Làm thế nào để bảo mật thông tin khi kết nối qua mạng Wifi công cộng?

14:59 | 02/07/2015 | GIẢI PHÁP KHÁC

Đến nay, hầu hết người dùng có quan tâm đến vấn đề bảo mật đều biết rằng truy cập internet qua mạng Wifi mở ở các điểm công cộng như quán cafe, sân bay…là khá nguy hiểm. Thông tin trao đổi qua đó có thể bị nghe lén và đôi khi, kẻ xấu còn chiếm quyền kiểm soát các phiên làm việc của bạn. Tuy nhiên, hầu hết các chuyên gia chỉ cảnh báo chứ không hướng dẫn người dùng cách sử dụng mạng Wifi mở một cách an toàn.

Làm thế nào để bảo mật thông tin khi kết nối qua mạng Wifi công cộng?

Các website lớn như Twitter và Google đã sử dụng SSL một cách rộng rãi để bảo vệ người dùng. Để được bảo vệ toàn diện hơn, nhiều người lựa chọn sử dụng mạng riêng ảo (VPN). Phần lớn những người dùng VPN sử dụng dịch vụ do công ty của họ cung cấp. Nhưng cũng có những dịch vụ công cộng như Freedome của F-Secure hay HideMyAss của Privax. Qua VPN, tất cả mọi thông tin đi/đến máy người dùng đều được mã hóa – dù website người dùng truy cập có sử dụng SSL hay không. Ngay cả nếu điểm truy cập Wifi bị kẻ xấu kiểm soát thì chúng cũng không thể đọc được dữ liệu của người dùng, thậm chí không biết những địa chỉ mà người dùng truy cập – điều chúng có thể biết nếu bạn dùng SSL qua mạng Wifi mở.

Nhưng vẫn có một lỗ hổng trong cách làm này và nó luôn tồn tại. Người dùng không thể kết nối với VPN khi chưa vào được Internet, và kết nối VPN không thể thiết lập ngay lập tức. Trong phần lớn các điểm truy cập Wifi công cộng, người dùng sẽ được kết nối tự động với mạng nhưng buộc phải mở trình duyệt để vào “cổng truy cập” do router cung cấp để nhập mã định danh và nhấn nút chấp nhận điều khoản dịch vụ (Terms of Service). Trong thời gian chờ kết nối với VPN, các phần mềm trên máy người dùng có thể đã “nhanh nhẹn” sử dụng kết nối internet để làm việc.

Người dùng dùng một phần mềm e-mail client POP3 hay IMAP? Phần mềm đó có thể đã gửi thông tin người dùng/mật khẩu và truyền nhận số lượng lớn thư qua mạng Wifi. Các phần mềm trò chuyện (instant messaging) cũng có thể đã kết nối ngay mà không đợi đến khi bạn nối vào VPN. Larry Seltzer – cựu tổng biên tập của BYTE, Dark Reading và Network Computing tại UBM Tech – đã thử điều này tại một cửa hàng Starbucks với Google Wifi trong khi chạy Wireshark. Hàng ngàn gói tin đã được gửi đi và đến trên mạng mở trước khi có kết nối VPN. Ngay cả nếu phần mềm trên máy người dùng được cấu hình để dùng HTTPS thì vẫn có nguy cơ các tấn công kiểu SSLStrip lừa các phần mềm đó chuyển sang kết nối HTTP.

Khoảng thời gian rất ngắn, có thể chỉ vài giây/vài chục giây, cũng đã đủ khiến cho những thông tin giá trị như tên người dùng/mật khẩu bị tiết lộ. Hãy thử chạy các công cụ giám sát mạng như TCPView của Microsoft (trên Windows) hay Little Snitch (trên Mac) trước khi kết nối Internet để thấy những gì xảy ra trong những giây đầu tiên ấy. Thông tin có thể được mã hóa qua giao thức SSL nhưng các chi tiết về cấu hình hệ thống vẫn có thể bị lộ và được dùng cho các cuộc tấn công sau này.

Đó là chưa kể đôi khi kết nối VPN bị lỗi. Theo cấu hình mặc định trên phần lớn các hệ điều hành, trong trường hợp đó các ứng dụng sẽ chuyển về kết nối Wifi mở. Đừng vội quy trách nhiệm cho các nhà cung cấp VPN công cộng. VPN mà các tổ chức cung cấp cho nhân viên của họ cũng gặp vấn đề ý như thế, trừ khi họ tìm cách cấu hình như hướng dẫn dưới đây.

Shaun Murphy, người sáng lập PrivateGiant (www.privategiant.com) – công ty tạo ra các sản phẩm bảo vệ an ninh và bí mật cá nhân cho các trao đổi trực tuyến, đề xuất việc sử dụng một phần mềm tường lửa, có thể là loại đi kèm với hệ điều hành hay phần mềm của hãng thứ ba đều được: Biện pháp cơ bản là chặn tất cả các kết nối từ trong ra và từ bên ngoài vào trên mạng công cộng, chỉ trừ một ngoại lệ duy nhất là trình duyệt mà bạn dùng để nối vào “cổng truy cập Wifi”. Trình duyệt đó nên là công cụ duy nhất bạn dùng cho mục đích này (nối vào “cổng truy cập Wifi”) và có thể là một duyệt web để đọc tin (nhưng không được bao gồm truy cập thư điện tử, mạng xã hội hay bất cứ hoạt động nào có thể để lộ thông tin định danh cá nhân). Dùng tường lửa đó để thiết lập một hồ sơ/vùng cho kết nối VPN – nơi các trao đổi vào/ra ít bị hạn chế hơn (nên chặn các kết nối ra ngoài theo mặc định và bổ sung từng ứng dụng khi cần, người dùng sẽ ngạc nhiên khi biết có bao nhiêu ứng dụng đòi quyền kết nối ra ngoài). Cách làm này khiến cho tất cả các ứng dụng email client, trình duyệt web và các ứng dụng khác trở nên vô hiệu khi người dùng chưa kết nối vào VPN.

Sean Sullivan, nhà tư vấn bảo mật tại F-Secure, cũng đưa ra lời khuyên giống như vậy cùng với một bổ sung đáng giá " Người dùng nên mở trình duyệt (để nối vào “cổng truy cập Wifi”) ở chế độ an toàn ('safe mode') với các trình cắm (plugins) được vô hiệu hóa".

Việc cấu hình phần mềm tường lửa trên PC để chặn các kết nối “phi VPN” không phải là việc đơn giản. Điều đó thay đổi tùy theo từng hệ điều hành, từng phần mềm tường lửa khác nhau và thậm chí không thực hiện được trên Windows 8.1. Với hệ điều hành Windows, các bước cần thực hiện như sau:

- Kết nối vào VPN mà bạn lựa chọn theo quy trình thông thường.

- Trong mục Network and Sharing Center của Control Panel, đặt kết nối VPN connection vào loại Public network và các mạng Wifi công cộng vào loại Home hay Office (tốt nhất là Home). (Trong Windows 8 và các phiên bản mới hơn, thiết lập thứ hai có thể khá phức tạp trừ khi kết nối mạng được tạo mới, do Windows 8.x không cung cấp giao diện người dùng cho việc thay đổi location type - bạn sẽ không thể làm được nếu người dùng không xóa và tạo lại tất cả các kết nối mạng)

- Cuối cùng, trong mục Windows Firewall của Control Panel, chuyển tới Advanced Settings. Tạo một luật chặn tất cả các ứng dụng thiết lập kết nối trên các mạng Public. Sau đó tạo một luật cho phép chương trình VPN và trình duyệt bạn định dùng để nối vào “cổng truy cập Wifi” thiết lập kết nối trên các mạng Public. Các luật trên cần được áp dụng cho cả kết nối vào và ra.

BolehVPN của Hong Kong đã cung cấp các hướng dẫn chi tiết cho việc sử dụng Windows Firewall trên Windows 7 để thực hiện quy trình khái quát trên (https://bolehvpn.net/blocking-non-vpn-traffic.php). Với hệ điều hành Mac, người dùng có thể làm tương tự với tường lửa Little Snitch (http://asciithoughts.com/posts/2014/02/15/using-little-snitch-to-prevent-internet-access-without-vpn/).

Việc cấu hình khá phức tạp và mất thời gian, đó là cấu hình chỉ dùng cho các mạng Wifi mở. Nếu truy cập các mạng Wifi có mã hóa WPA2 thì có lẽ không nên tốn công sử dụng VPN (để đỡ ảnh hưởng đến tốc độ truy cập).

‹ › ×

Tin liên quan

Dịch vụ VPN công cộng không giúp bạn an toàn hơn

09:00 | 11/12/2019

Gần đây, có một số thông tin về máy chủ NordVPN bị xâm nhập, làm dấy lên mối lo ngại, nhiều người dùng muốn sử dụng VPN công cộng để an toàn cho dữ liệu, nhưng điều này thực sự không cần thiết.

Một số lưu ý khi sử dụng Wifi công cộng

13:00 | 03/02/2020

Việc sử dụng Wifi công cộng là một điều rất phổ biến đối với người dùng hiện nay. Tuy nhiên, đi kèm với sự tiện lợi là rủi ro mất an toàn thông tin. Bài viết này sẽ cung cấp cho người dùng những lời khuyên để đảm bảo an toàn thông tin khi sử dụng Wifi công cộng từ các chuyên gia bảo mật tại Kaspersky Lab.

Nguy cơ mất tiền khi dùng Wifi công cộng

09:00 | 30/01/2024

Các chuyên gia khuyến cáo, người dùng cần thận trọng với Wifi tại các địa điểm công cộng, bởi đây cũng có thể là cánh cửa để các tin tặc tấn công điện thoại.

Nguy cơ bị hack tài khoản khi đăng nhập hệ thống wifi

07:00 | 08/04/2024

Thói quen "xin" mật khẩu Wi-Fi công cộng cùng ý thức bảo mật kém khiến người dùng có thể lộ thông tin nếu hacker ở trong cùng mạng với họ.

Có thể "nhìn xuyên tường" bằng Wifi

20:00 | 11/01/2019

Theo nghiên cứu của các chuyên gia bảo mật thuộc Đại học California (Mỹ), có thể theo dõi chuyển động qua lại của một người đằng sau bức tường bằng một chiếc điện thoại thông minh.

Tin cùng chuyên mục

Ứng dụng cây Merkle và công nghệ blockchain cho cơ sở dữ liệu phân tán

18:00 | 22/09/2023

Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.

Cách nhận biết và ngăn chặn thư rác

10:00 | 15/09/2023

Thư rác hay email spam là một vấn nạn lớn hiện nay, chúng đã xuất hiện từ rất lâu cùng với sự phát triển của Internet và không chỉ gây phiền nhiễu, tốn thời gian mà còn có thể chứa một số nội dung nguy hiểm. Ước tính có tới 94% phần mềm độc hại được phân phối dưới dạng email spam, một số nguy cơ tiềm ẩn khác bao gồm phần mềm gián điệp, lừa đảo và mã độc tống tiền. Trong bài viết này sẽ thông tin đến bạn đọc cách nhận biết thư rác và ngăn chặn thư rác không mong muốn.

Lợi ích của sự hội tụ IT/OT trong lĩnh vực IOT công nghiệp

15:00 | 04/08/2023

Trong bối cảnh sự phát triển mạnh mẽ của các công nghệ ngày càng được ứng dụng trong hoạt động sản xuất, cùng với ngành công nghiệp dần được chuyển sang tự động hóa, công nghệ thông tin (Information Technology - IT) và công nghệ vận hành (Operational Technology - OT) đang có những bước chuyển mình tích cực. Tuy nhiên, dường như các doanh nghiệp mới chỉ tập trung phát triển một trong hai nền tảng trên, mà chưa chú trọng đến kết hợp, hội tụ cùng một môi trường sản xuất công nghiệp hiện đại. Bài báo sẽ đưa ra các lợi ích của sự hội tụ của hai hệ thống IT và OT.

Mô hình chia sẻ trách nhiệm bảo mật và việc ứng dụng điện toán đám mây

14:00 | 17/05/2023

Một trong những lý do khiến các tổ chức e ngại khi sử dụng các dịch vụ điện toán đám mây là vấn đề về an toàn thông tin. Tuy nhiên, dù nhìn nhận từ góc độ nào thì hầu hết chúng ta đều phải công nhận là các nhà cung cấp dịch vụ điện toán đám mây lớn như Amazon, Microsoft hay Google đều có nhiều nguồn lực và nhân sự giỏi về an ninh bảo mật hơn hầu hết các doanh nghiệp khác. Vậy tại sao chúng ta liên tục nhận được tin tức về các sự cố bảo mật của các doanh nghiệp khi sử dụng điện toán đám mây?

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

GP Mật mã

Sự phát triển của lược đồ chữ ký số kháng lượng tử dựa trên hàm băm

Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.

09:00 | 01/04/2024
Về một phương pháp tấn công kênh kề lên mã khối Kalyna
Khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA trong một số tiêu chuẩn mật mã
Một số khuyến nghị về độ an toàn của hệ mật RSA (Phần I)