BẢO MẬT CÁ NHÂN TRONG THỜI ĐẠI SỐ (Phần 1).

Mấy ngày qua mọi người rộ lên lỗ hổng bảo mật của PC-COVID, nhưng thật ra từ khi smartphone trở thành thông dụng, đã có rất nhiều lỗ hổng tương tự âm thầm đe dọa an ninh bảo mật của các cá nhân nhưng ít người biết đến. Kỷ nguyên hiện nay là kỷ nguyên công nghệ số, vì thế cho dù không phải là chuyên gia công nghệ hay an ninh mạng vẫn nên có một vài kiến thức căn bản về bảo mật, và thật ra thì nó cũng không quá phức tạp. Có 1 suy nghĩ thường gặp là vì mình không phải là người quan trọng hay nổi tiếng nên chắc không bị hack đâu. Nhưng thật ra càng người thường thì lại càng là mục tiêu tấn công, vì thứ nhất là... dễ bị lừa, thứ hai hacker thích lấy ít tiền nhưng của nhiều người hơn là lấy 1 cục to rất rủi ro, thứ ba là bị hack rồi rất khó lấy lại tài khoản. Mình có anh bạn là người nổi tiếng, về xã hội thì cũng có địa vị chính trị, khi bị mất tài khoản facebook, xin hacker không được liền nhờ Bộ ngoại giao viết thư cho facebook để lấy lại tài khoản, người thường thì đừng có mơ.

Quyền truy cập tin nhắn (chỉ có trên điện thoại Android): Không chỉ ứng dụng PC-COVID mà có rất nhiều ứng dụng khác cũng đang đọc tin nhắn của các bạn. Gần như tất cả ứng dụng quản lý định danh bằng số điện thoại (như Grab, Viber, Zalo,....) đều yêu cầu truy cập tin nhắn với lí do là để khi xác nhận số điện thoại bằng tin nhắn OTP (tin nhắn có mã xác minh), ứng dụng sẽ tự đọc mã OTP trong tin nhắn để mình khỏi phải nhập tay. Và có lẽ bạn chỉ tiết kiệm 1 vài giây cho quyền truy cập này trong khi ứng dụng đã có thể truy cập và đọc nội dung của tất cả các tin nhắn trong máy bạn. Và theo kinh nghiệm của tôi thì có lẽ hầu như quyền truy cập tin nhắn không có tác dụng gì cả, trừ khi đó là ứng dụng đặc thù cho quản lý tin nhắn, và sử dụng các ứng dụng như thế nên cẩn thận. Việc cho 1 ứng dụng nào đó có thể đọc được tin nhắn trên máy điện thoại là 1 sự nguy hiểm vô cùng mà tôi sẽ trình bày ở phần sau. Vì vậy kiến thức đầu tiên là nên tắt ngay tất cả quyền truy cập tin nhắn hay địa điểm nếu ta thấy nó không liên quan đến bất kỳ tính năng nào của ứng dụng. Đừng nghĩ chuyện này vô thưởng vô phạt. Khi ai đó biết các nội dung tin nhắn, họ sẽ nắm thông tin về bạn, và có thể dẫn đến bắt cóc trẻ con, mua bán phụ nữ, tống tiền, và lấy cắp tiền trong tài khoản (lấy như thế nào sẽ được giải thích ở dưới),... Và không chỉ có quyền truy cập tin nhắn, các quyền truy cập vào riêng tư khác như micro hay ảnh, các tập tin trong máy cũng rất nguy hiểm, chúng ta luôn luôn nên đọc kỹ các quyền truy cập của bất kỳ ứng dụng nào và xem tại sao nó yêu cầu những quyền đó. Còn nếu ứng dụng nào bắt buộc chúng ta phải cho phép một quyền truy cập nào đó mới cho dùng thì tốt nhất là nên xóa nó đi.

Luôn bảo mật 2 lớp (rất quan trọng): trong không gian số chúng ta luôn luôn có khả năng bị mất mật khẩu, dù có là chuyên gia công nghệ. Phần mềm mã độc ở khắp mọi nơi để đọc mật khẩu. Sự bất cẩn khi lưu mật khẩu trên trình duyệt trên máy tính, mà bất kỳ ai ngồi máy bạn trong nửa phút đều có thể lấy được, máy iphone luôn có những lỗ hổng zero-click (tức chỉ cần một email hay tin nhắn thì họ sẽ đọc được toàn bộ nội dung trên máy bạn), máy android thì quá nhiều phần mềm rác để có thể khai thác các lỗ hổng bảo mật, và các kỹ thuật social engineering hay phising (dùng các kỹ thuật tâm lý hay giả dạng các trang web) để lừa mọi người nhập mật khẩu, cái này thì nhiều khi chuyên gia IT còn bị mắc. Vì thế nên sử dụng nhiều mật khẩu khác nhau, vì nếu có bị mất 1 mật khẩu thì cũng sẽ không bị hacker đem mật khẩu đấy đi thử các tài khoản khác của mình. Không ai nhớ được nhiều mật khẩu cả cho nên mọi người nên dùng một ứng dụng quản lý mật khẩu như Lastpass hay Bitwarden để tạo mật khẩu và lưu trữ hộ mình, đỡ phải nhớ. Và việc quan trọng nhất, cho dù có dùng ứng dụng quản lý mật khẩu hay không thì luôn để chế độ bảo mật 2 lớp, tức là thêm 1 lớp khóa nữa.

