8 kỹ năng bảo mật thực dụng

(Post 17/09/2010) Một số phương pháp bảo mật thực dụng dựa trên ứng dụng nguồn mở và các thủ thuật bảo đảm an toàn cho những dữ liệu nhạy cảm, riêng tư của bạn.

1. Khóa màn hình khi không sử dụng máy tính

Những lúc giải lao hay tạm ngưng làm việc, các bạn nên khóa màn hình lại để phòng ngừa người khác xem trộm thông tin nhạy cảm trên màn hình máy tính của mình, cũng như sử dụng máy tính của chúng ta trái phép, điều này thực hiện khá đơn giản bằng cách nhấn tổ hợp phím Ctrl – Alt – Del và chọn Lock Computer trên hộp thoại hiển thị. Ngoài ra, có một cách thực hiện nhanh hơn là tải chương trình LockScreen, đặt tại desktop và chỉ cần nhấn đúp vào ứng dụng để khóa màn hình của mình.

2. Sử dụng hộp thư điện tử trung gian ở môi trường công cộng

Hãy tìm với cụm từ “dò tìm mật khẩu” (“sniff password”) trên Google, bạn sẽ thấy rất nhiều kết quả trả về từ các diễn đàn hay trang thông tin của Việt Nam với những hướng dẫn chi tiết. Tuy nhiên các hướng dẫn phòng ngừa bị mất thông tin nhạy cảm lại rất ít.

Điều này cho thấy khả năng bị đánh cắp dữ liệu là rất lớn, cho dù bạn sử dụng máy tính trong văn phòng hay ở nơi công cộng. Vậy làm cách nào để bảo vệ những hộp thư quý giá của mình, các hộp thư mà chúng ta thường dùng để đăng kí các tài khoản ngân hàng, hay tài khoản giao dịch trực tuyến quan trọng như PayPal, Web Hosting?

Hãy tạo thêm hộp thư tạm để kiểm tra email, nếu bị đánh cắp thì thiệt hại cũng không lớn. Đây là giải pháp mà tôi thường trình bày trong các chương trình đào tạo về an toàn thông tin cho các công ty và được nhiều người áp dụng.

Cách thực hiện thật đơn giản, ví dụ các bạn có một hộp thư rất quan trọng như [email protected], bạn hãy tạo thêm một hộp thư thứ cấp dạng như [email protected] và cấu hình chuyển tiếp (forward) những email gửi đến [email protected] về địa chỉ [email protected].

Đa số các hệ thống email đều cho phép chúng ta cấu hình chuyển tiếp dễ dàng, ví dụ bạn sử dụng email của Google hay hệ thống mail Google App thì hãy đăng nhập vào tài khoản của mình và chọn Settings sau đó chọn tab Forwarding and POP/IMAP. Trong ô Forwarding hãy chọn Forward a copy of incoming mail to: và nhập địa chỉ email muốn chuyển tiếp.

Lúc này bạn có thể cấu hình Outlook hay ThunderBird để nhận emai từ hộp thư phụ. Và các bạn vẫn có thể sử dụng hộp phụ này để giao dịch bằng cách thiết lập các tham số tài khoản thích hợp, và đặt địa chỉ Reply-to-Address là hộp thư chính của bạn như hình minh họa sau:

Như vậy các bạn có thể yên tâm hơn khi cần kiểm tra email ở nơi công cộng, vì trong tình huống xấu nhất thì chúng ta cũng chỉ bị mất tài khoản phụ, và đương nhiên ta có thể tạo một tài khoản phụ khác.

3. Ngăn ngừa tấn công “hijacking” trong môi trường WiFi

Hijacking theo nghĩa đen là “không tặc”, tuy nhiên trong không gian số thì đây là một thuật ngữ nói về dạng tấn công theo kiểu đánh cắp cookie và chiếm phiên làm việc của người dùng thường được hacker sử dụng trong môi trường mạng WiFi. Ví dụ khi các bạn truy cập vào tài khoản Yahoo, Hotmail … đã được mã hóa với https thì hacker vẫn có thể đột nhập vào tài khoản của bạn thông qua quá trình đánh cắp cookie mà không cần phải tiến hành xác thực như hình minh họa sau đây: Hacker đánh cắp cookie tàZi khoản [email protected]

Vậy làm thế nào để ngăn ngừa trường hợp tấn công trên? Hãy nhìn trước ngó sau xem có kẻ khả nghi nào hay không trước khi đăng nhập? Cách này rõ ràng là không hiệu quả vì hacker rất biết cách ẩn mình.

Vậy chúng ta hãy thử dùng một giải pháp được ưa chuộng là ứng dụng hệ thống VPN miễn phí cho các mạng WiFi như Hot Pot Shield, một lá chắn đúng nghĩa giúp bạn bảo vệ thông tin của mình thông qua một mạng riêng ảo mà hacker không thể nào tương tác vào được.

