Thông báo nghỉ học môn Toán ngày 18/12/2015 (thứ sáu).
Cơ sở dữ liệu nâng cao
Cơ sở dữ liệu nâng cao, Advanced Database.
Khai phá dữ liệu
Khai phá dữ liệu.
An Toàn Thông Tin
An Toàn Thông Tin
Trí tuệ nhân tạo
Trí tuệ nhân tạo.
Bảo Mật Thông Tin
Bảo Mật Thông Tin
Thứ Năm, 17 tháng 12, 2015
Thứ Tư, 16 tháng 12, 2015
Thông báo không học Chủ nhật mà tăng tiết môn triết học
Lịch học mới bắt đầu từ thứ ba (22/12/2015) thầy sẽ dạy tăng thêm 1 tiết đến 20h45 mới ra.
Không học vào Chủ Nhật như dự kiến. Các bạn chú ý theo dõi lịch học và đi học đầy đủ, thầy có điểm danh.
Danh sách học viên chọn đề tài tiểu luận Triết học
YÊU CẦU:
- Học viên CÓ THỂ chọn một trong
các v/đề (hoặc 1 phần của v/đ) trên đây làm đề tài viết tiểu luận;
- Hình thức trình bày tiểu luận giống như
trình bày Luận văn thạc sĩ;
- Số
lượng trang viết: Từ 20 đến 25 trang A4, cỡ chữ 14, dãn dòng 1.5
line
- TIỂU LUẬN KHÔNG
ĐƯỢC TRÙNG NHAU.
Thứ Ba, 15 tháng 12, 2015
Tăng cường hiệu quả và bảo mật Website với CloudFlare
Bạn có biết một sự thực rằng Google gây bất lợi cho các trang web nào có tốc độ tải chậm? Nếu bạn muốn trang web của mình có được thứ hạng cao trên bảng xếp hạng của công cụ tìm kiếm lớn nhất thế giới này, một trong những điều quan trọng nhất là hãy làm cho nó được tải thật nhanh.
Nếu đang chạy WordPress, bạn có thể tìm thấy rất nhiều bài viết đề cập tới vấn đề giúp tăng tốc độ tải trang, bao gồm việc thêm tính năng Google Analytics để theo dõi tốc độ trang web, tải hình ảnh với image lazy loading, sử dụng W3 Total Cache và tối ưu hóa các mã nguồn...
Hôm nay chúng tôi tiếp tục giới thiệu tới bạn đọc một phương pháp khác nữa đó là sử dụng CloudFlare như là máy chủ proxy.
CloudFlare hoạt động như một máy chủ proxy liên kết giữa bạn và độc giả của mình. Khi bạn đọc nhập URL trang web của bạn vào trình duyệt, nó sẽ kết nối với CloudFlare sau đó tiện ích này sẽ xác định vị trí của họ và tải nội dung website từ máy chủ gần nhất. Điều này sẽ giúp người truy cập có được thời gian tải trang nhanh nhất và hiệu suất được cải thiện đáng kể. Hơn nữa CloudFlare sẽ cache lại những script, css và những tập tin ảnh, chính vì thế sẽ tránh tình trạng lãng phí nguồn tài nguyên băng thông và máy chủ.
Ngoài ra, cũng như hầu hết các máy chủ proxy khác, CloudFlare có khả năng phát hiện người nào đang truy cập trang web của bạn và các mối đe dọa để ngăn chặn hay hạn chế những hiểm họa thu thập thông tin trước khi chúng tiếp cận. Nói cách khác, CloudFlare là một biện pháp tốt để tăng cường an ninh cho các website.
1. Truy cập địa chỉ CloudFlare.com và đăng ký một tài khoản ở đó.
2. Tiếp theo nhập tên miền trang web của bạn, kích “Add this domain”.
3. CloudFlare sẽ tiến hành quét DNS của bạn, quá trình này có thể mất khoảng 2 phút. Khi đã quét xong bạn kích “Continue to Step 2”.
4. Trang tiếp theo sẽ hiển thị danh sách các bản ghi DNS tồn tại trên trang hiện hành. Kiểm tra thật kỹ xem có chính xác hay không. Nếu cần, bạn cũng có thể bổ sung thêm trong bản ghi DNS ở đây. Nếu tất cả các thông tin đã ổn, kéo xuống phía dưới và kích “I’m done checking my DNS records, continue”
5. CloudFlare sẽ đăng ký cho DNS được cung cấp để thiết lập và cấu hình cho nó trong trang web của bạn. CloudFlare cũng sẽ thêm tên miền con (có tên “direct") để bạn truy cập vào máy chủ của mình mà không cần thông qua mạng CloudFlare.
6. Bước cuối cùng là cập nhật tên miền của bạn với DNS mới thiết lập. Nếu bạn đăng ký tên miền của mình thông qua dịch vụ domain registrar, hãy đăng nhập vào tài khoản đó và thay đổi thiết lập DNS.
Đây là ví dụ minh họa về tốc độ tải trang trước và sau khi sử dụng CloudFlare
Trước:
Sau:
Bạn có thể tự mình kiểm chứng tốc độ tải trang trước và sau khi thực hiện CloudFlare.
Ngoài ra, nếu bạn sử dụng WordPress, cài đặt CloudFlare plugin để có thể giúp bạn tối ưu hóa database và bảo vệ trang web của bạn tốt hơn trước những kẻ phát tán thư rác. (Theo QTM)
Nếu đang chạy WordPress, bạn có thể tìm thấy rất nhiều bài viết đề cập tới vấn đề giúp tăng tốc độ tải trang, bao gồm việc thêm tính năng Google Analytics để theo dõi tốc độ trang web, tải hình ảnh với image lazy loading, sử dụng W3 Total Cache và tối ưu hóa các mã nguồn...
Hôm nay chúng tôi tiếp tục giới thiệu tới bạn đọc một phương pháp khác nữa đó là sử dụng CloudFlare như là máy chủ proxy.
CloudFlare hoạt động như một máy chủ proxy liên kết giữa bạn và độc giả của mình. Khi bạn đọc nhập URL trang web của bạn vào trình duyệt, nó sẽ kết nối với CloudFlare sau đó tiện ích này sẽ xác định vị trí của họ và tải nội dung website từ máy chủ gần nhất. Điều này sẽ giúp người truy cập có được thời gian tải trang nhanh nhất và hiệu suất được cải thiện đáng kể. Hơn nữa CloudFlare sẽ cache lại những script, css và những tập tin ảnh, chính vì thế sẽ tránh tình trạng lãng phí nguồn tài nguyên băng thông và máy chủ.
Ngoài ra, cũng như hầu hết các máy chủ proxy khác, CloudFlare có khả năng phát hiện người nào đang truy cập trang web của bạn và các mối đe dọa để ngăn chặn hay hạn chế những hiểm họa thu thập thông tin trước khi chúng tiếp cận. Nói cách khác, CloudFlare là một biện pháp tốt để tăng cường an ninh cho các website.
Cấu hình CloudFlare
Việc cấu hình để website của bạn có thể chạy trên CloudFlare hết sức đơn giản. Hãy làm theo các bước sau:1. Truy cập địa chỉ CloudFlare.com và đăng ký một tài khoản ở đó.
2. Tiếp theo nhập tên miền trang web của bạn, kích “Add this domain”.
4. Trang tiếp theo sẽ hiển thị danh sách các bản ghi DNS tồn tại trên trang hiện hành. Kiểm tra thật kỹ xem có chính xác hay không. Nếu cần, bạn cũng có thể bổ sung thêm trong bản ghi DNS ở đây. Nếu tất cả các thông tin đã ổn, kéo xuống phía dưới và kích “I’m done checking my DNS records, continue”
5. CloudFlare sẽ đăng ký cho DNS được cung cấp để thiết lập và cấu hình cho nó trong trang web của bạn. CloudFlare cũng sẽ thêm tên miền con (có tên “direct") để bạn truy cập vào máy chủ của mình mà không cần thông qua mạng CloudFlare.
Đây là ví dụ minh họa về tốc độ tải trang trước và sau khi sử dụng CloudFlare
Trước:
Những điều cần làm sau khi cấu hình CloudFlare
Sau khi thiết lập xong CloudFlare, hãy đăng nhập vào tài khoản CloudFlare của bạn và chọn “Settings -> CloudFlare Settings” (liên kết bên cạnh website của bạn). Tại đây bạn có thể cấu hình lại những thiết lập cho CloudFlare. Một số thiết lập quan trọng có thể thêm vào là Security level, Caching level, customize the Challenge page, E-mail Address Obfuscation, IP Geolocation (có ích trong việc định vị quảng cáo) và Hotlink Protection.Ngoài ra, nếu bạn sử dụng WordPress, cài đặt CloudFlare plugin để có thể giúp bạn tối ưu hóa database và bảo vệ trang web của bạn tốt hơn trước những kẻ phát tán thư rác. (Theo QTM)
Thứ Sáu, 4 tháng 12, 2015
Iran tố cáo Israel phát triển "vũ khí mạng" nguy hiểm
TTO - Stuxnet được xem là "vũ khí mạng" tinh vi nhất hiện nay phục vụ gián điệp mạng và phá hoại. Tuy nhiên, một loại sâu mới đang được phát triển bởi Israel và Ả Rập Saudi sẽ có sức phá hoại mạnh mẽ hơn cả Stuxnet.
 |
| Cựu Tổng thống Iran (2005 - 2013) Mahmoud Ahmadinejad (giữa) đến thăm Nhà máy hạt nhân Natanz vào năm 2008. Ảnh: Reuters |
Kênh thông tin Fars News (Iran) cáo buộc Israel và Ả Rập Saudi đang hợp tác phát triển một loại sâu máy tính mới để phá hoại chương trình hạt nhân của Iran, điều tương tự trước đây do sâu Stuxnet thực hiện. Theo Fars News, loại sâu mới ra đời vì Stuxnet đã thất bại trong việc ngăn chặn các thỏa thuận đàm phán về hạt nhân giữa Iran và năm cường quốc (Group 5+1) gồm Mỹ, Nga, Trung Quốc, Pháp, Anh và Đức.
Ngày 24-11, cuộc đàm phán ở Geneva đã đạt được thỏa thuận tiền đề cho việc kềm chế chương trình hạt nhân gây tranh cãi của Iran. Ngày 29-11, đại diện chính phủ Iran tuyên bố Tehran sẽ bắt đầu ngừng chương trình hạt nhân trong sáu tháng theo thỏa thuận với các cường quốc kể từ tháng 1-2014.
Fars News dẫn nguồn tin riêng cho biết cấp lãnh đạo giữa hai quốc gia Israel và Ả Rập Saudi đã có cuộc hội đàm hợp tác song phương trong chương trình tình báo và ngăn chặn các hoạt động chống lại những chương trình hạt nhân của Iran. Trong đó, một kế hoạch được đề xuất nhằm phát triển loại "vũ khí mạng" nguy hiểm hơn Stuxnet để do thám và triệt phá phần mềm vận hành chương trình hạt nhân từ Iran.
Trước đó một tuần, báo giới Ả rập đưa tin về cuộc gặp giữa Hoàng tử Bandar bin Sultan và Thủ tướng Benjamin Netanyahu, cùng Tổng thống Pháp Francois Hollande tại Tel Aviv để trao đổi về mối quan hệ ngoại giao giữa Mỹ và Iran. Trong đó, Thủ tướng Netanyahu đã nhấn mạnh chương trình hạt nhân của Iran là mối nguy trực tiếp đối với Israel.
Loại vũ khí mạng mới sẽ có cùng mục tiêu hoạt động như Stuxnet nhưng khả năng phá hoại sẽ gia tăng hơn nhiều. Và theo nguồn tin riêng của Fars News, phía Saudi sẽ tài trợ nguồn lực tài chính có thể lên đến một triệu USD.
Trước đó, Stuxnet đã bị giới an ninh mạng "bóc trần" sau thời gian dài phá hoại chương trình làm giàu uranium của Iran bằng cách tấn công vào hệ thống SCADA điều khiển lò phản ứng hạt nhân ở Natanz của Iran. Báo New York Times đăng tải thông tin cho thấy Stuxnet là một sản phẩm của Mỹ, phối hợp phát triển cùng Israel. Thông tin này cũng đã được "người thổi còi" Edward Snowden xác nhận với báo Der Spiegel.
Thứ Bảy, 28 tháng 11, 2015
7 bước giúp hệ điều hành Windows an toàn hơn
Một máy tính có khả năng làm việc độc lập thường không yêu cầu tất cả các dịch vụ mạng do Windows cung cấp, ví như trình duyệt web hay các dịch vụ chia sẻ file, chia sẻ máy in in. Tuy nhiên, những điều này vẫn xảy ra ngay cả khi bạn không để ý tới. Mỗi khi ở trong tình trạng không được an toàn, sẽ có cảnh báo: máy tính đang bị xâm hại thông qua các dịch vụ chưa được vá và không thể kiếm soát được các dịch vụ này. Những dữ liệu quan trọng trên máy tính của bạn (ví như mật khẩu hoặc số thẻ tín dụng) có thể sẽ bị rò rỉ ra ngoài thông qua mạng Internet với những backdoor đã được cài đặt trước đó mà bạn không biết. Vì vậy, tại sao lại không tắt những dịch vụ này đi? Đây là một ý tưởng tốt, vậy nên: hãy biến hệ điều hành Windows của bạn trở nên an toàn hơn.
Bước 1: không nên làm việc với tài khoản quản trị (Áp dụng cho Windows 7, Vista, XP, 2003, 2000, NT)
Với Windows 7, làm việc với tài khoản chuẩn đã trở nên thuận tiện hơn bao giờ hết. Không có lý do gì trong việc không được làm việc với các quyền đã bị hạn chế đã tạo một bước nhảy lớn trong việc bảo mật máy tính. Cách Microsoft sử dụng để giữ máy tính bảo mật, cân bằng chức năng bằng cách tiếp hợp User Account Control (UAC), một trong những tiện ích Windows 7 cung cấp. Tuy nhiên, UAC được tạo ra không phải là để thay thế ý tưởng hạn chế tài khoản. Về cơ bản, file hệ thống NTFS có nhiệm vụ bảo vệ các file và folder từ các truy cập và thay đổi chưa được phép. Điều này sẽ giúp hệ điều hành và các chương trình đang chạy có thể tránh được rất nhiều loại virus, Trojans, spyware, malware, dialer và một số phần mềm chứa mã độc khác có thể làm hại máy tính của bạn theo nhiều cách. Profile của bạn cũng có thể bị tổn hại, nhưng điều này không xảy ra với hệ điều hành cơ bản của Windows 7. Ngay cả khi profile của bạn bị tấn công, tất cả các bức ảnh, file MP3 hay các dữ liệu đều có thể được khôi phục lại dễ dàng bằng cách đăng nhập bằng một tài khoản khác, tài khoản chưa bị tấn công.
Bước 2: Luôn cập nhật hệ điều hành với Windows Update (Áp dụng đối với Windows 7, Vista, XP, 2000)
Kể từ khi các vấn đề liên quan tới bảo mật được phát hiện hàng ngày, hàng tháng, việc giữ cho hệ điều hành Windows của bạn được cập nhật là rất cần thiết. Microsoft thường cung cấp các bản vá cập nhật và có khả năng nâng cấp cho Windows. Các bản cập nhật này được đưa ra ít nhất một lần mỗi tháng, hoặc thậm chí là ngắn hơn, mỗi khi có vấn đề nghiêm trọng đòi hỏi hành động ngay lập tức. Và thực sự, rất dễ để có thể giữ được sự an toàn.
Hãy để Windows tự động kiểm tra các bản cập nhật bảo mật. Với Windows 7, bạn sẽ phải cài đặt – hãy chắc chắn rằng tính năng này đã được bật:
Cách thực hiện: Start -> Control Panel -> System and Security -> Windows Update -> Change settings
1. Cập nhật quan trọng: cài đặt cập nhật ngay tức thời (recommended)
2. Chọn một ngày/ thời gian muốn cài đặt những cập nhật này
Nếu bạn thích tự mình kiểm tra và tải cập nhật bảo mật cho Windows. Chỉ cần thực hiện theo các bước sau: Start -> Control Panel -> System and Security -> Windows Update -> Check for updates.
1. Chờ cho tới khi Windows hoàn thành kiểm tra các bản cập nhật
2. Tiếp đến, xem và tích vào những cập nhật bạn muốn, ít nhất là những cập nhật được đánh dấu quan trọng
3. Cuối cùng, kích vào "Install Updates"
Ngoài ra, bạn có thể lựa chọn Microsoft Update để nhận những bản cập nhật cho không chỉ Windows mà còn MS Office và các sản phẩm khác.
Cách thực hiện: truy cập trang https://www.update.microsoft.com/microsoftupdate/
1. Đồng ý với các điều khoản trong Terms of Use cho cập nhật Microsoft rồi chọn Next
2. Ở trang tiếp theo, chọn "Install important updates only"
3. Cuối cùng, kích vào "Install" để hoàn tất.
Bước 3: Cài đặt Windows Services và tắt File Sharing (Áp dụng cho Windows 7, Vista, XP, 2003, 2000, NT)
Cấu hình chuẩn của Windows Services có thể là một thử thách khó khăn. Điều quan trọng hơn là phải chú ý tới những gì đang diễn ra trên hệ điều hành. Có những dịch vụ bạn không cần hoặc những dịch vụ này có thể làm hại máy tính của bạn bằng cách mở đường cho sâu hại máy tính, Trojan và các malware khác cùng với các chương trình không đáng tin cậy? Trong quá khứ, một số dịch vụ từ Microsoft được biết đến với “khả năng” chứa lỗ hổng khiến máy tính của bạn có thể bị tấn công. Vì vậy, hãy kiểm tra các thông tin chi tiết để có thể cấu hình các dịch vụ đúng cách.
Cách thực hiện: Start -> Control Panel -> System and Security -> Administrative Tools -> Services.
Bước 4: Sử dụng Web và Mail với Confidence (Áp dụng cho Windows 7, Vista, XP, 2003, 2000, NT)
Bất cứ khi nào truy cập web, bạn luôn có nguy cơ vô tình “dính” các phần mềm chứa mã độc mà thực sự chính bạn không muốn hoặc không biết về nó. Chọn một trình duyệt web an toàn có thể ngăn chặn bạn khỏi việc trở thành nạn nhân của sâu hại máy tính, malware hoặc các vụ tấn công khác của các phần mềm chứa mã độc. Trong quá khứ, Internet Explorer của Microsoft đã bị ảnh hưởng bởi rất nhiều vụ tấn công nhằm vào bảo mật, nhưng chúng ta có thể thấy được rất ít hành động được đưa ra để vá những lỗ hổng bảo mật. Hiện nay, để tránh vấn đề này, chúng tôi xin giới thiệu một số trình duyệt Web và tài khoản email được mọi người biết đến với độ an toàn cao hơn.
• Trình duyệt web khuyến nghị nên sử dụng:
o Mozilla Firefox
o Opera
Chọn trình duyệt web nào không quan trọng, quan trọng là luôn cập nhật!
Bước 5: Bật Windows Firewall (Áp dụng cho Windows 7, Vista, XP)
Với Windows 7, bạn có thể nhận tất cả những gì mình cần. Built-in firewall của hệ điều hành này là lá chắn giúp chống lại các vụ tấn công từ Internet. Tiện ích này chặn tất cả yêu cầu bên trong và tìm kiếm tới một mục tiêu dễ gây tổn hại cho máy tính hoặc hijack. Những mục tiêu này có thể là những lỗ hổng rất dễ bị khai thác bởi những phần mềm chứa mã độc. Hãy chắc chắn rằng firewall của bạn đã được bật. Không cần thiết phải chạy bất kì một phần mềm firewall nào khác. Bởi, chúng không thể nâng cấp an ninh cho hệ thống của bạn như firewall đã được tích hợp sẵn của Windows 7. Công việc còn lại của bạn rất đơn giản, cài đặt firewall đã được tích hợp sẵn này sao cho phù hợp.
Cách kiểm tra cài đặt firewall: Start -> Control Panel -> System and Security -> Sidebar: Turn Windows Firewall on/ off (bật/ tắt Windows Firewall).
• Cài đặt cho mạng gia đình hoặc văn phòng (cá nhân):
o Chọn "Turn on Windows Firewall"
o Loại bỏ dấu tích của tất cả các lựa chọn khác
• Cài đặt cho mạng công cộng:
o Chọn "Turn on Windows Firewall"
o Loại bỏ dấu tích của tất cả các lựa chọn khác.
Bước 6: Kiểm tra Network Locations (Áp dụng trong Windows 7 và Vista)
Chọn đúng cài đặt vị trí cho kết nối mạng của bạn có thể giúp phần nào đó trong việc nâng cấp bảo mật máy tính. Ví dụ, Windows cho phép một số cổng kết nối nếu bạn thông báo rằng mình đang sử dụng Home Network. Khi kết nối tới mạng công cộng ( thư viện, quán café Internet hoặc sân bay), hãy chắc chắn rằng bạn chọn Public Network và cho phép Windows ẩn tất cả các cổng từ bên ngoài bằng cách lọc chúng ra.
Cách kiểm tra cài đặt vị trí của bạn: Start -> Control Panel -> Network and Internet -> Network and Sharing Center
Về cơ bản, Windows 7 biết được 3 dạng vị trí khác nhau:
• Home Network: Nếu tất cả máy tính đều sử dụng chung mạng gia đình, và bạn biết tất cả những máy tính này và điều này được gọi là mạng đáng tin cậy.
• Work Network: Đối với những người dùng cá nhân, cài đặt này ít phổ biến hơn. Nó tương tự với Home Network nhưng có thêm một số dịch vụ mà mạng công ty yêu cầu.
• Public Network: Nếu bạn không biết nhiều về máy tính xung quanh mình, nghĩa là bạn đang sử dụng mạng công cộng không đáng tin cậy và trong trường hợp này bạn sử dụng cài đặt Public Network rồi chọn một trong số các địa điểm sau:
o Trong nhà hàng
o Trong quán café
o Tại sân bay
o Đang sử dụng mạng điện thoại
Chỉ cần thực hiện thwo những bước cơ bản, đơn giản trên và trải nghiệm lướt web nhanh hơn rất nhiều.
Bước 7: Sao lưu dữ liệu (Áp dụng cho Windows 7, Vista, XP, 2003, 2000, NT)
Máy tính để bàn và máy tính xách tay có khả năng bị tấn công, file hệ thống đối mặt với việc bị phá hủy, dữ liệu bị mất hoặc ổ cứng bị hỏng – những điều này có thể xảy ra bất cứ khi nào và bất cứ nơi đâu dù chúng ta không muốn. Ngày nay, mọi người sử dụng điện thoại thông minh nhiều hơn, và những điều tương tự trên cũng có thể xảy ra với dữ liệu của bạn. Tạo một bản sao lưu (dữ liệu của bạn, các bức ảnh, file nhạc…) ít nhất 1 lần 1 tháng có thể giảm thiểu đáng kể nguy cơ mất dữ liệu. Cùng với chiến lược đúng đắn, lỗi hỏng hóc hoặc tiêu tốn tài chính không còn là vấn đề với bạn nữa.
• Các ứng dụng giúp tạo bản sao lưu:
o Backup and Restore: Windows 7 cung cấp cá công cụ để tạo bản sao lưu cho các file và folder, cũng như tạo bản sao lưu cho toàn bộ hệ thống.
Cách thực hiện: Start -> Control Panel -> System and Security -> Backup and Restore
o Acronis True Image (ứng dụng phải trả tiền): Một giải pháp đáng tin cậy giúp bạn tạo bản sao lưu toàn bộ ổ cứng cũng như sao lưu rất nhiều file và folder. Trong trường hợp mất toàn bộ dữ liệu, bạn có thể sử dụng DVD bootable của ứng dụng để có thể khôi phục tất cả dữ liệu đã mất.
• Tạo chiến lược sao lưu dữ liệu:
o Sao lưu cái gì? Bạn có thể lưu dữ liệu đơn (mức độ file hệ thống) hoặc tạo một bản sao lưu của toàn bộ hệ thống ổ cứng (mức độ phân vùng).
o Sao lưu ở đâu? Một nơi có đủ dung lượng để chứa bản sao lưu dữ liệu của bạn như: ổ cứng (các nhanh nhất và dễ dàng sử dụng), ổ cứng trực tuyến(khó sử dụng trong các trường hợp khẩn cấp), DVD-RAM (rất đáng tin cậy nhưng tốn kém trong việc giảm dung lượng).
o Khi nào cần sao lưu? Lưu hệ thống của bạn tại thời điểm thực bất cứ khi nào: hàng ngày, một tuần một lần hoặc ít nhất là một lần một tháng.
o Full, incremental hay differential? Full backup – sao lưu toàn bộ - sẽ lưu toàn bộ dữ liệu của bạn nhưng sẽ tốn khá nhiều dung lượng ổ đĩa. Incremental backup - chỉ sao lưu các dữ liệu thay đổi so với lần backup gần nhất – lưu bất kì file mới nào hoặc file mới được thay đổi so với lần sao lưu gần nhất. Differential backup – sao lưu từng phần – giúp bạn lưu những file mới hoặc được thay đổi kể từ lần sao lưu hoàn chỉnh gần nhất.
o Nên giữ bản sao lưu trong bao lâu? Không có câu trả lời chung cho câu hỏi này. Tuy nhiên, chúng tôi khuyến nghị các bạn nên giữ ít nhất 3 bản sao lưu hoặc tạo một bản sao lưu mới ít nhất một tháng một lần.
Ngoài ra, bạn cũng nên nhớ kiểm tra lại các bản sao lưu sau khi tạo và cả sau này.
Lý do tại sao bạn không cần phải sử dụng Firewall cá nhân
1. Trước tiên, một firewall được biết đến như một phần của khái niệm bảo mật, được áp dụng cho các máy tính và mạng. Đây không phải là một phần mềm để bạn có thể cài đặt, tạo cảm giác an tâm.
Để bảo vệ máy tính bên trong một mạng, điều đầu tiên bạn cần là một khái niệm có thể trả lời cho những câu hỏi như:
o Cần bảo vệ cái gì?
o Những “kẻ xâm lấn” nào cần phải cảnh giác bảo vệ?
o Dịch vụ nào / người dùng được phép kết nối với bên ngoài?
o Những biện pháp bảo vệ này sẽ tiêu tốn bao nhiêu – và liệu nó có đáng với giá đó?
Đó là những điều cơ bản về firewall. Dù cho bất kì ai nói với bạn điều gì, chỉ cần nhớ rằng: firewall là một khái niệm, không phải là một phần mềm.
2. Một firewall chạy trên một hệ điều hành cần được bảo vệ, điều này không có nghĩa trong hầu hết các trường hợp.
Đây là nhiệm vụ của firewall để giữ những gói tin dữ liệu có hại ra ngoài máy chủ. Những lỗ hổng dễ bị xâm nhập khác, cần những biện pháp bảo vệ phụ, vẫn bị vượt qua trước khi firewall có thể làm bât cứ điều gì để chống lại. Cùng thời điểm cài đặt mã phần mềm phụ (như một Firewall Desktop) trên máy chủ, bạn nên tăng sự phức tạp của chúng lên cùng với việc tăng cảnh giác với các lỗ hổng và khả năng bị tấn công.
3. Bất kì một phần mềm phụ nào đều có thể đánh giá lỗ hổng của một hệ thống cùng với khả năng bị tấn công của hệ thống này.
Không phần mềm nào không có lỗi và những lỗi này tồn tại với những phần mềm đang có. Điều này có nghĩa là tổng số lỗi của một hệ thống là cả một vấn đề lớn về bảo mật. Với một phần mềm phụ được cài đặt, sự phức tạp của hệ thống được nâng cao và từ đó, vấn đề về bảo mật sẽ bớt lo ngại hơn.
