Lỗi bảo mật USB có thể khiến thế giới không còn… thiết bị USB
Các nhà nghiên cứu Karsten Nohl và Jakob Lell cách đây không lâu công bố vừa phát hiện một lỗi an ninh “chết người” từ cổng USB máy tính mà họ gọi là BadUSB. Nó cho phép kẻ xấu phát tán các phần mềm mã độc trên các thiết bị mà khó thể phát giác được. Thậm chí người ta không thể xóa bỏ được vì mã độc chui vào “thập diện mai phục” ngay trong firmware của thiết bị USB. Lúc đó, may mắn là hai nhà nghiên cứu này đã không công bố đoạn mã độc USB đó.
Vào cuối tháng 9 và đầu tháng 10-2014, hai nhà nghiên cứu Adam Caudill và Brandon Wilson loan báo đã thành công trong việc tìm ra cơ chế hoạt động của BadUSB. Đáng tiếc là họ lại cho công bố mã độc này lên mạng GitHub và còn biểu diễn nhiều cách sử dụng nó, kể cả thực hiện một cuộc tấn công giành quyền kiểm soát bàn phím máy tính. Họ giải thích mục đích công bố mã độc này để gây sức ép cho các nhà sản xuất thiết bị mau chóng có giải pháp khắc phục.
Giới chuyên môn cho rằng điều này thật nguy hiểm, chưa thấy các nhà sản xuất phản hồi ra sao mà trước mắt kẻ xấu có trong tay mã độc USB để lập trình lại tinh vi hơn. Do mã độc này nằm tận firmware của thiết bị USB, cách duy nhất để trị nó là phải tạo ra một lớp an ninh mới chung quanh firmware, có nghĩa là cần cập nhật hoàn toàn chính chuẩn USB. Thời gian để sửa lỗi này sẽ mất nhiều năm. Và trong thời gian đó, kết nối USB vẫn mất an ninh.
Trang công nghệ The Verge (2-10-2014) nói rằng nếu muốn không trở thành nạn nhân của lỗi an ninh USB này, bạn chỉ có thể sử dụng các thiết bị USB nguyên gốc từ nhà sản xuất cung cấp để bảo đảm chúng chưa được gắn vào bất cứ máy tính nào khác. Đây quả là một điều bất khả thi. Vậy thì, nếu không chấp nhận sống chung với nguy cơ USB, bạn chỉ còn cách lấy băng keo dán kín các cổng USB trên thiết bị của mình lại: nội bất xuất, ngoại bất nhập.
Tin này quả đang gây kinh hoàng cho các nhà sản xuất thiết bị ngoại vi có cổng kết nối USB.
PHẠM HỒNG PHƯỚC
(Saigon 4-10-2014)
+ Nguồn ảnh: Internet, Thanks.
+ Có trên báo Tuổi Trẻ Online (http://tuoitre.vn) và Tuổi Trẻ Mobile (http://m.tuoitre.vn)