Các Thủ Thuật An Ninh Mạng Từ Một Cựu Hacker – HieuPC
Gần đây, sự kiện hacker HieuPC (Ngô Minh Hiếu) – người được Cơ quan Mật vụ Mỹ nhận định là hacker gây ra thiệt hại khủng khiếp nhất về tài chính cho cư dân Mỹ – trở về Việt Nam sau 7 năm thụ án tại Mỹ nhận được sự quan tâm lớn của anh em trong ngành CNTT. Mình cũng như bao anh em khác, thật tò mò muốn biết sau khi trở về, anh HieuPC sẽ làm gì tiếp theo … sẽ tiếp tục là BlackHat, GrayHat hay là WhiteHat?
Mà thú thực, dẫu anh HieuPC nói sẽ trở thành WhiteHat để cống hiến năng lực của mình cho xã hội thì cũng không thể tránh được sự hoài nghi của nhiều người. Tuy nhiên, trong quá trình trao đổi với anh HieuPC, mình luôn cảm nhận được sự chân tình của anh ấy, khác hẳn với suy nghĩ về hình tượng một hacker lừng lẫy bị FBI truy lùng gắt gao và phải ngồi tù vì những hành động sai trái của mình. Đâu đó trong các lời nói của anh Hiếu luôn toát lên một tinh thần mãnh liệt muốn chuộc lại những lỗi lầm khi xưa của mình, và quan trọng hơn là muốn mọi người tránh đi vào vết xe đổ của mình.
LỜI NÓI ĐẦU
Cuối năm 2019, tôi đã được thả khỏi nhà tù liên bang Mỹ sau khi hoàn thành một phần của bản án 13 năm. Tôi – một cựu hacker – và là một kẻ đánh cắp thông tin cá nhân chuyên nghiệp. Năm 16 tuổi, tôi bị cuốn hút bởi máy tính và công nghệ thông tin, có thể là do gia đình tôi có một cửa hàng điện tử nhỏ ở Việt Nam. Thông qua Google và các tạp chí về công nghệ, tôi đã học về tấn công xâm nhập (hacking) và bảo mật (security). Lúc đầu, hacking với tôi chỉ là một sở thích và tôi chỉ hack cho vui. Nhưng sau đó, tôi thấy rằng mình có thể kiếm tiền một cách dễ dàng bằng cách hack các websites và đánh cắp thông tin cá nhân. Tôi cảm thấy đời mình thật tươi đẹp, tôi nghĩ rằng mình có thể phụ giúp cho gia đình. Nhưng không, càng nhiều tiền kiếm được đồng nghĩa với việc tôi phải ở trong tù và rời xa gia đình tôi lâu hơn.
Trong tù, tôi nhận ra mình đã làm hại cuộc sống của rất nhiều người và tôi đã được nỗi đau của họ. Đó là lý do lớn nhất khiến tôi viết tài liệu những hướng dẫn bảo mật an ninh mạng này. Tôi hy vọng nó sẽ giúp đỡ được thật nhiều người. Đây cũng là cơ hội để tôi nói lời xin lỗi với tất cả mọi người. Nhà tù là một nơi rất khắc nghiệt, nhưng nó cho tôi thời gian để suy nghĩ về cuộc đời và những lựa chọn của mình. Tôi cam kết với bản thân phải làm những điều có ích và sống tốt hơn mỗi ngày. Tôi hiểu rằng tiền chỉ là một phần của cuộc sống và tiền không phải là tất cả, nó không thể mang lại hạnh phúc đích thực cho bạn. Tôi hy vọng những tội phạm an ninh mạng ngoài kia có thể học được nhiều điều từ bài học kinh nghiệm của tôi. Tôi hy vọng họ sẽ dừng những việc mình đang làm, thay vào đó sử dụng kỹ năng của họ để giúp thế giới tốt đẹp hơn.
Hướng dẫn bảo mật này chỉ là bước mở đầu trong hành trình cống hiến những điều tốt đẹp cho xã hội của tôi. Tôi đã mất rất nhiều tháng để thực hiện dự án này với vô số lần chỉnh sửa, tôi viết và nghiên cứu bất kể ngày đêm. Trong tù, tôi phải đối mặt với rất nhiều thử thách: Không có Microsoft Word, không Google và không Internet. Giải pháp của tôi là viết bằng bút và giấy, sau đó nhập những nội dung đó vào hệ thống nhắn tin (online messaging system) mà chúng tôi được phép sử dụng. Đó là hệ thống cho phép chúng tôi giữ liên lạc với gia đình và bạn bè. Nó không phải là một trình soạn thảo văn bản, nhưng vẫn cảm ơn vì ít ra nó cũng có chức năng kiểm tra lỗi chính tả.
Tôi đã gửi bản thảo của tôi cho Jonathan Lusthaus để chuẩn bị cho việc công bố. Tôi rất biết ơn vì sự hỗ trợ và sự động viên anh ấy đã dành cho tôi. Tôi cũng cảm ơn sự hỗ trợ của gia đình, bà ngoại tôi và những người thân yêu khác. Tôi xin dành tặng tài liệu này cho những người đã mất: Bob và Roy. Tôi cũng cám ơn người yêu cũ của mình vì đã truyền cảm hứng để tôi có thể thực hiện dự án này.
Tôi rất hạnh phúc vì đã hoàn thành tài liệu này. Hy vọng bạn, những người dùng phổ thông trên mạng Internet sẽ cảm thấy nó hữu ích trong việc nâng cao sự an toàn cũng như bảo vệ quyền riêng tư của mình. Tôi viết tài liệu này với tư cách một hacker, người đã hưởng lợi rất nhiều từ các lỗ hổng bảo mật nhung nhiều thủ thuật trong đây rất dễ sử dụng và phổ biến trong lĩnh vực an ninh mạng. Tôi hy vọng chúng sẽ được thật nhiều người áp dụng.
Tài liệu này được viết trong thời gian tôi ở trong tù, do đó không có đủ điều kiện để kiểm tra hoặc nghiên cứu kỹ mọi thứ. Nếu bạn là một người có nhiều kiến thức về công nghệ và tìm thấy những lỗi hoặc thông tin chưa chính xác thì tôi thành thật xin lỗi. Rất mong bạn hiểu và thông cảm cho sự cố gắng của tôi. Trong nhiều trường hợp, tôi chỉ có thể đưa ra ý kiến của mình về bảo mật và bảo vệ quyền riêng tư, mọi người cần cẩn trọng và chịu trách nhiệm về lựa chọn của mình. Tuy nhiên, đây là những vấn đề cần được xem xét một cách nghiêm túc, thế giới ngoài kia có rất nhiều kẻ xấu và luôn dõi theo từng bước đi của bạn – tôi đã từng là một người như thế.
GIỚI THIỆU
Tài liệu này sẽ hướng dẫn bạn những phương pháp thực tế để bảo vệ mình trên không gian mạng và những thủ thuật giúp bạn bảo vệ tốt hơn quyền riêng tư của mình. Mục tiêu chính là giúp những người dùng Internet phổ thông có thể giảm rủi ro về một mức độ có thể chấp nhận được, bởi vì bạn không thể loại bỏ hoàn toàn rủi ro khi sử dụng môi trường Internet. Trển thực tế, không có cách nào để đảm bảo an toàn một cách tuyệt đối. Mục tiêu của chúng ta là nâng chi phí phải đánh đổi khi thực hiện tấn công lên một mức không còn đáng giá so với lợi ích mà những hacker, tội phạm mạng và gián điệp mạng nhận lại được.
Công nghệ không ngừng phát triển từng ngày, từ những máy chủ, máy tính bàn, máy tính xách tay đến các máy tính bảng. Hiện nay, mỗi người đều sở hữu cho mình một chiếc điện thoại thông minh – mà chính bản thân nó cũng được xem là một “máy tính”. Trong quyển sách “Future Crimes” của mình, Marc Goodman đã đề cập “Bất cứ thứ gì khi được kết nối đều có thể bị tấn công” (“Everything is connected, everything is vulnerable”). Thực tế là vậy, Internet có thể giúp chúng ta ngồi tại chỗ và ngao du khắp thế giới, cho chúng ta rất nhiều ý tưởng và thông tin đánh giá. Internet giúp kết nối mọi người, cho phép bạn kết nối với những người bạn mới ở khắp nơi trên thế giới. Với Internet of Things (IoTs), thậm chí các thiết bị gia dụng cũng có thể sử dụng web để giúp cuộc sống của con người thuận tiện hơn.
Nhưng cũng không thiếu những tin tức về việc các cá nhân và tổ chức bị tấn công vẫn đang diễn ra hàng ngày trên khắp thế giới. Trong những năm gần đây, những kẻ xấu đã khai thác các thiết bị IoT ở những gia đình và văn phòng để tạo nên một mạng lưới botnet mạnh mẽ. Họ có thể dùng mạng lưới này để đánh sập một hệ thống máy chủ bằng cách tấn công từ chối dịch vụ (DOS). Họ cũng có thể dùng mạng bonet để gửi email rác (spam), email lừa đảo (phishing) hoặc đánh cắp các thông tin tài chính.
Sự thiếu kiến thức về bảo mật trên môi trường trực tuyến (online security) và quyền riêng tư (privacy) cần phải được nghiêm túc xem xét trong thời đại này. Chúng ta đang sống trong kỷ nguyên số, nơi mà mọi thứ đều được kết nối với nhau. Đây là lúc quan trọng hơn bao giờ hết để chúng ta dừng lại một chút và đặt câu hỏi xem liệu thiết bị chúng ta đang dùng hoặc các thông tin cá nhân của chúng ta có bị đánh cắp hay không. Thiệt hại gây ra có thể ảnh hưởng nặng nề đến cả mặt vật chất lẫn tinh thần của chúng ta. Cái gì cũng có hai mặt của nó, Internet cũng vậy: mặt lợi và mặt hại.
Những dịch vụ trực tuyến miễn phí như Google, Facebook, Twitter, Snapchat, Instagram “miễn phí” vì có lý do của nó. Cái giá mà bạn đang trả cho các dịch vụ miễn phí đó chính là quyền riêng tư của chính mình. Các công ty đó cung cấp cho chúng ta những lợi ích tuyệt vời, kết nối bạn với những người thân yêu, làm quen với những người bạn mới hoặc tìm giúp bạn kiếm thông tin mình cần. Nhưng trên thực tế, bạn đã từ bỏ nhiều quyền lợi của mình bằng cách chấp nhận các điều khoản sử dụng (TOS) dài dòng và nhàm chán của họ, thứ mà bạn không bao giờ đọc! Các công ty thu thập dữ liệu của bạn để phát triển sản phẩm, dịch vụ của họ, và họ cũng có thể bán dữ liệu của bạn cho các nhà quảng cáo, các tổ chức khác hoặc thậm chí là giao nộp chúng cho chính phủ.
Những dữ liệu nhạy cảm của bạn cũng đang phải đối mặt với các rủi ro. Khi dữ liệu được lưu trữ trên các máy chủ trên khắp thế giới, chúng trở thành mục tiêu của những hackers, tội phạm mạng và gián điệp mạng. Những kẻ xấu làm việc không ngừng nghỉ để tìm cách khai thác những dữ liệu đó. Họ có thể tìm ra những lỗ hổng trên máy hệ thống, hoặc dụ những nhân viên khiến họ vô tình download các phần mềm độc hại (malicious software).
Quyền riêng tư là một quyền vốn có của con người. Đây là cơ hội cho bạn học cách để bảo vệ quyền riêng tư của mình, cả trên môi trường trực tuyến và môi trường thực tế. Tin vui là các công nghệ bảo mật luôn được phát triển và cập nhật từng ngày để chống lại những kẻ xấu ăn cắp thông tin nhạy cảm của bạn. Tuy nhiên, bạn không thể dựa hoàn toàn vào chúng cũng như bộ phận IT. Một sự bảo mật tốt đòi hỏi phải có sự kết hợp giữa tổ chức và các người dùng cá nhân. Chẳng hạn, các cá nhân luôn là đối tượng nhạy cảm của kiểu tấn công “social engineering”, bộ phận IT không thể ngăn cản khi người dùng bị những kẻ tấn công lừa để cung cấp thông tin cá nhân cho họ hoặc click vào các đường dẫn chứa mã độc.
Tài liệu này viết ra dành cho bạn – những người dùng Internet phổ thông. Cách tốt nhất để đương đầu với bảo mật trực tuyến (online security) và bảo vệ quyền riêng tư là phải hiểu rõ bạn đang đối mặt với ai. Người xưa đã từng nói “biết địch biết ta, trăm trận trăm thắng”, với tư cách là một cựu hacker, tôi hy vọng mình sẽ cung cấp cho bạn một cái nhìn sâu hơn về những phương pháp đơn giản (và trung cấp) liên quan đến bảo mật và bảo vệ quyền riêng tư để giúp bạn an toàn hơn.
Các Thủ Thuật An Ninh Mạng Từ Một Cựu Hacker
Không chỉ dừng lại ở lời nói, “the result speaks for itself”, Hưng cũng bất ngờ khi nhận được tài liệu “Online Security Tips From A Former Hacker”, tập tài liệu tâm huyết được anh HieuPC viết khi đang thụ án trong tù. Được biết, đây chỉ là bước khởi đầu trong mong muốn cống hiến cho xã hội của HieuPC, và là minh chứng cho những tuyên bố của anh. Tài liệu được viết ra với mục đích giúp cho những người dùng phổ thông (những người dùng không chuyên về công nghệ thông tin) có thể thực hiện các thao tác đơn giản để tự bảo vệ mình trước sự dòm ngó của các tội phạm mạng – những người mà HieuPC đã từng. Tài liệu gồm các phần:
- Tự sự của một cựu hacker – một tội phạm an ninh mạng.
- Top 10 thủ thật an ninh mạng.
- Bảo mật tài khoản.
- Quản lý mật khẩu.
- Bảo mật trình duyệt web.
- Bảo mật hệ điều hành.
- Bảo mật dữ liệu và kết nối.
- Bảo mật đường truyền Internet.
Chia sẻ kiến thức và giúp đỡ cho cộng đồng cũng là sứ mệnh mà trước giờ Hưng luôn theo đuổi, và là lý do Hưng lập ra Group “Quản Trị Linux”. Vì thế, nên khi đọc tài liệu của anh Hiếu, Hưng cảm nhận được rất rõ sự chân tình và tâm huyết dành cho cộng đồng của anh ấy. Tài liệu nguyên bản được anh HieuPC viết bằng Tiếng Anh, nhưng vì nó được viết dành cho những người dùng phổ thông nên anh HieuPC muốn hỗ trợ dịch nó sang tiếng Việt, để có thể phổ biến đến nhiều người hơn, và Hưng đã ngay lập tức nhận nhiệm vụ này!
Để tránh sự hoài nghi và giúp tài liệu được lan tỏa đến nhiều người, bài viết sẽ để tài liệu trên Google Docs, các bạn có thể click và để xem trực tiếp:
– Title: Online Security Tips From A Former Hacker (Những thủ thuật an ninh mạng từ một cựu Hacker)
– Author: HieuPC
– Link (Tiếng Việt): Xem bài viết
– Link (Tiếng Anh): Download
– Dịch: Hưng Nguyễn aka Bo [at] Quản Trị Linux
Về phương diện cá nhân, đây là một tài liệu rất thực tế, các hướng dẫn trong đây rất sát sườn và cần thiết để thiết lập bảo mật cá nhân ở mức độ chấp nhận được. Ngoài ra, tác giả bổ sung thêm 1 vài điểm các bạn có thể cân nhắc:
– Đặt Master Password cho Browser để tránh tình trạng bị người khác xem trộm “Saved Password”.
– Luôn đặt password cho “Screensaver” và khóa máy tính khi không sử dụng.
– Hãy luôn cảnh giác với các yêu cầu nhập thông tin tài khoản như Email, tài khoản Facebook, tài khoản iCloud … hãy kiểm tra URL và độ tin tưởng của website trước khi nhập.
– Hãy luôn xem kỹ các yêu cầu cấp quyền với các ứng dụng được cài trên điện thoại trước khi chấp nhận chúng: thật bất thường nếu như một phần mềm chỉnh sửa ảnh lại yêu cầu quyền truy cập GPS, xem số điện thoại, tự động chạy mỗi khi bật máy hoặc can thiệp cấu hình mạng đúng không? (Ví dụ: Meitu, Pitu …)
“The goal is to do business with people who believe what you believe.” – Mình tin rằng anh HieuPC thực sự muốn cống hiến cho sự phát triển và tạo ra môi trường hơn an toàn cho cộng đồng. Còn bạn thì sao? Nếu bạn có cùng niềm tin thì hãy support cho anh ấy bằng cách giúp lan tỏa tài liệu này đến nhiều người hơn nhé.
Nguyễn Hưng – Quản trị Mạng & Tích hợp Hệ Thống, Bảo Mật, Clouds, DevNet, DevOps
Bài viết chỉnh lại đại từ nhân xưng cho phù hợp ngữ cảnh website