4. Desktop Firewalls khiến người dung tạm có cảm giác an tâm rằng hiện nay họ đang được an toàn. Loại hình bảo mật giả mạo này khiến người dung có xu hướng ít cảnh giác về bảo mật của máy tính họ đang dùng. Điều này được biết đến giống như “đền bù rủi ro”.
Mọi người đều biết có rất nhiều người thường kích vào những tập tin đính kèm mà không suy nghĩ hay nghi ngờ chút nào. Khi được hỏi rằng những phần mềm này có thể chứa mã độc với virus máy tính được ẩn bên trong, họ thường trả lời: Tại sao phải quan tâm tới việc đó? Tôi đã cài Desktop Firewall và phần mềm diệt virus rồi. Chúng sẽ bảo vệ máy tính của tôi!” Thực sự, điều này không đúng chút nào, ít nhất là kể từ bây giờ trở đi bạn nên cảnh giác với điều này.
5. Desktop Firewalls có thể bị vượt qua hoặc bị tắt rất dễ dàng nhưng người dùng lại không nhận thức được điều này.
Những phần mềm an ninh thường hỏi người dùng sẽ làm gì:
o Đầu tiên, rất nhiều người dùng sẽ trả lời với Yes hoặc Allow, với mục đích tiếp tục lướt web hoặc không muốn bị làm phiền khi đang chơi gì đó – không cần biết họ vừa làm gì. Điều này thực sự nguy hiểm!
o Thứ 2, những cửa sổ hội thoại tương tác này xuất hiện từ Desktop Firewall không chỉ người dùng kích vào. Những phần mềm chứa mã độc có thể làm thay bạn những việc này khi thay đổi các rule theo ý chúng. Việc này xảy ra rất nhanh đến mức bạn không thể để ý được những gì đang xảy ra. Chúng có thể thực hiện được việc này bởi hầu hết thời gian hoạt động, Desktop Firewall có quyền tương đương với người dùng.
o Cuối cùng, Desktop Firewall thường đi kèm với những phần mềm xấu. Bất cứ khi nào Desktop Firewall tương tác với người dùng, sẽ có một đường dẫn giữa các mức thấp và cao của đặc quyền và phần mềm chứa mã độc sẽ tận dụng điều này để có thể làm hại hệ thống. Theo QTM
Thứ Sáu, 27 tháng 11, 2015
Hunt Down and Kill Malware with Sysinternals Tools (Part 3)
This third and last installment in the series will cover how to use Process Monitor for detecting changes to the registry and file system that may be made by malware.
If you would like to read the other parts in this article series please go to:
The new version uses less memory, and it now displays GPU usage and gives you the ability to restart services. Performance graphs look nicer, too.
So what can you do with it? A lot. This tool is used to capture all sorts of real-time data about the processes on a machine, including image path, command line, user and session ID, and the relationships of processes. Its filtering is non-destructive so you don’t have to worry about losing information when you set filters. With the information that you collect, you can analyze the malware you find and determine what it does and how to get rid of it.
You can download and install Process Monitor on your machine (it’s a 1.26 MB download) or you can fun it from Live.Sysinternals.com. Process Monitor installs a device driver to capture information, then presents it in the user-friendly graphical interface. As you can see in Figure 1, Process Monitor displays a line of information for every operation that takes place on the system. By default, the columns displayed include the time, the process name and its PID, the operation it conducted, the path, the result of the operation and details about the operation (in the figure, I have hidden the path information because it contains identifying information about the user account, computer name and domain name).
Figure 1
You can add many other columns for additional information about the application, the event and process management, as shown in Figure 2.
Figure 2
The amount of information that Process Monitor provides can be overwhelming, since there are so many processes that typically run in the background on a Windows system. That means filtering is essential if you want to be able to capture the information that’s relevant to your mission of tracking malware. The nice thing is that the Process Monitor filters restrict what is displayed, not what is actually captured. So all the data is still captured, but you only see what you need to see. So you can display entries that match a particular process name, a particular user, a particular time of the day, etc. You can see the selections in Figure 3.
Figure 3
You can create multiple filters, so that you could look just at entries generated by a particular process on a particular date and time, for example. You can choose that a condition is, is not, is less or more than, begins with or ends with, or includes or excludes a particular value, and you can specify that entries meeting that criteria be included or excluded. This flexibility greatly enhances your ability to spot out-of-the-ordinary events without being distracted by extraneous information.
There are handy buttons on the toolbar that you can use to show registry activity, show network activity, file system activity, process and thread activity and/or profiling events. You can enable boot logging and set the history depth to limit the total number of events that will be kept during a run.
When a malware program installs itself on your system, it may extract files to various locations on your hard drive, copy driver files to the Windows system folder, add keys to the Windows registry, etc. With Process Monitor, you can identify what is creating particular files that “rise from the dead” and reappear after you’ve deleted them, or what is creating suspicious registry entries.
To find out what a suspicious process is actually doing, you would first set filters to show only the entries for that process name. You may be able to further filter the results, or you may need to review the results line by line to figure out what the process is doing. For example, you might select to show only registry access events, so you can determine what registry keys the process is accessing, changing or adding. You can then examine these registry value to find out the effects of any changes that are being made. You can examine the file system access entries to find out what files a process is pulling information from, or files that it might be deleting from or adding to your system.
It might be easier for you to review the information in another program, such as Excel or Office. Or you might want to save a copy of the information in one of those formats. In that case, you can export the data to a .CSV file or an .XML file, using the “save to file” option (you can also save the file in native Process Monitor format, .PML, if you want to open it back up in Process Monitor).
Process Monitor can be used along with Process Explorer and AutoRuns to give you a powerful set of tools for manually tracking down malware so that you can remove it from your system.
Depending on how sophisticated the malware is, you may be able to thwart its attempts to prevent you from using the tools by renaming them or by running them on an alternate virtual desktop, using the Desktops utility. Mark describes a case where a Sysinternals user ran into exactly that problem in his blog post titled The Case of the Sysinternals-Blocking Malware.
If you would like to read the other parts in this article series please go to:
- Hunt Down and Kill Malware with Sysinternals Tools (Part 1)
- Hunt Down and Kill Malware with Sysinternals Tools (Part 2)
Introduction
In parts 1 and 2 of this three-part series, we looked at how you can use Process Explorer and Autoruns to identify malicious software on a Windows system. Since the publication of the first article, a new version of Process Explorer (v15.01) was released this month, so be sure to get the latest version here.The new version uses less memory, and it now displays GPU usage and gives you the ability to restart services. Performance graphs look nicer, too.
Installing and Using Process Monitor
Process Monitor replaces the old FileMon and RegMon tools and combines and updates the functionality of both. The current version of Process Monitor is v2.95 and you can download it from the Microsoft TechNet web site.So what can you do with it? A lot. This tool is used to capture all sorts of real-time data about the processes on a machine, including image path, command line, user and session ID, and the relationships of processes. Its filtering is non-destructive so you don’t have to worry about losing information when you set filters. With the information that you collect, you can analyze the malware you find and determine what it does and how to get rid of it.
You can download and install Process Monitor on your machine (it’s a 1.26 MB download) or you can fun it from Live.Sysinternals.com. Process Monitor installs a device driver to capture information, then presents it in the user-friendly graphical interface. As you can see in Figure 1, Process Monitor displays a line of information for every operation that takes place on the system. By default, the columns displayed include the time, the process name and its PID, the operation it conducted, the path, the result of the operation and details about the operation (in the figure, I have hidden the path information because it contains identifying information about the user account, computer name and domain name).
Figure 1
You can add many other columns for additional information about the application, the event and process management, as shown in Figure 2.
Figure 2
The amount of information that Process Monitor provides can be overwhelming, since there are so many processes that typically run in the background on a Windows system. That means filtering is essential if you want to be able to capture the information that’s relevant to your mission of tracking malware. The nice thing is that the Process Monitor filters restrict what is displayed, not what is actually captured. So all the data is still captured, but you only see what you need to see. So you can display entries that match a particular process name, a particular user, a particular time of the day, etc. You can see the selections in Figure 3.
Figure 3
You can create multiple filters, so that you could look just at entries generated by a particular process on a particular date and time, for example. You can choose that a condition is, is not, is less or more than, begins with or ends with, or includes or excludes a particular value, and you can specify that entries meeting that criteria be included or excluded. This flexibility greatly enhances your ability to spot out-of-the-ordinary events without being distracted by extraneous information.
There are handy buttons on the toolbar that you can use to show registry activity, show network activity, file system activity, process and thread activity and/or profiling events. You can enable boot logging and set the history depth to limit the total number of events that will be kept during a run.
When a malware program installs itself on your system, it may extract files to various locations on your hard drive, copy driver files to the Windows system folder, add keys to the Windows registry, etc. With Process Monitor, you can identify what is creating particular files that “rise from the dead” and reappear after you’ve deleted them, or what is creating suspicious registry entries.
To find out what a suspicious process is actually doing, you would first set filters to show only the entries for that process name. You may be able to further filter the results, or you may need to review the results line by line to figure out what the process is doing. For example, you might select to show only registry access events, so you can determine what registry keys the process is accessing, changing or adding. You can then examine these registry value to find out the effects of any changes that are being made. You can examine the file system access entries to find out what files a process is pulling information from, or files that it might be deleting from or adding to your system.
It might be easier for you to review the information in another program, such as Excel or Office. Or you might want to save a copy of the information in one of those formats. In that case, you can export the data to a .CSV file or an .XML file, using the “save to file” option (you can also save the file in native Process Monitor format, .PML, if you want to open it back up in Process Monitor).
Process Monitor can be used along with Process Explorer and AutoRuns to give you a powerful set of tools for manually tracking down malware so that you can remove it from your system.
What if the Sysinternals tools won’t run?
As we’ve demonstrated in this three-part article, the Sysinternals tools are great aids in manually hunting down and killing malware, and are especially useful when dealing with the “zero day” variety for which signatures haven’t yet been created by the anti-malware vendors. But sometimes, you might find that the Sysinternals tools won’t run because malware authors have started targeting these popular tools (as well as commercial anti-virus and anti-malware products) in order to stay ahead of you and keep you from cleaning the malicious code off your system. You might try to start Process Explorer, Process Monitor or Autoruns only to find that the process is immediately terminated.Depending on how sophisticated the malware is, you may be able to thwart its attempts to prevent you from using the tools by renaming them or by running them on an alternate virtual desktop, using the Desktops utility. Mark describes a case where a Sysinternals user ran into exactly that problem in his blog post titled The Case of the Sysinternals-Blocking Malware.
Summary
This three-part series covered the basics of how to use tools such as Process Explorer, Autoruns and Process Monitor to hunt down and kill malware. The free Sysinternals tools are invaluable aids for anyone who wants to delve deeply into the hunt for malicious code and eliminate it from your systems. You can download them free from the Microsoft TechNet web site, and if you really want to ramp up on how to use them most effectively, check out Mark’s book (with Aaron Margosis), Windows Sysinternals Administrator’s Reference.Hunt Down and Kill Malware with Sysinternals Tools (Part 2) - Autoruns
In this Part 2, I will talk about how you can use Autoruns tool to find malware that boots at startup.
If you would like to read the other parts in this article series please go to:
The command line version is autorunsc, which is also included in the download. Both are downloaded as executables in a zipped file, along with a help file (autoruns.chm). As you can see in Figure 1, the program is much more comprehensive than the built-in Windows tool MSConfig.
Figure 1
At first glance, you might find the interface a little overwhelming. There are 18 different tabs across the top.The first tab, appropriately labeled “Everything,” shows you all of the types of programs and services that are configured to run at startup. You’ll probably be amazed (and a little appalled) at the number you see here. Unlike MSConfig, Autoruns doesn’t require administrative privileges.
The additional tabs let you view the information sorted into categories, including:
Another tab that might need a bit of explanation is Image Hijacks. This refers to using Image File Execution options in the Windows registry to redirect a process loading by mapping the executable name and thus load a completely different process. Dana Epps wrote about this way back in 2005 in his blog post Using Image File Execution options as an Attack Vector on Windows.
One of my favorite features of Autoruns is the “Jump to” option. If you right click on an entry, you can select “Jump to” as shown in Figure 2 and the registry editor will open up to the location of that item.
Figure 2
You’re likely to run across some entries that you can’t readily identify from the name/description/publisher information. You can use the “Search online” option to automatically open up your web browser to your search engine page with the entries for that search term. This is one way to help determine whether one of these startup items is associated with malicious software.
Another extremely useful feature is found in the File menu. Here you’ll see an option for “Compare…”. Using it effectively takes some forethought, because you need to have used the File | Save option to save an Autoruns file (.ARN file extension) before you started having problems. If you did that, you can use the Compare option to highlight new entries on the Autoruns list, to help you narrow down the malware suspects.
To make things more manageable, you can select to Hide entries that are identified as Microsoft software (this selection is in the Options menu). However, it’s not necessarily a good idea to do so, as it’s easy for Malware authors to mislabel their code as originating from Microsoft. So you need to verify the digital signature in order to know for sure that it’s really from Microsoft. To do that for a specific entry, select Verify from the Entry menu (or press CTRL + V). There is also an option to Verify Code Signatures in the Options menu.
Another advantage of Autoruns in comparison to MSConfig is that it will show you the autostart entries per user. More and malware these days is exploiting standard user accounts by writing to HKEY_CURRENT_USER locations. With Autoruns, you can pick the username of the account you want to view from the User menu. This will allow you to find malware that is in the registry under the other user’s account.
Autoruns can even analyze offline systems, which will aid in detecting rootkits. You’ll find this option in the File menu. You enter the system root directory of the system that’s offline, as well as the user profile that you want to examine. Note that you can use Autorunsc (the command line version of Autoruns) along with another Sysinternals tool, psexec, to view the autostart entries on a remote machine.
This month, we focused on Autoruns, which makes it easy for you to find out just about anything you could want to know about the programs and services that are configured to start automatically, and helps you to detect whether those processes are legitimate or may be malware. Next month in Part 3, we’ll take a look at how to use Process Monitor to trace malware activity and how you can remove malware from your system once you’ve tracked it down, as well as what to do if the Sysinternals tools won’t run.
