Xuất phát từ nhu cầu thực tế hiện nay, nhu cầu lưu trữ dữ liệu và chuyển đổi dữ liệu từ nơi này sáng nơi khác của người dùng rất đa dạng: Email, Ổ đĩa DVD/CD, công nghệ điện toán đám mây. Việc sử dụng USB vẫn là một giải pháp lưu trữ và chuyển đổi dữ diệu phổ biến bởi tính tiện dụng của nó. Tuy nhiên, nhược điểm của giải pháp này là phải đối mặt với các rủi ro mất an toàn thông tin như bị thất lạc, bị nhiễm mã độc. Đặc biệt với các dữ liệu quan trọng liên quan đến an ninh, quốc phòng nếu bị lộ lọt sẽ gây hậu quả nghiêm trọng.
Do vậy, việc xây dựng chương trình tạo USB an toàn trên Windows là thực sự cần thiết với thực trạng hiện nay. Chương trình tạo USB an toàn trên Windows được thiết kế với giao diện thân thiện với người dùng, dễ dàng sử dụng với các tính năng chính là: tạo USB an toàn không mã hóa và tạo USB an toàn có mã hóa.
Phòng chống mã độc lây nhiễm từ máy tính vào thư mục gốc ổ đĩa USB và ngăn chặn thực thi các chương trình trên ổ USB bằng cách phân quyền truy cập; Đảm bảo an toàn cho thông tin lưu trữ trên USB bằng giải pháp mã hoá BitLocker được tích hợp sẵn trên Windows.
Phòng chống mã độc lây từ máy tính vào USB
Có nhiều giải pháp để bảo vệ ổ USB Flash, nhưng hầu hết trong số đó phụ thuộc vào hệ điều hành Windows. Phương pháp này sử dụng định dạng tập tin NTFS phân quyền bảo mật để bảo vệ ổ đĩa USB và có thể áp dụng trên tất cả hệ điều hành Windows.
Định dạng USB chuẩn NTFS
Cắm USB Flash vào cổng USB của máy tính, đăng nhập vào máy tính cài đặt Windows với tài khoản Administrator, vào Device Manager bằng cách click chuột phải lên My Computer (This PC), chọn Manage, sau đó chọn Disk Drives, kích chuột phải vào tên ổ đĩa USB và chọn Properties rồi di chuyển tới tab Policies và chọn Better performance trong Removal policy, rồi chọn OK (Hình 1).
Hình 1. Thiết lập thuộc tính Policies cho USB
Mở Computer (từ màn hình Desktop) hay Windows Explorer (nhấn tổ hợp phím Windows + E) rồi kích chuột phải vào ổ USB và chọn Format. Sau khi hộp thoại Fomat hiện ra, chọn định dạng NTFS, Quick Format như Hình 2, rồi chọn OK.
Hình 2. Thiết lập Format USB
Hình 3. Thiết lập tài khoản Everyone và quyền Read trên thư mục gốc ổ USB
Cấu hình phân quyền bảo mật cho USB Flash
- Từ Computer, kích chuột phải vào ổ USB và chọn “Properties”. Ở thẻ Security , Click Edit... thiết lập cho duy nhất tài khoản Everyone và chỉ có quyền đọc (read) trên thư mục gốc ổ G:, rồi OK (Hình 3). Sau đó tạo 1 thư mục (ví dụ: Data) trên thư mục gốc ổ đĩa USB để lưu trữ an toàn; click chuột phải lên thư mục Data trên USB, chọn “Properties”. Tiếp theo chọn thẻ Security, nhấn chọn nút Advanced và chọn thẻ Permissions sau đó chọn Change Permissions.
- Chọn Add... để thêm tài khoản Everyone sau đó chọn các quyền như mô tả ở Hình 5, rồi nhấn OK
Hình 4. Giao diện chọn Change Permissions (đổi quyền) trên Data
Lưu ý: Chỉ chọn các quyền như Hình 5 và không chọn các quyền sau:
+ Full control
+ Traverse folder / execute file
+ Write attributes
+ Write extended attributes
+ Delete
+ Change permissions
+ Take permissions
Hình 5. Chọn các quyền cho thư mục Data
Giải pháp kết hợp phân quyền truy cập và mã hóa Bitlocker cho USB
Hiện nay có một số công cụ mã hoá dữ liệu của các hãng thứ ba chạy trên Windows như: VeraCript, TrueCript, FireFly,...và cho phép mã hoá ổ đĩa USB Flash. Tuy nhiên sử dụng công cụ mã hoá BitLocker để mã hoá ổ USB là phù hợp hơn vì nó an toàn hơn, miễn phí và được tích hợp sẵn trên Windows (không phải cài đặt thêm).
BitLocker là chương trình được Microsoft tích hợp trong Windows 7 trở lên (các phiên bản Windows Home không được tích hợp) nhằm giúp người sử dụng mã hoá thư mục, tệp tin, ổ đĩa cứng và ổ USB Flash để bảo vệ dữ liệu cá nhân (cách thực hiện mã hóa như Hình 6,7,8,9).
Hình 6. Bật tính năng BitLocker
Hình 7. Thiết lập mật khẩu cho USB Flash
Hình 8. Giao diện quá trình mã hoá trên ổ đĩa
Hình 9. Mã hóa hoàn tất
Sau khi mã hoá xong, ta có một chiếc USB an toàn với đầy đủ các tính năng phân quyền, mã hóa bảo mật. Để sử dụng USB Flash đã mã hóa khi ta cắm USB vào máy tính, thực hiện nhập mật khẩu để mở khóa (Hình 10), sau đó sử dụng USB như bình thường.
Hình 10. Cửa sổ nhập mật khẩu bitlocker
Chống mã độc lây vào máy tính từ ổ đĩa ngoài
Giải pháp phòng chống mã độc lây nhiễm từ ổ đĩa USB không an toàn vào máy tính bằng cách vô hiệu hoá tính năng Autorun và thiết lập chính sách bảo mật SRP chống thực thi mã độc từ ổ đĩa USB bất kỳ. Để vô hiệu hóa tính năng Autorun, thực hiện các bước sau:
Bước 1: Mở hộp thoại Run (Start/Run, hoặc nhấn tổ hợp phím Win+R), gõ: gpedit.msc rồi nhấn OK (Hình 11).
Hình 11. Hộp thoại Run
Bước 2: Mở chọn mục Administrative Templates trong Computer Configuration (Hình 12).
Hình 12. Minh hoạ chọn Administrative Templates trong Computer Configuration
Bước 3: Tại cửa sổ Turn Off Autoplay: chọn Enable; Ở phía dưới (Options) là Turn off Autoplay on: chọn All Drivers, rồi (Apply) và OK (Hinh 13); Làm tương tự như trên với mục User Configuration.
Hình 13. Minh hoạ cách chọn All Settings /Turn off Autoplay /Enabled
Thiết lập chính sách SRP chống thực thi mã độc từ các ổ đĩa ngoài
Giải pháp phần này không giải quyết vấn đề ngăn chặn mã độc lây lan vào các ổ đĩa ngoài (chẳng hạn như USB Flash) và lây từ USB Flash bị nhiễm sang các máy tính khác. Nhưng nếu ổ đĩa ngoài bị nhiễm mã độc, nó sẽ không lây nhiễm vào máy tính được thiết lập chính sách bảo mật. Chính sách bảo mật được áp dụng là Software Restriction Policies (SRP) có trên các phiên bản Windows từ XP trở đi, nó ngăn cấm bất kỳ việc thực thi của các chương trình trực tiếp từ các ổ đĩa được chỉ định. Nếu mọi chương trình trên các ổ đĩa ngoài không thể chạy được, có nghĩa là bất kỳ loại mã độc có thể có trên ổ đĩa đó cũng không thể được kích hoạt lây nhiễm vào máy tính.
Để thiết lập chính sách bảo mật, ta phải đăng nhập với tài khoản Administrators. Mở hộp thoại Run, gõ lệnh: secpol.msc (Hình 14) > Chọn Software Restriction Policies trong Security Settings (Hình 15) > nhấn chuột phải vào Additional Rules trong mục Software Restriction Policies > nhấn Action > chọn New Path Rules.
Hình 14. Dùng hộp thoại Run để mở chính sách bảo mật secpol.msc
Hình 15. Giao diện chính sách bảo mật cục bộ Local Security Policy
Tại đây ta thêm các ổ đĩa USB (F:\, G:\, H:\, I:\) vào Additional Rules của SRP (Hình 16). Làm như vậy nhằm đảm bảo cho các file khả thi không thể chạy trực tiếp từ các ổ đĩa ngoài F:, G:, H:, I:. Sau đó thực hiện khởi động lại máy tính để thực hiện cập nhật chính sách bảo mật.
.png)
Hình 16. Thêm các ổ đĩa USB vào Additional Rules của SRP
Giao diện chương trình SafedUSB
SafedUSB là chương trình tạo USB an toàn trên Windows thực hiện tự động hoá giải pháp được nêu trong mục 2.1 và 2.2 đã nêu trên. Chương trình có giao diện đơn giản, dễ sử dụng với đầy đủ các tính năng như: định dạng NTFS, phân quyền truy cập thư mục tệp tin trên ổ đĩa cho người dùng, mã hoá BitLocker, thiết lập chính sách nhóm (group policy), chính sách bảo mật (Security Policy),… nhằm đơn giản hóa thao tác cho người sử dụng.
Chương trình tạo USB an toàn trên Windows có giao diện như Hình 17 với các thành phần chính như sau:
- Thanh tiêu đề;
- Các tùy chọn: Lựa chọn ổ đĩa; đặt nhãn USB;
- Các tùy chọn phân quyền Ổ đĩa và các Thư mục;
- Tùy chọn mã hóa;
- Các nút chức năng.
Chức năng chính của SafedUSB:
Hai chức năng chính tạo và bảo vệ USB an toàn:
- Phòng chống mã độc lây nhiễm vào USB.
- Mã hóa bảo vệ dữ liệu được lưu trữ trên USB.
Hình 17. Giao diện chương trình tạo USB an toàn
Bài viết này đã đưa ra một giải pháp khá đơn giản và hiệu quả trong việc sử dụng USB Flash an toàn trên Hệ điều hành Windows bằng cách áp dụng một số tính năng có sẵn của Windows như: định dạng NTFS, phân quyền truy cập thư mục tệp tin trên ổ đĩa cho người dùng, mã hoá BitLocker, thiết lập chính sách nhóm (Group Policy), chính sách bảo mật (Security Policy). Trên cơ sở đó, nhóm tác giả bài viết đã xây dựng một công cụ nhỏ gọn SafedUSB tạo USB an toàn có hai chức năng chính là phòng chống lây nhiễm mã độc vào USB và mã hoá bảo vệ dữ liệu được lưu trữ trên USB. Công cụ SafedUSB có thể chạy trên các phiên bản Windows được sử dụng phổ biến hiện nay (Windows 7/8/8.1/10). Độc giả có thể tải phần mềm SafedUSB thông qua đường link để sử dụng.
Trần Ngọc Anh
13:00 | 14/09/2021
07:00 | 06/12/2021
08:00 | 13/12/2021
11:00 | 29/07/2021
09:00 | 20/08/2021
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
17:00 | 11/08/2023
Wireless Mesh Network là công nghệ mạng truyền thông đầy hứa hẹn với khả năng kết nối mạnh mẽ và ổn định, được ứng dụng trong nhiều lĩnh vực khác nhau. Trong số 1 (071) 2023 của Tạp chí An toàn thông tin, nhóm tác giả đã giới thiệu về cơ sở lý thuyết của Wifi Mesh. Để ứng dụng thực tiễn nền tảng này, trong bài báo dưới đây nhóm tác giả đề xuất một giải pháp thiết kế hệ thống giám sát độ nghiêng của thiết bị trong không gian ba chiều X, Y, Z sử dụng module ESP32 WROOM có tính năng truyền nhận dữ liệu bằng Wifi Mesh.
09:00 | 23/05/2023
Cookie của trình duyệt đôi khi bị hỏng và không hoạt động như mong đợi, khiến các trang web tải không chính xác và thậm chí có thể bị lỗi. Khi điều này xảy ra, người dùng có thể khắc phục sự cố bằng cách xóa tất cả cookie ở mọi nơi, tất cả cùng một lúc hoặc có thể xóa cookie được liên kết với một trang web cụ thể. Đối với Microsoft Edge, việc xóa các cookie cụ thể yêu cầu phải đi sâu vào menu cài đặt (Settings).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
