Ngay khi mới xuất hiện, USB đã trở thành một vấn đề nghiêm trọng đối với bảo mật thông tin. Hệ thống tin sử dụng các thiết bị lưu trữ USB có khả năng đứng trước các nguy cơ về bảo mật, tính toàn vẹn của thông tin, bị áp đặt các thông tin sai lệch và nhiễm các phần mềm độc hại.
Một phương pháp điển hình để bảo vệ thông tin khỏi các kiểu tấn công khác nhau là hạn chế quyền truy cập vào nó. Điều tương tự cũng được thực hiện đối với thông tin được lưu trữ trong USB. Một số tổ chức thực hiện các biện pháp quyết liệt như loại bỏ hoặc niêm phong các đầu nối USB. Đây là một trong những giải pháp hiệu quả, tuy nhiên có một số điểm hạn chế không khó để nhận ra. Thứ nhất, các cổng kết nối chuẩn USB là cần thiết đối với các thiết bị ngoại vi như chuột, bàn phím, máy in, máy scan hay webcam. Thứ hai, việc loại bỏ hay niêm phong các cổng kết nối chuẩn USB sẽ gặp phải những khó khăn trong các công việc liên quan đến thông tin, đặc biệt trong thời đại số, đến từ thói quen, tâm lý sử dụng cũng như tính tiện dụng, phổ biến của các thiết bị lưu trữ chuẩn giao tiếp USB.
Hệ thống PUAA là tổ hợp phần mềm và/hoặc công cụ phần cứng ngăn chặn các nỗ lực truy cập trái phép.
Hệ thống bảo vệ thông tin, chống truy cập trái phép cho phép kiểm soát quyền truy cập của hệ thống và các thiết bị ngoại vi được kết nối với nó, trong đó có USB. Tuy nhiên, các chức năng kiểm soát quyền truy cập từ bên ngoài không phải là mục đích chính của công cụ này, do đó chức năng này kém hơn so với các hệ thống ngăn chặn thất thoát dữ liệu (Data Loss Prevention - DLP).
Hệ thống DLP là hệ thống phần cứng và phần mềm hoạt động dựa trên dựa trên việc phân tích các luồng dữ liệu đi qua hệ thống khi thông tin bí mật được phát hiện trong luồng này, một số cơ chế của hệ thống sẽ được kích hoạt và việc truyền thông tin sẽ bị chặn.
Hệ thống DLP được thiết kế để cung cấp khả năng kiểm soát việc tuyền thông tin bí mật ra bên ngoài tổ chức thông qua tất cả các kênh có sẵn, bao gồm cả USB. Vì vậy, kiểm soát quyền truy cập vào ổ USB là một trong những chức năng chính của DLP. Ngoài ra, các hệ thống DLP có khả năng kiểm soát các lỗ hổng khác của hệ thống thông tin. Tuy nhiên, bản thân các hệ thống DLP không đảm bảo tính bảo mật của máy tính. Do đó, để chúng hoạt động an toàn, cần phải cài đặt cùng một hệ thống bảo mật thông tin.
Vì vậy, việc sử dụng hệ thống DLP để kiểm soát quyền truy cập của người dùng vào ổ USB là hợp lý trong hai trường hợp. Thứ nhất, giá thành thực thi các hệ thống DLP rẻ hơn các hệ thống PUAA và việc sử dụng PUAA là không cần thiết. Thứ hai, các hệ thống DLP được sử dụng với mục đính tăng cường chức năng của hệ thống PUAA.
Việc sử dụng các công cụ mã hóa cho USB cũng giải quyết vấn đề kiểm soát quyền truy cập vào thông tin được lưu trữ trên đó. Nhược điểm chính của các giải pháp này là sự phức tạp của việc quản lý khóa mã. Trong trường hợp đơn giản nhất, các khóa được tính toán dựa trên mật khẩu của người dùng. Đồng thời, USB có thể được sử dụng bởi cùng một người dùng bên ngoài. Do đó cần có một hệ thống tạo và quản lý khóa mã chỉ hoạt động trong môi trường nhất định và không cho phép người dùng tạo khóa mã bên ngoài môi trường đó.
Tuy nhiên, việc quản lý công cụ mã hóa không phải là một vấn đề đơn giản mà cần một môi trường an toàn cho hoạt động của công cụ mã hóa, do đó có thể cần sử dụng đến các hệ thống PUAA. Ngoài ra, mã hóa USB hoàn toàn không cung cấp khả năng kiểm soát truy cập vào các giao diện khác.
Tất cả các giải pháp trên cho vấn đề USB đều thực hiện nhiệm vụ kiểm soát quyền truy cập vào USB một chiều từ các máy tính có quyền truy cập vào USB đó.
Bên cạnh đó, cần giải quyết một nhiệm vụ quan trọng hơn là từ chối quyền truy cập vào thông tin được ghi trên USB từ tất cả các máy tính khác, tức là việc ăn cắp và mất USB vẫn còn nguy hiểm.
