Ứng dụng của Hacker cựu NSA Bảo vệ Mac của Bạn khỏi Các Cuộc Tấn Công 'Người Hầu Ác'

Chưa đầy một giờ sau khi bắt đầu một buổi hẹn trên Tinder tại một nhà hàng ở Moscow năm ngoái, Patrick Wardle bắt đầu tự hỏi về chiếc laptop mà anh để lại trong phòng khách sạn. Wardle đến thành phố để tham dự một hội nghị về an ninh; là một cựu nhân viên NSA từng làm việc trong đội ngũ hack hàng đầu được biết đến với tên gọi là Tailored Access Operations, anh ta lo lắng đủ để mang theo chỉ một PC "đốt cháy" trong chuyến đi của mình, được loại bỏ cẩn thận mọi thông tin nhạy cảm. Nhưng khi người hẹn của anh nói với anh rằng cô ấy từng là nhân viên của Bộ Ngoại giao Nga, câu hỏi trở nên thực tế với anh: Liệu anh có bị mời ra khỏi phòng của mình để ai đó có thể tiếp cận chiếc máy tính đó không? Và nếu có, liệu anh có bao giờ biết chắc chắn không?

Wardle never found evidence of tampering or malware on that burner machine. But he did keep thinking about so-called "evil maid" attacks, the classic security problem that computers are far more vulnerable to hacking when the attacker can get physical access to them. Like, say, in a hotel room, while the computer's owner is ordering appetizers on the other side of the Moskva River.

Bây giờ, Wardle đang cố gắng tìm cách giải quyết vấn đề với người hầu ác—nếu không phải là giải quyết nó, ít nhất là làm cho nhiệm vụ trở nên khó khăn hơn nhiều. Tuần này tại hội nghị an ninh RSA, anh ấy tung ra ứng dụng Do Not Disturb, một ứng dụng dành cho laptop Mac cố gắng phát hiện các cuộc tấn công vật lý với một biện pháp bảo vệ cực kỳ đơn giản: Nếu ai đó mở nắp của MacBook đang chạy công cụ này, ứng dụng sẽ gửi thông báo đến điện thoại của chủ sở hữu.

"Hầu hết các cuộc tấn công 'người hầu ác' đều đòi hỏi máy tính phải ở trạng thái hoạt động, tỉnh táo," Wardle nói. "Vì vậy, ứng dụng Do Not Disturb chạy trên Mac của bạn và theo dõi các sự kiện mở nắp, đó là loại sự kiện tổng quát cho nhiều cuộc tấn công vật lý. Nếu có ai đó cố gắng xâm nhập vào thiết bị của bạn, ứng dụng sẽ thông báo cho bạn."

Do Not Disturb đi một bước xa hơn so với việc chỉ thông báo đẩy. Sử dụng ứng dụng iOS Do Not Disturb, người dùng được thông báo có thể tự chụp một bức ảnh bằng webcam của laptop để bắt kẻ phạm tội trong hành động hoặc họ có thể tắt máy tính từ xa. Ứng dụng cũng có thể được cấu hình để thực hiện các hành động tùy chỉnh khác như gửi email, ghi lại hoạt động màn hình và lưu trữ các lệnh thực thi trên máy.

Chủ sở hữu các dòng MacBooks hiện đại có TouchID có thể vô hiệu hóa Do Not Disturb bằng dấu vân tay của họ trong một khoảng thời gian vài giây sau khi mở nắp, để tránh việc báo động xảy ra mỗi khi họ mở laptop. Wardle tung ra ứng dụng Mac miễn phí, mặc dù công ty của anh, Digita, dự định thuê phí hàng năm 9,99 đô la cho ứng dụng iOS đi kèm khi nó được chấp nhận trong App Store. Những người không muốn trả phí có thể sử dụng tính năng thông báo qua email thay vì thế.

Cái kích hoạt mở nắp Do Not Disturb, một gợi ý mà Wardle ghi nhận từ nhà nghiên cứu bảo mật biệt danh được biết đến với tên là Grugq, chắc chắn không phải là phương thuốc chữa trị tuyệt đối cho việc một máy tính rơi vào tay đối thủ. Trên thực tế, các chuyên gia an ninh máy tính thường cảnh báo rằng nếu một kẻ tấn công có được quyền truy cập vật lý vào một máy tính, bạn nên coi thiết bị đó đã bị xâm nhập. Thực tế, thường có khả năng là chỉ cần đảo một chiếc MacBook đóng lại, mở ốc ở đáy của nó, và bắt đầu can thiệp vào phần cứng, thậm chí kết nối ổ cứng của nó với một máy tính khác để phân tích dữ liệu của nó.

Nhưng theo Wardle, những phương pháp xâm nhập như vậy ít phổ biến hơn rất nhiều so với việc một ai đó đơn giản là mở một laptop và khởi động nó từ USB để bypass bảo vệ mật khẩu, hoặc thậm chí chỉ cần gõ mật khẩu được ghi lại từ hành động bấm phím của ai đó thông qua một camera ẩn trong phòng khách sạn.

"Các cuộc tấn công vật lý điển hình thường đòi hỏi mở nắp laptop," Thomas Reed, một nhà nghiên cứu tập trung vào Mac cho công ty bảo mật MalwareBytes, nói. "Bất kỳ loại tấn công 'người hầu ác' nào không cần điều này sẽ rất hiếm và có thể đòi hỏi mở vỏ máy và can thiệp vào bên trong." Reed chỉ ra rằng bất kỳ ai lo lắng về các cuộc tấn công vật lý cũng nên kích hoạt mã hóa đĩa FileVault trên MacBook của họ, và thiết lập mật khẩu firmware nữa.

Wardle nhận thức rằng thông báo của Do Not Disturb cũng có thể bị chặn bằng cách vô hiệu hóa kết nối Wi-Fi với máy tính, hoặc chặn chúng bằng một lồng Faraday—mặc dù trong những trường hợp đó, công cụ vẫn có thể thu thập chứng cứ về cuộc tấn công và lưu trữ nó trên laptop. Nhưng anh cho rằng, ngay cả khi Do Not Disturb không phải là một phương thuốc chữa trị tất cả cho những kẻ hầu ác, nó vẫn làm tăng đáng kể ngưỡng khó cho bất kỳ ai muốn thực hiện chúng mà không bị phát hiện. "Bất kỳ công cụ bảo mật nào cũng có hạn chế và điểm yếu, và bất kỳ ai nói ngược lại đều muốn bán bạn thuốc lá bò," Wardle nói.

Quan trọng hơn nữa, ứng dụng của Wardle, giống như một công cụ giám sát 'người hầu ác' dựa trên Android khác được Freedom of the Press Foundation tung ra năm ngoái, tạo ra những vấn đề nghiêm trọng đối với bất kỳ kẻ xâm nhập vật lý ẩn danh nào không muốn bị phát hiện. Bằng cách tạo ra một rủi ro rằng ngay cả một phần nhỏ các máy tính cũng sẽ chạy phần mềm phát hiện 'người hầu ác' cơ bản, Do Not Disturb buộc bất kỳ kẻ xâm nhập nào phải đối mặt với nguy cơ bị phát hiện hoặc phải áp dụng cách tiếp cận khó khăn và đầy hoang mang hơn để xâm nhập vào một máy tính mà không bao giờ mở nắp của nó.

"Bất cứ điều gì chúng ta có thể làm để nâng cao ngưỡng khó sẽ giúp ích. Nếu những kẻ hầu ác biết rằng có một ứng dụng có thể đang giám sát chiếc laptop này, họ sẽ suy nghĩ hai lần," Wardle nói. "Nếu điều này làm cho các cuộc tấn công này trở nên khó khăn hơn bất kỳ cách nào, tôi nghĩ rằng đó là một chiến thắng."

• Ứng dụng 'Haven' được ủng hộ bởi Edward Snowden cũng nhằm ngăn chặn kẻ hầu ác bằng cách biến điện thoại Android thành hệ thống an ninh
• Nếu bạn quá hoang mang về an ninh, chúng tôi có thể đề xuất những biện pháp bảo vệ này
• Và ngay cả khi bạn không, bạn vẫn nên sử dụng mật khẩu tốt hơn. Đây là cách để làm