Hàng loạt xe hơi bị hack, Internet of Things trở nên mong manh

• Tại sao xe hơi sẽ được kết nối với Internet vào năm 2020?
• Nokia bán HERE cho ba công ty xe hơi Đức, giá 3 tỷ USD
• CarPlay đứng sau Android Auto trong thị trường xe hơi thông minh
• Công nghệ xe hơi 2015: Xe kết nối và an toàn, tiết kiệm hơn
• Trộm xe hơi bằng… tin nhắn SMS

Cụ thể hơn, vào cuối tháng 7 vừa qua, hai kĩ sư mạng là Charlie Miller và Chris Valasek đã sử dụng máy tính với kết nối Internet để chiếm quyền kiểm soát một chiếc xe Jeep Cherokee (thuộc Chrysler) đang di chuyển trên đường tại St. Louis. Dưới sự chứng kiến của một phóng viên công nghệ, Miller và Valasek đã kích hoạt gạt mưa, bật radio, bật điều hoà tới mức tối đa, vô hiệu hoá hộp số… tất cả đều từ tầng hầm nhà của Miller cách đó hơn 16 km. Ngay lập tức, chỉ trong một thời gian ngắn, công ty mẹ của Chrysler là Fiat Chrysler Automobiles đã ra lệnh triệu hồi hơn 1,4 triệu xe tiềm ẩn cùng nguy cơ xâm nhập như vậy. Trong tuần tiếp đó, nhà nghiên cứu bảo mật máy tính Samy Kamkar đã tiết lộ rằng đã hack thành công hệ thống viễn thông OnStar có mặt trên nhiều mẫu xe của GM. Phương thức của Kamkar cho phép theo dõi chính xác vị trí xe, mở khoá cửa, thậm chí là nổ máy chỉ thông qua việc gắn một bộ thu Wi-fi nhỏ trên xe và những thủ thuật nhỏ khác. Về phía mình, GM cũng lại phải đưa ra một giải pháp khắc phục vấn đề ngay sau đó.

Trước tình hình như thế, Kathleen Fisher, giáo sư chuyên ngành khoa học máy tính tại trường đại học Tufts, cảnh báo các mạng máy tính trên xe hơi thường rất yếu kém về khả năng bảo mật. Hầu như toàn bộ các mẫu xe đều sử dụng công nghệ mạng kết nối CAN bus (Controller Area Network Bus), do nhà sản xuất phụ tùng Đức Robert Bosch GmbH phát minh từ những năm 80 thế kỉ trước. “CAN bus thực sự mất an toàn một cách tuyệt vọng” – bà Fisher nhận định. Bản thân mạng kết nối này được thiết kế ra hàng chục năm trước khi xe hơi kết nối vào mạng toàn cầu Internet. Chính vì thế, nó hoàn toàn không được bảo vệ trước mã độc hay được “dạy” cho cách từ chối các mệnh lệnh từ những kẻ xâm nhập trái phép. Cũng theo bà Fisher, để phát triển một hệ thống mạng kết nối mới cho nội bộ xe hơi, các nhà sản xuất sẽ phải mất nhiều năm và hàng triệu USD. Dĩ nhiên, chẳng ai mong muốn làm điều đó trừ khi có một tên tuổi nào đó “dám” tiên phong khơi mào cuộc chạy đua mới hoặc cơ quan nhà nước đưa ra những tiêu chuẩn đối với việc bảo mật dữ liệu cho mọi mẫu xe mới – điều mà thượng nghị sĩ Mỹ Edward J. Markey đã từng đề xuất trước đây đối với thị trường xe nước này.

Hầu như mọi mẫu xe sản xuất trong khoảng 2 năm trở lại đây đều ít nhiều có khả năng kết nối Internet – đặc biệt là các dòng xe hạng sang.

Mặt khác, các chuyên gia cũng cảnh báo rằng khi bị đánh cắp quyền điều khiển hay truy cập dữ liệu lưu trữ như đề cập ở trên, những chiếc xe hơi hiện đại thậm chí còn đem tới nhiều nguy hại hơn việc mất cắp một tài sản. Lý do nằm ở chỗ những bộ nhớ xe đời mới còn lưu rất nhiều thông tin cá nhân từ hồ sơ Facebook, lộ trình di chuyển, các từ khoá tìm kiếm cho tới mã số tài khoản thanh toán cá nhân. Đây đều là những mỏ vàng cho các đơn vị khai thác – từ hãng xe cho tới các công ty quảng cáo.

