Là một chuyên gia trong lĩnh vực an ninh mạng, tôi luôn cảm thấy vô cùng bức xúc trước những lỗ hổng bảo mật yếu kém. Mặc dù đa số người dùng có thể không phải lo lắng quá nhiều trong các tình huống thông thường, nhưng vẫn tồn tại những vector tấn công phổ biến mà tin tặc có thể và sẽ khai thác khi có cơ hội. Về cơ bản, đó là con đường ít kháng cự nhất: nếu có một vector tấn công tiềm ẩn trong mạng của bạn mà mạng khác thì không, việc khai thác cái có sẵn sẽ dễ dàng hơn nhiều so với việc tìm kiếm một cái có thể có. Đó là lý do vì sao chúng tôi khẩn thiết kêu gọi bạn ngừng việc phơi bày các thiết bị Internet of Things (IoT) của mình ra internet công cộng.
Chúng tôi hiểu rằng không phải ai cũng có thể tránh việc kết nối thiết bị IoT của mình với internet. Các camera CCTV có kết nối web, đèn thông minh và rất nhiều thiết bị công nghệ khác đòi hỏi kết nối internet để hoạt động hiệu quả hoặc đơn giản là để điều khiển. Mặc dù một số người có thể cảm thấy rằng việc cài đặt các bản cập nhật khi chúng được phát hành là đủ để bảo vệ bạn, nhưng điều đó thường không phải là sự thật. Một nghiên cứu xuất sắc từ Đại học New York, với tiêu đề “Software Update Practices on Smart Home IoT Devices“, đã phân tích dữ liệu công khai liên quan đến các thiết bị IoT, và thông tin thu được từ nghiên cứu này thực sự đáng lo ngại.
Thiết Bị IoT – Mục Tiêu Hấp Dẫn Của Kẻ Tấn Công
Thiết bị IoT vô cùng hữu ích, chúng cho phép chúng ta xây dựng những ngôi nhà thông minh thực sự. Chúng tôi đã dành rất nhiều thời gian để tìm hiểu Home Assistant, tích hợp các đèn thông minh cũ, thiết lập các cảm biến Zigbee, và triển khai phần mềm mới để điều khiển tất cả. Điều này bao gồm việc thiết lập LocalTuya, phần mềm có thể được sử dụng để điều khiển các thiết bị Tuya trong mạng cục bộ của bạn thay vì điều khiển chúng thông qua đám mây.
Dữ liệu được các nhà nghiên cứu thu thập thông qua IoT Inspector, một công cụ cho phép bạn hình dung các hoạt động mạng của thiết bị IoT tại nhà. Công cụ này, cũng được phát triển tại Đại học New York, sở hữu một bộ dữ liệu về các thiết bị thực tế, phiên bản phần mềm và user agent của chúng. Mặc dù người dùng nên cập nhật thiết bị của mình khi có bản cập nhật mới, điều đó có thể chưa đủ để bảo vệ họ. Như các nhà nghiên cứu đã nêu:
“[W]e find that vendor deploy updates in rolling fashion, and oftentimes rolled out updates are not the latest. In other words, when vendors deploy updates, they do not always update the software component to the latest versions, which means oftentimes devices are left in vulnerable state even after end user[s] install the update.”
(Chúng tôi nhận thấy rằng các nhà cung cấp triển khai cập nhật theo từng đợt, và thường thì các bản cập nhật được tung ra không phải là phiên bản mới nhất. Nói cách khác, khi các nhà cung cấp triển khai cập nhật, họ không phải lúc nào cũng cập nhật thành phần phần mềm lên các phiên bản mới nhất, điều này có nghĩa là đôi khi các thiết bị vẫn ở trạng thái dễ bị tổn thương ngay cả sau khi người dùng cuối cài đặt bản cập nhật.)
