Bạn có hoàn toàn an toàn với xác thực đa yếu tố – phần 3



Tiếp theo Bạn có hoàn toàn an toàn vớ xác thực đa yếu tố – phần 1… phần 2

Có thể nói rằng hầu hết các mạng 5G ngày nay, cũng như mạng 4G, đều dễ bị tấn công bởi các kiểu tấn công sau: — Tiết lộ thông tin thuê bao, bao gồm TEID (Tunnel Endpoint Identifier — GTP tunnel identifier) và dữ liệu vị trí (location data) — Giả mạo, có thể được sử dụng để lừa đảo và tấn công mạo danh — Các cuộc tấn công DoS vào thiết bị mạng, dẫn đến gián đoạn hàng loạt thông tin di động, theo nghiên cứu của Positive Technologies.

Hình 1. An toàn thông tin cho khách hàng là một điều cần thiết của các doanh nghiệp phải để tâm.

Giải pháp cho doanh nghiệp (Facebook, Google, Ngân hàng, Nhà mạng viễn thông và các nền tảng trực tuyến (online) khác):

Hãy nhớ rằng mạng 5G trong những năm tới, vì “thuần túy”, sẽ dựa vào mạng 4G. Do đó, các nhà mạng viễn thông (NMVT) cần thay thế và sửa chữa khắc phục những lỗi của mạng 4G (không an toàn) ở hiện tại trước khi đổi sang mạng 5G mới (an toàn). Việc đặt 5G bên trong mạng chuyển vùng 4G hiện tại khiến mạng thế hệ tiếp theo gặp phải các mối đe dọa. Bảo vệ 5G bắt đầu bằng việc bảo vệ 4G, mà hầu hết NMVT đều dễ bị tấn cống trước một loạt các mối đe dọa. Tất cả các giao thức thế hệ trước phải được bảo mật. Mạng phải được kiểm tra cẩn thận các lỗi cấu hình, yêu cầu đánh giá thường xuyên về tình trạng an ninh của cơ sở hạ tầng.

Bảo mật phải được ưu tiên trong quá trình thiết kế mạng. Điều này hiện đang đúng hơn bao giờ hết khi NMVT bắt đầu lên kế hoạch cho việc xây dựng và phổ biến mạng 5G. Những nỗ lực để triển khai bảo mật càng muộn về sau, ở các giai đoạn sau có thể tốn kém hơn nhiều: NMVT có thể sẽ cần phải mua thêm thiết bị. Tệ nhất, NMVT có thể bị mắc kẹt với các lỗ hổng bảo mật lâu dài mà sau này không thể sửa được.

NMVT nên triển khai tính năng “cảnh báo người dùng” cùng với các tính năng bảo mật bổ sung khác kèm theo — cho trường hợp một thẻ SIM được phát hành lại, chẳng hạn. NMVT nên thực hiện và tuân thủ nghiêm ngặt các khuyến nghị bảo mật của tổ chức GSMA và thiết lập thiết bị với cấu hình phù hợp và giữ cho hệ thống luôn được cập nhật bảo trì. Với những giải pháp này, NMVT có thể giúp bảo vệ khách hàng khỏi gian lận thanh toán, hoán đổi SIM (SIM Swap) và SMS / Cuộc gọi bị nghe lén bởi tin tặc.

Đồng thời các nền tảng trực tuyến (online) khác, phải đáp ứng tất cả các yêu cầu từ các tiêu chuẩn an ninh mạng. Trong quá trình nghiên cứu, tôi phát hiện ra một số ngân hàng ở Việt Nam trên trang web của họ không cung cấp hướng dẫn cơ bản về an ninh mạng cho khách hàng hoặc rất khó tìm kiếm hướng dẫn này. Đó là điều “bắt buộc” mà các ngân hàng nên cung cấp một hướng dẫn “dễ hiểu” và“dễ tìm” — cơ bản về an ninh mạng để bảo vệ tài khoản, thông tin nhạy cảm và danh tính của của khách hàng.

Các ngân hàng, NMVT và các nền tảng trực tuyến phải có tính năng bảo mật như: Cảnh báo “Mất tín hiệu” (“Signal Loss” Alert), cho khách hàng biết khi nào tín hiệu bị rớt xuống mạng 2G / 3G và khuyến khích khách hàng sử dụng VPN. Luôn theo dõi để kiểm tra các hoạt động bất thường trên tài khoản của khách hàng, chú ý đến nhật ký lịch sử, dữ liệu vị trí, dữ liệu thời gian và các dữ liệu khác của thiết bị để có thể kịp thời bắt được kẻ trộm hoặc tin tặc (hacker).

