• Thứ Năm, 02/09/2010 20:50 (GMT+7)

    An toàn khi truy cập Wi-Fi công cộng

    Đức Thịnh
    Wi-Fi rất tiện lợi khi bạn đi công tác bên ngoài nhưng để bảo đảm tính an toàn, bạn cần ghi nhớ vài nguyên tắc.

    Bạn thử hình dung tình huống sau: Đang ngồi tại quán với chiếc máy tính xách tay (MTXT) cùng ly cà phê sữa và bạn muốn xem các dự báo về tình hình kinh doanh, dự báo tài chính hàng quý. Bạn truy cập vào dịch vụ Wi-Fi của quán cà phê và in ra một vài thông tin các đặc tả kỹ thuật của một sản phẩm quan trọng nào đó.

    "Trộm" trong mạng Wi-Fi mở


    Hình 1: Sử dụng WPA2 hay các loại mã hóa có mật khẩu khác và chia sẻ mật khẩu này cho mọi người dùng.

    Mạng Wi-Fi mở? Là mạng Wi-Fi cho phép nhiều người truy cập vào mạng mà không áp dụng một biện pháp bảo mật nào.

    Hiện nay, hầu hết người dùng có ít kiến thức về máy tính đều biết cách (và lý do) để bảo vệ mạng không dây của mình. Windows 7 và Vista có một hộp thoại để cảnh báo khi bạn kết nối đến mạng Wi-Fi không được mã hóa.

    Trong các quán cà phê, phòng chờ sân bay hay thư viện, người dùng có thể kết nối mà không cần suy nghĩ - sử dụng kết nối Wi-Fi không được mã hóa để xem kết quả chung cuộc của trận bóng hay lịch bay có thể tạm chấp nhận được. Tuy nhiên nếu dùng kết nối này để đọc e-mail hay thực hiện các thao tác trên web có yêu cầu đăng nhập giữa chốn đông người thì nên thận trọng.

    Vậy tại sao, thông thường các doanh nghiệp không mã hóa các mạng Wi-Fi của họ? Câu trả lời nằm ở hệ thống phân phối khóa theo đặc tả kỹ thuật của IEEE 802.11: Để mã hóa, chủ sở hữu mạng hay nhà quản trị cần phải chọn mật khẩu – còn gọi là "chìa khóa" cho mạng. Mật khẩu của mỗi mạng phải được chia sẻ cho tất cả người dùng dù “chủ mạng” chọn mức bảo mật nào - WEP kém an toàn hay WPA hay WPA2 (xem thêm bài viết ID:A1006_131) an toàn hơn. Ở nhà, bạn thiết lập mật khẩu và thông báo cho các thành viên trong gia đình mật khẩu này là có thể an tâm về tính bảo mật. Còn tại quán cà phê, nhân viên của quán sẽ phải hướng dẫn cho mỗi khách hàng mật khẩu của mạng Wi-Fi và đôi khi còn phải khắc phục sự cố kết nối, một việc mà các nhân viên không hề hứng thú. Trong trường hợp này, không cần gõ mật khẩu (mật khẩu rỗng) là cách dễ sử dụng nhất.

    Tuy nhiên, ngay cả mạng được mã hóa cũng không thể đảm bảo an toàn tuyệt đối. Một khi máy tính của bạn được nhập mật khẩu, việc trao đổi thông tin của bạn có thể chỉ an toàn với những người dùng không cùng mạng; tất cả những khách hàng khác trong quán cà phê đều có thể theo dõi đường đi thông tin của bạn bởi họ đang sử dụng cùng mật khẩu mạng.

    Khai thác thông tin cá nhân

    Điều gì sẽ xảy ra nếu bạn nghĩ rằng dữ liệu của mình không quan trọng để ai đó "dòm ngó"? Có thể bạn chỉ duyệt web, không cần đăng nhập vào các hệ thống e-mail hay các ứng dụng web có yêu cầu mật khẩu. Khi đó bạn chắc mình được an toàn? Mọi việc không hẳn như vậy.

    Thử hình dung, bạn sử dụng mạng Wi-Fi trong sân bay khi vừa trở về từ chuyến trình diễn sản phẩm thương mại nào đó. Thay vì kiểm tra hàng trăm e-mail đang chờ nhưng tại đây bạn chỉ vào trang web của đối thủ cạnh tranh, để tìm kiếm các ý tưởng.

    Tuy nhiên, phần mềm duyệt e-mail của bạn phát hiện có một kết nối Internet và bắt đầu tải e-mail của bạn về. Một đồng nghiệp của bạn tại văn phòng chính thấy trạng thái IM của bạn đổi thành "online" và gửi cho bạn một tin nhắn "đáng sợ" – "Huge problem @factory. Possible recall. Call Bob ASAP" (tạm dịch "Có vấn đề nghiêm trọng với công ty. Gọi cho Bob ngay khi có thể"). 

