Camera thông minh, "địa hạt" mới của hacker

Hồng Vinh
Chia sẻ

Khi mà xu hướng mua và lắp đặt các camera an ninh thông minh ngày càng phổ biến, đặc biệt trong giai đoạn giãn cách xã hội với nhu cầu học online, làm việc từ xa, hội họp trực tuyến tăng mạnh... thì cũng là lúc hacker tìm được một "địa hạt" mới...

Cục An toàn thông tin vừa cảnh báo lỗ hổng camera IP của Hikvision cho phép hacker tấn công thực thi mã từ xa mà không cần xác thực.
Cục An toàn thông tin vừa cảnh báo lỗ hổng camera IP của Hikvision cho phép hacker tấn công thực thi mã từ xa mà không cần xác thực.

Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cách đây ít hôm có cảnh báo về lỗ hổng nghiêm trọng trong sản phẩm camera IP của Hikvision. Lỗ hổng này được nhận định ảnh hưởng đến hơn 100 triệu thiết bị trên toàn cầu trong đó có Việt Nam.

Lỗ hổng CVE-2021-36260 trong camera Hikvision cho phép đối tượng tấn công thực thi mã từ xa mà không cần xác thực, từ đó chiếm toàn quyền kiểm soát thiết bị. Thông qua đó, có thể truy cập và tấn công mạng nội bộ của cơ quan, tổ chức.

"GẮN KHÓA Ở CỬA NHƯNG KHÔNG HỀ KHÓA"

Xu hướng mua và lắp đặt các camera an ninh thông minh giá rẻ ngày càng phổ biến. Đặc biệt trong đợt giãn cách xã hội hiện nay, việc trang bị camera giám sát trẻ em học hành, làm việc từ xa, hội họp trực tuyến… Tuy nhiên, một số mẫu camera IP giá rẻ nhằm mục đích bảo vệ này lại là điểm mất an ninh nhất đối với người dùng. 

 
"Trên thị trường camera chưa có các quy định cụ thể nên rất khó để phân loại được camera nào đạt tiêu chuẩn an ninh thông tin".
Ông Nguyễn Văn Cường, Giám đốc Trung tâm An ninh mạng - Tập đoàn Công nghệ Bkav.

Camera an ninh thông minh được kết nối với điện thoại, máy tính hoặc các thiết bị khác qua giao thức Internet (IP). Với cách này, chủ nhân có thể giám sát mọi thứ trong nhà hoặc công ty ở bất cứ đâu từ điện thoại thông minh của mình.

Theo báo cáo của Kaspersky Lab, camera an ninh là thiết bị mất an toàn cao nhất so với các thiết bị kết nối Internet (IoT) khác tại nhà. Các thiết bị camera hay IoT cá nhân tương đối nhiều dữ liệu nhạy cảm. Ngoài ra, hạ tầng 5G phát triển kéo theo không chỉ dừng lại ở việc đánh cắp dữ liệu mà còn có thể theo dõi theo thời gian thực sẽ là xu hướng.

Hàng loạt những đoạn video nhạy cảm được hacker thu thập và rao bán công khai.
Hàng loạt những đoạn video nhạy cảm được hacker thu thập và rao bán công khai.

Ông Nguyễn Văn Cường, Giám đốc Trung tâm An ninh mạng - Tập đoàn Công nghệ Bkav cho biết, hiện nay, trên thị trường camera chưa có các quy định cụ thể nên rất khó để phân loại được camera nào đạt tiêu chuẩn an ninh thông tin.

Trong khi, theo ông Cường, người dùng thường bất cẩn, không am hiểu rõ ràng các loại camera trên thị trường, để mật khẩu mặc định,... càng giúp hacker khai thác dễ dàng như việc “gắn khóa ở cửa nhưng không hề khóa".

LỖ HỔNG BIẾN CAMERA THÀNH CÔNG CỤ GIÁM SÁT

Ông Yeo Siang Tiong, Giám đốc Điều hành Kaspersky Lab Đông Nam Á cho biết, bằng cách khai thác các lỗ hổng, hacker có thể thực hiện các cuộc tấn công như truy cập nguồn cấp dữ liệu video và âm thanh từ bất kỳ camera nào kết nối với dịch vụ đám mây dễ bị xâm nhập; truy cập từ xa vào các camera và sử dụng nó cho các cuộc tấn công tiếp theo.

 
Để phân biệt được camera an toàn hay không ở Việt Nam thì có thể dựa vào các tiêu chí như: giá cả (giá rẻ thì chắc chắn không an toàn), thương hiệu (không rõ nguồn gốc xuất xứ), khả năng cập nhật (vấn đề hậu mãi của thiết bị),...

Ngoài ra, hacker còn có thể nhúng mã độc cài vào các camera, ăn cắp thông tin cá nhân như tài khoản mạng xã hội của người dùng và thông tin được sử dụng để gửi thông báo cho người dùng… Tất cả các cuộc tấn công này rất có khả năng bởi vì cách camera tương tác với dịch vụ đám mây là không an toàn và tương đối dễ dàng bị can thiệp.

“Cần lưu ý, các cuộc tấn công như vậy có thể xảy ra nếu kẻ tấn công biết số seri của camera. Tuy nhiên, cách số seri được tạo ra là tương đối dễ dàng tìm ra thông qua các cuộc tấn công brute-force đơn giản - (tấn công brute-force sử dụng phần mềm dò tìm mật khẩu máy tính, máy chủ, thiết bị IoT khá dễ dàng)”, ông Yeo Siang Tiong nhấn mạnh.

Bên cạnh các hình thức tấn công đã được mô tả trước đó như các phần mềm độc hại và botnet, camera cũng có thể được sử dụng để đào tiền ảo. Trong khi mã độc đào tiền ảo đang trở thành một trong những mối đe dọa an ninh chính mà các doanh nghiệp phải đối mặt. Việc khai thác IoT là một xu hướng đang nổi lên do sự phổ biến của các thiết bị IoT và sẽ tiếp tục gia tăng.

Theo ông Nguyễn Văn Cường, để phân biệt được camera an toàn hay không ở Việt Nam thì có thể dựa vào các tiêu chí như: giá cả (giá rẻ thì chắc chắn không an toàn), thương hiệu (không rõ nguồn gốc xuất xứ), khả năng cập nhật (vấn đề hậu mãi của thiết bị),...

LÀM THẾ NÀO ĐỂ TỰ BẢO VỆ?

Theo chuyên gia an ninh mạng Bkav, đối với doanh nghiệp vừa và nhỏ, cần phải tích cực chuyển đổi số và thiết kế hệ thống giám sát theo chuẩn mới như zerotrust,... Có thể tham gia hoặc thuê các dịch vụ uy tín kiểm định định kỳ giám sát an ninh mạng.

Đối với những doanh nghiệp lớn có đủ nguồn lực thì nên trang bị thêm các thiết bị giám sát mạng cũng như đội ngũ giám sát an toàn thông tin.

Đối với người dùng cá nhân, nên trang bị kiến thức để cùng hòa nhập với xu thế, sử dụng các thiết bị camera của các hãng có uy tín để được hỗ trợ, cập nhật các bản vá thường xuyên. Không nên mua camera không có thương hiệu cũng như không thể xác minh cách họ bảo mật dữ liệu.

Việc tiết kiệm giá mua có thể phải trả giá đắt hơn sau này. Cuối cùng là thay đổi mật khẩu mặc định từ nhà sản xuất và đặt mật khẩu đủ mạnh, do chính người dùng tự đặt chứ không phải từ nhân viên lắp đặt hoặc nơi cung cấp camera.

 

Để đảm bảo an toàn thông tin, Cục An toàn thông tin khuyến nghị các cơ quan, tổ chức, doanh nghiệp kiểm tra, rà soát và cần thực hiện cập nhật phần mềm, tách riêng dải mạng dùng cho camera và hạn chế truy cập đến các dải mạng khác. Trong trường hợp cần hỗ trợ, các cơ quan, đơn vị, doanh nghiệp liên hệ đầu mối hỗ trợ của Cục An toàn thông tin: Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) qua số điện thoại 02432091616.

Tin liên quan

Khởi nghiệp

Hồ sơ Startup

Citigo là công ty công nghệ cung cấp những giải pháp đơn giản với chi phí tiết kiệm, giúp khách hàng nâng cao hiệu quả kinh doanh. Citigo hướng tới tầm nhìn trở thành công ty cung cấp giải pháp công nghệ cho doanh nghiệp phổ biến tại Đông Nam Á
ESBT là công ty hoạt động trọng lĩnh vực công nghệ thông tin, chúng tôi xây dựng những sản phẩm phần mềm cho cộng đồng và cung cấp dịch vụ phát triển phần mềm cho các doanh nghiệp
Lozi là một trong những ứng dụng thương mại điện tử được yêu thích nhất tại Việt Nam, kết nối hàng triệu người mua và người bán nhằm phục vụ nhu cầu mua bán trực tuyến ngày càng cao. Không chỉ là một cầu nối thương mại điện tử đáng tin cậy, Lozi còn cung cấp dịch vụ giao hàng nhanh chóng và tiện lợi chỉ trong 1 giờ, đem đến cho khách hàng những trải nghiệm mua sắm trực tuyến hiệu quả và tối ưu
Bắt nguồn từ mong muốn mang chất lượng dạy Tiếng Anh tại Trường Quốc tế đến với mọi học sinh Việt Nam, để các bạn nhỏ dù không có điều kiện kinh tế theo học tại các Trường Quốc Tế hay Trung Tâm đắt tiền vẫn có thể sử dụng Tiếng Anh tốt như người bản ngữ. Đây chính là hành trang chuẩn bị cho các em tương lai vươn ra thế giới. Chính vì lý do trên, đội ngũ sáng lập đã bắt tay vào xây dựng sản phẩm đầu tiên có tên “Chương trình học Tiếng Anh Online EDUPIA”.
Công ty TNHH SA-ACH định vị về lĩnh vững trồng rừng, phát triển gồm 3 loại cây và bốn tầng cây trên một hecta đất nhằm tạo hệ sinh thái bền vững, và nâng cao thu nhập cho bà con