Tails là một hệ điều hành có thể được khởi động trên bất kỳ máy tính hiện đại nào nhằm tránh để lại các dữ liệu có thể phục hồi trên ổ đĩa cứng, đặc biệt là ổ cứng chống ghi. Tải Tails lên đĩa DVD hoặc ổ USB, sau đó đặt phần mềm BIOS hoặc trình tự khởi động ban đầu EFI (OSX) cho DVD hoặc USB để khởi động phiên bản Tails. Khi bạn khởi động, Tails sẽ khởi động hệ điều hành với một số công cụ bảo mật, bao gồm cả trình duyệt Tor. Các công cụ bảo mật cho phép bạn mã hóa email bằng PGP, mã hóa USB và ổ đĩa cứng, đồng thời bảo mật email bằng OTR.
Nếu bạn muốn mã hóa các file riêng lẻ thay vì toàn bộ ổ cứng của mình, có một số lựa chọn. TrueCrypt, một phương án miễn phí, vẫn tồn tại nhưng không còn được duy trì và không cung cấp mã hóa toàn bộ đĩa. Bởi vì nó không còn được duy trì, các lỗ hổng mới sẽ không được giải quyết. Nếu bạn tiếp tục sử dụng TrueCrypt, hãy lưu ý những rủi ro. Một tùy chọn thay thế cho TrueCrypt 7.1a là VeraCrypt, đó là sự tiếp nối của dự án TrueCrypt.
Cũng có một số chương trình mất phí. Một trong những chương trình nổi bật là Windows BitLocker, thường không được bao gồm trong các phiên bản home của hệ điều hành Windows. Nếu được cài đặt BitLocker, để kích hoạt chương trình này, hãy mở File Explorer, nhấp chuột phải vào ổ C và cuộn xuống tùy chọn “Turn on BitLocker” (Bật BitLocker). BitLocker tận dụng lợi thế của một chip đặc biệt trên bo mạch chủ của bạn được biết đến như một mô-đun nền tảng đáng tin cậy, gọi tắt là TPM. Nó được thiết kế để mở khóa mã hóa chỉ sau khi xác nhận rằng chương trình bộ nạp khởi động của bạn chưa bị sửa đổi. Đây là một sự bảo vệ hoàn hảo chống lại những cuộc tấn công ác ý (tôi sẽ mô tả ngắn gọn về nó ở phần sau). Bạn có thể đặt BitLocker để mở khóa khi bật hoặc chỉ khi có mã PIN hoặc USB đặc biệt mà bạn cung cấp. Các lựa chọn mã PIN hoặc USB an toàn hơn nhiều. Bạn cũng có tùy chọn lưu khóa vào tài khoản Microsoft. Đừng làm điều đó, bởi vì nếu bạn làm như vậy, ít hay nhiều bạn sẽ giao cho Microsoft các chìa khóa của bạn (như bạn sẽ thấy, điều này có thể xảy ra).
Có một số vấn đề với BitLocker. Đầu tiên, nó sử dụng một bộ tạo chuỗi số giả ngẫu nhiên (pseudorandomnumber generator – PRNG) gọi là Dual_EC_DRBG, viết tắt của bộ tạo bit tất định ngẫu nhiên đường cong elíp kép, điều này có thể chứa một cánh cửa hậu cho NSA. Nó cũng thuộc sở hữu tư nhân, nghĩa là bạn chỉ có thể tin vào lời hứa của Microsoft rằng nó hoạt động và nó không có bất kỳ cửa hậu nào cho NSA – điều này sẽ không xảy ra với những phần mềm nguồn mở. Một vấn đề khác với BitLocker là bạn phải chia sẻ khóa với Microsoft trừ khi bạn mua với giá 250 đô-la. Nếu không, cơ quan thực thi pháp luật có thể đòi khóa từ Microsoft.
Bất chấp các hạn chế này, Tổ chức Biên giới Điện tử vẫn khuyên những người tiêu dùng bình thường nên sử dụng BitLocker nếu họ muốn bảo vệ dữ liệu. Tuy nhiên, hãy lưu ý rằng cũng có một cách để bỏ qua BitLocker.
Một phương án thương mại khác là PGP Whole Disk Encryption (mã hóa toàn bộ ổ đĩa) của Symantec. Rất nhiều trường đại học cũng như doanh nghiệp sử dụng sản phẩm này. Tôi cũng từng sử dụng nó. PGP Whole Disk Encryption do Phil Zimmermann tạo ra, đây cũng là người đã tạo PGP cho email. Giống như BitLocker, PGP có thể hỗ trợ chip TPM để cung cấp xác thực bổ sung khi bạn bật máy tính cá nhân của mình. Một bản quyền vĩnh viễn được bán với giá khoảng 200 đô-la.
Ngoài ra còn có WinMagic, một trong số ít phương thức yêu cầu xác thực hai yếu tố thay vì chỉ một mật khẩu. WinMagic cũng không dựa vào mật khẩu chủ. Thay vào đó, các tệp được mã hóa được nhóm lại và mỗi nhóm có một mật khẩu. Điều này có thể khiến cho việc khôi phục mật khẩu trở nên khó hơn, vì vậy nó có thể không phù hợp với mọi người.
Và đối với Apple có FileVault 2. Sau khi cài đặt, bạn có thể kích hoạt FileVault 2 bằng cách mở System Preferences (Tùy chọn Hệ thống), nhấp vào biểu tượng “Security and Privacy” (Bảo mật & Riêng tư) và chuyển sang tab FileVault. Một lần nữa, đừng lưu khóa mã hóa vào tài khoản Apple. Điều này có thể cung cấp cho Apple quyền truy cập vào nó, mà họ theo đó có thể cung cấp cho bên thực thi pháp luật. Thay vào đó, hãy chọn “Create a recovery key and do not use my iCloud account” (Tạo chìa khóa khôi phục và không sử dụng tài khoản iCloud của tôi), sau đó in ra hoặc chép lại chìa khóa 24 ký tự này. Hãy bảo vệ khóa này, vì bất kỳ ai tìm thấy nó đều có thể mở khóa ổ cứng của bạn.
Nếu bạn có iOS 8 hoặc phiên bản mới hơn của hệ điều hành trên iPhone hoặc iPad, nội dung của nó sẽ được mã hóa tự động. Đi một bước xa hơn, Apple đã nói rằng chìa khóa tồn tại trên thiết bị, bên người dùng. Điều đó có nghĩa là chính phủ Mỹ không thể hỏi Apple về chìa khóa: nó là duy nhất cho từng và mọi thiết bị. Giám đốc FBI James Comey tuyên bố rằng rốt cuộc, mã hóa không thể phá vỡ không phải là một điều tốt. Trong một bài phát biểu, ông nói, “Những tên tội phạm tinh vi sẽ tìm đến để dựa vào những phương tiện tránh bị phát hiện. Và câu hỏi của tôi là, sẽ phải trả giá thế nào?” Điều đáng lo ngại ở đây là những thứ xấu xa sẽ bị bưng bít trong sự che chở của mã hóa.
Nỗi lo sợ tương tự đã trì hoãn vụ việc của tôi trong nhiều tháng khi tôi kiệt sức trong tù vào những năm 1990. Nhóm luật sư biện hộ của tôi muốn truy cập vào những phát hiện mà chính phủ dự định sử dụng để chống lại tôi trong phiên tòa. Chính phủ từ chối giao trả bất kỳ file mã hóa nào trừ khi tôi cung cấp khóa giải mã. Tôi đã từ chối. Đến lượt mình, tòa án đã từ chối yêu cầu chính phủ cung cấp thông tin bởi vì tôi không đưa cho họ chìa khóa.
Các thiết bị Android bắt đầu từ phiên bản 3.0 (Honeycomb) cũng có thể được mã hóa. Hầu hết chúng ta chọn không làm như vậy. Từ Android 5.0 (Lollipop), ổ đĩa mã hóa là mặc định trên dòng Nexus của điện thoại Android nhưng là tùy chọn trên điện thoại của các nhà sản xuất khác, chẳng hạn như LG, Samsung, và các hãng khác. Nếu bạn chọn mã hóa điện thoại Android, hãy lưu ý rằng có thể mất tối đa một giờ để làm như vậy và thiết bị của bạn sẽ cần cắm sạc trong quá trình này. Được biết, mã hóa thiết bị di động không gây cản trở đáng kể hiệu suất, nhưng khi đã quyết định mã hóa, bạn không thể hoàn tác nó.
Trong bất kỳ chương trình mã hóa toàn bộ ổ lưu trữ nào, luôn tồn tại khả năng có cửa hậu. Tôi đã từng được một công ty thuê để kiểm tra sản phẩm USB cho phép người dùng lưu trữ các file trong vùng chứa được mã hóa. Trong quá trình phân tích mã, chúng tôi thấy rằng nhà phát triển đã đặt vào một cánh cửa hậu bí mật, chìa khóa để mở khóa hộp chứa mã hóa được chôn giấu ở một vị trí ngẫu nhiên trên ổ USB. Điều đó có nghĩa là bất cứ ai có kiến thức về vị trí của khóa có thể mở khóa dữ liệu được đã mã hóa bởi người dùng.
Tệ hơn nữa, các công ty không phải lúc nào cũng biết phải làm gì với thông tin này. Khi tôi hoàn thành phân tích bảo mật của mình về thiết bị USB được mã hóa, vị CEO của công ty trên đã gọi cho tôi và hỏi liệu ông ấy có nên để cửa hậu tồn tại hay không. Ông lo ngại rằng cơ quan thực thi pháp luật hoặc NSA có thể cần truy cập dữ liệu của người dùng. Thực tế điều ông cần phải hỏi đã nói lên nhiều điều.
Trong báo cáo nghe trộm năm 2014, chính phủ Mỹ cho hay rằng chỉ gặp 25 ổ cứng mã hóa trong tổng số 3.554 thiết bị mà cơ quan thực thi pháp luật đã kiểm tra để tìm bằng chứng. Và họ vẫn có thể giải mã 21/25 ổ đó. Vì vậy, mặc dù việc có mã hóa thường chỉ đủ để tránh một tên trộm thông thường truy cập dữ liệu của bạn, đối với một chính phủ chuyên nghiệp, điều này có thể không đặt ra nhiều thách thức.
Nhiều năm trước, nhà nghiên cứu Joanna Rutkowska đã viết về cuộc tấn công mà cô gọi là “evil mail attack” (cuộc tấn công của người giúp việc tai ác). Giả sử có người để lại trong phòng khách sạn một máy tính xách tay đã tắt, có ổ đĩa cứng được mã hóa bằng mã hóa TrueCrypt hoặc PGP Whole Disk Encryption. (Tôi đã sử dụng PGP Whole Disk Encryption ở Bogota; tôi cũng tắt máy tính.) Kẻ xấu lẻn vào phòng và chèn một chiếc USB chứa bộ nạp khởi động độc hại. Sau đó, máy tính xách tay mục tiêu phải được khởi động từ USB để cài đặt bộ tải khởi động độc hại đánh cắp cụm mật khẩu của người dùng. Bây giờ, cái bẫy đã được đặt ra.
Một người dọn phòng, vốn có thể thường xuyên lui tới phòng khách sạn mà không bị nghi ngờ, sẽ là ứng cử viên tốt nhất để làm điều này – vì vậy là kiểu tấn công trên mới có tên là “người giúp việc tai ác.” Một người giúp việc có thể trở lại hầu như bất kỳ phòng khách sạn nào vào ngày hôm sau và nhập vào một tổ hợp khóa bí mật để trích xuất cụm mật khẩu được lưu trữ bí mật trên đĩa. Bây giờ kẻ tấn công có thể nhập cụm từ mật khẩu và truy cập vào tất cả các file của bạn.
Tôi không biết liệu có ai làm thế với máy tính của mình ở Bogota hay không. Bản thân ổ đĩa cứng đã bị tháo ra và sau đó được thay thế bằng các vít vặn quá chặt. Dù bằng cách nào, may mắn thay, ổ đĩa không chứa thông tin thực sự.
Việc để thiết bị điện tử của bạn vào một két an toàn ở khách sạn thì sao? Nó có tốt hơn là để chúng bên ngoài hoặc giữ chúng trong vali hay không? Có, nhưng không tốt hơn nhiều. Khi tham dự một hội nghị Black Hat gần đây, tôi ở trong khách sạn Four Seasons ở Las Vegas. Tôi đã đặt 4.000 đô-la tiền mặt trong két an toàn với nhiều loại thẻ tín dụng và séc khác nhau. Một vài ngày sau, tôi rời đi và cố mở két an toàn nhưng không thành công. Tôi gọi cho an ninh và họ mở nó ra. Tôi ngay lập tức nhận thấy rằng tập các đồng tiền 100 đô-la đó đã mỏng hơn nhiều. Chỉ còn lại 2.000 đô-la. Vậy 2.000 đô-la khác đã đi đâu? An ninh khách sạn cũng chẳng biết gì. Một người bạn của tôi là chuyên gia kiểm định an ninh vật lý đã thử bẻ khóa két an toàn nhưng không được. Hôm nay, điều này vẫn là một bí ẩn. Trớ trêu thay, két an toàn lại được gọi là an toàn.
