Chiếc router cũ nhà bạn không khác gì "mỏ vàng" cho hacker!

Trong vòng ba năm trở lại đây, các cuộc tấn công mạng nhằm vào những chiếc router (bộ định tuyến) đời cũ, không đảm bảo an toàn về bảo mật đã gia tăng với tốc độ chóng mặt. Năm ngoái, có đến 35 mối đe doạ về an ninh với các dòng sản phẩm router lỗi thời được phát hiện và con số này được dự báo sẽ còn tiếp tục gia tăng.

Đối với những người sử dụng Internet thông thường, router không dây là một thiết bị mà họ chỉ đơn giản cắm điện cả ngày để truy cập mạng và không có gì đáng phải quan tâm thêm nữa – trừ phi cần phải xem lại mật khẩu Wi-Fi ghi trên một tấm giấy dán ở vỏ ngoài của thiết bị, hoặc tắt đi bật lại chúng trong trường hợp kết nối bị gián đoạn. "Đa số người dùng không quan tâm nhiều đến chiếc router nhà mình," Martin Hron, một nhà nghiên cứu bảo mật tại Avast, cho biết. "Đối với họ, đó chỉ là một thiết bị đặt ở góc nhà phủ bụi mà thôi."

Nhưng chính cách nhận thức như vậy của người dùng đã gây ra những vấn đề lớn. Nhiều router bị bỏ mặc không cập nhật phần mềm (firmware) mới trong nhiều năm. Điều này khiến cho các router trở thành một mớ hỗn độn chứa đầy những lỗ hổng bảo mật, dễ dàng bị chiếm quyền điều khiển bởi các tin tặc hay những phần mềm độc hại. Nghiên cứu do Viện Người tiêu dùng Mỹ tiến hành vào năm ngoái cho thấy, 83% router gia đình và văn phòng chứa các lỗ hổng bảo mật có thể bị hacker lợi dụng để tấn công, trong đó có thiết bị của nhiều hãng tên tuổi như Linksys, NETGEAR và D-Link.

Sau khi bị tấn công và chiếm quyền điều khiển, các router có thể được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hoặc để thực hiện các cuộc tấn công "dò tìm" thông tin xác thực, trong đó hacker sau khi đánh cắp được mật khẩu của một tài khoản người dùng nào đó trên một trang web, sẽ dùng mạng lưới các router bị tấn công (hay còn gọi là "botnet") để thử mật khẩu này tại các trang web khác nhằm tìm ra thông tin đăng nhập của người dùng ở nhiều dịch vụ trực tuyến khác nhau.

Các router này cũng có thể được sử dụng để che giấu nguồn gốc của các hoạt động bất hợp pháp của hacker – do lưu lượng truy cập mạng của các hoạt động này sẽ đến từ các địa chỉ dân cư ngẫu nhiên nơi đặt những chiếc router gia đình bị tấn công, thay vì địa chỉ thực sự của hacker đó. Với việc tốc độ Internet băng thông rộng gia đình đang ngày càng gia tăng, một số người dùng thậm chí có thể không nhận thấy tốc độ mạng của nhà mình đang chậm lại, khi chiếc router của gia đình đang bị lợi dụng để "che giấu" lưu lượng truy cập xấu của các hacker hoặc để khai thác các loại tiền mã hoá như Bitcoin.

Đối với người dùng gia đình, rủi ro lớn nhất là việc dữ liệu cá nhân của họ bị đánh cắp. Vào tháng 8 vừa qua, các nhà nghiên cứu bảo mật tại hãng Radware đã phát hiện ra một tấn công và khai thác trên quy mô rộng đối với các sản phẩm router D-Link ở Brazil, với con số thiết bị bị ảnh hưởng cuối cùng được xác định đã lên tới 100.000 thiết bị. Cuộc tấn công đặc biệt này nhằm vào khách hàng của nhà cung cấp dịch vụ Banco de Brasil, trong đó các router bị tấn công và một số dịch vụ chuyển hướng DNS đã được sử dụng để gửi một phiên bản giả của các trang web ngân hàng đến cho người dùng, từ đó giúp hacker đánh cắp thông tin đăng nhập vào tài khoản ngân hàng của họ.

"Cộng đồng tội phạm mạng quốc tế đã phát hiện và lợi dụng rất nhiều lỗ hổng trong các phần mềm firmware truyền thống," Tom Gaffney, cố vấn bảo mật của F-Secure cho hay. Có rất nhiều cơ sở dữ liệu trực tuyến của các tội phạm mạng, ở đó các tin tặc muốn tiến hành một cuộc tấn công chỉ cần nhập tên một nhà sản xuất router vào và một danh sách các lỗ hổng đã biết của sản phẩm router đó sẽ hiện ra. Một số diễn đàn của tin tặc thậm chí còn cung cấp cả mã nguồn dùng để tấn công.

Trong bối cảnh người dùng gia đình đang kết nối ngày càng nhiều thiết bị Internet vạn vật (IoT) trong nhà thông qua router – chẳng hạn như các trợ lý ảo, chuông cửa thông minh – mối nguy hiểm lại càng trở nên rõ rệt. Các camera an ninh nhà bạn có thể được trang bị các lớp bảo mật an ninh rất tốt, nhưng nếu router nhà bạn không đủ an toàn, thì cả hệ thống sẽ bị đe doạ về bảo mật. "Giống như thể tên trộm đã phá được cửa kính để đột nhập vào nhà bạn rồi vậy," Bharat Mistry, chiến lược gia về bảo mật tại Trend Micro, so sánh.

Rất nhiều cuộc tấn công tinh vi, chẳng hạn như Mirai, đã lợi dụng các router không an toàn và các thiết bị IoT không được bảo mật khác để phá hoại, và số lượng các lỗ hổng đã biết đang ngày càng gia tăng. "Những mối đe doạ đầu tiên về an ninh đối với các thiết bị IoT (trong đó có cả router) được phát hiện vào năm 2003," Gaffney cho biết. "Không có thêm vấn đề gì mới cho tới năm 2015. Và rồi năm 2016, có thêm 5 lỗ hổng mới được phát hiện. Cuối cùng, năm 2018, chúng tôi đã xác định và phân loại được 35 họ lỗ hổng, đó thực sự là một sự bùng phát mạnh mẽ."

Những vấn đề về an ninh này bao gồm các phần mềm độc hại, chẳng hạn như VPNFilter, được cho là có chính phủ Nga hậu thuẫn, và ước tính đã ảnh hưởng tới hơn 500000 thiết bị router trên toàn thế giới. Một số cuộc tấn công khác thì lợi dụng chuẩn Universal Plug and Play, vốn được sáng tạo ra để giúp các thiết bị nhận diện và kết nối với nhau một cách dễ dàng hơn. Tháng 11 năm 2018, có hơn 45000 router bị ảnh hưởng bởi một cuộc tấn công do Cơ quan An ninh Quốc gia Mỹ thực hiện và sau đó bị phát tán trên Internet, dựa trên lỗ hổng của công nghệ này.

"Có rất nhiều vấn đề có thể xảy ra với loại thiết bị này," Mistry giải thích. "Router thực chất là những chiếc máy vi tính cỡ nhỏ, do đó bất kì điều gì có thể ảnh hưởng tới hoạt động của máy vi tính về lý thuyết đều có thể ảnh hưởng đến các router." Những vấn đề, chẳng hạn như các thư viện lập trình được chia sẻ rộng rãi, chắc chắn sẽ là mối đe doạ lớn. "Nhiều nhà phát triển không muốn mất công viết lại một thư viện lập trình từ đầu, mà họ sẽ tận dụng các thư viện đã có sẵn và được phát hành công cộng. Vấn đề nằm ở chỗ bạn cần có nhân sự thường xuyên kiểm tra, giám sát các thư viện để đảm bảo chúng được vá lỗi thường xuyên." Các firmware càng xuất hiện lâu trên thị trường thì chúng càng dễ bị tấn công hơn, và một số router trên thế giới vẫn đang sử dụng những phiên bản Linux cực kỳ lỗi thời.

Nhưng vấn đề lớn nhất nằm ở chỗ đa số người dùng gia đình thông thường đều không am hiểu về công nghệ đến mức đó. Nhiều người vẫn sử dụng các mật khẩu mặc định, cả cho mạng Wi-Fi gia đình cũng như cho tài khoản quản trị router. Vụ tấn công nhắm tới các khách hàng của Banco de Brasil là một trong số nhiều vụ tấn công dựa trên lỗ hổng an ninh này.