If you would like to read the other parts in this article series please go to:
- Hunt Down and Kill Malware with Sysinternals Tools (Part 1)
- Hunt Down and Kill Malware with Sysinternals Tools (Part 3)
Introduction
In part 1 of this series, I recapped some of what I learned from Mark Russinovich at this year’s MVP Summit, in regard to using Process Explorer to find suspicious processes that might indicate malware running on your system. This month in Part 2, I will talk about how you can use the Autoruns tool to find malware that boots at startup.Autoruns Overview
The next tool we’re going to look at is Autoruns, which shows you what programs are set up to run during the system bootup and login process. It’s very configurable, allowing you to display not only the programs in the startup folder and registry keys Run and RunOnce, but also Explorer shell extensions, toolbars, browser helper objects, Winlogon notifications, autostart services and a lot more. And it shows them in the order in which they’re processed by Windows. You can also disable startup programs directly from within Autoruns. The current version is 10.07. It runs on Windows XP/Server 2003 and above, and you can download it here.The command line version is autorunsc, which is also included in the download. Both are downloaded as executables in a zipped file, along with a help file (autoruns.chm). As you can see in Figure 1, the program is much more comprehensive than the built-in Windows tool MSConfig.
Figure 1
At first glance, you might find the interface a little overwhelming. There are 18 different tabs across the top.The first tab, appropriately labeled “Everything,” shows you all of the types of programs and services that are configured to run at startup. You’ll probably be amazed (and a little appalled) at the number you see here. Unlike MSConfig, Autoruns doesn’t require administrative privileges.
The additional tabs let you view the information sorted into categories, including:
- Logon
- Explorer (context menus, shell extensions, etc.)
- Internet Explorer (toolbars, browser helper objects)
- Scheduled Tasks (processes that run in the background based on triggered events)
- Services (Windows entries are hidden by default)
- Drivers
- Print Monitors
- LSA Providers
- Network Providers
- Sidebar Gadgets
- Codecs
- Boot Execute
- Image Hijacks
- AppInit
- KnownDLLs
- Winlogon
- Winsock Providers
Another tab that might need a bit of explanation is Image Hijacks. This refers to using Image File Execution options in the Windows registry to redirect a process loading by mapping the executable name and thus load a completely different process. Dana Epps wrote about this way back in 2005 in his blog post Using Image File Execution options as an Attack Vector on Windows.
What you can do with Autoruns
Note that all of the entries you see in Autoruns are not necessarily programs that are running at the time – they’re the programs that are configured to run automatically. To find out whether an item is currently running, you can right click it and select Process Explorer. Assuming you have Process Explorer installed, this will open it so you can view the properties dialog box for the process there. Also note that if Process Explorer is running with admin privileges and you’re running Autoruns with standard user privileges, this action will fail because Autoruns won’t be able to communicate with Process Explorer.One of my favorite features of Autoruns is the “Jump to” option. If you right click on an entry, you can select “Jump to” as shown in Figure 2 and the registry editor will open up to the location of that item.
Figure 2
You’re likely to run across some entries that you can’t readily identify from the name/description/publisher information. You can use the “Search online” option to automatically open up your web browser to your search engine page with the entries for that search term. This is one way to help determine whether one of these startup items is associated with malicious software.
Another extremely useful feature is found in the File menu. Here you’ll see an option for “Compare…”. Using it effectively takes some forethought, because you need to have used the File | Save option to save an Autoruns file (.ARN file extension) before you started having problems. If you did that, you can use the Compare option to highlight new entries on the Autoruns list, to help you narrow down the malware suspects.
To make things more manageable, you can select to Hide entries that are identified as Microsoft software (this selection is in the Options menu). However, it’s not necessarily a good idea to do so, as it’s easy for Malware authors to mislabel their code as originating from Microsoft. So you need to verify the digital signature in order to know for sure that it’s really from Microsoft. To do that for a specific entry, select Verify from the Entry menu (or press CTRL + V). There is also an option to Verify Code Signatures in the Options menu.
Another advantage of Autoruns in comparison to MSConfig is that it will show you the autostart entries per user. More and malware these days is exploiting standard user accounts by writing to HKEY_CURRENT_USER locations. With Autoruns, you can pick the username of the account you want to view from the User menu. This will allow you to find malware that is in the registry under the other user’s account.
Autoruns can even analyze offline systems, which will aid in detecting rootkits. You’ll find this option in the File menu. You enter the system root directory of the system that’s offline, as well as the user profile that you want to examine. Note that you can use Autorunsc (the command line version of Autoruns) along with another Sysinternals tool, psexec, to view the autostart entries on a remote machine.
Removing Autoruns entries
It’s important to understand the options for removing items that you find in Autoruns. You have two ways to do this within Autoruns:- Select the item in the list and click the Delete button (red X) in the toolbar, or press the Delete key on the keyboard. This does not delete the associated files and it does not stop the process if it’s currently running. It only modifies the registry value that instructs Windows to run it automatically.
- You can also temporarily remove an item from startup by unchecking the checkbox next to it. When you do this, it is removed from the Run key in the registry, and stored in a subkey “AutorunsDisabled” so that you can enable it again by checking the checkbox.
Summary
The free Sysinternals tools are invaluable aids for anyone who wants to delve deeply into the hunt for malicious code and eliminate it from your systems. You can download them free from the Microsoft TechNet web site, and if you really want to ramp up on how to use them most effectively, check out Mark’s book (with Aaron Margosis), Windows Sysinternals Administrator’s Reference, which is published by O’Reilly and came out in June 2011.This month, we focused on Autoruns, which makes it easy for you to find out just about anything you could want to know about the programs and services that are configured to start automatically, and helps you to detect whether those processes are legitimate or may be malware. Next month in Part 3, we’ll take a look at how to use Process Monitor to trace malware activity and how you can remove malware from your system once you’ve tracked it down, as well as what to do if the Sysinternals tools won’t run.
Hunt Down and Kill Malware with Sysinternals Tools (Part 1)
This article is part one of a two-part series on using Sysinternals tools to manually detect and clean malware from a Windows system.
That means users are left unprotected against the new threats for some amount of time, depending on how rapidly the vendor can create, test and deploy updates. This is the reason many computer users have the perception that anti-malware tools don’t work very well. Often one tool will find malware that another misses, and when a threat is brand new, none of the tools may find it. That’s the basis of the “Zero Day” concept – a threat that’s so new there are no protections against it yet in place.
Thus the need for manual malware cleaning methods. Although it’s much more convenient to just run an anti-malware application and hope for the best, if you notice suspicious behavior occurring on your system and those programs can’t find anything wrong, you can delve deeper to find it yourself instead of waiting for the vendors to get the tools updated. You can do that with Sysinternals utilities such as Process Monitor and Autoruns.
In his talk, Mark first outlined the steps involved in the manual malware detection and cleaning process, as follows:
Step one is a precautionary one. Disconnecting from the network prevents your infected machine from infecting others on the network, and also keeps the machine from being immediately reinfected, from “calling home” when triggered by your detection and cleaning actions, etc. However, being disconnected from the network will also prevent you from fully observing the malware’s normal actions and from completely understanding how it works and all that it does.
How do you identify processes that are suspicious? Mark told us to look for those processes that have no icon, have no descriptive or company name, or that are unsigned Microsoft images. Also focus on those processes that live in the Windows directory, that include strange URLs in their strings, that have open TCP/IP endpoints or that host suspicious DLLs or services (hiding as a DLL instead of a process). Many are packed – compressed or encrypted – and many malware authors write their own packers so you don’t find the common packer signatures. Most malicious software will have some or all of these characteristics.
So how do you go about examining the processes in the first place? Many IT pros would start with the obvious: Task Manager’s Processes tab. Task Manager has been improved in Vista and Windows 7, in comparison to Windows XP. The Description column, which gives you information about what application is using each process, is a welcome feature that’s shown in Figure 1.
Figure 1
You can get additional information in Task Manager by going to the View menu and clicking Select Columns, then checking the boxes you want, as shown in Figure 2.
Figure 2
For example, you can display the image path name to show the full path to the file that’s connected to the process. Or you can check the Command Line box to show the command, with any parameters or switches, that was used to launch the process (malware often has strange looking command lines). You can see this additional information in Figure 3.
Figure 3
Another way to get more info about a process in Task Manager is to right click it and select Properties, which will open its Properties dialog box. Here you can see information regarding its file type, location and size, digital signature, copyright information, versioning (most malware doesn’t have version information), permissions, etc. All of this is a good start, but Task Manager still doesn’t give you quite the in-depth look at a process that you can get with a tool such as the Sysinternals Process Explorer.
As you can see in Figure 4, it gives you a different view of your processes than what you get with Task Manager.
Figure 4
You’ll notice that in Process Explorer, the process tree in the left column shows parent-child relationships. If one process looks suspicious, related processes may also be. An extremely handy feature is the ability to right click a process and select “Search online” to do a web search for information about the process, as shown in Figure 5.
Figure 5
One thing to keep in mind, though, is that some malware will use pseudo random generated process names, in order to prevent you from finding any information in a search.
We noted earlier that malware is often packed, and the color purple in Process Explorer is an indication that the files may be packed; Process Explorer looks for packer signatures and also uses heuristics (e.g., small code plus big data) to flag these processes. Note that processes created in Visual Studio debugged versions also look like packed processes.
Some of the processes you see will be very familiar so that you might not even give them a thought – processes such as svchost.exe, rundll32, taskhost.exe and so forth. However, malware writers know this too, and so malware often hides behind these processes, creating their own service host to hide in and run as system processes.
Process Explorer’s lower pane is opened from the View menu (“Show lower pane). Then you can specify whether it displays handles or DLLs. In DLL view, you can see what’s inside the processes, whether data or an image. This view shows loaded drivers and can check strings and signatures.
If you find processes claiming to be from Microsoft that are not digitally signed, this is suspicious because virtually all Microsoft code is signed. You can selectively check for signatures with the Verify button on the process image tab in the Properties box for a process, which you access by double clicking the process name. You can see the Properties dialog box with the Verify button in Figure 6.
Figure 6
When you verify a process, the tool will connect to the Internet to check the Certificate Revocation List (CRL). You can add a “Verified Signers” column to the Process Explorer display, by selecting View | Select Columns and checking the “Verified Signer” box as shown in Figure 7.
Figure 7
In Figure 8, you can see the new column and the signatures that have been individually verified.
Figure 8
If you want all signatures verified, you can click the Options menu and select “Verify image signatures” as shown in Figure 9.
Figure 9
Another Sysinternals tool that you can use for verifying digital signatures is Sigcheck, which runs on Windows XP and above. Current version is 1.71 and it’s available for download here .
Sigcheck is an executable command line tool that can be used to scan the system for suspicious executable images. It includes a number of parameters. By using the –u switch, you can get a list of all unsigned files. You can also find out hash values (which can be used to check for malicious files), and check on whether the listed file name matches the internal file name.
Remember, though, that malware authors can also get digital certificates for their software, so the existence of a valid certificate does not guarantee that the process isn’t malicious.
- Hunt Down and Kill Malware with Sysinternals Tools (Part 2) - Autoruns
- Hunt Down and Kill Malware with Sysinternals Tools (Part 3)
Introduction
For the past few years, each time I’ve attended the annual MVP Summit in Redmond, a highlight of the conference has been Mark Russinovich’s presentation. This past March, his talk dealt with a particularly fascinating topic: how to use some of the popular Sysinternals tools that he created to hunt down malware on your system. The Sysinternals tools are free to download from the Windows Sysinternals page on the TechNet web site. In this two-part article, I’ll recap what I learned in that session and show you how to utilize some of the popular Sysinternals utilities to assist in your malware hunt.Automated vs. Manual Malware Clean-up
There are many different malware detection and cleaning applications, including Microsoft’s own Malicious Software Removal Tool (MSRT), which is a free download here. The problem with most anti-malware tools is that they rely on signatures to detect the malicious code. Whenever a new virus, spyware program or other piece of malware is discovered, the vendor has to update the database that the anti-malware tool uses to recognize the new malware. Malware authors are prolific, though, and new malware is discovered on a daily basis, so the anti-malware vendors are always one step behind.That means users are left unprotected against the new threats for some amount of time, depending on how rapidly the vendor can create, test and deploy updates. This is the reason many computer users have the perception that anti-malware tools don’t work very well. Often one tool will find malware that another misses, and when a threat is brand new, none of the tools may find it. That’s the basis of the “Zero Day” concept – a threat that’s so new there are no protections against it yet in place.
Thus the need for manual malware cleaning methods. Although it’s much more convenient to just run an anti-malware application and hope for the best, if you notice suspicious behavior occurring on your system and those programs can’t find anything wrong, you can delve deeper to find it yourself instead of waiting for the vendors to get the tools updated. You can do that with Sysinternals utilities such as Process Monitor and Autoruns.
In his talk, Mark first outlined the steps involved in the manual malware detection and cleaning process, as follows:
- Disconnect the machine from the network.
- Identify the malicious processes and drivers.
- Suspend and terminate the identified processes.
- Identify and delete any malware autostarts.
- Delete the malware files.
- Reboot and repeat.
Step one is a precautionary one. Disconnecting from the network prevents your infected machine from infecting others on the network, and also keeps the machine from being immediately reinfected, from “calling home” when triggered by your detection and cleaning actions, etc. However, being disconnected from the network will also prevent you from fully observing the malware’s normal actions and from completely understanding how it works and all that it does.
How do you identify processes that are suspicious? Mark told us to look for those processes that have no icon, have no descriptive or company name, or that are unsigned Microsoft images. Also focus on those processes that live in the Windows directory, that include strange URLs in their strings, that have open TCP/IP endpoints or that host suspicious DLLs or services (hiding as a DLL instead of a process). Many are packed – compressed or encrypted – and many malware authors write their own packers so you don’t find the common packer signatures. Most malicious software will have some or all of these characteristics.
So how do you go about examining the processes in the first place? Many IT pros would start with the obvious: Task Manager’s Processes tab. Task Manager has been improved in Vista and Windows 7, in comparison to Windows XP. The Description column, which gives you information about what application is using each process, is a welcome feature that’s shown in Figure 1.
