I. Các thông tin mà bạn gửi hoặc nhận trên Internet truyền tải dưới hình thức mở
II. Một vài trang web có thể giúp bạn bảo mật thông tin bằng cách xây dựng một hành lang để mã hoá thông tin khi truyền tải giữa chúng và máy điện toán của bạn.
III. Hành lang này được thành lập một cách tự động, được bạn xác nhận chính danh và có những chức năng đặc biệt nhằm giúp bạn biết được sự hiện diện của nó.
IV. Hệ thống an ninh này vẫn có thể bị xâm nhập qua cuộc tấn công mang tên Người Trung Gian (Man-In-The-Middle)
V. Bạn phải thật thận trọng xác minh lại những chứng chỉ an ninh từ các trang web cung cấp những đường kết nối đã được mã hoá sẳn.
Mã hoá đã và đang trở thành một trong những biện pháp cuối cùng để bảo đảm quyền riêng tư trên Internet. Nó cho phép chúng ta bảo đảm được rằng không một ai có thể đọc được những tin nhắn và những thông tin trao đổi trên Internet, ngoại trừ người được chỉ định. Một lớp bọc an ninh để phục vụ cho công tác mã hoá thậm chí còn được lắp đặt vào cơ sở hạ tầng Internet (Internet infrastructure) để bảo mật những trao đổi về tài chánh. Lớp bọc an ninh này có tên là Secured Sockets Layer, đại ý nghĩa là Vỏ Bọc An Ninh, được viết tắt thành SSL. Lúc vừa chào đời, SSL bị chống đối dữ dội bởi chính phủ Hoa Kỳ. Khi ấy, cả ba ngành trong chính quyền liên bang Hoa Kỳ (Lập Pháp, Tư Pháp, Hành Pháp) đều ngăn cấm tất cả những dịch vụ mã hoá bằng SSL, nếu sự mã hoá đó tạo khó khăn cho khả năng giải mã. Dần dần chính sách này được nới lỏng, nhờ vào sự nỗ lực liên kết đấu tranh của những nhà toán học và những nhà vận động trong thời kỳ với tên gọi là “Crypto Wars,”tức những cuộc chiến về mã hoá.
Ngày nay, SSL được xử dụng rộng rãi khắp mọi nơi trên Internet. Cái lợi của SSL trong các dịch vụ điện thư mạng (webmail) là ở chỗ kỹ thuật này đã được cài đặt sẳn trên Internet, cho nên những luật pháp quốc gia nhằm hạn chế việc mã hoá thông tin không thể áp dụng được. Nói cách khác, nếu một quốc gia cho phép Internet hiện diện trong trong phạm vi lãnh thổ của mình thì quốc gia ấy chấp nhận sự hiện diện của SSL, bởi vì SSL được xử dụng rộng rãi trong tất cả các hoạt động trên Internet. Những tổ chức cũng có thể (và họ thường làm vậy) cung cấp các dịch vụ điện thư nội bộ, cũng được bảo vệ bởi SSL. Đây là cách tối thiểu ngày nay để có được một mức độ riêng tư thích hợp khi trao đổi thông tin trên Internet.
Sự hiện diện và vận hành của SSL khi kết nối vào một trang web có thể được xác định một cách cụ thể bởi các yếu tố nổi bật sao đây:
Địa chỉ của trang web bắt đầu với https:// (mẫu tự 's' đại diện cho secure, tức bảo mật)
Ký hiệu của một ổ khoá nhỏ sẽ xuất hiện ở address bar hoặc bên dưới của tool bar, tùy thuộc vào Internet browser của bạn
Điều này có nghĩa là trang web mà bạn đang xem và Internet browser đã thoả thuận để thành lập một hành lang chung được mã hoá để trao đổi thông tin. Để tìm hiểu thêm tính bảo mật của cách này, chúng ta hãy tìm hiểu cách vận hành của SSL.
