• Bảo mật: Chung sống với mã ngoại lai
• Xây dựng mạng an toàn và bảo mật
• Tại sao nên dùng bảo mật hai nhân tố xác thực
• Cẩn trọng với bảo mật Wi-Fi doanh nghiệp
• Ai quan tâm đến bảo mật di động?

Có lẽ bạn thừa biết cách an toàn nhất để bảo vệ mình khỏi bị tấn công mạng là tạo thói quen sử dụng máy tính. Nhưng những thói quen tốt ấy là gì, và không phải ai cũng chịu "đánh đổi" những thói quen khá rườm rà để lấy tính tiện lợi, nhanh gọn cho đến khi bạn gặp phải sự cố.

Tuy vậy, an toàn trực tuyến không nhất thiết phải đánh đổi thời gian của bạn nếu bạn sử dụng đúng cách, hợp lý. Bạn chỉ cần bỏ ra khoảng một, hai giờ cuối tuần để sắp xếp lại mọi thứ, dần dần tập những thói quen an toàn mạng và rồi bạn sẽ quen dần với những nề nếp đó.

1. Sử dụng VPN mọi lúc, mọi nơi

Các chuyên gia an ninh mạng luôn lo ngại có những hoạt động nghe lén và theo dõi khi người dùng lên mạng, và dựa trên những dữ liệu thu thập được, kẻ xấu sẽ tấn công lừa đảo nạn nhân hay lấy cắp thông tin. Trường hợp này rất dễ xảy ra ở những địa điểm truy cập Wi-Fi công cộng, không thiết lập mật khẩu, những trạm phát sóng di động giả và cả Wi-Fi trong khách sạn nếu tin tặc cố ý nhắm vào giới doanh nhân hay đi công tác.

Trong khi xác thực hai yếu tố (two-factor authentication) và các trang web bảo mật cao dùng giao thức https có thể hạn chế bớt rủi ro về mất dữ liệu thì một hacker giỏi cũng có thể thu lượm được rất nhiều thông tin của bạn khi bạn đến những trang web được cho là an toàn. Bạn cũng cần biết có một số ứng dụng không an toàn chạy nền trên máy tính của bạn.

Do đó, kết nối Internet thông qua một mạng riêng ảo (VPN), trong đó mọi luồng dữ liệu vào/ra máy tính, thông qua một kênh mã hóa đến một gateway Internet an toàn là điều đáng làm. Một lợi thế khác của cách này là nó sẽ ẩn đi địa chỉ IP thực của bạn nên giảm được rất nhiều cơ hội cho kẻ xấu thực hiện hành vi lừa đảo.

Hiện trên thị trường cũng có rất nhiều giải pháp VPN, như Opera VPN, VyprVPN hay PureVPN, cho cả người dùng cá nhân lẫn doanh nghiệp, với mức phí dao động từ miễn phí đến 10 USD/tháng. Hầu hết những dịch vụ VPN cung cấp cho khách hàng đăng nhập thông qua hệ thống máy chủ của họ mà không yêu cầu khách hàng phải làm gì nhiều. Bạn chỉ cần cân nhắc chọn lựa dịch vụ VPN nào phù hợp, gần bạn, tùy vào khu vực bạn sinh sống hay đi công tác để có được tốc độ truy cập tốt. Các dịch vụ VPN cũng có hỗ trợ số lượng thiết bị truy cập đồng thời, nền tảng hỗ trợ và độ tin cậy của từng dịch vụ.

Đối với người dùng rành kỹ thuật, có một cách làm khác là tự thiết lập kết nối VPN đến một máy chủ VPN trong văn phòng, hoặc thậm chí trên một router ở nhà. Điều này rất đáng cân nhắc vì nhiều router và các thiết bị mạng đời mới về sau này thường bổ sung tính năng hoạt động như một máy chủ VPN. Ví dụ, router Synology RT1900ac (150 USD trên Amazon) có một phần mềm để biến router thành một máy chủ VPN.

