Hé lộ phương thức FBI dùng phá khóa iPhone

Dù danh tính cao thủ giúp FBI bẻ khóa thành công chiếc iPhone trong vụ San Bernardino đã rõ, song cả Cellebrit lẫn giới chức Mỹ từ chối tiết lộ phương thức thực hiện.

Cuối tháng 3 vừa qua, FBI tuyên bố đã thâm nhập thành công chiếc iPhone 5C được bảo vệ bằng mật mã của Syed Farook, tay súng trực tiếp gây ra vụ tấn công tại San Bernardino, bang California, Mỹ làm 14 người thiệt mạng.

Tuy nhiên, vẫn chưa rõ là liệu FBI có tìm thấy bất kỳ thông tin nào hữu ích cho cuộc điều tra của họ hay không, nhưng việc phá khóa thành công này ít ra cũng giúp tạm hoãn cuộc chiến pháp lý rất được công chúng quan tâm giữa Apple và FBI về quyền riêng tư và việc mã hóa.

mjczodk4ma-1

FBI tuyên bố đã thâm nhập thành công chiếc iPhone 5C được bảo vệ bằng mật mã của Syed Farook

Và để làm sáng tỏ vài khả năng mà FBI có thể khai thác, tạp chí khoa học công nghệ IEEE Spectrumđã trao đổi với 9 chuyên gia bảo mật máy tính và “pháp y” điện thoại di động về một số kỹ thuật được tin chắc sẽ có thể giúp ích cho vụ bẻ khóa lịch sử cũng như gây tranh cãi này.Ban đầu, FBI trước sau như một không nêu danh tính của bên trợ giúp và cũng không tiết lộ cách họ truy cập được nội dung của chiếc iPhone. Nhưng vào thời điểm hiện nay, cao nhân giúp FBI đã rõ, đó là đối tác lâu năm của chính phủ Mỹ: công ty Cellebrit đến từ Israel.

1Lối vào dễ dàng

Có lẽ cách bẻ khóa đơn giản nhất trong mọi cách là khai thác một điểm yếu của iOS 9, hệ điều hành của Apple hiện cài trên chiếc iPhone 5C của nghi phạm Farook.

Một số chuyên gia như Robert Cunningham là Chủ tịch nhóm sáng kiến an ninh không gian mạng tại Viện IEEE quốc tế và Dudu Mimran là Giám đốc công nghệ của Phòng thí nghiệm đổi mới sáng tạo Telekom tại Đại học Ben-Gurion, Israel đều tin rằng đây là hướng tiếp cận khả dĩ nhất.

Nếu tấn công đúng lỗ hổng bảo mật hay còn được gọi là khai thác lỗi “zero-day” thì kẻ bẻ khóa (trong trường hợp này là các chuyên gia) có khả năng tắt những chức năng vốn dĩ đã ngăn chặn việc thâm nhập trước đó của FBI.

1-shutterstock-330407711-hero-story-1

Mimran từng nói rằng không có phần mềm nào được xem là không thể bắn thủng

Những lỗi này có thể là tính năng được thiết kế sẵn nhằm chặn người dùng thử quá nhiều tổ hợp mật khẩu sai cùng lúc và tùy chọn cài đặt lệnh cho iPhone xóa bộ nhớ sau 10 lần nhập sai mật khẩu.

Một khi đã xác định được lỗ hổng thì sẽ có rất nhiều cách để cài mã nhằm khai thác nó. Mã này có thể gửi ở dạng thông điệp văn bản mã độc hay khai thác trình điều khiển kết nối với bộ sạc điện bằng máy tính xách tay nhằm cho phép tải phần mềm mới vào điện thoại.

Một điểm thưởng nữa cho những mánh khóe thâm nhập qua lỗi dạng này là nguy cơ tương đối thấp vì những chiến lược này tránh được việc tác động ngoài ý muốn đến những thành phần vật lý của iPhone.

Joel Bollo – CEO của MSAB, cho biết hầu hết giải pháp “pháp y” cho điện thoại di động mà công ty ông thực hiện cho những khách hàng là giới hành pháp đều dựa trên phần mềm.

Vậy thì dạng lỗi zero-day nào có thể giúp các giới chức thâm nhập được một thiết bị?

Tuy không hoàn toàn biết rõ nhưng cũng sẽ không hợp lý nếu cho rằng không tồn tại lỗ hổng này.

Thị trường của việc phát hiện những lỗi như thế rất to lớn. Đơn cử, hồi mùa Thu 2015, hãng bảo mật không gian mạng Zerodium đã thưởng 1 triệu USD cho một nhóm đã trưng ra một lỗ hổng trong iOS 9.

Mimran từng nói rằng không có phần mềm nào được xem là không thể bắn thủng.

2Đánh lừa hệ điều hành

Bên trong iPhone 5C là chip A6 đặc trưng bởi có cả những bộ xử lý và RAM cùng làm việc để đạt tốc độ nhanh hơn các máy đời trước. Để kiểm soát số lần thử mật khẩu, chiếc “máy tính trên chip” này cũng giao tiếp với bộ nhớ không xóa (non-volatile memory) được lưu trữ ở nơi khác, ví dụ trong bộ nhớ flash.

Thiết kế này dẫn các chuyên gia đến lý thuyết thứ hai: những kẻ bẻ khóa có thể đi tránh chốt bảo vệ iPhone bằng mật khẩu thông qua việc thâm nhập các tác vụ giữa A6 và bộ nhớ không xóa này.

Ran Canetti, một nhà khoa học máy tính tại Đại học Tel Aviv và cũng là người đứng đầu Học viện Bảo mật thông tin Check Point (Check Point Institute of Information Security), cho biết có một cách để làm điều này là can thiệp vào đường giao tiếp vật lý truyền những lệnh phục hồi mật khẩu giữa hai thành phần nêu ở trên (chip A6 và bộ nhớ không xóa).

FBI và đối tác ẩn danh của họ có thể đã dùng một thiết bị như thế để ra lệnh cho phần mềm này vẫn nhận mật khẩu sai cho đến khi những người điều tra tìm ra mật khẩu đúng.

FBI và đối tác ẩn danh của họ có thể đã dùng một thiết bị như thế để ra lệnh cho phần mềm này vẫn nhận mật khẩu sai cho đến khi những người điều tra tìm ra mật khẩu đúng.

Một tay bẻ khóa có kiến thức có thể dùng đường truyền này để chuyển hướng phần mềm của Apple làm nhiệm vụ so trùng lệnh giữa cả bộ nhớ flash và RAM của điện thoại ra thiết bị ngoài.

FBI và đối tác ẩn danh của họ có thể đã dùng một thiết bị như thế để ra lệnh cho phần mềm này vẫn nhận mật khẩu sai cho đến khi những người điều tra tìm ra mật khẩu đúng.

Công nghệ brute-force không quá phức tạp và bạn có thể chọn mua ngay trên Ebay để bẻ khóa những phiên bản iPhone đời cũ.Với phần mềm đã được chỉnh sửa, FBI có thể khởi động cách tấn công vét cạn brute-force truyền thống, nghĩa là dùng một phần mềm để nhanh chóng thử tất cả tổ hợp mật khẩu cho đến khi tìm ra mật khẩu đúng. Vì chiếc iPhone 5C của Farook dùng mật khẩu có 4 ký số, nên chương trình tấn công có thể thử từng tổ hợp mật khẩu của 10.000 khả năng chỉ trong vài phút.

3Reset liên tục bộ nhớ

Một trong những lý thuyết phổ biến nhất của giới chuyên gia mã hóa, kể cả Gary McGraw – Giám đốc công nghệ của hãng tư vấn bảo mật phần mềm Cigital, là FBI đã bẻ khóa chiếc iPhone bằng một chiến thuật được gọi là tạo ảnh của NAND (NAND mirroring).

NAND là một dạng công nghệ flash dùng trong các chip nhớ của các dạng lưu trữ dài hạn, dung lượng cao.

Trong iPhone, NAND được cho là có vai trò xóa khóa số cần để mở khóa bộ nhớ của iPhone sau 10 lần đăng nhập sai mật khẩu. Nhưng nếu bạn biết cách đi vòng tránh hay hoàn nguyên (reset) biểu ghi này sau mỗi lần thử thì có thể thử vô số lần.

Một cách có thể làm thủ công là lấy đi chip nhớ mà NAND bảo vệ và tạo một bản sao của nó. Một khi đã có bản sao này, kẻ bẻ khóa có thể thử mọi tổ hợp mật khẩu và nạp ngược bộ nhớ này vào chip gốc trước khi vượt giới hạn 10 lần thử.

Chuyên gia pháp lý về iPhone, ông Jonathan Zdziarski nói rằng chiến lược này cũng giống như nhấn nút “save” trong khi chơi game.

Nếu bạn chết (hay trong trường hợp này là mất dữ liệu) thì chỉ cần quay lại và chọn nơi mình đã lưu lại.

Dù nó là phương pháp được ưa chuộng nhất trong những chuyên gia bảo mật không gian mạng, song Giám đốc FBI James Comey từng nói trong một cuộc họp báo ngắn diễn ra hồi tháng 3/2016 là hướng tiếp cận này, còn được gọi là tấn công kiểu lập lại hay reset, sẽ không có tác dụng với điện thoại của Farook.

Tuy nhiên, nhiều người vẫn nghi ngờ sự cố chấp của Comey; ngay sau phát biểu của người đứng đầu FBI, chuyên gia Zdziarski đã phản đối bằng cách trình diễn kỹ thuật này trong một bài viết trên blog cá nhân.

Bài viết đó đã thuyết phục McGraw của Citigal về cách làm này, và đó không phải là người duy nhất.

Chuyên gia Dylan Ayrey của công ty bảo mật Praetorian cho rằng chiến lược này rất khả dĩ và về cơ bản cũng giống như cách họ đã từng thực hiện.

4Phân rã chip nhớ

Chip nhớ của iPhone được che giấu trong nhiều lớp bảo vệ vật lý và số hóa nhằm chống những kẻ bẻ khóa. Để tìm ra những bí mật này, kẻ bẻ khóa đôi lúc phải tổ chức tấn công vật lý để vượt qua một số tính năng chống xâm nhập.

Có vài cách để làm điều này. Kẻ bẻ khóa có thể bắt đầu bằng cách nung nóng thiết bị để tách rời chip nhớ. Bước tiếp theo, kẻ bẻ khóa dùng axít để loại bỏ các lớp mặt của chip bằng kỹ thuật được gọi là “tẩy vỏ” (decapping).

Đây chắc chắn là một chọn lựa mà FBI có thể xét đến dù sẽ gặp phải nguy cơ phá hủy vĩnh viễn bộ nhớ của điện thoại nếu kỹ thuật viên phạm phải sai lầm nhỏ nhất.

Đây chắc chắn là một chọn lựa mà FBI có thể xét đến dù sẽ gặp phải nguy cơ phá hủy vĩnh viễn bộ nhớ của điện thoại nếu kỹ thuật viên phạm phải sai lầm nhỏ nhất.

Ari Juels, một giáo sư bảo mật tại Đại  học Cornell nói rằng mục tiêu trong vụ án Farook là trích xuất định danh (unique ID) của điện thoại, đó là một khóa số đặc biệt mà Apple gán cho từng thiết bị trong quá trình sản xuất và có thể dùng để giải mã bộ nhớ của iPhone.Công việc tiếp theo là dùng mũi khoan laser cực nhỏ để thao tác chính xác trong việc tìm đúng những phần trên con chip này mà tay bẻ khóa muốn tìm hiểu cặn kẽ.

Apple đã nói trong một bạch thư phát hành mùa Thu 2015 là để lấy được khóa này, kẻ bẻ khóa phải thực hiện cuộc tấn công vật lý rất phức tạp và tốn kém.

Đây chắc chắn là một chọn lựa mà FBI có thể xét đến dù sẽ gặp phải nguy cơ phá hủy vĩnh viễn bộ nhớ của điện thoại nếu kỹ thuật viên phạm phải sai lầm nhỏ nhất.

Dan Wallach, là chuyên gia bảo mật máy tính tại Đại học Rice cảnh báo đây là cách rất phức tạp, tốn kém và nhiều nguy cơ, bởi lẽ một quá trình giải cấu trúc có khả năng phá hủy thiết bị.

5Lẻn vào từ cửa hông

Một thiết bị phải tải nặng lúc hoạt động có thể vô tình để lại những dấu vết về thông tin mà nó đang xử lý. Những dấu vết này gồm mức tiêu thụ điện năng, đặc điểm âm học, bức xạ điện từ hay thời gian cần để một linh kiện hoàn tất một tác vụ.

Trong kiểu tấn công được gọi là tấn công kênh sườn (side-channel attack), các chuyên gia có thể dùng những công cụ chuyên dụng để kiểm soát những đặc điểm trên và dùng dữ liệu thu thập được để suy luận những gì đã xảy ra bên trong thiết bị.

Ví dụ, kẻ bẻ khóa có thể gắn một điện trở vào các vi mạch bên trong iPhone và đọc mức năng lượng truyền qua ứng với từng mật khẩu được thử.

Chuyên gia Mimran tại Đại học Ben-Gurion ví von cách này giống như bạn áp tai vào két sắt và lắng nghe tiếng gõ phù hợp trong khi vặn vòng số.

Tuy nhiên, Chủ tịch Hiệp hội IEEE Cunningham cho rằng kẻ bẻ khóa không thể đọc được PIN hay mật khẩu bằng cách này, bởi một kẻ xâm nhập như vậy hầu như chắc chắn phải thu nhặt các chi tiết về kích thước hay độ phức tạp của khóa này, và bản chất của hệ thống mã hóa từ bên trong.

Chủ tịch Hiệp hội IEEE Cunningham cho rằng kẻ bẻ khóa không thể đọc được PIN hay mật khẩu bằng cách này

Chủ tịch Hiệp hội IEEE Cunningham cho rằng kẻ bẻ khóa không thể đọc được PIN hay mật khẩu bằng cách này

Chuyên gia Wallach tại Đại học Rice nói rằng nơi tốt nhất để thực hiện tấn công kênh sườn là yêu cầu những thông số kỹ thuật của chiếc iPhone 5C từ những công ty như Chipworks hay iFixit.

Những hãng này chuyên phân rã những thiết bị thương mại và ghi lại những báo cáo chi tiết về các linh kiện cũng như đưa ra suy luận tốt nhất của họ cách thức thông tin truyền đi trong một thiết bị.

Nhưng ngay cả khi có được tài liệu “mật”, một cuộc tấn công kênh sườn cũng vẫn là quá trình rất tinh vi vì những mạch và linh kiện của điện thoại thông minh được tạo nên từ những mạch dẫn và chip cực nhỏ.

Hơn nữa, nhà sản xuất chip cũng khôn ngoan hơn với cách tấn công này vì hiện nay nhiều hãng đã cài những tính năng để chip tạo nhiễu điện từ hay duy trì dòng điện ổn định dù đang thực hiện nhiệm vụ nào nhằm chống lại những kẻ tấn công.

Theo PCWorld