Vài năm gần đây, Internet và máy tính trở thành một phần của mọi sinh hoạt hàng ngày, từ chuyên gia cho đến các cháu học sinh từ các bà nội trợ đến các ông bà cụ. Không may, tình trạng “mất mật khẩu”, “bị đánh cắp mật khẩu”, “mất tài khoản” trở thành chuyện bình thường đến mức đáng sợ. Tuy vậy, nếu trang bị một số kiến thức căn bản và sự cẩn thận đúng mức thì có thể giảm thiểu phần lớn tình trạng “bị mất cắp”. Bài viết này tập trung vào tình trạng bảo mật của máy tính và người dùng Internet ở Việt Nam cho người dùng sử dụng máy trên hệ điều hành Windows. 1. Thực trạng: Tình trạng sử dụng máy công cộng như ở Internet Cafe, ở thư viện, ở trường học, ở các phòng máy của cơ quan, ở các dịch vụ, các trung tâm huấn nghệ…v.v.. là tình trạng rất chung và rất phổ biến. Rất nhiều người tin rằng “máy nào cũng như máy nào” nhưng thực tế, chẳng có gì bảo đảm tính bảo mật và an toàn khi sử dụng chúng. Theo điều tra tổng quát (và khá giới hạn) của nhóm HVAOnline năm 2011, cứ trong 10 dịch vụ Internet Cafe ở Việt Nam thì có 9 dịch vụ bị dính mã độc mà quản lý của dịch vụ không hề biết (hoặc biết nhưng không quan tâm). Những máy tính ở các dịch vụ ấy được “sao” từ các bản “gốc”. Không may, chính những bản “gốc” ấy có vô số virus và mã độc. Chương trình chống virus trên các bản “gốc” ấy thường quá cũ, không được cập nhật. Ngay cả trong một số trường đại học chuyên ngành CNTT cũng có những hệ thống máy sử dụng các software bị cài mã độc nhưng các quản lý viên không hề biết. Một quốc gia vừa mở cửa ra với Internet, với cơ sở hạ tầng khá hạn chế và bé nhỏ so với các nước đã và đang phát triển như Việt Nam lại lọt vào danh sách top 20 quốc gia có nhiều virus cho mục đích tàn phá [1] là điều đáng lo ngại và bởi thế, chính người dùng cần cẩn thận hơn. 2. Mã độc và mật khẩu: Mã độc (malware) nói chung có nhiều dạng, từ loại lây lan để tàn phá dữ liệu, chương trình làm việc cho đến hệ điều hành nhưng loại mã độc trực tiếp đe doạ đến tính bảo mật của mật khẩu có hai dạng chính: – Mã độc ghi nhận các phím gõ (gọi chung là keyloggers). – Mã độc xem lén màn hình và thu thập thông tin từ máy của nạn nhân (gọi chung làbackdoor trojans). Keyloggers là dạng mã độc có khả năng ghi nhận tất cả những cú gõ trên bàn phím (keyboard), cú bấm trên con chuột (mouse), ghi nhận và thu thập thông tin trên bộ nhớ tạm thời (clipboard). Bởi vậy khi người dùng đăng nhập vào một tài khoản, những ký tự cho mật khẩu được gõ trên bàn phím đều bị đánh cắp trọn vẹn. Keyloggers có thể là software lẫn hardware (gắn trực tiếp vào bàn phím, ổ cắm con chuột hoặc thậm chí cài bên trong thùng máy của máy tính). Backdoor trojans là dạng mã độc có khả năng theo dõi trực tiếp màn hình của nạn nhân bị dính mã độc y hệt nhưng thể tin tặc đang ngồi trước máy của nạn nhân. Thậm chí họ có thể điều khiển cả màn hình. Những dạng mã độc như trên không phải chương trình chống virus nào cũng phát hiện và tiêu diệt chúng được. Đặc biệt những máy tính ở các dịch vụ Internet Cafe có các chương trình chống virus cũ kỹ và không được cập nhật thường xuyên thì càng không có khả năng phát hiện và bảo vệ người dùng. Những mã độc đặc biệt được cài đặt để theo dõi người dùng một cách có chủ đích lại càng khó phát hiện. Ngay cả những chương trình chống virus được cập nhật thường xuyên cũng không bảo đảm phát hiện ra chúng bởi vì những