Skip to main content
Surveillance
Self-Defense

Lựa Chọn Công Cụ

Cập nhật lần cuối: October 06, 2019

This page was translated from English. The English version may be more up-to-date.

Với nhiều công ty và trang mạng cung ứng đủ loại công cụ nhằm trợ giúp các cá nhân cải thiện vấn đề bảo mật số của họ, làm sao bạn chọn công cụ nào thích hợp cho mình?

Chúng tôi không có một danh sách công cụ để bảo đảm là có thể bảo vệ bạn (tuy bạn có thể xem một số chọn lựa phổ thông trong phần Cẩm Nang Công Cụ của chúng tôi). Nhưng nếu bạn biết mình muốn bảo vệ điều gì và để chống đỡ lại đối phương nào thì tài liệu hướng dẫn này có thể giúp bạn chọn công cụ phù hợp dựa trên những nguyên tắc cơ bản.

Cần nhớ là bảo mật không phải là công cụ sử dụng hay phần mềm tải xuống. Bảo mật bắt đầu bằng việc thấu hiểu mối đe dọa đặc thù bạn đang đối diện và làm sao để chống đỡ mối đe dọa đó. Xin xem tài liệu Đánh Giá Rủi Ro của Bạn để biết thêm chi tiết.

Bảo mật là một quá trình, không phải là thứ để mua anchor link

Điều đầu tiên cần phải nhớ trước khi thay đổi phần mềm bạn đang sử dụng hoặc mua những công cụ mới đó là trong bất kỳ tình huống nào không một công cụ nào cung cấp cho bạn sự bảo đảm tuyệt đối khỏi bị theo dõi. Sử dụng phần mềm mã hóa làm cho người khác khó khăn hơn khi cố tình đọc nội dung các cuộc liên lạc và lục soát những tập tài liệu trong máy của bạn. Nhưng các vụ tấn công an ninh mạng luôn tìm đến những điểm yếu nhất trong cách ứng dụng bảo mật của bạn. Khi bạn sử dụng một công cụ bảo mật, bạn nên nghĩ đến việc dùng nó có thể gây ra cách khác để kẻ gian tấn công bạn. Ví dụ như, nếu bạn quyết định sử dụng phần mềm nhắn tin bảo mật để liên lạc vì bạn biết rằng điện thoại của bạn có thể bị lộ, thì thật ra nếu bạn sử dụng chương trình đó có nghĩa đối thủ sẽ hiểu rằng bạn đang nói chuyện về các thông tin bí mật?

Điều thứ hai, hãy nhớ về mô thức đe dọa . Bạn không cần phải mua một hệ thống điện thoại mã hóa đắt tiền thách đố cả NSA nếu mối đe dọa lớn nhất là sự theo dõi đến từ thám tử tư chẳng có trong tay các công cụ theo dõi mạng. Hoặc như, nếu bạn phải đối mặt với một chính quyền thường xuyên bắt giam những người đối lập bởi vì họ có sử dụng các công cụ mã hóa, thì việc dùng các thủ thuật đơn giản hơn có thể tốt hơn: một bộ mật mã được định trước, hơn là rủi ro để lại dấu vết cho thấy bạn sử dụng phần mềm mã hóa trên máy tính.

Tóm tắt tất cả các ý trên, đây là một vài câu hỏi bạn nên thắc mắc về công cụ bảo mật trước khi bạn quyết định tải xuống, trả phí và sử dụng.

Mức độ minh bạch của nó ra sao? anchor link

Mặc dầu an ninh kỹ thuật số gần như là việc giữ kín các bí mật, thì các nhà nghiêm cứu bảo mật có niềm tin rằng tính công khai và minh bạch sẽ khiến cho các công cụ trở nên bảo mật hơn.

Rất nhiều các phần mềm miễn phí và có mã nguồn mở được sử dụng và khuyến nghị bởi cộng đồng an ninh số, mã nguồn mở có nghĩa rằng đoạn mã để chạy chương trình được công khai cho những người khác phân tích, chỉnh sửa và chia sẻ. Bằng việc minh bạch về cách chương trình vận hành, những người làm ra công cụ này mời gọi những người khác tìm kiếm những lỗ hổng, và giúp họ cải tiến chương trình.

Phần mềm mở tạo cơ hội hình thành hệ thống bảo mật tốt hơn nhưng không bảo đảm điều đó. Lợi thế của mã nguồn mở nằm ở chỗ một phần cộng đồng chuyên gia kỹ thuật có thể kiểm tra các đoạn mã, mà việc này đối với các dự án nhỏ lẻ rất khó có thể làm được (thậm chí ngay cả các dự án phổ biến và phức tạp).

Khi bạn đang cân nhắc sử dụng một công cụ nào đó, hãy xem mã nguồn của nó có sẵn không, và đoạn mã có sự kiểm tra bảo mật độc lập để xác minh chất lượng bảo mật không. Ít nhất thì phần mềm và phần cứng nên có phần giải thích các chi tiết kỹ thuật về cách vận hành để cho các chuyên gia xem xét.

Người tạo lập có nói rõ về Lợi thế và Bất lợi của công cụ? anchor link

Không phần mềm và phần cứng nào đảm bảo an toàn tuyệt đối. Những người tạo lập hoặc bán sản phẩm thành thật về hạn chế của công cụ sẽ cho bạn hiểu biết nhiều hơn việc các ứng dụng đó có phù hợp với bạn hay không.

Không nên tin vào tuyên bố chung chung rằng mã nguồn này ở mức độ bảo mật “cấp quân sự” hoặc “không bị NSA đọc lén được”; những tuyên bố đó chẳng có nghĩa lý gì và cảnh báo bạn rằng những người tạo lập nó đã quá tự tin và không sẵn sàng xem xét việc sản phẩm của họ có thể có khuyết điểm.

Bởi vì những kẻ tấn công luôn tìm cách tìm ra những cách thức mới để phá vỡ tính bảo mật của các công cụ, vậy nên phần mềm và phần cứng nên được cập nhật để vá các lỗ hổng. Đây có thể trở thành một vấn đề nghiêm trọng nếu người tạo lập công cụ không sẵn sàng làm việc này, vì họ sợ bị tiếng xấu, hoặc có lẽ họ đã không xây dựng cơ sở hạ tầng để sửa chữa những lỗi này.

Bạn không thể tiên đoán tương lai, nhưng người tạo lập công cụ hành xử trong tương lai là một chỉ dấu cho thấy các hoạt động của họ trong quá khứ. Nếu trang mạng về công cụ liệt kê các lỗi trước đó và có đường dẫn đến thông tin và các gói cập nhật thường xuyên (chỉ ra cụ thể đã bao lâu rồi phần mềm được cập nhật lần cuối) thì bạn có thể tin tưởng rằng họ sẽ tiếp tục cung cấp dịch vụ cập nhật này trong tương lai.

Điều gì xảy ra nếu Người tạo ra công cụ lại thỏa hiệp? anchor link

Khi tạo ra phần mềm và phần cứng bảo mật, người tạo lập cũng giống như chính bạn phải đối diện với mô thức đe dọa. Người tạo lập giỏi sẽ mô tả rõ ràng trong tài liệu rằng họ có thể bảo vệ bạn khỏi những kẻ tấn công nào.

Nhưng có một kẻ tấn công mà rất nhiều hãng thậm chí không muốn nghĩ đến: nếu như chính họ buộc phải thỏa hiệp hoặc quyết định tấn công chính người dùng của họ. Ví dụ như, tòa án hoặc chính quyền có thể gây sức ép một công ty để bắt nộp dữ liệu người dùng hoặc tạo ra một “cổng sau” nhằm xóa bỏ tất cả các lớp bảo vệ của công cụ. Có lẽ bạn nên xem xét pháp luật của nơi người tạo lập công cụ. Lấy ví dụ, nếu sự đe dọa bạn có là từ phía chính quyền Iran, một công ty có trụ sở tại Hoa Kỳ có thể chống lại phán quyết của tòa án Iran, kể cả khi phán quyết đó tuân theo trình tự tại Hoa Kỳ.

Ngay cả khi một người tạo lập có thể chống lại áp lực của chính quyền, thì cũng có kẻ tấn công tìm cách đạt được kết quả tương tự bằng cách xâm nhập vào hệ thống của người tạo lập công cụ để tấn công người dùng.

Các công cụ vững trãi nhất là những công cụ coi việc trên giống như một vụ tấn công có thể xảy ra, và được thiết kế để chống lại điều đó. Tìm trong tài liệu xem có chỗ nào khẳng định là người tạo lập không thể truy cập dữ liệu riêng tư, hơn là tin lời hứa hẹn của họ là sẽ không làm vậy. Hãy tìm kiếm tổ chức có tiếng trong việc chống lại trát tòa đòi nộp dữ liệu cá nhân.

Có từng bị thu hồi hay bị phê bình trên mạng? anchor link

Các công ty và cá nhân buôn bán sản phẩm và quảng cáo các phầm mềm mới nhất có thể không nói hết, nói không chính xác hay ngay cả nói láo. Một sản phẩm an toàn lúc ban đầu có thể có lỗi trong tương lai. Bạn phải nắm vững thông tin mới nhất về các công cụ đang sử dụng.

Chỉ có một cá nhân thì khó mà nắm bắt hết các thông tin mới nhất về một công cụ. Nếu bạn có đồng nghiệp dùng cùng sản phẩm hay dịch vụ, hãy chia sẻ với nhau để nắm bắt thông tin kịp thời.

Tôi nên mua điện thoại nào? Máy tính nào? anchor link

Một trong những câu hỏi thường xuyên dành cho những người huấn luyện về bảo mật là “Tôi có nên mua điện thoại Android hay Iphone?” hoặc “Tôi nên sử dụng PC hay Mac?” hoặc “Tôi nên dùng hệ điều hành nào?” Sẽ không có câu trả lời nào đơn giản cho những câu hỏi trên. Sự an toàn tương đối của các phần mềm và thiết bị thay đổi liên tục khi lỗi mới được phát hiện và các lỗi sai được sửa. Các công ty có thể cạnh tranh với nhau để cung cấp cho bạn một hệ thống bảo mật tốt hơn, hoặc họ có thể đều chịu áp lực từ phía chính quyền phải làm yếu hệ thống bảo mật.

Tuy nhiên, một số lời khuyên tổng quát thường luôn luôn đúng. Khi bạn mua một thiết bị hay một hệ điều hành, giữ cho thiết bị cập nhật với các bản cập nhật phần mềm. Cập nhật sẽ vá lại các lổ hổng trong mã nguồn cũ mà đối phương có thể lợi dụng để tấn công. Lưu ý là một số điện thoại và hệ điều hành cũ không còn được hỗ trợ nữa, dù là chỉ cập nhật an ninh. Đặc biệt, Microsoft nói rõ là Windows Vista, XP và cũ hơn sẽ không còn được cập nhật gì cả ngay cả cho những lỗi bảo mật trầm trọng. Điều này có nghĩa là bạn dùng những thứ đó thì đừng mong đợi là sẽ an toàn. Cho hệ điều hành Mac OS cũng vậy, không còn cập nhật gì cho phiên bản 10.11 hoặc El Capitan.

Sau khi đã suy xét các mối đe dọa bạn đối diện, và biết cần gì trong các công cụ bảo mật số, bạn có thể tự tin để chọn công cụ thích hợp nhất cho tình huống đặc thù của bạn.

Các Sản phẩm được đề cập trong phần hướng dẫn này anchor link

Chúng tôi cố gắng đảm bảo rằng phần mềm và phần cứng chúng tôi đề cập trong phần hướng dẫn này phù hợp với các tiêu chí chúng tôi đã đưa ra bên trên: chúng tôi đã nỗ lực hết mình để chỉ lên danh sách các sản phẩm có nền tảng vững chắc trong số các sản phẩm mà chúng tôi biết trong lĩnh vực an ninh số, đồng thời cũng minh bạch về cách vận hành (cũng như những thất bại), có phòng thủ chống lại khả năng người tạo ra nó phải thỏa hiệp, và vẫn đang được bảo trì, dựa vào nền tảng kiến thức công nghệ người dùng và số lượng người dùng lớn. Tại thời điểm viết bài này, chúng tôi tin rằng chúng là điểm chú tâm của rất nhiều người dùng, những người vẫn đang phân tích các lỗi, và sẽ nêu lên cảnh báo cho cộng đồng một cách nhanh chóng. Xin hãy hiểu rằng chúng tôi không có các nguồn lực để đánh giá và đảm bảo về độ bảo mật, chúng tôi không chứng thực các sản phẩm này và không đảm bảo về độ an toàn tuyệt đối.