Soi kèo phạt góc Atletico Madrid với Inter Milan, 03h00 ngày 14/3

Mục đích nghiên cứu của nhóm là khám phá các cơ chế bảo mật để ngăn chặn truy cập trái phép vào dữ liệu trong thiết bị di động, các cách truy cập dữ liệu không được phép và cách cải thiện để ngăn chặn truy cập trái phép. Đối tượng nghiên cứu là iOS và nền tảng Android. Nhà nghiên cứu chính của iOS Maximilian Zinkus cho biết: “Đặc biệt là trên iOS, cơ sở hạ tầng mã hóa nhiều lớp này đã được sử dụng và nó thực sự tốt. Nhưng tôi thực sự ngạc nhiên khi thấy nó chưa được tận dụng vào thời điểm đó”.

Khi iPhone khởi động, tất cả dữ liệu được lưu trữ ở trạng thái “được bảo vệ hoàn toàn”, và người dùng phải mở khóa thiết bị trước khi giải mã bất cứ thứ gì. Mặc dù làm như vậy rất an toàn nhưng nhiều nhà nghiên cứu nhấn mạnh rằng khi thiết bị được mở khóa lần đầu tiên sau khi khởi động lại, một lượng lớn dữ liệu sẽ đi vào trạng thái mà Apple gọi là “được bảo vệ trước trạng thái xác thực người dùng đầu tiên”.

Vì thiết bị hiếm khi khởi động lại nên hầu hết dữ liệu đều ở trạng thái “được bảo vệ với xác thực người dùng đầu tiên”, chứ không phải “được bảo vệ hoàn toàn”. Ưu điểm của trạng thái kém an toàn này là khóa giải mã được lưu trữ trong bộ nhớ truy cập nhanh và có thể được các ứng dụng truy cập nhanh.

Về lý thuyết, tin tặc có thể tìm và sử dụng một số loại lỗ hổng bảo mật nhất định trong hệ thống iOS để nhanh chóng truy cập vào khóa mã hóa trong bộ nhớ, giúp nó giải mã một lượng lớn dữ liệu trong thiết bị. Đây cũng là nguyên lý hoạt động của nhiều công cụ truy cập điện thoại thông minh, chẳng hạn như công cụ truy cập pháp y số Grayshift.

Ngoài bản thân hệ thống iOS, iCloud chuyển một lượng lớn dữ liệu người dùng đến các máy chủ của Apple, những dữ liệu này cũng có thể bị truy cập từ xa bởi tin tặc hoặc cơ quan thực thi pháp luật trái phép. Apple sử dụng bộ xử lý bảo mật SEP để hạn chế nghiêm ngặt những cuộc tấn công đoán mật khẩu, nhưng có bằng chứng cho thấy ít nhất trong năm 2018, tin tặc đã sử dụng công cụ GrayKey để bẻ khóa SEP.

Những kẻ tấn công cần lỗ hổng hệ điều hành cụ thể để lấy dữ liệu và Apple, Google sẽ áp dụng nhiều bản vá khi họ phát hiện ra các lỗ hổng đó, nhưng điều này có thể tránh được bằng cách ẩn các khóa mã hóa sâu hơn.

Matthew Green, một nhà mật mã học tại Đại học Johns Hopkins cho biết: “Điều này thực sự khiến tôi bị sốc vì khi bước vào dự án này, tôi nghĩ rằng những chiếc điện thoại sẽ thực sự bảo vệ được dữ liệu của người dùng, nhưng thực tế lại khác. Cơ chế bảo mật của iOS đang vô tình tạo ra cửa hậu cho tin tặc”. Các nhà nghiên cứu cũng trực tiếp chia sẻ phát hiện của họ và một số lời khuyên kỹ thuật với Apple.

Người phát ngôn của Apple đưa ra tuyên bố công khai: “Các thiết bị của Apple được thiết kế với nhiều lớp biện pháp bảo vệ an ninh để chống lại nhiều mối đe dọa tiềm ẩn khác nhau. Chúng tôi không ngừng nỗ lực để bổ sung những biện pháp mới cho người dùng. Khi lượng thông tin nhạy cảm được lưu trữ trên thiết bị tiếp tục tăng lên, chúng tôi sẽ tiếp tục phát triển thêm một số biện pháp bảo vệ trên phần cứng và phần mềm để bảo vệ dữ liệu của người dùng”.