Các ngân hàng, NMVT và các nền tảng trực tuyến nên thay thế nhận mã OTP qua tin nhắn văn bản / tin nhắn thoại — bằng xác thực đa yếu tố (MFA) mạnh hơn như xác thực dựa trên phần mềm, chẳng hạn như Google Authenticator hoặc trực tiếp trên ứng dụng xác thực của chính ngân hàng phát triển. Bởi vì một sự bảo vệ yếu thậm chí còn tồi tệ hơn không có sự bảo vệ, bởi vì nó tạo ra một cảm giác an toàn sai lầm. Họ cũng nên xem xét tích hợp vào nền tảng của mình những MFA mạnh mẽ hơn như thông báo Push Notification, sinh trắc học (vân tay, Face ID, Voice ID, nhận dạng mống mắt, quét võng mạc, thao tác gõ phím và nhận dạng chữ ký số), khóa bảo mật phần cứng (hardware security key) và phân tích hành vi của khách hàng.

“Trong quá trình nghiên cứu, tôi phát hiện ra một số ngân hàng ở Việt Nam trên trang web của họ không cung cấp hướng dẫn cơ bản về an ninh mạng cho khách hàng hoặc rất khó tìm kiếm hướng dẫn này.”

Một điều nữa, nếu có thể, “NMVT” nên chặn hoàn toàn tất cả các mã OTP qua tin nhắn văn bản / tin nhắn thoại, vì vậy các chủ doanh nghiệp sẽ phải tìm kiếm một lựa chọn MFA khác và mạnh hơn. Các ngân hàng và nền tảng trực tuyến cũng có thể tìm hiểu về việc sử dụng Telegram như một cách để nhận mã OTP, đây là một nền tảng miễn phí và có tính bảo mật cao.

Làm thế nào để tôi tự bảo vệ mình?

Là một cựu hacker, tôi chọn sử dụng xác thực đa yếu tố (MFA) trong một trạng thái thận trọng. Đầu tiên, tôi cố gắng sử dụng phương pháp MFA mạnh hơn so với phương thức yếu hơn, như trình xác thực dựa trên phần mềm thay vì trình xác thực tin nhắn văn bản / tin nhắn thoại vì trình xác thực dựa trên phần mềm như mã Google Authenticator được tạo và lưu trữ cục bộ trên điện thoại, các tài khoản trực tuyến được bảo vệ bằng phần mềm — trình xác thực dựa trên được coi là được bảo vệ tốt hơn so với những trình xác thực sử dụng mã OTP qua tin nhắn văn bản / tin nhắn thoại. Nếu trang web yêu thích của bạn đang cung cấp tính năng bảo mật như trình xác thực dựa trên phần mềm hoặc khóa bảo mật phần cứng (hardware security key), hãy cố gắng tận dụng nó (truy cập https://twofactorauth.org để xem các trang web yêu thích của bạn có hỗ trợ MFA hay không).

Tôi luôn cố gắng sử dụng nhiều tính năng bảo mật nhất có thể để bảo vệ Windows, dữ liệu của mình, tài khoản ngân hàng, Facebook, Gmail và các tài khoản trực tuyến khác, sau đây là các bước:

Đối với Windows và dữ liệu của tôi:

  1. Đặt mật khẩu cho BIOS và đặt mật khẩu “startup on boot” khi khởi động cho máy tính xách tay của tôi.
  2. Tôi sử dụng Rohos Face Logon để đăng nhập vào Windows của mình. (tôi đã mua và đang đợi nhận Protectimus Slim NFC — một dạng thẻ chìa khóa MFA, vì vậy ở hiện tại tôi đang sử dụng FaceID của Rohos Logon tạm thời). Vì vậy, cùng với mật khẩu Windows mạnh, FaceID Rohos — tôi vẫn thêm một MFA khác như mã OTP thông qua Telegram để xác thực đăng nhập của tôi vào Windows.

            Hình 3. Sử dụng Telegram để nhận mã OTP đăng nhập Windows.

