LOADING...

Category "An ninh, cảnh báo"

2Th5

Ring Floodlight Cam

by SmartHome SIG

Ring đã sớm phát minh ra việc tích hợp hệ thống an ninh với wifi. Sản phẩm đầu tiên của họ là hệ thống chuông cửa video, cho phép chủ nhà trả lời khách, hoặc theo dõi phía ngoài nhà mình qua điện thoại di động.

Đến với CES 2017, hệ thống an ninh nhà đã được Ring cải tiến bằng chiếc camera tiêu chuẩn HD trang bị hệ thống đèn pha led, kèm cảm biến chuyển động  bắt hình rất chính xác.

Khi phát hiện có di chuyển, nó sẽ tự động gửi thông báo đến điện thoại di động của bạn, thông qua ứng dụng chạy trên điện thoại thông minh, nó cho phép bạn đọc thông báo ra loa, mở đèn, còi…để xua đuổi kẻ trộm.

27Th9

Cảm biến chuyển động

by SmartHome SIG

Cảm biến chuyển động của Fibaro kết hợp bốn chức năng hữu ích vào một cảm biến Z-Wave không dây nhỏ. Chức năng đa cảm biến thông minh này bao gồm cảm biến chuyển động, cảm biến nhiệt độ, cảm biến ánh sáng và cảm biến rung / gia tốc.

Đèn LED nhiều màu của cảm biến Fibaro giúp gửi thông báo đến cho các thành viên trong gia đình nếu nó phát hiện bất kỳ chuyển động nào hoặc nhiệt độ hiện tại của một căn phòng.

27Th9

August Smart Lock

by SmartHome SIG

Nhà thiết kế Yves Béhar (làm việc cho hãng Jawbone) và nhà kinh doanh công nghệ Jason Johnson mới đây đã ra mắt một ổ khóa thông minh mang tên August Smart Lock. Thiết bị này có thể hoạt động với 90% các ổ khóa tròn (deadbolt) ở Mỹ và các nhà thiết kế nói người dùng chỉ cần “bắt hai con ốc” là đã hoàn tất công đoạn lắp đặt.

Nó sử dụng công nghệ Bluetooth Low Energy(LE) để ghép đôi với:

  • iPhone 4S, iPhone 5
  • Các model Android mới nhất

Từ đó cho phép chủ nhà cũng như tối đa 10 người bạn được phép vào phòng/nhà ngay khi họ vừa đến gần cửa. Tất nhiên là khi đã sử dụng điện thoại để mở cửa rồi thì chúng ta không cần phải dùng chìa khóa nữa, hạn chế tình trạng mất chìa. Thực chất ổ khóa thông minh dạng này không phải là mới, điển hình như ổ khóa không dây Lockitron ra mắt hồi năm ngoái, tuy nhiên August Smart Lock đặc biệt bởi bạn có thể cấp quyền truy cập cho nhiều nhất là 10 vị khách trong một khoảng thời gian nhất định.

August Smart Lock sử dụng pin AA để làm nguồn, do đó thiết bị này vẫn có thể hoạt động tốt ngay cả khi cúp điện. Khi gần hết pin, nó sẽ gửi thông báo cho bạn biết qua email. Còn trong trường hợp xấu nhất là máy đã cạn sạch pin, ổ deadbolt truyền thống vẫn hoạt động để bạn sử dụng chìa khóa và mở cửa một cách bình thường. Nhóm thiết kế cho biết thêm rằng sản phẩm của họ sẽ ghi lại toàn bộ lịch sử ra vào của mọi người, bao gồm luôn cả thời điểm cụ thể. Hệ thống liên lạc giữa August Smart Lock và smartphone thì được mã hóa theo công nghệ được sử dụng bởi các ngân hàng nên đảm bảo an toàn cho ngôi nhà của bạn.

Nguồn: August, Gizmag​, DuyLuan tinhte.vn

26Th5

Lỗ hổng bảo mật – những hiểu biết căn bản

by SmartHome SIG

Nhân sự kiện về lỗ hổng bảo mật của java gần đây, chúng ta sẽ cùng tìm hiểu thêm một chút về các lỗ hổng phần mềm.

