Nghệ thuật ẩn mình – Kevin D. Mitnick, Robert Vamosi

Có những cách khác, công nghệ thấp hơn để giảm thiểu tính năng nghe trộm đáng sợ này trong Chrome và các chương trình khác. Đối với webcam, chỉ cần đặt một miếng băng dính lên trên. Đối với micro, một trong những biện pháp phòng thủ tốt nhất là cắm micro giả vào ổ cắm micro của máy tính cá nhân truyền thống. Để thực hiện việc này, hãy lấy một bộ tai nghe nhét lỗ hoặc bộ tai nghe có quai cũ bị hỏng và chỉ cần cắt dây gần giắc cắm micro. Bây giờ, cắm cuống của một giắc mic vào ổ cắm. Máy tính sẽ nghĩ rằng ở đó có micro trong khi thực tế là không có. Tất nhiên, nếu bạn muốn thực hiện cuộc gọi bằng Skype hoặc một số dịch vụ trực tuyến khác, thì trước tiên bạn phải tháo đầu cắm. Ngoài ra – và điều này rất quan trọng – hãy đảm bảo rằng hai dây trên cuống mic không chạm nhau để bạn không làm cháy cổng mic.

Một thiết bị kết nối khác sống trong nhà là Amazon Echo, một hub Internet cho phép người dùng đặt phim theo yêu cầu và các sản phẩm khác từ Amazon bằng giọng nói. Echo cũng luôn bật, ở chế độ chờ, nghe từng từ, chờ đợi một câu lệnh để “đánh thức” nó. Bởi vì Amazon Echo thực hiện nhiều hơn một chiếc ti-vi thông minh, nó yêu cầu người dùng lần đầu nói lên đến 25 cụm từ cụ thể vào thiết bị trước khi đưa ra bất kỳ lệnh nào. Amazon có thể cho bạn biết thời tiết bên ngoài, cung cấp kết quả thể thao mới nhất và đặt hàng hoặc sắp xếp lại các mục từ bộ sưu tập của nó nếu bạn yêu cầu điều này. Do tính chất chung của một số cụm từ mà Amazon nhận ra – ví dụ: “Trời có mưa vào ngày mai không?” – điều này có nghĩa là Echo có thể nghe nhiều hơn ti-vi thông minh.

May mắn thay, Amazon cung cấp các cách để xóa dữ liệu giọng nói khỏi Echo. Nếu muốn xóa mọi thứ (ví dụ trong trường hợp bạn định bán Echo), bạn cần truy cập trực tuyến để xóa.

Trong khi tất cả các thiết bị kích hoạt bằng giọng nói này đều yêu cầu một cụm từ lệnh để thức dậy, chúng ta vẫn chưa biết chúng làm gì trong thời gian ngủ – thời gian chúng không bị ra lệnh làm gì. Khi có thể, hãy tắt tính năng kích hoạt bằng giọng nói trong cài đặt cấu hình. Bạn luôn có thể bật lại khi cần.

Ngoài ti-vi và bộ điều nhiệt, tủ lạnh cũng gia nhập cùng Amazon Echo trong Internet Vạn Vật.

Tủ lạnh?

Samsung mới công bố một mô hình tủ lạnh kết nối với lịch Google để hiển thị các sự kiện sắp tới trên màn hình phẳng được gắn vào cửa của thiết bị, một dạng giống như cái bảng trắng mà chúng ta vẫn đặt ở đó. Bây giờ tủ lạnh sẽ được kết nối với Internet thông qua tài khoản Google của bạn.

Samsung đã làm một vài điều đúng đắn trong việc thiết kế tủ lạnh thông minh này, chẳng hạn như một kết nối SSL/https để mã hóa luồng dữ liệu giữa tủ lạnh và máy chủ chứa lịch Google. Và họ đã gửi một chiếc tủ lạnh tương lai đến thử nghiệm tại DEF CON 23 – một trong những hội nghị hacker lớn nhất thế giới.

