Thẻ thông minh đang là một xu hướng công nghệ phổ biến ngày nay bởi tính tiện lợi và đa dụng của nó. Tuy nhiên, hệ thống sử dụng thẻ thông minh luôn tồn tại rất nhiều rủi ro bảo mật, có thể dẫn đến tổn thất nghiêm trọng về cả tài chính cũng như uy tín của tổ chức.
Nhận thức được những nguy cơ này, với mục đích tìm hiểu công nghệ mới và đảm bảo cho mỗi người dùng trong hệ thống được cung cấp một dịch vụ tiện ích và an toàn, nhóm sinh viên ĐH FPT đã lựa chọn đề tài ‘FPTU Multifunction Card – Security Threats and Countermeasures’ (Thẻ đa năng ĐH FPT – Nguy cơ bảo mật và giải pháp) làm đồ án tốt nghiệp và bảo vệ thành công vào sáng 3/5 vừa qua.
Theo nghiên cứu của nhóm, kể từ khi ĐH FPT cơ sở Hoà Lạc áp dụng hệ thống thanh toán bằng thẻ thông minh không dây được cung cấp bởi nhà cung ứng cho trường, nhóm đã phát hiện nhiều lỗ hổng tiềm tàng trong hệ thống này và dự đoán rất có thể, sẽ có người lợi dụng nó để gian lận, gây thiệt hại lớn cho nhà trường. Cụ thể, phần mềm bán hàng tự động cho phép bất kì ai cũng có thể thay đổi được số dư trên thẻ chỉ với một chiếc điện thoại hỗ trợ NFC (*). Không những vậy, nhóm còn tìm ra nhiều phương pháp tấn công tổng quát và các lỗ hổng khác của thẻ tiện ích mà nhiều đơn vị đang sử dụng.
Đại diện nhóm demo sản phẩm và giải đáp các câu hỏi của hội đồng bảo vệ
Nhóm sinh viên đã thử nghiệm và hack thành công hệ thống thẻ đa năng bằng nhiều thủ thuật khác nhau. Bên cạnh những lỗi bảo mật nghiêm trọng trong dòng thẻ thông minh của trường, và những sơ suất trong việc triển khai cũng như những lỗ hổng về logic trong các thiết bị nhúng đã dẫn đến việc nhóm có thể nắm quyền kiểm soát toàn bộ hệ thống”, Nguyễn Quang Vinh, thành viên nhóm đồ án chia sẻ.
Sau khi đưa ra 3 hình thức tấn công thực tế của hacker: thay đổi số dư, quay ngược thời điểm hợp lệ trước của thẻ và tạo ra 1 bản sao nguyên bản sang thẻ trắng, nhóm đã đưa ra những giải pháp khắc phục việc này.
Nhóm xây dựng 2 bộ công cụ, đó là FMCT – phục vụ cho việc chứng minh các lỗ hổng trên thẻ và FMCA – gói giải pháp về bảo mật. Đoàn Bá Linh, thành viên nhóm phân tích: “Xây dựng gói giải pháp FMCA theo từng lớp mà qua đó các hình thức tấn công bị giảm rõ rệt qua từng lớp. Bao gồm việc áp dụng các giải thuật đã dày công tìm tòi nghiên cứu lên thẻ cũng như các đầu đọc thẻ để nâng cao bảo mật cũng như để nhận diện thẻ có hợp lệ hay không. Ngoài ra, nhóm còn xây dựng một hệ thống tự động, kiểm soát giao dịch thời gian thực, phát hiện ngăn chặn các giao dịch bất thường và cảnh báo cho Admin.
Ưu điểm của hệ thống này là việc trong suốt với người dùng, nâng cao về bảo mật nhưng vẫn giữ được tính tiện lợi của thẻ đa năng mang lại”.
Nhóm đã trực tiếp trao đổi với nhà cung cấp dịch vụ thẻ đa năng tại ĐH FPT về các nguy cơ gian lận có thể xảy ra và nhận được sự hỗ trợ, hợp tác rất nhiệt tình.
Đại diện của nhóm bộc bạch: “Là một trong những sinh viên khoá đầu của ngành An toàn thông tin (IA) ĐH FPT, chúng mình đều có một nhiệt huyết lớn là được ứng dụng kiến thức lý thuyết đã học để áp dụng vào thực tế”.
Để có thể hoàn thành đồ án, nhóm sinh viên đã dành nhiều thời gian nghiên cứu về các công nghệ mới, các bài báo khoa học cũng như kiến thức của các chuyên ngành khác nhau để có thể ứng dụng vào bài toán của đồ án. Lưu Minh Trí, nhóm trưởng cho biết: “Nhiều lúc, chúng mình đã tưởng đồ án sẽ thất bại vì không làm được mục tiêu đề ra. May mắn nhất là nhóm đã nhận được sự ủng hộ và giúp đỡ của thầy hướng dẫn và rất nhiều cán bộ, giảng viên khác nên mọi việc đều được hoàn thành”.
Trong buổi bảo vệ đồ án, nhóm đã chứng minh được những giải pháp của mình là hoàn toàn thực tế khi demo về những lỗ hổng và giải pháp khắc phục các sự cố của thẻ đa năng.
Đồ án được các thành viên hội đồng bảo vệ đánh giá cao về tính phát hiện đề tài và ý nghĩa thực tế. Không những vậy, nhóm còn nhận được lời mời hợp tác từ Công ty cung cấp thẻ để cùng áp dụng những giải pháp khắc phục hạn chế của thẻ tiện ích tại ĐH FPT cũng như tại các đơn vị khác.
(*): NFC – Near Field Communications: là công nghệ kết nối không dây trong phạm vi tầm ngắn trong khoảng cách 4 cm. Công nghệ này sử dụng cảm ứng từ trường để thực hiện kết nối giữa các thiết bị (smartphone, tablet, loa, tai nghe …) khi có sự tiếp xúc trực tiếp.
Quỳnh An/FE