Figure 1
You can get additional information in Task Manager by going to the View menu and clicking Select Columns, then checking the boxes you want, as shown in Figure 2.
Figure 2
For example, you can display the image path name to show the full path to the file that’s connected to the process. Or you can check the Command Line box to show the command, with any parameters or switches, that was used to launch the process (malware often has strange looking command lines). You can see this additional information in Figure 3.
Figure 3
Another way to get more info about a process in Task Manager is to right click it and select Properties, which will open its Properties dialog box. Here you can see information regarding its file type, location and size, digital signature, copyright information, versioning (most malware doesn’t have version information), permissions, etc. All of this is a good start, but Task Manager still doesn’t give you quite the in-depth look at a process that you can get with a tool such as the Sysinternals Process Explorer.
Using Process Explorer to Identify Malware
Process Explorer is a free 1.47 MB download from the Windows Sysinternals web page on the TechNet site. It runs on Windows XP and above. Current version is 14.1 and you can get it here. You can also run it from this linkAs you can see in Figure 4, it gives you a different view of your processes than what you get with Task Manager.
Figure 4
You’ll notice that in Process Explorer, the process tree in the left column shows parent-child relationships. If one process looks suspicious, related processes may also be. An extremely handy feature is the ability to right click a process and select “Search online” to do a web search for information about the process, as shown in Figure 5.
Figure 5
One thing to keep in mind, though, is that some malware will use pseudo random generated process names, in order to prevent you from finding any information in a search.
We noted earlier that malware is often packed, and the color purple in Process Explorer is an indication that the files may be packed; Process Explorer looks for packer signatures and also uses heuristics (e.g., small code plus big data) to flag these processes. Note that processes created in Visual Studio debugged versions also look like packed processes.
Some of the processes you see will be very familiar so that you might not even give them a thought – processes such as svchost.exe, rundll32, taskhost.exe and so forth. However, malware writers know this too, and so malware often hides behind these processes, creating their own service host to hide in and run as system processes.
Process Explorer’s lower pane is opened from the View menu (“Show lower pane). Then you can specify whether it displays handles or DLLs. In DLL view, you can see what’s inside the processes, whether data or an image. This view shows loaded drivers and can check strings and signatures.
If you find processes claiming to be from Microsoft that are not digitally signed, this is suspicious because virtually all Microsoft code is signed. You can selectively check for signatures with the Verify button on the process image tab in the Properties box for a process, which you access by double clicking the process name. You can see the Properties dialog box with the Verify button in Figure 6.
Figure 6
When you verify a process, the tool will connect to the Internet to check the Certificate Revocation List (CRL). You can add a “Verified Signers” column to the Process Explorer display, by selecting View | Select Columns and checking the “Verified Signer” box as shown in Figure 7.
Figure 7
In Figure 8, you can see the new column and the signatures that have been individually verified.
Figure 8
If you want all signatures verified, you can click the Options menu and select “Verify image signatures” as shown in Figure 9.
Figure 9
Another Sysinternals tool that you can use for verifying digital signatures is Sigcheck, which runs on Windows XP and above. Current version is 1.71 and it’s available for download here .
Sigcheck is an executable command line tool that can be used to scan the system for suspicious executable images. It includes a number of parameters. By using the –u switch, you can get a list of all unsigned files. You can also find out hash values (which can be used to check for malicious files), and check on whether the listed file name matches the internal file name.
Remember, though, that malware authors can also get digital certificates for their software, so the existence of a valid certificate does not guarantee that the process isn’t malicious.
Summary
This article is part one of a two-part series on using Sysinternals tools to manually detect and clean malware from a Windows system. We showed you how to use Process Explorer to find suspicious processes that may indicate malware. In part two, we’ll discuss how to use Autoruns to find malware that boots at startup, how to use Process Monitor to trace malware activity, and ways to remove malware from the system.Thứ Năm, 26 tháng 11, 2015
Nâng cấp bảo mật Wi-Fi từ WEP lên WPA2
Chúng ta đã biết bảo mật WEP rất dễ bị crack, công nghệ bảo mật này chỉ bảo vệ được mạng không dây của bạn trước những người dùng thông thường. Còn ngoài ra, đối với các hacker, kể cả các hacker mới vào nghề cũng có thể download các công cụ miễn phí và thực hiện theo một hướng dẫn nào đó để crack khóa WEP của bạn. Sau khi phá được khóa, hacker có thể kết nối đến mạng Wi-Fi và truy nhập vào các tài nguyên chia sẻ chung trên mạng của bạn. Ngoài ra các hacker còn có thể giải mã lưu lượng thời gian thực trên mạng.
Lúc này bạn phải nhập vào cùng một mật khẩu trên các máy tính hoặc thiết bị được trang bị Wi-Fi. Trong Windows, bạn sẽ được nhắc nhở để nhập vào thông tin này khi kết nối. Tuy nhiên nếu đã từng sử dụng WEP hoặc WPA, Windows có thể không kết nối cho tới khi bạn sửa các thiết lập bảo mật đã lưu:
Chính vì lý do đó mà chúng ta cần sử dụng một công nghệ an toàn nhất để bảo vệ cho mạng không dây của mình: hiện tại đó chính là Wi-Fi Protected Access 2 (WPA2), đây là công nghệ sử dụng mã hóa AES/CCMP. Có hai dạng thức của công nghệ WPA và WPA2: Personal hoặc Pre-shared Key (PSK) cho người dùng gia đình và Enterprise cho doanh nghiệp.
Chế độ Personal rất dễ trong cài đặt và sử dụng. Bạn có thể tạo một khóa mã hóa (giống như một mật khẩu) trên router không dây hoặc điểm truy cập. Sau đó nhập vào khóa này trên các máy tính và các thiết bị để kết nối với mạng Wi-Fi.
Chế độ Enterprise phức tạp hơn nhiều và yêu cầu một máy chủ ngoài, máy chủ này được gọi là RADIUS server, để kích hoạt nhận thực 802.1X. Tuy nhiên chế độ này thích hợp với việc sử dụng trong các doanh nghiệp. Bạn có thể tạo các username và password cho người dùng để sử dụng khi kết nối. Các khóa mã hóa thực không được lưu trên máy tính và thiết bị do đó sẽ bảo vệ cho mạng của bạn tốt hơn nếu chúng có bị mất hoặc bị đánh cắp.
Khi sử dụng chế độ Enterprise, bạn có thể thu hồi sự truy cập của người dùng khi họ không làm tại công ty của bạn nữa. Nếu sử dụng chế độ Personal, bạn sẽ phải thay đổi khóa mã hóa (trên tất cả các điểm truy cập và tất cả máy tính) mỗi khi một máy hoặc một thiết bị bị mất hay bị đánh cắp và khi có nhân viên nào đó rời công ty.
Kiểm tra các phương pháp bảo mật hiện hành
Nếu bạn không chắc chắn về phương pháp bảo mật mà mình đang sử dụng, hãy kiểm tra nhanh trong Windows bằng cách vào danh sách các mạng không dây có sẵn.
Trong Windows XP (tối thiểu ở đây là Service Pack 2), các mạng sử dụng một số kiểu bảo mật này sẽ có thông báo được bảo mật. Nếu đang sử dụng WPA hoặc WPA2, thông báo sẽ được hiển thị trong dấu ngoặc đơn, còn lại sẽ là trường hợp sử dụng WEP. Trong Windows Vista và Windows 7, bạn chỉ cần di chuột qua mạng nằm trong danh sách là có thể xem được các thông tin chi tiết, các thông tin này gồm có kiểu bảo mật.
Thẩm định tương thích WPA2
Hầu hết các sản phẩm Wi-Fi được sản xuất từ sau năm 2005 đều hỗ trợ WPA2. Nếu có một router không dây, các điểm truy cập, máy tính hay các thiết bị Wi-Fi khác được sản xuất trước 2005, bạn cần kiểm tra xem thiết bị của mình có hỗ trợ WPA2 hay không.
Để kiểm tra xem router không dây hoặc điểm truy cập có hỗ trợ WPA2 hay không, bạn hãy nhập địa chỉ IP của nó vào trình duyệt web, đăng nhập vào panel điều khiển và kiểm tra các thiết lập không dây.
Lưu ý: Nếu không biết địa chỉ IP của router là gì, hãy triệu gọi hộp thoại Wireless Network Connection Status trong Windows, kích nút Details, sau đó tham khảo phần Default Gateway. Xem hình 1.
Lưu ý: Nếu không nhớ mật khẩu, hãy tham khảo hướng sử dụng hay tìm kiếm trên Google để lấy mật khẩu mặc định. Nếu đã thay đổi mật khẩu mặc định, bạn có thể thiết lập lại mật khẩu mặc định nhà máy bằng cách giữ nút reset nhỏ ở phía sau router hay điểm truy cập không dây của mình.
Nếu không thấy WPA2 trong các thiết lập bảo mật không dây của router hay điểm truy cập không dây, bạn có thể cần đến sự hỗ trợ từ các nâng cấp phần mềm bổ sung của nhà máy. Trong panel điều khiển, tìm các thông tin về hệ thống và trạng thái để kiểm tra xem phiên bản được cài đặt của phần mềm. Sau đó vào phần hỗ trợ trong website của nhà sản xuất và kiểm tra các desktop có sẵn cho model của bạn. Nếu có phát hành phần mềm mới nào cho thiết bị, hãy download nó và upload thông qua trang phần mềm trên panel điều khiển.
Nếu bạn có một số máy tính Windows, hãy cài đặt Service Pack 3, đây là phiên bản hỗ trợ WPA2. Kích Start, right-click My Computer, chọn Properties. Nếu đã cài đặt Service Pack 3, bạn sẽ thấy dòng chữ “Windows XP Service Pack 3”. Còn trong trường hợp không thấy, bạn hãy download và cài đặt bằng cách sử dụng Windows Updates.
Nếu đang sử dụng một adapter không dây cũ, adapter này có thể không hỗ trợ WPA2 nếu Windows hỗ trợ nó. Để kiểm tra sự hỗ trợ của nó trong Windows XP, mở hộp thoại Wireless Network Connection Properties, chọn tab Wireless Networks, kích Add. Bảo đảm WPA2 có trong menu sổ xuống trong phần Network Authentication. Xem trong hình 2.
Nếu không thấy WPA2, bạn có thể tìm sự hỗ trợ từ các nâng cấp driver bởi nhà sản xuất. Kiểm tra phiên bản của driver đã được cài đặt: Mở hộp thoại Wireless Network Connection Properties trong Windows, kích nút Configure, chọn tab Driver. Sau đó vào phần hỗ trợ của website nhà sản xuất và kiểm tra các download tương ứng với model thiết bị của bạn.
Nếu có phiên bản driver mới hơn, hãy download và nâng cấp bằng cách thực hiện theo hướng dẫn của nhà sản xuất hay thông qua tab Driver.
Sử dụng WPA2-Personal (PSK)
Để kích hoạt bảo mật WPA2-Personal, bạn cần nhập địa chỉ IP của router không dây hay điểm truy cập vào trình duyệt web, đăng nhập vào panel điều khiển và sau đó tìm các thiết lập bảo mật không dây.
Nếu không biết địa chỉ IP của router hoặc không nhớ mật khẩu, bạn hãy tham khảo các lưu ý trong phần trước.
Khi tìm thấy phần các thiết lập bảo mật không dây, chọn bảo mật WPA2 và mã hóa AES. Tiếp đó nhập vào 8 đến 63 ký tự làm Pre-Shared Key hoặc Passphrase. Cần biết rằng mật khẩu càng dài và càng phức tạp thì bảo mật của bạn càng an toàn. Thêm vào đó cũng nên sử dụng cả các ký tự in hoa và in thường cũng như các chữ số trong mật khẩu. Ghi mật khẩu ra giấy và cất giữ ở một nơi an toàn. Cuối cùng không được quên lưu lại các thay đổi mà bạn vừa thực hiện.
Lúc này bạn phải nhập vào cùng một mật khẩu trên các máy tính hoặc thiết bị được trang bị Wi-Fi. Trong Windows, bạn sẽ được nhắc nhở để nhập vào thông tin này khi kết nối. Tuy nhiên nếu đã từng sử dụng WEP hoặc WPA, Windows có thể không kết nối cho tới khi bạn sửa các thiết lập bảo mật đã lưu:
Trong Windows XP, kích đúp vào biểu tượng mạng không dây ở góc trên bên dưới, kích Change the order of preferred networks. Sau đó kích tên mạng và thay đổi Network Authentication thành WPA2-PSK, Data Encryption thành AES và nhập mật khẩu vào hai lần trong trường Network Key. Xem thể hiện trong hình 4.
Trong Windows Vista và Windows 7, triệu gọi danh sách các mạng không dây có sẵn, kích phải vào một mạng nào đó và chọn Properties. Sau đó thay đổi Security Type thành WPA2-Personal, Encryption Type thành AES, nhập vào mật khẩu làm Network Security Key.
Sử dụng WPA2-Enterprise
Trước khi có thể sử dụng WPA2-Enterprise, bạn phải chọn và cài đặt một máy chủ RADIUS server. Nếu đã có một Windows Server, bạn sẽ có thể sử dụng IAS hoặc NPS server. Các máy chủ RADIUS khác gồm có FreeRADIUS, Elektron và ClearBox. Lưu ý rằng một số điểm truy cập lớp doanh nghiệp (chẳng hạn như ZyXEL ZyAIR G-2000 Plus v2 sẽ có tích hợp các máy chủ RADIUS). Nếu không có kinh phí hoặc chưa có nhiều kinh nghiệm trong việc điều hành một máy chủ riêng, bạn có thể sử dụng thông qua dịch vụ hosting, chẳng hạn như AuthenticateMyWiFi. Theo Esecurityplanet/QTM
Thứ Tư, 25 tháng 11, 2015
Ngăn chặn hacker tấn công bằng phân tích hành vi mạng IPS
Trong bài này chúng tôi sẽ giới thiệu cho các bạn hai phương pháp ngăn chặn các tấn công mạng: phương pháp dựa trên chữ ký và phương pháp phân tích hành vi mạng dựa trên các dấu hiệu dị thường (NBA).