Ngày nay,  kiếm được một phần mềm anti virus hoạt động hiệu quả và không tốn quá nhiều tài nguyên máy không còn quá khó như một vài năm trước. Điểm danh những phần mềm miễn phí, ta có AVG, Avast, Avira, thậm chí việc kiếm key bản quyền xịn của những Kaspersky, Bitdefender cũng không còn quá khó và đắt đỏ. Nhưng khi nói đến bảo mật, có rất nhiều khía cạnh ta cần lưu tâm, trong đó tìm kiếm và cài đặt một phần mềm antivirus tốt mới chỉ là một mặt của vấn đề. Hẳn trong các bài viết về bảo mật, bạn đã nghe phát chán những chuyện như tránh website khả nghi, chỉ download phần mềm từ các nguồn chính thức, để ý giao thức mã hóa SSL khi đăng nhập –  sử dụng mật khẩu ở đâu đó, nhớ đăng xuất khi dùng máy công cộng.v.v. .Nhân sự kiện về lỗ hổng bảo mật của java gần đây, chúng ta sẽ cùng tìm hiểu thêm một chút về các lỗ hổng phần mềm.

Lỗ hổng bảo mật - những hiểu biết căn bản 1

Lỗi phần mềm

Ngay cả những phần mềm tầm trung đơn giản, chỉ phục vụ một vài tác vụ chuyên biệt cũng đã tạo thành từ một lượng lớn code. Cấu trúc phần mềm được thiết kế bởi con người, và những dòng code trong đó cũng được viết bởi con người, vì vậy việc xuất hiện lỗi là không thể tránh khỏi. Trong phần lớn trường hợp, nếu một phần mềm được sản xuất một cách chuyên nghiệp – các lỗi này không thể có tác động gì quá lớn, nhất là đến các khía cạnh về bảo mật. Cùng lắm ta sẽ thấy một vài chức năng không hoạt động, đôi lúc phần mềm “treo” khi đang làm việc hoặc làm việc chậm chạp .v.v..

Lỗ hổng bảo mật - những hiểu biết căn bản 2

Nhưng nói vậy không có nghĩa là những lỗi nghiêm trọng liên quan đến bảo mật không thể xảy ra. Nói cụ thể hơn một chút, đó là những lỗi phần mềm mà người ngoài có thể khai thác để tác động thay đổi cách phần mềm vận hành, đưa thêm vào các đoạn mã tự viết, xem các dữ liệu mà phần mềm quản lí.v.v. Ngoài các nguyên nhân chủ quan như sự bất cẩn khi sử dụng của người dùng (click vào đường link lạ, download các phần mềm độc hại), các lỗi này là một trong những khe hở chính mà tin tặc thường tập trung khai thác để xâm nhập vào các hệ thống máy móc – từ các máy chủ đến các máy cá nhân của người dùng cuối. Nếu lỗ hổng này thuộc về một phần mềm không phổ biến, chỉ phục vụ vài tác vụ đơn giản và không có vai trò quan trọng trong hệ thống, hiển nhiên hiểm họa về bảo mật vẫn có nhưng không nghiêm trọng. Nhưng hệ thống phần mềm càng phức tạp, đồ sộ thì hiển nhiên việc kiểm soát sự xuất hiện của những lỗi này càng khó – bất kể các kĩ sư thiết kế có trình độ cao đến đâu. Và chính những phần mềm này lại thường chiếm vai trò chủ chốt, cũng như tác động đến nhiều ngóc ngách của hệ thống. Nhờ len lỏi qua kẽ hở tạo ra bởi lỗi của những phần mềm này, kẻ xấu có thể thực hiện những thay đổi nhất định lên máy móc của người dùng, hay nắm được quyền điều khiển, truy cập các thông tin nhạy cảm.

