.
Chúng ta hãy cùng hình dung một ví dụ sau đây. Khi bạn lái xe về nhà, ứng dụng hệ thống báo động trên điện thoại hoặc trong ô tô sử dụng khả năng định vị địa lý được tích hợp sẵn để cảm nhận sự xuất hiện của bạn. Khi bạn cách nhà 15 mét, ứng dụng sẽ báo hiệu cho hệ thống báo động tại nhà để mở khóa cửa trước hoặc cửa garage (ứng dụng trên điện thoại đã được kết nối với ngôi nhà và xác thực). Hệ thống báo động tiếp tục liên hệ với hệ thống chiếu sáng trong nhà, yêu cầu nó chiếu sáng cổng vòm, lối vào, và có thể là phòng khách hoặc nhà bếp. Ngoài ra, bạn cũng có thể bước vào nhà trong tiếng nhạc dìu dặt phát trên dàn âm thanh nổi từ một dịch vụ như Spotify. Và dĩ nhiên, khi bạn trở về, nhiệt độ của ngôi nhà sẽ ấm lên hoặc mát đi tùy theo mùa và sở thích của bạn.
Hệ thống báo động tại nhà trở nên phổ biến trong thời điểm đầu thế kỷ 21. Khi đó, để lắp đặt hệ thống này, kỹ thuật viên phải gắn các cảm biến có dây ở cửa ra vào và cửa sổ của ngôi nhà. Các cảm biến có dây này được kết nối với một trung tâm sử dụng điện thoại cố định có dây để gửi và nhận tin nhắn từ dịch vụ giám sát. Bạn sẽ đặt báo động và nếu có ai xâm phạm cửa ra vào và cửa sổ đã được bảo vệ, dịch vụ giám sát sẽ liên lạc với bạn, thường là qua điện thoại. Hệ thống được trang bị pin để đề phòng trường hợp mất điện. Xin lưu ý, điện thoại cố định thường không bao giờ mất điện trừ khi dây dẫn đến nhà bị cắt.
Khi mọi người chuyển từ điện thoại cố định dùng dây đồng sang các dịch vụ thông tin di động, các công ty giám sát báo động cũng bắt đầu cung cấp các kết nối dựa trên mạng di động. Gần đây, họ chuyển sang dịch vụ ứng dụng dựa trên Internet.
Hiện nay, các cảm biến cảnh báo trên cửa ra vào và cửa sổ chính đều là không dây. Dĩ nhiên, việc lắp đặt chúng không đòi hỏi phải khoan đục tường hay những sợi dây cáp xấu xí nữa, nhưng cũng có nhiều rủi ro hơn. Các nhà nghiên cứu đã nhiều lần phát hiện ra rằng tín hiệu từ các cảm biến không dây này không được mã hóa. Kẻ tấn công có thể chỉ cần nghe lén thông tin liên lạc giữa các thiết bị để xâm nhập chúng. Ví dụ, nếu xâm nhập được vào mạng cục bộ của bạn, tôi có thể nghe lén thông tin liên lạc giữa các máy chủ của công ty báo động với thiết bị trong nhà bạn (giả sử nó trên cùng một mạng cục bộ và không được mã hóa), và bằng cách thao túng các liên lạc đó, tôi có thể chiếm quyền kiểm soát ngôi nhà thông minh của bạn, giả mạo các lệnh để điều khiển hệ thống.
Các công ty hiện cung cấp nhiều dịch vụ giám sát tại nhà “tự lắp đặt.” Nếu có cảm biến nào bị xâm nhập, điện thoại di động của bạn sẽ nhận được tin nhắn thông báo. Hoặc ứng dụng có thể cung cấp hình ảnh webcam từ trong nhà. Dù bằng cách nào, bạn cũng nắm được quyền kiểm soát và tự mình theo dõi ngôi nhà. Điều đó thật tuyệt vời, cho đến khi Internet trong nhà bạn bị ngắt kết nối.
Ngay cả khi Internet đang hoạt động, kẻ xấu vẫn có thể phá hoại các hệ thống báo động không dây tự lắp đặt này. Ví dụ, kẻ tấn công có thể kích hoạt báo động giả (một số thành phố quy định chủ nhà sẽ phải trả tiền phạt trong trường hợp này). Có thể kích hoạt thiết bị tạo báo động giả từ ngoài đường, trước cửa nhà bạn hoặc cách đó 200 mét. Quá nhiều báo động giả sẽ khiến hệ thống trở nên thiếu tin cậy (và chủ nhà sẽ điêu đứng vì những khoản tiền phạt).
Hoặc kẻ tấn công có thể gây nhiễu tín hiệu cảm biến không dây tự lắp đặt bằng cách gửi nhiễu vô tuyến để ngăn luồng thông tin liên lạc quay lại hub hoặc bảng điều khiển chính. Điều này khiến còi báo động không phát ra tiếng được, từ đó vô hiệu hóa cơ chế bảo vệ và cho phép các tội phạm đột nhập thẳng vào nhà.
Rất nhiều người đã cài đặt webcam trong nhà – có thể để bảo mật, giám sát người giúp việc, hay theo dõi người thân bị ốm. Thật không may, webcam qua Internet thường dễ bị tấn công từ xa.
Một công cụ tìm kiếm công khai tên là Shodan hiển thị thông tin về các thiết bị phi truyền thống được cấu hình để kết nối với Internet. Shodan không chỉ hiển thị kết quả từ các thiết bị Internet Vạn Vật của bạn ở nhà mà còn từ các mạng tiện ích nội bộ và các hệ thống điều khiển công nghiệp đã bị cấu hình sai để kết nối máy chủ của chúng với mạng công cộng. Nó cũng hiển thị các luồng dữ liệu từ vô số các webcam thương mại bị cấu hình sai trên toàn thế giới. Người ta ước tính rằng trong một ngày có đến 100.000 webcam không được bảo mật hoặc bảo mật hạn chế tham gia truyền dữ liệu qua Internet.
Trong số này có các camera Internet không có xác thực mặc định của một công ty tên là D-Link, có thể được sử dụng để theo dõi mọi người trong những hoạt động riêng tư (tùy thuộc vào nội dung quay được thiết lập trong camera). Kẻ tấn công có thể sử dụng bộ lọc Google để tìm kiếm “Camera Internet D-Link,” sau đó tìm kiếm các model không có xác thực theo mặc định, rồi truy cập vào một website như Shodan, nhấp vào một liên kết, và xem luồng video mong muốn.
Để ngăn chặn điều này, hãy tắt webcam Internet khi không dùng đến. Hành động ngắt kết nối vật lý là nhằm bảo đảm chắc chắn rằng webcam đã được tắt. Khi sử dụng chúng, hãy đảm bảo rằng chúng có xác thực phù hợp và có mật khẩu mạnh, chứ không phải mật khẩu mặc định.
Nếu bạn nghĩ ngôi nhà của mình như vậy đã là một thảm họa về sự riêng tư, vậy hãy chờ tới khi bạn đến nơi làm việc. Tôi sẽ bàn đến vấn đề này ở chương tiếp theo.