Các tấn công mạng được thực hiện thành công đã trở nên quá tầm thường đến nỗi chúng hầu như không còn là những tin tức mới. Các hacker thường đột nhập vào các site thương mại để đánh cắp các thông tin về thẻ tín dụng hay thích đột nhập vào các site của bộ quốc phòng nhằm tìm kiếm các kế hoạch quân sự tối mật. Bên cạnh đó các tấn công từ chối dịch vụ (DoS) cũng làm cho người dùng xác thực không thể truy cập vào các site. Trong khi đó các hệ thống ngăn chặn xâm nhập và tường lửa trong các mạng doanh nghiệp thường cho biết có đến hàng trăm các cố gắng tấn công mỗi ngày.
Để ngăn chặn các tấn công thành công, hai phương pháp phát hiện chính được giới thiệu đó là: phương pháp dựa trên chữ ký số và phân tích hành vi mạng (NBA).
Phát hiện và bảo vệ xâm nhập dựa trên việc phân tích chữ ký số
Các hệ thống dựa trên chữ ký số đặc biệt hiệu quả đối với các kiểu tấn công đã được phát hiện trước đây. Chúng có thể được cài đặt một cách nhanh chóng và cho hiệu quả ngay tức khắc. Các hệ thống này sẽ kiểm tra các gói dữ liệu gửi đến và so sánh nội dung bên trong chúng với danh sách các cơ chế tấn công được biết trước đây. Các báo cáo được tạo ra một cách dễ hiểu vì mỗi một sự việc đều chỉ thị một kiểu tấn công bị phát hiện.
Các hệ thống dựa trên chữ ký số tỏ ra khá hiệu quả với các kiểu tấn công đã được biết trước đây, tuy nhiên chúng không thể phát hiện các tấn công zero-day. Các hacker hiểu rằng bất cứ một tấn công mới nào cũng sẽ nhanh chóng bị phát hiện và các biện pháp đối phó sẽ được chấp thuận bởi các hãng phòng chống xâm nhập. Vì vậy chúng thường khởi chạy các tấn công trên một số lượng lớn các site ngay khi có phương pháp tấn công mới được phát triển.
Chính vì điều đó nên các hệ thống dựa trên chữ ký số phải được cập nhật một cách liên tục. Các hãng phải chọn và kiểm tra các báo cáo tấn công trên toàn thế giới. Họ cũng cần sưu tầm dữ liệu từ các sản phẩm được cài đặt tại các site khách hàng. Khi một khách hàng nhận thấy tấn công, các nhân viên của hãng sẽ phân tích nó, tìm ra cách khắc phục và phân phối nâng cấp đến tất cả các site khách hàng. Tuy nhiên khi các hãng có thể phát hiện các phương pháp tấn công mới và đưa ra lời khuyên một cách nhanh chóng nhưng những site đầu tiên bị tấn công chắc chắn sẽ bị thỏa hiệp.
Các hệ thống phát hiện xâm nhập dựa trên các dấu hiệu dị thường
Các hệ thống phát hiện tấn công dựa trên các hành vi dị thường sẽ phát hiện hành động mạng không phù hợp với mẫu hành vi mong đợi. Hệ thống sẽ được cấu hình, theo sản phẩm, với các thông tin trên các mẫu hành vi thông thường. Cho ví dụ, các ứng dụng có thể truy cập hợp pháp vào một bản ghi cơ sở dữ liệu tại một thời điểm nào đó. Nếu hệ thống phát hiện xâm nhập phát hiện có sự truy cập đến một số lượng lớn các bản ghi thì chúng sẽ bị nghi đó là một tấn công. Tương tự như vậy, nếu một người dùng với điều khoản truy cập vào một tập các bản ghi hạn chế bắt đầu có cố gắng truy cập vào các loại thông tin khác, khi đó máy trạm của họ có thể đã bị tiêm nhiễm.
Không giống như các hệ thống dựa trên chữ ký số, các tấn công zero-day có thể bị phát hiện vì các tấn công không có mẫu có thể nhận diện hợp lệ với hệ thống xâm nhập dựa trên hành động dị thường. Tuy nhiên nhược điểm của các hệ thống này là phải được cấu hình một cách cẩn thận nhằm nhận ra các mẫu hành vi mong muốn. Các cấu hình phải được cập nhậ khi các ứng dụng mới được bổ sung hoặc các ứng dụng tồn tại được thay đổi.
Cấu hình IPS để phòng chống các tấn công tinh vi
Các tấn công theo kiểu dàn trải nhiều lệnh, chẳng hạn như việc dàn trải các thông điệp HTTP trong các tấn công web đều gây ra khó khăn cho cả hai hệ thống kể trên. Với các hệ thống dựa trên chữ ký số, chữ ký có thể được trải rộng bằng một loạt các lệnh mà không có gói dữ liệu nào phù hợp với profile tấn công. Các hệ thống dựa trên dấu hiệu dị thường có thể thất bại trong việc phát hiện tấn công đồng thời nhắm vào một số máy chủ. Một chuỗi được gửi đến mỗi host có thể xuất hiện hợp lệ nhưng cũng có thể làm thủng các ứng dụng trên các máy chủ.
Thêm vào sự khó khăn đó, không chỉ tất cả các gói có thể vào mạng tại cùng một điểm hoặc một gateway. Mặc dù các mạng doanh nghiệp thường duy trì nhiều cổng để truy cập Internet với các hệ thống phát hiện xâm nhập ở mỗi cổng nhưng hầu như tất cả các cổng đều không đủ khả năng.
Bên cạnh đó virus có thể xâm nhập vào một mạng của công ty bạn thông qua các địa điểm khác ngoài các cổng. Các nhân viên có thể mang laptop được sử dụng với mạng gia đình của họ đến công ty. Khi họ kết nối lại laptop này vào mạng nội bộ, virus có thể xâm nhập vào mạng công ty mà không cần thâm nhập qua cổng Internet. Các mạng không dây cũng có lỗ hổng khác và khó có thể phát hiện khi thực thi một hệ thống ngăn chặn xâm nhập. Một hacker nào đó bên ngoài đang tấn công thông qua LAN không dây (WLAN) cũng có thể xâm nhập vào các cổng mạng.
Chính vì vậy các hệ thống phát hiện xâm nhập cũng phải được cài đặt tại các điểm chính trong toàn bộ mạng (giống như một switch kết nối các cổng mạng với máy chủ, nơi các ứng dụng chạy hoặc kết nối đến máy chủ cơ sở dữ liệu) để phát hiện các tấn công này. Các hệ thống phải trao đổi thông tin với nhau và đánh giá các báo cáo từ nhiều nguồn chẳng hạn như các router và các bản ghi máy chủ để tương quan chuỗi các gói dữ liệu nhằm phát hiện sự tấn công.
Trong khi các hệ thống dựa trên chữ ký số có thể được cài đặt nhanh chóng và thực thi ngay lập tức, nhưng việc thiết kế, cấu hình và cài đặt một hệ thống dựa trên hành vi dị thường lại khá phức tạp. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn các bước có liên quan đến việc cấu hình và cài đặt hệ thống phát hiện xâm nhập dựa trên hành vi dị thường. Theo Searchnetworking/QTM
Thứ Ba, 24 tháng 11, 2015
Bảo mật FTP Server với Windows Server 2008 / ISA Server 2006
Việc tạo một dịch vụ FTP với ISA Server 2006 khá đơn giản vì ISA Server 2006 tích hợp một wizard chuyên dùng để tạo FTP Server. Tuy nhiên, chúng ta cần phải làm gì để bảo mật máy chủ này?
FTP là một giao thức không được bảo mật, nó truyền dữ liệu mà không thực hiện mã hóa vì vậy mà người dùng có thể gặp phải những rủi ro khi sử dụng giao thức này. Một phương pháp hữu hiệu hơn đó là sử dụng giao thức FTPS (FTP trên SSL) cung cấp khả năng mã hóa giao thức cho các dữ liệu được truyền. Việc cấu hình ISA Server để tạo FTP khá phức tạp vì chúng ta sẽ phải tạo thủ công một định nghĩa giao thức cho FTPS và vùng cổng mà kết nối FTPS sử dụng.
Trước tiên chúng ta sẽ tiến hành cấu hình Publishing Rule cho ISA Server 2006. Bạn hãy mở MMC của ISA Server 2006, truy cập vào node Firewall Policy và tạo một Publishing Rule mới. Sau đó hãy đặt tên cho Rule mới này. Giả sử đặt tên cho Rule này là FTPS-Server.
Khi nhấn Next, bạn sẽ chuyển sang trang Select Server. Tại đây bạn hãy nhập địa chỉ IP của FTP Server muốn tạo. FTP Server được tạo phải là một máy trạm Secure NAT.
Vì ISA Server 2006 không có định nghĩa giao thức tích hợp cho FTPS cần sử dụng nên chúng ta sẽ phải tạo thủ công định nghĩa giao thức. Chúng ta cần sử dụng một định nghĩa giao thức cho cổng giao thức FTP chuẩn và một vùng cổng được kết nối FTP sử dụng (phải là một vùng cổng tương tự được cấu hình tại cài đặt hỗ trợ giao thức của hệ thống tường lửa trên FTP Server.
Trên trang Select Protocol bạn hãy nhấn nút New, khi đó bạn sẽ thấy New Protocol Definition Wizard xuất hiện. Tại trang Welcome của Wizard này hãy nhập tên cho định nghĩa giao thức rồi nhấn Next.
Tiếp theo lựa chọn loại giao thức (Protocol Type) là TCP, hướng (Direction) là Inbound và định nghĩa cổng là từ 21 đến 21.
Khi một vùng giao thức thứ hai nhập cùng địa chỉ IP cho vùng cổng được chỉ định trong Firewall Properties của cấu hình FTP Server.
Chúng ta không phải chỉ định một kết nối phụ. Thay vào đó hãy chỉ định Listener (trình xử lý TCP/IP) cho mạng mà ISA Server 2006 nhận lưu lượng FTP trên đó. Đây là một định nghĩa mạng ngoài thông thường. Nếu có nhiều địa chỉ IP kết nối tới giao tiếp mạng ngoài, bạn sẽ phải nhập rõ ràng địa chỉ IP trên ISA Server sẽ nhận lưu lượng trên đó.
Sau đó click Next rồi Finish và Apply.
Quan trọng:
FTP-Filter không cần phải kích hoạt cho định nghĩa giao thức FTPS mới do đó bạn phải đảm bảo rằng tùy chọn này được hủy bỏ trong định nghĩa giao thức đó.
Sau khi chúng ta đã hoàn thành mọi cài đặt trên trang ISA Server, sau đó chúng ta cần cấu hình FTP Server trên Firewall.
Lưu ý:
Nếu sử dụng Windows Server 2008 bạn sẽ phải tự tải và cài đặt dịch vụ Microsoft FTP từ trang web http://www.iis.net.
Phiên bản Windows Server 2008 R2 tích hợp đúng phiên bản FTP Server được tích hợp trong cấu hình Windows Server 2008 R2 Server Manager Roles như trong hình 8.
Vì chúng ta sẽ sử dụng FTPS trên máy chủ FTP nên chúng ta sẽ phải chỉ định vùng cổng cho kênh dữ liệu FTP. Vùng cổng mà chúng ta nhập tại đây phải là vùng trong định nghĩa giao thức tại ISA Server. Ngoài ra chúng ta còn phải chỉ định địa chỉ IP ngoài của hệ thống tường lửa thường là địa chỉ IP của hệ thống tường lửa được kết nối trực tiếp tới Internet. Sau đó Click Apply để kích hoạt những cài đặt mới trong cấu hình của IIS.
Hình 9: Hỗ trợ FTP Firewall.
Giờ đây chúng ta đã có thể kết nối từ Internet tới máy chủ FTPS nội bộ qua ISA Server 2006 với ứng dụng máy trạm FTP mong muốn với hỗ trợ FTP qua SSL (FTPS). Nếu kết nối không thành công thì bạn hãy kiểm tra lại các cài đặt kết nối với cấu hình FTP trong IIS và nếu một kết nối FTP bảo mật vẫn không được triển khai bạn cần kiểm tra trong hệ thống kiểm soát thời gian thực của ISA Server 2006 để xem những gì đã bị chặn.
Trong bài viết này chúng ta đã tìm hiểu phương pháp tạo một FTP Server bảo mật vận hành trên Windows Server 2008 với ISA Server 2006. ISA Server 2006 có một số công cụ tích hợp để tạo một FTP Server nhưng mặc định không có công cụ nào giúp tạo giao thức FTPS bảo mật. Để tạo một FTPS Server chúng ta sẽ phải cấu hình một số cài đặt bổ sung trên Windows Server 2008 và một số cài đặt trên ISA Server 2006.
Theo ISAServer /QTM
FTP là một giao thức không được bảo mật, nó truyền dữ liệu mà không thực hiện mã hóa vì vậy mà người dùng có thể gặp phải những rủi ro khi sử dụng giao thức này. Một phương pháp hữu hiệu hơn đó là sử dụng giao thức FTPS (FTP trên SSL) cung cấp khả năng mã hóa giao thức cho các dữ liệu được truyền. Việc cấu hình ISA Server để tạo FTP khá phức tạp vì chúng ta sẽ phải tạo thủ công một định nghĩa giao thức cho FTPS và vùng cổng mà kết nối FTPS sử dụng.
Trước tiên chúng ta sẽ tiến hành cấu hình Publishing Rule cho ISA Server 2006. Bạn hãy mở MMC của ISA Server 2006, truy cập vào node Firewall Policy và tạo một Publishing Rule mới. Sau đó hãy đặt tên cho Rule mới này. Giả sử đặt tên cho Rule này là FTPS-Server.
Hình 1: Đặt tên cho Publishing Rule mới trên trang Welcome của
New Server Publishing Rule Wizard.
New Server Publishing Rule Wizard.
Khi nhấn Next, bạn sẽ chuyển sang trang Select Server. Tại đây bạn hãy nhập địa chỉ IP của FTP Server muốn tạo. FTP Server được tạo phải là một máy trạm Secure NAT.
Hình 2: Nhập địa chỉ IP cho FTP Server muốn tạo.
Vì ISA Server 2006 không có định nghĩa giao thức tích hợp cho FTPS cần sử dụng nên chúng ta sẽ phải tạo thủ công định nghĩa giao thức. Chúng ta cần sử dụng một định nghĩa giao thức cho cổng giao thức FTP chuẩn và một vùng cổng được kết nối FTP sử dụng (phải là một vùng cổng tương tự được cấu hình tại cài đặt hỗ trợ giao thức của hệ thống tường lửa trên FTP Server.
Hình 3: Lựa chọn giao thức trên trang Select Protocol.
Trên trang Select Protocol bạn hãy nhấn nút New, khi đó bạn sẽ thấy New Protocol Definition Wizard xuất hiện. Tại trang Welcome của Wizard này hãy nhập tên cho định nghĩa giao thức rồi nhấn Next.
Hình 4: New Protocol Definition Wizard.
Tiếp theo lựa chọn loại giao thức (Protocol Type) là TCP, hướng (Direction) là Inbound và định nghĩa cổng là từ 21 đến 21.
Hình 5: Vùng cổng của giao thức FTPS.
Khi một vùng giao thức thứ hai nhập cùng địa chỉ IP cho vùng cổng được chỉ định trong Firewall Properties của cấu hình FTP Server.
Hình 6: Định nghĩa toàn bộ giao thức.
Chúng ta không phải chỉ định một kết nối phụ. Thay vào đó hãy chỉ định Listener (trình xử lý TCP/IP) cho mạng mà ISA Server 2006 nhận lưu lượng FTP trên đó. Đây là một định nghĩa mạng ngoài thông thường. Nếu có nhiều địa chỉ IP kết nối tới giao tiếp mạng ngoài, bạn sẽ phải nhập rõ ràng địa chỉ IP trên ISA Server sẽ nhận lưu lượng trên đó.
Hình 7: Lựa chọn Listener cho ISA Server.
Sau đó click Next rồi Finish và Apply.
Quan trọng:
FTP-Filter không cần phải kích hoạt cho định nghĩa giao thức FTPS mới do đó bạn phải đảm bảo rằng tùy chọn này được hủy bỏ trong định nghĩa giao thức đó.
Sau khi chúng ta đã hoàn thành mọi cài đặt trên trang ISA Server, sau đó chúng ta cần cấu hình FTP Server trên Firewall.
Lưu ý:
Nếu sử dụng Windows Server 2008 bạn sẽ phải tự tải và cài đặt dịch vụ Microsoft FTP từ trang web http://www.iis.net.
Phiên bản Windows Server 2008 R2 tích hợp đúng phiên bản FTP Server được tích hợp trong cấu hình Windows Server 2008 R2 Server Manager Roles như trong hình 8.
Hình 8: Cài đặt dịch vụ FTP.
Vì chúng ta sẽ sử dụng FTPS trên máy chủ FTP nên chúng ta sẽ phải chỉ định vùng cổng cho kênh dữ liệu FTP. Vùng cổng mà chúng ta nhập tại đây phải là vùng trong định nghĩa giao thức tại ISA Server. Ngoài ra chúng ta còn phải chỉ định địa chỉ IP ngoài của hệ thống tường lửa thường là địa chỉ IP của hệ thống tường lửa được kết nối trực tiếp tới Internet. Sau đó Click Apply để kích hoạt những cài đặt mới trong cấu hình của IIS.
Hình 9: Hỗ trợ FTP Firewall.
Trong bài viết này chúng ta đã tìm hiểu phương pháp tạo một FTP Server bảo mật vận hành trên Windows Server 2008 với ISA Server 2006. ISA Server 2006 có một số công cụ tích hợp để tạo một FTP Server nhưng mặc định không có công cụ nào giúp tạo giao thức FTPS bảo mật. Để tạo một FTPS Server chúng ta sẽ phải cấu hình một số cài đặt bổ sung trên Windows Server 2008 và một số cài đặt trên ISA Server 2006.
Theo ISAServer /QTM
Chủ Nhật, 22 tháng 11, 2015
5 “chiêu” bảo vệ máy tính
Đây là một số cách bạn có thể làm để giảm thiểu nguy cơ thâm nhập máy tính của hacker và những kẻ trộm dữ liệu.
Đặt mật khẩu cho file
Một số người lưu các mật khẩu, chi tiết tài khoản ngân hàng và những thông tin cá nhân khác trong tài liệu Word. Sau đó họ nhét file đó vào một thư mục nào đó như Backup trong ổ cứng. Chuyện gì sẽ xảy ra nếu như laptop của họ bị mất cắp?
Giải pháp là khóa tài liệu đó bằng mật khẩu. Cách làm là vào File, chọn Save As, kích chuột vào Tools, chọn Security Options. Kích vào thẻ Advanced, chọn Microsoft Enhanced Cryptographic Provider, nhấn nút Ok.
Sau đó, bạn nhập mật khẩu vào ô "Password to open", rồi nhấn tiếp Ok. Bạn sẽ được đề nghị nhập lại mật khẩu lần nữa. Sau khi hoàn tất động tác đó, bạn kích chuột vào nút Save. Như vậy, file đó đã được mã hóa nhưng điều quan trọng là đừng có quên mật khẩu.
Bảo mật tài khoản Gmail
Theo Google, nếu người dùng truy cập dịch vụ thư điện tử Gmail trên mạng công cộng không mã hóa hay trên mạng không dây, các tài khoản Gmail của họ có thể dễ bị tấn công hơn.
Giải pháp cho vấn đề này là chỉ cần thay đổi vài thiết lập của tài khoản. Vào mục Settings nằm ở góc trên bên phải cửa sổ Gmail window, tìm đến mục “Browser connection” trong thẻ General, kích chuột vào ô "Always use https", sau đó nhấn vào nút Save Changes. Với động tác đó, bạn đã kích hoạt tính năng mã hóa của Gmail.
Việc kích hoạt tính năng bảo mật email này có thể khiến cho việc mở Gmail lâu hơn một nhưng nó sẽ gây ra khó khăn với những hacker muốn ăn cắp thông tin.
Đóng cổng mạng không dây
Mở mạng không dây tự do cũng tương tự như một ngôi nhà không có khóa. Bất kỳ ai trong phạm vi phủ sóng không dây (dài ngắn khác nhau tùy vào chuẩn kết nối không dây) của router đều có thể nhìn thấy mạng của bạn, ăn cắp băng thông hoặc nguy hiểm hơn là thâm nhập trái phép vào các máy tính bên trong mạng.
Giải pháp cho vấn đề này là đóng cửa mạng không dây. Đầu tiên hãy mở trình duyệt Internet, gõ địa chỉ của router (ví dụ như 192.168.1.1) vào thanh địa chỉ rồi nhấn Enter để mở nó. Sau đó nhập tên tài khoản và mật khẩu để mở tiện ích thiết lập của router.
Để đổi mật khẩu mới, bạn sẽ phải nhập mật khẩu cũ. Nếu bạn chưa bao giờ đổi tên người dùng và mật khẩu của router, tên người dùng và mật khẩu mặc định là admin với router của Linksys và D-link. Cách thức đổi mật khẩu router của mỗi hãng khác nhau. Ví dụ, với router Linksys, bạn có thể đổi mật khẩu ở thẻ Administration. Trong router Belkin, có thể vào System Settings. Còn trong D-Link, bạn có thể đổi mật khẩu ở mục Admin trong thẻ Tools. Chọn mật khẩu mới cho router nên dài hơn 8 ký tự và sử dụng kết hợp cả số, chữ hoa và chữ thường hoặc có thêm ký tự đặc biệt thì càng tốt.
Sau khi đổi mật khẩu, bạn nên vô hiệu hóa tính năng phát tín hiệu SSID. Mỗi loại router có cách vô hiệu hóa khác nhau do sự khác biệt về giao diện. Ví dụ, với router D-Link thì vào Wireless, chọn thẻ Home, chọn nút Off ở lựa chọn Wireless Radio. Tương tự với router LinkSys, chọn Wireless, rồi Basic Wireless Settings và nhấn chuột vào nút Disable.
Khóa máy tính tự động
Máy tính văn phòng thường được bảo vệ cẩn thận bằng mật khẩu để chống thâm nhập trái phép. Tuy nhiên, máy tính đó vẫn có nguy cơ bị thâm nhập trong khoảng thời gian ngắn khi bạn ra ngoài. Cách đối phó với vấn đề này là bật tính năng bảo vệ màn hình bằng mật khẩu. Vào Start, chọn Control Panel, chọn Display. Chọn thẻ Screen Saver, kích vào ô "On resume, password protect".
Khóa laptop khi ở khách sạn
Ưu điểm tiện dụng nhất của laptop là sự di động, đặc biệt là khi bạn đi công tác hay du lịch. Nhưng sự di động đó cũng khiến cho laptop dễ dàng bị lấy cắp. Chắc chắn sẽ có những lúc trong chuyến công tác hay du lịch bạn cần để laptop lại ở khách sạn để đi đâu đó. Khách sạn là nơi khá an toàn nhưng nếu muốn an toàn hơn trong những lúc ra ngoài, bạn cần sắm một khóa dây laptop để khóa nó vào một vật gì đó nặng như chân giường hay chân bàn. Theo ICTNews
Đặt mật khẩu cho file
Một số người lưu các mật khẩu, chi tiết tài khoản ngân hàng và những thông tin cá nhân khác trong tài liệu Word. Sau đó họ nhét file đó vào một thư mục nào đó như Backup trong ổ cứng. Chuyện gì sẽ xảy ra nếu như laptop của họ bị mất cắp? Giải pháp là khóa tài liệu đó bằng mật khẩu. Cách làm là vào File, chọn Save As, kích chuột vào Tools, chọn Security Options. Kích vào thẻ Advanced, chọn Microsoft Enhanced Cryptographic Provider, nhấn nút Ok.
Sau đó, bạn nhập mật khẩu vào ô "Password to open", rồi nhấn tiếp Ok. Bạn sẽ được đề nghị nhập lại mật khẩu lần nữa. Sau khi hoàn tất động tác đó, bạn kích chuột vào nút Save. Như vậy, file đó đã được mã hóa nhưng điều quan trọng là đừng có quên mật khẩu.
Bảo mật tài khoản Gmail
Theo Google, nếu người dùng truy cập dịch vụ thư điện tử Gmail trên mạng công cộng không mã hóa hay trên mạng không dây, các tài khoản Gmail của họ có thể dễ bị tấn công hơn.
Giải pháp cho vấn đề này là chỉ cần thay đổi vài thiết lập của tài khoản. Vào mục Settings nằm ở góc trên bên phải cửa sổ Gmail window, tìm đến mục “Browser connection” trong thẻ General, kích chuột vào ô "Always use https", sau đó nhấn vào nút Save Changes. Với động tác đó, bạn đã kích hoạt tính năng mã hóa của Gmail.
Việc kích hoạt tính năng bảo mật email này có thể khiến cho việc mở Gmail lâu hơn một nhưng nó sẽ gây ra khó khăn với những hacker muốn ăn cắp thông tin.
Đóng cổng mạng không dây
Mở mạng không dây tự do cũng tương tự như một ngôi nhà không có khóa. Bất kỳ ai trong phạm vi phủ sóng không dây (dài ngắn khác nhau tùy vào chuẩn kết nối không dây) của router đều có thể nhìn thấy mạng của bạn, ăn cắp băng thông hoặc nguy hiểm hơn là thâm nhập trái phép vào các máy tính bên trong mạng.
Giải pháp cho vấn đề này là đóng cửa mạng không dây. Đầu tiên hãy mở trình duyệt Internet, gõ địa chỉ của router (ví dụ như 192.168.1.1) vào thanh địa chỉ rồi nhấn Enter để mở nó. Sau đó nhập tên tài khoản và mật khẩu để mở tiện ích thiết lập của router.
Để đổi mật khẩu mới, bạn sẽ phải nhập mật khẩu cũ. Nếu bạn chưa bao giờ đổi tên người dùng và mật khẩu của router, tên người dùng và mật khẩu mặc định là admin với router của Linksys và D-link. Cách thức đổi mật khẩu router của mỗi hãng khác nhau. Ví dụ, với router Linksys, bạn có thể đổi mật khẩu ở thẻ Administration. Trong router Belkin, có thể vào System Settings. Còn trong D-Link, bạn có thể đổi mật khẩu ở mục Admin trong thẻ Tools. Chọn mật khẩu mới cho router nên dài hơn 8 ký tự và sử dụng kết hợp cả số, chữ hoa và chữ thường hoặc có thêm ký tự đặc biệt thì càng tốt.
Sau khi đổi mật khẩu, bạn nên vô hiệu hóa tính năng phát tín hiệu SSID. Mỗi loại router có cách vô hiệu hóa khác nhau do sự khác biệt về giao diện. Ví dụ, với router D-Link thì vào Wireless, chọn thẻ Home, chọn nút Off ở lựa chọn Wireless Radio. Tương tự với router LinkSys, chọn Wireless, rồi Basic Wireless Settings và nhấn chuột vào nút Disable.
Khóa máy tính tự động
Máy tính văn phòng thường được bảo vệ cẩn thận bằng mật khẩu để chống thâm nhập trái phép. Tuy nhiên, máy tính đó vẫn có nguy cơ bị thâm nhập trong khoảng thời gian ngắn khi bạn ra ngoài. Cách đối phó với vấn đề này là bật tính năng bảo vệ màn hình bằng mật khẩu. Vào Start, chọn Control Panel, chọn Display. Chọn thẻ Screen Saver, kích vào ô "On resume, password protect".