Để chắc chắn đã kết nối thành công với VPN Server, hãy kiểm tra lại địa chỉ IP với lệnh IPCONFIG /ALL, như hình minh họa sau đây ta thấy máy tính có thêm một địa chỉ mới trong VPN là 10.10.128.73, lúc này các bạn hoàn toàn yên tâm truy cập.

4. Tạm thời đóng các cổng nhạy cảm

Khi máy tính hoạt động, có một số cổng nhạy cảm được mở mặc định có thể là miếng mồi ngon cho hacker, virus. Vì vậy, những lúc online trong các môi trường công cộng bạn nên tạm thời đóng các cổng này lại và chỉ mở ra khi ở trong môi trường tin cậy (Trusted – Zone, như trong cơ quan hay ở nhà).

Bạn có thể trở nên “tàng hình” bằng cách đóng cổng dành cho dịch vụ NetBios, đây là một trong những điểm nhạy cảm từng được thống kê bị các hacker và virus tấn công nhiều nhất. Điều này có thể thực hiện dễ dàng trên các mày tính chạy hệ điều hành Windows bằng cách mở khung thuộc tính của card mạng và chọn chức năng Advance sau đó trong tab WINS hãy chọn Diasable Netbios Over TCP/IP và nhấn OK như hình minh họa sau: Để thao tác dễ dàng hơn, hãy tải về công cụ Block_NullSession tại địa chỉ này và tại đây

Tạo một thư mục đặt tên Security365 trên máy tính và lưu trữ các ứng dụng trên, khi muốn tắt chức năng null session chỉ cần nhấn đúp vào tập tin Block_Nullsession.exe, ngược lại hãy chạy Enable_Nullsession.exe để có thể chia sẻ file, máy in…Với tính năng khóa chặt các dịch vụ kết nối không thông qua xác thực chúng ta còn ngăn ngừa được khá nhiều mối hiểm nguy khi đang truy cập Internet, hạn chế được những cặp mắt tò mò luôn rình rập để đánh cắp dữ liệu của bạn hay chọc phá bằng cách ngắt kết nối…

5. Kiểm tra các lỗ hổng hệ thống với Nessus

Nếu kịp thời cập nhật các bản vá, bít các lỗ hổng bảo mật thì khả năng bị tấn công bởi virus hay hacker có thể hạn chế ở mức tối đa. Nhưng làm sao có thể biết được tình trạng các bản vá cho máy tính của bạn hay toàn mạng máy tính của công ty một cách nhanh chóng và chính xác?

Ứng dụng bảo mật nguồn mở Nessus chính là đáp án cho câu hỏi này, đây cũng là nguyên nhân mà Nessus được cả các hacker và nhà quản trị bình chọn là công cụ bảo mật số 1 thế giới trong danh sách 100 công cụ hàng đầu, các bạn có thể tham khảo danh sách những ứng dụng này.

Để bạn đọc có thể nhanh chóng ứng dụng, tôi có cung cấp tài liệu hướng dẫn chi tiết về cách cài đặt, kích hoạt, cập nhật plug-in, khởi tạo policy và dùng Nessus để quét lỗi hệ thống.

6. Quản trị mật khẩu an toàn hơn với phần mềm nguồn mở Kee Pass

Hãy thường xuyên thay đổi mật khẩu (password) là lời khuyên của các chuyên gia bảo mật.Nhưng tôi không chắc là bạn sẽ nhớ hết các mật khẩu mà bạn đã tạo ra, vậy hãy sử dụng Kee Pass để lưu trữ tất cả các mật mã này theo hướng dẫn sau: Tải về Kee Pass Portable. Sau khi giải nén và chạy ứng dụng lần đầu hãy chọn New trên thanh công cụ.

Đặt Master Password, các bạn chỉ cần nhớ mật mã này để mở dữ liệu lưu trữ tất cả các mật mã còn lại.

Tiếp theo, các bạn hãy lưu trữ các thông tin mật khẩu của những dịch vụ vào các thư mục tương ứng, ví dụ bạn có các tài khoản email với những password khác nhau vậy hãy chọn eMail và nhấn chuột phải vào khung bên phải và chọn Add Entry.

Nhập các thông tin của hộp thư vào các ô tương ứng ví dụ User name là asktheguider, nhập mật khẩu vào khung Password và xác nhận trong ô Repeat. Trong ô URL là đường dẫn đến trang web Gmail, sau khi hoàn tất hãy chọn OK, trước khi thoát khỏi ứng dụng nhớ nhấn nút Save để lưu lại thay đổi.

Như vậy, khi cần truy cập vào các tài khoản trong môi trường Un-Trust Zone chúng ta chỉ cần mở ứng dụng Kee Pass nằm trên ổ USB và nhập vào Master Password, chọn tài khoản tương ứng rồi tiến hành copy User name và Password vào trang đăng nhập, hoặc bạn có thể chọn Open URL và sau đó tiến hành Perform Auto-Type để chương trình tự động nhập thông tin tài khoản.

Với phương pháp này bạn không lo việc quên mật khẩu mà còn bảo đảm an toàn tối đa cho các thông tin bí mật. Đây chính là lý do mà Kee Pass được tải về nhiều nhất trên trang web cung cấp các ứng ụng mã nguồn mở Sourceforge.

7. Ẩn danh trên môi trường Internet với ứng dụng TOR

Đôi khi chúng ta muốn hoàn toàn ẩn danh khi truy cập Internet như giấu địa chỉ IP hay xóa sạch dấu vết.

Hãy sử dụng ứng dụng nguồn mở và hoàn toàn miễn phí Tor, với Tor các thông tin truy cập của bạn tuyệt đối bí mật, cho dù hacker có đột nhập được vào các máy chủ trung gian mà bạn đã đi qua thì vẫn không tìm kiếm được gì vì các dấu vết đều được mã hóa và Tor liên tục thay đổi máy chủ trung gian như các hình mình họa các gói tin được bắt giữ với WireShare sau đây:

Khi truy cập trang web www.hoctructuyen.org không dùng Tor, ta thấy rõ quá trình three-way-handshake giữa 192.168.11.5 với máy chủ 208.113.162.27.

Khi ứng dụng Tor truy cập lại trang web trên thì ta thấy thông tin hoàn toàn khác hẳn, kết nối thông qua máy chủ trung gian 62.212.74.134.

Lần truy cập tiếp theo các bạn lại thấy các thông tin mã hóa qua SSH với máy chủ 86.214.160.7.

Như vậy các thông tin truy cập hoàn toàn được dấu kín, rất an toàn nhưng có điểm hạn chế là tốc độ truy cập sẽ chậm hơn so với bình thường.

Nhưng nếu các bạn dành ưu tiên sự bí mật lên hàng đầu thì hãy tải về trình duyệt Opera đã được tích hợp Tor là Opera Tor, đây là ứng dụng portable vì vậy các bạn chỉ cần giải nén và sử dụng mà không cần cài đặt.

8. Giao dịch trực tuyến với thẻ Debit kết hợp Paypal

Khi mua hàng trực tuyến, thật khó để có thể bảo đảm an toàn tuyệt đối cho tài khoản ngân hàng của mình, cho dù các bạn đã tuân thủ đầy đủ các nguyên tắc bảo mật. Vì các thông tin như credit card hay tài khoản PayPal của chúng ta đều được lưu giữ trong database của nhà cung cấp. Tuy nhiên, chúng ta có thể an toàn hơn nếu như “không có gì để mất”. Điều này nghe hơi khó hiểu nhưng thật sự đơn giản.

Bạn hãy đăng kí tài khoản ngân hàng và thẻ tín dụng, ví dụ như ACB Visa Debit, sau đó tạo một tài khoản PayPal miễn phí tại địa chỉ www.paypal.com rồi liên kết tài khoản PayPal vừa tạo với thẻ ACB Visa Debit của bạn, việc này tương đối dễ dàng. Mỗi lần mua hàng bạn hãy chuyển khoản vừa đủ số tiền để thanh toán vào tài khoản thẻ và sử dụng PayPal để mua hàng từ website của nhà cung cấp. Điều này giúp giao dịch diễn ra nhanh chóng hơn vì các website thương mại trên thế giới đều tin tưởng PayPal, sẽ không yêu cầu bạn phải xác nhận thông tin bằng cách chụp hình thẻ hay những thao tác rắc rối khác.

Trong tình huống xấu nhất, nếu hacker chiếm được thông tin tài khoản của bạn và sử dụng vào mục đích phi pháp thì vẫn không thể lấy được gì do thẻ ghi nợ của chúng ta hoàn toàn trống. Nếu các bạn thường xuyên giao dịch trực tuyến thì hãy thử ứng dụng phương pháp này nhé!

Đây là một số kinh nghiệm thực tế đúc kết từ quá trình làm việc, hy vọng sẽ giúp bạn đọc có thêm những kiến thức trong vấn đề bảo mật thông tin, an toàn dữ liệu. Nếu bạn đọc có câu hỏi liên quan đến bài viết xin gửi đến địa chỉ [email protected] để được giải đáp.

Tài liệu bổ sung

Nguyễn Trần Tường Vinh
(theo PC World VN)

FPT Aptech – Hệ Thống Đào Tạo Lập Trình Viên Quốc Tế