Thực tế này cũng tạo ra sự chú ý đối với các nhà làm luật châu Âu về việc kiểm soát những thông tin này. Cụ thể, việc ai có thể tiếp cận cũng như khai thác thu lợi nhuận. Nếu xét trên phương diện “thông minh hoá”, thực tế những chiếc xe hiện nay đang có tốc độ phát triển nhanh hơn nhiều các thiết bị di động. Chỉ một thời gian ngắn nữa, những phương tiện di chuyển có thể sẽ bám sát việc bạn đi đâu, có đủ thông tin về cuộc gọi hay tin nhắn của bạn cũng như các tìm kiếm web mà bạn thực hiện. Ở góc độ tích cực, thông tin như thế rất hữu ích với các nhà sản xuất xe hơi nhưng việc họ sử dụng chúng như thế nào có thể tiềm ẩn mối nguy hại đối với người dùng. Một ví dụ điển hình là ba hãng xe Đức Mercedes-Benz, BMW, Audi mới đây đã quyết định cùng nhau mua lại dịch vụ bản đồ số HERE từ Nokia với giá lên tới 3,2 tỷ USD – động thái thể hiện rõ sự quan tâm tới những loại dữ liệu nói trên. Bản thân Mercedes-Benz cũng đang có dịch vụ Mercedes-Me cho phép theo dõi chủ xe có ở bên trong phương tiện của mình hay không nhằm đưa ra những cảnh báo từ xa. Những dữ liệu thu được từ dịch vụ này cũng đồng thời được sử dụng cho mục đích tiếp thị và nhiều nhu cầu khác.

Hầu như mọi mẫu xe sản xuất trong khoảng 2 năm trở lại đây đều ít nhiều có khả năng kết nối Internet – đặc biệt là các dòng xe hạng sang.

Những vụ việc như đề cập tới ở trên cho thấy xe hơi đang vướng phải một rào cản rất lớn mà đôi khi chính người dùng cũng chưa thực sự để tâm tới, như cách họ đã cảnh giác ở môi trường thiết bị công nghệ: bảo mật. Những rắc rối mà các nhà sản xuất gặp phải lần đầu đã cho họ thấy tính nghiêm trọng của vấn đề. “Bảo mật buộc phải là ưu tiên hàng đầu đối với các nhà sản xuất xe hơi” – phát ngôn viên Wade Newton của Liên minh các nhà sản xuất xe hơi (Alliance of Automobile Manufacturers) nhận định. Theo người này, các hãng thành viên của AAM hiện đang khởi tạo một chương trình chia sẻ và phân tích thông tin mới nhằm đối phó với các vấn nạn về bảo mật trong môi trường số hoá. Tuy nhiên, trong khi không thể phủ nhận sự đáng sợ của việc chiếc xe có thể bị hack và chiếm quyền điều khiển, thực tế mối nguy cơ bảo mật mạng đối với hàng loạt thiết bị gia dụng khác còn lớn hơn nhiều.

Trong bối cảnh ngày càng nhiều người dùng cài đặt các thiết bị kết nối Internet cho gia đình , từ cửa trước có thể mở từ cách đó hàng ngàn km, thiết bị cảm biến cháy, tủ lạnh thông minh… cho tới máy quay an ninh cho phép truyền hình ảnh tới điện thoại và máy tính bảng. Thậm chí, nhiều thành phố, mà điển hình là Boston - Mỹ, còn lắp các hệ thống tính tiền bãi đỗ tự động có kết nối mạng cho phép hướng dẫn người lái xe tới các điểm đỗ còn trống. Hiển nhiên, mọi thiết bị “thông minh” dạng này – một phần của mô hình Internet of Things – sẽ là mồi ngon cho những kẻ có dã tâm. “Với những mối hiểm hoạ này trong Internet of Things, sự lo ngại sẽ vẫn không thay đổi” – ông Rob Sadowski, giám đốc công nghệ của RSA, chia sẻ. “Làm sao tôi biết rằng tôi là người duy nhất sở hữu thiết bị của mình, làm sao để tôi biết chắc không có kẻ xấu nào đang tấn công nó?”.