Khóa laptop khi ở khách sạn
Ưu điểm tiện dụng nhất của laptop là sự di động, đặc biệt là khi bạn đi công tác hay du lịch. Nhưng sự di động đó cũng khiến cho laptop dễ dàng bị lấy cắp. Chắc chắn sẽ có những lúc trong chuyến công tác hay du lịch bạn cần để laptop lại ở khách sạn để đi đâu đó. Khách sạn là nơi khá an toàn nhưng nếu muốn an toàn hơn trong những lúc ra ngoài, bạn cần sắm một khóa dây laptop để khóa nó vào một vật gì đó nặng như chân giường hay chân bàn. Theo ICTNews
Thứ Bảy, 21 tháng 11, 2015
An toàn với các mạng Wi-Fi công cộng
Không có gì là riêng tư với một mạng Wi-Fi mở, tuy nhiên vẫn có thể sử dụng một số cách để tăng độ an toàn, có thể là những cảnh báo để bạn biết cách tránh, có thể là những biện pháp kỹ thuật giúp bảo vệ bạn được an toàn hơn.
Hai ngoại lệ đáng lưu ý là Gmail và hệ thống email công ty của bạn (chẳng hạn như Outlook Web Access). Đầu năm ngoái, Gmail đã chuyển từ việc sử dụng HTTPS chỉ khi đăng nhập sang sử dụng HTTPS trong toàn bộ quá trình giao dịch của Webmail.
Không có gì là bí mật trong một Wi-Fi mở
Ngày nay hầu hết những người dùng có một chút kiến thức về máy tính đều biết cách (và lý do) để bảo vệ các router không dây gia đình của họ. Windows 7 và Vista hiện có một hộp thoại để cảnh báo khi người dùng kết nối đến các mạng không dây không được mã hóa.
Trong các quán cà phê, phòng chờ tại sân bay hoặc thư viện, người dùng có thể kết nối mà không cần đắn đo nhiều nếu sử dụng kết nối không dây không mã hóa chỉ để kiểm tra kết quả của một trận bóng đó hoặc trạng thái của chuyến bay có thể là chấp nhận được. Tuy nhiên nếu dùng kết nối như vậy vào việc đọc email hoặc thực hiện một số hành động trên web có yêu cầu đăng nhập thì đó là một hành động không thể chấp nhận.
Vậy tại sao tất cả các doanh nghiệp không mã hóa các mạng Wi-Fi của họ? Câu trả lời nằm ở hệ thống phân phối khóa theo chuẩn kỹ thuật IEEE 802.11: Để mã hóa lưu lượng mạng, chủ sở hữu mạng hoặc nhà quản lý cần phải chọn một mật khẩu, mật khẩu này cũng được biết đến như “khóa mạng”. Chuẩn mới này yêu cầu mỗi một mật khẩu cho mỗi mạng, mật khẩu này được chia sẻ cho tất cả người dùng nếu chủ sở hữu đã chọn mức bảo mật ở tình trạng kém an toàn, đó là chuẩn WEP lỗi thời mà không chọn chuẩn WPA an toàn hơn hay WPA2.
Tại nhà, tất cả những gì người dùng đều phải thực hiện là thiết lập một lần, sau đó thông báo cho các thành viên trong gia đình mật khẩu, khi đó bạn có thể lướt web bằng mạng không dây tại bất cứ nơi nào trong nhà mà không cần phải lo lắng gì nhiều về vấn đề an toàn. Tuy nhiên trong quá cà phê, nhân viên của quán sẽ phải hướng dẫn cho mỗi khách hàng mật khẩu của mạng không dây và thậm chí còn có thể phải khắc phục sự cố kết nối – rõ ràng đó không phải việc nhỏ mà các nhân viên ở quán sẽ thích thú. Trong tình huống này, chắc chắn một mật khẩu trỗng để dễ dàng sử dụng sẽ được chọn.
Mặc dù vậy thậm chí với một mạng được mã hóa, bạn vẫn không thể an toàn tuyệt đối. Khi máy tính của bạn biết mật khẩu, sự truyền thông sẽ chỉ an toàn với những người mà họ không nằm trên mạng; tất cả những khách hàng khác trong quá cà phê đều có thể thấy lưu lượng của bạn vì họ cũng sử dụng cùng mật khẩu mà bạn đang dùng.
Công việc cá nhân là công việc của đối thủ cạnh tranh
Điều gì sẽ xảy ra nếu bạn nghĩ rằng dữ liệu của mình không quan trọng để ai đó nhòm ngó đến? Có thể bạn chỉ duyệt web, không đăng nhập vào các hệ thống email hoặc các ứng dụng web có yêu cầu mật khẩu. Khi đó bạn chắc mình được an toàn? Không hẳn như vậy.
Hãy hình dung bạn đang ở trong mạng Wi-Fi của một sân bay trong khi vừa trở về từ một buổi thuyết trình sản phẩm. Thay vì kiểm tra hàng trăm email đang chờ, bạn chỉ dám quyết định duyệt website của đối thủ cạnh tranh, để tìm kiếm các ý tưởng khác hay có thể quyết định nghiên cứu các mục tiêu cần đạt được.
Tuy nhiên trong chế độ background, máy khách email của bạn vẫn phát hiện thấy kết nối Internet và thực hiện việc download email. Một đồng nghiệp của bạn tại văn phòng trụ sở thấy trạng thái IM của bạn hiển thị là 'online' và gửi cho bạn một tin nhắn với những nội dung mật.
Không cần trang bị nhiều thứ phức tạp ngoài một phần mềm có thể phân tích gói dữ liệu không dây, kẻ tấn công ở gần chỗ bạn có thể lượm lặt các tin tức tình báo cạnh tranh dựa trên các website mà bạn truy cập và cả IM hoặc các lưu ý phản ánh các vấn đề về quan hệ của bạn với các đối tác quan trọng. Nói ngắn gọn, người khác sẽ có thể đọc thư của bạn trước mà thậm chí bạn không thực hiện bất cứ hành động gì.
Sử dụng SSL cho Webmail
Trước tiên, để đối chọi với việc rình mò mail, bạn hãy sử dụng hệ thống Webmail có sử dụng giao thức HTTPS trong toàn bộ phiên làm việc. Hầu hết các hệ thống Webmail ngày nay đều sử dụng HTTPS khi yêu cầu bạn đăng nhập, vì vậy mật khẩu của bạn sẽ được truyền tải một cách an toàn. Mặc dù vậy, sau khi thẩm định, chúng thường được chuyển trở lại giao thức HTTP để giảm tải phải xử lý trên các máy chủ và thực hiện một số hành động khác.
Điều đó có nghĩa rằng ai đó trên cùng một mạng không dây (dù không được mã hóa hay có mật khẩu chia sẻ) đều có thể đọc nội dung email của bạn. Trong một số trường hợp, họ có thể đánh cắp session cookie và đăng nhập vào Webmail session của bạn mà không cần mật khẩu.
Hai ngoại lệ đáng lưu ý là Gmail và hệ thống email công ty của bạn (chẳng hạn như Outlook Web Access). Đầu năm ngoái, Gmail đã chuyển từ việc sử dụng HTTPS chỉ khi đăng nhập sang sử dụng HTTPS trong toàn bộ quá trình giao dịch của Webmail.
Người dùng Google Apps trước đây cũng có thể chọn tính năng này, tuy nhiên hiện nó được đặt mặc định nhưng vẫn có khả năng chọn (cho trường hợp ai đó không thích bảo mật). Thay đổi này, kết hợp với thuật toán phát hiện đăng nhập đáng ngờ mới của Google, làm cho Gmail trở thành một nhà cung cấp vượt trội hơn so với các đối thủ cung cấp Webmail miễn phí khác. Nếu bạn đang tìm kiếm một lý do để chuyển khỏi các tài khoản AOL, Hotmail, hoặc Yahoo của mình thì bạn đã tìm thấy nó.
Hệ thống Webmail trong công ty bạn cũng có thể được bảo vệ bởi HTTPS ở toàn bộ quá trình giao dịch, đây là cấu hình mặc định cho hầu hết hệ thống. Mặc dù vậy nếu bạn kiểm tra các thư điện tử cho công việc của mình bằng cách sử dụng phần mềm nội bộ (Outlook, Thunderbird, Mac OS X's Mail) thay vì HTTPS Web-based e-mail, thì bạn có thể hoặc không sử dụng mã hóa.
Các Hotspot thu phí: Chưa chắc đã phải là an toàn
Trong khi nghiên cứu để viết bài này, chúng tôi đã phát hiện thấy một quan niệm sai mà trước nay chúng ta vẫn mắc phải đó là, các hotspot thương mại yêu cầu trả phí theo giờ hoặc tháng (như AT&T, Boingo, GoGo, T-Mobile) sẽ an toàn hơn các hotspot miễn phí vì chúng sử dụng mật khẩu và thu phí.
Tuy nhiên trong thực tế, các hotspot này hầu như lại không được mã hóa và họ sử dụng những gì được gọi là "Cổng điện tử captive" chỉ ngăn chặn được sự truy cập Internet cho tới khi bạn nhập vào mật khẩu thuê bao. Dù cổng điện tử này thường được phân phối qua cơ chế HTTPS (để bảo vệ các thông tin thẻ tín dụng hoặc mật khẩu), nhưng tất cả lưu lượng được thẩm định không được mã hóa trong mạng không dây.
Kết quả là bạn phải trả phí với một mức rất thấp nhưng thực sự không được an toàn. Trong thực tế, do tính vốn có của sự truyền lan sóng vô tuyến điện, nên ai đó, dù không phải là một người thuê bao, vẫn có thể xem lưu lượng không được mã hóa mà bạn gửi đi bằng cách đơn giản là join vào mạng không dây cùng SSID.
Điều đó cũng có nghĩa rằng, người bên ngoài có thể dễ dàng quan sát và capture các Websites HTTP mà bạn truy cập, mọi e-mail POP3 không được mã hóa, hoặc sự truyền tải dữ liệu FTP mà bạn thực hiện. Các hacker có một chút kinh nghiệm thậm chí còn có thể thay đổi thẻ không dây của họ để giả mạo nhận dạng card không dây của bạn và có thể truy cập miễn phí thông qua một hotspot thương mại mà bạn là người phải chịu tiền trả phí.
Sử dụng VPN của bạn
Nếu công ty cung cấp kết nối VPN (mạng riêng ảo) để truy cập Internet thì bạn nên sử dụng chức năng này khi truy cập Internet từ các Wi-Fi hotspot có đăng ký hay miễn phí. Bằng cách kích hoạt chức năng VPN trên laptop, bạn sẽ bảo đảm tất cả truyền thông của mình được mã hóa ở mức cao và được tạo đường hầm từ Wi-Fi hotspot, qua Internet đến trung tâm dữ liệu của công ty, nơi nó được giải mã và được gửi ra kết nối Internet của công ty.
Đây là một phương pháp an toàn cho việc truy cập tài nguyên công ty (mạng nội bộ, email, cơ sở dữ liệu) vì bạn sẽ có một đường hầm riêng nối đến công ty của mình. Trong một số cấu hình VPN của nhiều công ty, bạn có thể duyệt Internet để truy cập vào tài nguyên công ty.
Kỹ thuật như vậy tuy có thể làm chậm tốc độ hơn so với việc duyệt web không mã hóa chút ít nhưng bảo mật mà bạn có được là vấn đề quan trọng.
Nếu công ty không cung cấp dịch vụ VPN hoặc có một VPN "split tunneling" (trong đó chỉ các request gửi đến tài nguyên công ty được đi qua đường hầm mã hóa, còn lại tất cả lưu lượng khác được truyền tải mà không mã hóa trực tiếp đến đích), không phải lo lắng vì bạn vẫn có thể được bảo vệ an toàn.
Hãy thử nghiệm HotSpot Shield, một dịch vụ VPN của AnchorFree. Đây là công ty cung cấp phần mềm VPN mà bạn có thể cài đặt trên laptop từ trước để sử dụng tại các Wi-Fi hotspot công cộng.
Hãy thử nghiệm HotSpot Shield, một dịch vụ VPN của AnchorFree. Đây là công ty cung cấp phần mềm VPN mà bạn có thể cài đặt trên laptop từ trước để sử dụng tại các Wi-Fi hotspot công cộng.
Khi kích hoạt phần mềm và dịch vụ, nó sẽ mã hóa lưu lượng của bạn và gửi qua một đường hầm đến trung tâm dữ liệu HotSpot Shield, sau đó gửi ra Internet, giống như cách máy chủ VPN của một công ty nào đó vẫn thực hiện. HotSpot Shield thậm chí còn có các thiết lập VPN di động (không cần download) để bảo vệ hành động lướt web của bạn trên các máy điện thoại iPhone bằng phần mềm máy khách Cisco VPN đi kèm mà Apple cung cấp.
Bằng cách sử dụng dịch vụ như vậy, bạn có thể tạo một kết nối an toàn. Khi đó, lưu lượng của bạn sẽ được gửi đi dưới dạng không mã hóa đến đích cuối cùng trên Internet, cứ như thể bạn đang duyệt từ một laptop được cắm trực tiếp vào trung tâm dữ liệu công ty.
Cách thức này không đảm bảo an toàn một cách tuyệt đối vì đường hầm mã hóa không có khả năng kiểm soát được tất cả các cách mà bạn truy cập web. Mặc dù vậy, nó chắc chắn an toàn hơn thiết lập không VPN.
Tóm tắt lại việc truy cập Wi-Fi an toàn
Có thể tóm tắt lại như sau:
1. Nếu công ty bạn có một VPN mà bạn có thể sử dụng để lướt web, hãy sử dụng nó.
2. Nếu không thể sử dụng VPN công ty, hãy sử dụng HotSpot Shield để thay thế
3. Không đánh đồng việc đăng ký hành động Wi-Fi Internet có thu phí với việc duyệt web an toàn.
4. Trên các mạng không dây không được mã hóa, bất cứ ai cũng có thể thấy nơi bạn đang truy cập (ngoại trừ trên các website HTTPS).
5. Trên các mạng không dây được mã hóa, bất cứ ai có mật khẩu cũng đều có thể thấy nơi bạn đang truy cập (có thể là một vài người trong nhà bạn hay có thể là hàng trăm người tại sân bay). Theo PCworld/QTM
