Một đề xuất từ Cơ quan Quản lý An toàn Giao thông Quốc gia và các chính quyền châu Âu là đặt tín hiệu 802.11p – “bút danh” của chiếc xe – thay đổi sau mỗi năm phút. Tuy nhiên, điều đó sẽ không ngăn được một kẻ tấn công chuyên nghiệp – hắn ta sẽ chỉ cài đặt thêm các cảm biến bên đường để xác định chiếc xe trước và sau khi nó thay đổi. Nói tóm lại, dường như có rất ít lựa chọn để tránh nhận dạng xe.
“Thay đổi bút danh không ngăn được theo dõi. Nó chỉ có thể giảm thiểu đòn tấn công này,” Petit nói. “Nhưng nó vẫn cần thiết để cải thiện sự riêng tư… Chúng tôi muốn chứng minh rằng trong bất kỳ cuộc triển khai nào, bạn vẫn phải có sự bảo vệ này, nếu không bạn sẽ bị theo dõi.”
Kết nối xe hơi với Internet thực sự tốt cho chủ sở hữu xe: nhà sản xuất có thể đẩy ra các bản sửa lỗi phần mềm ngay lập tức nếu chúng cần thiết. Tại thời điểm viết cuốn sách này, Volkswagen, Land Rover, và Chrysler đã trải nghiệm qua những lỗ hổng phần mềm nổi tiếng. Tuy nhiên, chỉ có một vài nhà sản xuất ô tô, chẳng hạn như Mercedes, Tesla và Ford, gửi các bản cập nhật từ xa cho tất cả các xe ô tô của họ. Phần còn lại của chúng ta vẫn phải đi vào cửa hàng để cập nhật phần mềm cho xe của mình.
Nếu bạn nghĩ cách mà Tesla và Uber đang theo dõi mọi chuyến đi bạn thực hiện là đáng sợ, thì những chiếc xe tự lái sẽ còn đáng sợ hơn nữa. Giống như các thiết bị giám sát cá nhân mà chúng ta giữ trong túi của mình – những chiếc điện thoại – những chiếc xe tự lái của chúng ta sẽ cần phải theo dõi nơi chúng ta muốn đến và thậm chí có thể biết chúng ta đang ở đâu tại một thời điểm nhất định để luôn sẵn sàng. Kịch bản do Google và những đơn vị khác đề xuất là các thành phố sẽ không còn cần bãi đậu xe hoặc nhà để xe nữa – xe của bạn sẽ chạy xung quanh cho đến khi cần đến nó. Hoặc có lẽ các thành phố sẽ theo mô hình theo yêu cầu, trong đó quyền sở hữu tư nhân là một điều của quá khứ và mọi người chia sẻ bất kỳ chiếc xe nào ở gần đó.
Nếu như điện thoại di động giống với máy tính truyền thống hơn là giống điện thoại dây đồng, thì tương tự, những chiếc xe tự lái cũng sẽ là một dạng máy tính mới. Chúng sẽ là các thiết bị tính toán độc lập, có thể đưa ra quyết định tự trị từng giây trong khi lái xe trong trường hợp chúng bị cắt khỏi liên lạc mạng của chúng. Sử dụng kết nối di động, chúng sẽ có thể truy cập vào nhiều dịch vụ đám mây, cho phép chúng nhận thông tin giao thông theo thời gian thực, cập nhật xây sửa đường và thông tin thời tiết.
Các bản cập nhật này hiện có sẵn trên một số loại xe thông thường. Nhưng người ta dự đoán rằng đến năm 2025, phần lớn những chiếc xe trên đường sẽ được kết nối với những chiếc xe khác, đến các dịch vụ hỗ trợ dọc đường – và có khả năng là một tỷ lệ đáng kể trong số này sẽ tự lái. Hãy tưởng tượng một lỗi phần mềm trong một xe tự lái sẽ như thế nào.
