Ngay khi mới xuất hiện, USB đã trở thành một vấn đề nghiêm trọng đối với bảo mật thông tin. Hệ thống tin sử dụng các thiết bị lưu trữ USB có khả năng đứng trước các nguy cơ về bảo mật, tính toàn vẹn của thông tin, bị áp đặt các thông tin sai lệch và nhiễm các phần mềm độc hại.
Một phương pháp điển hình để bảo vệ thông tin khỏi các kiểu tấn công khác nhau là hạn chế quyền truy cập vào nó. Điều tương tự cũng được thực hiện đối với thông tin được lưu trữ trong USB. Một số tổ chức thực hiện các biện pháp quyết liệt như loại bỏ hoặc niêm phong các đầu nối USB. Đây là một trong những giải pháp hiệu quả, tuy nhiên có một số điểm hạn chế không khó để nhận ra. Thứ nhất, các cổng kết nối chuẩn USB là cần thiết đối với các thiết bị ngoại vi như chuột, bàn phím, máy in, máy scan hay webcam. Thứ hai, việc loại bỏ hay niêm phong các cổng kết nối chuẩn USB sẽ gặp phải những khó khăn trong các công việc liên quan đến thông tin, đặc biệt trong thời đại số, đến từ thói quen, tâm lý sử dụng cũng như tính tiện dụng, phổ biến của các thiết bị lưu trữ chuẩn giao tiếp USB.
Hệ thống PUAA là tổ hợp phần mềm và/hoặc công cụ phần cứng ngăn chặn các nỗ lực truy cập trái phép.
Hệ thống bảo vệ thông tin, chống truy cập trái phép cho phép kiểm soát quyền truy cập của hệ thống và các thiết bị ngoại vi được kết nối với nó, trong đó có USB. Tuy nhiên, các chức năng kiểm soát quyền truy cập từ bên ngoài không phải là mục đích chính của công cụ này, do đó chức năng này kém hơn so với các hệ thống ngăn chặn thất thoát dữ liệu (Data Loss Prevention - DLP).
Hệ thống DLP là hệ thống phần cứng và phần mềm hoạt động dựa trên dựa trên việc phân tích các luồng dữ liệu đi qua hệ thống khi thông tin bí mật được phát hiện trong luồng này, một số cơ chế của hệ thống sẽ được kích hoạt và việc truyền thông tin sẽ bị chặn.
Hệ thống DLP được thiết kế để cung cấp khả năng kiểm soát việc tuyền thông tin bí mật ra bên ngoài tổ chức thông qua tất cả các kênh có sẵn, bao gồm cả USB. Vì vậy, kiểm soát quyền truy cập vào ổ USB là một trong những chức năng chính của DLP. Ngoài ra, các hệ thống DLP có khả năng kiểm soát các lỗ hổng khác của hệ thống thông tin. Tuy nhiên, bản thân các hệ thống DLP không đảm bảo tính bảo mật của máy tính. Do đó, để chúng hoạt động an toàn, cần phải cài đặt cùng một hệ thống bảo mật thông tin.
Vì vậy, việc sử dụng hệ thống DLP để kiểm soát quyền truy cập của người dùng vào ổ USB là hợp lý trong hai trường hợp. Thứ nhất, giá thành thực thi các hệ thống DLP rẻ hơn các hệ thống PUAA và việc sử dụng PUAA là không cần thiết. Thứ hai, các hệ thống DLP được sử dụng với mục đính tăng cường chức năng của hệ thống PUAA.
Việc sử dụng các công cụ mã hóa cho USB cũng giải quyết vấn đề kiểm soát quyền truy cập vào thông tin được lưu trữ trên đó. Nhược điểm chính của các giải pháp này là sự phức tạp của việc quản lý khóa mã. Trong trường hợp đơn giản nhất, các khóa được tính toán dựa trên mật khẩu của người dùng. Đồng thời, USB có thể được sử dụng bởi cùng một người dùng bên ngoài. Do đó cần có một hệ thống tạo và quản lý khóa mã chỉ hoạt động trong môi trường nhất định và không cho phép người dùng tạo khóa mã bên ngoài môi trường đó.
Tuy nhiên, việc quản lý công cụ mã hóa không phải là một vấn đề đơn giản mà cần một môi trường an toàn cho hoạt động của công cụ mã hóa, do đó có thể cần sử dụng đến các hệ thống PUAA. Ngoài ra, mã hóa USB hoàn toàn không cung cấp khả năng kiểm soát truy cập vào các giao diện khác.
Tất cả các giải pháp trên cho vấn đề USB đều thực hiện nhiệm vụ kiểm soát quyền truy cập vào USB một chiều từ các máy tính có quyền truy cập vào USB đó.
Bên cạnh đó, cần giải quyết một nhiệm vụ quan trọng hơn là từ chối quyền truy cập vào thông tin được ghi trên USB từ tất cả các máy tính khác, tức là việc ăn cắp và mất USB vẫn còn nguy hiểm.
Tất cả các phương pháp bảo vệ thông tin trên USB được coi là ngầm định trước đây đều bắt nguồn từ thực tế rằng phương tiện này là phương tiện lưu trữ thông tin thụ động, như đĩa mềm, CD, DVD. Thực chất, các USB chứa bộ điều khiển có thể lập trình cung cấp quyền truy cập vào bộ nhớ flash bên trong, do đó vấn đề bảo vệ thông tin được ghi bên ngoài phạm vi được kiểm soát sẽ được giải quyết đơn giản: cần tạo một ổ USB với hệ thống an ninh tích hợp hoạt động trên bộ điều khiển này.
