Mười quy tắc then chốt về an toàn và bảo mật khi xài máy tính (kỳ 1)

BOWJTHEWEN, Phú Yên (Tổng hợp từ Internet)

Tại trung tâm hỏi đáp về an toàn bảo mật thông tin của Microsoft, hàng ngàn báo cáo về an ninh hệ thống được nghiên cứu trong mỗi năm. Trong nhiều trường hợp, kết quả về mức độ an toàn hệ thống xuất phát từ lỗi sản phẩm, và có nghĩa là sẽ có một bản sửa lỗi (patch) phát triển ngay sau đó để khắc phục lỗi vừa tìm được. Vài trường hợp, vấn đề lại do lỗi của ai đó tạo ra trong quá trình sử dụng sản phẩm. Nhưng có rất nhiều trường hợp không rơi vào hai trường hợp trên, đó chính là các vấn đề an toàn bảo mật thông tin thực sự, một danh sách về những vấn đề như vậy đã được phát triển gọi là “Mười quy tắc then chốt về an toàn và bảo mật”.

Đừng bao giờ chờ đợi một phiên bản sửa lỗi mới, mà hãy tự bảo vệ chính bạn từ các vấn đề mà chúng tôi đưa ra dưới đây.

Quy tắc 1: Máy tính sẽ không còn là của bạn nếu một người nào đó có thể thuyết phục bạn chạy chương trình của họ trên máy của bạn.

Đây là trường hợp đáng tiếc của hệ thống: khi một chương trình chạy, nó sẽ thực hiện phần việc đã lập trình, kể cả nếu việc đó gây nguy hiểm cho hệ thống. Nó có thể làm bất cứ thứ gì, hơn cả những công việc mà bạn có thể làm đối với hệ thống. Nó điều khiển phím bấm, nhận thông tin, mở tài liệu, sửa đổi nội dung, gửi e-mail khiếm nhã, hay thậm chí cài đặt chương trình virus, tạo ra một “cửa sau” để người khác có thể điều khiển máy tính của bạn từ xa.

Quy tắc 2: Máy tính sẽ không còn là của bạn nếu một người nào đó có thể sửa đổi hệ điều hành trên máy tính của bạn.

Nhìn chung, hệ điều hành chỉ là tập hợp các số 1 và 0 khi được dịch bởi bộ vi xử lý, việc thay đổi các số 1 và 0 sẽ làm cho vài thứ khác đi. Nếu một người nào khác có thể sử dụng và được quyền thay đổi các tập tin hệ thống thì có nghĩa là hệ thống của bạn đã ... chết. Để hiểu được tại sao, hãy xem hệ điều hành như các tập tin chạy với độ ưu tiên cao, có thể làm mọi thứ như: quản lý tài khoản người dùng, thay đổi mật khẩu, cấp quyền điều khiển máy tính... Khi một người nào đó thay đổi chúng, hệ thống sẽ không còn hoạt động đúng và sẽ không có điều gì có thể ngăn anh ta can thiệp tới hệ thống. Anh ta có thể ăn cắp mật khẩu, tạo quyền quản trị hệ thống, hay thêm chức năng mới vào hệ điều hành. Để ngăn cản kiểu tấn công này, phải đảm bảo chắc chắn rằng các tập tin hệ thống được bảo vệ tốt nhất.

Quy tắc 3: Máy tính sẽ không còn là của bạn nếu một người nào đó được phép vọc thả cửa trên máy tính của bạn.

Một người nào đó có thể làm mọi thứ nếu anh ta được phép đặt tay trên máy tính của bạn. Anh ta có thể quản lý hệ thống và làm hỏng máy tính dù đã được bảo vệ an toàn. Anh ta có thể loại nó ra khỏi tầm kiểm soát của bạn, khởi động máy từ đĩa mềm và định dạng lại đĩa cứng... Nhưng ... bạn định nói rằng đã cấu hình BIOS với mật khẩu rồi à? Điều này không có nghĩa gì một khi anh ta có thể chạm vào máy tính của bạn, có nhiều cách dễ dàng sửa đổi BIOS vì bạn có thể làm được thì chắc gì anh ta không thể!!! Mọi nỗ lực bảo mật sẽ không có tác dụng nếu anh ta cắm ổ cứng của bạn vào máy tính của anh ta. Anh ta có thể tạo ra một bản sao ổ cứng của bạn, có đủ thời gian để nghiên cứu hệ thống của bạn.

Quy tắc 4: Website sẽ không còn là của bạn nếu bạn cho phép một người nào đó đưa chương trình lên Website của bạn.

Có rất nhiều nhà quản lý Website quá ưu đãi khách hàng của họ và cho phép các vị khách đưa chương trình vào site và chạy chúng. Điều này dẫn tới hệ thống có thể bị xâm phạm. Nếu bạn quản lý một Website, bạn cần giới hạn các vị khách có thể làm gì. Bạn chỉ nên cho phép chương trình trên site của bạn chạy nếu bản thân bạn tự viết ra, hay nếu bạn tin tưởng được nhà phát triển chương trình đó. Nhưng điều này vẫn chưa đủ nếu Website của bạn đặt trên máy chủ chia sẻ tài nguyên, vì nếu một người có thể thỏa thuận với một trong những site trên máy chủ này, anh ta có thể điều khiển được mọi site trên đó, bao gồm cả site của bạn.

Quy tắc 5: Các mật khẩu dễ nhận biết có thể làm hỏng hệ thống bảo mật mạnh.

Mục đích của việc đăng nhập là để xác định bạn là ai. Ban đầu, hệ điều hành biết bạn là ai và cho phép truy cập tài nguyên hay từ chối phục vụ. Nếu một người nào đó biết được mật khẩu của bạn, anh ta sẽ trở thành chính bạn và làm được những gì bạn có thể làm. Dù trong bất cứ trường hợp nào, tốt nhất nên bảo vệ mật khẩu của bạn. Hãy luôn chọn mật khẩu phức tạp, đừng sử dụng tên con vật cưng của bạn, ngày cưới, hay tên đội bóng bạn yêu thích... Mật khẩu nên có cả các ký tự chữ hoa và chữ thường, kết hợp chữ và số, không được quá ngắn, và phải nhớ thay đổi mật khẩu thường xuyên. Không được viết ra mật khẩu, không được nói cho bất kỳ ai về mật khẩu của bạn.