Trong khi đó, mỗi chuyến đi của bạn sẽ được ghi lại ở đâu đó. Bạn sẽ cần một ứng dụng, giống như ứng dụng Uber, thứ này sẽ được đăng ký với bạn và thiết bị di động của bạn. Ứng dụng đó sẽ ghi lại các chuyến đi của bạn và có lẽ là các chi phí liên quan đến chuyến đi của bạn nếu chúng được tính vào thẻ tín dụng trong hồ sơ, thông tin này có thể bị thu hồi, nếu không phải từ Uber thì từ công ty phát hành thẻ tín dụng của bạn. Và rõ rằng một công ty tư nhân có nhiều khả năng sẽ tham gia thiết kế phần mềm chạy những chiếc xe tự lái này, bạn sẽ phải lo lắng về những công ty đó và quyết định của họ về việc chia sẻ bất kỳ hoặc tất cả thông tin cá nhân của bạn với các cơ quan thực thi pháp luật.
Chào mừng bạn đến với tương lai.
Tôi hy vọng rằng vào thời điểm bạn đọc những điều này sẽ có những quy định nghiêm ngặt hơn hoặc ít nhất là gợi ý các quy định nghiêm ngặt hơn trong tương lai gần – liên quan đến việc sản xuất xe ô tô kết nối và giao thức truyền thông của chúng. Thay vì sử dụng các biện pháp bảo mật phần mềm và phần cứng được chấp nhận rộng rãi đã thành tiêu chuẩn ngày nay, ngành công nghiệp ô tô, giống như ngành công nghiệp thiết bị y tế và những ngành khác, đang cố gắng phát minh lại phương tiện vận tải như thể chúng ta chưa học được nhiều về an ninh mạng trong suốt 40 năm qua. Chúng ta đã học, và sẽ là tốt nhất nếu các ngành này bắt đầu theo các phương pháp hay nhất hiện có thay vì nhấn mạnh rằng những gì họ đang làm hoàn toàn khác với những gì đã được thực hiện trước đây. Không phải vậy. Thật không may, thất bại trong việc bảo mật mã trong xe hơi có hậu quả lớn hơn nhiều so với một vụ treo phần mềm đơn thuần, với màn hình xanh chết chóc. Trong xe hơi, thất bại đó có thể gây hại hoặc giết chết một con người. Tại thời điểm viết cuốn sách này, ít nhất một người đã chết trong khi một chiếc Tesla đang ở chế độ chạy tự động thử nghiệm phiên bản beta, mà kết quả là do phanh bị lỗi hay lỗi do phần mềm của xe phán đoán sai vẫn chưa được tìm ra.
Đọc điều này, bạn có thể không muốn ra khỏi nhà nữa. Trong chương tiếp theo, tôi sẽ bàn về việc các tiện ích trong nhà lắng nghe và ghi lại những gì chúng ta làm sau cánh cửa đóng kín. Trong trường hợp này, chính phủ không phải là điều chúng ta cần phải sợ.
Chương 12:
Internet của giám sát
Vài năm trước đây, không ai quan tâm đến bộ điều nhiệt trong nhà. Đó là loại điều nhiệt đơn giản hoạt động thủ công, giúp duy trì nhiệt độ thoải mái cho ngôi nhà. Sau đó, nó được lập trình. Rồi một công ty tên là Nest quyết định rằng bạn nên có khả năng kiểm soát nó bằng một ứng dụng dựa trên nền tảng Internet. Bạn có thể cảm nhận được điều tôi sẽ nhắc đến, đúng không?
Trong một bài đánh giá sản phẩm với giọng đầy thù hằn về bộ điều nhiệt Wi-Fi Smart Touchscreen của Honeywell, một người tự gọi mình là General (Tướng) viết trên Amazon rằng người vợ cũ đã lấy ngôi nhà, con chó, và khoản tiền tiết kiệm khi về hưu, nhưng anh ta đã giữ lại được mật khẩu bộ điều nhiệt Honeywell. General nói khi người vợ cũ cùng bạn trai ra khỏi thị trấn, anh ta sẽ tăng nhiệt độ trong nhà lên, sau đó đưa trở về nhiệt độ bình thường trước khi họ quay lại. “Chỉ riêng việc nghĩ đến hóa đơn tiền điện của họ cũng khiến tôi mỉm cười.”
Các nhà nghiên cứu tại Hội nghị Bảo mật Black Hat tại Mỹ năm 2014 đã tiết lộ một số sơ hở trong phần mềm của bộ điều nhiệt Nest. Điều quan trọng cần lưu ý là nhiều sơ hở trong số này yêu cầu quyền truy cập vật lý vào thiết bị, nghĩa là có người sẽ phải vào trong nhà của bạn và cài đặt cổng USB trên bộ điều nhiệt. Daniel Buentello, một nhà nghiên cứu bảo mật độc lập, một trong bốn diễn giả đã nói về việc xâm nhập thiết bị này, nói: “Đây là một máy tính mà người dùng không thể cài phần mềm chống virus. Tệ hơn nữa, có một cánh cửa hậu bí mật mà kẻ xấu có thể sử dụng và ở đó mãi mãi. Nó cứ như là một con ruồi đậu trên tường vậy.”
Nhóm nghiên cứu trên công chiếu một video quay cảnh họ thay đổi giao diện bộ điều nhiệt Nest (họ làm cho nó trông giống như ống kính máy ảnh lặn HAL 9000) và tải lên nhiều tính năng mới khác. Điều thú vị là, họ không thể tắt tính năng báo cáo tự động trong thiết bị, vì vậy họ đành tự tạo công cụ riêng để làm điều đó. Công cụ này sẽ cắt luồng dữ liệu chảy ngược trở lại Google, công ty mẹ của Nest.
Nhận xét về bài thuyết trình trên, Zoz Cuccias của Nest sau đó đã nói với VentureBeat: “Tất cả các thiết bị phần cứng – từ máy tính xách tay đến điện thoại thông minh – đều dễ bị bẻ khóa; đây không phải là vấn đề của riêng ai. Đây là một cách bẻ khóa vật lý yêu cầu truy cập vật lý vào Nest Learning Thermostat. Nếu có người vào được trong nhà của bạn và được tự do, rất có thể họ sẽ cài đặt thiết bị riêng, hoặc lấy đồ trang sức. Việc bẻ khóa này không ảnh hưởng đến an ninh của máy chủ hoặc các kết nối với máy chủ, và theo những gì chúng tôi biết, chưa có thiết bị nào được truy cập và xâm nhập từ xa. Bảo mật khách hàng là rất quan trọng đối với chúng tôi và ưu tiên cao nhất của chúng tôi là lỗ hổng từ xa. Một trong những biện pháp phòng thủ tốt nhất của bạn là mua Dropcam Pro để có thể giám sát nhà của mình khi vắng nhà.”
Với sự ra đời của Internet Vạn Vật, các công ty như Google đang háo hức chiếm lĩnh từng khía cạnh trong đó để sở hữu các nền tảng mà các sản phẩm khác sẽ sử dụng. Nói cách khác, các công ty này muốn thiết bị do các công ty khác phát triển phải kết nối với dịch vụ của họ chứ không phải với dịch vụ của công ty khác. Google sở hữu cả Dropcam và Nest, nhưng họ muốn các thiết bị Internet Vạn Vật khác, chẳng hạn như bóng đèn thông minh và các thiết bị giám sát trẻ, kết nối với tài khoản Google của người dùng. Ưu điểm của điều này, ít nhất là với Google, là họ thu thập được nhiều dữ liệu thô hơn về thói quen cá nhân của bạn (và điều này áp dụng cho bất kỳ công ty lớn nào – Apple, Samsung, thậm chí cả Honeywell).
Khi nói về Internet Vạn Vật, chuyên gia bảo mật máy tính Bruce Schneier kết luận trong một cuộc phỏng vấn rằng: “Điều này rất giống với lĩnh vực máy tính trong những năm 1990. Không ai chú ý đến an ninh, không ai cập nhật, không ai biết bất cứ điều gì – tất cả đều thực sự, thực sự rất tệ và nó sẽ đổ sụp. Sẽ có những lỗ hổng, chúng sẽ bị kẻ xấu khai thác, và không có cách nào để vá chúng.”