    Không cần trang bị nhiều thứ phức tạp ngoài một phần mềm phân tích gói dữ liệu Wi-Fi, kẻ tấn công ở gần chỗ bạn có thể "lượm lặt" các tin tức nhạy cảm dựa trên các trang web mà bạn truy cập và ngay cả tin nhắn (IM) thường không được mã hóa; đó là chưa kể các vấn đề về quan hệ của bạn với các đối tác quan trọng. Nói ngắn gọn, người khác sẽ có thể đọc các trao đổi riêng tư của bạn trước cả bạn.

    Sử dụng Webmail

    Hình 2: Tiện ích Wireshark giúp bạn khắc phục các sự cố mạng nhưng nó cũng là “đồ nghề” của những kẻ thu thập thông tin riêng tư của bạn.

    Trước tiên, để tránh tình trạng "rình mò" e-mail, bạn hãy sử dụng hệ thống Webmail giao thức HTTPS cho toàn phiên làm việc. Hầu hết hệ thống Webmail đều sử dụng giao thức HTTPS khi yêu cầu bạn đăng nhập, vì vậy mật khẩu của bạn sẽ được truyền đi một cách an toàn. Tuy nhiên, sau khi xác thực, chúng thường được chuyển trở lại giao thức HTTP để giảm tải cho các máy chủ và phục vụ cho việc quảng cáo dễ dàng hơn.

    Điều đó có nghĩa là ai đó trên cùng mạng Wi-Fi (không được mã hóa hay có mật khẩu chia sẻ) đều có thể đọc nội dung e-mail của bạn. Trong một số trường hợp, họ có thể lấy trộm thông tin và đăng nhập vào Webmail của bạn mà không cần mật khẩu (việc cần làm là phải "Logout" mỗi khi muốn thoát khỏi hệ thống).

    Hai ngoại lệ đáng lưu ý là Gmail và hệ thống e-mail công ty của bạn (chẳng hạn Outlook Web Access). Đầu năm ngoái, Gmail đã chuyển từ HTTPS chỉ khi đăng nhập sang HTTPS trong toàn phiên giao dịch của Webmail.

    Trước đây người dùng Google Apps cũng có thể chọn tính năng này, hiện nay nó được thiết lập mặc định nhưng vẫn cho phép hủy bỏ nếu ai đó không "thích" bảo mật. 

    Được kết hợp với thuật toán phát hiện đăng nhập nghi ngờ (suspicious-login detection algorithms) mới của Google, thay đổi này làm cho Gmail trở nên vượt trội so với các nhà cung cấp Webmail miễn phí khác. Nếu bạn đang muốn chuyển các tài khoản AOL, Hotmail hay Yahoo của mình sang nhà cung cấp Webmail khác thì có thể chọn Gmail.

    Hệ thống Webmail trong công ty bạn cũng có thể được bảo vệ bằng HTTPS ở mọi thời điểm vì đây là cấu hình mặc định trong hầu hết hệ thống. Tuy nhiên, cần lưu ý rằng, nếu bạn kiểm tra các thư điện tử cho công việc của mình bằng cách sử dụng phần mềm nội bộ (Outlook, Thunderbird, mail của hệ điều hành Mac) thay vì e-mail nền web giao thức HTTPS, thì bạn có thể sử dụng hay không sử dụng mã hóa.

    Hotspot thu phí: Chưa chắc đã an toàn

    Qua khảo sát tại Mỹ, tạp chí PC World Mỹ nhận thấy có chung một quan niệm sai lầm của những khách hàng hay tới quán cà phê hoặc khách lữ hành, đó là, các hotspot thương mại yêu cầu trả phí theo giờ hay tháng (AT&T, Boingo, GoGo, T-Mobile) sẽ an toàn hơn các hotspot (ID:A0911_100) miễn phí vì chúng sử dụng mật khẩu và thu phí.

    Nhưng thực tế, các hotspot này hầu như không được mã hóa và chỉ dựa vào "captive Web Portal" (tạm dịch "cổng thông tin điện tử Web bị khống chế"), tức muốn truy cập web, người dùng phải có mật khẩu thuê bao (trả phí).


    Hình 3: Thiết lập mặc định của Gmail là sử dụng giao thức https để dữ liệu luôn an toàn.

    Dù "cổng" thông tin điện tử Web này thường được chuyển qua giao thức HTTPS (để bảo vệ các thông tin thẻ tín dụng hay mật khẩu), nhưng tất cả thông tin xác thực trên mạng Wi-Fi đều không được mã hóa. Kết quả là bạn phải trả phí hàng tháng nhưng thông tin không được an toàn. 

    Trong thực tế, do tính chất của việc truyền sóng vô tuyến, nên một người nào đó dù không phải chủ thuê bao vẫn có thể xem được những thông tin gửi đi không được mã hóa của bạn bằng cách kết nối vào cùng một tên mạng Wi-Fi với bạn.

