Router cũ của bạn đang trở thành điểm nóng tội phạm mạng

Router là cửa ngõ của cuộc sống số. Chúng kết nối laptop, điện thoại, camera, TV thông minh, máy chơi game, thiết bị theo dõi trẻ em, và giờ là cả một loạt các thiết bị gia dụng kết nối internet. Tuy nhiên, chúng lại bị đối xử như vật trang trí. Một khi Wi-Fi hoạt động, hầu hết mọi người không bao giờ đăng nhập vào lại. Thói quen đó đã tạo ra một mục tiêu lớn và dễ bị tấn công. Các cơ quan an ninh ở một số quốc gia đã cảnh báo trong nhiều năm rằng các router cũ và chưa được vá lỗi đang bị gộp vào các mạng botnet, bị sử dụng làm bàn đạp cho hoạt động gián điệp, hoặc bị khai thác để chuyển hướng lưu lượng truy cập và đánh cắp dữ liệu. Tại Hoa Kỳ, FBI đã nhiều lần cảnh báo về các router gia đình và văn phòng bị xâm nhập. Trung tâm An ninh mạng Quốc gia của Anh cũng đã làm điều tương tự. Đây không phải là nỗi hoảng sợ vô căn cứ. Đây là một điểm yếu đã được biết rõ nhưng lại bị bỏ qua ngay trước mắt.

Bằng chứng không hề khó thấy. Năm 2018, phần mềm độc hại (malware) VPNFilter đã lây nhiễm hàng trăm nghìn thiết bị mạng trên toàn thế giới, bao gồm cả các router được sử dụng trong gia đình và doanh nghiệp nhỏ. Các nhà nghiên cứu của Cisco đã liên kết chiến dịch này với một hoạt động tinh vi, và FBI sau đó đã kêu gọi mọi người khởi động lại các thiết bị bị ảnh hưởng trong khi các nỗ lực ngăn chặn rộng hơn được triển khai. Việc khởi động lại chỉ là một giải pháp tạm thời. Bài học lớn hơn thật tàn nhẫn: phần cứng internet hàng ngày đã âm thầm bị vũ khí hóa trên quy mô lớn. Nhiều năm trước đó, mạng botnet Mirai đã cho thấy điều gì xảy ra khi các thiết bị kết nối không an toàn bị bỏ mặc. Nó đã giúp đánh sập các dịch vụ trực tuyến lớn vào năm 2016 bằng cách tập hợp một đội quân khổng lồ gồm các thiết bị bị xâm nhập. Mirai trở nên nổi tiếng vì lạm dụng mật khẩu mặc định yếu trên camera và các thiết bị khác, nhưng bài học lớn hơn vẫn còn đó. Phần cứng internet rẻ tiền, bị bỏ quên có thể bị biến thành cơ sở hạ tầng tấn công.

Kể từ đó, vấn đề vẫn chưa biến mất. Nó đã trở nên tinh vi hơn. Những kẻ tấn công không phải lúc nào cũng cần các chiêu thức khai thác phức tạp. Đôi khi chúng sử dụng thông tin đăng nhập mặc định mà chủ sở hữu không bao giờ thay đổi. Đôi khi chúng sử dụng các lỗ hổng đã biết trong phần mềm cũ mà nhà cung cấp đã vá từ lâu, với giả định rằng có ai đó bận tâm cài đặt bản cập nhật. Đôi khi không có bản vá nào cả vì thiết bị đã hết vòng đời hỗ trợ và nhà sản xuất đã thực sự bỏ mặc nó. Nhóm người tiêu dùng Which? ở Anh và Hiệp hội Internet đều đã nhấn mạnh một thực tế cơ bản nhưng đáng lo ngại: nhiều thiết bị kết nối được bán với những lời hứa hỗ trợ yếu kém, vòng đời cập nhật không rõ ràng, hoặc các tính năng bảo mật mà người mua bình thường không bao giờ được hướng dẫn sử dụng.

Đây là nơi thị trường đã thất bại, và thất bại một cách nặng nề. Người tiêu dùng được yêu cầu phải có trách nhiệm hơn khi trực tuyến, nhưng họ lại mua những sản phẩm khiến việc đó trở nên phi thực tế. Cài đặt router thường bị giấu sau các giao diện khó sử dụng. Các bản cập nhật bảo mật có thể yêu cầu cài đặt thủ công. Các trang hỗ trợ rất khó tìm. Thông báo hết vòng đời sản phẩm thì không rõ ràng. Một số nhà cung cấp internet giao cho khách hàng phần cứng mà họ gần như không hiểu và không thể dễ dàng thay thế. Đây không phải là lỗi của người dùng theo nghĩa thông thường. Đây là một lựa chọn thiết kế của cả ngành công nghiệp. Hệ thống này mặc định rằng người dùng sẽ lơ là, và rồi lại tỏ ra sốc khi tội phạm khai thác điều đó.

