Tổ chức hacker mũ trắng Chaos Computer Club (CCC) của Đức vừa đưa ra cảnh báo về những chiếc thẻ căn cước điện tử mới được chính phủ Đức đưa vào lưu hành không đủ độ tin cậy về an toàn bảo mật.
Trong những chiếc thẻ là những con chip định vị RFID (Radio-frequency identification), giúp chính phủ Đức dễ dàng định vị và xác nhận một cách chính xác công dân của mình. Chỉ với những máy quét (scanner) thông thường, người dân có thể dùng chính thẻ căn cước của mình để đăng nhập vào hệ thống trang web của nhà nước. Việc thay đổi từ thẻ căn cước thường sang phiên bản điện tử là bắt buộc trên toàn nước Đức bắt đầu từ tháng 11-2010.
Tuy nhiên, vào tháng 8 vừa qua, trên chương trình truyền hình “Plusminus” của Đức, tổ chức CCC đã chỉ ra cách thức mà những tin tặc có thể lấy cắp mã PIN trên chiếc thẻ điện tử chỉ nhờ một phần mềm cài đặt trên máy tính.
Những thành viên của CCC cũng chỉ ra rằng, chỉ bằng những phần mềm dạng chia sẻ miễn phí đang được phát tán tràn lan trên Internet, mà những kẻ có dụng ý xấu hoàn toàn có thể lợi dụng để chiếm quyền kiểm soát chiếc thẻ điện tử từ xa, nhờ vào mã PIN lấy cắp được. Một khi có được mã PIN, kẻ tấn công có thể dùng chiếc thẻ căn cước điện tử đó để làm bất cứ điều gì, miễn là chiếc thẻ đó còn nằm trong một máy quét. Và khi điều này xảy ra, kẻ tấn công cũng có luôn quyền để thay đổi mã PIN của khổ chủ.
Những mẹo vặt bảo mật như dùng bàn phím ảo điều khiển bằng chuột không thật sự giúp ích nhiều. Những đợt tấn công thông qua trình duyệt web trong máy tính nạn nhân có thể thay đổi thông tin của những giao dịch trực tuyến mà khổ chủ không hề hay biết. Người dùng chỉ có thể nhìn thấy được những giao dịch đang được thực hiện nếu màn hình máy quét hiển thị những giao dịch được xem là quan trọng nhất: tài khoản bên nhận và lượng tiền giao dịch, trước lúc mã PIN được nhập vào.
CCC đồng thời cũng chỉ trích chức năng chữ ký điện tử trong chiếc thẻ, vốn tạo ra những chữ ký ràng buộc (binding signature) áp dụng cho các văn kiện kỹ thuật số. Một số tin tặc đã thành công trong việc sử dụng một chữ ký điện tử hoàn toàn hợp lệ trong một thẻ điện tử SuisseID của Thụy Sĩ lên một văn bản ngoại lai. Vì lẽ đó, CCC chỉ ra rằng thẻ điện tử Đức cũng có vấn đề tương tự.
Một chuyên gia bảo mật thuộc công ty BSI là Jens Bender, thì công nhận những báo cáo từ CCC và không quên bổ sung rằng sẽ là một sai lầm lớn, nếu người dùng để thẻ căn cước của họ trong thiết bị đọc-quét quá lâu. Tuy nhiên ông cũng nói rằng sẽ rất khó để tội phạm mạng tiến hành những vụ giao dịch lừa đảo trực tuyến, vì trong trường hợp này một chữ ký điện tử dự phòng thứ hai sẽ cần được kích hoạt. Đây thực chất là một mã PIN chỉ có thể được nhập vào một máy quét có bàn phím số tích hợp. Ông nhấn mạnh, dù những hạn chế thấy rõ của những thiết bị đọc-quét hiện có trên thị trường, thì những thủ tục chứng thực được sử dụng trong những thiết bị này vẫn an toàn hơn nhiều so với cách thức sử dụng kết hợp tên tài khoản (username) và mật khẩu (password) hiện hành.
Thúy Quỳnh
Theo TTO