Xuất bản ở Security In A Box (https://info.securityinabox.org)

Trang chủ > Bản in PDF > Bản in PDF

4. Làm thế nào để bảo vệ các tệp dữ liệu tối mật trênmáy tính của bạnMột ‘kẻ xâm nhập’ có thể truy cập dữ liệu trên máy tính hay các thiết bị lưu trữ lưu động của bạn từ xa qua mạng Internet;hay hắn có thể xâm nhập trực tiếp phần cứng hệ thống của bạn. Bạn có thể tự bảo vệ mình chống lại các nguy cơ trênbằng cách tăng cường bảo mật hệ thống phần cứng và mạng cho dữ liệu của bạn, như đã được đề cập ở Chương 1:Làm thế nào để bảo vệ máy tính của bạn khỏi phần mềm độc hại và tin tặc [1]) và Chương 2: Làm sao để bảo vệthông tin của bạn khỏi những nguy cơ vật lý trực tiếp [2]. Luôn là tốt nhất khi có một vài tầng bảo vệ, chính vì vậy bạncũng cần có tầng bảo vệ chính các tệp dữ liệu. Bằng cách đó, dữ liệu tối mật của bạn có khả năng được an toàn ngay cảkhi các các nỗ lực bảo mật khác không được đáp ứng.

Có hai cách tiếp cận chung cho các vấn đề về bảo mật dữ liệu theo hướng này. Bạn có thể mã hóa [3] các tệp dữ liệu,khiến cho chúng không thể đọc được bởi bất kỳ ai khác ngoài bạn, hoặc có thể giấu chúng với hi vọng kẻ xâm nhậpkhông thể tìm thấy các thông tin nhạy cảm. Có một số công cụ giúp bạn theo cả hai hướng tiếp cận, trong đó có PhầnMềm Nguồn Mở [4] là TrueCrypt [5], là công cụ có thể mã hóa [3] và ẩn giấu các tệp dữ liệu của bạn.

Tình huống cơ bản

Claudia và Pablo làm việc với một tổ chức Phi Chính phủ về nhân quyền ở một nước Nam Mỹ. Họ mất vài tháng để thuthập các bằng chứng từ các nhân chứng về các vi phạm nhân quyền của quân đội tại khu vực họ sinh sống. Nếu nhữngthông tin chi tiết về những nhân chứng này bị tiết lộ, sẽ rất nguy hiểm cho những người đã dũng cảm đưa ra chứng cứ vàcác thành viên của tổ chức tại khu vực này. Thông tin này hiện được lưu trong một bảng tính tại một máy tính chạy hệđiều hành Windows Xp đặt tại văn phòng và có kết nối với Internet. Claudia nhận thức rất rõ về vấn đề bảo mật, vì vậy côđã tạo một bản dự phòng dữ liệu trên đĩa CD, và được cất giữ bên ngoài văn phòng.

Những điều bạn có thể học được từ chương này

Cách mã hóa thông tin trên máy tính của bạn

Những vấn đề bạn có thể gặp khi lưu trữ dữ liệu dưới dạng mã hóa

Làm sao để bảo vệ dữ liệu trên thẻ nhớ USB phòng trường hợp bị mất hay bị đánh cắp

Những bước cần thực hiện để ẩn giấu dữ liệu khỏi những xâm nhập trực tiếp hay từ xa

Mã hóa dữ liệu của bạnPablo: Nhưng máy tính của tôi đã được bảo vệ bởi mật khẩu đăng nhập của Windows! Điều đó đã đủ chưa?

Clauda: Thực tế, mật khẩu đăng nhập của Windows rất dễ dàng bị phá. Thêm nữa là bất kỳ ai có thể sử dụng máy tínhcủa anh đủ lâu để khởi động hệ thống từ một đĩa CD đều có thể sao chép toàn bộ dữ liệu trên máy của anh mà khôngcần đến bất kỳ một mật khẩu nào. Trong trường hợp họ có thể mang máy tính đi một khoảng thời gian nhất định, anh còncó thể gặp nhiều rắc rối hơn nữa. Không chỉ mỗi mật khẩu đăng nhập của Windows có thể bị phá, anh cũng không thể tincậy các mật khẩu của Trình soạn thảo Microsoft Word hay Adobe Acrobat.