Ngoài ra, mặc dù nhiều dịch vụ đám mây của Apple quảng cáo việc sử dụng công nghệ mã hóa đầu cuối, nhấn mạnh rằng chỉ người dùng mới có thể truy cập dữ liệu đám mây, nhưng các nhà nghiên cứu phát hiện ra rằng khi sử dụng dịch vụ sao lưu iCloud, tính bảo mật của một số dịch vụ mã hóa nhất định sẽ bị xâm phạm.

Thực tế, nỗ lực bảo mật của Apple chủ yếu tập trung vào việc bảo vệ người dùng khỏi tin tặc, kẻ trộm và tội phạm muốn đánh cắp thông tin cá nhân. Họ cũng chỉ ra rằng những kiểu tấn công được các nhà nghiên cứu nhấn mạnh là rất tốn kém để phát triển, yêu cầu quyền truy cập vật lý vào thiết bị mục tiêu và chỉ có thể hoạt động trước khi Apple phát hành bản vá. Apple cũng nhấn mạnh mục tiêu của họ đối với iOS là cân bằng giữa an toàn và tiện lợi.

Ngược lại, tình hình của nền tảng Android có vẻ phức tạp hơn. Các nhà nghiên cứu phát hiện ra rằng các mẫu Android hàng đầu mới nhất có thể cung cấp cơ chế bảo vệ mạnh mẽ, nhưng sự mất kết nối giữa Google và các nhà sản xuất thiết bị Android dẫn đến tiến độ cập nhật phần mềm không đồng đều, khiến cơ chế kiểm soát bảo mật và quyền riêng tư của hầu hết điện thoại Android không nhất quán.

Phong Vũ

Lý do nhiều đối tác không dám nhắc tên Apple

Nhiều đối tác của Apple xem việc nhắc tên công ty này là điều cấm kị.

Bé trai sơ sinh bị bỏ rơi ở Quảng Bình tử vong

Nếu thuộc danh mục sản phẩm, hàng hóa nhóm 2, tùy theo phân loại của Bộ TT&TT, các sản phẩm, hàng hóa sẽ phải chứng nhận hợp quy và công bố hợp quy theo quy định. 

Nội dung thông tư cũng quy định một số trường hợp sản phẩm, hàng hóa được miễn chứng nhận hợp quy, công bố hợp quy, một số trường hợp ngưng hiệu lực, chưa bắt buộc áp dụng một phần/toàn bộ của một số quy chuẩn kỹ thuật. 

Về nguyên tắc, việc quản lý sản phẩm, hàng hóa nhóm 2 được thực hiện theo quy định của Bộ TT&TT về chứng nhận hợp quy, công bố hợp quy, kiểm tra chất lượng đối với sản phẩm ,hàng hóa chuyên ngành CNTT, truyền thông và các quy chuẩn kỹ thuật tương ứng. 

Thông tư này áp dụng đối với các tổ chức, cá nhân có hoạt động sản xuất, kinh doanh, hoặc liên quan đến quản lý chất lượng sản phẩm, hàng hóa thuộc danh mục sản phẩm, hàng hóa nhóm 2 tại Việt Nam. Thông tư có hiệu lực thi hành kể từ ngày 15/5/2024.

Theo dự đoán của hãng nghiên cứu IDC, số lượng thiết bị IoT trên toàn thế giới sẽ đạt 41,6 tỷ vào năm 2025. GSMA dự báo thị trường IoT toàn cầu đạt doanh thu 900 tỷ USD trong 5 năm tới, cao gần gấp 3 lần so với năm 2019. Bản đồ phát triển IoT của GSMA cho thấy NB-IoT hay LTE-M IoT đã nhanh chóng được triển khai ở hầu hết khu vực trên thế giới.

Ông Bill Feng, Chuyên gia cao cấp về giải pháp an ninh mạng và bảo mật dữ liệu của Huawei Carrier BG, nhận định với việc tăng tốc triển khai mạng 5G, các kịch bản ứng dụng Internet vạn vật (IoT) đã đến và rất phong phú. Nhiều thiết bị nhà thông minh được kết nối với Internet. Thành phố thông minh có nhiều ứng dụng, chẳng hạn như đèn đường thông minh, bãi đậu xe thông minh và giao thông thông minh. Ngoài ra, còn có các nhà máy thông minh, thiết bị đeo thông minh và thiết bị đọc đồng hồ thông minh. IoT đã thay đổi cuộc sống của mọi người.

