Máy tính đang ở chế độ khoá màn hình vẫn có thể bị tin tặc tấn công

08:23 | 15/12/2016

PoisonTap là phần mềm miễn phí chạy trên các thiết bị Raspberry Pi Zero. Khi thiết bị Raspberry Pi Zer được cắm vào máy tính, nó sẽ kiểm soát hết các kết nối web không được mã hoá và gửi dữ liệu tới máy chủ do kẻ xấu quản lý. Thiết bị hack này còn cài đặt một cổng hậu cho phép kẻ xấu truy cập từ xa tới trình duyệt và mạng nội bộ của nạn nhân.

 

PoisonTap là sáng tạo mới nhất của Samy Kamkar, kỹ sư từng tạo ra rất nhiều công cụ hack rẻ tiền như keylogger đánh cắp mật khẩu giả thiết bị sạc USB, thiết bị mở khoá điện tử của xe ô tô và gara, ứng dụng dùng Google Streetview để xác định vị trí chính xác của người khác. Những sản phẩm của Kamkar nhấn mạnh những vấn đề về bảo mật và quyền riêng tư trong thế giới ngày càng được tin học hoá cao độ.
 
Mục đích chính của phần mềm này là chứng minh cho mọi người thấy, ngay cả những máy tính được khoá màn hình (bảo vệ bằng mật khẩu) cũng có thể bị tấn công rất nhanh và dễ dàng. Thông tin đăng nhập các site HTTP đang mở có thể bị đánh cắp và ngay cả cookie của những site HTTPS không thiết lập đúng cờ "secure" cũng có thể bị lộ. 
 
Các bộ định tuyến không được bảo vệ trong văn phòng và tại nhà riêng cũng bị đe doạ. Kamkar đã công bố mã nguồn của PoisonTap và các chi tiết kỹ thuật cùng với video trình diễn (https://samy.pl/poisontap/).
 
Khi cắm thiết bị vào một PC hay máy Mac đang khoá màn hình (Kamkar chưa thử PoisonTap trên máy tính chạy Linux), nó sẽ bí mật cài mã độc vào bộ đệm của trình duyệt và mã độc này vẫn “sống khoẻ” sau khi rút thiết bị ra. Điều này khiến thiết bị của Kamkar trở thành công cụ lý tưởng để hack những máy tính mà người dùng chỉ rời máy trong một thời gian ngắn. 
 
Với phần mềm PoisonTap, chiếc Raspberry Pi trở thành một máy tính mini chạy hệ điều hành Linux, giả danh một kết nối mạng. Giống như một bộ định tuyến, nó cấp địa chỉ IP cho máy tính trong mạng nội bộ qua giao thức DHCP. Trong quá trình đó, nó trở thành cổng truyền nhận các gói tin. Về phương diện này, PoisonTap giống như công cụ đánh cắp thông tin đăng nhập qua cổng USB từ các máy PC và Mac đã khoá màn hình - từng được trình diễn hồi tháng 9/2016.
 
Tuy nhiên, với một thủ đoạn khôn khéo hơn, PoisonTap còn có thể trở thành cổng giao tiếp cho tất cả các kết nối ra Internet. Phần mềm này định nghĩa lại mạng nội bộ để bao gồm toàn bộ không gian địa chỉ IPv4, nhờ đó kiểm soát toàn bộ các gói tin mà máy tính gửi đi hay nhận về.
 
Sau đó, PoisonTap tìm kiếm xem trên máy tính đó có trình duyệt nào đang chạy ngầm với một trang web hay không. Nếu tìm thấy, nó sẽ chèn các HTML iframe tag ẩn vào trang web thuộc danh sách 1 triệu website hàng đầu theo xếp hạng của Alexa. Vì PoisonTap đóng vai HTTP server cho mỗi trang web nên nó có thể nhận, lưu và truyền đi mọi cookie xác thực không mã hoá mà máy tính dùng để đăng nhập những site đó.
 
Do đóng vai trò trung gian với quyền khá cao, PoisonTap còn có thể cài cổng hậu để cho phép kẻ xấu truy cập từ xa tới trình duyệt và bộ định tuyến. Nhằm có quyền truy cập từ xa vào trình duyệt, kẻ xấu lưu lại trang HTML kết hợp với JavaScript trong bộ đệm của trình duyệt để tạo ra một WebSocket bền vững. PoisonTap dùng kỹ thuật DNS rebinding để có thể truy xuất từ xa tới bộ định tuyến. Kẻ xấu vẫn phải vượt qua hàng rào kiểm soát bằng mật khẩu của bộ định tuyến. Tuy nhiên, với nhiều lỗ hổng cho phép bỏ qua biện pháp xác thực chưa được vá hay những mật khẩu mặc định vẫn được giữ nguyên thì mật khẩu không hẳn là một hàng rào không thể vượt qua.
 
PoisonTap tạo ra một nguy cơ lớn đối với cách làm truyền thống của người dùng, đó là thường để máy tính chạy khi ra khỏi bàn, chỉ bảo vệ bằng cách khoá màn hình. 
 
Một số biện pháp ngăn ngừa bổ sung có thể giúp giảm đáng kể nguy cơ bị tấn công. Đầu tiên là truy cập các trang được bảo vệ bằng giao thức HTTPS, các cookie được mã hoá sẽ giúp ngăn chặn khả năng đánh cắp thông tin đăng nhập. Cách tốt hơn là dùng HTTP Strict Transport Security để ngăn chặn các kỹ thuật hạ cấp những kết nối HTTPS thành HTTP. Nhờ đó, những trang như Google hay Facebook không thể bị PoisonTap đụng tới. Tuy nhiên điều đáng buồn là xác thực đa yếu tố không có nhiều tác dụng.
 
Nếu cẩn thận hơn, người dùng nên đóng trình duyệt trước khi khoá màn hình máy tính và nếu dùng máy Mac thì hãy kích hoạt FileVault2 và đưa máy vào chế độ “ngủ” (sleep) trước khi khoá máy, vì trình duyệt không thể được gọi tới trong những trường hợp đó. 
 
Ngoài ra, nên thường xuyên xoá bộ đệm của trình duyệt và biện pháp đảm bảo 100% là tắt máy, hay mang máy xách tay theo bên mình mỗi khi rời bàn làm việc.