MỘT SỐ VẤN ĐỀ VỀ AN TOÀN ĐỐI VỚI THIẾT BỊ LƯU TRỮ CHUẨN USB
Ngay khi mới xuất hiện, USB đã trở thành một vấn đề nghiêm trọng đối với bảo mật thông tin. Hệ thống tin sử dụng các thiết bị lưu trữ USB có khả năng đứng trước các nguy cơ về bảo mật, tính toàn vẹn của thông tin, bị áp đặt các thông tin sai lệch và nhiễm các phần mềm độc hại.
Một phương pháp điển hình để bảo vệ thông tin khỏi các kiểu tấn công khác nhau là hạn chế quyền truy cập vào nó. Điều tương tự cũng được thực hiện đối với thông tin được lưu trữ trong USB. Một số tổ chức thực hiện các biện pháp quyết liệt như loại bỏ hoặc niêm phong các đầu nối USB. Đây là một trong những giải pháp hiệu quả, tuy nhiên có một số điểm hạn chế không khó để nhận ra. Thứ nhất, các cổng kết nối chuẩn USB là cần thiết đối với các thiết bị ngoại vi như chuột, bàn phím, máy in, máy scan hay webcam. Thứ hai, việc loại bỏ hay niêm phong các cổng kết nối chuẩn USB sẽ gặp phải những khó khăn trong các công việc liên quan đến thông tin, đặc biệt trong thời đại số, đến từ thói quen, tâm lý sử dụng cũng như tính tiện dụng, phổ biến của các thiết bị lưu trữ chuẩn giao tiếp USB.
CÁC GIẢI PHÁP KIỂM SOÁT TRUY CẬP VÀO THÔNG TIN LƯU TRỮ TRÊN USB
Sử dụng hệ thống bảo vệ thông tin, chống truy cập trái phép (PUAA)
Hệ thống PUAA là tổ hợp phần mềm và/hoặc công cụ phần cứng ngăn chặn các nỗ lực truy cập trái phép.
Hệ thống bảo vệ thông tin, chống truy cập trái phép cho phép kiểm soát quyền truy cập của hệ thống và các thiết bị ngoại vi được kết nối với nó, trong đó có USB. Tuy nhiên, các chức năng kiểm soát quyền truy cập từ bên ngoài không phải là mục đích chính của công cụ này, do đó chức năng này kém hơn so với các hệ thống ngăn chặn thất thoát dữ liệu (Data Loss Prevention - DLP).
Sử dụng hệ thống ngăn chặn thất thoát dữ liệu
Hệ thống DLP là hệ thống phần cứng và phần mềm hoạt động dựa trên dựa trên việc phân tích các luồng dữ liệu đi qua hệ thống khi thông tin bí mật được phát hiện trong luồng này, một số cơ chế của hệ thống sẽ được kích hoạt và việc truyền thông tin sẽ bị chặn.
Hệ thống DLP được thiết kế để cung cấp khả năng kiểm soát việc tuyền thông tin bí mật ra bên ngoài tổ chức thông qua tất cả các kênh có sẵn, bao gồm cả USB. Vì vậy, kiểm soát quyền truy cập vào ổ USB là một trong những chức năng chính của DLP. Ngoài ra, các hệ thống DLP có khả năng kiểm soát các lỗ hổng khác của hệ thống thông tin. Tuy nhiên, bản thân các hệ thống DLP không đảm bảo tính bảo mật của máy tính. Do đó, để chúng hoạt động an toàn, cần phải cài đặt cùng một hệ thống bảo mật thông tin.
Vì vậy, việc sử dụng hệ thống DLP để kiểm soát quyền truy cập của người dùng vào ổ USB là hợp lý trong hai trường hợp. Thứ nhất, giá thành thực thi các hệ thống DLP rẻ hơn các hệ thống PUAA và việc sử dụng PUAA là không cần thiết. Thứ hai, các hệ thống DLP được sử dụng với mục đính tăng cường chức năng của hệ thống PUAA.
Mã hóa tệp dữ liệu hay phân vùng lưu trữ trên USB
Việc sử dụng các công cụ mã hóa cho USB cũng giải quyết vấn đề kiểm soát quyền truy cập vào thông tin được lưu trữ trên đó. Nhược điểm chính của các giải pháp này là sự phức tạp của việc quản lý khóa mã. Trong trường hợp đơn giản nhất, các khóa được tính toán dựa trên mật khẩu của người dùng. Đồng thời, USB có thể được sử dụng bởi cùng một người dùng bên ngoài. Do đó cần có một hệ thống tạo và quản lý khóa mã chỉ hoạt động trong môi trường nhất định và không cho phép người dùng tạo khóa mã bên ngoài môi trường đó.
Tuy nhiên, việc quản lý công cụ mã hóa không phải là một vấn đề đơn giản mà cần một môi trường an toàn cho hoạt động của công cụ mã hóa, do đó có thể cần sử dụng đến các hệ thống PUAA. Ngoài ra, mã hóa USB hoàn toàn không cung cấp khả năng kiểm soát truy cập vào các giao diện khác.
Tất cả các giải pháp trên cho vấn đề USB đều thực hiện nhiệm vụ kiểm soát quyền truy cập vào USB một chiều từ các máy tính có quyền truy cập vào USB đó.