Zero-Day Exploits – Đòn tấn công âm thầm

Thực tế, các lỗ hổng có thể bị khai thác sử dụng cho mục đích xấu tồn tại trên bất cứ phần mềm nào. Thậm chí có những phần của thiết kế khó có thể bị cho là lỗi cho đến khi xuất hiện những công nghệ cho phép người ngoài khai thác nó – khiến cho tác giả phải thiết kế lại cách sản phẩm của mình vận hành. Khi cập nhật phần mềm mới, ngoài việc đôi lúc thấy xuất hiện các chức năng mới, hay hiệu năng hoạt động được cải thiện, chắc hẳn không ít lần bạn thấy changelog(danh sách các thay đổi) xuất hiện một loạt các sửa chửa lỗi gần đây nhất. Những người tạo ra một sản phẩm dĩ nhiên phải là người hiểu rõ đứa con cưng của mình nhất – và sẽ cố hết sức để sửa chữa lỗi mỗi khi phát hiện ra ( ít nhất thì phần lớn trường hợp là như vậy). Với sản phẩm phổ biến trên thị trường, được phát hành bởi các công ty- tổ chức hoạt động một cách chuyên nghiệp, điều này càng đúng hơn.

Lỗ hổng bảo mật - những hiểu biết căn bản 3

Nhưng không có gì là tuyệt đối. Sẽ có những lúc mà tác giả phát hiện lỗi sau người ngoài, hoặc thậm chí là không đủ khả năng phát hiện ra. Không phải bỗng nhiên mà các hãng lớn thường tổ chức những cuộc thi về khai thác lỗ hổng trên sản phẩm của mình, đồng thời tuyển mộ nhân lực từ các cuộc thi đó, cũng như tuyển mộ các tin tặc hoàn lương. Thực tế vẫn luôn như vậy: có người có tài, có người không. Thậm chí sẽ có những lúc hãng sản xuất phát hiện lỗi, nhưng thời gian để hoàn thành việc sửa chữa lại lâu hơn thời gian tin tặc cần để viết ra công cụ khai thác, đồng thời hoàn thành công việc phá hoại, gián điệp hay trộm cắp bằng công cụ đó. Đó cũng là một trong những lí do khiến ta thấy các bài viết về lỗ hổng bảo mật thường chỉ xuất hiện nhiều tháng sau khi lỗi đã được sửa. Các hacker mũ trắng quá hiểu rằng việc sửa lỗi đôi lúc khó khăn và phức tạp hơn nhiều lần so với việc lợi dụng lỗi cho mục đích xấu, vì vậy họ thường cho hãng sản xuất hàng tháng trời để sửa chữa sai lầm của mình trước khi công bố chi tiết về lỗ hổng mà mình phát hiện ra ngoài để phục vụ mục đích nghiên cứu.

Lỗ hổng bảo mật - những hiểu biết căn bản 4

Còn kịch bản xấu nhất? Kẻ xấu phát hiện ra lỗi…và dĩ nhiên là không công bố cho ai biết, âm thầm đóng cửa tu luyện để hoàn thành công cụ khai thác lỗi và âm thầm phát tán (thường thấy nhất là dưới dạng virus, worm,trojan…). Thậm chí giới tội phạm có thể đem những thông tin này ra giao dịch, trao đổi ngầm với nhau, hay bán kèm trong những bộ kit được viết ra chuyên để phục vụ việc tìm hiểu, khai thác lỗ hổng. Hãng sản xuất hoàn toàn không biết sự tồn tại của lỗ hổng đó chứ đừng nói đến việc tìm cách sửa. Chỉ đến khi hậu quả đã sờ sờ ra trước mắt, họ mới có thể tá hỏa lên tìm cách khắc phục, đền bù cho người dùng, như vụ việc của Sony ngày trước. Cũng chính vì đòn tấn công được thực hiện khi hãng sản xuất hoàn toàn chưa biết đến sự tồn tại của các lổ hổng này, có “0 ngày” để tìm cách vá lỗi mà cái tên “zero-day” ra đời.

Tóm lại, việc một lỗi phần mềm tồn tại vốn không phải việc gì quá kì lạ, hiểm họa chỉ xuất hiện khi hãng sản xuất thua trong cả 2 cuộc đua: phát hiện lỗi và sửa lỗi.

Quá trình khai thác

Cần hiểu rằng, các công cụ về bảo mật hiện đại ngày nay như tường lửa, phần mềm anti-virus, anti-malware…thường có cơ chế hoạt động thông minh để phát hiện khi một đoạn mã nào đó có hành vi đáng ngờ, bất kể đoạn mã đó có sẵn trong cơ sở dữ liệu về virus, malware hay không. Cũng tương tự như một trinh sát dày dạn có thể phát hiện dấu hiệu khả nghi của một kẻ trộm mà không cần lệnh truy nã hay chữ  “trộm” to đùng trước trán. Tuy vậy như đã nói, trường hợp xấu nhất là khi các tin tặc phát hiện lỗi chưa ai biết tới, viết một công cụ hoàn toàn mới để khai thác. Một kẻ nếu đủ khả năng để về đích đầu tiên trong cả 2 cuộc đua này (ở đây không nói đến những đối tượng sử dụng lại công cụ) hẳn nhiên thừa kinh nghiệm trong việc tránh ánh mắt dò xét của các công cụ bảo mật. Vì vậy cho đến khi lỗ hổng hoàn toàn được vá, mọi biện pháp mà các công cụ bảo mật cung cấp đều chỉ mang tính tạm thời. Chuỗi sự kiện điển hình thường là như sau:

1.Xuất hiện một lỗ hổng có thể bị khai thác bằng các công nghệ hiện có.
2.Kẻ tấn công phát hiện lỗ hổng.
3.Kẻ này lập tức tiến hành viết và phát tán công cụ khai thác lỗ hổng này.
4.Hãng sản xuất đồng thời phát hiện lỗi và lập tức tìm cách sửa chữa
5.Lỗ hổng được công bố ra ngoài

6.Các phần mềm anti-virus được cập nhật thông tin để phát hiện khi có các đoạn mã tìm cách khai thác lỗ hổng này
7.Hãng sản xuất hoàn thành bản vá
8.Hãng hoàn tất phát hành bản vá lỗi đến tất cả khách hàng

Thời điểm của đợt tấn công đầu tiênt hiển nhiên nằm giữa bước 3 và 5. Theo một nghiên cứu mới đây của đại học Carnegie Mellon của Mỹ, giai đoạn này trung bình kéo dài 10 tháng. Tuy nhiên không phải lúc nào tất cả người dùng cuối cũng bị nguy hiểm trong giai đoạn này. Dạng tấn công tận dụng thời điểm hãng sản xuất chưa phát hiện (hoặc chưa sửa được lỗi) này có lợi thế lớn nhất là sự kín đáo – phù hợp cho việc lấy trộm thông tin hoặc phá hoại ngầm mà không bị phát hiện. Vì vậy giai đoạn này đối tượng bị nhắm đến thường là một nhóm người có thể đem lại lợi ích cụ thể cho kẻ tấn công để sau đó hắn có thể rút đi êm thấm. Mục tiêu dó có thể là các tổ chức, tập đoàn mà kẻ này muốn phá hoại hoặc các thông tin tài khoản có thể sử dụng để kiếm lời.

Lỗ hổng bảo mật - những hiểu biết căn bản 5

Cũng theo nghiên cứu này, giai đoạn từ bước 5 đến 8 mới thực sự nguy hiểm. Đây là lúc thông tin về lỗ hổng được công bố, và cùng với các công ty phát triển anti-virus, những tin tặc chưa biết đến lỗi này cũng có thể tiếp cận được thông tin. Làn sóng tấn công lúc này không còn âm thầm, mà dồn dập hơn rất nhiều. Nếu ví đợt tấn công trước đó nguy hiểm như một nhát dao đâm sau lưng, thì đợt tấn công lúc này như một chuỗi đòn đánh trực diện, không hiệu quả với những ai cẩn thận đề phòng nhưng vẫn không kém phần nguy hiểm nếu như gặp đúng những người lơ là bảo mật hoặc nhỡ sử dụng công cụ bảo mật kém chất lượng, cập nhật chậm. Những đối tượng không có khả năng phát hiện lỗi, cũng như không có khả năng phát triển công cụ cũng tham gia từ thời điểm này, khiến việc phát tán và tìm đến những cỗ máy có hệ thống bảo mật yếu kém nhanh hơn rất nhiều. Khi số lượng kẻ tham gia tấn công tăng lên, động cơ và phương thức tấn công cũng đa dạng hơn chứ không thể chỉ thuần túy là len lỏi và trộm cắp nữa.

Lỗ hổng bảo mật - những hiểu biết căn bản 6

Sau khi đọc đến đây, chắc bạn đọc cũng hiểu rằng, khi nói đến việc bảo vệ thông tin và hệ thống của mình, ngoài việc cập nhật các biện pháp phòng thủ thì việc cập nhật thông tin cũng quan trọng không kém. Thường thì những lỗi nghiêm trọng  của những hệ thống phổ biến và quan trọng như Java vừa qua sẽ được báo chí đăng tải nhan nhản ngay khi hãng sản xuất công bố. Tuy nhiên những phần mềm có danh tiếng và độ phổ biến “khiêm tốn” hơn thì thường không được ưu ái như vậy. Vì vậy ngoài việc chú ý nâng cấp bản vá lỗi, cần dừng việc sử dụng những phần mềm cũ kĩ không còn được chăm sóc, sửa lỗi ngay khi có thể. Ví dụ? Microsoft vẫn không ngừng kêu gào để những XP, IE6 được yên nghỉ đấy thôi…..

Nguồn: http://genk.vn/do-choi-so/lo-hong-bao-mat-nhung-hieu-biet-can-ban-20130122123248646.chn
26Th2

5 sơ suất về bảo mật người dùng thường gặp phải

by SmartHome SIG

“Phòng bệnh hơn chữa bệnh”.

Từ trước tới nay, chắc hẳn bạn đọc đã gặp qua vô số bài viết về bảo mật khi sử dụng các thiết bị điện tử và tham gia mạng Internet. Nhưng câu chuyện về bảo mật, cả đối với người dùng cuối lẫn đối với các chuyên gia, là một câu chuyện không có hồi kết. Qua bài viết về các lỗ hổng bảo mật, chúng ta đã phần nào nắm được rằng cuộc chạy đua để bảo vệ thông tin cho người dùng đã vẫn luôn diễn ra gắt gao giữa những nhà phát triển phần mềm và giới tội phạm mạng.

Thực lòng mà nói, không phải ai cũng có khả năng thường xuyên cập nhật thông tin về các giải pháp bảo mật chuyên sâu, chứ đừng nói đến chuyện hiểu được chúng. Để bảo vệ bản thân, giải pháp tốt nhất là chúng ta cần nắm được những nguyên tắc cơ bản trong việc bảo mật dữ liệu của mình. Nếu như bạn đã từng nghe qua về những lỗi bảo mật này và vẫn đang mắc phải, đây có thể là thời điểm phù hợp để bắt đầu sửa chữa, trước khi để sự bùng nổ mạnh mẽ của thế giới mạng nói chung và giới tội phạm mạng nói riêng lấy đi các dữ liệu quý báu của mình.

UPnP trên các thiết bị mạng

5 sơ suất về bảo mật người dùng thường gặp phải 1

UPnP (Universal Plug and Play), dành cho những ai chưa biết – là một giao thức mạng cho phép các loại thiết bị điện tử, từ PC, laptop, TV đến các router, tablet, máy in giao tiếp và chia sẻ dữ liệu cho nhau (Genk sẽ có bài viết kĩ hơn về giao thức này trong thời gian tới). Vấn đề là, việc chia sẻ dữ liệu thông thường được thực hiện bằng các giải pháp phổ biến như homegroup của Windows hay ổ cứng di động, USB. Ứng dụng chủ yếu của UpnP chủ yếu thuộc về các mảng multimedia, giúp stream video hay nhạc từ PC sang laptop, hay giúp người dùng quản lý từ xa các thư viện video, ảnh trên máy tính – và rõ ràng là không phải ai cũng dùng hết chức năng của những ứng dụng này.

