• Thứ Hai, 08/12/2008 07:34 (GMT+7)

    10 chiêu bảo mật

    Hầu hết các cuộc tấn công trên mạng chỉ nhắm vào vài điểm yếu không khó che chắn trên PC. Làm theo các thủ thuật đơn giản ở đây sẽ giúp máy tính của bạn an toàn hơn.

    Tin tặc, những kẻ phát tán thư rác và lừa đảo trên mạng có thể gian manh nhưng hầu hết không phải là thiên tài. Chúng chỉ khai thác những lỗ hổng bảo mật đã biết mà người dùng không chịu cập nhật bản vá, hoặc lợi dụng sự thiếu hiểu biết của người dùng khi thực hiện những việc đã được nhiều lần khuyến cáo là không nên.

    May mắn thay, bạn cũng không cần phải là thiên tài để chặn đứng những cuộc tấn công thông thường này. Thực hiện vài chỉnh sửa đơn giản là bạn sẽ tránh được hầu hết rắc rối.

    1. Vá điểm đen của phần mềm

    Công cụ kiểm tra của Secunia nhận diện phần mềm đã lâu không được cập nhật có thể gây nguy hiểm cho hệ thống của bạn và tải về các bản vá.

    Bạn từng tắt tính năng tự động cập nhật trong Windows và các chương trình khác bởi vì “nếu nó không hỏng thì không sửa”?. Đó không phải là thói quen tốt và các chương trình có thể bị hỏng mà bạn không biết. Một trang web bị “thôn tính” – phương tiện tấn công của tội phạm số hiện đại – sẽ kích hoạt một loạt tấn công thăm dò PC của bạn, và nếu nó tìm ra một điểm yếu chưa vá thì chỉ có chương trình chống virus “mấp mé hoàn hảo” may ra bảo vệ được bạn.

    Tuy nhiên, bạn có thể chặn hầu hết các kiểu tấn công trên web bằng cách cập nhật thường xuyên tất cả chương trình của mình. Tấn công mạng thường săn tìm lỗ hổng trong những ứng dụng vô thưởng vô phạt như QuickTime và WinZip cũng như trong Windows và Internet Explorer (IE). Vì vậy hãy bật tính năng tự động cập nhật cho bất kỳ phần mềm nào có dịch vụ này; đây là cách nhanh nhất và dễ dàng nhất để có được các bản vá.

    2. Tìm các lỗ hổng khác

    Nếu mọi chương trình đều có tính năng cập nhật tự động dễ dàng thì việc kinh doanh malware vốn dĩ đang làm ăn phát đạt sẽ gặp khốn đốn. Trong khi chờ đến lúc được như vậy, bạn có thể dùng ứng dụng bảo mật đơn giản, miễn phí của Secunia để tiết kiệm công sức.

    Personal Software Inspector (PSI) của Secunia (find.pcworld.com/61727) quét hệ thống và thông báo cho bạn biết những chương trình lâu rồi chưa cập nhật có thể gây nguy hiểm cho PC. Với mỗi chương trình “lạc hậu”, PSI cung cấp các nút hành động nhanh và tiện lợi như “Download Solution”, nút này sẽ tự động tải về bản vá mới nhất cho phần mềm mà không cần bạn mở trình duyệt.

    3. Khôn hơn malware

    Nếu một lỗ hổng đã được sửa, PC của bạn nên có bản vá đó. Hãy bật tính năng Auto Updates.

    Các chương trình chống virus dựa trên dữ liệu nhận dạng truyền thống đứng trước nguy cơ bị cơn bão malware hiện nay vùi lấp, và việc phòng vệ của bạn có thể cần đến một ít trợ giúp từ bên ngoài. ThreatFire (find.pcworld.com/61696), chương trình miễn phí của PC Tools, cung cấp thêm một lớp phòng vệ có khả năng nhận diện được đến 90% mẫu malware dựa trên hành vi. Lưu ý: nếu bạn dùng chương trình AVG Free Antivirus, hãy khoan thử ThreatFire cho đến khi PC Tools đưa ra phiên bản mới. Phiên bản 3.5 hiện tại “đụng” với AVG; PC Tools đang tìm cách khắc phục vấn đề này.

    Muốn có khả năng phân tích dựa trên hành vi và phát hiện virus tốt hơn, hãy xem bài “Khi dữ liệu nhận dạng không đủ” (ID: A0706_110).

    4. Cứu hộp thư khỏi spam

    Các bộ lọc thư rác (spam) ngày càng tốt hơn, nhưng ngay cả bộ lọc tốt nhất vẫn để lọt thư rác. Để khỏi phải tốn công xoá từng thư rác, hãy thử khai thác địa chỉ email dùng 1 lần.

    Dịch vụ Plus thu phí 20USD/năm của Yahoo Web Mail bao gồm dịch vụ email dùng 1 lần AddressGuard (cùng các tiện ích khác). Với dịch vụ này, bạn có thể tạo nhanh địa chỉ email dùng 1 lần cho bất kỳ site nào.

    Người dùng Gmail có thể thêm “+ thông tin bất kỳ” vào địa chỉ email thông thường của mình. Nhưng nếu địa chỉ đó bắt đầu lôi kéo spam, bạn phải tạo một bộ lọc để chặn tất cả thư gửi đến địa chỉ đó.

    Một giải pháp miễn phí khác là Spamgourmet.com, dịch vụ này cho phép bạn tạo các địa chỉ dùng 1 lần và sẽ chuyển tiếp thư đến địa chỉ email thường dùng của bạn.

    5. Chống đỡ với trình duyệt mới nhất


    Các trang web bị thôn tính âm thầm hầu như không thể phát hiện. Và những đoạn mã độc “vô hình” cấy trên các site hợp lệ có thể kích hoạt các cuộc tấn công phá hoại. Tuy nhiên, tính năng chặn site trong các trình duyệt Firefox 3 và Opear 9.5 mới phát hành có thể che chắn cho bạn. Tính năng chống website lừa đảo (phishing) trong hai phiên bản trình duyệt mới này cũng được cải tiến. Tuy không trình duyệt nào loại trừ hoàn toàn rủi ro khi bạn viếng thăm những site có chứa mã độc, nhưng có thể giảm thiểu phần nào.

    Microsoft dự định bổ sung tính năng tương tự vào IE 8, phiên bản này chưa hoàn tất.

    6. Tránh “đòn” tâm lý

    Cài đặt tiện ích Uploader để sử dụng VirusTotal thường xuyên dễ dàng.

    Những tội phạm nguy hiểm nhất dùng các phương thức tiếp thị thông minh khiến bạn tự lây nhiễm cho PC của mình. Với các thông điệp hấp dẫn hay có tính cảnh báo, các cuộc tấn công dùng kỹ thuật xã hội này có thể “dụ” bạn mở hay tải về tập tin đính kèm trong email.

    Để chống đỡ, hãy dùng công cụ đơn giản nhưng hiệu quả VirusTotal.com. Bạn có thể dễ dàng tải lên tập tin bất kỳ (cho phép dung lượng đến 10MB), và 35 cơ chế chống virus của VirusTotal – bao gồm các cơ chế của Kaspersky, McAfee và Symantec – sẽ quét kiểm tra tập tin đó. Sau đó VirusTotal sẽ đưa ra báo cáo cho bạn biết kết quả kiểm tra của từng cơ chế đối với tập tin. Một kết quả sạch từ VirusTotal không đảm bảo rằng tập tin đó an toàn, nhưng phần nào cải thiện sự an tâm.

    Nếu thường dùng VirusTotal (đây cũng là thói quen tốt), bạn có thể tải về trình VirusTotal Uploader miễn phí để thực hiện công việc đơn giản hơn. Sau khi cài đặt tiện ích này, bạn chỉ việc nhấn phải lên tập tin và lập tức sẽ nhìn thấy một tuỳ chọn (dưới mục ‘Send To’) để tải tập tin lên trang chủ VirusTotal.

    5 TIỆN ÍCH MẬT KHẨU CHẠY KHÔNG CẦN CÀI

    Các trình quản lý mật khẩu (password) rất có ích khi bạn có nhiều tài khoản. Tuy nhiên có 1 vấn đề: nếu không ngồi tại máy tính có cài đặt phần mềm quản lý password, bạn không thể truy cập thông tin riêng của mình. Thật may, có giải pháp thay thế. Cả 5 tiện ích password dưới đây đều có thể chạy từ thiết bị đi động (như bút nhớ) hoặc từ web.

    RoboForm
    Roboform (www.roboform.com) là một trong những trình quản lý password nổi tiếng, nhưng phần mềm giá 30USD này (có phiên bản miễn phí chỉ quản lý 10 password) thường gắn chặt với 1 máy tính. RoboForm có khả năng truy cập đến GoodSync.com để đồng bộ các tập tin tài khoản cho nhiều hệ thống, nhưng việc này yêu cầu truy cập mạng Windows, FTP hay WebDAV. Việc thiết lập cho phần mềm này làm việc với các máy tính qua Internet – như các máy tính ở nhà và nơi làm việc – có thể khó khăn.
    Thay vì vậy, bạn có thể dùng tiện ích miễn phí FolderShare (www.foldershare.com) của Microsoft để đồng bộ thư mục mà RoboForm lưu giữ các tập tin tài khoản: My Documents\My RoboForm Data\Default Profile. Các tập tin mới được tạo sẽ tự động truyền nhận giữa các máy tính, tuy bạn có thể phải khởi động lại RoboForm để nhìn thấy tài khoản mới được tạo trên một máy tính khác.

    PassPack
    Dịch vụ lưu trữ trực tuyến mới nhất này cho phép các website khắc phục điều mà lâu nay trái quy tắc bảo mật: lưu trữ trực tuyến tất cả tên đăng nhập (username) và password của bạn. Ngoài việc đăng nhập site, PassPack (passpack.com) còn dùng khóa riêng (“Packing Key”) để mã hoá dữ liệu lưu tạm thông tin tài khoản của bạn. Sau khi tải về và giải mã, dữ liệu tạm đó chỉ cư ngụ trên PC của bạn đang dùng cho đến khi bạn cất đi, lúc này dữ liệu tạm sẽ được mã hoá lần nữa và gửi lại cho PassPack để cất giữ. PassPack không có quyền truy cập khoá riêng, và bạn không thể giải mã các password của mình mà không có khóa riêng này – vì vậy cẩn thận đừng làm mất.
    Bạn có thể dùng PassPack để đăng nhập tự động vào các site, nhưng với vài site có thể nó cần bạn chỉ dẫn. Dịch vụ miễn phí này chỉ cho phép bạn lưu giữ 100 đăng nhập. Tuy PassPack có một số giải pháp chống phishing tốt nhưng có thể bị tấn công đánh cắp password nhắm vào khoá riêng, vì vậy chỉ nên dùng PassPack cho các site ít quan trọng (không liên quan đến tài chính).

    Password Hash
    Một lựa chọn dựa trên trình duyệt sử dụng giải pháp hoàn toàn khác để bảo mật password. Nếu bạn có cài đặt tiện ích PwdHash (Password Hash) cho Firefox và IE, nhấn phím F2 trước khi gõ vào password để chạy password đó qua một số phép tính “băm”.
    Kết quả bạn được một password phức tạp duy nhất truyền đến site cần đăng nhập và không phải lưu ở bất kỳ đâu; trong khi đó, bạn chỉ phải nhớ 1 password. Công cụ này sẽ luôn sinh ra cùng password cho cùng site (miễn là bạn trao cho nó cùng password đầu vào), ngay cả khi bạn dùng 1 trình duyệt hoàn toàn khác. Nếu bạn không thể cài tiện ích này trên máy tính đang dùng, bạn có thể đến www.pwdhash.com để chạy các phép tính thủ công, sau đó bạn có thể đơn giản cắt và dán password kết quả.

    OpenID
    Nếu dùng 1 tài khoản để đăng nhập nhiều site khác nhau có ổn không? Hãy thử dùng OpenID. Trước hết chọn nhà cung cấp OpenID để đăng ký miễn phí, danh sách nhà cung cấp có những tên tuổi lớn như Flickr, Verisign và Yahoo. Sau đó, khi bạn đến site hỗ trợ công nghệ này, cung cấp OpenID của bạn. Bạn sẽ được chuyển đến nhà cung cấp của mình để kiểm tra.
    Sau khi xác minh – yêu cầu bạn cung cấp password hay các chi tiết trong một ảnh – nhà cung cấp này sẽ báo cho site gốc và vậy là bạn được đăng nhập.
    Chưa có nhiều site dùng OpenID, chủ yếu vì hệ thống khá mới này có một vài rủi ro bảo mật, như phishing. Tuy vậy bạn có thể tránh được khá nhiều phiền toái khi cho các site thông thường. Đến openid.net để xem danh sách site và nhà cung cấp hỗ trợ.

    ID Vault
    Bút nhớ của Guard ID (guardid.com) có thể lưu trữ an toàn tất cả dữ liệu tài khoản trực tuyến của bạn, và có thể giúp bảo vệ chống lại phishing bằng cách kích hoạt 1 trình duyệt riêng rút gọn để dùng với các tài khoản tài chính. Tuy dễ dùng nhưng Guard ID không rẻ: giá 50USD cộng thêm phí duy trì 40USD/năm.
    Trước khi có thể dùng thiết bị này với 1 máy tính nào đó, bạn sẽ cần cài phần mềm cho tải về từ web (hỗ trợ Windows XP và Vista). Sau đó bạn có thể thêm các tài khoản từ danh sách các site mua sắm và tài chính có sẵn, hay nhập vào dữ liệu cho các tài khoản khác do bạn xác định.
    Kể từ đó, khi bạn gắn vào bút nhớ, nhấn phải lên biểu tượng của ID Vault ở khay hệ thống và chọn 1 tài khoản, sau khi cung cấp mã số mà bạn chọn khi thiết lập thiết bị, ID Vault sẽ đăng nhập cho bạn.

    7. Tạo thói quen tránh phishing

    Thủ đoạn lừa đảo của phishing nhằm đánh cắp thông tin cá nhân vẫn còn đất sống và sống tốt, tuy nhiên bạn có thể tránh khỏi cái bẫy phishing với những cách thức đơn giản.

    Cách tốt nhất là hạn chế nhấn vào liên kết trong bất kỳ email nào để truy cập đến tài khoản tài chính của bạn. Thay vì vậy, luôn gõ vào địa chỉ URL hay dùng bookmark. Ở mức tối thiểu, bạn có thể sử dụng phiên bản mới nhất của IE, Firefox hay Opera để duyệt web; cả 3 trình duyệt này đều có sẵn tính năng chặn các website lừa đảo đã biết.

    8. Giữ cho website an toàn

    Firefox (tương tự IE và Opera) cảnh báo bạn trước khi vào một trang web xấu.

    Thời buổi hiện nay được xem là nguy hiểm cho việc vận hành website. Web trông thân thiện và mời gọi, nhưng đó là vùng chiến sự.

    Các dịch vụ kiểm tra nhanh chóng và miễn phí dưới đây sẽ phát hiện ra những vấn đề với website và server của bạn. Trước hết, đến Qualys.com để yêu cầu kiểm tra miễn phí cho 1 địa chỉ IP.

    Sau đó tải về công cụ miễn phí Scrawlr của HP (find.pcworld.com/61732). Sau thủ tục cài đặt nhanh chóng, dùng Scrawlr quét site của bạn để tìm các lỗ hổng dạng SQL Injection.

    Kết quả tốt từ hai kiểm tra trên không hoàn toàn đảm bảo site của bạn an toàn, nhưng việc kiểm tra không phải vô ích.

    9. Tạo mật khẩu an toàn nhưng dễ nhớ

    Các chuyên gia khuyên chúng ta nên dùng mật khẩu (password) duy nhất và khó dò cho các tài khoản của mình. Nhưng họ không nói cho chúng ta biết làm cách nào để nhớ các password đó - và trong thực tế, hầu hết chúng ta đều dùng cùng một password không thật sự an toàn cho tất cả tài khoản.

    Cách khắc phục dễ dàng dưới đây cho phép bạn nhớ chỉ một password nhưng vẫn có được password duy nhất và phức tạp cho từng site. Tiện ích Password Hash (hay PwdHash) bổ sung cho Firefox và IE (find.pcworld.com/61698) nhận password đơn giản mà bạn gõ vào và sau đó dùng một thuật toán có sử dụng tên miền của site để tính toán và biến đổi thành password phức tạp. Tất cả những gì bạn phải làm (sau khi cài đặt Password Hash) là nhấn phím F2 trong hộp password trước khi gõ.

    10. Trợ giúp từ bên ngoài

    Nếu bạn nghi ngờ một virus hay trojan horse vượt qua hàng rào phòng vệ của mình, đó là lúc cần thêm sự trợ giúp. Nhiều hãng phát triển công cụ chống virus cung cấp công cụ kiểm tra trực tuyến dễ dàng và miễn phí thông qua trình duyệt web. Dưới đây là một danh sách 5 lựa chọn phổ biến nhất.

    BitDefender Online Scanner: phát hiện và gỡ bỏ malware; yêu cầu IE.

    ESET Online Scanner: phát hiện và gỡ bỏ malware; yêu cầu IE.

    F-Secure Online Virus Scanner: phát hiện và gỡ bỏ malware; yêu cầu IE.

    Kaspersky Online Scanner: phát hiện nhưng không gỡ bỏ malware; làm việc với cả Firefox và IE.