Cái bảo mật 2 lớp này cũng có rất nhiều phương thức: đơn giản nhất và phổ biến nhất là dùng tin nhắn SMS, tuy nhiên nó cũng là cái tệ nhất, nếu chẳng may bạn lỡ tay cấp quyền truy cập tin nhắn cho một ứng dụng nào đó thì có thể sẽ bị lợi dụng. Ngoài ra, có 1 lỗ hổng gọi là SS7, đây là lỗ hổng của mạng điện thoại di động trên toàn thế giới và không thể sửa được, vì cần cả thế giới thực hiện cùng lúc. Lỗ hổng này có thể giúp hacker biết bạn ở đâu, nghe trộm bất kỳ cuộc điện thoại nào, đọc được SMS hay thậm chí chuyển cuộc gọi của bạn về máy họ hoặc giả số điện thoại của bạn để gọi cho người khác. Về lý thuyết thì để khai thác lỗ hổng cũng không dễ, một số nhà mạng cũng đã có 1 số cách để hạn chế và hacker phải cần 1 tài khoản của nhà mạng. Nhưng 1 hacker giỏi sẽ dễ dàng có được 1 tài khoản nào đó của nhà mạng để thực hiện cuộc tấn công ăn trộm tin nhắn của bạn. Cao cấp hơn thì hacker sẽ có 1 thiết bị giả làm trạm phát sóng của nhà mạng, chỉ cần đứng cách nhà bạn vài chục mét thì đã có thẻ bắt được toàn bộ những tin nhắn SMS vào máy bay. Và khi 1 ai đó có thể đọc tin nhắn SMS của bạn thì họ sẽ chiếm được tài khoản ngay cả khi họ không biết mật khẩu, vì đa số mọi người sẽ chọn phương thức lấy lại mật khẩu từ tin nhắn. Rất tiếc là rất nhiều ngân hàng lại chọn OTP bằng SMS để xác thực giao dịch. Trên thế giới đã có nhiều trường hợp tiền tài khoản bị mất vào buổi đêm. Do hacker đợi chủ tài khoản đi ngủ để lấy số OTP trong điện thoại mà không bị chủ tài khoản phát hiện. Nhưng thật ra thì các kỹ thuật đọc SMS cũng khá phức tạp và có bảo mật bằng SMS thì cũng đã an toàn hơn khá nhiều trong đa số trường hợp so với không có bảo mật 2 lớp và cũng loại bớt được kha khá rủi ro.

Phương thức khác là dùng một ứng dụng xác thực cài trên smartphone, cái này tuy có an toàn hơn, tuy nhiên khá rủi ro nếu điện thoại của bạn bị mất hay hỏng thì bạn lại không thể truy cập được vào tài khoản của mình.

Phương thức an toàn nhất hiện nay là dùng một thiết bị để làm khóa, thiết bị này theo chuẩn FIDO và bây giờ đã lên đến FIDO2. Rất hay là ở Việt Nam đã có 1 công ty làm được, và rất xịn sò với chất lượng sánh ngang được quốc tế. Đó là công ty VinCSS, 1 công ty bảo mật thuộc tập đoàn VinGroup. Mà thiết bị chuẩn FIDO2 còn có một cái hay là bạn thậm chí không cần phải có mật khẩu nữa, thế là hacker khỏi trộm. Dĩ nhiên 1 số trang web hay ứng dụng chưa hỗ trợ FIDO2 thì bạn vẫn có thể dùng như một lớp bảo vệ thứ 2 bên cạnh mật khẩu. Có 1 rủi ro nhỏ là nếu bạn đánh mất khóa này thì lại không truy cập được vào tài khoản. Nhưng có thể giải quyếlt là bạn mua 2 cái và luôn cất 1 cái trong nhà thì không còn phải lo nữa. Hồi xưa mình phải nhờ người mua hãng Yubico ở tận Mỹ, bây giờ các bạn có thể mua ngay tại Việt Nam thậm chí với nhiều tính năng hơn, thiết bị còn hỗ trợ thêm cả vân tay, tức ai đó có ăn trộm thì cũng không dùng được, nghĩa là bảo mật đến 3 lớp
https://passwordless.vincss.net/.

Phần 2, xin được đưa ra các cách ứng sử của việc bảo mật với các thiết bị cụ thể, mong các bạn đón đọc và để lại bình luận, việc bình luận của các bạn sẽ giúp chúng tôi tiếp tục các bài viết về chủ đề này. Cám ơn sự quan tâm của các bạn.