Ngay Cả Đèn Thông Minh Cũng Có Thể “Phản Bội” Bạn
Cảm biến nhiệt độ và độ ẩm Sonoff Zigbee, ví dụ về thiết bị IoT dễ bị tấn công
Vậy bạn có thể làm gì? Như chúng ta đã thấy trong quá khứ, có những mối đe dọa rất thực tế lợi dụng các thiết bị IoT trên toàn cầu, và đó là vì chúng nổi tiếng với các lỗ hổng của mình. Một trong những ví dụ nổi tiếng nhất là botnet Mirai, một botnet đã lợi dụng các lỗ hổng trong thiết bị IoT để xây dựng mạng lưới của nó. Phần mềm này được sử dụng để thực hiện một số cuộc tấn công Từ chối dịch vụ phân tán (DDoS) lớn nhất từng được ghi nhận. Nó lần đầu tiên được sử dụng để đánh sập các máy chủ Minecraft, trước khi được dùng để hạ gục những “ông lớn” như Netflix, GitHub và Reddit.
Những vấn đề này chủ yếu do các công ty sản xuất thiết bị gây ra, vì việc phát hành cập nhật chậm trễ (hoặc thậm chí không có cập nhật nào) khiến chúng trở thành mục tiêu hấp dẫn. Các vector tấn công cũng sẽ khác nhau tùy theo từng thiết bị, tùy thuộc vào cách thiết bị của bạn tương tác với internet, và nó có thể thay đổi cách chúng bị phơi bày. Một số có thể sử dụng UPnP để mở cổng cho các kết nối dựa trên đám mây, như trong trường hợp camera CCTV.
Tuy nhiên, cũng có thể phát hiện ra những lỗ hổng gây thiệt hại đáng kể hơn. Trong một trường hợp đặc biệt tai tiếng, một ngăn xếp chuyển tiếp ngang hàng (peer-to-peer relay stack) có tên iLinkP2P đã trở thành trung tâm của một vụ tranh cãi khai thác liên quan đến IoT. Với CVE-2019-11219 và CVE-2019-11220, nhà nghiên cứu bảo mật Paul Marrapese đã phát hiện ra hai triệu thiết bị IoT kết nối với internet rộng hơn dễ bị khai thác từ xa, và rất có thể còn nhiều hơn nữa.
Giải Pháp Duy Nhất Để Bảo Vệ Hoàn Toàn Thiết Bị IoT Của Bạn
Cách duy nhất để thực sự bảo vệ bản thân là ngăn các thiết bị IoT của bạn truy cập internet. Tôi đã thấy một số gợi ý đặt chúng vào một VLAN có quyền truy cập internet để cập nhật và điều khiển đám mây, để ít nhất chúng được tách biệt khỏi phần còn lại của mạng. Tuy nhiên, điều này chỉ giải quyết được một nửa vấn đề. Trong trường hợp camera CCTV chẳng hạn, các cuộc tấn công tiềm ẩn trong tương lai như vụ iLinkP2P vẫn có thể phơi bày camera CCTV trong nhà bạn ra internet rộng hơn. Nó bảo vệ bạn khỏi việc kẻ tấn công sử dụng các thiết bị đó để khám phá các thiết bị khác trên cùng một mạng, nhưng nguồn cấp dữ liệu video của camera bạn vẫn có thể hiển thị trực tuyến. Hơn nữa, trong trường hợp Mirai, nơi các thiết bị IoT được sử dụng để hình thành một botnet, VLAN bảo vệ chống lại điều đó như thế nào? Bạn có thể giới hạn mức sử dụng băng thông, nhưng bạn vẫn không giải quyết được vấn đề thực tế là các thiết bị bị xâm nhập ngay từ đầu. Thực tế, cách duy nhất để giải quyết vấn đề là đưa chúng hoàn toàn ngoại tuyến.