dạng mã độc như vậy càng ngày càng tinh vi [2]. Với một máy tính công cộng như ở các dịch vụ Internet Cafe, bạn hoàn toàn bất lực dù bạn có kiến thức bảo mật bởi vì phần lớn bạn không có đủ chủ quyền để điều chỉnh. Hơn nữa, nếu máy ấy có bị nhiễm mã độc và với giới hạn chủ quyền sử dụng ít ỏi, bạn cũng không thể nào phát hiện rằng máy ấy có những mã độc nào. Bởi vậy, nếu bạn sử dụng máy tính công cộng thì nên TRÁNH KHÔNG ĐĂNG NHẬP VÀO BẤT CỨ TÀI KHOẢN NÀO. Đó là cách bảo vệ hữu hiệu nhất, ngoại trừ tài khoản bạn đăng nhập không có giá trị và “mất cũng không sao” thì không kể. 3. Mật khẩu vững: Mật khẩu vững là mật khẩu khó hoặc không thể đoán được, không thể dùng các nhu liệu để dò tìm tự động [3] một cách nhanh chóng được. Nên tránh: – Tạo mật khẩu từ tên của mình, tên vợ con, cha mẹ. – Tạo mật khẩu từ địa chỉ nhà, số điện thoại, ngày tháng năm sinh. – Tạo mật khẩu từ những thông tin thuộc về mình nhưng nhiều người biết và có thể đoán được. – Sử dụng một mật khẩu cho nhiều tài khoản khác nhau. Nên chọn: – Mật khẩu dài ít nhất là 8 ký tự. – Mật khẩu bao gồm những ký tự đặt biệt như: ! > ; & ^ ( , # % ) @ ” ! > ‘ và những chữ IN, chữ thường và số. – Mật khẩu nên được thay đổi thường xuyên theo định kỳ. – Mỗi tài khoản có mật khẩu riêng biệt. Cách tốt nhất là tự tạo cho mình một nguyên tắc, một thuật toán riêng để tạo mật khẩu. Các thuật toán này nên đơn giản và dễ nhớ nhưng không ai biết. Ví dụ 1, chọn một tên người rồi tách các ký tự ra để làm mật khẩu: Trần Hưng Đạo.- chọn các ký tự cuối của mỗi chữ: n g o – chọn các ký tự đầu của mỗi chữ, giữ nguyên trạng thái chữ IN: T H D (dùng D thay vì Đ nếu hệ thống đăng nhập không cho sử dụng ký tự Đ hay các ký tự tiếng Việt khác). – Xen kẽ số và ký tự đặt biệt vào giữa các ký tự trên để hình thành: n 1 T @ g # H $ o % D Đây là một mật khẩu rất vững vì nó có đến 11 ký tự bao gồm chữ thường, chữ IN và ký tự đặc biệt. Ví dụ 2, chọn một câu của lời bài hát mình thích và đổi vị trí: rằng xưa có gã từ quan lênnon tìm động hoa vàng ngủ say. – chọn các ký tự đầu: r x c g t q l n t d h v n s – đổi ký tự thường thành ký tự chữ IN cho mỗi ký tự vị trí số chẵn: r X c G t Q l N t D h V n S – chèn số sau mỗi 3 ký tự: r X c 3 G t Q 6 l N t 9 D h V 12 n S – chèn ký tự đặt biệt và đầu và cuối chuỗi trên: ! r X c 3 G t Q 6 l N t 9 D h V 12 n S $ Đây là một mật khẩu rất vững vì nó có đến 20 ký tự bao gồm chữ thường, chữ IN và ký tự đặc biệt. Tóm lại, thuật toán để tạo cho mình một mật khẩu vững vàng, dễ nhớ nhưng khó đoán, khó bị “brute force” thì nhiều vô kể. Chỉ cần chịu khó sáng tạo một tí là có. 4. Vài thủ thuật có thể hữu dụng: Nếu bạn không còn lựa chọn nào khác và phải dùng máy tính công cộng thì có vài thủ thuật có thể hạn chế hiểm hoạ tình trạng bị “mất mật khẩu”. Nên nhớ, bảo mật luôn luôn đi ngược lại sự tiện dụng và dễ dàng. Muốn bảo mật thì luôn luôn cần chịu khó và cẩn thận. Luôn luôn tin chắc rằng máy tính công cộng lúc nào cũng có mã độc (keylogger và backdoor trojan như đã đề cập ở trên). Đừng tin rằng các máy ấy sạch. a. Sử dụng bàn phím ảo “On-Screen Keyboard” trên Windows: Nhiều người cho rằng sử dụng “On-Screen Keyboard” trên Windows có thể tránh bị “keyloggers” ghi nhận và đánh cắp mật khẩu nhưng đây là sự hiểu lầm nguy hiểm. Sử dụng “On-Screen Keyboard” trên Windows vẫn có thể bị keyloggers ghi nhận và đánh cắp mật khẩu xuyên qua cách ghi nhận toạ độ những điểm con chuột bấm trên màn hình. Tuy nhiên, nếu cẩn thận và dùng một số mẹo nhỏ thì vẫn có thể đánh lừa keylogger. – Trước khi đăng nhập vào tài khoản (email chẳng hạn), bấm vào nút “Start”, bấm vào “All Programs”, rồi bấm vào “Accessories”, kế tiếp chọn “Ease of Access”, và cuối cùng bấm vào “On-Screen Keyboard”, nó sẽ hiện ra “On-screen keyboard” tương tự như sau:
