Thủ thuật từ một hacker siêu hạng

Kevin Mitnick là một hacker nổi tiếng từ những năm 1990. Những mẹo mà hacker này chia sẻ có thể giúp bạn sử dụng điện thoại thông minh và máy tính xách tay an toàn hơn.

Nếu ai quan tâm đến công nghệ, nhất là an ninh mạng, hẳn biết về Kevin Mitnick, từng nổi danh là một hacker khiến FBI và nhiều cơ quan chính phủ đau đầu trong khoảng từ thập niên 70 đến 90 của thế kỷ trước. Còn nếu bạn thấy cái tên này lạ thì có thể tìm đọc cuốn sách mà ông viết, Ghost in the Wires. Từ khi ra tù đến nay, ông làm việc về tư vấn bảo mật và ông luôn cố gắng giúp người dùng hiểu rõ được tầm quan trọng và rủi ro của an ninh mạng. Mitnick luôn nhấn mạnh về dạng tấn công lừa đảo dựa trên thói quen của người dùng, mà giới công nghệ gọi là social engineering, mà đây cũng là điểm mà giới bảo mật ít đề cập đến. Ông cũng chú trọng đến việc trình diễn những lỗi bảo mật mà người dùng thường gặp phải, nhất để họ nhận ra tính chất nghiêm trọng của vấn đề.

Hiện ông đang thực hiện một cuốn sách mới, tên là The Art of Invisibility, chỉ cách cho người dùng biết làm thế nào đảm bảo tính riêng tư trên mạng trong một thế giới Internet đầy cạm bẫy và lỗ hổng bảo mật. Còn trong bài viết này, ông chia sẻ với báo giới những cách và thủ thuật đơn giản nhất để bảo đảm an toàn cho các thiết bị di động.

Kevin Mitnick

Điện thoại thông minh

Mitnick chuyên khiến cho người dùng nghĩ về những thứ mà họ chưa từng nghĩ tới bao giờ. Ví dụ, có ai đó muốn riêng tư nên mua một chiếc điện thoại không ký hợp đồng thuê bao với nhà mạng hay mua hàng xách tay chỉ để không bị lộ danh tính. Nhưng ông chỉ ra rằng thậm chí khi mua một thiết bị “kín kẽ” như vậy cũng có vài trường hợp khiến bạn lộ và bị theo dấu, ví dụ như nếu dùng điện thoại đó để gọi xe taxi Uber.

Ở KnowBe4, là nơi Mitnick đang giữ chức Chief Hacking Officer, ông giúp các doanh nghiệp ngăn chặn và xử lý những cuộc tấn công mạng rắc rối và nguy hiểm nhất, đó là tấn công lừa đảo. Đây là một hình thức của tấn công phi kỹ thuật (social engineering), bằng cách lừa ai đó tin rằng một email hay một tin nhắn là của một nguồn tin cậy này đó, ví dụ email từ PayPal hay từ một người quen. Một khi người dùng đã tin nội dung đó là thật thì họ có thể mở một ứng dụng, hay tải về một tập tin và hồi đáp lại bằng mật khẩu hay thông tin cá nhân nào đó của họ, hoặc đến một trang web có chứa những đoạn mã độc hại.

Mitnick giải thích rằng tấn công vào tâm lý người dùng dễ dàng hơn rất nhiều so với tấn công một máy tính, bởi vì máy tính phải hoạt động theo mô hình cụ thể và chúng không bị những tác động khác như con người, như là cảm xúc.

Mitnick cho rằng “con người nói chung là lười”, mà tin tặc dựa vào yếu tố này để khai thác triệt để. Thậm chí tại hội nghị bảo mật RSA, ông đơn giản chỉ cần xem các chuyên gia tham dự sự kiện này mở khoá điện thoại của họ và ông có thể nói đa số họ cũng chỉ sử dụng mã mở khoá là 4 chữ số, thay vì dùng mật khẩu dài. Nên với tin tặc, một mật khẩu đơn giản gồm 4 chữ số như vậy là không khó đối để giải mã.

Phòng vệ tốt nhất chống lại lừa đảo không phải là phần mềm chống virus hay tường lửa, mà là nhận thức của người dùng.

Bạn có thể nghĩ sẽ an toàn hơn nếu sử dụng điện thoại có những tính năng bảo mật tốt như Blackphone 2 hay Turing. Tuy vậy, một chiếc iPhone cũ cũng an toàn nếu chủ chiếc iPhone đó nhận thức rõ và nhạy bén để nhận diện đâu là hành vi lừa đảo, đâu là thật. Nhận thức quan trọng hơn thiết bị.

Ví dụ, Mitnick sử dụng một chuỗi passcode (mật khẩu cho thiết bị di động) dài, kết hợp chữ lẫn số, thay vì chỉ là mật khẩu gồm 4 số trên chiếc iPhone của mình. Và khi ông khởi động lại thiết bị, nó không cho ông dùng Touch ID để mở khoá (vì iOS khi khởi động lại chỉ cho phép mở thiết bị bằng passcode mà thôi). Tại Mỹ, toà án có thể buộc bạn mở khoá bằng vân tay nhưng họ không thể buộc bạn tiết lộ passcode.