Các Cách Thực Tế Để Đưa Thiết Bị IoT Ngoại Tuyến Mà Không Bị Bất Tiện
Điều này rõ ràng đặt ra những thách thức riêng, nhưng có những giải pháp thay thế cho những ai nghiêm túc muốn đảm bảo an ninh mạng của mình. ESPHome từ Open Home Foundation (cùng nhóm sở hữu Home Assistant) cho phép bạn flash các thiết bị IoT của riêng mình bằng phần mềm tùy chỉnh để đưa chúng hoàn toàn ngoại tuyến và quản lý cục bộ. ESPHome rõ ràng không hỗ trợ tất cả các thiết bị, nhưng nó hỗ trợ khá nhiều, và rất có thể, hầu hết các thiết bị của bạn đều có thể được chuyển đổi. Thậm chí có một số có thể được chuyển đổi sang ESPHome qua mạng, mặc dù hầu hết yêu cầu sửa đổi vật lý. Điều này vẫn có thể đáng giá trong trường hợp của bạn, hoặc thậm chí có thể là một dự án kỹ thuật thú vị.
Cách khác để tự bảo vệ, và là cách tôi tự làm, là chặn hoàn toàn quyền truy cập internet của chúng. Tất cả đèn thông minh của tôi đều là đèn thông minh dựa trên Tuya, và các công cụ như LocalTuya cho phép bạn điều khiển chúng cục bộ. Rất dễ để lấy các khóa kết nối cần thiết để điều khiển chúng từ mạng cục bộ, và không yêu cầu sửa đổi phần cứng. Khi bạn đã thu thập các khóa đó (thông qua nền tảng Tuya Cloud Developer), bạn có thể điều khiển chúng từ LocalTuya, loại bỏ sự phụ thuộc vào đám mây và cho phép chúng vẫn được điều khiển ngay cả khi chúng không thể “gọi về nhà” nữa.
Cắm cáp Ethernet vào cổng LAN trên NAS TerraMaster, minh họa giải pháp ngắt kết nối internet cho IoT
Trong trường hợp của tôi, tôi sử dụng tường lửa OPNsense để chặn tất cả lưu lượng truy cập đến các đèn đó, ngoại trừ đến thiết bị Home Assistant của tôi, vì tất cả đèn thông minh của tôi đều được điều khiển thông qua đó như một điểm liên lạc trung tâm. Sau đó, LocalTuya (chạy dưới dạng một tích hợp tùy chỉnh được cài đặt qua HACS) có thể điều khiển chúng. LocalTuya chạy trên mạng cục bộ của tôi, không có nguy cơ đèn của tôi bị khai thác, và tôi không cần lo lắng về việc chúng bị khai thác qua internet.
Nếu bạn nghiêm túc về an ninh mạng, tôi không thể nhấn mạnh đủ tầm quan trọng của việc đưa các thiết bị IoT của bạn ngoại tuyến nếu có thể. Chúng thường dễ bị khai thác, nhận được rất ít bản cập nhật (nếu có), và có thể gây bất lợi cho an ninh của bạn. Mặc dù không có giải pháp nào là hoàn hảo, nhưng cách duy nhất để đảm bảo bạn được bảo vệ là ngăn chặn quyền truy cập của chúng vào internet rộng lớn hơn. Điều này có vẻ cực đoan, nhưng thật không may, đó là cách duy nhất. Các thiết bị này hiếm khi nhận được cập nhật, và khi có những giải pháp thay thế cho điều khiển đám mây mà bạn có thể tự triển khai, còn rất ít lý do để thực sự giữ chúng kết nối với internet.
Kết luận, việc bảo vệ ngôi nhà thông minh của bạn khỏi các mối đe dọa an ninh mạng đang ngày càng trở nên cấp bách. Các thiết bị IoT, với sự tiện lợi mà chúng mang lại, cũng tiềm ẩn những rủi ro lớn nếu không được quản lý đúng cách. Việc ngắt kết nối internet cho những thiết bị này, hoặc tối thiểu là cô lập chúng trong mạng nội bộ và điều khiển cục bộ, là một bước đi quan trọng để bảo vệ dữ liệu và sự riêng tư của bạn. Hãy cân nhắc các giải pháp như ESPHome hoặc LocalTuya, và tìm hiểu cách cấu hình tường lửa để tăng cường bảo mật cho mạng gia đình của bạn. An toàn là trên hết! Hãy chia sẻ bài viết này để cùng nhau nâng cao nhận thức về an ninh mạng trong cộng đồng.