Các router không dây như Synology có tích hợp VPN.

2. Bật xác thực hai bước cho các tài khoản trực tuyến

Mật khẩu phải dài, phức tạp, sử dụng mật khẩu khác nhau cho mỗi tài khoản trực tuyến và quản lý mọi mật khẩu bằng một ứng dụng quản lý mật khẩu duy nhất. Tất cả điều trên vẫn rất quan trọng nhưng chúng vẫn chưa đủ để bảo vệ bạn khỏi những phương thức tấn công mạng ở thời điểm này.

Kẻ xấu có rất nhiều cách để đánh cắp mật khẩu cố định. Ví dụ như các thiết bị như Wi-Fi Pineapple giá 99 USD có thể che lấp mạng Wi-Fi hiện có, những phần cứng với giá chỉ 10 USD có thể nghe lén và giải mã mọi tín hiệu mà bàn phím không dây của bạn phát ra, còn các thiết bị keylogger chuyên dụng có thể gắn vào PC để ghi lại mọi thứ mà bạn gõ trên bàn phím mà không cần phải cài phần mềm keylogger nào vào. Những thiết bị này được rao bán rất nhiều trên Amazon. Trong khi đó, tấn công malware, lỗi phần mềm và tấn công dạng man-in-the-middle luôn luôn tiềm ẩn đâu đó mà bạn không thể biết được.

Do vậy, một mã động, luôn thay đổi và được tạo ra ngay khi bạn đăng nhập vào tài khoản trực tuyến nào đó, thông qua một kênh an toàn sẽ giải quyết được những tiềm ẩn, rủi ro của mật khẩu cố định, ngay cả khi mật khẩu cố định của bạn rơi vào tay kẻ xấu. Cách đơn giản và phổ biến nhất là phương pháp bảo mật gửi một đoạn mã đến điện thoại, thông qua tin nhắn SMS khi bạn đăng nhập. Bạn chỉ việc gõ đoạn mã đó để đăng nhập.

Bởi vì đoạn mã được gửi đến điện thoại nên giới chuyên môn cho rằng đây là hình thức đơn giản nhất của cách xác thực hai bước (two-step verification). Còn các chuyên gia khác lại cho rằng bởi vì cách này dựa trên SMS nên vẫn chưa thực sự bảo mật và vẫn có thể bị kẻ xấu can thiệp nếu chúng có được điện thoại của bạn, và họ cho rằng đây không thực sự là quy trình xác thực hai bước. Nhưng về ngữ nghĩa, xác thực hai bước hiển nhiên an toàn hơn nhiều so với chỉ dựa vào mật khẩu mà thôi.

Có những cách xác thực hai bước an toàn hơn, như một thiết bị tự động tạo ra một mã duy nhất ở một thời điểm duy nhất, không cần qua hệ thống gửi mã SMS, như thiết bị Yubikey 40 USD cho bạn gắn vào máy tính qua ngõ USB. Cách xác thực nhiều bước khác cũng dần dần phổ biến hơn, cho bạn bổ sung thêm yếu tố khác đó vào quy trình xác thực (như vân tay, mống mắt hay dữ liệu sinh trắc học nào đó). Giới chuyên môn gọi đây là xác thực hai yếu tố (two-factor authentication).

Nhiều dịch vụ trực tuyến bắt đầu đưa ra quy trình xác thực nhiều bước cho người dùng, nhưng gần gũi nhất dành cho bạn là các dịch vụ email mà bạn đang sử dụng, kế đến là các dịch vụ lưu trữ trực tuyến. Email là quan trọng hơn cả, vì nếu tin tặc chiếm dụng được email của bạn, chúng có thể thiết lập lại mật khẩu ở mọi tài khoản trực tuyến khác mà email đó liên kết đến.

