Một cuộc điều tra gần đây về công nghệ giám sát toàn cầu đã tiết lộ một nghịch lý đáng lo ngại: các công ty chuyên theo dõi vị trí và liên lạc của con người lại chính là những đối tượng dễ bị tổn thương bởi các lỗ hổng bảo mật thảm khốc. Việc phát hiện ra một kho dữ liệu khổng lồ chứa hàng triệu bản ghi theo dõi đã phơi bày cách thức mà cơ sở hạ tầng điện thoại lỗi thời cho phép việc giám sát diễn ra tràn lan, đồng thời chứng minh rằng chính những kẻ đi giám sát cũng không thể bảo mật hệ thống của họ một cách đúng đắn.
Cuộc điều tra tập trung vào công nghệ giám sát khai thác các lỗ hổng trong SS7 (Signaling System 7), giao thức có từ hàng thập kỷ trước tạo thành xương sống của mạng lưới điện thoại toàn cầu. Điều khiến câu chuyện này đặc biệt thu hút là cuộc thảo luận trong cộng đồng xoay quanh cả các lỗ hổng kỹ thuật và sự sơ hở bảo mật đầy mỉa mai từ chính các công ty kiếm lợi từ hoạt động giám sát.
Cuộc khủng hoảng bảo mật SS7
Trái tim của khả năng giám sát này nằm ở SS7, một giao thức được thiết kế từ những năm 1970 mà đến nay vẫn xử lý các chức năng cốt lõi của mạng lưới điện thoại toàn cầu. Lỗ hổng nghiêm trọng của hệ thống là các mạng lưới xử lý lệnh từ các mạng khác mà không có sự xác minh thích đáng về danh tính người gửi hoặc mục đích của họ. Điều này tạo ra thứ mà một bình luận viên mô tả là một hệ thống hoàn toàn mở, nơi các công ty giám sát có thể mua quyền truy cập với giá dưới 20.000 đến 50.000 đô la Mỹ.
Mạng lưới điện thoại cần biết người dùng đang ở đâu để định tuyến tin nhắn văn bản và cuộc gọi. Các nhà mạng trao đổi tin nhắn tín hiệu để yêu cầu và phản hồi với thông tin vị trí người dùng. Sự tồn tại của các tin nhắn tín hiệu này bản thân nó không phải là một lỗ hổng. Vấn đề thực sự là các mạng lưới xử lý các lệnh, chẳng hạn như yêu cầu vị trí, từ các mạng khác, mà không thể xác minh được ai thực sự đang gửi chúng và với mục đích gì.
Giới kỹ thuật lưu ý rằng đây không chỉ là việc khai thác lỗ hổng - mà còn là về quyền truy cập hợp pháp vào một hệ thống đã bị hỏng. Các công ty an ninh mạng sử dụng cùng các phương pháp để kiểm tra thâm nhập mà các hãng giám sát dùng để theo dõi mục tiêu. Hệ thống SS7 cho phép theo dõi vị trí từ xa mà không cần bất kỳ quyền truy cập vật lý nào vào thiết bị của mục tiêu, và cho phép chặn tin nhắn SMS bao gồm cả các mã xác minh được sử dụng bởi các dịch vụ như WhatsApp.
Phương thức giám sát SS7:
- Theo dõi vị trí thông qua các thông điệp tín hiệu mạng
- Chặn tin nhắn SMS bao gồm cả mã xác minh
- Hoạt động từ xa không cần truy cập vật lý vào thiết bị mục tiêu
- Chi phí truy cập ước tính: 20.000-50.000 USD
Thất bại bảo mật của chính ngành công nghiệp giám sát
Trong một bước ngoặt đầy mỉa mai đến kinh ngạc, chính các công ty giám sát lại phải hứng chịu rò rỉ dữ liệu quy mô lớn. Thảo luận trong cộng đồng cho thấy kho lưu trữ 15 triệu bản ghi chứa dữ liệu theo dõi về người dân ở hơn 100 quốc gia có thể đã đến từ một S3 bucket mở - một lỗi cấu hình lưu trữ đám mây cơ bản khiến dữ liệu giám sát nhạy cảm bị phơi bày ra internet.