– Kế tiếp, dùng con chuột (mouse) để bấm trên bàn phím ảo các ký tự của mật khẩu để đăng nhập, tương tự như hình sau:
– Điểm tối quan trọng là trước khi dùng chuột bấm vào một ký tự mật khẩu, bạn cần dời cái khung “On-screen keyboard” đến một vị trí khác hoặc nắm khung “On-screen keyboard” liên tục di chuyển đến nhiều vị trí, thậm chí kéo cho nó giãn ra để đổi kích thước khung “On-screen keyboard” và xen kẽ việc bấm chuột và gõ ký tự trên bàn phím, tương tự như hình bên dưới:
Sở dĩ việc phối hợp bấm chuột, gõ bàn phím và đổi kích thước của khung “On-screen keyboard” là việc cần thiết là vì nó khiến cho “keylogger” thu nhận thông tin sai từ việc xác định toạ độ của con chuột được bấm trên bàn phím ảo. Nên nhớ, nếu máy tính này đã được cài đặt một dạng nhu liệu theo dõi màn hình thì biện pháp trên sụp đổ vì họ thấy rõ các từ khoá được con chuột bấm và bàn phím gõ. b. Sử dụng bảng mã có sẵn: Đây là biện pháp vững hơn biện pháp trên nhưng đòi hỏi sự chuẩn bị trước từ một máy sạch, máy mình tin tưởng không có mã độc và máy ấy có thể truy cập Internet. – Vào bất cứ một trang tạo mật khẩu ngẫu nhiên trên mạng như: http://onlinepasswordgenerator.com/passwords/ http://www.random.org/passwords/ http://www.xorbin.com/tools/password-generator – Vào trang pastebin (http://pastebin.com/) để cắt và dán kết quả được tạo từ công cụ tạo mật khẩu ngẫu nhiên ở trên. Tạo càng nhiều mật khẩu ngẫu nhiên để cắt và dán vào pastebin càng tốt vì nó hình thành tính ngẫu nhiên và phức tạp càng cao. Đâu đó trên trang ngẫu nhiên ấy, chèn mật khẩu thật của mình vào như hình bên dưới:
– Lưu nó lại và ghi nhớ địa chỉ đến trang ấy, nhớ chọn “Paste Expiration” là “Never”. Rất may, địa chỉ tạo trên pastebin thường rất ngắn và dễ nhớ (nếu không nhớ thì viết xuống tờ giấy và cất kỹ hoặc lưu lại đâu đó trên điện thoại di động của mình):
– Lần sau, khi cần đăng nhập vào một tài khoản nào đó, bật trình duyệt lên và truy cập vào địa chỉ đã lưu ở trên. Rê con chuột đến góc trái phía đáy của trình duyệt để thu hẹp kích thước trình duyệt lại. Sau đó rê con chuột lên đầu trình duyệt để nắm lấy nó và di chuyển đến nhiều vị trí ngẫu nhiên, xoay nó theo hình vòng tròn hoặc theo vị trí càng ngẫu nhiên càng tốt [4]. Sau đó mới dùng con chuột và xác định vị trí của ký tự đầu tiên của mật khẩu mình đã lưu. Bấm vào đó và kéo con chuột để nó chọn trọn bộ mật khẩu của mình như hình dưới:
– Sau khi chọn mảnh mật khẩu như trên, bạn có thể nhấn Ctlr-C trên bàn phím hoặc tốt hơn là nhấn chuột phải đến chọn “copy”. Dán kết quả đã copy vào khung gõ mật khẩu đăng nhập của tài khoản của mình thay vì gõ từng ký tự của mật khẩu. Ngay sau đó, chọn bất cứ một mảnh nào đó trên trang pastebin kia rồi nhấn ctrl-C để copy mảnh ngẫu nhiên đó. Mục đích là dùng mảnh ngẫu nhiên ấy thay thế ngay với mảnh mật khẩu mà mình vừa copy và dán vào khung đăng nhập để xoá nó ra khỏi bộ nhớ tạm thời (clipboard).
Nên nhớ, nếu máy tính này đã được cài đặt một dạng nhu liệu theo dõi màn hình thì biện pháp trên sụp đổ vì họ thấy rõ các từ khoá được con chuột bấm và bàn phím gõ. c. Sử dụng nhu liệu miễn phí hỗ trợ: Hầu hết các máy tính công cộng như ở Internet Cafe cho phép download nhu liệu, dữ liệu nhưng không cho cài đặt (nếu chặt chẽ). Một trong những nhu liệu miễn phí, không đòi hỏi cài đặt nhưng giúp chống keylogger theo dõi và thu thập phím gõ, thu thập các cú nhấp chuột, thu thập thông tin từ vùng nhớ tạm thời (clipboard), đó là “Neo’s SafeKeys v3“, có thể download miễn phí ở đây: http://www.aplin.com.au/ – Sau khi download về, xả nén tập nén zip thành một thư mục và nhấp chuột đôi vào “Neo’s SafeKeys v3.exe” để khởi động chương trình, nó có hình giống như sau:
– Theo mặc định, chính nhu liệu này đã bảo vệ thông tin, không cho phép keylogger thu thập phím gõ, thu thập các cú nhấp chuột. Nó cũng không sử dụng clipboard để tạm lưu trữ thông tin mà sử dụng biện pháp “inject” dữ liệu xuyên qua động tác “drag and drop” (kéo và thả) mật khẩu đã được gõ xuống nơi cần đăng nhập mật khẩu. Tuy nhiên, sau khi khởi động chương trình, bạn nên đổi kích thước khung “Neo’s SafeKeys v3” này và di chuyển nó sang một số vị trí khác nhau để bảo đảm an toàn. Bạn có thể dùng con chuột để bấm vào các ký tự trên bàn phím ảo “Neo’s SafeKeys v3” và mật khẩu sẽ được tạm thời lưu ở đáy của khung ở dạng sao (****). – Kế tiếp bạn mở trình duyệt ra và đi đến phần đăng nhập. Sau đó chuyển lại khung “Neo’s SafeKeys v3” và dùng con chuột bấm vào phần đáy của khung và kéo từ phải sang trái để chọn hết chuỗi ***. Sau đó, nhấp chuột trái và giữ nguyên đó, đồng thời rê nó sang phần đăng nhập của trình duyệt, nơi cần phải gõ mật khẩu vào và thả chuột ra để nó “inject” mật khẩu từ “Neo’s SafeKeys v3” sang trình duyệt cho bạn:
Nên nhớ rằng, sau khi đăng nhập tài khoản bằng phương pháp trên thành công nhưng bạn tiếp tục sử dụng bàn phím bình thường thì keyloggers vẫn tiếp tục ghi nhận tất cả các thông tin bạn gõ trên bàn phím. Bởi vậy, tính bí mật thông tin vẫn tiếp tục không bảo đảm, chỉ có mật khẩu được bảo vệ. Nói tóm lại. Nếu muốn bảo mật tài khoản cá nhân mình cho là quan trọng thì cách an toàn nhất là KHÔNG ĐĂNG NHẬP VÀO BẤT CỨ TÀI KHOẢN NÀO KHI MÌNH DÙNG MÁY TÍNH CÔNG CỘNG.
Tác giả: Hoàng Ngọc Diêu – Admin diễn đàn bảo mật HVA.