Dùng USB-C là "mời" cả hacker lẫn NSA đánh cắp thông tin?

30/07/2014
79
711 bài viết
Dùng USB-C là "mời" cả hacker lẫn NSA đánh cắp thông tin?
Chuẩn USB mới nhất sẽ giúp ích rất nhiều cho cả người dùng thông thường lẫn... các cơ quan tình báo như NSA hay CIA. Lý do là bởi cũng giống như kết nối USB truyền thống, USB-C mắc phải một lỗ hổng bảo mật... vô phương cứu chữa.

Dùng USB-C là "mời" cả hacker lẫn NSA đánh cắp thông tin?

1490893205USB-C-1.jpg


Các sản phẩm của Apple luôn thu hút sự chú ý đông đảo, và chiếc MacBook có USB-C cũng vậy

Sau khi Apple ra mắt chiếc MacBook và Google làm mới thế hệ Chromebook Pixel thứ 2, chuẩn USB tiếp theo: USB-C đã chính thức xuất hiện và nhận được sự tán thưởng đồng loạt từ giới hâm mộ công nghệ. Có rất nhiều lý do để bạn nên là một fan của USB-C: khả năng đảm nhiệm nhiều tính năng cùng lúc (sạc nhanh, phát video...), tốc độ truyền tải dữ liệu tăng chóng mặt, kích cỡ nhỏ (giúp mang đến các loại thiết bị di động nhỏ và mỏng hơn) cũng như khả năng... cắm thoải mái mà không lo bị cắm ngược như USB truyền thống.

Song, sự thuận tiện do USB-C mang lại cũng đồng nghĩa với một sự thật đáng sợ: cuộc sống số của bạn giờ đây sẽ phải đối mặt với nguy cơ vô cùng khủng khiếp từ cả các cơ quan tình báo nước ngoài lẫn các hacker mũ đen.

USB-C: Lỗ hổng bảo mật không thể khắc phục được

Thực tế, hiểm nguy đến từ USB-C cũng chính là điểm yếu truyền thống từ kết nối USB nói chung. Vào năm ngoái, 2 nhà nghiên cứu có tên Karsten Nohl và Jakob Lell đã tạo ra một loại mã độc "bất khả chiến bại" có tên BadUSB để cài đặt lên các thiết bị USB thông thường như bàn phím, sạc điện thoại hay bút nhớ USB thông thường. Một khi đã được kết nối vào máy tính, BadUSB sẽ lây lan lên máy tính của bạn một cách hoàn toàn bí mật. Lý do cho sự thật đáng sợ này là bởi BadUSB được viết thẳng lên firmware của chip điều khiển trên thiết bị USB, thay vì được viết trên vùng nhớ của thiết bị lưu trữ.

Chuẩn USB mới nhất sẽ giúp ích rất nhiều cho cả người dùng công nghệ thông thường lẫn... các cơ quan tình báo như NSA hay CIA. Lý do là bởi cũng giống như kết nối USB truyền thống, USB-C mắc phải một lỗ hổng bảo mật... vô phương cứu chữa.

1490893205USB-C-2.jpg


USB-C là một trong các loại kết nối tiện dụng và có hiệu năng truyền tải cao nhất hiện nay

Trước khi USB-C ra đời, bạn vẫn được đảm bảo an toàn (ở mức độ tương đối). Bạn gần như không cần để ý tới các loại cáp màn hình, cáp sạc và cũng chỉ cần tránh sử dụng các loại USB không rõ nguồn gốc/không được bảo vệ an toàn.

Vấn đề là ở chỗ lỗ hổng BadUSB hiện giờ vẫn chưa được vá trên USB-C. Nguy hiểm hơn, bạn sẽ phải sử dụng kết nối này để cắm dây sạc cho laptop: sớm muộn gì thì bạn cũng sẽ bị buộc phải dùng tới USB-C. Thậm chí, kết nối này có vẻ sẽ trở thành tiêu chuẩn cho... tất cả các loại thiết bị gắn ngoài, bất kể đó là ổ cứng, chuột/bàn phím, màn hình, dây sạc hay máy in. Một khi USB-C đã trở thành loại cổng sạc tiêu chuẩn, trường hợp bạn mượn cổng sạc từ một người lạ rất có thể xảy ra. Nói một cách ví von, việc tin tưởng cho người lạ tiếp xúc với máy tính của bạn thông qua cổng cắm đa năng này cũng giống như là quan hệ tình dục không an toàn vậy. Ai dám chắc rằng cổng sạc USB mà người khác vừa cho bạn mượn không chứa một loại mã độc có thể chiếm dụng tất cả các thông tin nhạy cảm của bạn.

Và, bắt nguồn chỉ từ một chiếc laptop vô tình bị nhiễm mã độc, loại virus lây lan qua loại hình "tấn công qua cổng sạc USB" này có thể lây lan một cách dễ dàng tới hàng triệu máy tính. Đến khi các nhà nghiên cứu bảo mật phát hiện ra, mức độ lây lan có thể đã là quá trầm trọng.

Ai sẽ ngăn chặn lỗ hổng bảo mật từ USB?

Chuẩn USB mới nhất sẽ giúp ích rất nhiều cho cả người dùng công nghệ thông thường lẫn... các cơ quan tình báo như NSA hay CIA. Lý do là bởi cũng giống như kết nối USB truyền thống, USB-C mắc phải một lỗ hổng bảo mật... vô phương cứu chữa.