Chứng Chỉ SSL (SSL Certificate)
Hệ thống SSL vận hành theo quan niệm Public Key Infrastructure (PKI), nghĩa là hệ thống chìa khoá công cộng. Tất cả các trang web muốn sử dụng mã hoá bằng phương pháp SSL phải có được Chứng Chỉ SSL (SSL Certificate). Internet browser của bạn liên lạc với tổng đài mạng (web server) và mã hoá tất cả dữ liệu trao đổi giữ hai phía. Sự vững chắc của mã hoá đó tùy thuộc vào chứng chỉ SSL bên phía web server. Tiêu chuẩn an toàn trên Internet hiện nay là 128/256 bits, đủ mạnh để đối phó với hầu hết các tình huống xấu.
Internet Browser của bạn (nếu là Internet Explorer hay Mozilla Firefox) có sẵn một danh sách các Ủy Quyền (Certification Authority) để trao Chứng Chỉ SSL. Nếu bạn lướt vào trang mạng nào có cài SSL, thì browser của bạn sẽ tự động kiểm tra lại xem Chứng Chỉ SSL đó đáng tin cậy hay không, do Ủy Quyền nào trong danh sách cung cấp. Mỗi chứng chỉ SSL chứa đựng ít nhất các dữ kiện sau đây:
• Chià khoá giải mã của chủ nhân (máy điện toán)
• Tên thật hoặc bí danh của chủ nhân
• Ngày hết hạn của chứng chỉ
• Mã số của chứng chỉ
• Tên của tổ chức cung cấp chứng chỉ
• Chữ ký điện tử của tổ chức cung cấp chứng chỉ
Nếu Ủy Quyền cấp chứng chỉ SSL không có trong danh sách, hoặc nếu những chi tiết trong chứng chỉ SSL không ăn khớp với những chứng chỉ trong danh sách, thì điều này có thể gây ra một mối âu lo về an ninh. Vì vậy, browser của bạn sẽ phát ra một bản cảnh báo và cho phép bạn giám định lại chứng chỉ. Xem các hình bên dưới:
Lưu Ý: Các hình này sẽ không tự động hiện lên nếu bạn dùng Internet Explorer 6 hoặc thấp hơn. Trong trường hợp đó, bạn cần thiết lập chọn lựa sau đây:
Chọn: Tools > Internet Options
Nhấn chuột: Advanced
Kéo xuống danh sách (scroll down) đến phần “Securiy” đến khi bạn thấy một ô trống và dòng chữ “Warn about invalid certificate”kề bên. Hãy nhấn chuột (click) vào ô vuông đó.
Nếu bạn dùng Mozilla Firefox cũng có thể gặp phải trường hợp trên, mặc dầu màn hình sẽ khác, nhưng vấn đề vẫn giống nhau. Ở cả hai trường hợp trên, bạn cũng thể kiểm tra lại chứng chỉ (examining the certificate) và sau đó quyết định chấp nhận nó hay không. Nếu bạn không chấp nhận, bạn sẽ không được truy cập vào trang web bạn muốn. Nếu bạn chấp nhận nó (“Accept this certificate permanently” ở Mozilla Firefox), thì chứng chỉ và Ủy Quyền của nó sẽ được lưu vào danh sách tin cậy trong máy điện toán của bạn, và bạn sẽ không đuợc thông báo để chấp nhận một chứng chỉ như thế trong tương lại.
Lưu Ý: Các thế hệ browser khác nhau có thể đưa ra lời cảnh báo khác nhau. Tuy nhiên những căn bản kỹ thuật và phương cách ứng phó đều giống nhau.
Nếu bạn cần xác minh chứng chỉ SSL lại, thì bạn nên thấu hiểu những yếu tố nào cần lưu ý. Yếu tố chính để nhận diện một chứng chỉ SSL (thật) là dấu tay (fingerprint), cũng thường gọi là thumbprint (dấy tay cái). Dấu tay ở đây thật ra là một mã số điện tử đặc biệt mà mỗi chứng chỉ SSL đều có. Chỉ khi xác minh được dấu tay thật thì ta mới có thể an tâm rằng chứng chỉ SSL là chứng chỉ thật, và thật sự đã được cung cấp bởi các chủ nhân của trang web mà bạn đang xem. Để xác nhận chính danh của nó, bạn cần phải liên lạc với chủ nhân của trang web để đối chiếu dấu tay trực tiếp, hoặc gián tiếp qua điện thoại, fax và Internet chat.
Mặc dầu nghe có vẻ rất phiền phức, nhưng rất cần thiết để có một mức an ninh tốt. Phần kế đến trong tiêu đề này sẽ giải thích nguy cơ bị lộ của bạn nếu bạn không làm thêm quy trình này.
Nếu dấu tay không ăn khớp, xin đừng chấp nhận nối kết. Bạn sẽ không truy cập được và trang web như ý muốn, nhưng điều này sẽ bảo vệ bạn không trở thành nạn nhân của cuộc tấn công Người Trung Gian (xem bên dưới).
Nếu bạn dùng Mozilla Firefox cũng có thể gặp phải trường hợp trên, mặc dầu màn hình sẽ khác, nhưng vấn đề vẫn giống nhau. Ở cả hai trường hợp trên, bạn cũng thể kiểm tra lại chứng chỉ (examining the certificate) và sau đó quyết định chấp nhận nó hay không. Nếu bạn không chấp nhận, bạn sẽ không được truy cập vào trang web bạn muốn. Nếu bạn chấp nhận nó (“Accept this certificate permanently” ở Mozilla Firefox), thì chứng chỉ và Ủy Quyền của nó sẽ được lưu vào danh sách tin cậy trong máy điện toán của bạn, và bạn sẽ không đuợc thông báo để chấp nhận một chứng chỉ như thế trong tương lại.
Lưu Ý: Các thế hệ browser khác nhau có thể đưa ra lời cảnh báo khác nhau. Tuy nhiên những căn bản kỹ thuật và phương cách ứng phó đều giống nhau.
Nếu bạn cần xác minh chứng chỉ SSL lại, thì bạn nên thấu hiểu những yếu tố nào cần lưu ý. Yếu tố chính để nhận diện một chứng chỉ SSL (thật) là dấu tay (fingerprint), cũng thường gọi là thumbprint (dấy tay cái). Dấu tay ở đây thật ra là một mã số điện tử đặc biệt mà mỗi chứng chỉ SSL đều có. Chỉ khi xác minh được dấu tay thật thì ta mới có thể an tâm rằng chứng chỉ SSL là chứng chỉ thật, và thật sự đã được cung cấp bởi các chủ nhân của trang web mà bạn đang xem. Để xác nhận chính danh của nó, bạn cần phải liên lạc với chủ nhân của trang web để đối chiếu dấu tay trực tiếp, hoặc gián tiếp qua điện thoại, fax và Internet chat.
Mặc dầu nghe có vẻ rất phiền phức, nhưng rất cần thiết để có một mức an ninh tốt. Phần kế đến trong tiêu đề này sẽ giải thích nguy cơ bị lộ của bạn nếu bạn không làm thêm quy trình này.
Nếu dấu tay không ăn khớp, xin đừng chấp nhận nối kết. Bạn sẽ không truy cập được và trang web như ý muốn, nhưng điều này sẽ bảo vệ bạn không trở thành nạn nhân của cuộc tấn công Người Trung Gian (xem bên dưới).
Điện Thư Được Bảo Mật (Secure Email)
Tuy ứng dụng SSL đã được gài đặt ở cơ sở hạ tầng của Internet, nhưng nó không bảo đảm an toàn cho các đường kết nối vào trương mục điện thư cá nhân trên Internet. Việc này cũng áp dụng cho webmail (điện thư trên Internet toàn cầu, như của Google hoặc Yahoo) và hosted email (điện thư nội bộ dành riên cho thành viên của một tổ chức). Một vài dịch vụ webmail có các biện pháp bảo đảm an toàn miễn phí là:
https://mail.riseup.nethttps://bluebottle.com
https://fastmail.fm
https://mail.google.com (an option in 'Settings' can force an SSL connection)
Tuy ứng dụng SSL đã được gài đặt ở cơ sở hạ tầng của Internet, nhưng nó không bảo đảm an toàn cho các đường kết nối vào trương mục điện thư cá nhân trên Internet. Việc này cũng áp dụng cho webmail (điện thư trên Internet toàn cầu, như của Google hoặc Yahoo) và hosted email (điện thư nội bộ dành riên cho thành viên của một tổ chức). Một vài dịch vụ webmail có các biện pháp bảo đảm an toàn miễn phí là:
https://mail.riseup.nethttps://bluebottle.com
https://fastmail.fm
https://mail.google.com (an option in 'Settings' can force an SSL connection)
Những dịch vụ webmail này cho phép bạn truy cập vào trương mục điện thư của bạn với đường kết nối đã được mã hoá để bạn trao đổi thông tin một cách an toàn hơn. Mặc dầu các dữ liệu trao đổi vẫn có thể bị sàng lọc hoặc giám sát, nhưng hầu như không cách nào để kẻ gian có thể đoán ra nội dung hoặc giải mã được thông tin mà bạn trao đổi.
Chu kỳ an toàn điện thư
Bạn hãy nghĩ rằng người nhận điện thư của bạn có thể không dùng các biện pháp an toàn tương tự như bạn khi truy cập vào trương mục thư tín điện tử của họ. Vì vậy, ngay khi bức điện thư của bạn được gửi đến mạng thư tín của người nhận, nó sẽ có xu hướng theo tiêu chuẩn an ninh mạng của người nhận, do người nhận đã cài đặt trên máy của họ. Nếu người nhận kết nối vào mạng để vào trương mục điện thư của họ một cách cởi mở, thiếu thận trọng (không mã hoá), kẻ gian tại nơi cung cấp dịch vụ mạng, hoặc tại cổng điện tử quốc gia có thể trộm lướt nhìn hoặc đọc toàn bộ bức điện thư do bạn gửi.
Để bảo đảm và duy trì an ninh và sự riêng tư với mức độ cao khi liên lạc bằng thư điện thư, cả hai phía phải được kết nối an toàn đến tổng đài điện thư (mail server), bằng cách này hoặc cách khác có thể. Nếu sự mong muốn của bạn là “thoát khỏi” sự kiểm soát tại quốc gia, nơi mà bạn gởi điện thư đi, hoặc nếu đường truyền điện thư giữa bạn và người nhận tuyệt đối an toàn và không cần chú tâm thì bạn có thể không chú ý đến ví dụ dưới đây. Nhưng, hãy nhớ để duy trì chu kỳ an toàn riêng tư và an ninh gữa các mối liên lạc, bạn phải luôn luôn hình thành một mô hình và rèn luyện kỹ năng an toàn mạng thật tốt.
Điện thư thường di chuyển trên mạng giữa các server, thường không được mã hoá và có thể dễ bị đọc lén. Và hãy quan tâm đến vấn đề an ninh hơn nếu cả hai (người gửi và người nhận điện thư) cùng xử dụng dịch vụ SSL webmail giống nhau. Bởi vì tuy rằng đường nối kết vào trương mục điện thư của bạn được mã hoá, nhưng vì webmail server lưu trữ và điều phối những bức điện thư của bạn, cho nên những trao đổi bằng điện thư của bạn vẫn có thể bị lộ nếu nhân viên quản lý webmail server cố tình đột nhập, hoặc webmail server bị tin tặc (hacker) tấn công. Bạn có thể tìm hiểu về mức độ an ninh và sự khả tín của nhà cung cấp webmail mà bạn đang xử dụng, cũng như vị trí của những server phục vụ cho dịch vụ webmail đó. Những yếu tố này có thể trở thành một vấn đề lớn nếu chính phủ sở tại, ví dụ như chính phủ Hoa Kỳ, ban hành pháp lệnh tịch thu các server và những thông tin và điện thư bên trong. Những webmail server nêu trên được đặt tại các quốc gia sau đâu:
https://mail.riseup.net – Hoa Kỳ
https://bluebottle.com – Anh quôc
https://fastmail.fm – Hoa Kỳ
https://mail.google.com – nhiều mạng cục bộ bao gồm Hoa Kỳ, Úc, Nam Hàn và Trung Quốc
Phương thức bảo vệ dữ liệu (trong trương mục điện thư) của bạn đã và đang được ban phát bởi môt số dịch vụ webmail. Gần đây, bạn không những có thể sử dụng một kênh an toàn để trao đổi điện thư, mà còn có thể mã hoá thông tin của bạn trên các server nữa. Tóm lại, trương mục điện thư của bạn chỉ có mình bạn mới có thể truy cập và mở thư.
Còn điện thư gửi đến người nhận nào có trương mục điện thư trùng với nhà cung cấp của bạn, thì bức điện thư ấy có thể được mã hoá để bảo đảm được an toàn. Nhưng việc này đòi hỏi bạn cần một đường kết nối vào Internet tương đối nhanh, bởi vì mỗi lần bạn truy cập vào trương mục điện thư của bạn là mỗi lần một chương trình mã hoá dữ liệu sẽ tự động tạm thời tải vào máy điện toán của bạn. Bạn có thể tạo trương mục điện thư, miễn phí, loại này tại các trang sau đây:
https://www.hushmail.com
https://www.vaultletsoft.com
https://www.s-mail.com
Giành cho Chuyên Viên : Man in the Middle
Sự đe dọa được xem là lớn nhất đối với mô hình chứng chỉ SSL là sự tấn công của Man in the Middle ( viết tắt là MITM, nghĩa là tấn công qua trung gian). Căn bản nhất, nó là một sự chặn bắt nguồn thông tin trên mạng của bạn- sự liên lạc của bạn với web server. Cụ thể, nó có thể được dùng để phá vỡ mô hình SSL, đã được giải thích ở phần trước. Bước đầu tiên, kẻ gian phải đột nhập vào đường liên kết Internet của bạn. Việc này có thể thi hành tại nhà cung cấp dịch vụ Internet (ISP), cổng điện tử quốc gia, hay thậm chí tại một server đia phương. Kẻ gian sau đó đánh lừa bạn bằng cách tráo đổi chứng chỉ SSL thật với chứng chỉ SSL giả, trong lúc bạn chủ ý truy cập vào trương mục điện thư (đã được bảo an) của bạn. Chứng chỉ này không phải của nhà cung cấp điện thư mà là của kẻ gian. Cho nên, một khi bạn chấp nhận chứng chỉ SSL giả mạo, bạn sẽ bị dẫn sang một đường kết nối khác để đến server của kẻ gian. Và khi bạn vô tình cung cấp các thông tin của bạn như mật khẩu đăng nhập vào trương mục điện thư, các chi tiết về tài chính, vân vân thì kẻ gian đều nhận được hết mà không cần tốn sức gì cả.
https://www.s-mail.com
Giành cho Chuyên Viên : Man in the Middle
Sự đe dọa được xem là lớn nhất đối với mô hình chứng chỉ SSL là sự tấn công của Man in the Middle ( viết tắt là MITM, nghĩa là tấn công qua trung gian). Căn bản nhất, nó là một sự chặn bắt nguồn thông tin trên mạng của bạn- sự liên lạc của bạn với web server. Cụ thể, nó có thể được dùng để phá vỡ mô hình SSL, đã được giải thích ở phần trước. Bước đầu tiên, kẻ gian phải đột nhập vào đường liên kết Internet của bạn. Việc này có thể thi hành tại nhà cung cấp dịch vụ Internet (ISP), cổng điện tử quốc gia, hay thậm chí tại một server đia phương. Kẻ gian sau đó đánh lừa bạn bằng cách tráo đổi chứng chỉ SSL thật với chứng chỉ SSL giả, trong lúc bạn chủ ý truy cập vào trương mục điện thư (đã được bảo an) của bạn. Chứng chỉ này không phải của nhà cung cấp điện thư mà là của kẻ gian. Cho nên, một khi bạn chấp nhận chứng chỉ SSL giả mạo, bạn sẽ bị dẫn sang một đường kết nối khác để đến server của kẻ gian. Và khi bạn vô tình cung cấp các thông tin của bạn như mật khẩu đăng nhập vào trương mục điện thư, các chi tiết về tài chính, vân vân thì kẻ gian đều nhận được hết mà không cần tốn sức gì cả.
Vấn đề chính ở đây là kẻ gian rất dễ tráo đổi một chứng chỉ SSL giả với một chứng chỉ SSL thật. Bởi vì tâm lý chung là chúng ta có khuynh hướng nhấn chuột vào "OK" mà không cần biết đến nội dung của một thông điệp. Kẻ gian có thể bị kích thích để tấn công bạn bằng phương pháp MITM khi không thể đọc được điện thư của bạn, hay biết được nội dung của những lần bạn giao dịch trên mạng, vì bạn liên lạc qua đường kết nối bảo an 'HTTPs'. Cho nên nếu không tấn công được thì họ chỉ quan sát được rằng bạn truy cập vào một webmail server, chứ không cách nào biết được bạn trao đồi những gì qua điện thư.
Khi đường nối kết vào mạng của bạn bị chận bắt và bạn chấp nhận chứng chỉ SSL giả của kẻ gian, thì tất cả dữ liệu của bạn lúc đó (và có thể sau này nữa) sẽ bị truyền tải vào server của kẻ gian. Đây có nghĩa là tất cả các chi tiết đăng nhập, thư điên tử riêng tư của bạn, vân vân sẽ bị đánh cắp. Một vấn đề khác nữa là một khi bạn đã bị tấn công rồi, thì rất khó khăn phát hiện đường nối kết vào Internet của bạn đã bị chuyển sang server của kẻ gian.
Bât cứ khi nào trang web mà bạn vào yêu cầu bạn xác nhận chứng chỉ SSL thì hãy tự hỏi mình hai câu hỏi:
1- Đây có phải là lần đầu tiên ta đi vào trang web này bằng máy điện toán này hay không?
2- Ta có từng kiểm tra lại các chi tiết của chứng chỉ SSL đúng mức chưa?
Nếu câu trả lời cho câu hỏi số 1 là "Không", thì nghĩa là bạn chưa lưu chứng chỉ SSL một cách cố định, hoặc là bạn đang đối diện với một cuộc tấn công Man in the Middle (MITM). Như đã nêu trước đây, trang web sẽ không yêu cầu bạn chấp nhận lại một chứng chỉ SSL khác nếu bạn đã lưu nó (trong những lần truy cập trước). Nếu bạn được yêu cầu chấp nhận một chứng chỉ SSL lần thứ hai, mà đáng lẽ nó đã trong danh sách SSL khả tin trong máy điện toán của bạn rồi, thì có thể đây là một trang web khác.
Chú ý: Nếu bạn xử dụng máy điện toán tại quán Café Internet, thì bạn khó mà xác nhận được chứng chỉ SSL là thật (vì không thể xử dụng một máy điện toán cố định). Cho nên, bạn cần nên ghi lại các fingerprint (ký hiệu điện tử của một trang web) của trang web mà bạn truy cập lần đầu tiên ở nơi an toàn, để tiện cho việc đối chiếu sau này.
Trả lời câu hỏi số 2 bằng cách kiểm tra lại các fingerprint của chứng chỉ SSL và tham khảo với chủ nhân của trang web (cách làm tốt nhất là bằng điên thoại hay diện thư được an toàn) để xác nhận nó. Việc này có thể tốn thời gian và phiền phức. Nhưng tiếc thay, đây là cách duy nhất.
Thật ra, không có bao nhiêu trang web xử dụng kỷ thuật bảo an SSL. Những trang web sử dụng kỹ thuật này chỉ bao gồm các nhà cung cấp dịch điện thư webmail, các trang mua và bán hàng hoá trên mạng và những công ty phục vụ tài chính trên mạng. Bạn có thể đã vào 2 hoặc 3 trang web như thế. Khi liên lạc với tổng đài của các trang web này, hãy ghi lại fingerprint của chứng chỉ SSL của trang web mà bạn muốn vào. Như thế, bạn sẽ an tâm hơn về tính xác thực và sự phục vụ của trang web đó.
Tóm lại, một khi kẻ gian đánh lừa được bạn, họ sẽ biết hết các thông tin quan trọng mà bạn trao đổi qua mạng. Do đó, đây là một việc rất quan trọng khi bạn biết được chứng chỉ SSL có thật hay không và xử dụng nó nhằm tự bảo vệ mình.
No comments:
Post a Comment