5 sơ suất về bảo mật người dùng thường gặp phải 2

Nhưng vấn đề chính nằm ở chỗ: các lỗ hổng bảo mật của UPnP không phải ít, và việc khắc phục vấn đề của các giao thức mạng thường không được nhanh chóng như việc khắc phục các lỗi phần mềm thông thường. Cuối tháng 1 vừa qua, giới nghiên cứu lại vừa phát hiện ba lỗ hổng bảo mật nghiêm trọng của UPnP trên các router/modem, đồng thời chỉ ra rằng chỉ riêng ở Mỹ: có đến gần 80 triệu thiết bị có phản hồi với phép thử của họ. Đồng nghĩa với việc 80 triệu thiết bị này có thể bị xâm nhập và nắm quyền điều khiển bất cứ lúc nào, đặc biệt là khi một trong những ứng dụng chính của UPnP là việc điều khiển thư viện multimedia từ xa.

Tuy giới nghiên cứu cũng công bố rằng phần lớn các thiết bị bị ảnh hưởng bởi các lổ hổng này thuộc thế hệ cũ, nhưng với tình hình thiết bị mạng với đủ loại xuất xứ ở Việt Nam, khó mà biết được thiết bị của bạn có thuộc diện bị lỗi hay kkhông. Vì vậy tắt hỗ trợ UPnP trên thiết bị mạng nếu như bạn không dùng đến chức năng này sẽ là giải pháp tối ưu. Những người có nhu cầu dùng UPnP trong mạng LAN không phải lo lắng gì với thay đổi này, vì việc tắt UPnP trên router/modem chỉ ảnh hưởng đến việc truyền dữ liệu hoặc điều khiển thư viện từ ngoài Internet. Dĩ nhiên là trừ trường hợp, bạn có cả một kho phim đồ sộ ở nhà và vẫn muốn có thể thường xuyên truy cập xem lại từ bất cứ đâu ngoài Internet và vì thế sẵn sàng chấp nhận các rủi ro về bảo mật.Mật khẩu Wifi

5 sơ suất về bảo mật người dùng thường gặp phải 3

Như chúng ta đã biết, bảo mật mạng Wifi là vấn đề cần lưu ý bất kể đối với người dùng cuối hay các doanh nghiệp, do cơ chế truyền sóng Wifi khiến dữ liệu dễ bị tiếp cận trái phép hơn. Tuy nhiều người cho rằng việc sử dụng các cơ chế mã hóa tiên tiến thay cho WEP cũ kĩ đã là giải pháp tối ưu, điều này không hoàn toàn chính xác. Trong bối cảnh phần lớn người dùng, kể cả là người dùng tại các mạng doanh nghiệp nhỏ có thói quen sử dụng các mật khẩu “cẩu thả” như abcdef,123456 hay vi phạm các nguyên tắc bảo mật cần thiết như sử dụng số điện thoại, ngày sinh, tên người thân.v.v.., việc dữ liệu Wifi có bị mất hay không hoàn toàn chỉ còn nằm ở việc… kẻ xấu có muốn dò hay không. Một khi mạng wifi nhà hay công ty bạn bị xâm nhập, mất đi một phần băng thông mạng sẽ là hậu quả nhẹ nhất mà bạn có thể “may mắn” được gánh chịu.