Các doanh nghiệp nhỏ đặc biệt dễ bị tấn công. Họ thường sử dụng các thiết bị mạng cấp tiêu dùng hoặc văn phòng đã cũ vì chúng rẻ và quen thuộc. Họ có thể không có nhân viên IT chuyên trách. Họ có thể sử dụng cùng một chiếc router trong nhiều năm trong khi lưu trữ hồ sơ lương, dữ liệu khách hàng và thông tin thanh toán đằng sau nó. Khi thiết bị đó bị xâm nhập, thiệt hại có thể lan rộng một cách âm thầm. Tội phạm có thể chặn lưu lượng truy cập, cài cắm phần mềm độc hại, tuyển thiết bị vào mạng botnet, hoặc sử dụng nó làm điểm tựa để xâm nhập vào các hệ thống có giá trị hơn. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã nhiều lần cảnh báo rằng các thiết bị biên mạng như router và tường lửa là những mục tiêu hấp dẫn vì chúng nằm ở ranh giới của các mạng và thường ít được giám sát.

Ngoài ra còn có một khía cạnh an ninh quốc gia đáng được công chúng quan tâm hơn. Các nhóm tin tặc do nhà nước bảo trợ không chỉ truy đuổi các nhà thầu quốc phòng khổng lồ hay các cơ quan tình báo. Họ thường khai thác các phần cứng thông thường kết nối internet vì nó hiệu quả và có thể mở rộng quy mô. Trong những năm gần đây, các chính phủ phương Tây đã ban hành các khuyến cáo chung về việc các nhóm gián điệp nhắm vào router, tường lửa và các thiết bị VPN do các nhà cung cấp lớn sản xuất. Vấn đề không phải là mọi router cũ đều đang bị nhà nước theo dõi. Khẳng định như vậy sẽ là liều lĩnh. Vấn đề là các thiết bị này được công nhận là mục tiêu chiến lược vì việc xâm nhập chúng có thể mang lại khả năng hoạt động lén lút, bền bỉ và quyền truy cập. Điều đó hẳn sẽ đáng báo động cho bất kỳ ai nghĩ rằng chỉ có các tổ chức lớn mới quan trọng.

Hậu quả ảnh hưởng đến người dân bình thường trước tiên. Một chiếc router bị chiếm quyền có thể làm chậm kết nối, đẩy người dùng đến các trang web giả mạo thông qua các thay đổi DNS độc hại, làm lộ lưu lượng duyệt web, hoặc khiến các thiết bị nhà thông minh dễ bị lạm dụng. Trong một gia đình, điều đó có thể có nghĩa là thiết bị của trẻ em, laptop làm việc và các cuộc trò chuyện riêng tư đều dùng chung một cổng kết nối đã bị nhiễm độc. Trong một phòng khám, cửa hàng, hoặc văn phòng địa phương, nó có thể gây ra gián đoạn kinh doanh thực sự và chi phí phục hồi tốn kém. An ninh mạng thường được xem như một cuộc chiến trừu tượng trên đám mây. Trên thực tế, nó có thể bắt đầu từ một chiếc hộp nhựa lỗi thời nằm cạnh tivi.

Có những giải pháp, và chúng không hề bí ẩn. Điều đầu tiên cực kỳ đơn giản: hãy thay router cũ trước khi nó hỏng, chứ không phải sau đó. Nếu một thiết bị không còn nhận được các bản cập nhật bảo mật, nó nên được coi là một hạ tầng internet không an toàn, chứ không phải là một món hời. Người mua nên ưu tiên các nhà cung cấp nêu rõ chính sách cập nhật. Thứ hai là thay đổi mật khẩu quản trị mặc định và tắt quản lý từ xa trừ khi thực sự cần thiết. Thứ ba là cài đặt các bản cập nhật phần mềm kịp thời, cho dù thiết bị đó đến từ một cửa hàng hay một nhà cung cấp dịch vụ internet. Các cơ quan như CISA và NCSC cũng khuyến nghị tắt các tính năng không sử dụng, dùng mã hóa Wi-Fi mạnh, và khởi động lại thiết bị khi có một mối đe dọa đang hoạt động đáng tin cậy, mặc dù việc khởi động lại đơn thuần không bao giờ đủ nếu điểm yếu cơ bản vẫn còn đó.

Nhưng hành động cá nhân là không đủ. Các nhà quản lý và nhà sản xuất cần phải ngừng giả vờ rằng bảo mật là một tính năng cao cấp tùy chọn. Một số tiến bộ cuối cùng cũng đã xuất hiện. Đạo luật An ninh Sản phẩm và Cơ sở hạ tầng Viễn thông của Anh nhắm vào các mật khẩu mặc định không an toàn và các lỗi cơ bản khác trong các sản phẩm kết nối. Đạo luật Khả năng Phục hồi Không gian mạng của Liên minh Châu Âu nhằm mục đích đẩy các nghĩa vụ bảo mật lên các nhà sản xuất. Những động thái đó rất quan trọng vì mô hình hiện tại đang bị đảo ngược. Người tiêu dùng không cần phải cảnh giác như một chuyên gia để sở hữu thiết bị internet cơ bản một cách an toàn.

Ảo tưởng cũ về an ninh mạng cho rằng nguy hiểm đến từ một cú nhấp chuột bất cẩn. Đôi khi đúng là vậy. Nhưng thực tế khó chịu hơn là rủi ro thường được tích hợp sẵn vào các thiết bị mà mọi người được bảo là hãy tin tưởng rồi quên đi. Chiếc router trong góc nhà không còn là một hạ tầng nhàm chán nữa. Nó là một vùng tranh chấp. Và mỗi năm chúng ta tiếp tục đối xử với nó như một thiết bị gia dụng thay vì một thiết bị an ninh, là chúng ta đang trao cho tội phạm thêm một chiến thắng dễ dàng.