Ông Bill Feng chia sẻ, với sự phát triển nhanh chóng của các ứng dụng IoT, các sự cố bảo mật của IoT không ngừng xảy ra. Các phương tiện truyền thông đã đưa tin về nhiều sự cố IoT, chẳng hạn như virus Stuxnet, sự cố lưới điện Ukraine và sự cố mất kết nối Internet ở Đông Mỹ do virus Mirai lây nhiễm trên một số lượng lớn camera. Trong năm 2019, nhiều khóa cửa thông minh cũng được phát hiện có lỗ hổng bảo mật. Những kẻ tấn công có thể sử dụng lỗ hổng để mở cửa và đột nhập vào nhà từ xa.

Các mối đe dọa bảo mật IoT đến từ thiết bị đầu cuối, đường truyền, nền tảng/đám mây và ứng dụng. Thiết bị IoT thường có yêu cầu chi phí thấp, môi trường triển khai cũng rất phức tạp, thậm chí triển khai tại hiện trường dẫn đến rủi ro lớn. Một thiết bị có thể có nhiều rủi ro như mô phỏng danh tính, thay thế phần mềm hay firmware, điều khiển từ xa và gỡ bỏ bất hợp pháp. Do số lượng lớn thiết bị IoT trên mạng trực tiếp, mạng của các nhà mạng đang phải đối mặt với nguy cơ bị tấn công DDoS. 

Theo ông Bill Feng, để ngăn ngừa rủi ro IoT, các thiết bị đầu cuối, đường truyền và nền tảng IoT cần được bảo vệ và liên tục thực hiện O&M (vận hành và bảo trì) an ninh mạng.

Do mức tiêu thụ điện năng thấp và yêu cầu chi phí thấp cho các thiết bị IoT, các giải pháp bảo mật đơn giản cũng được sử dụng. Trong trường hợp này, các thiết bị dễ dàng bị tin tặc tấn công và chiếm quyền điều khiển để tạo thành các mạng botnet, khởi động những cuộc tấn công DDoS, dẫn đến sự cố mạng và gián đoạn dịch vụ. Do đó, mạng của các nhà mạng, đặc biệt là các trạm gốc không dây, phải có khả năng chống lại cuộc tấn công DDoS do quy mô lớn của các thiết bị IoT khởi xướng. Cơ chế kiểm soát lưu lượng dựa trên mức độ ưu tiên của dịch vụ và mức độ tắc nghẽn là một biện pháp hiệu quả để giảm nguy cơ bị tấn công DDoS. Khi một cuộc tấn công xảy ra, các dịch vụ ưu tiên cao sẽ có sẵn và độ tin cậy và tính sẵn sàng của mạng được cải thiện.

“Đảm bảo an ninh IoT đòi hỏi nỗ lực và hợp tác chung của tất cả các bên liên quan. Chính phủ điều chỉnh bảo mật IoT thông qua pháp luật. Các tổ chức tiêu chuẩn hóa phát triển tiêu chuẩn và thông số kỹ thuật của ngành. Các nhà mạng xây dựng và duy trì mạng an toàn, linh hoạt. Các nhà cung cấp thiết bị cung cấp sản phẩm, thiết bị an toàn và đáng tin cậy dựa trên tiêu chuẩn. Các nhà cung cấp dịch vụ đảm bảo an ninh nền tảng dịch vụ và bảo vệ quyền riêng tư của người dùng. Chúng tôi tin rằng bảo mật IoT sẽ được đảm bảo một cách hiệu quả thông qua những nỗ lực và hợp tác chung trong toàn ngành”, ông Bill Feng nói.

Hải Lam

Camera an ninh AI của Việt Nam có lợi thế gì so với đối thủ?

Theo đại diện một công ty bảo mật Việt Nam, camera an ninh trên nền tảng AI của hãng có nhiều ưu điểm so với đối thủ như có thể triển khai trên diện rộng, tiết kiệm chi phí, độ trễ thấp và giá rẻ.