Cuốn sách “Nghệ Thuật Ẩn Mình” của tác giả Kevin Mitnick là một nguồn tài liệu quý giá cho những người muốn hiểu rõ về việc bảo vệ thông tin cá nhân và an toàn trên mạng, đặc biệt là trong thời đại của Dữ liệu Lớn và các vụ vi phạm dữ liệu người dùng ngày càng phổ biến. Kevin Mitnick, một trong những hacker nổi tiếng nhất thế giới, không chỉ chỉ ra những lỗ hổng trong hệ thống bảo mật mà chúng ta sử dụng hàng ngày, mà còn cung cấp những giải pháp cụ thể để bảo vệ thông tin cá nhân và tránh bị tấn công.
Cuốn sách không chỉ giới thiệu về các kỹ thuật và công cụ mà hacker có thể sử dụng để xâm nhập vào hệ thống, mà còn nhấn mạnh vào tầm quan trọng của việc tự bảo vệ thông tin cá nhân. Kevin Mitnick phản ánh rằng, trong thế giới kỹ thuật số hiện nay, việc cho rằng những hoạt động của mình trên mạng là an toàn và đáng tin cậy là một sự ngây thơ. Người đọc được khuyến khích nhận ra rằng, dù không có ý định xấu, việc bảo vệ thông tin cá nhân vẫn rất quan trọng và cần thiết.
Một trong những điểm mạnh của cuốn sách là cách tác giả giải thích một cách dễ hiểu và thực tế về những nguy cơ mà mọi người có thể phải đối mặt khi sử dụng internet và các dịch vụ trực tuyến hàng ngày. Việc này giúp độc giả nhận thức được tầm quan trọng của việc bảo vệ thông tin cá nhân và hành động để đảm bảo an toàn trực tuyến cho bản thân mình.
Tóm lại, “Nghệ Thuật Ẩn Mình” không chỉ là một cuốn sách về cách thức tấn công và phòng thủ trên mạng, mà còn là một lời nhắc nhở quan trọng về tầm quan trọng của việc bảo vệ thông tin cá nhân trong thế giới kỹ thuật số ngày nay.
Mời các bạn đón đọc cuốn sách Nghệ Thuật Ẩn Mình của tác giả Kevin Mitnick
—-
Lời giới thiệu: ĐẾN LÚC BIẾN MẤT RỒI
Gần hai năm sau ngày Edward Joseph Snowden, một nhân viên hợp đồng của Booz Allen Hamilton3, lần đầu tiên công bố các tài liệu mật lấy được từ Cơ quan An ninh Quốc gia (NSA), diễn viên hài John Oliver của HBO đến Quảng trường Thời đại ở Thành phố New York để thực hiện một cuộc khảo sát ngẫu nhiên nhằm lấy tư liệu cho một chương trình về quyền riêng tư và giám sát. Các câu hỏi của anh rất rõ ràng. Edward Snowden là ai? Anh ta đã làm gì?
3 Booz Allen Hamilton: Hãng tư vấn về công nghệ thông tin và quản lí, có trụ sở tại Virginia, Mỹ. (BTV)
Trong các trích đoạn phỏng vấn mà Oliver phát sóng sau đó, có vẻ như không ai biết câu trả lời. Có người nói họ nhớ tên Snowden, song cũng không thể nói chính xác anh ta đã làm gì (hay tại sao anh ta lại làm thế). Sau khi trở thành nhân viên hợp đồng cho NSA, Edward Snowden đã sao chép hàng nghìn tài liệu mật và tuyệt mật, sau đó đem trao cho các phóng viên để họ công bố rộng khắp. Lẽ ra Oliver có thể kết thúc chương trình phóng sự đó bằng một thông điệp buồn, rằng sau gần hai năm tích cực đưa tin của giới truyền thông, vẫn chưa có ai ở Mỹ thực sự quan tâm đến hoạt động gián điệp trong nước của chính phủ. Nhưng nam diễn viên này đã chọn một cách khác. Anh bay tới Nga, nơi Snowden hiện đang sống lưu vong, để thực hiện một cuộc phỏng vấn trực tiếp.
Câu hỏi đầu tiên mà Oliver đặt cho Snowden là: Anh mong muốn đạt được điều gì? Snowden trả lời rằng anh muốn cho thế giới thấy những gì NSA đang làm: thu thập dữ liệu về hầu hết tất cả mọi người. Khi Oliver cho anh xem các cuộc phỏng vấn thực hiện ở Quảng trường Thời đại, trong đó hết người này đến người khác trả lời rằng họ không biết Snowden là ai, anh nói, “Không thể cung cấp đầy đủ thông tin cho mọi người được.”
Tại sao chúng ta không được cung cấp nhiều thông tin hơn về các vấn đề liên quan đến quyền riêng tư mà Snowden và những người khác đã vạch ra? Tại sao dường như chúng ta không ai quan tâm đến việc bị cơ quan chính phủ nghe lén các cuộc điện thoại, email, thậm chí cả tin nhắn của mình? Có lẽ bởi vì nhìn chung, NSA không trực tiếp ảnh hưởng đến cuộc sống của hầu hết chúng ta – ít nhất là không theo một cách hữu hình, như một sự xâm nhập mà chúng ta có thể cảm nhận.
Nhưng như Oliver cũng đã phát hiện ra tại Quảng trường Thời đại ngày hôm đó, người Mỹ có quan tâm đến quyền riêng tư khi họ nhận thức rõ vấn đề. Ngoài các câu hỏi về Snowden, anh còn đặt các câu hỏi chung chung về quyền riêng tư. Ví dụ, khi anh hỏi họ nghĩ gì nếu chính phủ thực hiện một chương trình ghi lại các ảnh khỏa thân gửi qua Internet, quan điểm của người dân New York cũng rất tương đồng với nhau – chỉ có điều là lần này, tất cả đều phản đối chuyện đó. Một người thậm chí còn tiết lộ rằng gần đây có gửi đi một bức ảnh như vậy.