Một số nhà nghiên cứu cho rằng việc thiết lập một chiếc router ngày nay thực sự quá đơn giản. "Trong quá khứ, bạn sẽ phải cấu hình nó thủ công và thiết lập các mật khẩu của riêng mình, giờ đây, nhiều router chỉ cần cắm vào là chạy," Gaffney nói. Hron đồng tình với quan điểm này. "Nếu chiếc router được đưa vào sử dụng ngay sau khi được khui hộp, thì nhiều khả năng nó đang chạy với các thiết lập mặc định." Các nhà sản xuất chỉ cần bổ sung thêm một vài thao tác nhỏ, chẳng hạn như buộc người dùng thiết lập mật khẩu riêng của mình, và điều đó sẽ giúp nhiều người sử dụng được bảo vệ một cách an toàn hơn.

"Các hãng sản xuất router không được cho phép người dùng truy cập Internet cho tới khi họ vượt qua một số thiết lập cơ bản cho thiết bị," Hron đưa ra lời khuyên. Nhìn chung, các router hiện nay do các nhà cung cấp dịch vụ Internet cung cấp cho khách hàng thường đã được nâng cấp lên phiên bản mới nhất khi tới tay người sử dụng, và mỗi thiết bị sẽ có một mật khẩu đặc biệt riêng, phức tạp, khó đoán. Nhưng đối với những người dùng mua hàng trên mạng, đặc biệt là để tiết kiệm chi phí, chọn mua những model giá rẻ hơn, thì khả năng họ nhận được một chiếc router với mật khẩu mặc định phổ biến là rất cao.

Điều này không giúp giải quyết các vấn đề đối với những firmware lỗi thời và dễ bị tấn công, một khái niệm mà người dùng internet thông thường ít khi quan tâm đến. Các tổ chức, cá nhân kinh doanh router và các nhà cung cấp dịch vụ Internet (ISP) đều có trách nhiệm khi để tình trạng này xảy ra. "Trước đây, có rất ít tổ chức có chính sách nâng cấp firmware router một cách chủ động, cho tới gần đây," Gaffney cho hay.

Các nhà nghiên cứu trên đều cho rằng rằng các các nhà cung cấp dịch vụ Internet (ISP) cần tìm ra một biện pháp tốt hơn để đảm bảo mọi người dùng luôn cập nhật firmware router thường xuyên, đúng lúc. Ngay cả khi một lỗ hổng liên quan đến router bị phát hiện, vẫn có thể phải mất nhiều tháng để các kẻ tấn công có thể khai thác chúng trong thực tế. Chẳng hạn, khi một lỗ hổng được phát hiện trong các bộ định tuyến của Mikrotik, công ty đã nhanh chóng tung ra một bản vá, nhưng với hơn hai triệu bộ định tuyến của công ty đang hoạt động trên khắp thế giới, nhiều người dùng vẫn có khả năng trở thành nạn nhân của các cuộc tấn công. Một hacker mũ trắng đã tự mình khắc phục sự cố và đã tự vá từ xa hơn 100.000 thiết bị router...

Ngoài ra, các ISP có thể góp phần tích cực trong việc nâng cao nhận thức của người dùng, ví dụ như gửi các bản tin định kỳ qua email để cung cấp hướng dẫn cần thiết và các bản cập nhật firmware cho người dùng, nhưng việc làm này cũng có mặt trái là có khả năng khiến người dùng dễ bị lừa đảo bởi nạn spam, email giả danh nhà cung cấp dịch vụ. "Tôi nghĩ rằng các ISP và các nhà sản xuất, phân phối router cần phải làm cho mọi thứ trở nên dễ dàng hơn đối với người dùng", Mistry nói. Ông cũng gợi ý một hệ thống phân cấp theo tầng, trong đó người dùng chuyên nghiệp vẫn có khả năng kiểm soát chuyên sâu hơn các thiết lập router, còn đa số người dùng thông thường sẽ được cập nhật firmware mới nhất một cách tự động qua mạng. Chẳng hạn, sản phẩm loa thông minh Amazon Echo nhận được các bản cập nhật theo cách này mà không cần thông báo trước cho người dùng.

"Luôn có một sự đánh đổi nhất định giữa tính dễ sử dụng và khả năng bảo mật," Gaffney nói – và ở thời điểm hiện tại, các router cắm-là-chạy của chúng ta đang khiến cho "công việc" của những kẻ tấn công mạng trở nên dễ dàng hơn rất nhiều.

An Huy