Mã hóa [3] thông tin của bạn giống như việc cất chúng trong các két an toàn được khóa lại. Chỉ những ai có chìa khóahoặc biết tổ hợp khóa (một chìa khóa mật mã hay một mật khẩu, trong trường hợp này) mới có thể mở được. Đặc điểmchung trên đặc biệt phù hợp cho TrueCrypt [5] và các công cụ tương tự, tạo ra các không gian chứa được mã hóa [3] gọi làcác ‘vùng được mã hóa’ hơn là chỉ bảo vệ từng tệp một. Bạn có thể đưa một số lượng lớn các tệp vào trong một vùngđược mã hóa, nhưng những công cụ này sẽ không bảo vệ những dữ liệu được lưu trữ ở những nơi khác trên máy tính haythẻ nhớ USB của bạn.

Thực hành: Bắt đầu với Hướng dẫn sử dụng TrueCrypt [6]

Trong khi các phần mềm mã hóa khác có thể cung cấp khả năng mã hóa [3] tương đương, TrueCrypt [5] được thiết kế đặcbiệt cho dạng bảo mật lưu trữ tệp này một cách tương đối đơn giản nhất. Thêm nữa, phần mềm này hỗ trợ các vùng mãhóa [3] có thể được di chuyển trên các thiết bị lưu trữ lưu động. Thực tế đây là một công cụ phần mềm Mã nguồn Mở [4],với tính năng ‘có thể chối bỏ’ được nêu kỹ tại phần Ẩn giấu thông tin mật [7] ở bên dưới mang lại cho TrueCrypt [5] mộtưu thế vượt trội so với rất nhiều các công cụ mã hóa bản quyền [8] được cài đặt sẵn, ví dụ như ‘bitlocker’ của WindowsXP.

Pablo: Được rồi, bây giờ em làm anh lo lắng. Thế còn những người dùng khác trên cùng máy tính thì sao? Liệu họ có thểxem các tập tin trong thư mục ‘My Documents’ không?

Claudia: Em thích cách suy nghĩ của anh! Nếu mật khẩu của Windows không bảo vệ anh khỏi những kẻ xâm nhập, làmsao nó có thể bảo vệ anh khỏi những người dùng chung máy tính với anh? Thực tế, thư mục My Documents thường đượcthấy bởi tất cả mọi người dùng trên máy vì vậy những người khác không cần phải làm gì phức tạp vẫn có thể đọc các tệpkhông được mã hóa của anh. Anh cũng đúng ngay cả khi một thư mục được thiết đặt là ‘cá nhân’, nó vẫn không an toàntrừ khi sử dụng một dạng mã hóa nào đó.

Một số mẹo sử dụng mã hóa tệp một cách an toàn

Lưu trữ các thông tin mật có thể nguy hại đối với bạn và cho những người liên quan. Việc mã hóa [3] giúp giảm thiểu nguycơ này nhưng không hoàn toàn loại bỏ được. Bước đầu tiên để bảo vệ những dữ liệu mật này là giảm tối đa việc phải lưutrữ nó ở đâu đấy. Trừ khi bạn có lý do để lưu một tệp đặc biệt hay cất giữ một mảng thông tin quan trọng trong một tệp,bạn nên đơn giản là xóa nó đi (xem Chương 6: Làm sao để xóa thông tin nhạy cảm khỏi máy tính [9] để biết thêm cáchthực hiện điều đó một cách an toàn). Bược tiếp theo lẳ dụng một công cụ mã hóa tiên tiến, như TrueCrypt [5].