3. Tôi sử dụng điện thoại nắp gập (flip phone) có bật Bluetooth cho tính năng Khóa tự động của Windows (Dynamic Lock) — Windows có thể sử dụng các thiết bị được ghép nối với máy tính của bạn để giúp phát hiện khi bạn đi vắng và khóa máy tính của bạn ngay sau khi thiết bị được ghép nối của bạn nằm ngoài phạm vi Bluetooth.



4. Tôi mã hóa hệ thống và dữ liệu của mình bằng Bitlocker. Để mã hóa một tệp hoặc thư mục, tôi sử dụng AxCrypt.

5. Tôi cài đặt tất cả mọi thứ liên quan về bảo mật và quyền riêng tư trên hệ điều hành Windows và tài khoản Microsoft trực tuyến của tôi có cả MFA được mở — để tránh Windows thu thập dữ liệu của tôi và giữ an toàn cho bản thân trước tin tặc.

6. Tôi thiết lập máy ảo (Virtual Machine) bằng cách sử dụng VMware: một máy ảo VM tôi dùng để nghiên cứu bảo mật và một máy ảo VM khác tôi dùng cho trình giả lập điện thoại ảo (phone emulator) để sử dụng các ứng dụng di động. Tất cả vì mục đích bảo vệ và nghiên cứu về an ninh mạng.

7. Tôi cấu hình tường lửa của Windows Defender Firewall, chặn các cổng kết nối mà tôi không sử dụng và tôi cũng điều chỉnh quyền của các chương trình phần mềm.

Đối với Ngân hàng, Facebook, Gmail và các tài khoản trực tuyến khác:

  1. Tôi sử dụng NordVPN cùng với trình duyệt web Tor để mã hóa lưu lượng dữ liệu của mình. Ví dụ, thông qua Tor Browser, tôi đăng nhập vào tài khoản ngân hàng của mình. Một trình duyệt tuyệt vời khác mà tôi hay sử dụng là Brave.
  2. Tôi sử dụng McAfee TrueKey để đăng nhập vào tất cả các tài khoản trực tuyến với sự trợ giúp của công nghệ xác thực khuôn mặt của họ (hay còn gọi là FaceID) — mà không cần phải nhập lại mật khẩu của tôi. Tôi cũng sử dụng KeePass làm trình quản lý mật khẩu.
  3. Tôi sử dụng các tiện ích mở rộng (extensions) này cho các trình duyệt web để giúp cải thiện bảo mật và quyền riêng tư: HTTPS Everywhere, Ublock Origin, Privacy Badger. Tôi đặt công cụ tìm kiếm mặc định của mình thành DuckDuckGo — một công cụ tìm kiếm trên internet miêu tiêu chính là về việc bảo vệ quyền riêng tư của người tìm kiếm.
  4. Tôi sử dụng Preveil để mã hóa email của mình. Thêm vào đó, tôi sử dụng các tài khoản email Protonmail (bảo vệ với MFA) để sao lưu các tập tin được mã hóa có chứa tất cả các mã dự phòng MFA (secret codes) của tôi.
  5. Thông qua trình giả lập điện thoại ảo (phone emulator), tôi sử dụng Telegram, WhatsApp, Tor Browser để giao tiếp với người khác. Trên trình giả lập điện thoại ảo (phone emulator), tôi bật MFA cho bất kỳ tài khoản trực tuyến (online) nào có thể bằng cách sử dụng Google Authenticator và TextNow (một dịch vụ cung cấp số điện thoại ảo miễn phí của Mỹ). Cùng với đó, tôi cố gắng thêm một MFA khác qua email nếu tùy chọn có sẵn trên một nền tảng. Tôi thích ý tưởng của Medium.com, vì khi họ xác thực người dùng thông qua email hoặc tài khoản mạng xã hội mà không cần sử dụng mật khẩu.
  6. Tôi sử dụng “Smart OTP” từ tài khoản ngân hàng của mình (mọi mã OTP được tạo thông qua ứng dụng của ngân hàng), tùy chọn này an toàn hơn là mã OTP qua tin nhắn văn bản / tin nhắn thoại. Ví dụ hay, mà tôi nghĩ tất cả các hệ thống ngân hàng nên học hỏi là từ ngân hàng mang tên First Direct — họ sử dụng công nghệ MFA thông qua Digital / Physical key.
  7. Bên cạnh đó, tôi sử dụng tất cả những thứ cơ bản khác như chống vi-rút, quét phần mềm độc hại (malware), tự động cập nhật Windows và ứng dụng, mật khẩu mạnh và những thứ quan trọng khác… Tôi cũng sử dụng một ứng dụng chống keylogger như Keyscrambler.

