Bất cứ thực thể nào có gắn thiết bị vi tính đều có khả năng trở thành nạn nhân của hacker. Mối lo ngại về các cuộc tấn công nhằm vào thế giới vật lý dấy lên mạnh mẽ sau kỳ án Stuxnet.

Năm 2010, virus Stuxnet xuất hiện, tấn công các hệ thống điều khiển mạng công nghiệp - SCADA của Siemens ở Ấn Độ, Indonesia, Pakistan... sau đó lan tràn khắp các cơ sở công nghiệp của Iran. Tại đây, Stuxnet lây nhiễm cho toàn bộ máy tính Windows có kết nối với hệ thống điều khiển các máy li tâm của nhà máy điện hạt nhân và thay đổi tốc độ quay của loại thiết bị này. Stuxnet tinh vi ở chỗ nó có khả năng vô hiệu hóa hệ thống báo động và cung cấp thông số giả về hoạt động của các máy li tâm. Mặc dù được nhắc đến đình đám trên các phương tiện truyền thông, nhưng theo như các chuyên gia bảo mật và các cựu quan chức chính phủ nắm chắc thông tin về sự cố này, Stuxnet có khả năng gây hậu quả đáng sợ hơn tất cả những gì báo chí nhắc đến. Một điều đặc biệt là Stuxnet không hủy hoại cơ sở dữ liệu mà phá hỏng những thiết bị vật lí. Đây có lẽ là nguyên nhân chính khiến hacker và giới bảo mật bắt đầu chú ý đến những thứ gọi là “lỗ hổng thế giới thực”.

Vụ tấn công của Stuxnet, lần đầu tiên, cho thấy rằng một đoạn mã độc lây lan qua máy tính có thể điều khiển cả hệ thống công nghiệp. Không ai biết tác giả thực sự của Stuxnet, cũng như sức tàn phá của nó không bao giờ còn khả năng xảy ra, nhưng qua đoạn mã độc đã được ghi chép lại, các chuyên gia bảo mật cũng như hacker đang tiến hành những nghiên cứu xem chúng có thể làm được gì đối với thế giới vật lý.

Lỗ hổng thế giới thực

Có thể thấy được mối quan tâm này tại DEF CON, hội nghị hacker thu hút 15.000 người. Tại đây, các diễn giả đã thuyết trình, giải thích và mô phỏng nhiều cuộc tấn công ảo có thể xảy ra đối với thế giới thực. Nhà nghiên cứu bảo mật Jay Radcliffe trong thời gian điều trị tiểu đường khám phá ra rằng: các thiết bị bơm tiêm insulin - một loại hóc môn được tiêm cho người bị bệnh tiểu đường để đảm bảo trao đổi chất diễn ra bình thường – được điều khiển từ xa, có thể bị người khác thay đổi lập trình, từ đó thay đổi lượng insulin cung cấp cho người bệnh mà vẫn gửi đi những kết quả chính xác cho bác sỹ giám sát. Một nhóm các nhà bảo mật khác của Mỹ lại khám phá ra rằng: Hệ thống cánh cửa nhà tù Mỹ được điều khiển bằng hệ thống máy tính thiếu các biện pháp bảo mật cơ bản. Hệ thống này dễ dàng bị nhiễm virus nếu người trực trung tâm máy tính kích chuột vào tệp tin chứa virus trong lúc kiểm tra email. Nếu hệ thống máy tính bị nhiễm virus, một loạt cửa nhà tù có thể bị hacker điều khiển để tiếp tay cho tù nhân vượt ngục. Hai chuyên gia bảo mật Don Bailey và Mathew Solnik lại chứng minh họ có thể lợi dụng lỗ hổng của phầm mềm điều khiển cài đặt trong xe hơi để khởi động và mở khóa nhiều loại xe như General Motors, Mercedes và BMW thông qua laptop.

Không có chứng cớ cho thấy các kỹ thuật trên đã từng bị hacker lợi dụng. Tuy nhiên, điều đó không có nghĩa là những hacker mũ đen – vốn chưa bao giờ buông tay trong cuộc chiến với giới bảo mật – không ngấm ngầm xây dựng các cuộc tấn công tương tự. Điều này càng có khả năng xảy ra khi hiện nay, ngày càng có nhiều thiết bị, máy móc, thậm chí cả các vật dụng thường ngày có gắn các loại chip vi tính bên trong, để điều khiển từ xa hoặc thực hiện các chức năng một cách tự động.

Các chuyên gia bảo mật đã nỗ lực nghiên cứu, nhưng để những nghiên cứu đem lại hiệu quả thực tế cần có sự tích cực tiếp nhận và hỗ trợ từ phía các nhà sản xuất thiết bị tiêu dùng như xe hơi, thiết bị y tế, các nhà quản trị công nghệ thông tin của các tổ chức… Dù không muốn, chúng ta vẫn phải chuẩn bị tinh thần là siêu sâu Stuxnet và hội nghị DEF CON chỉ là khởi đầu của cuộc chiến chống tội phạm ảo trong thế giới thực.