Với vai trò là một người quan tâm sâu sắc đến an ninh mạng, tôi luôn cảm thấy vô cùng bức xúc trước những thực hành bảo mật kém hiệu quả. Mặc dù đa số người dùng công nghệ có thể không cần quá lo lắng về các mối đe dọa chung, nhưng vẫn tồn tại những vector tấn công phổ biến mà kẻ xấu có thể và sẽ khai thác khi có cơ hội. Đây là con đường ít kháng cự nhất; nếu có một vector tấn công tiềm tàng trong mạng của bạn mà mạng khác không có, thì việc tấn công vào mạng của bạn sẽ dễ dàng hơn là tìm kiếm một lỗ hổng khác. Đó là lý do tại sao tôi tha thiết khẩn cầu bạn: hãy ngừng phơi bày các thiết bị Internet of Things (IoT) của mình ra Internet.
Tôi hiểu rằng không phải ai cũng có thể tránh việc kết nối thiết bị IoT của họ với Internet. Camera CCTV có kết nối web, đèn thông minh và rất nhiều thiết bị công nghệ khác đòi hỏi kết nối Internet để hoạt động hoặc đơn giản là để điều khiển. Một số người có thể tin rằng việc cài đặt các bản cập nhật khi chúng được phát hành là đủ để bảo vệ họ, nhưng thực tế thường không phải vậy. Một nghiên cứu xuất sắc từ Đại học New York, có tựa đề “Thực Tiễn Cập Nhật Phần Mềm Trên Các Thiết Bị IoT Gia Đình Thông Minh”, đã phân tích dữ liệu công khai liên quan đến thiết bị IoT, và thông tin thu được từ đó không khỏi gây lo ngại.
Thiết Bị IoT: Miếng Mồi Ngon Của Kẻ Tấn Công
Đèn Thông Minh Của Bạn Có Thể “Phản Bội” Bạn
Các thiết bị IoT vô cùng hữu ích, chúng giúp chúng ta xây dựng những ngôi nhà thực sự thông minh. Cá nhân tôi đã dành rất nhiều thời gian với Home Assistant, tích hợp các đèn thông minh cũ hơn, cài đặt các cảm biến Zigbee và triển khai phần mềm mới để điều khiển tất cả chúng. Điều này bao gồm cả việc thiết lập LocalTuya, một phần mềm có thể được sử dụng để điều khiển các thiết bị Tuya trên mạng nội bộ thay vì thông qua đám mây.
Cảm biến nhiệt độ và độ ẩm Sonoff Zigbee – Thiết bị nhà thông minh phổ biến
Dữ liệu được thu thập bởi các nhà nghiên cứu được lấy thông qua IoT Inspector, một công cụ cho phép bạn trực quan hóa các hoạt động mạng của thiết bị IoT tại nhà. Công cụ này, cũng được phát triển tại Đại học New York, sở hữu một bộ dữ liệu về các thiết bị thực tế, phiên bản phần mềm và user agents của chúng. Mặc dù người dùng nên cập nhật thiết bị của mình khi có bản cập nhật, điều đó có thể không đủ để bảo vệ họ. Như các nhà nghiên cứu đã nêu:
“Chúng tôi nhận thấy rằng các nhà cung cấp triển khai cập nhật theo hình thức cuốn chiếu, và thường thì các bản cập nhật được triển khai không phải là phiên bản mới nhất. Nói cách khác, khi các nhà cung cấp triển khai cập nhật, họ không phải lúc nào cũng cập nhật thành phần phần mềm lên phiên bản mới nhất, điều này có nghĩa là thiết bị thường bị bỏ lại trong tình trạng dễ bị tổn thương ngay cả sau khi người dùng cuối cài đặt bản cập nhật.”
Vậy bạn có thể làm gì? Như chúng ta đã thấy trong quá khứ, có những mối đe dọa rất thực tế lợi dụng các thiết bị IoT trên toàn cầu, và đó là bởi vì chúng nổi tiếng với những lỗ hổng của mình. Một trong những ví dụ nổi tiếng nhất là botnet Mirai, một mạng botnet đã lợi dụng các lỗ hổng trong thiết bị IoT để xây dựng mạng lưới của nó. Phần mềm này được sử dụng để thực hiện một số cuộc tấn công Từ chối Dịch vụ Phân tán (DDoS) lớn nhất từng thấy. Nó lần đầu tiên được dùng để đánh sập các máy chủ Minecraft, trước khi được sử dụng để hạ gục các “ông lớn” như Netflix, GitHub và Reddit.
Những vấn đề này chủ yếu do các công ty sản xuất thiết bị gây ra, vì việc phát hành chậm (hoặc thậm chí không phát hành) các bản cập nhật khiến chúng trở thành mục tiêu hấp dẫn. Các vector tấn công cũng sẽ khác nhau tùy theo từng thiết bị, tùy thuộc vào cách thiết bị tương tác với Internet, và điều này có thể thay đổi cách chúng bị phơi bày. Một số có thể sử dụng UPnP để mở cổng cho các kết nối dựa trên đám mây, chẳng hạn như trường hợp của camera CCTV.
Tuy nhiên, có thể phát hiện ra những lỗ hổng gây thiệt hại đáng kể hơn. Trong một trường hợp đặc biệt tai tiếng, một ngăn xếp chuyển tiếp ngang hàng (peer-to-peer relay stack) có tên iLinkP2P đã trở thành trung tâm của một vụ tranh cãi khai thác liên quan đến IoT. Với các định danh CVE-2019-11219 và CVE-2019-11220, nhà nghiên cứu bảo mật Paul Marrapese đã phát hiện ra hai triệu thiết bị IoT kết nối với Internet rộng lớn bị lỗ hổng tấn công từ xa, và rất có thể còn nhiều hơn nữa.