Tất cả những người được hỏi trong chương trình phỏng vấn ở Quảng trường Thời đại đều nhất trí rằng những người sinh sống ở nước Mỹ cần được tự do chia sẻ bất kì điều gì trên Internet một cách riêng tư – kể cả một bức ảnh chụp hình dương vật. Đó là lập luận cơ bản của Snowden.
Hóa ra chương trình giả tưởng nêu trên cũng không khác là mấy so với thực tế. Như Snowden đã giải thích cho Oliver trong cuộc phỏng vấn giữa hai người, do các công ty như Google đặt máy chủ ở khắp nơi trên thế giới, nên ngay cả một tin nhắn đơn giản (có thể bao gồm ảnh khoả thân) giữa hai vợ chồng sinh sống trong cùng một thành phố của Mỹ cũng có thể bị đẩy ra một máy chủ ở nước ngoài trước tiên. Vì dữ liệu đó đã rời khỏi lãnh thổ nước Mỹ, dù chỉ trong một nano giây, nên dựa vào Đạo luật Patriot4, NSA có thể thu thập và lưu trữ tin nhắn hoặc email đó (bao gồm cả hình ảnh khiếm nhã), bởi vì về mặt kĩ thuật, tại thời điểm dữ liệu đó được giữ lại, nó đã đi vào nước Mỹ từ một nguồn nước ngoài. Quan điểm của Snowden là: Những người dân Mỹ bình thường đang bị cuốn vào một mẻ lưới hậu11/9, vốn ban đầu được thiết kế để ngăn chặn khủng bố nước ngoài nhưng giờ đây đã trở thành công cụ để theo dõi tất cả mọi người.
4 Đạo luật Patriot (viết tắt của “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism” – Đoàn kết và Tăng cường sức mạnh của nước Mỹ bằng cách Cung cấp Công cụ Phù hợp Cần thiết để Ngăn chặn Khủng bố): Đạo luật của Mỹ có hiệu lực từ ngày 26/10/2001, sau khi diễn ra cuộc khủng bố ngày 11/9/2001.
Có thể bạn sẽ nghĩ rằng, trước những tin tức liên tục về các vụ xâm phạm dữ liệu cùng các chiến dịch giám sát của chính phủ, chúng ta sẽ trở nên giận dữ hơn nhiều. Rằng trước tốc độ diễn ra của hiện tượng này – chỉ trong một vài năm – chúng ta sẽ vượt qua giai đoạn sốc và chuyển sang diễu hành biểu tình trên các đường phố. Nhưng trên thực tế, điều ngược lại mới đúng. Nhiều người trong số chúng ta, thậm chí nhiều độc giả của cuốn sách này, giờ đây đã đi đến chỗ chấp nhận rằng ít nhất là ở một mức độ nào đó, mọi việc chúng ta làm – gọi điện, nhắn tin, gửi email, tham gia mạng xã hội – đều có thể bị người khác trông thấy.
Và điều đó thật đáng thất vọng.
Có thể bạn không vi phạm pháp luật. Bạn sống một cuộc sống mà bạn tưởng là bình thường và lặng lẽ, và bạn cảm thấy giữa đám đông trên mạng ngày nay, không có ai chú ý đến mình. Nhưng hãy tin tôi đi: Ngay cả bạn cũng không vô hình đâu. Ít nhất là chưa.
Tôi thích ảo thuật, và một số người có thể nói rằng để xâm nhập được vào máy tính cần phải có sự khéo léo. Một trò ảo thuật phổ biến là khiến cho một vật trở thành vô hình. Tuy nhiên, bí mật ở đây là vật đó không thực sự biến mất hay trở thành vô hình mà vẫn luôn hiện hữu ở hậu cảnh – phía sau một bức màn, bên trên một ống tay áo, ở trong túi – bất kể chúng ta có nhìn thấy nó hay không.
Điều tương tự cũng đúng với những thông tin cá nhân của từng người hiện đang được thu thập và lưu trữ, thường là ngoài sự nhận biết của chúng ta. Hầu hết chúng ta đều không biết chỗ tìm những thông tin này, và cũng không biết rằng người khác có thể dễ dàng xem được chúng. Và bởi vìchúng ta không nhìn thấy chúng, nên có thể đinh ninh rằng mình là vô hình trước người yêu cũ, cha mẹ, trường học, cấp trên, và thậm chí là cả chính phủ.
Vấn đề là nếu bạn biết chỗ tìm, thì tất cả những thông tin đó đều có sẵn và bất kì ai cũng có thể tiếp cận.
Trong các buổi thuyết trình, tôi thường bị người ta chất vấn về quan điểm trên. Trong một lần như vậy, tôi gặp một người chất vấn là một phóng viên rất đa nghi.
Khi ấy, chúng tôi ngồi trao đổi ở bàn riêng trong quầy bar khách sạn ở một thành phố lớn của Mỹ. Phóng viên này nói rằng cô chưa hề bị xâm phạm dữ liệu bao giờ. Theo cô, vì còn trẻ nên cô không có nhiều tài sản, do đó không có nhiều hồ sơ về cô. Cô cũng không bao giờ đưa thông tin cá nhân vào các bài báo hay trang mạng xã hội cá nhân – tất cả chỉ xoay quanh công việc mà thôi. Với cô, như vậy là vô hình. Tôi xin phép được tìm số An sinh Xã hội5 và bất kì thông tin cá nhân nào khác của cô trên mạng. Cô miễn cưỡng đồng ý.
5 Số An sinh Xã hội (áp dụng tại Mỹ): là dãy số riêng biệt gán cho từng cá nhân, dùng để theo dõi các lợi ích An sinh Xã hội và cho các mục đích nhận dạng cá nhân khác.
Trước sự chứng kiến của cô, tôi đăng nhập vào một website dành riêng cho các nhà điều tra tư nhân. Tôi đủ điều kiện truy cập nhờ tham gia điều tra các sự cố xâm phạm máy tính trên toàn cầu. Vì đã biết tên cô, nên tôi hỏi nơi cô ở. Nếu cô không chịu nói, tôi vẫn có thể tìm ra được thông tin này trên Internet, ở một website khác.
Sau vài phút, tôi biết số An sinh Xã hội của cô, thành phố nơi cô chào đời, và thậm chí cả tên thời con gái của mẹ cô. Tôi còn biết tất cả những nơi mà cô gọi là nhà và mọi số điện thoại mà cô từng sử dụng. Cô nhìn chằm chằm vào màn hình với vẻ ngạc nhiên thấy rõ, và xác nhận rằng các thông tin này gần như là đúng hết.
Website mà tôi sử dụng ở trên chỉ giới hạn người dùng trong phạm vi các công ty hoặc cá nhân đã được xác thực. Họ thu một khoản phí hàng tháng khá thấp, cộng thêm chi phí bổ sung cho các hoạt động tra cứu thông tin, và thi thoảng họ lại tiến hành một đợt xác thực để kiểm tra xem mục đích tra cứu của người dùng có hợp pháp không.
Nhưng chỉ cần bỏ ra một khoản phí tra cứu nhỏ là bạn có thể tìm kiếm các thông tin tương tự về bất cứ ai. Và chuyện đó là hoàn toàn hợp pháp.
Bạn đã bao giờ điền vào một biểu mẫu trực tuyến, gửi thông tin tới một trường học hoặc một tổ chức đưa thông tin của họ lên mạng, hoặc đồng ý đăng tải lên Internet tin tức về một vụ việc pháp lý chưa? Nếu rồi, nghĩa là bạn đã tình nguyện cung cấp thông tin cá nhân cho một bên thứ ba và bên này có thể tùy nghi sử dụng thông tin đó. Rất có thể là một số – nếu không phải tất cả – dữ liệu đó bây giờ đã xuất hiện trên mạng và sẵn sàng phục vụ cho các công ty kiếm tiền từ việc thu thập từng mẩu thông tin cá nhân trên Internet. Tổ chức Privacy Rights Clearinghouse6 cho biết có hơn 130 công ty chuyên thu thập thông tin cá nhân (bất kể chính xác hay không) về bạn.
6 Privacy Rights Clearinghouse (PRC – Tổ chức Bảo vệ Quyền Riêng tư): Một tổ chức phi lợi nhuận ở Mỹ, chuyên cung cấp thông tin cho người tiêu dùng và bảo vệ quyền lợi của người tiêu dùng.
Và còn có cả những dữ liệu mà bạn không tình nguyện cung cấp trên mạng nhưng vẫn được các công ty và chính phủ thu thập – chúng ta gửi email, nhắn tin, và gọi điện cho ai; tìm kiếm thông tin gì trên mạng; mua sắm những gì (cả trên mạng và ở cửa hàng truyền thống); và đi những đâu (cả đi bộ lẫn đi xe). Khối lượng dữ liệu thu thập được về từng người trong số chúng ta đang tăng theo cấp số nhân mỗi ngày.
Có thể bạn cho rằng không cần phải lo lắng về điều này. Nhưng hãy tin tôi đi: bạn cần phải lo lắng đấy. Tôi hy vọng rằng khi đọc hết cuốn sách này, bạn sẽ được trang bị đầy đủ thông tin và sẵn sàng bắt tay vào thực hiện hành động nào đó.
Chúng ta đang sống trong ảo tưởng về sự riêng tư, và có lẽ chúng ta đã sống như thế này suốt nhiều thập niên qua.
Có thể đôi lúc nào đó, chúng ta cũng thoáng nhíu mày khó chịu khi thấy chính phủ, công ty, cấp trên, thầy cô giáo, và bố mẹ mình lại tiếp cận được nhiều thông tin về đời sống riêng tư của mình đến thế. Song vì sự tiếp cận này được mở rộng dần dần, vì bấy lâu nay chúng ta cứ vô tư tiếp nhận từng sự thuận tiện nho nhỏ mà kỹ thuật số mang lại nhưng không kháng cự lại tác động của chúng đến quyền riêng tư của mình, nên giờ đây việc quay ngược thời gian càng lúc càng trở nên khó khăn hơn. Hơn nữa, có ai lại muốn vứt bỏ món đồ chơi ưa thích của mình chứ?
Mối nguy hại của việc sống trong trạng thái bị giám sát bằng kỹ thuật số không nằm ở việc dữ liệu bị thu thập (chúng ta gần như không thể làm được gì về điều đó) mà nằm ở việc người ta làm gì với dữ liệu sau khi thu thập được.
Hãy tưởng tượng những gì mà một công tố viên hăng hái có thể làm được với tập hồ sơ khổng lồ gồm các điểm dữ liệu thô về bạn, có thể là từ vài năm trước. Ngày nay, dữ liệu – đôi khi là cả những dữ liệu được thu thập ngoài ngữ cảnh – sẽ tồn tại vĩnh viễn. Ngay cả thẩm phán Stephen Breyer của Tòa án Tối cao Mỹ cũng đồng ý rằng, “Rất khó biết trước được khi nào thì phát ngôn của một người bỗng trở nên có liên quan đến cuộc điều tra nào đó của một vị công tố viên.” Nói cách khác, có thể bạn chẳng mảy may bận tâm đến bức ảnh chụp cảnh bạn say rượu mà một người nào đó đăng lên Facebook.
Có thể bạn cho rằng mình không có gì để giấu diếm, nhưng bạn dám chắc chưa? Trong một bài viết có lập luận chặt chẽ đăng trên tạp chí Wired, nhà nghiên cứu an ninh mạng nổi tiếng Moxie Marlinspike chỉ ra rằng ngay cả một chuyện đơn giản như sở hữu một con tôm hùm nhỏ cũng là tội phạm liên bang ở Mỹ. “Bất kể là bạn mua nó tại cửa hàng, được người khác cho, nó đã chết hay còn sống, bạn tìm thấy nó sau khi nó chết vì các nguyên nhân tự nhiên, hoặc thậm chí bạn giết nó trong lúc tự vệ – bạn vẫn có thể vào tù vì một con tôm hùm.” Vấn đề ở đây là có rất nhiều quy định nhỏ nhặt, chỉ mang tính danh nghĩa mà có khi bạn phạm phải nhưng không biết. Chỉ có điều, bây giờ đã có một đường mòn dữ liệu7 để chứng minh điều đó chỉ sau vài cú click chuột, và bất cứ ai muốn cũng có thể tiếp cận được nó.
7 Đường mòn dữ liệu (data trail): Là một chuỗi dữ liệu mà người dùng để lại khi sử dụng Internet, gửi tin nhắn, hay gọi điện thoại…
Quyền riêng tư rất phức tạp. Nó không phải là vấn đề áp dụng đồng đều cho tất cả mọi người. Mỗi chúng ta đều có những lý do khác nhau để phân biệt thông tin cá nhân nào có thể sẵn sàng chia sẻ tự do với người lạ, thông tin nào muốn giữ riêng cho mình. Có thể bạn không muốn vợ/chồng đọc được những nội dung cá nhân của mình. Có thể bạn không muốn công ty biết về đời sống riêng của mình. Hoặc cũng có thể bạn lo rằng mình đang bị một cơ quan chính phủ theo dõi.
Đó là những kịch bản rất khác nhau, nên không thể đưa ra lời khuyên nào cho phù hợp với tất cả được. Bởi vì chúng ta có những quan điểm phức tạp và đa dạng về sự riêng tư, nên tôi sẽ bàn về điều quan trọng nhất – chuyện gì đang diễn ra đối với hoạt động thu thập dữ liệu lén lút ngày nay – và để bạn tự quyết định xem điều gì là phù hợp với mình.
Mục đích của cuốn sách này là giúp bạn nắm được những phương thức khác nhau để duy trì sự riêng tư trong thế giới số, đồng thời đưa ra những giải pháp mà bạn có thể áp dụng hoặc không. Vì sự riêng tư là một lựa chọn cá nhân, nên mức độ ẩn danh cũng sẽ thay đổi theo từng quan điểm cá nhân.
Trong cuốn sách này, tôi sẽ chứng minh rằng từng người trong chúng ta đang bị theo dõi, ở nhà và bên ngoài – khi bạn ra phố, ngồi ở quán cà phê, hoặc lái xe xuống đường cao tốc. Máy tính, điện thoại, ô tô, hệ thống báo động tại gia, thậm chí tủ lạnh của bạn cũng đều là những điểm tiếp cận tiềm năng vào cuộc sống riêng tư của bạn.
Tin vui là, ngoài việc làm bạn sợ, tôi cũng sẽ chỉ cho bạn những việc cần làm để khắc phục tình trạng thiếu vắng sự riêng tư vốn đã trở thành chuyện thường nhật.
Trong cuốn sách này, bạn sẽ học được cách:
- mã hóa và gửi email an toàn
- bảo vệ dữ liệu bằng việc quản lý tốt mật khẩu
- giấu địa chỉ IP thực khi truy cập vào các website
- che dấu vết để máy tính không bị theo dõi
- bảo vệ tính ẩn danh của bạn
- và nhiều hơn nữa.
Bây giờ, hãy sẵn sàng để làm chủ nghệ thuật ẩn mình.
—
Chương 1: MẬT KHẨU CỦA BẠN CÓ THỂ BỊ BẺ KHÓA!
Jennifer Lawrence đã có một cuối tuần trùng dịp Ngày lễ Lao động8 mệt mỏi. Sáng hôm đó, năm 2014, nữ diễn viên từng giành giải Oscar này cùng với một số nhân vật nổi tiếng khác tỉnh dậy và phát hiện ra rằng những bức ảnh riêng tư nhất của họ – trong đó có nhiều bức khỏa thân – đã bị phát tán trên mạng Internet.
8 Ngày lễ Lao động: Ngày lễ toàn quốc ở Mỹ, diễn ra vào ngày thứ Hai đầu tiên trong tháng Chín hằng năm.
Bây giờ, bạn hãy nhắm mắt hình dung về tất cả những bức ảnh hiện đang được lưu trữ trên máy tính, điện thoại, và email của mình. Dĩ nhiên, phần lớn đều là những hình ảnh vô hại. Bạn không thấy vấn đề gì khi để cả thế giới cùng xem những bức ảnh chụp cảnh hoàng hôn, những bức ảnh gia đình dễ thương, thậm chí cả những bức ảnh tự sướng hài hước. Nhưng liệu bạn có thấy thoải mái khi chia sẻ mọi bức ảnh của mình không? Bạn sẽ cảm thấy thế nào nếu đột nhiên tất cả chúng đều xuất hiện trên mạng? Có thể không phải ảnh cá nhân nào cũng mang tính nhạy cảm, nhưng dẫu sao, đó cũng vẫn là tư liệu về những khoảnh khắc riêng tư. Chúng ta phải là người có quyền quyết định xem có nên chia sẻ chúng hay không, khi nào, và bằng cách nào, nhưng với dịch vụ đám mây, sự lựa chọn đó có thể không phải lúc nào cũng thuộc về chúng ta.