Đây không phải là lần đầu tiên các công ty giám sát hoặc an ninh trải qua những sơ hở bảo mật nghiệp dư như vậy. Những người bình luận đã lưu ý về sự tương đồng với các vụ rò rỉ liên lạc chính phủ trước đây, gợi ý rằng các đội ngũ kỹ thuật chuyên môn cao có thể thiếu kinh nghiệm bảo mật tổng quát. Như một nhận định đã nói, những chuyên gia phreaking chuyên biệt có thể không có kinh nghiệm với quản trị đám mây và đã sử dụng các đoạn code sao chép từ các câu trả lời trên Stack Overflow để xử lý cơ sở hạ tầng mà họ cho là nhàm chán.
Quy mô rò rỉ dữ liệu:
- 15 triệu bản ghi bị lộ
- Hơn 14.000 số điện thoại duy nhất
- Mục tiêu tại hơn 100 quốc gia
- Nguyên nhân nghi ngờ: Cấu hình sai lưu trữ đám mây (S3 bucket)
Tác động thực tế đối với an ninh cá nhân
Cuộc thảo luận trong cộng đồng đã tiết lộ một số tác động đáng lo ngại trong thế giới thực. Các ngân hàng và tổ chức tài chính tiếp tục dựa vào xác thực hai yếu tố dựa trên SMS bất chấp các lỗ hổng SS7, khiến các tài khoản dễ bị chiếm đoạt. Trong khi đó, những người bình thường đang đi nghỉ - như Sophia đi dạo gần bờ biển Goa được đề cập trong bài báo gốc - có thể bị theo dõi từ bất cứ đâu trên thế giới mà không hề hay biết.
Có những biện pháp phòng thủ thực tế có sẵn. Đối với người dùng WhatsApp, việc thiết lập mã PIN trong cài đặt sẽ ngăn chặn việc đánh chặn mã xác minh SMS làm tổn hại đến tài khoản. Phương thức tấn công này cũng có tác dụng phụ có thể phát hiện được - nó phá vỡ khả năng nhận tin nhắn WhatsApp trên điện thoại hiện tại của mục tiêu, cung cấp một dấu hiệu cảnh báo. Một số quốc gia đã triển khai bảo mật ngân hàng mạnh mẽ hơn, gắn các ứng dụng với phần cứng thiết bị cụ thể thay vì chỉ dựa vào hệ thống SMS dễ bị tổn thương.
Biện pháp bảo vệ:
- WhatsApp: Bật mã PIN trong cài đặt để ngăn chặn việc chiếm đoạt tài khoản
- Ngân hàng: Sử dụng xác thực dựa trên phần cứng thay vì 2FA qua SMS
- Phát hiện: Chú ý khi đột ngột không nhận được tin nhắn
- Một số quốc gia triển khai ràng buộc IMEI/SIM cho các ứng dụng ngân hàng
Sự bất động của cơ quan quản lý và các vấn đề hệ thống
Có lẽ điều đáng lo ngại nhất là sự trì trệ trong quy định về việc sửa chữa các lỗ hổng SS7. Những người bình luận chỉ ra một báo cáo năm 2019 cho thấy các cơ quan quản lý Hoa Kỳ đã trì hoãn việc giải quyết các lỗ hổng bảo mật SS7 và nhiều lần phớt lờ ý kiến đóng góp từ các chuyên gia kỹ thuật của Bộ An ninh Nội địa Hoa Kỳ, thay vào đó dựa vào sự tuân thủ tự nguyện từ các công ty viễn thông.
Cuộc thảo luận trong cộng đồng nêu bật cách điều này tạo ra một cơn bão hoàn hảo: cơ sở hạ tầng lỗi thời với các lỗ hổng đã biết, các công ty giám sát khai thác các lỗ hổng này, phản ứng quản lý không đầy đủ, và sự phụ thuộc liên tục vào các phương pháp bảo mật đã hỏng của các tổ chức lớn. Trong khi đó, chính ngành công nghiệp giám sát cũng cho thấy họ không thể bảo mật đúng cách chính dữ liệu mà họ thu thập về người khác.
Tình huống này tiết lộ một sự thật cơ bản về giám sát hiện đại: các công cụ để theo dõi người bình thường vừa dễ tiếp cận một cách đáng ngạc nhiên lại vừa dễ bị tổn thương một cách báo động. Như cuộc thảo luận trong cộng đồng đã chỉ rõ, cho đến khi các vấn đề cơ sở hạ tầng cơ bản được giải quyết, cả quyền riêng tư và an ninh sẽ vẫn bị xâm phạm cho tất cả mọi người.
Tham khảo: SURVEILLANCE SECRETS