1490893205USB-C-3.jpg


Google cũng "tiếp sức" cho USB-C bằng chiếc ChromeBook Pixel 2 mới

Việc vá một lỗ hổng như vậy cũng là không hề dễ dàng. Lý do là bởi không một gã khổng lồ công nghệ nào, bất kể là Apple, Microsoft hay Google có thể nắm trong tay quyền kiểm soát một loại kết nối mang tính mở như USB-C. Tất cả những gì chúng ta có thể nghĩ đến là một giải pháp không hề khả thi và cũng không phải là lựa chọn của các ông lớn công nghệ: ngừng sử dụng USB.

Ngay cả trong các kịch bản tưởng tượng, việc vá lỗ hổng USB-C cũng vẫn là không thể. Hãy thử tính đến giả thuyết rằng Apple có thể kiểm soát USB theo cùng một cách công ty này đang kiểm soát chuẩn Lightning (tự phát triển). Tất cả các cáp nối Lightning đều có một chip xác thực riêng, cho phép iTunes có thể nhận diện khi nào thì người dùng đang sử dụng phụ kiện nhái (không chính hãng, không thuộc về các hãng được Apple nhượng quyền). Sự phổ biến của USB trong suốt lịch sử công nghệ khiến cho một giải pháp tương tự là bất khả thi: nếu như Apple (hay Google hoặc Microsoft) có thể đưa ra một dòng chip để ngăn chặn phần mềm độc trên từng chiếc cáp USB-C, kết nối này vẫn gặp phải mối nguy từ các loại thiết bị USB cũ. USB-C được kết nối để tương thích ngược với các thế hệ USB trước đây, và bởi vậy các loại mã độc được cài lên firmware USB-C chỉ cần giả dạng làm một thiết bị USB thế hệ cũ (ví dụ như chuột, bàn phím...) là có thể qua mặt chip xác thực một cách dễ dàng.

USB-C mang theo mối nguy từ tình báo nước ngoài

1490893205USB-C-4.jpg

Chuẩn USB mới nhất sẽ giúp ích rất nhiều cho cả người dùng công nghệ thông thường lẫn... các cơ quan tình báo như NSA hay CIA. Lý do là bởi cũng giống như kết nối USB truyền thống, USB-C mắc phải một lỗ hổng bảo mật... vô phương cứu chữa.

Các hacker có mục đích kinh tế không phải là mối nguy duy nhất mà người dùng công nghệ cần phải lo tới. Với USB-C, các tổ chức tình báo quốc tế bỗng dưng được trang bị một vũ khí vô cùng hiệu quả và gần gũi với người dùng toàn cầu: cổng sạc laptop.

Với nhiều người, suy nghĩ rằng NSA sẽ cố tìm cách đặt chip đánh cắp thông tin lên các loại cáp nối USB có vẻ là quá xa lạ. Song, cơ quan tình báo này đã từng cố thực hiện một kịch bản tương tự với phần mềm: vào năm ngoái, các trang tin quốc tế đăng tải thông tin cho biết NSA từng cố "mời chào" công ty bảo mật RSA 10 triệu USD để cài đặt hệ thống Dual Elliptic Curve (là bộ tạo số ngẫu nhiên dựa trên đường cong elip nhưng nó được kín đáo tạo một số lỗi hay "cửa hậu" cho phép NSA giải mã) lên chuẩn mã hóa của công ty này. Với truyền thống "ép" các công ty công nghệ thỏa hiệp để đánh cắp thông tin của người dùng, chắc chắn NSA sẽ cố thực hiện một chiến lược tương tự với cáp USB.

Nguy hiểm hơn, trong bối cảnh chiến tranh số giữa Mỹ và Trung Quốc gia tăng, sẽ là không có gì khó hiểu khi "công xưởng của thế giới" cho ra đời hàng loạt các loại cáp USB Type C có chứa chip nghe lén. Với mức độ phụ thuộc của người dùng công nghệ toàn thế giới vào Trung Quốc như hiện nay, sẽ là không có gì quá ngạc nhiên khi nói rằng USB-C sẽ mang tới một "thảm họa" bảo mật mới.

Đứng trước thảm họa bảo mật này, cách bảo vệ duy nhất bạn là tránh sử dụng các loại cáp USB-C không rõ nguồn gốc (bao gồm cả việc không mượn cáp sạc bừa bãi). Hẳn nhiên, điều đó sẽ không giúp bạn tránh khỏi bàn tay của NSA, song ít nhất mối lo về các hacker có mục đích kinh tế cũng sẽ được giảm bớt. Song, vấn đề lớn nhất đối với bảo mật sẽ luôn là suy nghĩ của người dùng. Liệu bạn có sẵn sàng dùng chuẩn cắm USB-C tiện lợi một cách "cẩn thận" như các chuyên gia bảo mật đang khuyến cáo hay không? Câu trả lời có lẽ sẽ là "không", cho đến khi mọi thứ là quá muộn.

Theo VnReview
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Dùng USB-C là "mời" cả hacker lẫn NSA đánh cắp thông tin?

Thổi phồng nguy cơ quá mức. Người viết chưa chắc đã hiểu BadUSB là cái gì và tại sao nó nguy hiểm, nguy hiểm trong điều kiện nào.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Dùng USB-C là "mời" cả hacker lẫn NSA đánh cắp thông tin?

myquartz;24053 đã viết:
Thổi phồng nguy cơ quá mức. Người viết chưa chắc đã hiểu BadUSB là cái gì và tại sao nó nguy hiểm, nguy hiểm trong điều kiện nào.
Bài viết giải thích khá kỹ mà bạn.:)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên