Bộ Quốc phòng đề xuất các phương tiện bay không người lái phải được ‘kiểm soát’ bằng mã vạch hoặc QR
(Thị trường tài chính) - Theo đó, các phương tiện bay không người lái (UAV, drone) phải được cấp số đăng ký và dán mã vạch hoặc mã QR để quản lý.
Bộ Quốc phòng đã soạn thảo Dự thảo Nghị định về quản lý tàu bay không người lái và các phương tiện bay khác, trong đó đề xuất chủ sở hữu phải cung cấp giấy tờ chứng minh quyền sở hữu hợp pháp và đảm bảo phương tiện đáp ứng các tiêu chuẩn kỹ thuật do Bộ Quốc phòng quy định để được đăng ký.
Hồ sơ đăng ký gồm giấy khai đăng ký phương tiện bay và ảnh chụp phương tiện (màu, kích thước 10x15 cm, rõ nét). Công dân Việt Nam thực hiện đăng ký bằng tài khoản định danh điện tử mức độ 2 hoặc xuất trình căn cước công dân, hộ chiếu khi đăng ký qua Cổng dịch vụ công hoặc ứng dụng định danh quốc gia.
UAV trinh sát hạng nhẹ tầm trung VU-R70 tại Triển lãm Quốc phòng Quốc tế Việt Nam 2024. Ảnh: Báo Quân đội nhân dân
Sau khi hoàn tất thủ tục, Cơ quan Công an sẽ cấp số đăng ký gồm 12 ký tự (ví dụ: 29KA123456), được ghi trên chứng nhận đăng ký. Cấu trúc số đăng ký gồm hai chữ số đầu thể hiện địa phương đăng ký, chữ cái thứ ba phân loại phương tiện (K tàu bay không người lái, P phương tiện bay khác), chữ cái thứ tư là seri đăng ký (A-Z) và sáu chữ số cuối là seri đăng ký cụ thể.
Mỗi phương tiện bay sẽ được cấp mã QR hoặc mã vạch riêng, chứa thông tin về chủ sở hữu và phương tiện. Mã này phải được dán ở vị trí dễ quan sát trên thân phương tiện và ít bị tác động bởi thời tiết.
Đối với phương tiện bay tự lắp ráp hoặc tự chế tạo, cần có giấy xác nhận tình trạng kỹ thuật và tài liệu chứng minh quyền sở hữu hợp pháp, hoặc bản cam kết về tính hợp pháp của phương tiện. Nếu đăng ký lần đầu mà không có số thân, số máy hoặc các số này bị mờ, chủ sở hữu phải cung cấp giấy xác nhận từ Cơ quan Hải quan hoặc đơn vị sản xuất, lắp ráp hợp pháp.
UAV cảm tử VU-C2. Ảnh: Báo Quân đội nhân dân
Theo Điều 29 của Luật Phòng không nhân dân, mọi tàu bay không người lái và phương tiện bay khác phải được đăng ký trước khi đưa vào khai thác, sử dụng. Quy định này giúp cụ thể hóa quy trình đăng ký, đồng thời bảo đảm quyền sở hữu hợp pháp của tổ chức, cá nhân.
Hiện nay, pháp luật chưa có quy định cụ thể về việc đăng ký và quản lý phương tiện bay không người lái, mà mới chỉ tập trung vào thủ tục cấp phép bay, bao gồm đơn đề nghị, tài liệu kỹ thuật, giấy phép cất cánh, hạ cánh và các giấy tờ liên quan.
Dễ dàng khai thác lỗ hổng, kiểm soát drone chỉ trong một phút
Trước đó, tại sự kiện Security Bootcamp 2024 diễn ra cuối tuần qua ở Kiên Giang, ông Hồng Ân - Trưởng nhóm nghiên cứu bảo mật IoT thuộc Trung tâm An toàn thông tin VNPT (VCI), đã chia sẻ về cách kiểm soát drone.
Hiện nay, hầu hết drone đều sử dụng giao thức mã nguồn mở ELRS để truyền tín hiệu và điều khiển thông qua sóng vô tuyến. Theo ông Ân, dù tồn tại nhiều lỗ hổng bảo mật, nhưng giao thức này lại chưa nhận được sự quan tâm đúng mức và vẫn chưa được khắc phục triệt để.
Trong bối cảnh drone ngày càng phổ biến trong cả lĩnh vực dân sự và quân sự, nhiều trường hợp khai thác lỗ hổng để tác động đến hoạt động của thiết bị đã được ghi nhận. Chẳng hạn, kẻ tấn công có thể đẩy tốc độ quạt lên mức tối đa, khiến drone bay cao hơn bình thường và nhanh chóng cạn pin. Tuy nhiên, những trường hợp chiếm quyền điều khiển hoàn toàn thiết bị vẫn còn khá hạn chế.
Các chuyên gia Việt khai thác lỗ hổng, kiểm soát drone trong một phút. Ảnh minh họa
Tại Việt Nam, nhóm nghiên cứu của VNPT đã tiến hành kiểm thử bảo mật trên các thiết bị bay không người lái như drone và UAV. Họ đã thành công trong việc khai thác lỗ hổng để chiếm quyền điều khiển drone chỉ trong chưa đầy một phút. Quy trình này gồm ba bước: trước tiên là phân tích quy luật nhảy tần của drone để tiến hành tấn công vét cạn, sau đó vô hiệu hóa bộ điều khiển của nạn nhân.
Giao thức ELRS có thể bị giả mạo gói tin để chiếm quyền điều khiển nếu kẻ tấn công nắm được hai yếu tố: mã ID của thiết bị để tạo mã xác thực CRC và quy luật nhảy tần FHSS. Hai yếu tố này liên kết với nhau và chỉ được bảo vệ bằng 4 byte dữ liệu. Trong đó, mã ID của drone là thông tin dễ bị khai thác, vì nó xuất hiện trong các gói tin SYNS truyền giữa drone và bộ điều khiển sau mỗi hai giây. Một khi có được thông tin này, kẻ tấn công có thể thực hiện "vét cạn" FHSS bằng cách thử nhiều khả năng cho đến khi tìm ra kết quả trùng khớp.
Thông thường, phương pháp vét cạn sẽ mất ít nhất 256 giây (hơn 4 phút). Tuy nhiên, nhóm nghiên cứu đã tận dụng một chỉ số có tên Delta T - khoảng thời gian xuất hiện của một tần số ngẫu nhiên. Nhờ đó, họ không cần thử toàn bộ khả năng mà có thể nhanh chóng xác định mã FHSS có xác suất trùng khớp cao nhất chỉ trong 5 giây, giúp rút ngắn thời gian chiếm quyền điều khiển xuống dưới một phút.
Tại hội thảo, ông Ân đã trình diễn trực tiếp cách khai thác lỗ hổng này, khiến bộ điều khiển ban đầu bị vô hiệu hóa và drone vận hành theo ý muốn của người tấn công. Ông nhấn mạnh rằng đây chỉ là một ví dụ về rủi ro bảo mật mà drone và các thiết bị IoT không dây khác có thể gặp phải. Trước sự phổ biến ngày càng rộng rãi của các thiết bị này, việc đánh giá an toàn, nghiên cứu và phát triển các giải pháp bảo mật là điều cấp thiết.