Thực hiện các giao dịch cần bảo mật trên web khi không có https

HTTP Secure là một trong những phương thức bảo vệ dữ liệu phổ biến và hiệu quả nhất khi duyệt web. Mỗi khi người dùng nhập vào các thông tin cá nhân nhạy cảm, mật khẩu site/email hay các thông tin tài chính quan trọng như số thẻ visa, tài khoản ngân hàng, website của các hãng uy tín đều được thiết kế tự động kích hoạt HTTPS để mã hóa dữ liệu bảo vệ các thông tin này cho người dùng. Vấn đề nằm ở chỗ, nhiều người vì vậy mà có ấn tượng rằng các dữ liệu nhạy cảm của mình sẽ được bảo vệ ở bất cứ đâu, và điều này không hoàn toàn đúng!

5 sơ suất về bảo mật người dùng thường gặp phải 4

Các website độc hại, dù rằng đã được Google, Microsoft và các hãng bảo mật ra sức ngăn chặn khi bạn duyệt web, vẫn có khả năng xuất hiện và lợi dụng sự ngây thơ của người dùng để lấy hoặc phát tán thông tin cá nhân. Trường hợp đơn giản hơn, có thể chỉ đơn giản là đội ngũ kĩ thuật của website đó lười biếng, chậm cập nhật hoặc tay nghề kém.v.v..v… hoặc những lí do trời ơi đất hỡi nào đó đại loại như vậy, quan trọng là khi các dữ liệu nhạy cảm chưa được mã hóa bảo vệ đã bị đánh cắp, người chịu thiệt đầu tiên sẽ là bạn. Nên nhớ, rất nhiều website chỉ mã hóa dữ liệu khi bạn đăng nhập, còn các thông tin gửi đi sau đó hoàn toàn “mở”, nếu bạn đang truy cập internet từ các điểm công cộng như café wifi, việc đánh cắp các dữ liệu này không hẳn là tốn nhiều công sức. Hơn nữa, sẽ có lúc những thông tin được gửi lên được cho là “nhạy cảm” nếu nhìn từ con mắt của bạn, nhưng lại là thông tin bình thường xét từ góc nhìn của người thiết kế hệ thống, và lúc này hiển nhiên ta không còn cách nào khác là phải tự bảo vệ mình.

Một trong những cách đơn giản nhất để khắc phục tình trạng này là theo dõi sự xuất hiện của giao thức https trên thanh địa chỉ của trình duyệt mỗi khi bạn định nhập vào các thông tin cần được bảo mật, hoặc đơn giản hơn là chỉ sử dụng website của các hãng lớn, uy tín. Tuy vậy, người dùng cẩn thận có thể sử dụng các công cụ dạng như  extension  HTTPS Everywhere 3.0  cho trình duyệt để mã hóa mọi dữ liệu của mình trong mọi trường hợp, đặc biệt là khi vào Internet từ những nơi như sân bay, café wifi, thư viện.v.v.. Đối với người dùng có kinh nghiệm hoặc đã đi làm, nhờ bạn bè/đồng nghiệp tư vấn một giải pháp VPN đơn giản cũng là một giải pháp khá hiệu quả.

Kể cả những hãng công nghệ lớn nhất cũng có thể làm mất dữ liệu của bạn

5 sơ suất về bảo mật người dùng thường gặp phải 5

Như đã trình bày trong bài viết trước, sự xuất hiện của các lỗ hổng bảo mật là không thể tránh khỏi, bất kể tác giả của website/phần mềm/dịch vụ bạn đang sử dụng có lớn đến đâu, gồm nhiều nhân tài đến mấy. Oracle là một ví dụ điển hình nhất cho điều này, khi mà Java luôn là một trong những mục tiêu tìm lỗi số một trên thế giới mạng. Điểm lại những “người khổng lồ” Microsoft, Google, Apple, LinkedIn, Facebook cũng không phải là chưa từng dính “phốt”, đặc biệt là với số lượng dịch vụ các hãng này cung cấp, chỉ là quy mô hậu quả đến đâu mà thôi. Những vụ đánh mất số lượng cực lớn tài khoản và thông tin người dùng của Sony, Steam hay Blizzard vẫn còn đó như lời cảnh báo cho những ai đã trót trao hết thông tin cho các tên tuổi lớn này.