Thực chất, email mà bộ phận dịch vụ khách hàng trong các doanh nghiệp bị tin tặc lợi dụng nhiều nhất để thực hiện các lừa đảo dạng phi kỹ thuật (social-engineer). Còn các chuyên gia bảo mật khuyên rằng đối với những tài khoản cực kỳ quan trọng có liên quan đến email, như tài khoản root của Amazon Web Services, thì người dùng không nên dùng email này để đăng ký bất kỳ dịch vụ nào khác.

Một số ngân hàng đưa ra giải pháp xác thực hai yếu tố cho khách hàng khi đăng nhập tài khoản trực tuyến bằng token.

3. Luôn khóa PC

Một thói quen mà hầu hết người dùng máy tính ít chú ý là chúng ta thường để PC không khóa khi rời đi, nhất là khi ở trong văn phòng. Ví dụ nhiều người dùng đăng nhập máy tính ở quyền quản trị thì chỉ cần vài giây truy cập trái phép, kẻ xấu có thể cài mã độc (malware) hay phần mềm gián điệp (spyware) vào máy mà không bị phần mềm chống virus phát hiện.

Giải pháp đơn giản là khóa mật khẩu cho thiết bị nếu bạn phải rời máy tính chốc lát, để không ai đụng được vào hệ thống khi không có mặt bạn ở đó. Đây là thói quen cần thiết và bạn cũng dễ dàng khóa máy tính bằng cụm phím tắt trên bàn phím. Trên PC Windows, bạn chỉ việc nhấn  <Windows + L>. Còn trên máy Mac, bạn cần thiết lập một chút: vào System Preferences, mục Security & Privacy > General, chọn mục "Require password...after sleep or screen saver begins" và chọn "immediately" từ menu sổ xuống. Để khóa màn hình, bạn nhấn <Control + Shift + Power>. Những máy Mac đời cũ có ổ đĩa quang có thể khóa bàn phím bằng cụm phím tắt Control + Shift + Eject.

Khi quay lại, bạn sẽ cần phải nhập mật khẩu để mở khóa thiết bị, điều hơi bất tiện này rất đáng để bạn bảo vệ máy tính của mình. Dĩ nhiên, nếu dùng laptop có tích hợp dấu vân tay hay nhận diện khuôn mặt, bạn không cần phải nhập mật khẩu.

Thậm chí, nếu đã có thói quen khóa máy tính thì bạn cũng vẫn nên thiết lập máy tính tự động khóa sau một khoảng thời gian không dùng nào đó phòng trường hợp bạn quên. Bạn đơn giản chỉ việc định thời gian tự động khóa máy trước khi máy chuyển sang trạng thái “ngủ” (sleep) và yêu cầu mật khẩu khi “hồi phục” (resume) máy lại. Một phương pháp khác là bạn chỉnh lại trình screensaver để nhắc bạn nhập mật khẩu.

Còn một cách khóa máy khác là dùng một token vật lý, như chiếc chìa khóa cứng, tự động khóa máy. GateKeeper giá 60 USD gồm một đầu USB và một thiết bị nhỏ bên ngoài, tựa như ổ khóa và chìa khóa. Bạn gắn đầu USB vào máy tính và thiết bị này giao tiếp với bộ nhận qua Bluetooth, tự động đăng nhập khi bạn ở gần máy và cũng tự động khóa máy khi bạn ra xa.

GateKeeper 2.0 như một bộ ổ khoá có chìa khoá cho máy tính.

4. Mã hoá ổ cứng

Mã hoá dữ liệu trên PC là bước quan trọng để đảm bảo dữ liệu của bạn không bị dòm ngó. Ổ cứng có trong một số máy tính xách tay thiết kế cho doanh nhân rất dễ bị tráo đổi, sao chép hoặc gài spyware. Mã hoá ổ cứng có nghĩa là dữ liệu trên ổ cứng sẽ chỉ là "rác" khi hiển thị trên hệ thống khác. Thậm chí, nếu bạn không lo ngại vấn đề bị tráo ổ cứng thì việc mã hoá ổ đĩa luôn là lớp phòng về bổ sung, an toàn chống lại những cặp mắt tò mò muốn xem dữ liệu của bạn, hoặc trong trường hợp bạn bị thất lạc hay đánh mất laptop.