    Điều này có nghĩa là người bên ngoài có thể dễ dàng quan sát và lấy thông tin của các trang web giao thức HTTP mà bạn truy cập, mọi e-mail POP3 không mã hóa hay truyền dữ liệu qua FTP. Ngoài ra, các hacker có một chút kinh nghiệm có thể "giả danh" card Wi-Fi của họ thành card Wi-Fi của bạn để truy cập miễn phí qua hotspot bạn thuê (tất nhiên là bạn phải trả phí hàng tháng).

    Sử dụng VPN 

    Nếu công ty cung cấp kết nối VPN (mạng riêng ảo, tham khảo ID:A1001_92) để truy cập Internet thì bạn nên sử dụng chức năng này khi truy cập Internet từ các điểm truy cập Wi-Fi công cộng có đăng ký hay miễn phí. Bằng cách kích hoạt chức năng VPN trên MTXT, bạn sẽ bảo đảm tất cả việc truyền thông của mình được mã hóa ở mức cao và được tạo đường hầm từ các hotspot, qua Internet đến trung tâm dữ liệu của công ty, nơi nó được giải mã và được gửi ra kết nối Internet của công ty.

    Phương pháp này hỗ trợ việc truy cập tài nguyên công ty (mạng nội bộ, e-mail, cơ sở dữ liệu) một cách an toàn vì bạn đã có một đường hầm riêng nối đến công ty của mình. Trong một số cấu hình VPN của nhiều công ty, bạn có thể duyệt Internet ngoài việc truy cập tài nguyên công ty.

    Kỹ thuật này có thể làm tốc độ chậm hơn so với việc duyệt web không mã hóa nhưng tăng tính bảo mật. Ngoài ra, nếu bạn đi qua các nước (chẳng hạn, Trung Quốc hay Ai Cập) có giới hạn việc truy cập Internet, bạn có thể chuyển sang kết nối VPN của Mỹ mới có thể truy cập được vào các trang web của nước này. 

    Nếu công ty không cung cấp dịch vụ VPN hay có một VPN "split tunneling" (trong đó, chỉ các yêu cầu gửi đến tài nguyên công ty được đi qua đường hầm mã hóa, còn lại tất cả lưu lượng khác được truyền tải không mã hóa trực tiếp đến đích), không phải lo lắng vì bạn vẫn có thể được bảo vệ an toàn.

    Hình 4: Sử dụng phần mềm cá nhân ảo Hotspot Shield miễn phí trên MTXT để bảo vệ và mã hóa dữ liệu cá nhân.

    Hãy thử sử dụng HotSpot Shield - một dịch vụ VPN miễn phí của AnchorFree. Đây là công ty chuyên cung cấp phần mềm VPN, cho phép cài đặt trên MTXT trước khi sử dụng Wi-Fi công cộng. Khi kích hoạt phần mềm và dịch vụ, phần mềm sẽ mã hóa lưu lượng và gửi qua đường hầm đến trung tâm dữ liệu HotSpot Shield, sau đó gửi ra Internet, giống như cách máy chủ VPN của công ty thực hiện. Ngoài ra, HotSpot Shield còn có các thiết lập VPN di động (không cần tải về) để bảo vệ việc lướt web của bạn trên iPhone bằng phần mềm VPN máy khách (VPN Client) của Cisco do Apple cung cấp.

    Bằng cách sử dụng dịch vụ như vậy, bạn có thể tạo một kết nối an toàn khi truy cập Wi-Fi tại bất kỳ nơi nào. Khi đó, gói tin của bạn sẽ được gửi đi dưới dạng không mã hóa đến đích cuối cùng trên Internet, cứ như thể bạn đang duyệt web từ MTXT được cắm trực tiếp vào trung tâm dữ liệu của công ty.

    Cách thức này không đảm bảo an toàn một cách tuyệt đối vì đường hầm mã hóa không có khả năng kiểm soát được tất cả các phương pháp truy cập web của bạn. Mặc dù vậy, nó chắc chắn an toàn hơn thiết lập không VPN.

    Truy cập Wi-Fi an toàn

    Để truy cập Wi-Fi công cộng an toàn, bạn có thể thực hiện các bước sau:

    1. Nếu công ty bạn có một VPN, bạn có thể sử dụng để lướt web.

    2. Nếu không thể sử dụng VPN công ty, hãy sử dụng HotSpot Shield để thay thế.

    3. Không đánh đồng việc đăng ký Wi-Fi Internet có thu phí với việc duyệt web an toàn.

    4. Trên các mạng không dây không được mã hóa, bất cứ ai cũng có thể thấy bạn đang truy cập (trừ các trang web sử dụng giao thức HTTPS).

    5. Trên các mạng không dây được mã hóa, bất cứ ai có mật khẩu cũng đều có thể thấy nơi bạn đang truy cập (có thể là một vài người trong nhà bạn hoặc là hàng trăm người tại sân bay).

    6. Nếu bạn phải sử dụng Wi-Fi công cộng mà không có VPN, thì đừng nên truy cập bất kỳ trang web nào mà bạn không muốn “vô số” người khác cũng nhìn thấy. 

    ID: A1007_126