Rất tiếc là, người dùng ngoài việc la ó hoặc kiện tụng đòi bồi thường khi chuyện đã rồi thì chẳng có thể làm gì để khắc phục vấn đề bảo mật của các công ty này. Vì vậy ngoài việc thường xuyên cập nhật phần mềm để có được các bản vá lỗi mới nhất như chúng ta đã nhắc đi nhắc lại, tốt hơn hết là bạn nên cân nhắc về tính nhạy cảm của thông tin đôi ba lần trước khi quyết định đưa lên môi trường trực tuyến. Đối với dữ liệu cá nhân, nên chú ý đến những giải pháp như Sync mà BitTorrent sắp công bố thay vì tin tưởng tuyệt đối vào các công ty cung cấp dịch vụ. Nên nhớ, ngoài những mối lo “nội bộ” như chuyện Google, Facebook sử dụng các thông tin nào của người dùng để bán quảng cáo, chúng ta còn cả một thế giới tội phạm mạng rộng lớn ngoài kia sẵn sàng dạy cho bất kỳ gã khổng lồ lơ đễnh nào một bài học.

Mật khẩu mạnh? Chưa đủ!

5 sơ suất về bảo mật người dùng thường gặp phải 6

Một số người dùng bỏ khá nhiều công sức nghĩ ra một mật khẩu cực kì khó phá, và dựa vào thời gian cần để “giải mã” mật khẩu đó do các công cụ trực tuyến đo được (có khi tính theo tỉ tỉ năm) để tự tin rằng các tài khoản của mình là bất khả xâm phạm. Điều này hoàn toàn nực cười, việc “dò” mật khẩu dựa vào sức mạnh phần cứng chưa bao giờ là giải pháp tối ưu, kể cả khi sử dụng những cỗ máy quái vật với khả năng phá các loại mật khẩu thông thường trong vài phút. Đôi lúc giới tội phạm mạng sẽ sử dụng cách này, nhưng những kẻ thông minh nhất còn vô số cách tiếp cận khác. Từ việc sử dụng các phương pháp kĩ thuật mới để phá hoặc vòng qua các lớp bảo mật cho đến việc tận dụng mọi loại sơ hở có thể tồn tại của cả người dùng lẫn người cung cấp dịch vụ trong quá tình sử dụng máy móc và Internet. Mat Honan,biên tập viên trang tin Wire và là khách hàng của Apple & Amazon, đã tốn khá nhiều giấy mực để kể lại trải nghiệm đau thương của mình với cách đánh cắp này. Xuất phát từ sơ suất trong giao dịch của bản thân Honan và các nhân viên của Apple, Amazon cũng như lỗ hổng trong cơ chế hỗ trợ của 2 hãng này, chỉ trong vòng một giờ, kẻ xấu đã phá hủy hoặc chiếm đoạt toàn bộ các tài khoản và dữ liệu  trực tuyến của anh này. Và công cụ được chúng sử dụng nhiều nhất chỉ trong vụ này chỉ là… chiếc điện thoại.

Trong chuỗi mắt xích về bảo mật, con người đã và đang luôn là mắt xích lớn nhất, nhưng cũng yếu nhất. Luôn thận trọng khi sử dụng các thông tin nhạy cảm như mật khẩu là lời nhắc không bao giời thừa trong mọi hoàn cảnh. Trên hết, bất kể bạn có tự tin về khả năng giữ an toàn thông tin của bản thân hay không, không bao giờ nên sử dụng chung một mật khẩu cho tất cả các tài khoản. Chúng ta là con người, và con người đều sẽ mắc lỗi vào lúc này hay lúc khác, trong hoàn cảnh chỉ một sơ suất nhỏ cũng có thể khiến mật khẩu của bạn rơi vào tay kẻ xấu, tạo điều kiện cho chúng tiếp cận tất cả dữ liệu trực tuyến của chúng là điều cuối cùng một cư dân mạng nên làm.

Nguồn: http://genk.vn/do-choi-so/5-so-suat-ve-bao-mat-nguoi-dung-thuong-gap-phai-20130208105510852.chn