Windows 8.1 và Windows 10 mã hoá mặc định ổ cứng, mặc dù 8.1 cần bạn thực hiện một số yêu cầu trước khi hệ điều hành này mã hoá, còn bản Windows 10 yêu cầu bạn có tài khoản Microsoft với quyền quản trị hoặc đang nhập vào một tên miền Windows. Nếu bạn muốn, hãy vào Control Panel > BitLocker Drive Encryption hoặc Settings > About để đảm bảo tính năng mã hoá ổ cứng bằng BitLocker đã được bật.
Đối với người dùng Mac, bạn có thể bật mã hoá ổ cứng trong FileVault: vào Systems Preferences > Security & Privacy > FileVault. Với hệ điều hành OS X 10.10 Yosemite, tính năng này được bật mặc định nhưng tốt nhất bạn nên kiểm tra lại.

Bạn nên bỏ chút thời gian kiểm tra mã hoá BitLocker đã bật hay chưa nếu đang dùng Windows 8.1 và 10.

5. Đảm bảo mạng Wi-Fi của bạn an toàn

Các router Wi-Fi cho gia đình và văn phòng nhỏ và các Access point (AP) là những thiết bị mà chúng ta thường thiết lập xong rồi bỏ đó. Nhưng thực sự, chúng đáng được dành nhiều thời gian hơn để tăng cường bảo mật cho mạng.

Bởi vì tín hiệu không dây thường phát ra mọi hướng nên điều quan trọng là bạn cần bật chức năng mã hoá để phòng ngừa tín hiệu bị dò lén và bị xâm nhập. Những lỗ hổng trong các giao thức bảo mật không dây cũ như WEP có nghĩa là kẻ xấu chỉ cần vài phút là vượt qua được. Mặc dù những router và AP thế hệ mới đã bỏ giao thức WEP mà thay bằng WPA hoặc WPA2 nhưng tốt nhất bạn vẫn nên kiểm tra các thiết bị Wi-Fi cũ xem router có đang dùng WEP hay WEP2 hay không để chuyển sang giao thức bảo mật tốt hơn.

Và bạn cần lưu ý rằng hiện tại, giao thức WPA cũng không còn an toàn nữa, bởi vì giao thức này dựa trên giao thức mã hoá TKIP không an toàn, nên tốt nhất, bạn cần chọn WPA2 và mã hoá AES. Nếu router hay AP của bạn không hỗ trợ WPA2 thì đã đến lúc bạn nên thay mới thiết bị.

Để đơn giản, hầu hết mạng gia đình và văn phòng nhỏ thường dùng mật khẩu tĩnh, duy nhất hoặc khoá mã hoá để bảo vệ dữ liệu truyền trên mạng. Nhưng không may là tin tặc dễ dàng sử dụng kỹ thuật tấn công brute force (nhiều lần đoán và dò mật khẩu) để bẻ khoá mạng không dây. Vì hiện có vô số công cụ cho giới bảo mật cũng như hacker thực hiện điều này.

Tuy vậy, tấn công không dây phổ biến nhất hiện nay là bắt các gói dữ liệu truyền không dây giữa một router và một thiết bị kết nối. Để giảm thời gian phá mã, kẻ xấu thường dựa vào các bảng hash có sẵn, mà giới công nghệ gọi là rainbow table, hoặc tận dụng khả năng xử lý của GPU để tiết kiệm thời gian phá mã.

Do đó, để khiến kẻ xấu khó lòng phá được mã thì bạn cần đặt mật khẩu dài, với nhiều ký tự phức tạp. Điều này sẽ gây trở ngại rất nhiều cho kẻ xấu nếu muốn giải mã được mật khẩu bằng cách brute force như trên.

Các chuyên gia cũng đề nghị không nên đặt tên mạng Wi-Fi (SSID) bằng những tên chung chung như "Home", "WLAN" hay "Wireless Network" mà dùng một tên nào duy nhất, bởi vì WPA/WPA2 kết hợp với tên SSID tạo thành một khoá mã hoá. Bởi vì dữ liệu mà tin tặc có từ rainbow tables dựa trên 1.000 SSID phổ biến nhất, nên những SSID càng phổ biến thì càng có rủi ro cao.

Cuối cùng, nhiều router Wi-Fi và AP cho gia đình và văn phòng nhỏ hỗ trợ Wi-Fi Protected Setup (WPS), là chuẩn được thiết kế để tăng cường bảo mật cho thiết bị chỉ bằng một nút nhấn. Bạn nên tắt tính năng này vì mỗi nhà sản xuất đưa ra những thiết lập khác nhau, nên là đối tượng hấp dẫn cho kiểu tấn công brute force vì chuẩn này chỉ dựa vào một dãy số 8 con số.

Năm gợi ý trên sẽ không đảm bảo cho hệ thống của bạn tuyệt đối an toàn, nhưng đó là những cách tốt mà bạn nên làm theo và tạo thói quen cho mình khi lướt web hay sử dụng ứng dụng internet.

PC World VN 06/2016

• Tận dụng webcam làm camera giám sát
• Dùng Webcam chụp ảnh
• 3 cách đơn giản để sử dụng webcam hiệu quả
• Apple quyết bảo vệ quyền riêng tư của người dùng
• Liên Hiệp Quốc kêu gọi tôn trọng quyền riêng tư sau tiết lộ về AT&T

Về cơ bản, webcam là bổ sung hữu ích cho máy tính xách tay (MTXT), tablet, smartphone, màn hình máy tính và Smart TV. Mọi người có thể sử dụng webcam với các trò chơi phát hiện chuyển động và ứng dụng chat video qua Skype hay dịch vụ tương tự, hoặc thậm chí sáng tác video trên YouTube.

Vô hiệu hóa webcam sẽ giúp bạn an tâm hơn trước mọi hoạt động theo dõi từ xa.

Nhưng webcam cũng có thể là một mối quan tâm bảo mật rất lớn, bởi bạn có thể không biết rằng mình đang bị theo dõi bởi chiếc camera "câm" này.

Nhiều trường hợp cho thấy cuộc tấn công được thực hiện không chỉ bởi tội phạm mà còn từ các dịch vụ an ninh, xâm phạm đến quyền riêng tư của nhiều người.

Hay những tiết lộ từ cựu nhân viên tình báo CIA Edward Snowden cho thấy NSA có thể truy cập vào webcam của smartphone và làm bất cứ điều gì mà họ có thể.

Ngoài ra, hacker có thể sử dụng các công cụ tấn công để đạt quyền truy cập máy tính thông qua trojan lan truyền trên email hoặc mạng xã hội.

Kết quả của cuộc tấn công trên là nhiều người dân đã thực sự nhận thức được những rủi ro đối với một webcam luôn bật. Thế nhưng bây giờ vấn đề không còn quan trọng cho dù webcam đó có bật hay không, thay vào đó bạn cần biết rằng webcam luôn mở cửa cho sự xâm nhập của kẻ gian.

Kẻ gian có khả năng khai thác webcam để tấn công nạn nhân.

Tóm lại, bất kỳ sự hiện diện của một camera trên thiết bị của bạn đều tạo ra vấn đề riêng tư. Bạn có thể đặt smartphone trong túi quần hoặc hộp đựng, nhưng bạn không thể làm điều tương tự với MTXT. Bạn có lẽ cũng chẳng bao giờ trùm cả màn hình có gắn webcam, ngay cả khi không sử dụng đến.

Do đó, bài viết dưới đây sẽ giúp bạn giải quyết những vấn đề nhức nhối đối với webcam trên MTXT, đó là vô hiệu hóa hoặc thậm chí là che tạm đi.

