Bảo Mật Nghệ Thuật Ẩn Mình Ebook - Chương 8: TIN TẤT CẢ, NHƯNG ĐỪNG TRÔNG CHỜ VÀO BẤT KỲ ĐIỀU GÌ

K hi mới ra đời, điện thoại được nối dây vào nhà và có lẽ được đặt trong một cái hộc nào đó trên tường. Gia đình nào có đường dây đi...


Khi mới ra đời, điện thoại được nối dây vào nhà và có lẽ được đặt trong một cái hộc nào đó trên tường. Gia đình nào có đường dây điện thoại thứ hai được coi là có vị thế lắm. Tương tự, các buồng điện thoại công cộng cũng được xây dựng để giữ gìn sự riêng tư. Đến cả dãy điện thoại trả tiền trong hành lang khách sạn cũng có vách ngăn âm thanh ở giữa để tạo ra ảo giác về sự riêng tư.
Với điện thoại di động, cảm thức về sự riêng tư đó đã hoàn toàn biến mất. Bây giờ ra ngõ là thấy cảnh mọi người vừa đi đường vừa oang oang nói chuyện điện thoại từ những việc hết sức cá nhân, hay tệ hơn là vô tư đọc số thẻ tín dụng đến người qua đường cũng nghe rành rọt không sót một câu. Sống trong nền văn hóa cởi mở và chia sẻ này, chúng ta cần phải suy nghĩ thận trọng về những gì mình chia sẻ.
Đôi khi cả thế giới cùng lắng nghe bạn đấy. Tôi chỉ nói vậy thôi.
Giả sử bạn cũng giống tôi, thích ngồi làm việc trong quán cà phê gần nhà. Họ có Wi-Fi miễn phí. Chuyện đó tốt mà, phải không? Tôi không muốn làm bạn thất vọng, nhưng không tốt chút nào cả đâu. Trong lúc tạo ra Wi-Fi công cộng, người ta không nghĩ đến ngân hàng trực tuyến hay thương mại điện tử. Nó chỉ đơn thuần là sự thuận tiện, và nó cũng rất không an toàn. Nhưng không phải tất cả sự không an toàn đó đều xuất phát từ khía cạnh kỹ thuật. Một phần trong đó bắt đầu – và hy vọng là kết thúc – với bạn.
Làm thế nào để biết bạn đang sử dụng mạng Wi-Fi công cộng? Thứ nhất, bạn sẽ không phải nhập mật khẩu để kết nối với điểm truy cập không dây. Để chứng minh sự sơ hở của bạn trên Wi-Fi công cộng, các nhà nghiên cứu thuộc công ty bảo mật và an ninh mạng F-Secure đã tiến hành xây dựng điểm truy cập riêng, hay điểm phát sóng (hotspot). Họ triển khai thí nghiệm tại hai địa điểm khác nhau ở trung tâm London, một là quán cà phê và một là khu vực công cộng. Kết quả thu về khiến nhiều người phải sửng sốt.
Thí nghiệm đầu tiên được thực hiện tại một quán cà phê ở một khu vực nhộn nhịp của London. Khi các khách quen của quán duyệt qua danh sách các mạng khả dụng, điểm phát sóng của F-Secure hiển thị với tín hiệu mạng vừa mạnh vừa miễn phí. Các nhà nghiên cứu cũng gửi kèm một banner xuất hiện trên trình duyệt của người dùng, trong đó nêu rõ các điều khoản và điều kiện. Có lẽ bạn cũng từng thấy banner như thế này trong quán cà phê gần nhà với nội dung quy định những gì bạn được phép và không được phép làm khi sử dụng dịch vụ của họ. Tuy nhiên, trong thí nghiệm này, điều khoản sử dụng Wi-Fi miễn phí yêu cầu người dùng phải giao nộp đứa con đầu lòng hoặc thú cưng của mình. Sáu người nhấn nút đồng ý. Nói công bằng, hầu hết mọi người đều không dành thời gian đọc những văn bản có cỡ chữ nhỏ li ti mà chỉ muốn được sử dụng dịch vụ. Tuy nhiên, ít nhất bạn cũng nên lướt qua các điều khoản và điều kiện đó. Trong trường hợp này, về sau F-Secure cho biết rằng họ và các luật sư của họ không muốn nhận trẻ em hay thú cưng làm gì.
Vấn đề thực sự nằm ở những gì mà các bên thứ ba có thể nhìn thấy khi bạn sử dụng Wi-Fi công cộng. Kết nối không dây ở nhà của bạn cần được mã hóa bằng WPA2. Điều đó có nghĩa là nếu có kẻ rình mò, hắn sẽ không thể biết được bạn đang làm gì trên mạng.
Nhưng khi bạn sử dụng mạng Wi-Fi công cộng tại một quán cà phê hoặc sân bay, lưu lượng truy cập ở đó sẽ không được bảo vệ.
Một lần nữa, bạn có thể hỏi, vậy thì sao chứ? Trước hết, bạn không biết ai đang ở đầu bên kia của kết nối. Trong trường hợp này, nhóm nghiên cứu của F-Secure đã tiêu hủy những dữ liệu mà họ thu thập được, nhưng tội phạm có thể sẽ không làm như vậy. Chúng sẽ bán địa chỉ email của bạn cho các công ty để họ gửi thư rác nhằm gạ bạn mua hàng hoặc lây nhiễm phần mềm độc hại cho máy tính của bạn. Và chúng thậm chí có thể sử dụng nội dung trong các email không mã hóa của bạn để thực hiện các cuộc tấn công lừa đảo spear phishing.
Trong thí nghiệm thứ hai, nhóm nghiên cứu đặt điểm phát sóng trên một ban công gần Nhà Quốc hội là trụ sở của các đảng Lao động và Bảo thủ, và Cơ quan Tội phạm Quốc gia. Trong vòng 30 phút, điểm phát sóng này có tổng cộng 250 người kết nối, đa phần đều do các thiết bị mà họ sử dụng tự động kết nối. Nói cách khác, người dùng không chủ động chọn mạng mà thiết bị đã chọn mạng cho họ.
Có một vài vấn đề ở đây. Trước tiên, chúng ta hãy cùng tìm hiểu xem tại sao các thiết bị di động lại tự động kết nối mạng Wi-Fi, và chúng thực hiện điều đó như thế nào.
Máy tính cá nhân truyền thống và tất cả các thiết bị di động của bạn nhớ một số kết nối Wi-Fi gần nhất – cả công cộng và riêng tư. Điều này là tốt vì nó giúp bạn bớt đi sự phiền hà khi phải liên tục xác thực lại một điểm truy cập Wi-Fi thường dùng, như ở nhà hoặc nơi làm việc. Nhưng điều này cũng không tốt vì nếu bước vào một quán cà phê mới, một nơi bạn chưa từng đến trước đây, có thể bạn sẽ đột nhiên thấy rằng mình có kết nối không dây ở đó. Tại sao điều đó lại không tốt? Vì bạn có thể được kết nối với một số thứ khác chứ không phải với mạng không dây ở quán cà phê.
Khả năng là thiết bị di động của bạn đã phát hiện ra một điểm truy cập khớp với một hồ sơ đã có trong danh sách kết nối gần đây nhất của bạn. Có thể bạn thấy không yên tâm về việc kết nối Wi-Fi tự động ở một nơi chưa từng đến, nhưng mọi người xung quanh đang mải mê việc của họ nên bạn cũng tặc lưỡi cho qua.
Quá trình kết nối Wi-Fi tự động diễn ra như thế nào? Như tôi đã giải thích trong chương trước, có thể ở nhà bạn sử dụng dịch vụ Comcast Internet, và gói dịch vụ đó có thể bao gồm một SSID công cộng không mã hóa gọi là Xfinity. Thiết bị của bạn, lúc này đang bật chế độ bắt Wi-Fi, có thể đã kết nối với nó một lần trước đây. Nhưng làm sao bạn có thể cam đoan rằng anh chàng có máy tính xách tay ngồi ở bàn trong góc quán kia không phát sóng một điểm truy cập không dây giả mạo có tên là Xfinity?
Giả sử bạn không kết nối với mạng không dây của quán cà phê mà với mạng của kẻ khả nghi kia. Trước tiên, bạn vẫn có thể lướt net bình thường. Tuy nhiên, mọi gói dữ liệu không mã hóa mà bạn gửi và nhận qua Internet đều không thoát khỏi tầm mắt của kẻ khả nghi này thông qua điểm truy cập không dây giả mạo trên máy tính xách tay của hắn.
Nếu hắn mất công thiết lập điểm truy cập không dây giả mạo, thì rất có khả năng hắn thu thập các gói dữ liệu trên bằng một ứng dụng miễn phí như Wireshark. Tôi vẫn sử dụng ứng dụng này khi kiểm định để theo dõi các hoạt động mạng đang diễn ra xung quanh. Tôi có thể thấy địa chỉ IP của các website mà mọi người đang kết nối cũng như thời lượng truy cập của họ. Nếu kết nối không có mã hóa, việc chặn lưu lượng dữ liệu là hợp pháp vì nó dành cho công chúng. Chẳng hạn, trên cương vị quản trị viên IT, tôi muốn biết các hoạt động diễn ra trên mạng lưới mà mình quản lý.

Có lẽ kẻ khả nghi ngồi trong góc quán cà phê kia chỉ đang đánh hơi sục sạo, theo dõi nơi bạn truy cập nhưng không tác động đến lưu lượng của bạn. Hoặc có thể hắn đang chủ động tác động đến lưu lượng truy cập Internet của bạn. Điều này sẽ phục vụ cho nhiều mục đích khác nhau.

Có thể hắn đang chuyển hướng kết nối của bạn đến một proxy để cấy keylogger javascript vào trình duyệt của bạn, và như vậy, khi bạn truy cập vào Amazon, mọi thao tác gõ bàn phím tương tác với website này sẽ bị ghi lại. Có thể hắn được thuê để thu thập các thông tin xác thực của bạn như tên người dùng và mật khẩu. Hãy nhớ rằng thẻ tín dụng của bạn có thể được liên kết với Amazon và các nhà bán lẻ khác.

Trong các buổi thuyết trình, tôi thường có phần minh họa cho thấy tôi có thể chặn tên người dùng và mật khẩu của nạn nhân khi truy cập vào các website sau khi họ kết nối với điểm truy cập giả mạo của mình. Do đứng ở vị trí giữa trong luồng tương tác giữa nạn nhân và website, nên tôi có thể cài JavaScript và khiến các thông báo cập nhật Adobe giả xuất hiện trên màn hình của họ – nếu họ cài đặt theo yêu cầu, máy tính của nạn nhân sẽ bị nhiễm phần mềm độc hại. Mục đích ở đây thường là lừa bạn cài đặt bản cập nhật giả để chiếm quyền kiểm soát máy tính của bạn.

Khi gã khả nghi ngồi ở góc quán cà phê kia tác động đến luồng truy cập Internet, hành vi đó được gọi là tấn công xen giữa (MITM). Kẻ tấn công điều hướng các gói dữ liệu của bạn qua các trang web thực thụ, nhưng chặn hoặc cấy dữ liệu dọc đường di chuyển của chúng.

Vậy là bạn đã biết rằng mình có thể vô tình kết nối với một điểm truy cập Wi-Fi mờ ám, làm thế nào để ngăn chặn điều đó? Máy tính xách tay sẽ thực hiện quá trình tìm kiếm mạng không dây ưu tiên rồi kết nối. Nhưng một số máy tính xách tay và thiết bị di động tự động chọn mạng để tham gia – phương án này nhằm hỗ trợ cho quá trình di chuyển thiết bị di động từ địa điểm này sang địa điểm khác diễn ra suôn sẻ tối đa. Nhưng như tôi đã nói, sự thuận tiện không phải không đi kèm với những nhược điểm.

Theo Apple, các sản phẩm của họ sẽ tự động kết nối mạng theo thứ tự ưu tiên như sau:

1. mạng riêng tư mà thiết bị kết nối gần đây nhất,

2. một mạng riêng tư khác, và

3. một điểm phát sóng (hotspot).

Thật may là máy tính xách tay có phương tiện xóa các kết nối Wi-Fi lỗi thời – chẳng hạn Wi-Fi ở khách sạn mà bạn kết nối vào mùa hè năm ngoái trong một chuyến công tác. Với máy tính xách tay sử dụng Windows, hãy bỏ chọn trường “Connect Automatically” (Kết nối tự động) bên cạnh tên mạng trước khi bạn kết nối. Hoặc đi đến Control Panel>Network and Sharing Center (Bảng điều khiển>Trung tâm mạng và chia sẻ) và nhấp vào tên mạng. Nhấp vào “Wireless Properties” (Thuộc tính không dây), rồi bỏ chọn “Connect automatically when this network is in range” (Tự động kết nối khi mạng này ở trong phạm vi phủ sóng). Với máy Mac, chuyển đến System Preferences (Tùy chọn hệ thống), đến Network (Mạng), đánh dấu Wi-Fi trên bảng điều khiển bên trái, và nhấp vào “Advanced” (Nâng cao). Sau đó, bỏ chọn “Remember networks this computer has joined” (Nhớ các mạng mà máy tính này đã kết nối). Bạn cũng có thể xóa từng mạng bằng cách chọn tên mạng và nhấn dấu trừ bên dưới.

Các thiết bị Android và iOS cũng có hướng dẫn xóa các kết nối Wi-Fi đã sử dụng trước đây. Với iPhone hoặc iPod, đi tới phần cài đặt, chọn “Wi-Fi,” nhấp vào biểu tượng “i” bên cạnh tên mạng, và chọn “Forget this Network” (Quên mạng này). Với điện thoại Android, đi tới phần cài đặt, chọn “Wi-Fi,” nhấn và giữ ở tên mạng, và chọn “Forget Network” (Quên mạng).

Nói nghiêm túc, nếu bạn thực sự cần phải làm điều gì đó nhạy cảm bên ngoài nhà, tôi khuyên bạn nên sử dụng kết nối di động trên thiết bị di động thay vì mạng không dây tại sân bay hoặc quán cà phê. Bạn cũng có thể kết nối mạng bằng thiết bị di động cá nhân thông qua USB, Bluetooth, hoặc Wi-Fi. Nếu sử dụng Wi-Fi, hãy cài đặt cấu hình bảo mật WPA2 theo hướng dẫn ở phần trước. Một phương án khác là mua thiết bị phát sóng cá nhân (portable hotspot) để sử dụng khi di chuyển. Cũng xin lưu ý rằng cách này sẽ không làm cho bạn vô hình, nhưng là phương án thay thế tốt hơn so với sử dụng Wi-Fi công cộng. Nhưng nếu bạn cần giữ sự riêng tư trước con mắt của nhà mạng di động – ví dụ để tải xuống một bảng tính nhạy cảm – hãy sử dụng HTTPS Everywhere hoặc Giao thức truyền file bảo mật (Secure File Transfer Protocol – SFTP). SFTP được hỗ trợ bằng ứng dụng Transmit trên máy Mac và ứng dụng Tunnelier trên Windows.

Mạng riêng ảo (virtual private network – VPN) là một “đường hầm” bảo mật mở rộng mạng riêng (từ nhà, văn phòng, hoặc nhà cung cấp dịch vụ VPN) đến thiết bị của bạn trên mạng công cộng. Bạn có thể vào Google tìm kiếm các nhà cung cấp VPN và đăng ký mua dịch vụ với giá khoảng 60 đô-la một năm. Các mạng mà bạn tìm thấy tại quán cà phê gần nhà, sân bay, hoặc ở những nơi công cộng khác đều không đáng tin cậy – bởi vì chúng là mạng công cộng. Nhưng bằng cách sử dụng VPN, bạn có thể luồn qua mạng công cộng để quay về với một mạng riêng và an toàn. Mọi hoạt động của bạn trong VPN đều được bảo vệ bằng mã hóa, vì tất cả lưu lượng truy cập Internet của bạn lúc này đều được thực hiện qua mạng công cộng. Đó là lý do tại sao việc sử dụng nhà cung cấp VPN đáng tin cậy là rất quan trọng – bởi họ có thể thấy luồng truy cập Internet của bạn. Khi bạn sử dụng VPN ở quán cà phê, gã khả nghi ngồi ở góc phòng kia chỉ có thể thấy rằng bạn vừa kết nối với một máy chủ VPN và không thấy gì nữa cả – hoạt động của bạn và các website mà bạn truy cập được che giấu hoàn toàn sau lớp mã hóa khó phá giải.

Tuy nhiên, bạn vẫn sẽ tiếp xúc với Internet bằng địa chỉ IP có thể truy nguyên trực tiếp về bạn, trong trường hợp này là địa chỉ IP từ nhà hoặc văn phòng của bạn. Như vậy, bạn vẫn chưa thực sự tàng hình, ngay cả khi sử dụng VPN. Đừng quên, nhà cung cấp VPN biết địa chỉ IP gốc của bạn. Chúng ta sẽ bàn về cách khiến kết nối này tàng hình ở phần sau.

Nhiều công ty trang bị VPN cho nhân viên, cho phép họ kết nối từ mạng công cộng (tức là Internet) tới mạng nội bộ riêng của công ty. Nhưng những người như chúng ta thì sao?

Hiện nay có nhiều dịch vụ VPN thương mại. Nhưng làm thế nào để biết là họ đáng tin cậy? Công nghệ VPN cơ bản là giao thức bảo mật Internet (Internet protocol security – IPsec) tự động bao gồm PFS; nhưng không phải tất cả các dịch vụ – ngay cả dịch vụ dành cho doanh nghiệp – chịu cấu hình nó. OpenVPN, một dự án mã nguồn mở, có cung cấp PFS, như vậy bạn có thể suy luận rằng khi một sản phẩm thông báo rằng nó sử dụng OpenVPN thì nó cũng đồng thời sử dụng PFS, nhưng điều này không phải lúc nào cũng đúng. Sản phẩm có thể không được cấu hình OpenVPN đúng cách. Hãy tìm hiểu để chắc chắn rằng dịch vụ mà bạn sẽ sử dụng có bao gồm PFS.

Một điểm bất lợi là các VPN đắt hơn proxy. Và do các dịch vụ VPN thương mại được dùng chung, nên tốc độ của chúng có thể tương đối chậm, hoặc trong một số trường hợp, bạn phải chờ người khác dùng xong mới có được một cổng VPN để dùng riêng. Một phiền toái khác là trong một số trường hợp, Google sẽ hiển thị CAPTCHA yêu cầu bạn nhập các ký tự có trên màn hình rồi mới cho phép bạn sử dụng công cụ tìm kiếm của nó vì nó muốn đảm bảo bạn là con người chứ không phải là bot73. Cuối cùng, nếu nhà cung cấp VPN lưu nhật ký, hãy đọc chính sách bảo mật của họ để đảm bảo rằng dịch vụ này không lưu lại lưu lượng truy cập hoặc nhật ký kết nối của bạn – kể cả những nội dung đã được mã hóa – và rằng họ không dễ dàng chấp nhận chia sẻ dữ liệu với cơ quan thực thi pháp luật. Bạn có thể tìm hiểu điều này trong các điều khoản dịch vụ và chính sách bảo mật. Nếu họ có thể báo cáo các hoạt động cho cơ quan thực thi pháp luật, tức là họ có ghi nhật ký các phiên kết nối VPN.

73 Bot: Một chương tình máy tính vận hành tự động, đặc biệt nhằm tìm kiếm thông tin trên Internet.

Hành khách đi máy bay sử dụng dịch vụ Internet hàng không như GoGo cũng có nguy cơ tương tự như khi họ vào mạng trong quán cà phê Starbucks hoặc phòng chờ sân bay, và VPN không phải lúc nào cũng là giải pháp tuyệt vời. Vì muốn ngăn chặn Skype hay các ứng dụng gọi thoại khác, GoGo và các dịch vụ mạng hàng không khác hạn chế các gói UDP74, khiến hầu hết các dịch vụ VPN đều trở nên rất chậm vì UDP là giao thức được sử dụng nhiều nhất theo mặc định. Tuy nhiên, chất lượng mạng sẽ cải thiện đáng kể nếu bạn chọn một dịch vụ VPN sử dụng giao thức TCP thay vì UDP, chẳng hạn như TorGuard hoặc ExpressVPN. Cả hai dịch vụ VPN này cho phép người dùng đặt TCP hoặc UDP làm giao thức ưu tiên.

74 UDP (User Datagram Protocol – Giao thức dữ liệu người dùng): Một phần trong Giao thức Internet (IP), được các chương trình chạy trên nhiều máy tính khác nhau trên một mạng sử dụng. UDP được dùng để gửi các tin nhắn ngắn gọi là datagram.

Một vấn đề cần lưu tâm khác với VPN là chính sách bảo mật. Cho dù bạn sử dụng VPN thương mại hay VPN do công ty cung cấp, lưu lượng dữ liệu của bạn đều di chuyển qua mạng của VPN đó – đây là lý do tại sao lại cần sử dụng https để nhà cung cấp VPN không thể xem nội dung các liên lạc của bạn.

Nếu bạn làm việc trong một văn phòng, rất có thể công ty bạn sẽ trang bị VPN để nhân viên có thể làm việc từ xa. Trong một ứng dụng trên máy tính cá nhân truyền thống, bạn nhập tên người dùng và mật khẩu (thứ mà bạn biết). Ứng dụng này cũng chứa một chứng chỉ xác minh danh tính do phòng IT đưa vào (thứ bạn đã có), hoặc nó có thể gửi cho bạn một tin nhắn trên điện thoại do công ty trang bị (cũng là thứ bạn đã có). Ứng dụng này có thể kết hợp cả ba kỹ thuật trên thành một quá trình gọi là xác thực đa yếu tố (multifactor authentication).

Bây giờ, bạn có thể ngồi ở một quán Starbucks hoặc phòng chờ sân bay và làm việc như thể bạn đang sử dụng một dịch vụ Internet riêng tư. Tuy nhiên, không nên thực hiện các công việc cá nhân ở đây, chẳng hạn ngân hàng từ xa, trừ khi phiên truy cập được mã hóa bằng phần mở rộng HTTPS Everywhere.

Cách duy nhất để tin tưởng một nhà cung cấp VPN là ẩn danh ngay từ đầu. Nếu bạn thực sự muốn ẩn danh hoàn toàn, đừng bao giờ sử dụng kết nối Internet có thể được liên kết với bạn (tức là các kết nối bắt nguồn từ nhà, văn phòng, nhà bạn bè, phòng khách sạn do bạn đứng tên đặt chỗ, hay bất kỳ thứ gì khác liên quan đến bạn). Hồi những năm 1990, tôi bị bắt khi FBI lần theo tín hiệu điện thoại di động dẫn đến nơi ẩn náu của tôi ở Raleigh, Bắc Carolina. Vì vậy, nếu bạn muốn tránh các cơ quan chính phủ, đừng bao giờ truy cập thông tin cá nhân bằng điện thoại ẩn danh ở cùng một địa điểm. Để tàng hình được, mọi hoạt động thực hiện trên thiết bị ẩn danh phải được tách biệt hoàn toàn. Nghĩa là không có siêu dữ liệu nào từ thiết bị đó có thể liên kết với danh tính thực của bạn.

Bạn cũng có thể cài đặt VPN trên thiết bị di động. Cả Apple và Android đều có hướng dẫn cách làm.

Nếu bạn làm theo lời khuyên của tôi trong cuốn sách cho đến lúc này, tức là bạn đã làm tốt hơn nhiều so với người bình thường rồi đấy. Hầu hết các hoạt động sử dụng Internet của bạn bây giờ sẽ được an toàn, không bị nghe lén hay chịu sự thao túng của kẻ xấu.

Tài khoản mạng xã hội của bạn cũng vậy. Facebook sử dụng https cho tất cả các phiên truy cập.

Email thì sao? Google cũng vừa mới chuyển sang chỉ dùng https. Phần lớn các dịch vụ webmail và dịch vụ nhắn tin tức thời cũng đã và đang làm theo họ. Thực ra, hầu hết các website lớn – Amazon, eBay, Dropbox – bây giờ đều đã sử dụng https.

Để ẩn danh, tốt nhất là nên bảo vệ quyền riêng tư của bạn theo nhiều lớp. Nguy cơ lưu lượng dữ liệu của bạn bị người lạ nhìn thấy trong một mạng công cộng sẽ giảm xuống tỉ lệ thuận với số lớp bảo mật bổ sung mà bạn sử dụng. Ví dụ, từ mạng Wi-Fi công cộng, hãy truy cập dịch vụ VPN trả phí, sau đó truy cập Tor bằng tiện ích HTTPS Everywhere được cài đặt mặc định trong trình duyệt Firefox.

1

Như vậy, mọi hoạt động trên mạng của bạn sẽ được mã hóa và rất khó theo dõi.

Giả sử bạn chỉ muốn xem dự báo thời tiết và không có hoạt động gì liên quan đến tài chính hay các vấn đề cá nhân, và bạn đang sử dụng máy tính xách tay cá nhân bên ngoài mạng nhà riêng – điều đó sẽ an toàn, đúng không? Một lần nữa, không hẳn. Bạn vẫn cần phải thực hiện một số biện pháp phòng ngừa đấy.

Trước tiên, hãy tắt Wi-Fi đi. Tôi nói nghiêm túc đấy. Nhiều người có thói quen để Wi-Fi trên máy tính xách tay ở chế độ bật ngay cả khi không có nhu cầu sử dụng. Theo các tài liệu do Edward Snowden công bố, Cơ quan An ninh Truyền thông Canada (CSEC) có thể xác định được danh tính của du khách đi qua các sân bay Canada chỉ bằng cách ghi lại địa chỉ MAC của họ, vốn là thứ mà bất kỳ máy tính nào đang tìm kiếm yêu cầu dò mạng từ các thiết bị không dây đều có thể đọc được. Ngay cả khi bạn không kết nối, địa chỉ MAC vẫn có thể bị thu thập. Vì vậy, nếu không có nhu cầu sử dụng Wi-Fi, hãy tắt nó đi. Như chúng ta đã thấy, sự tiện lợi thường là kẻ thù của sự riêng tư và an toàn.

Tới lúc này, chúng ta vẫn chưa bàn sâu về một vấn đề quan trọng – địa chỉ MAC. Địa chỉ này là duy nhất đối với bất kỳ thiết bị nào bạn đang sử dụng. Và nó không phải là vĩnh viễn; bạn có thể thay đổi nó.

Tôi sẽ cho bạn một ví dụ.

Trong Chương 2, tôi đã nói về việc mã hóa email bằng PGP. Nhưng điều gì sẽ xảy ra nếu bạn không muốn thực hiện quy trình phiền phức ấy, hay nếu người nhận không có khóa PGP công khai để bạn sử dụng? Có một cách bí mật khác để trao đổi qua email: sử dụng thư mục nháp trong tài khoản email dùng chung.

Đây là cách liên lạc giữa cựu giám đốc CIA David Petraeus với Paula Broadwell, tình nhân đồng thời là người viết tiểu sử cho ông. Vụ bê bối này bị lộ sau khi Petraeus kết thúc mối quan hệ tình cảm ngoài luồng này và nhận thấy có người gửi email hăm dọa đến một người bạn của ông. Khi FBI điều tra, họ không chỉ phát hiện ra rằng những lời đe dọa đó đến từ Broadwell, mà còn biết được rằng cô có gửi cho Petraeus những thông điệp tình tứ.

Điều thú vị ở đây là các thông điệp giữa Broadwell và Petraeus không được gửi đi mà nằm ở thư mục nháp của tài khoản email “ẩn danh.” Trong trường hợp này, email không đi qua các máy chủ khác để đến tay người nhận, vì vậy không có cơ hội chặn email. Và về sau, nếu có người truy cập được vào tài khoản này, sẽ không có bằng chứng nào cả, nếu như bạn xóa email và dọn sạch thùng rác từ trước đó.

Broadwell cũng dùng một máy tính riêng để đăng nhập vào tài khoản email “ẩn danh” của mình. Cô không truy cập website email từ địa chỉ IP ở nhà riêng. Như thế sẽ quá lộ liễu. Thay vào đó, cô đến nhiều khách sạn khác nhau để thực hiện liên lạc.

Tuy đã vất vả giấu mình như vậy, song Broadwell vẫn không thể tàng hình. Theo tờ New York Times, “vì tài khoản của người gửi đã được đăng ký ẩn danh, nên các nhà điều tra phải sử dụng các kỹ thuật pháp y máy tính – bao gồm kiểm tra các tài khoản email khác đã được truy cập từ cùng một địa chỉ máy tính trên – để xác định người viết email.”

Các nhà cung cấp dịch vụ email như Google, Yahoo, và Microsoft lưu lại bản ghi về các phiên đăng nhập của người dùng trong hơn một năm, và những thông tin này tiết lộ địa chỉ IP cụ thể mà người dùng đã đăng nhập. Ví dụ, nếu bạn từng sử dụng Wi-Fi công cộng ở Starbucks, địa chỉ IP sẽ tiết lộ vị trí thực của cửa hàng đó. Mỹ hiện cho phép các cơ quan thực thi pháp luật thu giữ những bản ghi này từ các nhà cung cấp dịch vụ email – tất cả chỉ với một trát hầu tòa, chưa cần đến thẩm phán.

Như vậy, các nhà điều tra nắm được vị trí của từng địa chỉ IP đã liên hệ với tài khoản email “ẩn danh” trên, sau đó đem khớp với thông tin về địa chỉ MAC của thiết bị mà Broadwell sử dụng được lưu trong nhật ký kết nối của bộ định tuyến tại các địa điểm đó.

Nhờ sự hậu thuẫn là quyền lực của FBI (đây là một vấn đề lớn, bởi vì khi đó Petraeus vẫn đang là Giám đốc CIA), các đặc vụ có thể tìm kiếm trong tất cả các file nhật ký của bộ định tuyến cho từng khách sạn để xem địa chỉ MAC của Broadwell xuất hiện khi nào. Hơn nữa, họ còn có thể chỉ ra rằng vào những ngày cụ thể, Broadwell là một khách đăng ký. Các nhà điều tra cũng lưu ý rằng tuy đăng nhập vào các tài khoản email này, song Broadwell chưa bao giờ thực sự gửi một email nào đi cả. Khi bạn kết nối với mạng không dây, thiết bị mạng không dây sẽ tự động ghi lại địa chỉ MAC trên máy tính của bạn. Địa chỉ MAC tương tự như một số sê-ri được gán cho card mạng75 của bạn. Để ẩn danh, trước khi kết nối với bất kỳ mạng không dây nào, bạn phải thay đổi địa chỉ MAC thành một địa chỉ không liên quan đến bạn.

75 Card mạng (network card): Hay còn gọi là card giao tiếp mạng (network interface card), là một bản mạch cung cấp khả năng truyền thông mạng cho một máy tính.

Để ẩn danh, bạn phải thay đổi địa chỉ MAC mỗi lần kết nối với mạng không dây, như vậy việc tìm ra mối tương quan giữa bạn với các phiên truy cập Internet của bạn sẽ trở nên khó khăn. Trong quá trình này, không nên truy cập vào bất kỳ tài khoản trực tuyến cá nhân nào vì điều đó có thể ảnh hưởng tới tính ẩn danh của bạn.

Các hướng dẫn thay đổi địa chỉ MAC tùy thuộc vào từng hệ điều hành – Windows, Mac OS, Linux, thậm chí cả Android và iOS. Mỗi khi kết nối với mạng công cộng (hoặc riêng tư), hãy nhớ thay đổi địa chỉ MAC của mình. Sau khi khởi động lại, máy sẽ được trả về địa chỉ MAC ban đầu.

Giả sử bạn không có máy tính xách tay và buộc phải sử dụng máy tính công cộng – có thể là ở một quán cà phê, thư viện, hay thậm chí là ở khu dịch vụ văn phòng trong một khách sạn cao cấp. Bạn cần làm gì để bảo vệ bản thân?

Khi đi cắm trại, tôi tuân theo quy tắc “không để lại dấu vết” – nghĩa là nơi hạ trại phải trông giống như khi tôi mới đến. Điều này cũng đúng với các thiết bị máy tính công cộng. Sau khi bạn rời đi, không ai được biết bạn từng ở đó.

Điều này đặc biệt đúng ở các triển lãm thương mại. Một năm nọ, tôi tới dự Triển lãm Điện tử Dân dụng thường niên và thấy một dãy máy tính công cộng xếp hàng để khách tham gia có thể vào kiểm tra email trong thời gian ở đây. Tôi còn thấy cả cảnh này trong hội nghị an ninh RSA thường niên ở San Francisco. Nhưng đây là một ý tưởng tồi, vì một số lý do.

Thứ nhất, đây là những máy tính đi thuê, được đem đi sử dụng từ sự kiện này đến sự kiện khác. Có thể người ta đã làm sạch máy, cài đặt lại hệ điều hành, nhưng có khi là chưa.

Thứ hai, chúng thường vận hành với quyền quản trị viên, có nghĩa là người tham dự hội nghị có thể cài đặt bất kỳ phần mềm nào tùy ý – kể cả những phần mềm độc hại như keylogger, có thể lưu trữ thông tin tên người dùng và mật khẩu của bạn. Trong công tác bảo mật, chúng tôi có nguyên tắc “đặc quyền tối thiểu,” nghĩa là máy chỉ cấp cho người dùng những đặc quyền tối thiểu mà họ cần để thực hiện công việc. Việc đăng nhập vào máy công cộng với quyền quản trị hệ thống, vốn là chế độ mặc định ở một số máy công cộng, là vi phạm nguyên tắc đặc quyền tối thiểu và sẽ chỉ càng làm gia tăng nguy cơ rằng bạn đang sử dụng một thiết bị đã bị nhiễm phần mềm độc hại. Giải pháp duy nhất ở đây là hãy sử dụng tài khoản khách với các đặc quyền hạn chế, nhưng hầu hết mọi người đều không biết cách thực hiện điều này ra sao.

Nhìn chung, tôi khuyên bạn đừng bao giờ tin tưởng vào một thiết bị công cộng. Giả sử người sử dụng lần cuối đã cố ý hoặc vô tình cài đặt phần mềm độc hại vào đó. Nếu bạn đăng nhập vào Gmail trên máy tính công cộng đã bị cài keylogger, thì lúc này một bên thứ ba từ xa nào đó sẽ nắm được tên người dùng và mật khẩu của bạn. Nếu bạn đăng nhập vào tài khoản ngân hàng – tốt nhất đừng nghĩ tới chuyện này. Hãy nhớ bật 2FA trên mọi website bạn truy cập để kẻ tấn công tuy có tên người dùng và mật khẩu của bạn nhưng không thể mạo danh bạn được. Xác thực hai yếu tố sẽ làm giảm đáng kể khả năng tài khoản của bạn bị tấn công trong trường hợp có người lấy được thông tin về tên người dùng và mật khẩu của bạn.

Số lượng người sử dụng máy tính công cộng tại các hội nghị liên quan đến máy tính như CES và RSA không khỏi khiến tôi sửng sốt. Tóm lại, nếu bạn đang ở một triển lãm thương mại, hãy sử dụng điện thoại hay máy tính bảng có hỗ trợ mạng di động, điểm phát sóng cá nhân, hoặc đợi cho đến khi quay về nhà.

Nếu phải dùng Internet cách xa nhà hoặc văn phòng, hãy sử dụng điện thoại thông minh. Nếu bắt buộc phải sử dụng máy tính công cộng, thì bằng bất cứ giá nào cũng không được đăng nhập vào bất kỳ tài khoản cá nhân nào, kể cả webmail. Chẳng hạn, nếu muốn tìm kiếm một nhà hàng, hãy chỉ truy cập những website không yêu cầu xác thực, ví dụ Yelp. Nếu thi thoảng bạn lại phải sử dụng máy tính công cộng, hãy thiết lập một tài khoản email dùng riêng cho thiết bị công cộng, và chỉ chuyển tiếp email từ tài khoản chính thức tới địa chỉ “dùng một lần” này khi đang ở bên ngoài. Khi đã về nhà, đừng chuyển tiếp email như vậy nữa – điều này sẽ làm giảm thiểu lượng thông tin có thể tìm thấy theo địa chỉ email kia.

Tiếp theo, hãy kiểm tra để chắc chắn rằng các website mà bạn truy cập từ thiết bị công cộng đều https trong URL. Nếu không thấy https (hoặc nếu có thấy nhưng bạn nghi ngờ rằng có người đã đặt nó ở đó để tạo cảm giác an toàn giả cho bạn), thì có lẽ bạn nên xem xét lại việc truy cập các thông tin nhạy cảm từ thiết bị công cộng này.

Giả sử bạn có URL https hợp lệ. Nếu đang ở trên trang đăng nhập, hãy tìm hộp chọn có nội dung “Keep me logged in” (Giữ cho tôi đăng nhập). Hãy bỏ tích chọn. Lý do thì đã rõ ràng: đây không phải là máy tính cá nhân của bạn. Nhiều người khác cũng sử dụng nó. Nếu duy trì trạng thái đăng nhập, bạn sẽ tạo ra một cookie trên máy đó. Bạn không muốn người tiếp theo sử dụng chiếc máy này nhìn thấy email của bạn hoặc có thể gửi email từ địa chỉ của bạn, đúng không nào?

Như tôi đã lưu ý, đừng đăng nhập vào các website tài chính hoặc y tế từ một thiết bị công cộng. Nếu bạn đăng nhập vào một website (Gmail hay các trang khác), thì khi sử dụng xong, hãy nhớ đăng xuất, thậm chí sau đó có thể thay đổi mật khẩu tài khoản trên đó từ máy tính hoặc thiết bị di động riêng của bạn để đảm bảo an toàn. Khi ở nhà, bạn không cần phải thường xuyên đăng xuất khỏi các tài khoản của mình, nhưng hãy luôn nhớ thực hiện thao tác này khi sử dụng máy tính của người khác.

Sau khi đã gửi email (hoặc làm bất kỳ điều gì cần làm) và đăng xuất, hãy xóa lịch sử trình duyệt để người tiếp theo không biết bạn đã ở đâu. Nếu có thể, hãy xóa luôn các cookie. Và nhớ đừng tải xuống các file cá nhân. Nếu buộc phải làm vậy, sau khi xong việc hãy xóa file khỏi màn hình nền hay thư mục tải về.

Mặc dù vậy, thật không may, chỉ xóa file thôi thì vẫn chưa đủ. Tiếp theo, bạn phải dọn sạch thùng rác nữa. Nhưng như thế vẫn chưa gỡ bỏ được hoàn toàn file đã xóa khỏi máy tính – nếu muốn, tôi vẫn có thể gọi lại file đó sau khi bạn rời đi. Thật may, hầu hết mọi người đều không có khả năng thực hiện điều đó, và thường thì bạn chỉ cần xóa và dọn sạch thùng rác là đủ rồi. Tất cả các bước này là cần thiết để bạn được vô hình trên một thiết bị công cộng.  

  1. NGHỆ THUẬT ẨN MÌNH: LỜI GIỚI THIỆU
  1. NGHỆ THUẬT ẨN MÌNH: LỜI TỰA TỪ MIKKO HYPPONEN
  1. NGHỆ THUẬT ẨN MÌNH: ĐẾN LÚC BIẾN MẤT RỒI
  1. NGHỆ THUẬT ẨN MÌNH: Chương 1: MẬT KHẨU CỦA BẠN CÓ THỂ BỊ BẺ KHÓA!
  1. NGHỆ THUẬT ẨN MÌNH - Chương 2: CÒN AI KHÁC ĐANG ĐỌC EMAIL CỦA BẠN?
  1. NGHỆ THUẬT ẨN MÌNH EBOOK - Chương 3: NGHE TRỘM – NHỮNG ĐIỀU CẦN BIẾT
  1. Nghệ thuật ẩn mình Ebook - Chương 4: KHÔNG MÃ HÓA NGHĨA LÀ CÓ SƠ HỞ
  1. Nghệ Thuật Ẩn Mình Ebook - Chương 5: THOẮT ẨN THOẮT HIỆN
  1. Nghệ Thuật Ẩn Mình Ebook - Chương 6: BẠN BỊ THEO DÕI Ở TỪNG CÚ NHẤP CHUỘT
  1. Nghệ Thuật Ẩn Mình Ebook - Chương 7: THANH TOÁN HAY LÀ KHÔNG!

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Anotador,1,AutoIT,17,Ấn Độ,1,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,96,Bất Động Sản Tại Tiền Giang,4,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bypass,10,ceh,1,Châu Tinh Trì,2,Checked,6,Chiến tranh,2,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Cổ Trang,11,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,1,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,13,ebook free,286,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,77,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,68,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,10,Hacking and Security,6,Hacking Tools,36,Hài hước,8,Hành Động,9,He Thong Site Phim,25,Hijacking,6,Hình Sự,5,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,Hồng Kông,3,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,27,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,1,Khoa Huyễn,6,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,31,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,25,Kinh Dị - Ma,6,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,Lập trình,1,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lồng Tiếng,6,Lược Sử Hacker,2,Mã Giảm Giá,1,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,77,Pen-Test,6,Pentest Box,9,phanmem,22,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,10,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,58,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đang Cập Nhập,5,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoàn Thành,7,Phim Hoạt Hình,2,Phim Hot,2,Phim Hồng Kông,20,Phim HQ,15,Phim Kinh Dị,8,Phim lẻ,7,Phim Mới 2007,1,Phim Mới 2010,1,Phim Mới 2011,4,Phim Mới 2012,2,Phim Mới 2013,2,Phim Mới 2014,6,Phim Mới 2015,4,Phim Nhật Bản,4,Phim SD,12,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,32,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,prc,79,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,rút gọn link,1,sach,46,Sách,33,Sách Nghệ Thuật Sống,12,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,Thành Long,1,them,1,Thiết Kế Web,28,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,5,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,100,TIL,8,Tin Tức,49,Tình Cảm - Tâm Lý,16,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,Trinh Thám - Hình Sự,8,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,9,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,TVB,3,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,3,Việt Nam,14,Virus,4,Võ Thuật,12,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
NhutTruong.Com - Dịch Vụ CNTT: Bảo Mật Nghệ Thuật Ẩn Mình Ebook - Chương 8: TIN TẤT CẢ, NHƯNG ĐỪNG TRÔNG CHỜ VÀO BẤT KỲ ĐIỀU GÌ
Bảo Mật Nghệ Thuật Ẩn Mình Ebook - Chương 8: TIN TẤT CẢ, NHƯNG ĐỪNG TRÔNG CHỜ VÀO BẤT KỲ ĐIỀU GÌ
https://1.bp.blogspot.com/-E33xVWTVNek/XOp7rkwfzeI/AAAAAAAAnEw/v4mNpOcTBZ02m-uIAKnrsdSFNuxwTimFACLcBGAs/s1600/NhutTruong.Com%2B-%2BThiet%2BKe%2Bweb%2Bchuyen%2Bnghiep%2B2019-05-26_184237.png
https://1.bp.blogspot.com/-E33xVWTVNek/XOp7rkwfzeI/AAAAAAAAnEw/v4mNpOcTBZ02m-uIAKnrsdSFNuxwTimFACLcBGAs/s72-c/NhutTruong.Com%2B-%2BThiet%2BKe%2Bweb%2Bchuyen%2Bnghiep%2B2019-05-26_184237.png
NhutTruong.Com - Dịch Vụ CNTT
https://www.nhuttruong.com/2019/05/bao-mat-nghe-thuat-minh-ebook-chuong-8.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2019/05/bao-mat-nghe-thuat-minh-ebook-chuong-8.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow Đây là nội dung quý hiếm để tránh google quét chết link Vui lòng đăng nhập Facebook hoặt Tweet để like và share để hiện link Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy