UPnP trên các thiết bị mạng
 
5 sơ suất về bảo mật người dùng thường gặp phải 1

UPnP (Universal Plug and Play), dành cho những ai chưa biết – là một giao thức mạng cho phép các loại thiết bị điện tử, từ PC, laptop, TV đến các router, tablet, máy in giao tiếp và chia sẻ dữ liệu cho nhau (Genk sẽ có bài viết kĩ hơn về giao thức này trong thời gian tới). Vấn đề là, việc chia sẻ dữ liệu thông thường được thực hiện bằng các giải pháp phổ biến như homegroup của Windows hay ổ cứng di động, USB. Ứng dụng chủ yếu của UpnP chủ yếu thuộc về các mảng multimedia, giúp stream video hay nhạc từ PC sang laptop, hay giúp người dùng quản lý từ xa các thư viện video, ảnh trên máy tính – và rõ ràng là không phải ai cũng dùng hết chức năng của những ứng dụng này.
5 sơ suất về bảo mật người dùng thường gặp phải 2

Nhưng vấn đề chính nằm ở chỗ: các lỗ hổng bảo mật của UPnP không phải ít, và việc khắc phục vấn đề của các giao thức mạng thường không được nhanh chóng như việc khắc phục các lỗi phần mềm thông thường. Cuối tháng 1 vừa qua, giới nghiên cứu lại vừa phát hiện ba lỗ hổng bảo mật nghiêm trọng của UPnP trên các router/modem, đồng thời chỉ ra rằng chỉ riêng ở Mỹ: có đến gần 80 triệu thiết bị có phản hồi với phép thử của họ. Đồng nghĩa với việc 80 triệu thiết bị này có thể bị xâm nhập và nắm quyền điều khiển bất cứ lúc nào, đặc biệt là khi một trong những ứng dụng chính của UPnP là việc điều khiển thư viện multimedia từ xa.

Tuy giới nghiên cứu cũng công bố rằng phần lớn các thiết bị bị ảnh hưởng bởi các lổ hổng này thuộc thế hệ cũ, nhưng với tình hình thiết bị mạng với đủ loại xuất xứ ở Việt Nam, khó mà biết được thiết bị của bạn có thuộc diện bị lỗi hay kkhông. Vì vậy tắt hỗ trợ UPnP trên thiết bị mạng nếu như bạn không dùng đến chức năng này sẽ là giải pháp tối ưu. Những người có nhu cầu dùng UPnP trong mạng LAN không phải lo lắng gì với thay đổi này, vì việc tắt UPnP trên router/modem chỉ ảnh hưởng đến việc truyền dữ liệu hoặc điều khiển thư viện từ ngoài Internet. Dĩ nhiên là trừ trường hợp, bạn có cả một kho phim đồ sộ ở nhà và vẫn muốn có thể thường xuyên truy cập xem lại từ bất cứ đâu ngoài Internet và vì thế sẵn sàng chấp nhận các rủi ro về bảo mật.

Mật khẩu Wifi
 
5 sơ suất về bảo mật người dùng thường gặp phải 3

Như chúng ta đã biết, bảo mật mạng Wifi là vấn đề cần lưu ý bất kể đối với người dùng cuối hay các doanh nghiệp, do cơ chế truyền sóng Wifi khiến dữ liệu dễ bị tiếp cận trái phép hơn. Tuy nhiều người cho rằng việc sử dụng các cơ chế mã hóa tiên tiến thay cho WEP cũ kĩ đã là giải pháp tối ưu, điều này không hoàn toàn chính xác. Trong bối cảnh phần lớn người dùng, kể cả là người dùng tại các mạng doanh nghiệp nhỏ có thói quen sử dụng các mật khẩu “cẩu thả” như abcdef,123456 hay vi phạm các nguyên tắc bảo mật cần thiết như sử dụng số điện thoại, ngày sinh, tên người thân.v.v.., việc dữ liệu Wifi có bị mất hay không hoàn toàn chỉ còn nằm ở việc… kẻ xấu có muốn dò hay không. Một khi mạng wifi nhà hay công ty bạn bị xâm nhập, mất đi một phần băng thông mạng sẽ là hậu quả nhẹ nhất mà bạn có thể “may mắn” được gánh chịu. 

Thực hiện các giao dịch cần bảo mật trên web khi không có https
 
HTTP Secure là một trong những phương thức bảo vệ dữ liệu phổ biến và hiệu quả nhất khi duyệt web. Mỗi khi người dùng nhập vào các thông tin cá nhân nhạy cảm, mật khẩu site/email hay các thông tin tài chính quan trọng như số thẻ visa, tài khoản ngân hàng, website của các hãng uy tín đều được thiết kế tự động kích hoạt HTTPS để mã hóa dữ liệu bảo vệ các thông tin này cho người dùng. Vấn đề nằm ở chỗ, nhiều người vì vậy mà có ấn tượng rằng các dữ liệu nhạy cảm của mình sẽ được bảo vệ ở bất cứ đâu, và điều này không hoàn toàn đúng! 
5 sơ suất về bảo mật người dùng thường gặp phải 4

Các website độc hại, dù rằng đã được Google, Microsoft và các hãng bảo mật ra sức ngăn chặn khi bạn duyệt web, vẫn có khả năng xuất hiện và lợi dụng sự ngây thơ của người dùng để lấy hoặc phát tán thông tin cá nhân. Trường hợp đơn giản hơn, có thể chỉ đơn giản là đội ngũ kĩ thuật của website đó lười biếng, chậm cập nhật hoặc tay nghề kém.v.v..v… hoặc những lí do trời ơi đất hỡi nào đó đại loại như vậy, quan trọng là khi các dữ liệu nhạy cảm chưa được mã hóa bảo vệ đã bị đánh cắp, người chịu thiệt đầu tiên sẽ là bạn. Nên nhớ, rất nhiều website chỉ mã hóa dữ liệu khi bạn đăng nhập, còn các thông tin gửi đi sau đó hoàn toàn “mở”, nếu bạn đang truy cập internet từ các điểm công cộng như café wifi, việc đánh cắp các dữ liệu này không hẳn là tốn nhiều công sức. Hơn nữa, sẽ có lúc những thông tin được gửi lên được cho là “nhạy cảm” nếu nhìn từ con mắt của bạn, nhưng lại là thông tin bình thường xét từ góc nhìn của người thiết kế hệ thống, và lúc này hiển nhiên ta không còn cách nào khác là phải tự bảo vệ mình.

Một trong những cách đơn giản nhất để khắc phục tình trạng này là theo dõi sự xuất hiện của giao thức https trên thanh địa chỉ của trình duyệt mỗi khi bạn định nhập vào các thông tin cần được bảo mật, hoặc đơn giản hơn là chỉ sử dụng website của các hãng lớn, uy tín. Tuy vậy, người dùng cẩn thận có thể sử dụng các công cụ dạng như  extension  HTTPS Everywhere 3.0  cho trình duyệt để mã hóa mọi dữ liệu của mình trong mọi trường hợp, đặc biệt là khi vào Internet từ những nơi như sân bay, café wifi, thư viện.v.v.. Đối với người dùng có kinh nghiệm hoặc đã đi làm, nhờ bạn bè/đồng nghiệp tư vấn một giải pháp VPN đơn giản cũng là một giải pháp khá hiệu quả.

Kể cả những hãng công nghệ lớn nhất cũng có thể làm mất dữ liệu của bạn
       
5 sơ suất về bảo mật người dùng thường gặp phải 5

Như đã trình bày trong bài viết trước, sự xuất hiện của các lỗ hổng bảo mật là không thể tránh khỏi, bất kể tác giả của website/phần mềm/dịch vụ bạn đang sử dụng có lớn đến đâu, gồm nhiều nhân tài đến mấy. Oracle là một ví dụ điển hình nhất cho điều này, khi mà Java luôn là một trong những mục tiêu tìm lỗi số một trên thế giới mạng. Điểm lại những “người khổng lồ” Microsoft, Google, Apple, LinkedIn, Facebook cũng không phải là chưa từng dính “phốt”, đặc biệt là với số lượng dịch vụ các hãng này cung cấp, chỉ là quy mô hậu quả đến đâu mà thôi. Những vụ đánh mất số lượng cực lớn tài khoản và thông tin người dùng của Sony, Steam hay Blizzard vẫn còn đó như lời cảnh báo cho những ai đã trót trao hết thông tin cho các tên tuổi lớn này.

Rất tiếc là, người dùng ngoài việc la ó hoặc kiện tụng đòi bồi thường khi chuyện đã rồi thì chẳng có thể làm gì để khắc phục vấn đề bảo mật của các công ty này. Vì vậy ngoài việc thường xuyên cập nhật phần mềm để có được các bản vá lỗi mới nhất như chúng ta đã nhắc đi nhắc lại, tốt hơn hết là bạn nên cân nhắc về tính nhạy cảm của thông tin đôi ba lần trước khi quyết định đưa lên môi trường trực tuyến. Đối với dữ liệu cá nhân, nên chú ý đến những giải pháp như Sync mà BitTorrent sắp công bố thay vì tin tưởng tuyệt đối vào các công ty cung cấp dịch vụ. Nên nhớ, ngoài những mối lo “nội bộ” như chuyện Google, Facebook sử dụng các thông tin nào của người dùng để bán quảng cáo, chúng ta còn cả một thế giới tội phạm mạng rộng lớn ngoài kia sẵn sàng dạy cho bất kỳ gã khổng lồ lơ đễnh nào một bài học. 

Mật khẩu mạnh? Chưa đủ!
 
5 sơ suất về bảo mật người dùng thường gặp phải 6

Một số người dùng bỏ khá nhiều công sức nghĩ ra một mật khẩu cực kì khó phá, và dựa vào thời gian cần để “giải mã” mật khẩu đó do các công cụ trực tuyến đo được (có khi tính theo tỉ tỉ năm) để tự tin rằng các tài khoản của mình là bất khả xâm phạm. Điều này hoàn toàn nực cười, việc “dò” mật khẩu dựa vào sức mạnh phần cứng chưa bao giờ là giải pháp tối ưu, kể cả khi sử dụng những cỗ máy quái vật với khả năng phá các loại mật khẩu thông thường trong vài phút. Đôi lúc giới tội phạm mạng sẽ sử dụng cách này, nhưng những kẻ thông minh nhất còn vô số cách tiếp cận khác. Từ việc sử dụng các phương pháp kĩ thuật mới để phá hoặc vòng qua các lớp bảo mật cho đến việc tận dụng mọi loại sơ hở có thể tồn tại của cả người dùng lẫn người cung cấp dịch vụ trong quá tình sử dụng máy móc và Internet. Mat Honan,biên tập viên trang tin Wire và là khách hàng của Apple & Amazon, đã tốn khá nhiều giấy mực để kể lại trải nghiệm đau thương của mình với cách đánh cắp này. Xuất phát từ sơ suất trong giao dịch của bản thân Honan và các nhân viên của Apple, Amazon cũng như lỗ hổng trong cơ chế hỗ trợ của 2 hãng này, chỉ trong vòng một giờ, kẻ xấu đã phá hủy hoặc chiếm đoạt toàn bộ các tài khoản và dữ liệu  trực tuyến của anh này. Và công cụ được chúng sử dụng nhiều nhất chỉ trong vụ này chỉ là... chiếc điện thoại.

Trong chuỗi mắt xích về bảo mật, con người đã và đang luôn là mắt xích lớn nhất, nhưng cũng yếu nhất. Luôn thận trọng khi sử dụng các thông tin nhạy cảm như mật khẩu là lời nhắc không bao giời thừa trong mọi hoàn cảnh. Trên hết, bất kể bạn có tự tin về khả năng giữ an toàn thông tin của bản thân hay không, không bao giờ nên sử dụng chung một mật khẩu cho tất cả các tài khoản. Chúng ta là con người, và con người đều sẽ mắc lỗi vào lúc này hay lúc khác, trong hoàn cảnh chỉ một sơ suất nhỏ cũng có thể khiến mật khẩu của bạn rơi vào tay kẻ xấu, tạo điều kiện cho chúng tiếp cận tất cả dữ liệu trực tuyến của chúng là điều cuối cùng một cư dân mạng nên làm.

Genk

Post a Comment

Chú ý:
- Nhận xét nên viết tiếng việt có dấu.
- Cảm ơn bạn đã đọc bài viết tại www.hannavn.com