Tất cả các phương pháp bảo vệ thông tin trên USB được coi là ngầm định trước đây đều bắt nguồn từ thực tế rằng phương tiện này là phương tiện lưu trữ thông tin thụ động, như đĩa mềm, CD, DVD. Thực chất, các USB chứa bộ điều khiển có thể lập trình cung cấp quyền truy cập vào bộ nhớ flash bên trong, do đó vấn đề bảo vệ thông tin được ghi bên ngoài phạm vi được kiểm soát sẽ được giải quyết đơn giản: cần tạo một ổ USB với hệ thống an ninh tích hợp hoạt động trên bộ điều khiển này.
Hiện nay, trên thị trường có một số sản phẩm được sản xuất bằng công nghệ này. Trong số đó có: iStorage datAshur PRO USB, Kingston DataTraveler Vault Privacy; Aegis Secure Key, IronKey S200, Eaget FU5, LockHeed Martin IronClad,... Dưới đây là đặc trưng kỹ thuật của một số dòng thiết bị USB này.
- Bảo mật phần cứng XTS-AES 256 bít FIPS 140-2 Level 3;
- Sử dụng công nghệ chống mở vỏ;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng phím bấm trên thiết bị;
- Tích hợp tính năng bảo vệ chống virus ESET NOD32® có khả năng ngay lập tức phát hiện nguy hiểm và hiển thị cảnh báo, không cần cài đặt, bản quyền 5 năm;
- Cung cấp khả năng điều chỉnh cấu hình một số tính năng kỹ thuật thông qua SafeConsonle;
- Bảo mật phần cứng XTS-AES 256 bít FIPS -197;
- Xóa dữ liệu trước các tấn công dò mật khẩu;
- Xác thực dựa trên mật khẩu người dùng;
- Bảo mật phần cứng XTS-AES 256;
- Xác thực: Công nghệ vân tay, đảm bảo khả năng lưu trữ 08 mẫu vân tay nhận dạng từng mẫu trong thời gian 0.3 giây;
Xu hướng phát triển các thiết bị USB có mã hóa ngày càng được hoàn thiện và phát triển cả về tốc độ, dung lượng cứng như tính an ninh, an toàn, bảo mật. Tuy nhiên chúng có môt số điểm chung:
Thứ nhất, sử dụng nền tảng mã hóa phần cứng để mã hóa phân vùng lưu trữ flash.
Thứ hai, tham gia vào quá trình mã hóa khi chúng được lưu trữ trong các bộ nhớ Non-Volatile Memory (bộ nhớ không bay hơi) dạng flash bên trong USB.
Thứ ba, thực thi tính năng hạn chế truy cập thông tin trong bộ nhớ flash trong bằng mật khẩu hoặc xác thực sinh trắc học người dùng.
Ngoài ra, một số thiết bị USB mã hóa được tích hợp tính năng chống mở vỏ, xóa thông tin khi phát hiện có nỗ lực xâm nhập vật lý trái phép và ghi nhật ký cần thiết cho hệ thống bảo mật thông tin.
Bài viết phân tích các giải pháp đảm bảo an toàn, bảo mật cho các thiết bị lưu trữ chuẩn USB dựa trên nền tảng hạn chế quyền truy cập và mã hóa và hân tích nhược điểm của các giải pháp đảm bảo an toàn dựa trên nền tảng hạn chế quyền truy cập, cũng như tính ưu việt của giải pháp mã hóa và xu hướng phát triển của các thiết bị USB mã hóa. Đây là một trong các biện pháp hiệu quả để khiến USB trở lên an toàn hơn, nhưng vẫn không hạn chế được các nguy cơ mất an toàn khi sử dụng bên ngoài khu vực được cho phép trên các hệ thống thông tin có khả năng lây nhiễm virus, mã độc. Phần II của bài báo sẽ đề xuất giải pháp nâng cao tính an toàn, khác phục các hạn chế của các USB mã hóa dựa trên công nghệ xác thực đa nhân tố giữa phần mềm thực thi độc lập được cài đặt trên máy tính và module phần cứng, phần mềm của thiết bị USB.
TÀI LIỆU THAM KHẢO 1. Madison, Alex, (2016-07-09) “Keychain Not Included: The Five Highest-Capacity USB Flash Drives for Your Digital Life”. Digital Trends. 2. Athow, Desire, (2016-07-04) “The best USB flash drives 2016”. Tech Radar. 3. Dave (Jing) Tian, Nolen Scaife, Deepak Kumary, Michael Baileyy, Adam Batesy, Kevin R. B. Butle, (052019), “SoK: “Plug & Pray” Today – Understanding USB Insecurity in Versions 1 through C. |
Trần Văn Khánh, Nguyễn Thành Vinh, Đào Thanh Long
10:00 | 04/07/2019
17:00 | 20/06/2022
10:00 | 08/07/2020
09:00 | 02/04/2024
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
09:00 | 13/04/2023
Đám mây lai (Hybird - cloud) là sự kết hợp giữa các nền tảng điện toán đám mây, bao gồm một hay nhiều nhà cung cấp dịch vụ đám mây công cộng (ví dụ như Amazon hay Google) với một nền tảng đám mây nội bộ được thiết kế riêng cho một tổ chức hoặc một cơ sở hạ tầng IT của tư nhân. Đám mây công cộng và đám mây nội bộ hoạt động độc lập với nhau và giao tiếp thông qua kết nối được mã hóa để truyền tải dữ liệu và ứng dụng.
09:00 | 09/01/2023
Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024