Cách vô hiệu hóa webcam trên MTXT

Người sử dụng MTXT có một số tùy chọn có sẵn cho việc vô hiệu hóa một webcam tích hợp. Đầu tiên là vô hiệu hóa webcam trong hệ điều hành.

Trong Windows

Với Windows 10, truy cập vào Start và nhập vào khóa tìm kiếm webcam, chọn Webcam privacy settings trong kết quả hiện ra. Tìm nút chuyển đổi với nhãn Let apps use my camera và tiến hành chuyển sang trạng thái Off.

Ảnh minh họa cách vô hiệu hóa webcam trên Windows 10.

Bạn có thể đi xa hơn bằng cách kích chuột phải vào Start và chọn Device Manager, sau đó tìm kiếmImaging Devices trong danh sách. Kích chuột phải vào thiết bị, sau đó chọn Disable để ngăn máy ảnh làm việc và nhấn Yes để xác nhận.

Tuy nhiên, nếu máy tính của bạn khởi động lại hoặc cài đặt một bản cập nhật có thể lùi lại thay đổi này.

Vô hiệu hóa webcam thông qua cửa sổ Device Manager.

Người dùng Windows cũng có một lựa chọn khác, đó là vô hiệu hóa webcam trong BIOS hệ thống. Chỉ cần khởi động lại hệ thống, nhấn phím tắt (thường là F2 hoặc Del) để truy cập BIOS trước khi vào màn hình chào mừng của Windows.

Khi truy cập đến BIOS, bạn có thể tìm kiếm nội dung liên quan đến máy ảnh, chẳng hạn như “CMOS camera”, “integrated camera” hoặc “webcam”. Sử dụng các phím mũi tên để di chuyển trong BIOS và quan sát hướng dẫn ở phía dưới chân màn hình để biết cách lựa chọn hoặc vô hiệu hóa webcam khi tìm thấy lựa chọn tương đương trong danh sách.

Trong OS X và Linux

Người dùng OS X có thể tải về ứng dụng có tên iSight Disabler với các đường dẫn khác nhau cho từng phiên bản, gồm phiên bản 5.0 dành cho Mavericks, hoặc 4.0 dành cho Lion, hoặc 3.5 dành cho Snow Leopard.

Với người dùng phiên bản OS X 10.11 El Capitan có thể tải về thông qua GitHub.

iSight Disabler là một AppleScript tự động hóa quá trình vô hiệu hóa và kích hoạt máy ảnh iSight trong OS X, với hai nút Disable iSight và Enable iSight tương ứng.

Để cài đặt iSight Disabler AppleScript, bạn hãy đặt tập tin tải về trong /Users/You/Library/Scripts/ và kích hoạt các lựa chọn trong AppleScript Utility.

iSight Disabler được thiết kế giúp bạn bật/tắt webcam trên OS X nhanh chóng.

Riêng với Lion, để nhìn thấy thư mục thư viện trong Finder, bạn có thể cần phải chạy lệnh chflags nohidden ~/Library từ Terminal.app.

Còn với người dùng Linux có thể sử dụng dòng lệnh sudo modprobe -r uvcvideo trong cửa sổ Terminal để tắt webcam trên hệ thống. Trong đó, tham số -r được sử dụng để vô hiệu hóa webcam, và bỏ qua -r sẽ giúp bật webcam trở lại khi bạn cần sử dụng (dòng lệnh sẽ là sudo modprobe uvcvideo)

Trong trường hợp không muốn “quậy phá” BIOS hệ thống hoặc sử dụng tập lệnh để vô hiệu hóa webcam, hoặc nếu có một smartphone hoặc tablet, bạn có thể cần tiếp cận theo các cách khác nhau để vô hiệu hóa webcam.

Sử dụng vỏ che webcam là giải pháp hữu hiệu lúc này, thậm chí băng keo dán webcam cũng có thể là một lựa chọn. Nếu quan tâm đến bảo mật trên Smart TV, một tấm dán cũng có thể được sử dụng để ngăn chặn webcam trên thiết bị.