Lựa Chọn Công Cụ

Tất cả các công cụ kỹ thuật số dù là phần cứng hay phần mềm đều nên được bảo mật. Điều này nghĩa là chúng nên bảo vệ bạn khỏi bị theo dõi, và bị điều khiển bởi những kẻ khác. Rất tiếc hiện thời không phải là như thế. Trong nhiều các hoạt động trên mạng, cuối cùng bạn sẽ cần phải sử dụng các chương trình chuyên dụng hoặc các công cụ có đặc tính bảo mật đặc biệt. Ví dụ như trong bài hướng dẫn này chúng tôi có cung cấp cho bạn một phần mềm cho phép bạn mã hóa thông tin hoặc tập tin, phần mềm đó là PGP.

Thực tế có rất nhiều các công ty và trang mạng cung cấp các chương trình và phần cứng bảo mật, vậy bạn sẽ chọn lựa như thế nào cho phù hợp nhất?

Bảo mật là một quá trình, không phải là thứ để mua Anchor link

Điều đầu tiên cần phải nhớ trước khi thay đổi phần mềm bạn đang sử dụng hoặc mua những công cụ mới đó là trong bất kỳ tình huống nào không một công cụ nào cung cấp cho bạn sự bảo đảm tuyệt đối khỏi bị theo dõi. Sử dụng phần mềm mã hóa làm cho người khác khó khăn hơn khi cố tình đọc nội dung các cuộc liên lạc và lục soát những tập tài liệu trong máy của bạn. Nhưng các vụ tấn công an ninh mạng luôn tìm đến những điểm yếu nhất trong cách ứng dụng bảo mật của bạn. Khi bạn sử dụng một công cụ bảo mật, bạn nên nghĩ đến việc dùng nó có thể gây ra cách khác để kẻ gian tấn công bạn. Ví dụ như, nếu bạn quyết định sử dụng phần mềm nhắn tin bảo mật để liên lạc vì bạn biết rằng điện thoại của bạn có thể bị lộ, thì thật ra nếu bạn sử dụng chương trình đó có nghĩa đối thủ sẽ hiểu rằng bạn đang nói chuyện về các thông tin bí mật?

Điều thứ hai, hãy nhớ về mô thức đe dọa. Bạn không cần phải mua một hệ thống điện thoại mã hóa đắt tiền thách đố cả NSA nếu mối đe dọa lớn nhất là sự theo dõi đến từ thám tử tư chẳng có trong tay các công cụ theo dõi mạng. Hoặc như, nếu bạn phải đối mặt với một chính quyền thường xuyên bắt giam những người đối lập bởi vì họ có sử dụng các công cụ mã hóa, thì việc dùng các thủ thuật đơn giản hơn có thể tốt hơn: một bộ mật mã được định trước, hơn là rủi ro để lại dấu vết cho thấy bạn sử dụng phần mềm mã hóa trên máy tính.

Tóm tắt tất cả các ý trên, đây là một vài câu hỏi bạn nên thắc mắc về công cụ bảo mật trước khi bạn quyết định tải xuống, trả phí và sử dụng.

Mức độ minh bạch của nó ra sao? Anchor link

Mặc dầu an ninh kỹ thuật số gần như là việc giữ kín các bí mật, thì các nhà nghiêm cứu bảo mật có niềm tin rằng tính công khai và minh bạch sẽ khiến cho các công cụ trở nên bảo mật hơn.

Rất nhiều các phần mềm miễn phí và có mã nguồn mở được sử dụng và khuyến nghị bởi cộng đồng an ninh số, mã nguồn mở có nghĩa rằng đoạn mã để chạy chương trình được công khai cho những người khác phân tích, chỉnh sửa và chia sẻ. Bằng việc minh bạch về cách chương trình vận hành, những người làm ra công cụ này mời gọi những người khác tìm kiếm những lỗ hổng, và giúp họ cải tiến chương trình.

Phần mềm mở tạo cơ hội hình thành hệ thống bảo mật tốt hơn nhưng không bảo đảm điều đó. Lợi thế của mã nguồn mở nằm ở chỗ một phần cộng đồng chuyên gia kỹ thuật có thể kiểm tra các đoạn mã, mà việc này đối với các dự án nhỏ lẻ rất khó có thể làm được (thậm chí ngay cả các dự án phổ biến và phức tạp). Khi bạn đang cân nhắc sử dụng một công cụ nào đó, hãy xem mã nguồn của nó có sẵn không, và đoạn mã có sự kiểm tra bảo mật độc lập để xác minh chất lượng bảo mật không. Ít nhất thì phần mềm và phần cứng nên có phần giải thích các chi tiết kỹ thuật về cách vận hành để cho các chuyên gia xem xét.

Người tạo lập có nói rõ về Lợi thế và Bất lợi của công cụ? Anchor link

Không phần mềm và phần cứng nào đảm bảo an toàn tuyệt đối. Những người tạo lập hoặc bán sản phẩm thành thật về hạn chế của công cụ sẽ cho bạn hiểu biết nhiều hơn việc các ứng dụng đó có phù hợp với bạn hay không.

Không nên tin vào tuyên bố chung chung rằng mã nguồn này ở mức độ bảo mật “cấp quân sự” hoặc “không bị NSA đọc lén được”; những tuyên bố đó chẳng có nghĩa lý gì và cảnh báo bạn rằng những người tạo lập nó đã quá tự tin và không sẵn sàng xem xét việc sản phẩm của họ có thể có khuyết điểm.

Bởi vì những kẻ tấn công luôn tìm cách tìm ra những cách thức mới để phá vỡ tính bảo mật của các công cụ, vậy nên phần mềm và phần cứng nên được cập nhật để vá các lỗ hổng. Đây có thể trở thành một vấn đề nghiêm trọng nếu người tạo lập công cụ không sẵn sàng làm việc này, vì họ sợ bị tiếng xấu, hoặc có lẽ họ đã không xây dựng cơ sở hạ tầng để sửa chữa những lỗi này.

Bạn không thể tiên đoán tương lai, nhưng người tạo lập công cụ hành xử trong tương lai là một chỉ dấu cho thấy các hoạt động của họ trong quá khứ. Nếu trang mạng về công cụ liệt kê các lỗi trước đó và có đường dẫn đến thông tin và các gói cập nhật thường xuyên (chỉ ra cụ thể đã bao lâu rồi phần mềm được cập nhật lần cuối) thì bạn có thể tin tưởng rằng họ sẽ tiếp tục cung cấp dịch vụ cập nhật này trong tương lai.

Điều gì xảy ra nếu Người tạo ra công cụ lại thỏa hiệp? Anchor link

Khi tạo ra phần mềm và phần cứng bảo mật, người tạo lập cũng giống như chính bạn phải đối diện với mô thức đe dọa. Người tạo lập giỏi sẽ mô tả rõ ràng trong tài liệu rằng họ có thể bảo vệ bạn khỏi những kẻ tấn công nào.

Nhưng có một kẻ tấn công mà rất nhiều hãng thậm chí không muốn nghĩ đến: nếu như chính họ buộc phải thỏa hiệp hoặc quyết định tấn công chính người dùng của họ. Ví dụ như, tòa án hoặc chính quyền có thể gây sức ép một công ty để bắt nộp dữ liệu người dùng hoặc tạo ra một “cổng sau” nhằm xóa bỏ tất cả các lớp bảo vệ của công cụ. Có lẽ bạn nên xem xét pháp luật của nơi người tạo lập công cụ. Lấy ví dụ, nếu sự đe dọa bạn có là từ phía chính quyền Iran, một công ty có trụ sở tại Hoa Kỳ có thể chống lại phán quyết của tòa án Iran, kể cả khi phán quyết đó tuân theo trình tự tại Hoa Kỳ.

Ngay cả khi một người tạo lập có thể chống lại áp lực của chính quyền, thì cũng có kẻ tấn công tìm cách đạt được kết quả tương tự bằng cách xâm nhập vào hệ thống của người tạo lập công cụ để tấn công người dùng.

Các công cụ vững trãi nhất là những công cụ coi việc trên giống như một vụ tấn công có thể xảy ra, và được thiết kế để chống lại điều đó. Tìm trong tài liệu xem có chỗ nào khẳng định là người tạo lập không thể truy cập dữ liệu riêng tư, hơn là tin lời hứa hẹn của họ là sẽ không làm vậy. Hãy tìm kiếm tổ chức có tiếng trong việc chống lại trát tòa đòi nộp dữ liệu cá nhân.

Tìm xem coi có Thu Hồi và có Phê Bình trên mạng Anchor link

Tất nhiên các công ty bán sản phẩm và những người say mê quảng cáo về phần mềm mới nhất có thể gây nhầm lẫn, hiểu lầm và thậm chí hoàn toàn dối trá. Một sản phẩm ban đầu an toàn thì có thể tìm ra nhiều lỗi trong tương lai. Hãy đảm bảo rằng bạn vẫn chú ý đến những thông tin mới nhất về công cụ bạn đang sử dụng.

Bạn có biết ai khác dùng công cụ giống bạn? Anchor link

Một người phải cố gắng rất nhiều mới có thể cập nhật các thông tin mới nhất về công cụ họ sử dụng. Nếu bạn có đồng nghiệp nào sử dụng một sản phẩm hoặc dịch vụ cụ thể nào đó thì hãy cộng tác với họ để đối chiếu xem điều gì đang xảy ra.

Các Sản phẩm được đề cập trong phần hướng dẫn này Anchor link

Chúng tôi cố gắng đảm bảo rằng phần mềm và phần cứng chúng tôi đề cập trong phần hướng dẫn này phù hợp với các tiêu chí chúng tôi đã đưa ra bên trên: chúng tôi đã nỗ lực hết mình để chỉ lên danh sách các sản phẩm có nền tảng vững chắc trong số các sản phẩm mà chúng tôi biết trong lĩnh vực an ninh số, đồng thời cũng minh bạch về cách vận hành (cũng như những thất bại), có phòng thủ chống lại khả năng người tạo ra nó phải thỏa hiệp, và vẫn đang được bảo trì, dựa vào nền tảng kiến thức công nghệ người dùng và số lượng người dùng lớn. Tại thời điểm viết bài này, chúng tôi tin rằng chúng là điểm chú tâm của rất nhiều người dùng, những người vẫn đang phân tích các lỗi, và sẽ nêu lên cảnh báo cho cộng đồng một cách nhanh chóng. Xin hãy hiểu rằng chúng tôi không có các nguồn lực để đánh giá và đảm bảo về độ bảo mật, chúng tôi không chứng thực các sản phẩm này và không đảm bảo về độ an toàn tuyệt đối.

Tôi nên mua điện thoại nào? Máy tính nào? Anchor link

Một trong những câu hỏi thường xuyên dành cho những người huấn luyện về bảo mật là “Tôi có nên mua điện thoại Android hay Iphone?” hoặc “Tôi nên sử dụng PC hay Mac?” hoặc “Tôi nên dùng hệ điều hành nào?” Sẽ không có câu trả lời nào đơn giản cho những câu hỏi trên. Sự an toàn tương đối của các phần mềm và thiết bị thay đổi liên tục khi lỗi mới được phát hiện và các lỗi sai được sửa. Các công ty có thể cạnh tranh với nhau để cung cấp cho bạn một hệ thống bảo mật tốt hơn, hoặc họ có thể đều chịu áp lực từ phía chính quyền phải làm yếu hệ thống bảo mật.

Tuy nhiên, có một vài lời khuyên chung chung luôn đúng. Khi bạn mua một thiết bị hoặc một hệ điều hành, nhớ luôn cập nhật phần mềm. Các gói cập nhật sẽ vá các lỗi bảo mật mà các vụ tấn công khai thác trong bộ mã cũ. Các điện thoại và các hệ điều hành đời cũ không được hỗ trợ, thậm chí không có các gói cập nhật bảo mật. Đặc biệt, Microsoft tuyên bố rằng Windows XP và các phiên bản Windows đời trước sẽ không nhận được các bản vá lỗi dù cho chúng có các lỗi bảo mật nghiêm trọng. Nếu bạn sử dụng XP, bạn không thể kỳ vọng rằng hệ điều hành này được an toàn bởi những kẻ tấn công. (Điều này cũng đúng với hệ điều hành OS X 10.7.5 trở về trước và OS X Lion)

Cập nhật lần cuối: 
2014-11-04
Trang này được dịch từ tiếng Anh. Phiên bản tiếng Anh có lẻ đầy đủ và cập nhật hơn.
JavaScript license information