Người dùng gia đình đang phải đối mặt với rủi ro an ninh mạng từ những lỗ hổng dễ tổn thương trong các router, trong khi hầu hết các nhà sản xuất chưa sẵn sàng đối phó.
Hệ điều hành (HĐH) máy tính đã được cải thiện đáng kể về vấn đề bảo mật trong hơn một thập kỷ qua, các hãng liên tục “gia cố” và thêm nhiều lớp bảo vệ cho HĐH của mình. Tuy nhiên, các thiết bị mạng tại gia đình như router, modem, AP (điểm truy cập không dây) thì lại không được các nhà sản xuất quan tâm đúng mức về bảo mật. Vì thế các thiết bị này có thể đem lại nguy cơ đáng kể cho người dùng gia đình sử dụng các giao dịch trực tuyến, bởi họ thường quan niệm đây là những thiết bị “cắm và quên” trong góc nhà.
Xét trên diện rộng, những năm trước, router và các thiết bị nhúng khác vẫn chưa nằm trong tầm ngắm của tin tặc. Nhưng điều đó có vẻ đang thay đổi, và cho dù đã xuất hiện những cuộc tấn công trong năm nay, điều đáng ngại là diễn biến nhanh hơn khả năng đối phó của các nhà sản xuất.
Các chuyên gia bảo mật cho rằng, sự thiếu quan tâm bảo mật đúng mức của các nhà sản xuất đối với sản phẩm của họ khiến router gia đình trở thành một mục tiêu hấp dẫn, vì đó là cầu nối cho mọi thiết bị điện toán trong nhà truy cập Internet. Theo Trey Ford, chiến lược gia an ninh bảo mật toàn cầu của công ty bảo mật Rapid7, thường thì người dùng chỉ quan tâm tới độ tin cậy của một website mà không biết rằng niềm tin đó có thể bị đánh cắp bởi kẻ xấu lợi dụng lỗ hổng bảo mật trên router (hay modem cáp, điểm truy cập AP, gateway). Xu hướng thêm nhiều thiết bị kết nối Internet đồng nghĩa với việc có nhiều cơ hội hơn cho những kẻ tấn công.
Router - mục tiêu tấn công mới của tin tặc
Liên tục từ đầu năm trở lại đây, số vụ tin tặc xâm phạm mạng gia đình trên diện rộng thông qua các router có chiều hướng gia tăng.
Hồi đầu tháng 2, Cơ quan ứng cứu khẩn cấp máy tính của Ba Lan (Emergency Response Team) đã cảnh báo rằng, hàng nghìn router gia đình tại nước này đã bị tin tặc sửa đổi thiết lập DNS để chuyển hướng truy cập của người dùng tới các website độc hại, nhằm đánh cắp tài khoản ngân hàng trực tuyến của họ. Tới cuối tháng, các nhà nghiên cứu bảo mật tại Trung tâm Internet Storm (ISC) của viện SANS đã phát hiện ra một loại sâu, đặt tên TheMoon, khai thác một tập tin mã CGI bị lỗi để lây nhiễm nhiều dòng router E-Series của Linksys. Đáng chú ý là một số dòng router cũ như E1000 không còn được nhà sản xuất hỗ trợ cập nhật bản vá sửa lỗi firmware.
Những lỗ hổng trong cầu nối Internet của mạng gia đình khiến người dùng đối mặt với nhiều rủi ro.
Trong tháng 3, tổ chức nghiên cứu an ninh mạng Internet Team Cymru báo cáo rằng một chiến dịch tấn công toàn cầu đã xâm hại 300.000 router không dây dùng cho gia đình và văn phòng nhỏ. Trong danh sách các router bị xâm hại có các thương hiệu quen thuộc D-Link, Micronet, Tenda, TP-Link… Các router đã bị can thiệp từ xa, điều hướng sang các máy chủ phân giải tên miền (DNS) khác, và người dùng đối mặt với những rủi ro vì bị dẫn tới các website độc hại mà không hề hay biết. Team Cymru cho biết, việc khai thác lỗ hổng dễ tổn thương trong các router gia đình bắt đầu xuất hiện từ đầu năm nay.
Cũng trong tháng 2, hàng nghìn địa chỉ IP của các router Asus đã bị tin tặc tung lên Internet kèm theo nội dung chứa trên các ổ cứng cắm vào router. Lỗ hổng trên router Asus đã được công bố chi tiết từ hè năm ngoái, qua sự vụ mới đây, Asus phát hành thêm bản vá lỗi firmware cho một số dòng. Các chuyên gia còn lên tiếng cảnh báo nguy cơ hàng triệu router gia đình bị lạm dụng tham gia mạng lưới tấn công DDoS dựa trên DNS; các đầu ghi Hikvision DVR (được dùng để ghi video từ các camera giám sát) cũng bị phát hiện nhiễm mã độc “đào” Bitcoin do một mật khẩu root mặc định và dịch vụ telnet bị lợi dụng.
Năm nay, các công ty phòng chống virus bắt đầu khám phá ra những chương trình phần mềm độc hại được viết cho các kiến trúc thường được sử dụng trên các thiết bị nhúng như ARM, PPC, MIPS và MIPSEL hoặc các botnet (mạng máy tính ma) cố gắng truy cập vào các router bằng cách sử dụng các thông tin đăng nhập dễ đoán.
Các nhà sản xuất router “ngây thơ” về bảo mật
Trong bối cảnh các nhà phát triển phần mềm đã có nhiều tiến bộ trong việc tăng cường cơ chế bảo mật cho các chương trình do họ viết ra, những kẻ tấn công dường như bắt đầu chuyển hướng từ khai thác lỗ hổng dễ tổn thương trong các ứng dụng khách phổ biến sang nhắm mục tiêu các router.
Theo Carsten Eiram, giám đốc nghiên cứu tại hãng bảo mật Risk Based Security, các thiết bị nhúng như router gia đình là mục tiêu mới cho những kẻ tấn công vì chúng được mọi người sử dụng, nhưng lại không có cơ chế bảo mật thực sự nên dễ bị khai thác. Chuyên gia này đưa ra nhận định, các nhà sản xuất thiết bị đã bị tụt hậu khá xa khi nói đến lập trình bảo mật. Các lỗ hổng được tìm thấy thường là những vấn đề hết sức cơ bản, có từ thời những năm 1990 như tràn bộ đệm và lây nhiễm lệnh của HĐH.
Nhiều người chưa lưu tâm tới việc đổi mật khẩu mặc định của tài khoản quản trị,
để cửa mở toang cho kẻ xấu xâm nhập router.
Eiram cho rằng, nhiều nhà cung cấp cũng không chuẩn bị để đối phó với các vấn đề an ninh bảo mật và dường như không có bất kỳ chương trình bảo mật thực sự nào cho quá trình phát triển hoặc để xử lý các lỗ hổng được báo cáo với họ.
Trong khi đó, thiết bị mạng căn bản do các nhà cung cấp dịch vụ Internet (ISP) cung cấp cho khách hàng của họ có thể làm tăng nguy cơ các cuộc tấn công quy mô lớn. Đó là bởi mọi lỗ hổng nghiêm trọng nếu phát hiện trong các thiết bị như vậy đồng nghĩa với hàng triệu mục tiêu tiềm năng với cùng cấu hình rất dễ bị tấn công. Điều đáng ngại là các lỗ hổng như vậy không hiếm. Chỉ mới tháng trước một nhà nghiên cứu đã công bố chi tiết về những lỗ hổng được tìm thấy trong các thiết bị ADSL/Fiber Box được cung cấp bởi ISP SFR (Pháp) cho khách hàng của mình. Trước đó, vào tháng 1, một lỗ hổng nghiêm trọng được tìm thấy trong router EE BrightBox của ISP EE (Anh) cung cấp cho khách hàng. SFR có đến 5,2 triệu thuê bao dịch vụ băng thông rộng, và EE – liên doanh giữa Deutsche Telekom và Orange có đến 15 triệu thuê bao gia đình ở Anh sử dụng dịch vụ băng rộng cáp quang của mình.
Lỗi một phần ở người dùng
Nhưng các chuyên gia bảo mật còn chỉ ra rằng các cuộc tấn công nhiều khi do lỗi người dùng chứ không nên chỉ đổ lỗi bảo mật sơ sài của router cho các nhà sản xuất. Rất nhiều người dùng thậm chí không đổi mật khẩu admin mặc định trên thiết bị, vô tình để cửa mở toang cho những kẻ tấn công đột nhập bất cứ lúc nào.
Tuy nhiên, việc đổi mật khẩu không khó nếu người dùng có ý thức, vấn đề là tự cập nhật và cấu hình router nhiều khi ngoài tầm hiểu biết của người không chuyên, và các bản vá sửa lỗi bảo mật nghiêm trọng lại không được tải về tự động.
Với người am hiểu kỹ thuật, có khả năng tự cấu hình router, các chuyên gia bảo mật khuyên họ vô hiệu hóa quyền truy cập quản trị router từ xa vì đó là tính năng thường dễ bị tổn thương nhất. Cuối cùng, người dùng nên kiểm tra việc cập nhật thường xuyên để đảm bảo router của mình được vá firmware kịp thời, khắc phục các lỗ hổng mới bị phát hiện.
PC World VN, 05/2014
bảo mật router, hiểm họa router