Cách Duy Nhất Để Bảo Vệ Thiết Bị IoT Của Bạn Hoàn Toàn
Giải Pháp Tối Ưu: Ngắt Kết Nối Internet Mà Vẫn Tiện Lợi
Cách duy nhất để thực sự bảo vệ bản thân là ngăn chặn các thiết bị IoT của bạn truy cập Internet. Tôi đã thấy một số gợi ý đặt chúng trên một VLAN có truy cập Internet để cập nhật và điều khiển qua đám mây, để ít nhất chúng được tách biệt khỏi phần còn lại của mạng. Tuy nhiên, điều đó chỉ giải quyết một nửa vấn đề. Chẳng hạn, trong trường hợp camera CCTV, các cuộc tấn công lý thuyết trong tương lai như vụ iLinkP2P vẫn có thể phơi bày camera CCTV trong nhà bạn ra Internet. Việc này bảo vệ bạn khỏi việc kẻ tấn công sử dụng các thiết bị đó để khám phá các thiết bị khác trên cùng mạng, nhưng nguồn cấp dữ liệu video của camera của bạn giờ đây có thể hiển thị trực tuyến. Hơn nữa, trong trường hợp của Mirai, khi các thiết bị IoT được sử dụng để hình thành một botnet, thì VLAN bảo vệ như thế nào? Bạn có thể giới hạn mức sử dụng băng thông, nhưng bạn vẫn không giải quyết được vấn đề thực sự là các thiết bị bị xâm nhập ngay từ đầu. Thực tế, cách duy nhất để giải quyết vấn đề là đưa chúng ngoại tuyến hoàn toàn.
Cắm cáp Ethernet vào cổng LAN 10GbE của NAS TerraMaster F4-424 Max, minh họa kết nối mạng nội bộ an toàn
Điều này rõ ràng đặt ra những thách thức riêng, nhưng có những cách giải quyết cho những người thực sự nghiêm túc trong việc đảm bảo an ninh mạng của họ. ESPHome từ Open Home Foundation (cùng nhóm sở hữu Home Assistant) cho phép bạn flash các thiết bị IoT của riêng mình bằng phần mềm tùy chỉnh để đưa chúng hoàn toàn ngoại tuyến và quản lý chúng cục bộ. ESPHome rõ ràng không hỗ trợ mọi thiết bị, nhưng nó hỗ trợ khá nhiều, và rất có thể, hầu hết các thiết bị của bạn đều có thể được chuyển đổi. Thậm chí có một vài thiết bị có thể được chuyển đổi sang ESPHome qua mạng, mặc dù hầu hết yêu cầu sửa đổi vật lý. Điều này vẫn có thể đáng giá đối với trường hợp của bạn, hoặc thậm chí có thể là một dự án kỹ thuật thú vị.
Cách khác để bảo vệ bản thân, và cách mà cá nhân tôi thực hiện, là chặn hoàn toàn truy cập Internet của chúng. Tất cả các đèn thông minh của tôi đều là đèn thông minh dựa trên Tuya, và các công cụ như LocalTuya cho phép bạn điều khiển chúng cục bộ. Việc lấy các khóa kết nối cần thiết để điều khiển chúng từ mạng cục bộ rất dễ dàng, và không yêu cầu sửa đổi phần cứng. Sau khi bạn đã thu thập các khóa đó (thông qua nền tảng Tuya Cloud Developer), bạn có thể điều khiển chúng từ LocalTuya, loại bỏ sự phụ thuộc vào đám mây của chúng và cho phép chúng vẫn được điều khiển ngay cả khi chúng không thể “gọi về nhà” được nữa.
Trong trường hợp của tôi, tôi sử dụng firewall OPNsense để chặn tất cả traffic đến các đèn đó, ngoại trừ đến hộp Home Assistant của tôi, vì tất cả các đèn thông minh của tôi được điều khiển thông qua nó như một điểm liên lạc trung tâm. Sau đó, LocalTuya (chạy dưới dạng một tích hợp tùy chỉnh được cài đặt qua HACS) có thể điều khiển chúng. LocalTuya chạy trên mạng cục bộ của tôi, không có rủi ro đèn của tôi bị khai thác, và tôi không cần lo lắng về việc chúng bị khai thác qua Internet.
Nếu bạn thực sự nghiêm túc về an ninh mạng, tôi không thể nhấn mạnh đủ tầm quan trọng của việc bạn đưa các thiết bị IoT của mình ngoại tuyến nếu có thể. Chúng thường dễ bị khai thác, nhận rất ít bản cập nhật (nếu có), và có thể gây hại cho an ninh của bạn. Mặc dù không có giải pháp nào là hoàn hảo, nhưng cách duy nhất để đảm bảo bạn được bảo vệ là ngăn chặn chúng truy cập vào Internet rộng lớn hơn. Điều này có vẻ cực đoan, nhưng thật không may, đó là cách duy nhất. Các thiết bị này hiếm khi được cập nhật, và khi có các giải pháp thay thế cho việc điều khiển đám mây mà bạn có thể tự triển khai, thì còn rất ít lý do để thực sự giữ chúng kết nối với Internet.