Mitnick thích giải pháp đăng nhập của iPhone bởi vì hầu hết những vụ tấn công vào điện thoại đều nhắm vào điện thoại chạy Android. Nhưng Mitnick cũng nhắc nhở người dùng rằng không có thiết bị nào là an toàn tuyệt đối 100%.

Máy tính xách tay và máy tính bàn

Mitnick cho báo giới biết cách ông bảo mật cho chiếc máy tính của mẹ ông bằng cách tận dụng mô hình chữ ký mã của Apple. Ông nói rằng mẹ ông thường gọi điện cho ông mỗi tuần để nhờ ông sửa chiếc PC chạy Windows của bà vì nó liên tục bị nhiễm virus. Và mỗi tuần, việc ông làm thường là cài hết lại Windows. Nên ông đã mua cho bà chiếc iMac, cài thêm một công cụ chống virus. Và sau đó, ông khoá chiếc iMac lại.

Trong mục Security & Privacy trong OS X, ở tab “General”, cuối tab này có một chỗ ghi là “Allow apps downloaded from” (cho phép ứng dụng tải từ”. Thiết lập mặc định của mục này là: “Mac App Store and identified developers” (Kho ứng dụng Mac và các nhà phát triển đã định danh). Đối với chiếc máy Mac của mẹ Mitnick, ông thay đổi sang thiết lập “Mac App Store”, nghĩa là bà chỉ được phép tải ứng dụng về từ Apple Store, đã được Apple xác thực mà thôi.

Mitnick cho rằng thiết lập mặc định là rất không an toàn, bởi vì chỉ cần khoảng 100 USD là có thể trở thành một nhà phát triển của Apple. Do vậy, chỉ cần chuyển sang chế độ mới thì ông đã giải quyết được vấn đề về nhiễm malware. Nhưng ông lại lưu ý ngay rằng giải pháp đơn giản này không thể bảo vệ bạn khỏi NSA (Cơ quan an ninh quốc gia Mỹ) hay những hacker thông minh, giỏi kỹ năng.

Tấm danh thiếp của Mitnick.

Lưu trữ USB và các kiểu tấn công khác

Mitnick xem việc trình diễn kỹ thuật tấn công máy tính và những bài phát biểu của ông tại các hội nghị bảo mật vòng quanh thế giới như là một bộ môn nghệ thuật. Ví dụ như tại triển lãm CeBit năm nay ở Đức, ông đã trình diễn vài cách tấn công, trong đó có một cách rất đơn giản là chỉ cần gắn lưu trữ USB vào máy tính là tin tặc có thể điều khiển đươc toàn bộ hệ thống, trong đó có cả khả năng kích hoạt và giám sát camera, micro và khởi chạy bất kỳ chương trình nào. Trong kiểu tấn công này, USB lừa máy tính nghĩ nó là bàn phím, không phải là thiết bị lưu trữ. Điều này cho phép tin tặc nạp các đoạn mã gõ phím vào, nghĩa là tin tặc có thể làm bất kỳ điều gì trên thiết bị qua bàn phím.

Mitnick minh hoạ kiểu tấn công này bởi vì “mọi người nghĩ USB luôn an toàn, bởi vì họ đã tắt tính năng autorun trên máy tính”. Ông muốn công chúng nhận ra rằng USB không phải là loại thiết bị vô hại.

Và mọi người nhìn chung cũng nghĩ rằng file PDF là an toàn. Nên ông minh hoạ bằng vài công cụ giúp tin tặc có thể sử dụng một file PDF để chiếm quyền điều khiển một máy tính.

Một kiểu tấn công khác là khi tin tặc đi đến một quán cà phê, là nơi có được Wi-Fi miễn phí và tin tặc vô hiệu hoá router Wi-Fi đó, khiến tất cả mọi người không thể truy cập mạng. Khi họ vào lại mạng thì tin tặc có thể giả một mạng Wi-Fi khác với cùng tên. Một khi người dùng kết nối lại, sẽ có một đoạn mã độc (payload) tải vào máy tính người dùng.

Chỉ cần biết như vậy có thể sẽ thay đổi nhận thức của chúng ta về an toàn mạng. Điều cốt lõi là bạn thực sự không muốn gắn bút USB hay tải một file PDF nào đó về máy tính của mình, cho dù bạn biết chắc nguồn gửi là nguồn đáng tin cậy, bởi vì tấn công social engineering làm cho chúng ta nghĩ rằng chúng ta an toàn.

Khi những người làm trong ngành bảo mật luôn tập trung vào mảng kỹ thuật nhiều hơn thì Mitnick nhấn mạnh đến kiểu tấn công phi kỹ thuật này, bởi vì ông dựa vào cách mà tin tặc tấn công nhiều hơn. Nói cách khác, bảo mật và tính riêng tư không phải là quy trình thiết lập xong rồi để đó. Trên hết, điều quan trọng là chúng ta không chỉ có học biết từ các chuyên gia bảo mật và các công cụ của họ, mà còn từ tin tặc, là đối tượng nắm rất rõ thói quen sử dụng điện thoại và máy tính của người dùng thông thường.

Do vậy, lúc nào bạn cũng nên cảnh giác khi sử dụng điện thoại và máy tính.

PC World VN, 05/2016

Advertisements

Posted on June 8, 2016, in Tin học and tagged . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: