Nghệ thuật ẩn mình – Kevin D. Mitnick, Robert Vamosi

Có thể hắn đang chuyển hướng kết nối của bạn đến một proxy để cấy keylogger javascript vào trình duyệt của bạn, và như vậy, khi bạn truy cập vào Amazon, mọi thao tác gõ bàn phím tương tác với website này sẽ bị ghi lại. Có thể hắn được thuê để thu thập các thông tin xác thực của bạn như tên người dùng và mật khẩu. Hãy nhớ rằng thẻ tín dụng của bạn có thể được liên kết với Amazon và các nhà bán lẻ khác.

Trong các buổi thuyết trình, tôi thường có phần minh họa cho thấy tôi có thể chặn tên người dùng và mật khẩu của nạn nhân khi truy cập vào các website sau khi họ kết nối với điểm truy cập giả mạo của mình. Do đứng ở vị trí giữa trong luồng tương tác giữa nạn nhân và website, nên tôi có thể cài JavaScript và khiến các thông báo cập nhật Adobe giả xuất hiện trên màn hình của họ – nếu họ cài đặt theo yêu cầu, máy tính của nạn nhân sẽ bị nhiễm phần mềm độc hại. Mục đích ở đây thường là lừa bạn cài đặt bản cập nhật giả để chiếm quyền kiểm soát máy tính của bạn.

Khi gã khả nghi ngồi ở góc quán cà phê kia tác động đến luồng truy cập Internet, hành vi đó được gọi là tấn công xen giữa (MITM). Kẻ tấn công điều hướng các gói dữ liệu của bạn qua các trang web thực thụ, nhưng chặn hoặc cấy dữ liệu dọc đường di chuyển của chúng.

Vậy là bạn đã biết rằng mình có thể vô tình kết nối với một điểm truy cập Wi-Fi mờ ám, làm thế nào để ngăn chặn điều đó? Máy tính xách tay sẽ thực hiện quá trình tìm kiếm mạng không dây ưu tiên rồi kết nối. Nhưng một số máy tính xách tay và thiết bị di động tự động chọn mạng để tham gia – phương án này nhằm hỗ trợ cho quá trình di chuyển thiết bị di động từ địa điểm này sang địa điểm khác diễn ra suôn sẻ tối đa. Nhưng như tôi đã nói, sự thuận tiện không phải không đi kèm với những nhược điểm.

Theo Apple, các sản phẩm của họ sẽ tự động kết nối mạng theo thứ tự ưu tiên như sau: Mạng riêng tư mà thiết bị kết nối gần đây nhất, một mạng riêng tư khác, và một điểm phát sóng (hotspot).

Thật may là máy tính xách tay có phương tiện xóa các kết nối Wi-Fi lỗi thời – chẳng hạn Wi-Fi ở khách sạn mà bạn kết nối vào mùa hè năm ngoái trong một chuyến công tác. Với máy tính xách tay sử dụng Windows, hãy bỏ chọn trường “Connect Automatically” (Kết nối tự động) bên cạnh tên mạng trước khi bạn kết nối. Hoặc đi đến Control Panel>Network and Sharing Center (Bảng điều khiển>Trung tâm mạng và chia sẻ) và nhấp vào tên mạng. Nhấp vào “Wireless Properties” (Thuộc tính không dây), rồi bỏ chọn “Connect automatically when this network is in range” (Tự động kết nối khi mạng này ở trong phạm vi phủ sóng). Với máy Mac, chuyển đến System Preferences (Tùy chọn hệ thống), đến Network (Mạng), đánh dấu Wi-Fi trên bảng điều khiển bên trái, và nhấp vào “Advanced” (Nâng cao). Sau đó, bỏ chọn “Remember networks this computer has joined” (Nhớ các mạng mà máy tính này đã kết nối). Bạn cũng có thể xóa từng mạng bằng cách chọn tên mạng và nhấn dấu trừ bên dưới.

Các thiết bị Android và iOS cũng có hướng dẫn xóa các kết nối Wi-Fi đã sử dụng trước đây. Với iPhone hoặc iPod, đi tới phần cài đặt, chọn “Wi-Fi,” nhấp vào biểu tượng “i” bên cạnh tên mạng, và chọn “Forget this Network” (Quên mạng này). Với điện thoại Android, đi tới phần cài đặt, chọn “Wi-Fi,” nhấn và giữ ở tên mạng, và chọn “Forget Network” (Quên mạng).

Nói nghiêm túc, nếu bạn thực sự cần phải làm điều gì đó nhạy cảm bên ngoài nhà, tôi khuyên bạn nên sử dụng kết nối di động trên thiết bị di động thay vì mạng không dây tại sân bay hoặc quán cà phê. Bạn cũng có thể kết nối mạng bằng thiết bị di động cá nhân thông qua USB, Bluetooth, hoặc Wi-Fi. Nếu sử dụng Wi-Fi, hãy cài đặt cấu hình bảo mật WPA2 theo hướng dẫn ở phần trước. Một phương án khác là mua thiết bị phát sóng cá nhân (portable hotspot) để sử dụng khi di chuyển. Cũng xin lưu ý rằng cách này sẽ không làm cho bạn vô hình, nhưng là phương án thay thế tốt hơn so với sử dụng Wi-Fi công cộng. Nhưng nếu bạn cần giữ sự riêng tư trước con mắt của nhà mạng di động – ví dụ để tải xuống một bảng tính nhạy cảm – hãy sử dụng HTTPS Everywhere hoặc Giao thức truyền file bảo mật (Secure File Transfer Protocol – SFTP). SFTP được hỗ trợ bằng ứng dụng Transmit trên máy Mac và ứng dụng Tunnelier trên Windows.

Mạng riêng ảo (virtual private network – VPN) là một “đường hầm” bảo mật mở rộng mạng riêng (từ nhà, văn phòng, hoặc nhà cung cấp dịch vụ VPN) đến thiết bị của bạn trên mạng công cộng. Bạn có thể vào Google tìm kiếm các nhà cung cấp VPN và đăng ký mua dịch vụ với giá khoảng 60 đô-la một năm. Các mạng mà bạn tìm thấy tại quán cà phê gần nhà, sân bay, hoặc ở những nơi công cộng khác đều không đáng tin cậy – bởi vì chúng là mạng công cộng. Nhưng bằng cách sử dụng VPN, bạn có thể luồn qua mạng công cộng để quay về với một mạng riêng và an toàn. Mọi hoạt động của bạn trong VPN đều được bảo vệ bằng mã hóa, vì tất cả lưu lượng truy cập Internet của bạn lúc này đều được thực hiện qua mạng công cộng. Đó là lý do tại sao việc sử dụng nhà cung cấp VPN đáng tin cậy là rất quan trọng – bởi họ có thể thấy luồng truy cập Internet của bạn. Khi bạn sử dụng VPN ở quán cà phê, gã khả nghi ngồi ở góc phòng kia chỉ có thể thấy rằng bạn vừa kết nối với một máy chủ VPN và không thấy gì nữa cả – hoạt động của bạn và các website mà bạn truy cập được che giấu hoàn toàn sau lớp mã hóa khó phá giải.

Tuy nhiên, bạn vẫn sẽ tiếp xúc với Internet bằng địa chỉ IP có thể truy nguyên trực tiếp về bạn, trong trường hợp này là địa chỉ IP từ nhà hoặc văn phòng của bạn. Như vậy, bạn vẫn chưa thực sự tàng hình, ngay cả khi sử dụng VPN. Đừng quên, nhà cung cấp VPN biết địa chỉ IP gốc của bạn. Chúng ta sẽ bàn về cách khiến kết nối này tàng hình ở phần sau.

Nhiều công ty trang bị VPN cho nhân viên, cho phép họ kết nối từ mạng công cộng (tức là Internet) tới mạng nội bộ riêng của công ty. Nhưng những người như chúng ta thì sao?

Hiện nay có nhiều dịch vụ VPN thương mại. Nhưng làm thế nào để biết là họ đáng tin cậy? Công nghệ VPN cơ bản là giao thức bảo mật Internet (Internet protocol security – IPsec) tự động bao gồm PFS; nhưng không phải tất cả các dịch vụ – ngay cả dịch vụ dành cho doanh nghiệp – chịu cấu hình nó. OpenVPN, một dự án mã nguồn mở, có cung cấp PFS, như vậy bạn có thể suy luận rằng khi một sản phẩm thông báo rằng nó sử dụng OpenVPN thì nó cũng đồng thời sử dụng PFS, nhưng điều này không phải lúc nào cũng đúng. Sản phẩm có thể không được cấu hình OpenVPN đúng cách. Hãy tìm hiểu để chắc chắn rằng dịch vụ mà bạn sẽ sử dụng có bao gồm PFS.