    Trend Micro HouseCall: phát hiện và gỡ bỏ malware; làm việc với cả Firefox và IE.

    LỖ HỔNG BẢO MẬT CÓ MÀU GÌ?

    Các cuộc tấn công máy tính trong không gian không còn là chuyện viễn tưởng: gần đây, các MTXT ở trạm không gian quốc tế (ISS) đã bị nhiễm virus. NASA (cơ quan hàng không và vũ trụ của Mỹ) cho rằng một malware đánh cắp password nhắm đến các game trực tuyến có thể đã lây nhiễm các MTXT qua bút nhớ USB mà một trong những phi hành gia đã mang theo. Tuy malware này không thật sự nguy hiểm, nhưng cho thấy rằng không ở đâu tuyệt đối an toàn.
    Một lỗi trong hệ thống Image Color Management (ICM) của Windows hầu như bị bỏ quên cho phép kẻ xấu kiểm soát PC của bạn nếu bạn xem 1 bức ảnh “bẩn” được hiển thị trên một trang web hoặc được nhúng trong một tài liệu Office hay email. Đây là một trong 19 lỗ hổng mà vì đó Microsoft đã phải đưa ra 6 “miếng vá” quan trọng. Đoạn mã ICM (nhằm đảm bảo màu sắc hiển thị đúng đắn trên các thiết bị khác nhau) không an toàn hiện diện trong Windows 2000 Service Pack 4 (SP4), XP SP3 và Windows Server 2003. Vista thì an toàn.
    Thật may, Microsoft đã cung cấp bản vá thông qua dịch vụ cập nhật tự động (Automatic Updates) trước khi những cuộc tấn công thực sự nổ ra. Bạn cũng có thể tải về bản vá này từ địa chỉ find.pcworld.com/61650.

    Lỗi trình duyệt
    Một bản vá khác có nhiệm vụ bịt kín 5 lỗ hổng quan trọng trong IE. Cả IE 6 và IE 7 ở tất cả phiên bản Windows đều có thể bị tấn công, từ Windows 2000 SP4 đến Vista SP1. Các lỗi này cho phép tấn công PC thông qua các trang web hay banner độc. Bọn tội phạm đã đưa lên mạng mã khai thác một trong các lỗ hổng này, nhưng chưa có cuộc tấn công thực sự nào. Trước khi điều đó xảy ra, hãy tải về bản vá từ Automatic Updates hay find.pcworld.com/61653.
    IE không phải là trình duyệt duy nhất có nguy cơ: về những lổ hỗng của bản cập nhật Opera 9.51 tháng rồi, công ty phát triển trình duyệt này đã đưa ra 7 bản vá bảo mật nghiêm trọng khác trong phiên bản 9.52, kèm theo đó là chỉnh sửa cho vấn đề hiển thị Gmail. Opera không có tính năng cập nhật tự động, vì vậy bạn sẽ cần tải về phiên bản mới của trình duyệt này tại find.pcworld.com/61654.

    Lỗi Office
    Trước đây đã có khuyến cáo về một lỗ hổng chưa được vá trong tiện ích Snapshot Viewer của Microsoft dùng cho CSDL Access, lỗ hổng này cho phép tin tặc tấn công bất kỳ ai dùng Access của Office bị lỗi hay IE hiển thị báo cáo từ CSDL. Office 2000, 2002 (XP) và 2003 đều bị nguy cơ này, nhưng Office 2007 thì không.
    Microsoft đã đưa ra bản vá, và đồng thời đóng các lỗ hổng tương tự được phân loại là “nghiêm trọng” cho Excel và PowerPoint 2000, cùng với 3 lỗi nghiêm trọng khác trong Excel và 2 lỗi khác của PowerPoint.
    Còn có 1 bản vá khác cho Office 2000 sửa 5 lỗ hổng bảo mật trong các bộ lọc dùng cho việc nhập các file hình .eps, .bmp và .pict vào Office. Bạn có thể lấy tất cả bản vá bằng cách sử dụng tính năng Automatic Updates, hay tải bản vá cho Snapshot tại find.pcworld.com/61655 và bản vá cho Excel tại find.pcworld.com/61656. Trong khi đó, bản vá cho PowerPoint có tại find.pcworld.com/61657, và bản vá dành cho bộ ứng dụng Office 2000 có tại find.pcworld.com/61658.

    Nguyễn Lê
    PC World Mỹ 11/2008

    ID: A0811_126