Tuy nhiên, theo các nhà nghiên cứu bảo mật Ken Munro và David Lodge, những người đã xâm nhập vào dòng giao tiếp của các ti-vi kỹ thuật số, Samsung không kiểm tra chứng chỉ cho phép thực hiện giao tiếp với các máy chủ của Google và lấy thông tin lịch Gmail. Chứng chỉ xác thực rằng thông tin liên lạc giữa tủ lạnh và các máy chủ Google là bảo mật. Nhưng nếu không có nó, kẻ xấu có thể tạo chứng chỉ riêng để nghe trộm kết nối giữa tủ lạnh và Google.

Vậy thì sao?

Trong trường hợp này, khi xâm nhập được vào mạng gia đình của bạn, kẻ xấu không chỉ có thể truy cập vào tủ lạnh và làm hỏng sữa và trứng nhà bạn mà còn có thể truy cập vào thông tin tài khoản Google của bạn bằng cách thực hiện một cuộc tấn công MITM ở phần mềm lịch trong tủ lạnh và ăn cắp thông tin đăng nhập Google của bạn để đọc lén email, thậm chí có thể gây thiệt hại lớn hơn.

Tủ lạnh thông minh vẫn chưa phổ biến. Nhưng rõ ràng, khi chúng ta kết nối nhiều thiết bị hơn với Internet, và thậm chí với mạng gia đình, sẽ có sự mất an toàn. Điều này thật đáng sợ, nhất là khi thứ bị xâm phạm là thứ thực sự quý giá và riêng tư, như gia đình bạn chẳng hạn.

Các công ty Internet Vạn Vật đang nghiên cứu các ứng dụng có thể biến bất kỳ thiết bị nào thành một hệ thống an ninh gia đình. Ví dụ, một ngày nào đó chiếc ti-vi của bạn có thể chứa camera. Trong trường hợp đó, một ứng dụng trên điện thoại thông minh hoặc máy tính bảng có thể cho phép bạn xem bất kỳ phòng nào trong nhà hoặc văn phòng từ bất kỳ vị trí nào ở xa. Đèn cũng có thể bật lên khi có chuyển động bên trong hoặc bên ngoài ngôi nhà.

Chúng ta hãy cùng hình dung một ví dụ sau đây. Khi bạn lái xe về nhà, ứng dụng hệ thống báo động trên điện thoại hoặc trong ô tô sử dụng khả năng định vị địa lý được tích hợp sẵn để cảm nhận sự xuất hiện của bạn. Khi bạn cách nhà 15 mét, ứng dụng sẽ báo hiệu cho hệ thống báo động tại nhà để mở khóa cửa trước hoặc cửa garage (ứng dụng trên điện thoại đã được kết nối với ngôi nhà và xác thực). Hệ thống báo động tiếp tục liên hệ với hệ thống chiếu sáng trong nhà, yêu cầu nó chiếu sáng cổng vòm, lối vào, và có thể là phòng khách hoặc nhà bếp. Ngoài ra, bạn cũng có thể bước vào nhà trong tiếng nhạc dìu dặt phát trên dàn âm thanh nổi từ một dịch vụ như Spotify. Và dĩ nhiên, khi bạn trở về, nhiệt độ của ngôi nhà sẽ ấm lên hoặc mát đi tùy theo mùa và sở thích của bạn.

Hệ thống báo động tại nhà trở nên phổ biến trong thời điểm đầu thế kỷ 21. Khi đó, để lắp đặt hệ thống này, kỹ thuật viên phải gắn các cảm biến có dây ở cửa ra vào và cửa sổ của ngôi nhà. Các cảm biến có dây này được kết nối với một trung tâm sử dụng điện thoại cố định có dây để gửi và nhận tin nhắn từ dịch vụ giám sát. Bạn sẽ đặt báo động và nếu có ai xâm phạm cửa ra vào và cửa sổ đã được bảo vệ, dịch vụ giám sát sẽ liên lạc với bạn, thường là qua điện thoại. Hệ thống được trang bị pin để đề phòng trường hợp mất điện. Xin lưu ý, điện thoại cố định thường không bao giờ mất điện trừ khi dây dẫn đến nhà bị cắt.

Khi mọi người chuyển từ điện thoại cố định dùng dây đồng sang các dịch vụ thông tin di động, các công ty giám sát báo động cũng bắt đầu cung cấp các kết nối dựa trên mạng di động. Gần đây, họ chuyển sang dịch vụ ứng dụng dựa trên Internet.

Hiện nay, các cảm biến cảnh báo trên cửa ra vào và cửa sổ chính đều là không dây. Dĩ nhiên, việc lắp đặt chúng không đòi hỏi phải khoan đục tường hay những sợi dây cáp xấu xí nữa, nhưng cũng có nhiều rủi ro hơn. Các nhà nghiên cứu đã nhiều lần phát hiện ra rằng tín hiệu từ các cảm biến không dây này không được mã hóa. Kẻ tấn công có thể chỉ cần nghe lén thông tin liên lạc giữa các thiết bị để xâm nhập chúng. Ví dụ, nếu xâm nhập được vào mạng cục bộ của bạn, tôi có thể nghe lén thông tin liên lạc giữa các máy chủ của công ty báo động với thiết bị trong nhà bạn (giả sử nó trên cùng một mạng cục bộ và không được mã hóa), và bằng cách thao túng các liên lạc đó, tôi có thể chiếm quyền kiểm soát ngôi nhà thông minh của bạn, giả mạo các lệnh để điều khiển hệ thống.

Các công ty hiện cung cấp nhiều dịch vụ giám sát tại nhà “tự lắp đặt.” Nếu có cảm biến nào bị xâm nhập, điện thoại di động của bạn sẽ nhận được tin nhắn thông báo. Hoặc ứng dụng có thể cung cấp hình ảnh webcam từ trong nhà. Dù bằng cách nào, bạn cũng nắm được quyền kiểm soát và tự mình theo dõi ngôi nhà. Điều đó thật tuyệt vời, cho đến khi Internet trong nhà bạn bị ngắt kết nối.

Ngay cả khi Internet đang hoạt động, kẻ xấu vẫn có thể phá hoại các hệ thống báo động không dây tự lắp đặt này. Ví dụ, kẻ tấn công có thể kích hoạt báo động giả (một số thành phố quy định chủ nhà sẽ phải trả tiền phạt trong trường hợp này). Có thể kích hoạt thiết bị tạo báo động giả từ ngoài đường, trước cửa nhà bạn hoặc cách đó 200 mét. Quá nhiều báo động giả sẽ khiến hệ thống trở nên thiếu tin cậy (và chủ nhà sẽ điêu đứng vì những khoản tiền phạt).

Hoặc kẻ tấn công có thể gây nhiễu tín hiệu cảm biến không dây tự lắp đặt bằng cách gửi nhiễu vô tuyến để ngăn luồng thông tin liên lạc quay lại hub hoặc bảng điều khiển chính. Điều này khiến còi báo động không phát ra tiếng được, từ đó vô hiệu hóa cơ chế bảo vệ và cho phép các tội phạm đột nhập thẳng vào nhà.

Rất nhiều người đã cài đặt webcam trong nhà – có thể để bảo mật, giám sát người giúp việc, hay theo dõi người thân bị ốm. Thật không may, webcam qua Internet thường dễ bị tấn công từ xa.

Một công cụ tìm kiếm công khai tên là Shodan hiển thị thông tin về các thiết bị phi truyền thống được cấu hình để kết nối với Internet. Shodan không chỉ hiển thị kết quả từ các thiết bị Internet Vạn Vật của bạn ở nhà mà còn từ các mạng tiện ích nội bộ và các hệ thống điều khiển công nghiệp đã bị cấu hình sai để kết nối máy chủ của chúng với mạng công cộng. Nó cũng hiển thị các luồng dữ liệu từ vô số các webcam thương mại bị cấu hình sai trên toàn thế giới. Người ta ước tính rằng trong một ngày có đến 100.000 webcam không được bảo mật hoặc bảo mật hạn chế tham gia truyền dữ liệu qua Internet.

Trong số này có các camera Internet không có xác thực mặc định của một công ty tên là D-Link, có thể được sử dụng để theo dõi mọi người trong những hoạt động riêng tư (tùy thuộc vào nội dung quay được thiết lập trong camera). Kẻ tấn công có thể sử dụng bộ lọc Google để tìm kiếm “Camera Internet D-Link,” sau đó tìm kiếm các model không có xác thực theo mặc định, rồi truy cập vào một website như Shodan, nhấp vào một liên kết, và xem luồng video mong muốn.