Hiện nay, trên thị trường có một số sản phẩm được sản xuất bằng công nghệ này. Trong số đó có: iStorage datAshur PRO USB, Kingston DataTraveler Vault Privacy; Aegis Secure Key, IronKey S200, Eaget FU5, LockHeed Martin IronClad,... Dưới đây là đặc trưng kỹ thuật của một số dòng thiết bị USB này.
- Bảo mật phần cứng XTS-AES 256 bít FIPS 140-2 Level 3;
- Sử dụng công nghệ chống mở vỏ;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng phím bấm trên thiết bị;
- Tích hợp tính năng bảo vệ chống virus ESET NOD32® có khả năng ngay lập tức phát hiện nguy hiểm và hiển thị cảnh báo, không cần cài đặt, bản quyền 5 năm;
- Cung cấp khả năng điều chỉnh cấu hình một số tính năng kỹ thuật thông qua SafeConsonle;
- Bảo mật phần cứng XTS-AES 256 bít FIPS -197;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng;
- Bảo mật phần cứng XTS-AES 256;
- Xác thực: Công nghệ vân tay, đảm bảo khả năng lưu trữ 08 mẫu vân tay nhận dạng từng mẫu trong thời gian 0.3 giây;
Xu hướng phát triển các thiết bị USB có mã hóa ngày càng được hoàn thiện và phát triển cả về tốc độ, dung lượng cứng như tính an ninh, an toàn, bảo mật. Tuy nhiên chúng có môt số điểm chung:
Thứ nhất, sử dụng nền tảng mã hóa phần cứng để mã hóa phân vùng lưu trữ flash.
Thứ hai, tham gia vào quá trình mã hóa khi chúng được lưu trữ trong các bộ nhớ Non-Volatile Memory (bộ nhớ không bay hơi) dạng flash bên trong USB.
Thứ ba, thực thi tính năng hạn chế truy cập thông tin trong bộ nhớ flash trong bằng mật khẩu hoặc xác thực sinh trắc học người dùng.
Ngoài ra, một số thiết bị USB mã hóa được tích hợp tính năng chống mở vỏ, xóa thông tin khi phát hiện có nỗ lực xâm nhập vật lý trái phép và ghi nhật ký cần thiết cho hệ thống bảo mật thông tin.
Bài viết phân tích các giải pháp đảm bảo an toàn, bảo mật cho các thiết bị lưu trữ chuẩn USB dựa trên nền tảng hạn chế quyền truy cập và mã hóa và hân tích nhược điểm của các giải pháp đảm bảo an toàn dựa trên nền tảng hạn chế quyền truy cập, cũng như tính ưu việt của giải pháp mã hóa và xu hướng phát triển của các thiết bị USB mã hóa. Đây là một trong các biện pháp hiệu quả để khiến USB trở lên an toàn hơn, nhưng vẫn không hạn chế được các nguy cơ mất an toàn khi sử dụng bên ngoài khu vực được cho phép trên các hệ thống thông tin có khả năng lây nhiễm virus, mã độc. Phần II của bài báo sẽ đề xuất giải pháp nâng cao tính an toàn, khác phục các hạn chế của các USB mã hóa dựa trên công nghệ xác thực đa nhân tố giữa phần mềm thực thi độc lập được cài đặt trên máy tính và module phần cứng, phần mềm của thiết bị USB.
TÀI LIỆU THAM KHẢO 1. Madison, Alex, (2016-07-09) “Keychain Not Included: The Five Highest-Capacity USB Flash Drives for Your Digital Life”. Digital Trends. 2. Athow, Desire, (2016-07-04) “The best USB flash drives 2016”. Tech Radar. 3. Dave (Jing) Tian, Nolen Scaife, Deepak Kumary, Michael Baileyy, Adam Batesy, Kevin R. B. Butle, (052019), “SoK: “Plug & Pray” Today – Understanding USB Insecurity in Versions 1 through C. |
Trần Văn Khánh, Nguyễn Thành Vinh, Đào Thanh Long
10:00 | 04/07/2019
17:00 | 20/06/2022
10:00 | 08/07/2020
09:00 | 02/04/2024
09:00 | 24/11/2023
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
08:00 | 06/11/2023
Khi 5G ngày càng phổ biến và được nhiều doanh nghiệp sử dụng cho truyền tải không dây, một câu hỏi quan trọng được đặt ra đó là: “Ai chịu trách nhiệm đảm bảo bảo mật cho 5G?”. Việc triển khai 5G bảo mật bao gồm nhiều khía cạnh và trách nhiệm, nó sẽ là trách nhiệm chung của cả các nhà cung cấp dịch vụ và các doanh nghiệp triển khai.
15:00 | 03/09/2023
Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.
14:00 | 17/05/2023
Một trong những lý do khiến các tổ chức e ngại khi sử dụng các dịch vụ điện toán đám mây là vấn đề về an toàn thông tin. Tuy nhiên, dù nhìn nhận từ góc độ nào thì hầu hết chúng ta đều phải công nhận là các nhà cung cấp dịch vụ điện toán đám mây lớn như Amazon, Microsoft hay Google đều có nhiều nguồn lực và nhân sự giỏi về an ninh bảo mật hơn hầu hết các doanh nghiệp khác. Vậy tại sao chúng ta liên tục nhận được tin tức về các sự cố bảo mật của các doanh nghiệp khi sử dụng điện toán đám mây?
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024