Một vài con số liên quan đến máy vi tính

• Những rủi ro lớn nhất khi sử dụng máy vi tính để biết cách phòng chống, kế tiếp là
• Những cách sử dụng (behavior) an toàn thông dụng trong nhiều tình huống sử dụng máy khác nhau, và sau cùng là
• Một số hướng dẫn về những biện pháp an ninh điện toán kỹ thuật cần thiết qua nhiều tầng an ninh từ thấp đến cao và bổ túc cho nhau.

Mất máy, máy bị ăn cắp 

• Không nối vào các nơi làm việc, hoạt động với các dữ kiện hệ trọng, nếu đường liên lạc không được mã hóa (bằng VPN Virtual Priate Network hay bằng SSL với giao thức HPPS)
• Khi cần truy cập vào mạng Internet, cần tránh truy cập vào các web site “lạ” tại các nơi trên.
• Khi nối bằng Wifi, mức độ mã hoá phải tối thiểu WPA hay tốt hơn là WPA2 (128 bits) nhằm phòng chống lại kẻ ở giữa nghe lén (Man In The Middle)
• Không mở các hồ sơ quan trọng trong máy ở nơi công cộng có nhiều người có thể nhìn thấy được. Cần tìm một nơi khuất, lưng phải tựa vào tường, để tránh có kẻ nhìn trộm đằng sau lưng.
• Luôn luôn mang máy vi tính trong hành lý mang tay và đem lên phi cơ, không bao giờ gởi hành lý có máy vi tính, không rời xa hành lý có máy vi tính, luôn mang theo nếu dời xa chỗ ngồi trên phi cơ, trên xe lửa hay trong khách sạn.
• Không bao giờ cho người khác mượn máy vi tính, khi không sử dụng nữa nên tắt hẳn máy
• Nên mang theo một thẻ nhớ USB có mã hóa chứa các hồ sơ quan trọng, các hồ sơ này không sao chép trong máy vi tính để phòng hờ trường hợp máy bị quan thuế tịch thu.

• Cần khoá (block khả năng autorun từ thẻ nhớ USB) trên máy vi tính
• Nên dùng thẻ nhớ của chính mình để chuyển hay nhận hồ sơ cho an toàn hơn. Cần giải mã trước tập hay directory đã được mã hoá để tránh tạo sự tò mò
• Khi nhận hồ sơ nên quét thẻ nhớ USB ngay, trước khi chép vào đĩa cứng trong máy vi tính
• Các nhu liệu mã hoá miễn phí có thể dùng : TrueCrypt (đĩa cứng), FlexCrypt (www.flexcrypt.com) , Zed (www.primx.eu) , PGP (http://www.pgpi.org/products/pgp/versions/freeware/winxp/8.0) , GnuPG (http://gpg4win.org/)

• Nếu không tránh được, nêu tạo ra một account khách mời (invite)
• Yêu cầu không được tải xuống bất cứ chương trình software nào. Tốt nhất là nêu activate account control (cần đánh vào mật khẩu administrator nếu muốn thiết trí một nhu liệu mới)
• Khi bắt buộc phải cho sử dụng máy của mình, nên có mặt tại chỗ, đứng đằng sau lưng để xem xét
• Sau khi cho sử dụng xong, nên cho quét máy ngay (scan anti virus, anti spyware)

• Cần quét thường xuyên (scan với Ccleaner) để xoá an toàn các hồ sơ không sử dụng nữa trong máy, ngay sau khi mỗi khi mở, làm việc trên các hồ sơ quan trọng.
• Cần sao chép các hồ sơ quan trọng ra bên ngoài và lưu giữ trên một thẻ nhớ USB hay removable disk có mã hoá, để tránh trường hợp mất hết hồ sơ khi máy bị tịch thu.
• Không giữ mật khẩu trong máy trừ khi mã hóa hồ sơ này. Luôn luôn xoá (clear) cache PGP hay của một chương trình mã hóa khác, để tránh pass phrase (mật khẩu) dùng cho mã hóa bị lộ
• Cương quyết từ chối không cung cấp mật khẩu mã hóa.

Những Biện Pháp An Ninh Điện Toán Kỹ Thuật

Đối với những rủi ro gây ra bởi malware, mỗi rủi ro đều cần có biện pháp phòng chống nhiều tầng (multi layer defense)

Các mức độ an ninh của máy vi tính được chia thành 4 mức độ từ thấp đến cao như sau :

Mức độ 1: Mức an ninh đạt 80% (70% kỹ  thuật + 10% cách sử dụng) liên hệ đến 99% người sử dụng Internet (ước lượng 1.980.000.000)

Mức độ 2: Mức an ninh đạt 95% (85% kỹ  thuật  + 10% cách sứ dụng) liên hệ đến 0,95%  người sử dụng Internet (ước lượng khoảng 19.000.000)
Mức độ 3: Mức an ninh đạt 99%, (89% kỹ  thuật  + 10% cách sử dụng) liên hệ đến 0,049%  người sử dụng Internet (ước lượng khoảng 1.980.000)

Mức độ 4: Mức an ninh đạt 99%+  liên hệ đến 0,001% —>   20.000

Mức độ 1 

• Anti virus, cập nhật, quét thường xuyên  (để khám phá và diệt trừ, cô lập các malware)
• Anti spyware, cập nhật, quét thường xuyên
• Cập nhật thường xuyên về an ninh để vá các lỗ hổng an ninh (patch security update).

• Ở mức độ 1 về an ninh, khi áp dụng triệt để các biện pháp phòng chống, mức độ an ninh tổng quát đạt khoảng 80%
• Rủi ro cao nhất vẫn đến từ việc bị malware tấn công
• Danh sách các URL các nhu liệu anti virus, anti spyware miễn phí (nofirewall.blogspot.com)
  • Microsoft Security Essentials http://www.microsoft.com/security_essentials/
  • Comodo Security suite http://www.comodo.com/home/internet-security/free-internet-security.php
  • AVG http://free.avg.com/us-en/homepage
  • AVAST http://www.avast.com/index
  • Avira http://www.avira.com/en/for-home
  • Bản xếp hạng các nhu liệu anti virus, anti spyware theo mức hiệu quả của khả năng khám phá và tiêu diệt các malware.
  • http://us.generation-nt.com/review-free-antivirus-virus-antispyware-spyware-antirootkit-rootkit-avira-avast-review-2028861-1.html
  • Các security suite mới đây đều có một số khả năng giới hạn chống root kit và Firewall và tương đối có hiệu quả khá đồng đều với nhau. Nếu có khả năng nên mua phiên bản thương mại ra, sẽ có được nhiều options hơn.

• Cần liệt kê ra những nhu liệu đang sử dụng để activate cách cập nhật các vá (Patch). Ngoài các vá của Mirosoft hay Mac, cần tải xuống các vá của Adobe Reader, Flash Player, Itunes (Mac).
• Cho hệ thống điều hành Windows và Mac, nên activate (bật) khả năng cập nhật các vá (patch) một cách tự động (ngay cho cả các chương trình ứng dụng như Microsoft Office, Adobe Reader, …)
• Cần lấy option cập nhật hàng ngày và quét thường xuyên toàn bộ các điã cứng vào ban đêm, ít nhất 2 lần một tuần và tiêu diệt tự động mọi malware khám phá ra được (lúc đó, tắt Wifi hay rút giây network ra khỏi máy)
• Cần xem xét nhu liệu có chạy thường xuyên trên máy (check icône trên task bar và process trên bảng CRTL+ALT+SUP)
• Cần tham khảo thường xuyên kết quả các đợt quét xem có gì đáng quan tâm hay không.

Mức độ 2

• Anti rootkit, (nhằm phá vỡ việc che dấu malware)
• Firewall để ngăn chặn các liên lạc không được cho phép ra bên ngoài.
• Mã hóa một phần (partition) đĩa cứng, mã hoá các hồ sơ lưu trữ, gởi đi

• Ở tầng 2 về an ninh, khi áp dụng triệt để các biện pháp phòng chống, mức độ an ninh tổng quát đạt khoảng 95% (trừ rủi ro đến từ các malware loại “0 day “, có nghĩa là chưa có ấn dấu)
• Rủi ro cao nhất vẫn đến từ malware qua điện thư (email), tải xuống hồ sơ, truy cập vào web site bị nhiễm malware. ở tầng này, việc mã hoá các hồ sơ, quan trọng sẽ giúp chống lại việc tài liệu bị lọt ra ngoài, khi máy bị mất hay bị ăn cắp hay bị malware loại trojan.
• Danh sách các nhu liệu anti rootkit, firewall cá nhân và mã hóa miễn phí
• Anti rootkit
  •  Spybot Search and Destroy http://www.safer-networking.org/en/index.html
  •  Sophos anti rootkit http://www.sophos.com/fr-fr/products/free-tools/sophos-anti-rootkit.aspx

• Firewall
  • PC Tools Firewall Plus Free Firewall
  • Privatefirewall
  • Zone Alarm Free Firewall 2012
• Mã hóa
  • PGP
  • TrueCrypt
  • FlexCrypt
  • Zed
• Nên sử dụng 2 loại anti rootkit khác nhau để đối chiếu các kết quả tìm thấy
• Nếu lưu giữ loại hồ sơ quan trọng, nên mã hóa ở mức hồ sơ (PGP) và toàn bộ đĩa cứng (TrueCrypt)
• Định nghĩa rootkit : cụm từ đến từ hệ thống điều hành UNIX nay cũng hiện hữu trong hệ thống điều hành Windows. Một hệ thống bao gồm một số mệnh lệnh và function với mục tiêu tạo ra một context quản trị viên (administrator) để che dấu hoạt động của các malware.

• Cần lấy option của Firewall : “tất cả những liên lạc ra bên ngoài, cần phải được sự chấp thuận (click vào OK)”, để khám phá và ngăn chặn những liên lạc bí mật ra bên ngoài, chỉ dấu của máy bị nhiễm malware loại trojan (có function key logger : thu lại những chữ đánh trên bàn phím như mật khẩu đề gởi lén ra ngoài)
• Nên khởi động (launch) nhu liệu anti rootkit chuyên biệt, phụ thêm vào nhu liệu anti virus, anti spyware đã có ở mức độ 1, ít nhất 1 tuần 1 lần. Nhất là sau khi truy cập vào các web site không quen thuộc. Hiện nay, ước lượng khoảng vài triệu web site (trên tổng số hơn 500 triệu) bị nhiễm malware và trở thành máy chủ (server) để phân phối malware.
• Cần thận khi phân tích kết quả tìm kiếm của nhu liệu anti rootkit (AVG, Sophos, …) vì có thể liệt kê ra những loại hồ sơ không phải là root kit. Cần xác định bằng cách chuyển lên web site www.virustotal.com hay www.threatexpert.com để kiểm chứng có đúng là malware loại rootkit không.
• Cần sử dụng loại nhu liệu rà soát các process thông dụng như sysinternals (http://technet.microsoft.com/fr-fr/sysinternals) để kiểm soát xem có những process khả nghi (suspicious) nào đang chạy trong máy hay không (process explorer V11.02).

Mức độ 3

• Mức độ 1 + 2
• Thẩm định rõ rệt mức độ các rủi ro (Risks Analysis)
• Quan tâm đến các cảnh báo (security alert) để phòng chống
• Phòng chống malware “0 day “, khi chưa tìm ra được dấu ấn của malware. Stormshield
• Kiểm soát registry

• Ở tầng 3 về an ninh, khi áp dụng triệt để các biện pháp phòng chống, mức độ an ninh tổng quát đạt khoảng 99% (trừ rủi ro đến từ các malware loại “0 day “đặc biệt, có nghĩa là chưa có dấu ấn và nhằm vào một số mục tiêu nhất định). Ờ mức này, với sự hiểu biết các rủi ro trên mạng và về an ninh máy vi tính, xác xuất bị xâm nhập rất thấp.
• Nếu máy được sử dụng vào một số lưu trữ dữ kiện quan trọng, đặc biệt, cần tiến hành một thẩm định mức độ rủi ro (risks analysis, method EBIOS, MEHARI, MARION, SANS (www.sans.org), Risk Management Guide của NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf , để lượng định những rủi ro cao nhất cần phòng chống và mức độ an ninh và các biện pháp kỹ thuật cần thiết.
• Cần ghi danh và thu nhận những cảnh báo đến từ những cơ quan an ninh thông tin quốc gia (National CERT Computer Emergency Response Team, CERT-US, ANSSI (Pháp), BSSI (Đức), ENISA (Liên Âu)), và từ các phòng thí nghiệm về an ninh thông tin (security labs) của các công ty lớn về an ninh thông tin (McAfee, Sophos, Symantec, …). Nhận những cảnh báo này giúp cho chúng ta biết trước một số rủi ro (risks), đe dọa (threats) hay yếu kém (vulnerabilities) đang xảy ra trên mạng và có một số biện pháp phòng chống tối thiểu cần làm ngay.

• Cần lấy algorithm mã hóa symetric một chìa khóa AES (Advanced Encryption Standard với độ dài (key length) 128 bits thay thế DES hay 3DES), hay algorithm mã hóa asymetric RSA 2048 bits 2 chìa khóa để có một mức độ an ninh vừa phải chống lại khả năng giải mã (decryption) trong một tương lai nhìn thấy được.http://www.cryptovision.com/fileadmin/media/documents/Whitepaper_Produkte/Modern_Cryptography.pdf
• Khi nhận được security alert, cần xem xét ngay cảnh báo có liên quan trực tiếp đến việc sử dụng máy vi tính, điện thư, skype, nhu liệu mã hóa, Adobe Reader, Microsoft Office hay không. Nếu có cần áp dụng ngay những khuyến cáo.
• Cần tải xuống và thiết trí Stormshield Personal Edition (http://spe.skyrecon.com/update/setup.exe), nhu liệu miễn phí cho máy vi tính, có khả năng chống lại các yếu kém vulnerabilities “ 0 day “, và chống lại các key logger một cách tự động. Stormshield không diệt malware, nhưng có khả năng ngăn chặn (block) hoạt động khả nghi (suspicious) của malware (thí dụ như nâng cấp quyền hạn thành administrator, mở ra cổng (port) mới để liên lạc ra bên ngoài, sửa đổi registry để bám vào máy, …)
• Sử dụng Ccleaner hay một nhu liệu khác chuyên duyệt xét registry như PCTools Registry Mechanic để xoá thường xuyên và rà lại registry.
• Quan tâm đến thời hạn hết chu kỳ bảo trì các phiên bản hệ thống điều hành, các chương trình ứng dụng (application), để chuyển sang (migration) sang phiên bản mới hơn.

Mức độ 4

• Mức độ 1 + 2 +3
• Xây dựng khả năng điều tra, truy tìm malware (forensic)
• Xây dựng khả năng phân tích mã lệnh của malware để tìm ra mục tiêu, cách thức hoạt động, nguồn gốc của người chế tạo ra malware (reverse engineering)

• Ở tầng 4 về an ninh, khi áp dụng triệt để các biện pháp phòng chống, mức độ an ninh tổng quát đạt khoảng 99%+ (trừ rủi ro đến từ các malware loại “0 day “đặc biệt, có nghĩa là chưa có dấu ấn và nhằm vào một số mục tiêu nhất định). Ờ mức này, với sự hiểu biết các rủi ro trên mạng và về an ninh máy vi tính, xác xuất bị xâm nhập rất thấp.
• Đây là tầng duy nhất có đề cập đến khả năng truy tìm nguồn gốc, những đặc điểm của malware và nếu cần phản công trên mặt pháp lý và kỹ thuật.
• Cần xây dựng khả năng điều tra và truy tìm malware (forensic) của các chuyên viên điện toán về an ninh điện tử qua các khoá thực tập https://www.sans.org/security-training/advanced-computer-forensic-analysis-incident-response-98-mid, http://www.digitalintelligence.com/forensictraining.php , http://hsc-formation.fr/formations/forensic.html.fr

• Cần quan tâm đến việc bảo quản tất cả những dữ liệu được sử dụng để điều tra, không được thay đổi (no write).
• Tìm ra trong khối lượng dữ kiện của image memory và image disk, địa chỉ IP, dấu ấn (signature) của người chế tạo ra malware, qua việc phân tích mã lệnh (code analysis), tìm ra các cách thức xâm nhập, tự tồn tại trong máy, tự che dấu, cách thức thu thập dự kiện, thay đổi dự kiện và gởi về người chủ malware.
• Tìm kiểm dấu vết xác định malware có thuộc một botnet như Zeus, TLD4, Mariposa, … http://www.damballa.com/downloads/r_pubs/WP_Malware_Samples_Botnet_Detection.pdf , để block bằng firewall.
• Lập hồ sơ với đầy đủ dữ kiện để gởi cho ISP, cơ quan cung cấp dịch vụ mạng và cơ quan an ninh mạng sở tại để có một số biện pháp (active) cần thiết.