Làm thế nào để giải quyết vấn đề bảo mật của các thiết bị IoT?

13:22 | 26/10/2016

Việc website chuyên đưa tin về bảo mật của Brian Krebs bị tấn công từ chối dịch vụ quy mô lớn vừa qua đang làm dư luận nóng lên, dù tấn công từ chối dịch vụ thông qua các botnet đã xuất hiện từ cách đây hàng thập kỷ và đã có nhiều dịch vụ chống tân công từ chối dịch vụ trên thị trường.



Điểm mới được mọi người quan tâm là các chiến dịch tấn công từ chối dịch vụ bắt đầu lợi dụng những thiết bị IoT. Tuy nhiên, làm thế nào để khắc phục vấn đề này không hề đơn giản. Đã có rất nhiều tài liệu về sự không an toàn của các thiết bị IoT, nhưng cách tiếp cận mang tính kỹ thuật không giúp ích gì nhiều.

Bruce Schneier, chuyên gia bảo mật nổi tiếng toàn cầu, cho rằng ở đây cần có vai trò của nhà nước để khắc phục những khiếm khuyến của thị trường. Theo ông, phần mềm dùng để tấn công Krebs rất đơn giản và thậm chí còn mang tính nghiệp dư. Thứ khó giải quyết nhất chính là thất bại của thị trường trong việc tự điều chỉnh và các thiết bị IoT sẽ mãi không an toàn nếu không có sự can thiệp của chính phủ.

Máy tính và điện thoại thông minh an toàn hơn là nhờ công sức của những kỹ sư bảo mật. Các công ty như Microsoft, Apple và Google kiểm thử rất kỹ trước khi đưa sản phẩm ra thị trường và nhanh chóng vá các lỗ hổng bảo mật khi chúng được phát hiện. Sở dĩ họ có thể làm điều đó là vì họ kiếm được rất nhiều tiền.

Nhưng sản xuất các thiết bị IoT lại có lợi nhuận rất thấp và các công ty sản xuất chúng đôi khi không có đủ kiến thức về bảo mật để có thể tạo ra những sản phẩm an toàn. Nguy hiểm hơn nữa, phần lớn các thiết bị IoT không có cách nào để vá lỗ hổng bảo mật. Ngay cả khi mã nguồn của các botnet lợi dụng những thiết bị IoT kém an toàn được công bố thì chúng ta cũng không thể cập nhật những thiết bị yếu kém. Các công ty như Microsoft thường xuyên cung cấp các bản vá trong khi với những thiết bị IoT thì cách duy nhất là bỏ đi, mua mới.

Máy tính và điện thoại thông minh an toàn hơn một phần cũng là nhờ việc người dùng thay mới liên tục. Nhiều người mua điện thoại mới mỗi năm, nhưng rất ít người thay camera an ninh thường xuyên, những thứ như tủ lạnh thậm chí còn được dùng trong vài chục năm. Câu chuyện tương tự xảy ra với những chiếc ATM chạy hệ điều hành Windows XP hay thậm chí là Windows 95.

Thị trường không thể tự khắc phục vấn đề này vì cả người mua và người bán đều không quan tâm. Những người sở hữu các máy quay chỉ cần mua được thiết bị với giá rẻ, hoạt động được mà không cần biết chúng có thể bị lợi dụng để tấn công người khác. Những người bán cũng không quan tâm vì người mua muốn giá càng thấp càng tốt và vì họ đang bán những thiết bị đời mới hơn, có nhiều tính năng hơn. Cũng giống như cả người bán và người mua xe máy, ô tô đều không quan tâm đến việc những chiếc xe có thể làm ô nhiễm không khí, làm hại sức khoẻ của cả cộng đồng.

Những lý do đó khiến Bruce Schneier cho rằng, các thiết bị IoT sẽ tiếp tục không an toàn trừ khi chính phủ can thiệp. Chính phủ cần áp đặt các quy định về bảo mật để buộc các nhà sản xuất đảm bảo thiết bị IoT mà họ sản xuất an toàn, ngay cả khi khách hàng không quan tâm. Chính phủ có thể buộc các nhà sản xuất chịu trách nhiệm, cho phép những người như Brian Krebs kiện họ. Những điều đó sẽ làm tăng chi phí của việc để sản phẩm không an toàn và khiến các công ty có động lực bỏ tiền để làm cho thiết bị IoT an toàn hơn.

Một trong những bước đi đầu tiên theo hướng đó là việc Uỷ ban châu Âu (European Commission) chuẩn bị buộc các công ty tạo nhãn để thể hiện mức độ bảo mật của các thiết bị IoT. Đây là một phần trong những nỗ lực rộng lớn hơn, thúc các công ty xem xét nghiêm túc vấn đề bảo mật và bảo vệ quyền riêng tư. Nhãn thông tin bảo mật của các thiết bị IoT sẽ tương tự như nhãn của các loại hàng hoá tiêu dùng để khách hàng có thể dễ dàng hiểu ý nghĩa của chúng. Tiếp theo cần giải thích để khách hàng hiểu cách nâng cấp firmware cho thiết bị và đưa ra những quy định về mức độ bảo mật tối thiểu,....

Nhưng khó khăn vẫn còn ở phía trước vì đã có vô số thiết bị IoT không bảo mật trên thị trường. Và do Internet là mạng toàn cầu, nên nếu chỉ có châu Âu đưa ra các quy định thì những thiết bị xấu vẫn tồn tại trên thị trường và sẵn sàng tham gia vào các mạng botnet, thực hiện các cuộc tấn công từ chối dịch vụ.