Câu chuyện về Jennifer Lawrence thống trị khắp các mặt báo trong ngày hôm đó. Đây là một phần trong sự kiện The Fappening9, một đợt rò rỉ lớn những bức ảnh khỏa thân và bán khỏa thân của Rihanna, Kate Upton, Kaley Cuoco, Adrianne Curry cùng gần 300 người nổi tiếng khác, hầu hết đều là phụ nữ – các bức ảnh lưu trữ trong điện thoại di động của họ đã bị truy cập từ xa rồi bị đem chia sẻ trên mạng. Dĩ nhiên, một số người rất thích thú khi được xem những bức ảnh này; tuy nhiên, với nhiều người khác, sự cố này là một lời nhắc nhở đáng lo ngại rằng điều tương tự cũng có thể xảy ra với chính họ.
9 The Fappening (từ ghép giữa từ fap (thủ dâm) và tên bộ phim thuộc thể loại tâm lý kinh dị, The Happening): Tên do giới truyền thông và người dùng Internet đặt cho sự kiện gần 500 bức ảnh riêng tư nhạy cảm của nhiều người nổi tiếng bị phát tán trên mạng, xảy ra vào ngày 31/8/2014.
Những hình ảnh riêng tư của Jennifer Lawrence và những người khác đã bị tiếp cận như thế nào?
Do tất cả những người nổi tiếng đều sử dụng iPhone, nên theo suy đoán ban đầu, đây có lẽ là một cuộc xâm phạm dữ liệu lớn nhắm vào iCloud, một dịch vụ lưu trữ đám mây của Apple dành cho người dùng iPhone. Khi thiết bị vật lý hết bộ nhớ, khách hàng có thể lưu các dữ liệu hình ảnh, file, nhạc, và trò chơi trên máy chủ ở Apple, thường là với một khoản phí nhỏ hàng tháng. Google cũng cung cấp dịch vụ tương tự cho Android.
Apple, vốn hầu như không bao giờ bình luận trên các phương tiện truyền thông về vấn đề an ninh, phủ nhận mọi sai sót từ phía họ. Công ty này đưa ra một tuyên bố gọi vụ việc trên là “cuộc tấn công nhắm vào tên người dùng, mật khẩu, và câu hỏi bảo mật,” đồng thời bổ sung thêm rằng, “Trong các trường hợp mà chúng tôi đã điều tra, không có trường hợp nào xảy ra do hành vi xâm phạm vào các hệ thống của Apple, bao gồm iCloud hay ứng dụng Tìm iPhone.”
Những bức ảnh trên xuất hiện trước tiên ở một diễn đàn hacker chuyên đăng tải ảnh bị đánh cắp. Diễn đàn này có nhiều cuộc thảo luận sôi nổi về các công cụ điều tra số10 dùng để đánh cắp những bức ảnh đó. Các nhà nghiên cứu, điều tra viên, và cơ quan thực thi pháp luật sử dụng những công cụ này để truy cập dữ liệu từ các thiết bị hoặc đám mây, thường là để điều tra một vụ phạm tội. Và tất nhiên, chúng cũng còn nhiều công dụng khác.
10 Điều tra số (digital forensics): Một nhánh của khoa học pháp y, bao gồm việc khôi phục và điều tra các tài liệu được tìm thấy trong các thiết bị kỹ thuật số, thường là có liên quan đến tội phạm máy tính.
Một trong những công cụ được thảo luận công khai trên diễn đàn này, Elcomsoft Phone Password Breaker11, gọi tắt là EPPB, được thiết kế để giúp các cơ quan thực thi pháp luật cũng như các cơ quan chính phủ có thể truy cập vào các tài khoản iCloud và được rao bán công khai. Đây chỉ là một trong nhiều công cụ có sẵn, nhưng có vẻ nó là phổ biến nhất trên diễn đàn này. EPPB yêu cầu trước tiên người dùng phải có thông tin về tên đăng nhập và mật khẩu iCloud của mục tiêu cần tấn công. Tuy nhiên, đối với những người sử dụng diễn đàn này, việc lấy tên đăng nhập và mật khẩu iCloud không phải là chuyện khó. Tình cờ, vào dịp cuối tuần nghỉ lễ đó trong năm 2014, một người đã đăng lên kho lưu trữ mã nguồn trực tuyến phổ biến Github một công cụ gọi là iBrute, một cơ chế bẻ khóa mật khẩu được thiết kế để lấy thông tin đăng nhập iCloud của bất kỳ ai.
11 Elcomsoft Phone Password Breaker: Công cụ trả phí dùng để tìm lại các dữ liệu cần thiết, như dò lại mật khẩu iCloud khi bị quên thông qua bản dự phòng trên iTunes.
Sử dụng kết hợp iBrute và EPPB, kẻ xấu có thể mạo danh nạn nhân và tải xuống bản sao lưu đầy đủ dữ liệu iPhone của nạn nhân đó trên đám mây và đưa vào một thiết bị khác. Tính năng rất hữu ích với người dùng khi họ nâng cấp điện thoại. Và nó cũng có giá trị đối với kẻ tấn công, bởi hắn có thể thấy mọi hoạt động bạn từng thực hiện trên thiết bị di động của mình. Điều này mang lại nhiều thông tin hơn so với việc chỉ đăng nhập vào tài khoản iCloud của nạn nhân.
Jonathan Zdziarski, cố vấn điều tra số kiêm nhà nghiên cứu an ninh, chia sẻ với tạp chí Wiredrằng kết quả kiểm tra các bức ảnh bị rò rỉ do ông thực hiện khớp với việc sử dụng iBrute và EPPB. Khi chiếm được quyền truy cập vào một bản sao lưu dữ liệu iPhone được khôi phục, kẻ tấn công sẽ lấy được rất nhiều thông tin cá nhân có thể sử dụng để tống tiền sau này.
Tháng 10 năm 2016, Ryan Collins, một người 36 tuổi sống ở Lancaster, Pennsylvania, bị kết án 18 tháng tù vì tội “truy cập trái phép vào một máy tính được bảo vệ để lấy thông tin” liên quan đến vụ tấn công trên. Hắn bị buộc tội truy cập trái phép vào hơn 100 tài khoản email của Apple và Google.
Để bảo vệ tài khoản iCloud và các tài khoản trực tuyến khác của mình, bạn phải đặt mật khẩu mạnh. Điều đó là hiển nhiên. Tuy nhiên, theo kinh nghiệm của bản thân với tư cách là một chuyên gia kiểm định an ninh – tức người được thuê để tấn công vào các mạng máy tính nhằm tìm kiếm các lỗ hổng – tôi thấy rằng nhiều người, kể cả lãnh đạo các tập đoàn lớn, rất lười đặt mật khẩu. Một ví dụ là Michael Lynton, Giám đốc Điều hành của hãng Sony Entertainment. Ông này dùng cụm ký tự “sonyml3” làm mật khẩu tài khoản tên miền của mình. Không có gì ngạc nhiên khi email của ông bị tấn công và phát tán trên Internet vì kẻ tấn công nắm được quyền truy cập vào gần như mọi cơ sở dữ liệu trong công ty với vai trò quản trị viên.
Ngoài mật khẩu liên quan đến công việc, còn có mật khẩu bảo vệ các tài khoản riêng tư. Việc chọn một mật khẩu khó đoán không ngăn được các công cụ tấn công như oclHashcat (một công cụ phá mật khẩu lợi dụng các đơn vị xử lý đồ họa – hay GPU – để thực hiện tấn công tốc độ cao), nhưng nó sẽ làm cho quá trình này diễn ra chậm lại, đủ để kẻ tấn công nản chí mà chuyển sang một mục tiêu dễ ăn hơn.
Có thể đưa ra một dự đoán hợp lý rằng trong vụ tấn công Ashley Madison vào tháng 7 năm 201512, các mật khẩu bị tiết lộ chắc chắn cũng được dùng ở những nơi khác nữa, như tài khoản ngân hàng và thậm chí tài khoản của máy tính ở nơi làm việc. Trong danh sách 11 triệu mật khẩu của Ashley Madison bị phát tán trên mạng, phổ biến nhất là “123456,” “12345,” “password”, “DEFAULT,” “123456789,” “qwerty”, “12345678”, “abc123,” và “1234567.” Nếu cũng đang sử dụng những mật khẩu như trên, thì rất có thể bạn sẽ trở thành nạn nhân của các vụ xâm phạm dữ liệu, vì hầu hết các bộ công cụ bẻ mật khẩu có sẵn trên mạng đều có các cụm từ thông dụng này. Bạn có thể truy cập website www.haveibeenpwned.com để kiểm tra xem tài khoản của mình đã từng bị xâm phạm bao giờ chưa.
12 Ashley Madison: Một dịch vụ hẹn hò và mạng xã hội trực tuyến ở Canada, nhắm đến đối tượng là những người đã lập gia đình hoặc đã có bạn trai/bạn gái. Tháng 7/2015, một nhóm hacker đánh cắp dữ liệu người dùng của công ty này và phát tán lên mạng.
Trong thế kỷ 21, chúng ta có thể làm tốt hơn. Thực ra là tốt hơn rất nhiều, với nhiều cách sắp xếp ký tự chữ và số dài hơn, phức tạp hơn nhiều. Nghe có vẻ khó, nhưng tôi sẽ hướng dẫn bạn cả cách tự động và thủ công để thực hiện điều đó .
Cách dễ nhất là đừng tự tạo mật khẩu mà hãy tự động hóa quy trình này. Hiện đã có một số phần mềm quản lý mật khẩu có thể lưu trữ mật khẩu trong kho chứa có khóa và cho phép bạn truy cập bằng một cú nhấp chuột khi cần, đồng thời còn tạo ra được những mật khẩu mới, rất mạnh và độc đáo.
Tuy nhiên, phương pháp này có hai vấn đề cần lưu ý. Một là, các phần mềm quản lý mật khẩu sử dụng một mật khẩu chính để truy cập. Nếu có kẻ khiến máy tính của bạn lây nhiễm một phần mềm độc hại và đánh cắp cơ sở dữ liệu mật khẩu và mật khẩu chính lưu trong đó bằng chương trình keylog13, thì trò chơi kết thúc. Khi đó, kẻ này sẽ có quyền truy cập vào tất cả các mật khẩu của bạn. Trong các dự án kiểm định an ninh, thi thoảng tôi thay thế phần mềm quản lý mật khẩu bằng một phiên bản sửa đổi để lấy mật khẩu chính (trong trường hợp đó là phần mềm mã nguồn mở). Điều này được thực hiện sau khi tôi giành được quyền truy cập vào mạng lưới của khách hàng bằng vai trò quản trị. Sau đó, tôi sẽ tấn công tất cả các mật khẩu đặc quyền. Nói cách khác, tôi sẽ sử dụng các phần mềm quản lý mật khẩu làm cửa sau để lấy chìa khóa xâm nhập.
13 Keylog: Chỉ việc sử dụng phần mềm để ghi lại mọi thao tác trên bàn phím của người dùng máy tính, đặc biệt là để tiếp cận trái phép mật khẩu và các thông tin bí mật khác.
Vấn đề thứ hai khá rõ ràng: Nếu để mất mật khẩu chính, bạn sẽ mất tất cả các mật khẩu còn lại. Nhưng không sao, bởi bạn luôn có thể cài đặt lại mật khẩu cho từng tài khoản, nhưng đó sẽ là một rắc rối lớn nếu bạn có nhiều tài khoản khác nhau.
Tuy có những sai sót này, nhưng những mẹo sau đây cũng đủ giúp bạn giữ an toàn cho mật khẩu của mình.
Đầu tiên, các cụm mật khẩu14, chứ không đơn thuần chỉ là mật khẩu, phải dài – ít nhất 20-25 ký tự. Lý tưởng nhất, hãy sử dụng các ký tự ngẫu nhiên, như ek5iogh#skf&skd. Thật không may, con người thường khó học thuộc được các chuỗi ngẫu nhiên. Vì vậy, hãy sử dụng phần mềm quản lý mật khẩu, như thế còn tốt hơn nhiều so với việc tự chọn mật khẩu. Tôi thích các phần mềm quản lý mật khẩu mã nguồn mở như Password Safe và KeePass, vốn chỉ lưu trữ dữ liệu cục bộ trên máy tính của bạn.
14 Cụm mật khẩu (passphrase): Một chuỗi ký tự dùng để kiểm soát quyền truy cập một hệ thống, chương trình, hay dữ liệu trên máy tính. Cụm từ mật khẩu cũng tương tự như mật khẩu (password) xét về cách sử dụng, nhưng nhìn chung là dài hơn để tăng cường an ninh.
Một nguyên tắc quan trọng khác là không bao giờ sử dụng cùng một mật khẩu cho hai tài khoản khác nhau. Điều này rất khó thực hiện vì ngày nay, chúng ta dùng mật khẩu cho hầu như tất cả mọi thứ. Do đó, hãy để phần mềm quản lý mật khẩu tạo và lưu giữ các mật khẩu mạnh, riêng biệt cho bạn.
Nhưng ngay cả khi bạn đã có mật khẩu mạnh, kẻ xấu vẫn có thể sử dụng công nghệ để đánh bại bạn. Có những chương trình đoán mật khẩu như John the Ripper, một chương trình mã nguồn mở miễn phí mà bất kỳ ai cũng có thể tải xuống và hoạt động trong các tham số cấu hình do người dùng thiết lập. Ví dụ, người dùng có thể chỉ định số lượng ký tự cần thử, có sử dụng các ký hiệu đặc biệt hay không, có bao gồm các bộ ký tự ngoại ngữ hay không,… John the Ripper và các phần mềm tấn công mật khẩu khác có thể hoán vị các ký tự trong mật khẩu bằng cách sử dụng các bộ quy tắc cực kỳ hiệu quả trong việc đánh cắp mật khẩu. Điều này đơn giản có nghĩa là chúng sẽ thử mọi tổ hợp có thể có của các số, chữ cái, và ký hiệu trong các tham số cho đến khi bẻ được mật khẩu. May mắn nằm ở chỗ, hầu hết chúng ta đều không có ý định phòng vệ trước chính quyền, vốn có thời gian và nguồn lực dư dả đến vô hạn định. Có chăng, chúng ta chỉ muốn phòng vệ trước vợ/chồng, người thân, hay một người mà chúng ta thực lòng căm ghét (nhưng khi gặp phải một mật khẩu dài 25 ký tự, người đó sẽ không có đủ cả thời gian lẫn nguồn lực để ngồi phá giải).
Giả sử bạn muốn tạo mật khẩu theo cách cũ, và đã chọn được một số mật khẩu rất mạnh. Hãy đoán thử xem chuyện gì sẽ xảy ra? Nhớ là đừng có viết thẳng băng trên mặt giấy rằng, “Ngân hàng Bank of America: 4the1sttimein4ever*.” Như thế khác nào vẽ đường cho hươu chạy. Trong trường hợp này, hãy dùng một dạng ký tự mã hóa thay cho tên ngân hàng của bạn (giả dụ thế), chẳng hạn “Lọ bánh quy” (vì trước đây có người đã giấu tiền trong các lọ bánh quy) và theo sau đó là “4the1st.” Hãy lưu ý, tôi không ghi cụm từ mật khẩu hoàn thiện. Không cần phải làm thế. Bạn đã biết phần còn lại của cụm từ là gì rồi. Nhưng người khác có thể không biết.
Người nào tìm thấy bản danh sách các mật khẩu không đầy đủ này đều sẽ thấy rối trí – ít nhất là lúc đầu. Xin kể ra đây một câu chuyện thú vị: Một lần, tôi tới nhà một người bạn – anh này là một nhân viên nổi tiếng của Microsoft – và trong bữa tối, chúng tôi trao đổi vấn đề an ninh mật khẩu với vợ con của anh. Giữa chừng câu chuyện, vợ của bạn tôi đứng dậy và đi về phía tủ lạnh. Chị đã viết tất cả các mật khẩu của mình vào một mảnh giấy và dùng nam châm gắn nó vào cửa tủ lạnh. Bạn tôi chỉ còn biết lắc đầu, tôi thì cười toe toét. Viết mật khẩu ra giấy có thể không phải là một giải pháp hoàn hảo, và không sử dụng mật khẩu mạnh cũng vậy.
Một số website – chẳng hạn website ngân hàng – sẽ khóa người dùng sau một vài lần thử mật khẩu không thành công, thường là ba lần. Tuy nhiên, nhiều nơi vẫn chưa thực hiện điều này. Nhưng ngay cả khi một website áp dụng cơ chế khóa người dùng sau ba lần thử không thành công, thì những kẻ xấu sử dụng John the Ripper hoặc oclHashcat cũng không bẻ mật khẩu theo cách đó. (Nhân tiện, oclHashcat phân tán quá trình tấn công qua nhiều GPU và mạnh hơn nhiều so với John the Ripper.) Ngoài ra, hacker cũng không mò mẫm thử từng mật khẩu khả dĩ trên một website trực tiếp.
Giả sử kẻ xấu đã lấy cắp được dữ liệu, và trong phần dữ liệu kết xuất có cả tên người dùng cũng như mật khẩu. Nhưng các mật khẩu thu được từ cuộc xâm phạm này chỉ là những thứ vô nghĩa.
Mà như vậy thì kẻ tấn công đâu có được lợi ích gì?
Hễ khi nào bạn gõ một mật khẩu, dù là để mở khóa máy tính xách tay hay một dịch vụ trực tuyến – mật khẩu đó sẽ được đưa qua một thuật toán một chiều gọi là hàm băm. Nó khác với quá trình mã hóa. Mã hóa là hai chiều: bạn có thể mã hóa và giải mã, với điều kiện bạn có chìa khóa trong tay. Hàm băm là một dạng dấu vân tay đại diện cho một chuỗi ký tự cụ thể. Về lý thuyết, các thuật toán một chiều là bất khả đảo – hoặc ít nhất là không dễ dàng.
Nội dung được lưu trữ trong cơ sở dữ liệu mật khẩu trên máy tính cá nhân truyền thống, thiết bị di động, hoặc tài khoản đám mây của bạn không phải là MaryHadALittleLamb123$, mà là giá trị băm của nó, tức là một chuỗi các số và chữ cái, đóng vai trò là dấu hiệu đại diện cho mật khẩu của bạn.
Bộ nhớ được bảo vệ trên máy tính lưu trữ giá trị băm của mật khẩu, chứ không phải là bản thân mật khẩu, và các giá trị này có thể bị đánh cắp trong một cuộc tấn công vào các hệ thống mục tiêu hoặc bị rò rỉ trong các vụ xâm phạm dữ liệu. Sau khi đã lấy được các giá trị băm mật khẩu này, hacker có thể sử dụng nhiều công cụ có sẵn công khai, như John the Ripper hoặc oclHashcat, để phá vỡ chúng nhằm tìm ra mật khẩu thực thông qua kỹ thuật vét cạn15 hoặc thử từng từ trong một danh sách các từ, chẳng hạn từ điển. Các tùy chọn trong John the Ripper và oclHashcat cho phép kẻ tấn công sửa đổi các từ được thử trước nhiều bộ quy tắc, ví dụ bộ quy tắc leetspeak – một hệ thống dùng để thay thế các chữ cái bằng số, như trong “k3v1n m17n1ck.” Quy tắc này sẽ thay đổi tất cả các mật khẩu thành nhiều kiểu hoán vị leetspeak khác nhau. Các phương pháp bẻ khóa mật khẩu này hiệu quả hơn nhiều so với phương pháp tấn công vét cạn đơn giản. Thông thường, những mật khẩu đơn giản và phổ biến nhất sẽ bị phá trước, sau đó mới dần chuyển sang các mật khẩu phức tạp hơn. Thời gian cần thiết cho quá trình này phụ thuộc vào một số yếu tố. Sử dụng công cụ bẻ khóa kết hợp với tên người dùng và giá trị băm mật khẩu đánh cắp được, hacker có thể truy cập vào một hoặc nhiều tài khoản của bạn bằng cách thử mật khẩu đó trên nhiều website kết nối với địa chỉ email hoặc các dữ liệu định danh khác của bạn.
15 Tấn công vét cạn (brute force): Kiểu tấn công được dùng cho tất cả các loại mã hóa, hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Vì thế, thời gian thực hiện phương pháp này rất lâu, tùy theo độ dài của mật khẩu. Thông thường, kỹ thuật này chỉ được dùng khi các phương pháp khác đều không có hiệu quả.
Nhìn chung, mật khẩu càng nhiều ký tự thì các chương trình đoán mật khẩu như John the Ripper sẽ càng mất nhiều thời gian để quét tất cả các biến khả dĩ. Vì các bộ vi xử lý máy tính ngày nay càng lúc càng chạy nhanh hơn, nên thời gian cần thiết để tính toán toàn bộ số mật khẩu có sáu, thậm chí tám, ký tự cũng ngày một rút ngắn đi. Đó là lý do tại sao tôi khuyên bạn nên sử dụng mật khẩu từ 25 ký tự trở lên.
Sau khi bạn đã tạo được những mật khẩu mạnh, đừng bao giờ tiết lộ chúng. Chuyện này nghe có vẻ hiển nhiên đến mức không cần phải nhắc, nhưng các cuộc khảo sát ở London và nhiều thành phố lớn khác cho thấy, người ta sẵn sàng trao đổi mật khẩu của mình để lấy những thứ vặt vãnh như một cây bút hoặc một miếng sô-cô-la.
