Ứng dụng của Hacker cựu NSA bảo vệ Mac của bạn khỏi các cuộc tấn công 'Người hầu ác ma' năm 2025

Chưa đầy một giờ trong một buổi hẹn Tinder tại một nhà hàng ở Moscow năm ngoái, Patrick Wardle bắt đầu tự hỏi về chiếc laptop mà anh ấy đã để lại trong phòng khách sạn của mình. Wardle đến thành phố để tham gia một hội nghị an ninh; với tư cách là cựu nhân viên NSA đã làm việc trong đội ngũ hack hàng đầu được biết đến với tên gọi là Tailored Access Operations, anh ấy đủ độ hoang mang để mang theo chỉ một PC 'burner' trong chuyến đi, được loại bỏ cẩn thận mọi thông tin nhạy cảm. Nhưng khi người hẹn của anh nói với anh rằng cô ấy là cựu nhân viên của Bộ Ngoại giao Nga, câu hỏi trở nên thực tế với anh: Liệu anh có bị mời ra khỏi phòng để ai đó có thể tiếp cận chiếc máy tính đó không? Và nếu có, liệu anh có bao giờ biết chắc chắn không?

Wardle không bao giờ tìm thấy bằng chứng về việc can thiệp hoặc phần mềm độc hại trên chiếc máy 'burner' đó. Nhưng anh ấy vẫn tiếp tục suy nghĩ về các cuộc tấn công 'người hầu ác ma', vấn đề bảo mật cổ điển mà máy tính dễ bị tấn công hơn nhiều khi kẻ tấn công có thể tiếp cận vật lý với chúng. Như, ví dụ, trong một phòng khách sạn, trong khi chủ sở hữu máy tính đó đang đặt món khai vị ở phía bên kia sông Moskva.

Bây giờ Wardle đang cố gắng hết sức để giải quyết vấn đề người hầu ác ma này - nếu không phải để giải quyết nó thì ít nhất là để làm cho công việc khó khăn hơn nhiều. Tuần này tại hội nghị an ninh RSA, anh ấy sẽ phát hành Do Not Disturb, một ứng dụng cho các laptop Mac cố gắng phát hiện các cuộc tấn công tiếp cận vật lý với một biện pháp bảo vệ đơn giản: Nếu ai đó mở nắp của một chiếc MacBook đang chạy công cụ này, ứng dụng sẽ gửi thông báo đến điện thoại của chủ sở hữu.

Phần lớn các cuộc tấn công 'người hầu ác ma' yêu cầu một máy tính hoạt động, tỉnh táo," Wardle nói. "Vì vậy, Do Not Disturb chạy trên Mac của bạn và theo dõi các sự kiện mở nắp, đây là loại sự kiện tiền đề chung cho nhiều cuộc tấn công tiếp cận vật lý. Nếu ai đó cố gắng xâm nhập vào thiết bị của bạn, nó sẽ thông báo cho bạn."

Do Not Disturb đi một bước xa hơn so với thông báo đẩy thông thường. Sử dụng ứng dụng Do Not Disturb trên iOS, người dùng đã thông báo có thể gửi cho họ một bức ảnh chụp bằng webcam của laptop để bắt tội phạm đang hành động, hoặc họ có thể tắt máy tính từ xa. Ứng dụng cũng có thể được cấu hình để thực hiện các hành động tùy chỉnh khác như gửi email, ghi lại hoạt động màn hình và lưu trữ nhật ký các lệnh được thực thi trên máy tính.

Chủ sở hữu của MacBooks hiện đại có TouchID có thể vô hiệu hóa Do Not Disturb bằng dấu vân tay của họ trong khoảng vài giây sau khi mở nắp, để tránh thông báo cảnh báo mỗi khi họ mở laptop. Wardle phát hành ứng dụng cho Mac miễn phí, tuy nhiên công ty của anh, Digita, dự định tính phí 9,99 đô la Mỹ hàng năm cho ứng dụng iOS đi kèm sau khi được phê duyệt trên App Store. Những người không muốn thanh toán có thể sử dụng tính năng thông báo qua email thay vì thế.

Cái kích hoạt mở nắp Do Not Disturb, một đề xuất mà Wardle ghi công cho nhà nghiên cứu an ninh ẩn danh được biết đến với biệt danh Grugq, chắc chắn không phải là biện pháp điều trị tuyệt đối cho việc máy tính rơi vào tay đối thủ. Trên thực tế, các chuyên gia an ninh máy tính thường cảnh báo rằng nếu kẻ tấn công có được quyền truy cập vật lý vào một máy tính, bạn nên coi thiết bị đó là đã bị xâm nhập. Cuối cùng, thường có khả năng là chỉ cần lật một chiếc MacBook đóng lại, mở vỏ dưới đáy và bắt đầu can thiệp vào phần cứng của nó, thậm chí kết nối ổ cứng của nó với một máy tính khác để phân tích dữ liệu của nó.

Nhưng những phương pháp xâm nhập như vậy hiếm khi xảy ra, theo Wardle, hơn là ai đó chỉ cần mở một chiếc laptop và khởi động nó từ ổ USB để bỏ qua bảo vệ mật khẩu, hoặc thậm chí chỉ cần nhập mật khẩu đã được ghi lại từ cú nhấn phím của ai đó bởi một camera ẩn trong phòng khách sạn.

"Các cuộc tấn công vật lý thông thường thực sự yêu cầu mở một chiếc laptop," Thomas Reed, một nhà nghiên cứu tập trung vào Mac của công ty an ninh MalwareBytes nói. "Bất kỳ loại tấn công người hầu ác ma nào mà không cần điều này sẽ rất hiếm và có thể yêu cầu mở vỏ máy và can thiệp vào bên trong." Reed chỉ ra rằng bất kỳ ai lo lắng về các cuộc tấn công tiếp cận vật lý cũng nên kích hoạt mã hóa đĩa FileVault trên MacBook của họ và cài đặt mật khẩu firmware nữa.

Wardle nhận thức được rằng thông báo của Do Not Disturb cũng có thể bị chặn bằng cách vô hiệu hóa kết nối Wi-Fi với máy tính hoặc làm tắc nghẽn chúng bằng một lồng Faraday - mặc dù trong những trường hợp đó, công cụ vẫn có thể thu thập bằng chứng về cuộc tấn công và lưu trữ nó trên laptop. Nhưng anh ấy lập luận rằng ngay cả khi Do Not Disturb không phải là biện pháp điều trị tất cả cho người hầu ác ma, nó vẫn nâng cao đáng kể ngưỡng khó khăn cho bất kỳ ai muốn thực hiện chúng mà không bị phát hiện. "Bất kỳ công cụ bảo mật nào cũng có hạn chế và điểm yếu, và bất kỳ ai nói điều ngược lại đều đang cố gắng bán cho bạn một loại dầu rắn," Wardle nói.

Quan trọng hơn nữa, ứng dụng của Wardle, giống như một công cụ theo dõi người hầu ác ma dựa trên Android khác được phát hành bởi Tổ chức Tự do Báo chí năm ngoái, tạo ra những vấn đề nghiêm trọng đối với bất kỳ kẻ xâm nhập tiếp cận vật lý nào không muốn bị phát hiện. Bằng cách tạo ra một rủi ro rằng ngay cả một phần nhỏ máy tính sẽ chạy phần mềm phát hiện người hầu ác ma cơ bản, Do Not Disturb buộc mọi kẻ xâm nhập phải đối mặt với nguy cơ bị phát hiện hoặc phải áp dụng cách tiếp cận khó khăn và đầy hoang mang hơn để xâm nhập vào một máy tính mà không bao giờ mở nắp.

"Bất cứ điều gì chúng ta có thể làm để nâng cao ngưỡng khó khăn đều có ích. Nếu người hầu ác ma biết có một ứng dụng có thể đang theo dõi chiếc laptop này, họ sẽ suy nghĩ hai lần," Wardle nói. "Nếu nó làm cho các cuộc tấn công này trở nên khó khăn hơn bằng bất kỳ cách nào, tôi nghĩ rằng đó là một chiến thắng."

Từ chối Truy cập

• Ứng dụng 'Haven' được hỗ trợ bởi Edward Snowden cũng nhằm ngăn chặn người hầu ác ma bằng cách biến điện thoại Android thành hệ thống an ninh
• Nếu bạn cực kỳ hoang mang về an ninh, chúng tôi có thể đề xuất những biện pháp bảo vệ này
• Và ngay cả khi bạn không, bạn vẫn nên sử dụng mật khẩu tốt hơn. Đây là cách