Hacker tuổi teen tìm thấy lỗi cho phép điều khiển hàng chục xe điện Tesla từ xa – Thế giới số

0
13


Thêm một lý do để nhiều người hoài nghi về việc có nên sử dụng những chiếc máy tính có 4 bánh hay không.

Một hacker trẻ tuổi kiêm nhà nghiên cứu về bảo mật CNTT đã tìm ra cách tương tác từ xa với hơn 25 xe điện Tesla ở 13 quốc gia, theo một chủ đề trên Twitter mà anh đăng ngày mới đây.

Tuy nhiên, hacker có tên David Colombo đã giải thích trong bài đăng của mình rằng rằng lỗ hổng này “không phải là lỗ hổng trong cơ sở hạ tầng của Tesla. Mà đó là lỗi của chủ sở hữu”.

Hacker tuổi teen tìm thấy lỗi cho phép điều khiển hàng chục xe điện Tesla từ xa - Hình 1

Cụ thể, anh tuyên bố có thể vô hiệu hóa hệ thống camera từ xa của ô tô, mở khóa cửa và mở cửa sổ, thậm chí bắt đầu lái xe mà không cần chìa khóa. Anh cũng có thể xác định vị trí chính xác của chiếc xe.

Tuy nhiên, Colombo giải thích rằng anh không thể thực sự tương tác với bất kỳ hệ thống lái, ga hoặc phanh nào của Tesla. Vì vậy, ít nhất chúng ta không phải lo lắng về một đội quân xe điện được điều khiển từ xa chạy long nhong trên phố.

Colombo cho biết anh đã báo cáo vấn đề với đội an ninh của Tesla, và họ đang điều tra vấn đề.

Trước đó không lâu, một ứng dụng Tesla của bên thứ ba có tên là TezLab đã báo cáo rằng họ đã thấy “sự hết hạn đồng thời của hàng nghìn mã thông báo xác thực của xe Tesla từ phía Tesla”. Ứng dụng của TezLab sử dụng các API Tesla, cho phép ứng dụng thực hiện những việc như đăng nhập vào xe và bật hoặc tắt hệ thống camera chống trộm, mở khóa cửa, mở cửa sổ….

Hacker tuổi teen tìm thấy lỗi cho phép điều khiển hàng chục xe điện Tesla từ xa - Hình 2

Sự việc đã ngay lập tức dấy lên tâm lý hoài nghi, đặc biệt từ những người không có thiện cảm với xe điện.

“Tôi thích máy tính của mình không có bánh xe hơn. Và tôi muốn chiếc xe của mình không kết nối internet.”

“Thực sự rất khó để biết đây là lỗi của người dùng cuối như thế nào. trừ khi nó liên quan đến mật khẩu yếu.”

Video đang HOT

“Từ tuyên bố “đó là lỗi của chủ sở hữu chứ không phải do lỗ hổng Tesla”, đây là khái niệm “hack” theo nghĩa là sử dụng chìa khóa của ai đó để lại dưới tấm thảm để mở “khoá cửa”.

Tesla có một api. Người dùng muốn sử dụng api sẽ tạo một khóa. Người dùng chia sẻ khóa với các ứng dụng hay dịch vụ mà họ muốn giao tiếp với Tesla. Nếu để chìa khóa ở nơi không an toàn, ai đó có thể truy cập api với tư cách là họ.”

“Tôi không đồng ý, mặc dù rõ ràng là có trách nhiệm chung cho bất cứ điều gì, nhưng thảm họa tiềm ẩn của nhiều phương tiện điều khiển từ xa có nghĩa là nhà sản xuất cần phải chịu trách nhiệm nhiều hơn để đảm bảo những tình huống này rất khó đạt được.”

“Tôi hơi khó chịu khi nghĩ đến việc tin tưởng một ứng dụng khác với thứ gì đó giống như Tesla. Tôi hầu như không tin tưởng vào nhà sản xuất chứ chưa nói đến bên thứ 3.”

“Liệu có thể có một chiếc Tesla không được kết nối với internet? Tôi đã ngắt kết nối ăng-ten di động khỏi xe của mình (không phải Tesla) để nó không hoạt động.”

Bi kịch của một hacker tuổi teen 

Edwin Robbe sống cô đơn trong gia đình, tham gia một cộng đồng hacker từ năm 16 tuổi và rồi đánh mất mình từ đó.

“Bà có phải là bà Robbe không?”, một cảnh sát tiến đến và hỏi José Robbe khi bà vừa rời văn phòng ở Rotterdam (Hà Lan) chiều ngày 20/3/2012. “Tôi muốn nói chuyện vài phút, về con trai của bà, Edwin”.

Bi kịch của một hacker tuổi teen - Hình 1

Edwin Robbe trở thành hacker vì cô đơn, ít nhận được sự quan tâm từ gia đình.

Tại khu làm việc của cảnh sát, bà José được thông báo Edwin bị bắt. Bà cảm thấy sốc khi đứa con 17 tuổi của mình, vốn sống khép kín và ít bạn bè, bị tạm giam với tội danh tấn công KPN – hãng viễn thông lớn nhất Hà Lan.

Edwin bị mẹ ruột bỏ rơi khi chưa đến một tuổi, được José và chồng bà là Ruud Robbe đưa về nuôi với mong muốn cho cậu một mái ấm tình thương. Nhưng Edwin là một đứa trẻ rắc rối. Mỗi khi ở cạnh người khác, cậu căng thẳng, nóng nảy hoặc thu mình lại. Cậu không bao giờ chơi bất kỳ môn thể thao nào hoặc tụ tập bạn bè, chủ yếu tự giam mình trong phòng.

Sau khi tốt nghiệp trường nghề năm 2010, Edwin đăng ký khóa học công nghệ thông tin tại trường Cao đẳng Albeda ở Rotterdam. “Thằng bé muốn làm gì đó với máy tính. Tôi mua cho nó một chiếc máy có cấu hình mạnh nhất và để trong phòng ngủ”, José nhớ lại. “Nhưng đó có thể là sai lầm lớn nhất của chúng tôi”.

Edwin bị ám ảnh bởi món “đồ chơi” mới và chỉ xuất hiện cùng gia đình khi cả nhà dùng bữa. Thỉnh thoảng, José và Ruud thấy con mình chơi game, hầu hết là có nội dung bạo lực.

Mùa thu cùng năm, nhà Robbe nhận được thư từ nhà cung cấp Internet KPN, thông báo quyền truy cập mạng bị chặn vì phát hiện “hoạt động độc hại” trên địa chỉ IP của gia đình. Khi được hỏi, Edwin phủ nhận và cho rằng ai đó đã bẻ khóa “khóa WPA2” để kết nối Internet trái phép từ gia đình.

KPN không bỏ qua. Họ tiến hành cuộc điều tra riêng và nhận ra Edwin sử dụng một máy chủ tự thuê để thực hiện cuộc tấn công vào trang web cung cấp phim và chương trình truyền hình. Đối diện với các bằng chứng, Edwin biện minh rằng cậu hack hệ thống vì không thích các quản trị viên của website đó.

Cậu đã tấn công website phim bằng hình thức DDoS. “Edwin rất tích cực trên Internet”, một nhân viên KPN viết email cho Ruud. “Tôi cho rằng Edwin không hiểu hậu quả cậu ấy có thể gây ra. Tôi khuyên anh nên nói chuyện với cậu bé”.

Ruud đã nói chuyện và cấm con mình dùng máy tính ba tháng, xóa sạch dữ liệu bên trong. Sau khi “mãn hạn”, Edwin quay lại với chiếc máy tính và thời gian sử dụng còn khủng khiếp hơn, với hơn 12 tiếng mỗi ngày. Đôi khi, cặp vợ chồng tự hỏi: “Chúng ta có nên rút phích cắm không?”. Nhưng cuối cùng, họ chọn câu trả lời “Không”.

Ruud dần để ý cậu con trai sẽ bật máy tính với hệ điều hành Windows nếu chơi game, nhưng chuyển sang Linux để trò chuyện với bạn bè trên mạng. Mãi sau này, họ mới biết đó là các cuộc trò chuyện ẩn danh, phục vụ việc tấn công mạng.

Edwin đặt cho mình biệt danh xS hoặc YUI – tên nữ ca sĩ Nhật Bản mà cậu hâm mộ. Dưới vỏ bọc mới, cậu được đánh giá là hoạt bát, mạnh dạn, tự tin hơn.

Cùng năm, cậu gặp một người Australia có biệt danh Dwaan và một người Mỹ tên Sabu. Đây chính là hai số trong những lãnh đạo của LuIzSec – nhóm hacker khét tiếng lúc ấy khi tấn công hàng loạt tổ chức và công ty lớn, như Sony, CIA, hay đánh cắp dữ liệu của hơn 70.000 thí sinh của chương trình truyền hình The X Factor của Mỹ.

Edwin, Sabu và các thành viên trò chuyện ẩn danh thông qua phần mềm mạng riêng ảo VPN. Các đoạn chat đều được đặt mật khẩu và mã hóa. Công đoạn này cần sự kỷ luật. Nếu quên sử dụng VPN chỉ một lần, địa chỉ IP sẽ hiển thị và sớm bị cơ quan điều tra lần ra.

Sau một thời gian, Edwin tìm đường vào các kênh trò chuyện khác, nơi hội tụ những hacker nghiêm túc, trong đó có Anonymous. Ở tuổi 16, cậu đã có “thành tích” là tham gia vào các nhóm hacker nổi tiếng thế giới, dù không phải là thành viên chính thức.

Tháng 12/2011, khi vừa tròn 17 tuổi, cậu nói chuyện trực tuyến với một người ẩn danh tên Phed và được chỉ cho cách xâm nhập mạng qua lỗ hổng bảo mật. Mục tiêu đầu tiên là các hệ thống HP Data Protector. Cậu nhận thấy một đại học ở Na Uy sử dụng HP Data Protector chưa cài bản vá và tấn công thành công. Từ đó, cậu chiếm quyền kiểm soát một “siêu máy tính” tại Đại học Troms. Được nhiều hacker ca ngợi, Edwin tiếp tục xâm nhập một loạt hệ thống lớn, như Đại học Twente, một website ở Iceland và một đại học ở Nhật Bản.

Bi kịch của một hacker tuổi teen - Hình 2

KPN là nhà mạng lớn nhất tại Hà Lan. Ảnh: Reuters

Khi chạy một chương trình quét, Edwin nhận thấy một số phần mềm đã lỗi thời ở KPN – nhà mạng từng “cấm cửa” cậu. Công ty viễn thông lớn nhất của Hà Lan đang sử dụng HP Data Protector chưa cập nhật bản vá. Như các lần trước, việc xâm nhập vào hệ thống của KPN hoàn toàn dễ dàng.

Hacker tuổi teen nói trên diễn đàn rằng cậu có thể kiểm soát 514 máy chủ, theo dõi mọi thông tin của 2,1 triệu khách hàng KPN, thậm chí có thể chặn hàng trăm nghìn người kết nối với đường dây điện thoại khẩn cấp quốc gia.

“Tôi đang hack vào các hệ thống lớn”, Edwin nói với người có tên Combasca ở Hàn Quốc thông qua máy chủ của KPN. “Anh cũng nên trở thành một hacker”.

Phía bên đường cao tốc gần đó, một nhóm khoảng 80-100 người bắt đầu thuê tầng cao của một tòa nhà và lắp các hệ thống máy tính. Họ là những kỹ sư và kỹ thuật viên từ KPN và các nhà nghiên cứu từ công ty bảo mật Hà Lan Fox-IT.

Mọi chuyện bắt đầu khi Combasca báo với KPN rằng một tài khoản tên YUI tuyên bố hack được hệ thống nhà mạng. Cả KPN và Fox-IT nhanh chóng tìm hiểu và phát hiện hàng trăm điểm trong mạng đang kết nối với các địa chỉ bên ngoài. Ngày 20/1/2012, KPN nâng cảnh báo bảo mật lên mức cam – mức cho thấy hoạt động kinh doanh đang gặp nguy hiểm nghiêm trọng.

Một tuần sau, họ phát hiện sự cố nghiêm trọng hơn. Hacker đã đột nhập vào bộ định tuyến lõi, chiếm quyền kiểm soát toàn bộ mạng, có thể làm bất cứ điều gì chúng muốn. Mức cảnh báo được nâng lên thành màu đỏ.

Trước tình thế bị đe dọa nghiêm trọng, hãng thông báo cho Trung tâm An ninh mạng Quốc gia Hà Lan và đơn vị tội phạm công nghệ cao thuộc cảnh sát quốc gia. Lần theo dấu vết, họ cuối cùng xác định được máy chủ mà hacker đã xâm nhập. Nhưng hacker đã tự che chắn bằng VPN. Nhóm điều tra sau đó phải bay đến Hàn Quốc để gặp Combasca.

Cảnh sát theo dõi lưu lượng truy cập từ máy chủ VPN đến một máy tính cá nhân trong mạng KPN và thấy nơi đây chứa một website tải phim cùng các công cụ hack với địa chỉ email của quản trị viên là teqnology@live.com. Truy vết trở lại năm 2010, nhóm nhận ra email này bị chặn do “hoạt động độc hại” và có địa chỉ IP ở Barendrecht, phía nam Rotterdam.

Phải hai tháng sau lời khai của Combasca, nhóm điều tra mới có đủ bằng chứng để bắt Edwin. Hai đặc vụ được cử đến nhà hacker. Cậu không phản kháng.

Edwin bị phạt tù 240 ngày nhưng được hưởng án treo và phải tham gia lao động công ích. Năm 2017, khi 22 tuổi, cậu nhập viện vì ảo tưởng và coi thường mọi thứ. Sau đó, cậu bỏ đi.

Sau nhiều tháng không tin tức, ông Ruud cố liên lạc với Edwin qua WhatsApp và email. “Mọi thứ đều ổn, con đang ở Bình Nhưỡng, Triều Tiên”, email đáp lại. Vài tuần sau đó, Edwin nói đang ở Hàn Quốc. Sau đó, cậu được phát hiện chết trong bồn tắm của một khách sạn gần sân bay Seoul.

“Chúng tôi thực sự không biết con mình làm gì”, ông Ruud ngậm ngùi. “Đến bây giờ, chúng tôi thậm chí không nghĩ đến việc Edwin có khả năng gây ra một cái gì đó nghiêm trọng. Có lẽ rủi ro từ thế giới ảo cũng lớn không khác gì thế giới thật”.



Tuổi Teen