IOT CÓ THỂ GIẾT CHẾT BẢO MẬT

Các chuyên gia của phần mềm diệt virus Trend Micro nhận định, CES 2016 diễn ra ở Las Vegas vào tuần trước đã cho thấy sự bùng nổ của Internet of Things (IoT) cùng những tác động của nó trên điện toán đám mây và an ninh mạng.

Trend Micro cũng cho biết thêm, sự kiện CES 2016 không phải là cuộc cách mạng mà là sự trưởng thành. Đã có rất nhiều thứ thú vị được trình bày ngoài lĩnh vực công nghệ thông tin.

Tiêu điểm của sự kiện là ở chỗ: Internet of Things / IoT / KewlGear không có chiến lược gắn kết bảo mật.

 

Hãy cùng phần mềm diệt virus tốt nhất Trend Micro điểm qua một vài điểm về IoT:

1.     IoT có thể liên tục hút dữ liệu dựa trên địa điểm của bạn vào một số cơ sở dữ liệu ở đâu đó. Vì vậy, nó có thể thu thập rất nhiều thông tin tình báo.

2.     Các ví dụ về Internet Tea Kettle cho thấy không cần phải bảo mật cho bất kỳ các thiết bị nhìn thấy. Vì vậy, bất kỳ thiết bị cụ thể đều là một thực thể không rõ trong điều khoản của hệ thống an ninh, cho dù nó ở bên trong phạm vi an toàn của bạn hay liên kết với các đám mây. Tệ hơn, các thiết bị đeo được bên trong vành đai an toàn của bạn sẽ báo cáo dữ liệu không chỉ đến người dùng, mà còn đến phạm vi rộng hơn như văn phòng hay nhà riêng của bạn hoặc xe ô tô, bao gồm cả dữ liệu của ô tô riêng.

3.     Liệu điều này có nghĩa là bây giờ chúng ta phải quét thông tin cá nhân để được phép vào văn phòng, nhà máy, tham gia giao thông, làm việc cho công ty và tổ chức thông qua các thiết bị IoT? Các thiết bị này có thể là mối nguy hiểm cho các dòng điện thoại thông minh trung bình không có chế độ bảo mật dữ liệu mà chúng ta sử dụng, lưu giữ, vận chuyển,… Tài nguyên điện toán đám mây của bạn sẽ bị sa lầy bởi việc gửi truyền dữ liệu thay vì tải ứng dụng.

4.     IoT không có khả năng xác thực thứ cấp. Hãy suy nghĩ về điều đó và các tiêu chuẩn mà tổ chức của bạn áp dụng cho tài nguyên máy tính cố định và di động.

5.     Các đám mây được tìm thấy bởi IoT là nơi hoàn hảo để lưu trữ dữ liệu và hầu hết các sản phẩm đều đi kèm với yêu cầu dữ liệu được lưu trữ ở đâu. Anthem, Target hoặc OPEM? Tôi không biết. Nhưng không có phương pháp nào xác nhận thủ tục bảo mật được thực hiện. Không có tổ chức nào đứng ra cấp chứng chỉ an toàn để khuyến khích chúng ta tuân thủ các trách nhiệm cơ bản.

6.     Việc cấp phép FAA là vô nghĩa. Theo quan sát cá nhân, tôi thấy có nhiều nhà hoạch định mục tiêu giả hơn các nhà sản xuất máy tính bảng tại CES 2016. Hãy suy nghĩ về điều đó. Cấp giấy phép FAA không đem đến sự an toàn. Không có chương trình kiểm tra, không có chương trình an ninh hay bảo mật, cái bạn có chỉ là những con số khổng lồ với một thiết bị Drone - camera ghi hình trên không quan sát vô ích - mà thôi.

7.     Bluetooth và combo các cơ chế kiểm soát gồm Zigbee, Bluetooth và Wifi không vận chuyển được dữ liệu. Một lần nữa, không có phương pháp bảo mật và không có phương pháp tạo ra một vành đai phòng vệ. Nhưng tôi có để ý Yubico vừa tung ra sản phẩm mới, Yubikey NEO, sử dụng Near Field Communications (NFC) cho điện thoại thông minh bằng cách sử dụng các tiêu chuẩn U2F FIDO. Tôi cho đó là một sự khởi đầu tích cực.

8.     Một số nhà cung cấp công nghệ thông tin truyền thống hàng đầu đang thích ứng với ý nghĩ rằng hệ sinh thái kinh doanh của họ có thể đưa vào sản phẩm tiêu dùng thông qua sản phẩm Microsoft hay khả năng tương thích với Apple và nhiều mã nguồn mở. Thế nhưng, có nhiều ứng dụng không thể được cập nhật. Nguồn gốc phần mềm - những gì thực sự bên trong của một sản phẩm tiêu dùng - thường là công thức bí mật và không dễ gì khai phá được. Vậy có thể sử dụng các phiên bản cũ của SSH hoặc các phím gốc vào thiết bị IoT được ẩn bên dưới bề mặt một thiết bị vô thưởng vô phạt để truy nhập không?

Các chuyên gia diệt virus Trend Micro khuyên người dùng, sản phẩm giải trí điện tử hiện nay đã “thông minh” hơn với nhiều tính năng, với bộ vi xử lý, FPGA và CPU tùy chỉnh; bạn sẽ cần phải củng cố an ninh, cả về an ninh địa phương và các nguồn tài nguyên điện toán đám mây của bạn.

 



Tin liên quan