                        Hình 4. Hackers tìm kiếm lỗi chương trình.

Kết luận:

“Vì tội phạm không muốn dành quá nhiều thời gian cho một việc, vì vậy hãy để hacker lướt bỏ qua bạn là một mục tiêu ban đầu vì bạn quá khó và tốn thời gian để mà đột nhập.”

Bài học ở đây rất đơn giản: Có thể nói rằng chỉ với một mật khẩu mạnh — bạn có thể ngăn chặn việc bị tấn công tới 50%; và với một lớp bảo vệ MFA bổ sung — bạn có thể tránh bị tin tặc tấn công lên đến 90%. Tuy nhiên, an ninh mạng giống như trò chơi mèo vờn chuột. Ngay sau khi những kẻ tốt dừng lại một kiểu tấn công, một kiểu tấn công khác sẽ xuất hiện. Bạn phải liên tục giáo dục bản thân về những kiến thức cơ bản về an ninh mạng để bắt kịp với giai đoạn thay đổi nhanh chóng của công nghệ.

Tôi nhớ đã từng nói chuyện với nhiều người về những điều cơ bản của an ninh mạng, tôi đã đề cập rằng ai cũng đều có thể là nạn nhân của tin tặc (hacker) ngay tại thời điểm bạn lên mạng (online) và chúng ta phải học cách tự bảo vệ mình khỏi những kẻ xấu. Đáng buồn và đáng ngạc nhiên khi nói rằng rất nhiều người không quan tâm lắm đến những thứ này — họ không thể nghĩ ra được tại sao họ lại phải có nhu cầu bảo vệ quyền riêng tư hoặc tài khoản trực tuyến của mình — họ cũng nói rằng họ không có nhu cầu, không có nhiều tiền trong tài khoản ngân hàng, không làm bất cứ điều gì sai trái và không nghĩ rằng họ sẽ là nạn nhân của một hacker. Đó là một suy nghĩ rất sai lầm, đặc biệt là đối với thế giới hiện đại ngày nay.

Bắt buộc phải quên bớt đi những tư duy lệch lạc cũ, có vì như vậy bạn mới có thể bắt đầu học những điều mới về kiến ​​thức cơ bản của an ninh mạng để áp dụng vào cuộc sống hàng ngày của mình. Vì vậy, bạn có thể bảo vệ tài khoản ngân hàng của chính mình, Facebook, Google và các nền tảng trực tuyến (online) lớn khác. Điều rất quan trọng là phải bảo vệ quyền riêng tư, danh tính, tài khoản trực tuyến của bạn vì một khi bạn từ bỏ những điều này, bạn sẽ không bao giờ lấy lại được.

Tư duy của một hacker là tìm cách đột nhập dễ dàng nhất, giống như cách mà kẻ trộm đang tìm kiếm một ngôi nhà không có camera an ninh. Vì tội phạm không muốn dành quá nhiều thời gian cho một việc, vì vậy hãy để hacker lướt bỏ qua bạn là một mục tiêu ban đầu vì bạn quá khó và tốn thời gian để mà đột nhập.

Bất kỳ biện pháp bảo mật nào cũng có thể vượt qua với đủ nỗ lực, tin tặc không muốn thực hiện khoản đầu tư đó trừ khi họ muốn đạt được thứ gì đó có giá trị lớn hơn. Bất chấp tất cả những điều trên, lỗ hổng lớn nhất khi bị hack vẫn là yếu tố con người. Đó là bạn! Hãy bắt đầu đọc kĩ và làm theo hướng dẫn này một lần nữa để trang bị cho mình những kiến ​​thức cơ bản về an ninh mạng. Kiên thức là sức mạnh, là giá trị bảo vệ bạn manh tính vô giá.

Rất cám ơn anh Dương Ngọc Thái (thaidn), anh Phil Trinh, Mr. Quang (NCSC), anh Thuong (lamsaodevao.com) and anh Thang Nguyen. Đặc biệt cảm ơn những người thân yêu của tôi đã luôn ủng hộ tôi, nhiều tình yêu thương đến cha mẹ tôi đã chăm sóc tôi và bà Nội nuôi của tôi, người luôn đặt niềm tin vào tôi.

Cảm ơn mọi người rất nhiều vì tất cả!



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật