Surveillance
Self-Defense

Giữ An Toàn Cho Dữ Liệu

Cập nhật lần cuối: 
28-06-2018
Trang này được dịch từ tiếng Anh. Phiên bản tiếng Anh có lẻ đầy đủ và cập nhật hơn.

Nếu bạn có điện thoại thông minh, máy tính xách tay, máy tính bảng, thì bạn lúc nào cũng mang theo trong người một khối lượng dữ liệu khổng lồ. Những mối liên lạc xã hội, thông tin riêng tư, tài liệu và hình ảnh riêng tư (có thể chứa đựng thông tin tế nhị của rất nhiều người khác) là thí dụ của một số dữ liệu lưu trữ trong thiết bị số của bạn. Vì chúng ta lưu trữ và mang theo khá nhiều dữ liệu, cho nên rất khó để giữ an toàn – nhất là khi chúng có thể bị chiếm lấy khá dễ dàng.

Dữ liệu của bạn có thể bị tịch thâu ở biên giới, bị giựt lấy trên đường phố, bị trộm vào nhà và sao chép trong tíc tắc. Rất tiếc là ngay cả khi khóa thiết bị bằng mật khẩu, số PIN, hay mẫu hình cũng có thể không bảo vệ được dữ liệu nếu thiết bị bị tịch thâu. Những cách khóa trên tương đối dễ để qua mặt vì dữ liệu được lưu trữ dưới dạng được đọc dễ dàng bên trong thiết bị. Đối thủ chỉ tìm cách đọc thẳng dạng lưu trữ để xem xét hay sao chép dữ liệu của bạn mà chẳng cần đến mật khẩu.

Tuy vậy, bạn có thể tạo khó khăn hơn cho những kẻ đánh cắp thiết bị để lấy dữ liệu. Sau đây là một số biện pháp để bạn giữ an toàn cho dữ liiệu.

 

Mã hóa dữ liệu của bạn Anchor link

Nếu bạn dùng mã hóa thì đối thủ cần lấy cả thiết bị và mật khẩu của bạn để giải mã dữ liệu. Do đó cách an toàn nhất là mã hóa toàn bộ dữ liệu của bạn, thay vì chỉ có vài thư mục. Hầu hết các điện thoại thông minh và máy tính có tính năng mã hóa toàn bộ đĩa.

Cho điện thoại thông minh và máy tính bảng

  • Android cho phép mã hóa toàn bộ đĩa khi bạn cài đặt lần đầu tiên trên điện thoại mới, hoặc trong phần cài đặt “Bảo mật” trên các thiết bị đời cũ hơn.
  • Các loại thiết bị Apple như iPhone và iPad gọi chức năng này là “Data Protection” (Bảo vệ dữ liệu) và được kích hoạt khi bạn cài mật khẩu.

Cho máy tính:

  • Apple có sẵn chức năng mã hóa toàn bộ đĩa trong macOS gọi là FileVault.  
  • Các bản phân phối Linux thường cho phép mã hóa toàn bộ đĩa khi bạn thiết đặt hệ thống lần đầu tiên.
  • Windows Vista và các phiên bản mới sau này có chức năng mã hóa toàn bộ đĩa gọi là BitLocker.

Mã nguồn của “BitLocker” là loại kín và sở hữu riêng, có nghĩa là khó cho người duyệt xét bên ngoài biết được mã nguồn an toàn thế nào. Khi dùng “BitLocker” thì bạn phải tin vào Microsoft cung cấp một hệ thống lưu trữ an toàn mà không có lỗ hổng. Tuy thế, nếu bạn đang sử dụng Windows thì bạn đã tin tưởng vào Microsoft ở cùng mức độ. Nếu bạn lo lắng bị theo dõi bởi nhóm đối thủ có khả năng biết được lổ hổng an ninh của Windows hoặc BitLocker, thì xét đến việc dùng hệ thống điều hành nguồn mở khác như GNU/Linux hoặc BSD, đặc biệt là phiên bản đã được trang bị vững chắc để chống lại các cuộc tấn công, như hệ thống Tails hoặc Qubes OS. Một cách khác là cài đặt phần mềm mã hóa đĩa cứng, Veracrypt, để mã hóa đĩa cứng của bạn.

Lưu ý: Dù cho thiết bị của bạn gọi chức năng bảo mật đó là gì đi nữa, mã hóa chỉ có mức an toàn tương đương với mật khẩu của bạn. Nếu kẻ tấn công có được thiết bị của bạn, thì họ sẽ có rất nhiều thời gian để thử hết các mật khẩu. Một cách hữu hiệu để tạo ra một mật khẩu mạnh và dễ nhớ là dùng con xúc xắc và một danh sách các từ để chọn một số từ ngẫu nhiên. Các từ nay gộp lại thành “cụm từ mật khẩu” của bạn. “Cụm từ mật khẩu” là loại mật khẩu dài hơn bình thường để gia tăng bảo mật. Để mã hóa toàn bộ đĩa cứng và cho phần mềm quản lý mật khẩu, chúng tôi đề nghị chọn ít nhất là sáu từ. Xin xem hướng dẫn Tạo Mật Khẩu Mạnh để biết thêm chi tiết.

Để nhớ và nhập vào cụm từ mật khẩu dài như thế trên điện thoại hoặc các thiết bị di động là điều không thực tế lắm. Do đó tuy mã hóa có thể hữu ích trong việc ngăn ngừa việc truy cập tình cờ, bạn nên bảo vệ các dữ liệu tối mật bằng cách không để tin tặc tiếp cận trực tiếp, hoặc dựng thêm rào cản bảo vệ dữ liệu trên các máy bảo mật hơn.

 

Tạo lập một máy bảo mật Anchor link

Duy trì một môi trường bảo mật có thể rất khó khăn. Ở điều kiện lý tưởng nhất là bạn có thể thay đổi mật mã, thói quen, và có lẽ cả phần mềm bạn đang sử dụng trên máy tính hoặc thiết bị. Còn ở điều kiện tệ nhất, bạn phải ngay lập tức nghĩ đến bạn có đang làm rò rỉ các thông tin bí mật hoặc có đang áp dụng các phương pháp bảo mật không an toàn. Thậm chí khi nhận ra vấn đề, thì bạn có thể cũng không giải quyết được vì đôi khi những đối tượng mà bạn liên lạc lại không có thói quen bảo mật số an toàn. Chẳng hạn như, đồng nghiệp muốn bạn mở tập tin đính kèm trong email họ gửi, mặc dầu bạn biết kẻ tấn công có thể giả dạng đồng nghiệp và gửi cho bạn mã độc.

Vậy giải pháp là gì? Nên suy xét tới việc đưa các dữ liệu và thông tin liên lạc quý giá vào một thiết bị bảo mật. Dùng thiết bị bảo mật này để lưu trữ bản chính của các loại dữ liệu kín. Chỉ thỉnh thoảng dùng thiết bị này và khi dùng phải thật cẩn trọng với hành vi của bạn. Nếu bạn cần mở các tài liệu đính kèm, hoặc sử dụng các phần mềm kém bảo mật, hãy sử dụng chiếc máy tính khác.

Để có một máy tính bảo mật phụ trội có thể không quá tốn kém như bạn nghĩ. Một máy tính chỉ dùng thỉnh thoảng, và chỉ chạy vài ứng dụng, thì không cần phải thiệt nhanh và mới. Bạn có thể mua một máy cũ, rẻ tiền. Máy đời cũ còn có lợi thế là những loại phần mềm bảo mật như Tails có thể tương hợp hơn với các máy đời mới.

Khi cài đặt một máy tính bảo mật, cần thực hiện các bước nào để làm cho máy bảo mật

 

  1. Cất dấu máy nơi an toàn và không tiết lộ chỗ giữ nó – nơi nào mà bạn có thể nhận ra nếu nó đã bị lục soát, như tủ có khóa chẳng hạn
  2. Mã hóa đĩa cứng của máy tính với một mật khẩu mạnh để trong trường hợp máy bị đánh cắp, dữ liệu trong máy vẫn không bị đọc được nếu không có mật khẩu.
  3. Cài đặt một hệ điều hành tập trung vào vấn đề bảo mật và riêng tư như hệ điều hành Tails. Bạn có thể không muốn hoặc không thể sử dụng được hệ điều hành mã nguồn mở trong công việc hàng ngày, nhưng nếu bạn chỉ muốn lưu trữ, chỉnh sửa và soạn thảo các email kín hoặc các tin nhắn nhanh từ thiết bị bảo mật đó, thì Tail hoạt động rất hiệu quả, và nó mặc định thiết đặt bảo mật ở mức cao.
  4. Đừng nối thiết bị vào mạng. Mức độ bảo vệ cao nhất để chống lại các cuộc tấn công và theo dõi từ mạng internet, không gì ngạc nhiên, là hoàn toàn không kết nối vào mạng internet. Hãy đảm bảo rằng máy tính bảo mật của bạn không bao giờ kết nối với mạng nội bộ hoặc Wifi, và chỉ sao chép tập tin vào máy từ các phương tiện lưu trữ như DVD hoặc thẻ USB. Trong lĩnh vực an ninh mạng, đây được gọi là “khoảng không” giữa máy tính và phần còn lại của thế giới. Không nhiều người đi xa đến mức này, nhưng đây cũng là một sự chọn lựa nếu bạn muốn giữ các dữ liệu thi thoảng mới truy cập nhưng không bao giờ muốn bị đánh mất (chẳng hạn như một khóa mã hóa, một danh sách các mật khẩu hoặc một bản lưu trữ chứa dữ liệu cá nhân của người khác giao phó cho bạn). Trong hầu hết các trường hợp này, có lẽ bạn muốn xét đến việc sở hữu một thiết bị lưu trữ kín, hơn là một chiếc máy tính. Một chiếc khóa USB đã mã hóa được giấu kín có lẽ sẽ hữu ích (hoặc vô ích) như một chiếc máy tính không kết nối mạng.
  5. Đừng đăng nhập vào các tài khoản thường dùng. Nếu bạn sử dụng thiết bị bảo mật này để kết nối vào internet, hãy tạo tài khoản web hoặc email để sử dụng cho liên lạc từ thiết bị này, và dùng Tor (xem hướng dẫn cho Linux, macOS, Windows) để dấu kín địa chỉ IP không cho các dịch vụ đó biết. Nếu ai đó chọn tấn công danh tính của bạn bằng mã độc, hoặc chặn bắt cuộc liên lạc của bạn, các tài khoản khác biệt và phần mềm Tor có thể giúp tạo cách biệt liên hệ giữa danh tính của bạn và máy tính bảo mật này.

Mặc dầu có một máy bảo mật để giữ các thông tin kín, quan trọng giúp bảo vệ chống lại đối thủ, nó đồng thời cũng trở thành một đích nhắm hiển nhiên. Một rủi ro khác là nếu máy bị tiêu hủy thì bản sao duy nhất dữ liệu của bạn cũng bị mất theo. Nếu đối thủ có lợi trong việc bạn làm mất dữ liệu, thì không nên giữ nó ở một nơi duy nhất dù nơi đó có an toàn thế nào đi nữa. Hãy mã hóa một bản sao lưu và giữ bản sao lưu ở một nơi khác.

Một biến thể của ý tưởng có một máy bảo mật là có một máy không bảo mật: một thiết bị bạn chỉ dùng khi đi vào nơi nguy hiểm hoặc dự tính một hoạt động nhiều rủi ro. Rất nhiều nhà báo và nhà hoạt động, chỉ mang theo máy tính xách tay căn bản khi họ di chuyển. Chiếc máy tính này không có bất kỳ một tài liệu, số liên lạc thông thường hoặc thông tin email nào bên trong, khi đó sẽ ít bị mất mát nếu nó bị tịch thu hoặc bị quét kiểm tra. Bạn có thể áp dụng cũng chiến thuật đó với điện thoại di động. Nếu bạn sử dụng một chiếc điện thoại thông minh, hãy nghĩ đến việc mua một chiếc điện thoại rẻ tiền dễ vất đi hoặc một chiếc điện thoại đốt bỏ cho việc du lịch hoặc các cuộc liên lạc đặc biệt.

JavaScript license information