Chuyện gì xảy ra nếu các hacker chiếm quyền kiểm soát căn nhà thông minh của bạn?

Bản thân những hệ thống Internet of Things cũng có nhiều giải pháp bảo mật khác nhau – nhưng đều khá thô sơ. Điển hình như Xively của LogMeIn đơn giản là từ chối mọi thông điệp gửi tới. Thay vào đó, chip Xively sẽ nhận các mệnh lệnh qua việc thường xuyên kiểm tra một địa chỉ Internet nhất định. Ngoài ra, toàn bộ các lệnh gửi tới phải có chữ kí điện tử mã hoá chứng thực nguồn gửi. “Tôi nghĩ đây là một sự khởi đầu” – Paddy Srinivasan, phó chủ tịch của LogMeIn, chia sẻ. Bản thân công ty có trụ sở tại Boston này cũng là một trong những đơn vị tiên phong trong việc triển khai các giải pháp Internet of Things trên thiết bị gia dụng và kết nối vô số sản phẩm khác tới môi trường web. “Những loại hình thiết bị mới này cần có một hướng tiếp cận hoàn toàn mới cũng như giải pháp tiên tiến cho vấn đề bảo mật và đó chính là mảnh ghép còn thiếu”. Cũng theo Srinivasan, các loại chip giá rẻ bên trong nhiều thiết bị “Internet of Things” đều không có đầy đủ các tính năng bảo mật cần thiết như mã hoá kết nối dây dẫn – điều có thể giúp giảm nguy cơ bị tấn công. Chính vì thế, tính bảo mật của các hệ thống này chỉ phụ thuộc vào phần mềm vận hành trên chúng và chỉ một đoạn mã nhỏ do những kẻ tấn công nhúng vào thành công, người dùng sẽ gặp rắc rối lớn. Một ví dụ là nếu ai đó sử dụng kĩ nghệ đảo ngược để tạo ra một cột giám sát đỗ xe mới, họ có thể nhúng mã cho phép đánh lừa mọi người trong thành phố không còn chỗ đỗ xe nào cả.

Vụ chiếm quyền điều khiển xe Jeep thực sự là lời cảnh báo đáng giá đối với các nhà sản xuất xe hơi về vấn đề bảo mật.

Dĩ nhiên, hiệu quả của mỗi giải pháp bảo mật trong ứng dụng thực tế cũng là điều khó nói – chưa kể tới số lượng khổng lồ các thiết bị Internet of Things đang ngày một xuất hiện nhiều. Cũng tương tự như vụ việc với chiếc xe Jeep nói trên, có lẽ một cơ quan hay cá nhân nào đó sẽ phải đứng ra thử nghiệm hack những sản phẩm ấy để biết được chúng an toàn tới đâu rồi đặt ra các chuẩn mực an toàn cần thiết.

Thực tế, tư duy bảo mật sản phẩm trước bối cảnh kết nối không phải điều thường trực trong tư duy các nhà phát triển sản phẩm. Trước đây, hệ điều hành Windows của Microsoft cũng không được phát triển tập trung vào yếu tố bảo mật đối với việc kết nối Internet. Bước vào thế kỉ 21, hàng loạt các phần mềm độc hại như SQL Slammer , Blaster , Code RED đã lây nhiễm hàng triệu máy tính Windows trên khắp thế giới và khiến uy tín của Microsoft suy giảm nghiêm trọng. Chính vì thế, trong năm 2002, hãng phần mềm Mỹ đã quyết định dừng toàn bộ việc phát triển hệ điều hành của mình và dành 2 tháng tập trung cho việc sửa lỗi bảo mật, tập huấn lại kĩ sư phần mềm để tạo ra các đoạn mã an toàn hơn. Hệ quả của động thái này cho tới nay đã khá rõ nét. Dù vẫn còn một số sơ hở, không thể phủ nhận Windows ngày càng an toàn và có khả năng bảo mật tốt hơn trong bối cảnh thế giới kết nối. Từ đó, có thể thấy rằng không ít các nhà phát triển – dù là ở những công ty đầu bảng về công nghệ - vẫn tư duy sản phẩm theo hướng truyền thống: ưu tiên tính năng cho ứng dụng trước khi nghĩ với việc bảo mật. Đây là điều cần thiết phải thay đổi để sẵn sàng bước qua một thời đại mới: Internet of Things.

PC WORLD VN, 10/2015