Nghệ thuật ẩn mình – Kevin D. Mitnick, Robert Vamosi

Lần tới khi bạn ở văn phòng, hãy xem xét những gì có thể được nhìn thấy từ máy quay hội nghị truyền hình. Có lẽ là sơ đồ tổ chức của bộ phận nằm trên tường. Có lẽ màn hình máy tính để bàn của bạn đối diện với phòng hội nghị. Có lẽ hình ảnh của gia đình bạn cũng nằm trong tầm nhìn. Đó là những gì một kẻ tấn công từ xa có thể nhìn thấy và có thể sử dụng chống lại công ty của bạn hoặc thậm chí là cá nhân bạn.

Một số nhà cung cấp hệ thống nhận thức được vấn đề này. Ví dụ, Polycom cung cấp một sách hướng dẫn tăng cường an ninh, và thậm chí hạn chế việc định vị lại máy ảnh. Tuy nhiên, đội IT thường không có thời gian để làm theo các hướng dẫn như thế, và họ thường không coi an ninh là một mối quan tâm. Có hàng nghìn hệ thống hội nghị trên Internet sử dụng cài đặt mặc định.

Các nhà nghiên cứu cũng phát hiện ra rằng các tường lửa của công ty không biết cách xử lý giao thức H.323. Họ đề xuất cho thiết bị này một địa chỉ Internet công cộng và thiết lập một quy tắc cho nó trong tường lửa của công ty.

Rủi ro lớn nhất là nhiều bảng điều khiển quản trị cho các hệ thống hội nghị này không được tích hợp chế độ bảo mật hoặc bảo mật kém. Trong một ví dụ, Moore và nhóm của anh đã có thể truy cập vào hệ thống của một công ty luật, trong đó có sổ địa chỉ, có thông tin phòng họp của một ngân hàng đầu tư nổi tiếng. Các nhà nghiên cứu đã mua một thiết bị hội nghị truyền hình đã qua sử dụng từ eBay, và khi được giao đến, trong ổ cứng của nó vẫn có dữ liệu cũ, bao gồm sổ địa chỉ trên, liệt kê hàng chục số máy cá nhân, trong đó nhiều số được cấu hình để tự động trả lời cuộc gọi đến từ Internet. Như với máy in cũ và máy photo, nếu nó có ổ đĩa cứng, bạn cần xóa dữ liệu khỏi thiết bị trước khi bán hoặc tặng nó.

Trong công việc, đôi khi chúng ta được phân công phối hợp với một đồng nghiệp ở cách mình nửa vòng trái đất. Các file dữ liệu có thể được chia sẻ qua lại qua email của công ty, nhưng đôi khi các file quá lớn nên email không xử lý được. Vì thế, ngày càng có nhiều người sử dụng các dịch vụ chia sẻ file để gửi và nhận các file lớn.

Các dịch vụ dựa trên đám mây này an toàn đến mức nào? Tùy từng trường hợp.

Bốn hãng lớn – iCloud của Apple, Google Drive, OneDrive của Microsoft (trước đây là SkyDrive) và Dropbox – tất cả đều có cơ chế xác thực hai yếu tố. Điều đó có nghĩa là bạn sẽ nhận được một văn bản ngoài dải trên thiết bị di động có chứa mã truy cập để xác nhận danh tính của bạn. Và mặc dù tất cả bốn dịch vụ trên mã hóa dữ liệu trong khi file đang chuyển tiếp, nếu không muốn công ty hoặc NSA đọc được dữ liệu của mình, bạn vẫn phải mã hóa dữ liệu trước khi gửi dữ liệu.

Sự tương đồng chỉ dừng lại ở đó.

Xác thực hai yếu tố (2FA) là quan trọng, nhưng tôi vẫn có thể bỏ qua điều này bằng cách chiếm đoạt các tài khoản không sử dụng. Ví dụ, trong một dự án kiểm định an ninh gần đây, khách hàng của tôi đã thêm 2FA của Google vào website VPN của họ bằng các công cụ có sẵn công khai. Tôi có thể vào đó bằng cách lấy thông tin đăng nhập thư mục hoạt động cho người dùng không đăng ký sử dụng cổng VPN. Vì là người đầu tiên đăng nhập vào dịch vụ VPN, tôi đã được nhắc thiết lập 2FA bằng Google Authenticator. Nếu nhân viên này chưa bao giờ tự mình truy cập dịch vụ, thì kẻ tấn công lẽ ra còn sẽ tiếp tục truy cập vào đó.

Đối với dữ liệu ở trạng thái nghỉ, Dropbox sử dụng mã hóa AES 256 bit (loại mã hóa khá mạnh). Tuy nhiên, Dropbox giữ lại các khóa, vốn có thể cho phép thực hiện truy cập trái phép từ Dropbox hoặc từ cơ quan thực thi pháp luật. Google Drive và iCloud sử dụng mã hóa 128 bit yếu hơn nhiều cho dữ liệu nghỉ. Mối quan tâm ở đây là dữ liệu có thể được giải mã bằng công suất tính toán mạnh. Microsoft OneDrive không bận tâm đến việc mã hóa, khiến người ta không khỏi nghi ngờ rằng đây là một quyết định có chủ ý, có thể là do áp lực từ một số chính phủ.

Google Drive mới công bố tính năng mới là quản lý quyền thông tin (information rights management – IRM). Ngoài các tài liệu, bảng tính, và bản trình bày được tạo trong Google Documents, Google Drive hiện cũng chấp nhận định dạng file PDF và các định dạng file khác. Các tính năng hữu ích bao gồm vô hiệu hóa khả năng tải xuống, in và sao chép cho người nhận xét và người xem. Bạn cũng có thể ngăn mọi người thêm người khác vào file được chia sẻ. Tất nhiên, các tính năng quản lý này chỉ có sẵn cho các chủ sở hữu file. Điều đó có nghĩa là nếu ai đó mời bạn chia sẻ file, người đó phải đặt ra các giới hạn về quyền riêng tư chứ không phải bạn.

Microsoft cũng giới thiệu một tính năng mã hóa theo từng file riêng biệt, tương tự như tính năng mã hóa từng file riêng lẻ bằng khóa riêng của chính file đó. Nếu một khóa bị xâm nhập, chỉ có file đó bị ảnh hưởng chứ không phải toàn bộ dữ liệu lưu trữ. Nhưng tính năng này không phải là mặc định, vì vậy người dùng sẽ phải tạo thói quen tự mã hóa từng file.

Điều này có vẻ như một đề nghị tốt xét về mặt tổng thể. Các nhân viên và người dùng nói chung nên quen với việc mã hóa dữ liệu trước khi gửi lên đám mây. Bằng cách đó, bạn giữ quyền kiểm soát các khóa. Nếu một cơ quan chính phủ đến gõ cửa Apple, Google, Dropbox hoặc Microsoft, các công ty này sẽ không thể giúp đỡ họ được, vì bạn sở hữu các khóa riêng lẻ.

Bạn cũng có thể sử dụng SpiderOak,một nhà cung cấp dịch vụ đám mây khác hẳn các dịch vụ còn lại. SpiderOak là nơi cung cấp đầy đủ các lợi ích của khả năng lưu trữ đám mây và tính năng đồng bộ hóa cùng với 100% sự riêng tư về dữ liệu. SpiderOak bảo vệ dữ liệu người dùng nhạy cảm thông qua xác thực mật khẩu hai yếu tố và mã hóa AES 256 bit để các file và mật khẩu luôn ở chế độ riêng tư. Người dùng có thể lưu trữ và đồng bộ hóa thông tin nhạy cảm với sự riêng tư hoàn toàn, bởi vì dịch vụ đám mây này không biết mật khẩu và dữ liệu.

Nhưng hầu hết người dùng đều sẽ tiếp tục sử dụng các dịch vụ khác mặc cho những rủi ro mà họ phải gánh chịu. Chúng ta thích cái thuận tiện và dễ dàng của việc lấy dữ liệu từ đám mây, và các cơ quan thực thi pháp luật cũng vậy. Một mối quan tâm lớn về việc sử dụng đám mây là dữ liệu của bạn không có được sự bảo vệ từ Tu Chính án thứ Tư như đối với dữ liệu được lưu trữ trong ngăn kéo bàn hoặc thậm chí trên máy tính để bàn. Các cơ quan thực thi pháp luật ngày càng yêu cầu nhận được nhiều hơn các dữ liệu dựa trên đám mây (đây là điều đáng lo ngại). Và họ có thể dễ dàng lấy được quyền truy cập, vì mọi thứ bạn tải lên mạng – dù là dịch vụ webmail, Google Drive, hay Shutterfly – đều đi đến máy chủ thuộc về nhà cung cấp dịch vụ đám mây, không phải thuộc quyền sở hữu của bạn. Sự bảo vệ thực sự ở đây là phải hiểu rằng bất cứ thứ gì bạn đưa lên đám mây đều có thể bị người khác truy cập, theo đó bạn phải có biện pháp khắc phục là mã hóa tất cả trước khi tải lên.

Chương 14:
Ẩn danh là một việc khó

Cách đây vài năm, trên chuyến đi từ Bogota, Colombia trở về Mỹ, và khi đến Atlanta, tôi đã được hai viên chức hải quan lặng lẽ hộ tống vào một căn phòng riêng. Vì đã từng bị bắt, cũng từng trải qua thời gian ngồi tù, nên tôi không có gì hốt hoảng lắm. Tuy vậy, điều này vẫn đáng lo ngại. Tôi không làm gì sai cả. Và tôi ở trong căn phòng đó suốt bốn tiếng, trong khi thời hạn giữ người mà không có lệnh bắt giữ là chín tiếng.

Sự cố bắt đầu khi một nhân viên Hải quan quét hộ chiếu của tôi rồi nhìn chằm chằm vào màn hình. “Kevin,” anh này vừa cười toét miệng vừa nói. “Đoán xem có chuyện gì nào? Một số người ở tầng dưới muốn nói chuyện với anh. Nhưng đừng lo lắng. Mọi thứ sẽ ổn thôi.”

Trước đó, tôi tới Bogota để thuyết trình theo nguồn tài trợ của tờ El Tiempo, đồng thời cũng ghé thăm bạn gái. Trong lúc ngồi chờ trong căn phòng ở tầng dưới, tôi gọi cho cô bạn gái lúc này đang ở Bogota và được biết cảnh sát ở Colombia đã gọi và yêu cầu khám xét một gói hàng mà tôi đã đặt vào trong một thùng chuyển phát nhanh của FedEx để gửi đến Mỹ. “Họ tìm thấy dấu vết của cocaine,” cô ấy nói. Tôi đã biết là không phải như vậy.

Gói hàng chứa một chiếc ổ cứng gắn trong cỡ 4 xăng-ti-mét. Rõ ràng là các nhà chức trách Colombia, hoặc có thể Mỹ, muốn kiểm tra nội dung của ổ đĩa, vốn đã được mã hóa. Cocaine là một cái cớ để họ mở gói hàng. Tôi không bao giờ lấy lại được chiếc ổ cứng của mình.

Sau đó tôi biết được rằng cảnh sát đã xé rách hộp, tháo thiết bị điện tử ra từng mảnh, sau đó phá hủy ổ cứng của tôi trong lúc loay hoay mở thiết bị đó bằng cách khoan một lỗ để dò tìm cocaine. Lẽ ra họ nên dùng loại tuốc-nơ-vít chuyên dụng để mở ổ đĩa. Họ không tìm thấy bất kỳ loại ma túy nào.

Trong khi đó, tại Atlanta, các quan chức đã mở hành lý của tôi và tìm thấy chiếc MacBook Pro, một chiếc máy tính xách tay Dell XPS M1210, một chiếc máy tính xách tay Asus 900, ba hoặc bốn ổ cứng, nhiều thiết bị lưu trữ USB, một số thiết bị Bluetooth, ba chiếc iPhone và bốn chiếc điện thoại di động Nokia (mỗi chiếc có thẻ SIM riêng, vì vậy tôi có thể tránh được phí chuyển vùng trong khi gọi ở các quốc gia khác nhau). Đây là những công cụ tiêu chuẩn trong nghề của tôi.

Cũng trong hành lý của tôi còn có bộ đồ phá khóa và một thiết bị nhân bản có thể đọc và phát lại bất kỳ thẻ HID lân cận nào. Thiết bị nhân bản có thể được sử dụng để lấy thông tin đăng nhập lưu trữ trên thẻ truy cập bằng cách đặt nó ở gần chúng. Ví dụ, tôi có thể giả mạo thông tin thẻ của một người để truy cập các hệ thống mà không phải tạo thẻ giả. Tôi có những thứ này bởi vì tôi đã thực hiện một bài thuyết trình quan trọng về an ninh ở Bogota. Đương nhiên, mắt của các nhân viên hải quan sáng rực lên khi họ nhìn thấy chúng, họ nghĩ tôi có ý đồ gì – ví dụ như quét trộm thẻ tín dụng chẳng hạn, chỉ có điều các thiết bị này không thể làm được việc đó.