Bên cạnh đó, cần giải quyết một nhiệm vụ quan trọng hơn là từ chối quyền truy cập vào thông tin được ghi trên USB từ tất cả các máy tính khác, tức là việc ăn cắp và mất USB vẫn còn nguy hiểm.
ĐẢM BẢO AN TOÀN, BẢO MẬT ĐỐI VỚI THIẾT BỊ LƯU TRỮ CHUẨN USB TRÊN NỀN TẢNG MÃ HÓA
Tất cả các phương pháp bảo vệ thông tin trên USB được coi là ngầm định trước đây đều bắt nguồn từ thực tế rằng phương tiện này là phương tiện lưu trữ thông tin thụ động, như đĩa mềm, CD, DVD. Thực chất, các USB chứa bộ điều khiển có thể lập trình cung cấp quyền truy cập vào bộ nhớ flash bên trong, do đó vấn đề bảo vệ thông tin được ghi bên ngoài phạm vi được kiểm soát sẽ được giải quyết đơn giản: cần tạo một ổ USB với hệ thống an ninh tích hợp hoạt động trên bộ điều khiển này.
Hiện nay, trên thị trường có một số sản phẩm được sản xuất bằng công nghệ này. Trong số đó có: iStorage datAshur PRO USB, Kingston DataTraveler Vault Privacy; Aegis Secure Key, IronKey S200, Eaget FU5, LockHeed Martin IronClad,... Dưới đây là đặc trưng kỹ thuật của một số dòng thiết bị USB này.
iStorage datAshur PRO USB 3.0 4/64 GB
- Bảo mật phần cứng XTS-AES 256 bít FIPS 140-2 Level 3;
- Sử dụng công nghệ chống mở vỏ;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng phím bấm trên thiết bị;
Kingston DataTraveler Vault Privacy 2.0/3.0 4-64 GB (Anti-Virus)
- Tích hợp tính năng bảo vệ chống virus ESET NOD32® có khả năng ngay lập tức phát hiện nguy hiểm và hiển thị cảnh báo, không cần cài đặt, bản quyền 5 năm;
- Cung cấp khả năng điều chỉnh cấu hình một số tính năng kỹ thuật thông qua SafeConsonle;
- Bảo mật phần cứng XTS-AES 256 bít FIPS -197;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng;
Eaget FU5 2.0 32-64GB Fingerprint
- Bảo mật phần cứng XTS-AES 256;
- Xác thực: Công nghệ vân tay, đảm bảo khả năng lưu trữ 08 mẫu vân tay nhận dạng từng mẫu trong thời gian 0.3 giây;
Xu hướng phát triển các thiết bị USB có mã hóa ngày càng được hoàn thiện và phát triển cả về tốc độ, dung lượng cứng như tính an ninh, an toàn, bảo mật. Tuy nhiên chúng có môt số điểm chung:
Thứ nhất, sử dụng nền tảng mã hóa phần cứng để mã hóa phân vùng lưu trữ flash.
Thứ hai, tham gia vào quá trình mã hóa khi chúng được lưu trữ trong các bộ nhớ Non-Volatile Memory (bộ nhớ không bay hơi) dạng flash bên trong USB.
Thứ ba, thực thi tính năng hạn chế truy cập thông tin trong bộ nhớ flash trong bằng mật khẩu hoặc xác thực sinh trắc học người dùng.
Ngoài ra, một số thiết bị USB mã hóa được tích hợp tính năng chống mở vỏ, xóa thông tin khi phát hiện có nỗ lực xâm nhập vật lý trái phép và ghi nhật ký cần thiết cho hệ thống bảo mật thông tin.
KẾT LUẬN
Bài viết phân tích các giải pháp đảm bảo an toàn, bảo mật cho các thiết bị lưu trữ chuẩn USB dựa trên nền tảng hạn chế quyền truy cập và mã hóa và hân tích nhược điểm của các giải pháp đảm bảo an toàn dựa trên nền tảng hạn chế quyền truy cập, cũng như tính ưu việt của giải pháp mã hóa và xu hướng phát triển của các thiết bị USB mã hóa. Đây là một trong các biện pháp hiệu quả để khiến USB trở lên an toàn hơn, nhưng vẫn không hạn chế được các nguy cơ mất an toàn khi sử dụng bên ngoài khu vực được cho phép trên các hệ thống thông tin có khả năng lây nhiễm virus, mã độc. Phần II của bài báo sẽ đề xuất giải pháp nâng cao tính an toàn, khác phục các hạn chế của các USB mã hóa dựa trên công nghệ xác thực đa nhân tố giữa phần mềm thực thi độc lập được cài đặt trên máy tính và module phần cứng, phần mềm của thiết bị USB.
TÀI LIỆU THAM KHẢO 1. Madison, Alex, (2016-07-09) “Keychain Not Included: The Five Highest-Capacity USB Flash Drives for Your Digital Life”. Digital Trends. 2. Athow, Desire, (2016-07-04) “The best USB flash drives 2016”. Tech Radar. 3. Dave (Jing) Tian, Nolen Scaife, Deepak Kumary, Michael Baileyy, Adam Batesy, Kevin R. B. Butle, (052019), “SoK: “Plug & Pray” Today – Understanding USB Insecurity in Versions 1 through C. |