Một điểm bất lợi là các VPN đắt hơn proxy. Và do các dịch vụ VPN thương mại được dùng chung, nên tốc độ của chúng có thể tương đối chậm, hoặc trong một số trường hợp, bạn phải chờ người khác dùng xong mới có được một cổng VPN để dùng riêng. Một phiền toái khác là trong một số trường hợp, Google sẽ hiển thị CAPTCHA yêu cầu bạn nhập các ký tự có trên màn hình rồi mới cho phép bạn sử dụng công cụ tìm kiếm của nó vì nó muốn đảm bảo bạn là con người chứ không phải là bot[73]. Cuối cùng, nếu nhà cung cấp VPN lưu nhật ký, hãy đọc chính sách bảo mật của họ để đảm bảo rằng dịch vụ này không lưu lại lưu lượng truy cập hoặc nhật ký kết nối của bạn – kể cả những nội dung đã được mã hóa – và rằng họ không dễ dàng chấp nhận chia sẻ dữ liệu với cơ quan thực thi pháp luật. Bạn có thể tìm hiểu điều này trong các điều khoản dịch vụ và chính sách bảo mật. Nếu họ có thể báo cáo các hoạt động cho cơ quan thực thi pháp luật, tức là họ có ghi nhật ký các phiên kết nối VPN.

[73] Bot: Một chương tình máy tính vận hành tự động, đặc biệt nhằm tìm kiếm thông tin trên Internet.

Hành khách đi máy bay sử dụng dịch vụ Internet hàng không như GoGo cũng có nguy cơ tương tự như khi họ vào mạng trong quán cà phê Starbucks hoặc phòng chờ sân bay, và VPN không phải lúc nào cũng là giải pháp tuyệt vời. Vì muốn ngăn chặn Skype hay các ứng dụng gọi thoại khác, GoGo và các dịch vụ mạng hàng không khác hạn chế các gói UDP[74], khiến hầu hết các dịch vụ VPN đều trở nên rất chậm vì UDP là giao thức được sử dụng nhiều nhất theo mặc định. Tuy nhiên, chất lượng mạng sẽ cải thiện đáng kể nếu bạn chọn một dịch vụ VPN sử dụng giao thức TCP thay vì UDP, chẳng hạn như TorGuard hoặc ExpressVPN. Cả hai dịch vụ VPN này cho phép người dùng đặt TCP hoặc UDP làm giao thức ưu tiên.

[74] UDP (User Datagram Protocol – Giao thức dữ liệu người dùng): Một phần trong Giao thức Internet (IP), được các chương trình chạy trên nhiều máy tính khác nhau trên một mạng sử dụng. UDP được dùng để gửi các tin nhắn ngắn gọi là datagram.

Một vấn đề cần lưu tâm khác với VPN là chính sách bảo mật. Cho dù bạn sử dụng VPN thương mại hay VPN do công ty cung cấp, lưu lượng dữ liệu của bạn đều di chuyển qua mạng của VPN đó – đây là lý do tại sao lại cần sử dụng https để nhà cung cấp VPN không thể xem nội dung các liên lạc của bạn.

Nếu bạn làm việc trong một văn phòng, rất có thể công ty bạn sẽ trang bị VPN để nhân viên có thể làm việc từ xa. Trong một ứng dụng trên máy tính cá nhân truyền thống, bạn nhập tên người dùng và mật khẩu (thứ mà bạn biết). Ứng dụng này cũng chứa một chứng chỉ xác minh danh tính do phòng IT đưa vào (thứ bạn đã có), hoặc nó có thể gửi cho bạn một tin nhắn trên điện thoại do công ty trang bị (cũng là thứ bạn đã có). Ứng dụng này có thể kết hợp cả ba kỹ thuật trên thành một quá trình gọi là xác thực đa yếu tố (multifactor authentication).