Claudia: Có khi chúng ta không nhất thiết phải lưu trữ các thông tin mà có thể xác định những người đã đưa cho chúng tanhững bằng cứ. Anh nghĩ sao?

Pablo: Đồng ý, chúng ta có lẽ chỉ nên ghi lại càng ít càng tốt. Hơn nữa, chúng ta cần tìm cách mã hóa để bảo vệ các tênngười và địa điểm mà chúng ta bắt buộc phải ghi lại.

Quay trở lại với việc sử dụng két an toàn được khóa, có một vài điều bạn luôn ghi nhớ trong đầu khi sử dụng TrueCrypt [5].và các công cụ tương tự. Bất kể két an toàn của bạn chắc chắn thế nào, sẽ chẳng giúp ích gì nếu bạn để cửa két mởtoang. Khi vùng mã hóa của TrueCrypt [5]. được ‘gắn’ vào hệ thống (bất kể khi nào bạn có thể tự truy cập dữ liệu), dữ liệucủa bạn có nguy cơ bị lộ, vì vậy bạn nên giữ nó luôn đóng trừ trường hợp bạn đang đọc hay thay đổi các tệp bên trongnó.

Một số tình huống quan trọng bạn tuyệt đối không nên để ‘vùng mã hóa [3] ’ ở trạng thái mở (được gắn vào hệ thống):

Đóng ngay vùng mã hóa khi bạn rời khỏi máy tính, trong bất kỳ khoảng thời gian nào. Ngay cả khi bạn thường đểmáy tính của bạn chay qua đêm, bạn cần chắc rằng bạn không để dữ liệu nhạy cảm của mình có thể bị xâm nhậptrực tiếp hay từ xa khi bạn không có ở đó.

Đóng ngay vùng mã hóa trước khi chuyển máy tính sang trạng thái nghỉ. Điều này áp dụng với cả hai trạng thái nghỉlà tạm nghỉ (suspend) hay ngủ đông (hibernation) hay được sử dụng cho máy xách tay nhưng cũng có thể có cả trênmáy để bàn.

Đóng ngay vùng mã hóa trước khi cho phép ai đó sử dụng máy tính của bạn. Khi mang máy xách tay qua các điểmkiểm tra an ninh hay qua biên giới, rất cần thiết phải đóng tất cả các vùng mã hóa [3] và tắt hẳn máy tính đi.

Đóng ngay vùng mã hóa trước khi cắm bất kỳ ổ đĩa USB hay thiết bị lưu trữ ngoại vi không đáng tin cậy, bao gồm cảcác thiết bị của bạn bè hay đồng nghiệp.

Nếu bạn lưu trữ một ‘vùng mã hóa [3]’ trên một thẻ nhớ USB, nhớ rằng việc rút thiết bị ra không có nghĩa ngay lậptức đóng ‘vùng mã hóa’ đó. Ngay cả khi bạn cần bảo mật các tệp tin một cách nhanh chóng, bạn cũng cần tuântheo trình tự đóng kết nối (gắn) vùng mã hóa, sau đó ngắt kết nối của thiết bị với máy tính thông qua phần mềm vàrút thiết bị ra khỏi máy tính. Bạn có thể cần thực hành các thao tác này để tìm ra cách nhanh nhất thực hiện chúng.

Nếu bạn quyết định lưu vùng mã hóa TrueCrypt [5] trên thẻ nhớ USB, bạn cũng có thể lưu chương trìnhTrueCrypt](/vi/glossary#TrueCrypt) trên đó. Điều này cho phép bạn truy cập dữ liệu trên những máy tính khác nhau.Những quy định trên vẫn được áp dụng, tuy nhiên nếu bạn không tin cậy một máy tính lạ không nhiễm phần mềm độc hại[10], bạn không nên nhập mật khẩu hay truy cập thông tin nhạy cảm của mình.

Ẩn giấu thông tin mậtMột vấn đề của việc cất giữ một chiếc két an toàn trong nhà hay ở văn phòng, không nói đến việc mang theo một cáitrong túi áo, là nó thường khá dễ nhận thấy. Nhiều người có quan ngại chính đáng về việc tự thu hút sự chú ý do sử dụngviệc mã hóa [3]. Việc có nhiều l ý do chính đáng cho việc sử dụng hơn là không sử dụng mã hóa [3] không làm cho nguy cơnày bớt phần thực tế. Hai l ý do thiết thực tại sao bạn nên tránh sử dụng các công cụ như TrueCrypt [5]: nguy cơ của việctự thu hút sự chú ý và nguy cơ để lộ vị trí cất giữ thông tin mật.

Cân nhắc nguy cơ tự thu hút sự chú ý

Việc mã hóa [3] là trái pháp luật ở một số quốc gia, có nghĩa là việc tải về và cài đặt hay sử dụng các phần mềm loại nàycó thể bị coi là phạm pháp. Đồng thời, nếu cảnh sát, quân đội hay các lực lượng đặc nhiệm là nhóm đối tượng bạn muốnbảo vệ thông tin khỏi bị lọt rơi vào, thì việc vi phạm luật này có thể là cái cớ để qua đó các hoạt động của bạn bị điều trahoặc cơ quan của bạn có thể bị làm phiền. Tuy nhiên trong thực tế, mối nguy cơ này chẳng hề liên quan gì tới tính hợppháp của các công cụ. Bất kỳ khi nào, nếu chỉ cần có dính líu một chút xíu tới việc sử dụng các phần mềm mã hóa [3] cũngđủ để quy kết bạn hoạt động phạm pháp hay gián điệp (không quan tâm tới dữ liệu thực tế bạn lưu trữ trong vùng mã hóa[3]) thì bạn sẽ phải suy nghĩ cẩn thận việc dùng các công cụ này có phù hợp trong hoàn cảnh thực tế của bạn không.

Nếu đây là thực tế, bạn có một số lựa chọn sau:

Bạn hoàn toàn tránh sử dụng các phần mềm bảo mật dữ liệu, có nghĩa là bạn chỉ lưu trữ nhưng dữ liệu không bímật hay phát minh ra môt hệ thống mã hóa từ ngữ để bảo vệ các thành phần quan trọng của các tệp tin mật.

Bạn có thể dựa trên một kỹ thuật gọi là kỹ thuật ẩn giấu ngữ nghĩa [11] để giấu thông tin mật, thay vì mã hóa nó. Cónhững công cụ giúp bạn thực hiện việc này, nhưng để sử dụng chúng một cách đúng đắn đòi hỏi sự chuẩn bị hếtsức kỹ càng, và bạn vẫn đối diện với nguy cơ thu hút sự chú ý của những kẻ biết rõ công cụ bạn đã sử dụng.

Bạn cũng có thể thử lưu trữ dữ liệu mật của mình trên các tài khoản tại những trang web được bảo mật, nhưng điềunày đòi hỏi một kết nối mạng đáng tin cậy và sự am hiểu tốt về máy tính và các dịch vụ Internet. Kỹ thuật này cũnggiả định rằng việc mã hóa [3] đường truyền mạng không thu hút sự chú ý (như mã hóa tệp tin) cũng như bạn khôngsao chép nhầm dữ liệu nhạy cảm lên trên máy tính của mình và quên ở đó.

Bạn có thể lưu các thông tin mật trên các thẻ nhớ USB hay thiết bị nhớ lưu động. Tuy nhiên những thiết bị này thậmchí dễ dàng bị mất hay bị tước đoạt hơn là máy tính, vì vậy việc mang những thông tin mật không được mã hóa [3]

trong những thiết bị này là một điều không nên làm.

Nếu cần thiết bạn có thể sử dụng một loạt những phương cách trên. Tuy nhiên, thậm chí trong trường hợp bạn quanngại về việc tự gây sự chú ý, có lẽ vẫn là an toàn nhất khi sử dụng TrueCrypt [5] với sự cố gắng ngụy trang vùng mãhóa một cách tốt nhất có thể được.

Nếu muốn tạo một vùng mã hóa [3] ít gây sự chú ý nhất, bạn có thể thay đổi tên để nó trông giống như bất kỳ mộtloại tệp nào khác. Sử dụng tệp dạng ‘.iso’ để ngụy trang là tệp hình ảnh của đĩa CD, đây là một lựa chọn phù hợpcho các vùng lưu trữ lớn cỡ khoảng 700MB. Các dạng mở rộng khác của tệp thường phù hợp cho những vùng nhớnhỏ hơn. Việc làm này giống như giấu chiếc két an toàn sau bức tranh trong tường văn phòng. Nó có thể không cheđược những rà xoát kỹ lưỡng nhưng cũng đem lại mức độ bảo vệ nào đó. Bạn có thể thay đổi tên của chương trìnhTrueCrypt [5], giả định rằng bạn sẽ lưu nó như các tệp khác trên ổ cứng máy tính hay thẻ nhớ USB chứ không cài đặtlên máy tính. Phần

Hướng dẫn Sử dụng TrueCrypt [6] sẽ giải thích cách thực hiện.

Cân nhắc nguy cơ để lộ thông tin mật

Thường thì bạn ít để tâm tới hậu quả của việc ‘bị bắt’ với phần mềm mã hóa [3] lưu trữ trong máy hay thẻ nhớ USB màthường quan tâm rằng các vùng mã hóa sẽ chỉ ra chính xác nơi bạn cất giấu những dữ liệu bí mật mà bạn muốn bảo vệ.Có thể đúng khi cho rằng không ai khác có thể đọc được chúng, kẻ xâm nhập có thể biết rằng dữ liệu nằm ở đó, và rằngbạn đang tìm mọi cách để bảo vệ nó. Điều này dẫn bạn tới những phương cách phi điện toán mà kẻ thù có thể sử dụngđể lấy được quyền truy cập dữ liệu như: đe dọa, tống tiền, khủng bố và tra tấn. Trong trường hợp này, tính năng ‘có thểchối bỏ’ của TrueCrypt [5], sẽ được trình bày chi tiết dưới đây, sẽ đem lại sự hữu ích.

Tính năng ‘có thể chối bỏ’ của TrueCrypt [5] là một tính năng vượt trội so với các các công cụ mã hóa [3] tệp khác. Tínhnăng này có thể được coi là một dạng riêng của kỹ thuật ẩn giấu nội dung [11] giúp ẩn giấu dữ liệu nhạy cảm nhất củabạn so với các thông tin được ẩn giấu khác, ít nhạy cảm hơn. Nó tương tự như việc làm một cái đáy giả mỏng bên trongmột cái đáy giả không quá mỏng cho cái két an toàn tại văn phòng bạn. Nếu một kẻ xâm nhập lấy trộm được chìa khóakét an toàn, hoặc đe dọa bạn phải đưa cho hắn thông tin mở khóa, hắn sẽ tìm thấy những thông tin ‘ngụy trang’, chứkhông phải những thông tin mà bạn thực sự muốn bảo vệ.

Chỉ có mình bạn biết rằng két an toàn của bạn có chứa một ngăn ẩn phía sau. Điều này cho phép bạn ‘chối bỏ’ rằng bạncòn giữ thêm bất cứ thông tin nào ngoài những thông tin bạn đã đưa cho kẻ thù, và có thể giúp bạn trong tình huống bạnphải tiết lộ mật khẩu vì lý do nào đó. Những lý do này có thể bao gồm những đe dọa về pháp lý hay thể chất đối với bạn,hay đối với tới đồng nghiệp, đồng minh hoặc bạn bè, người thân trong gia đình. Mục đích của việc có thể chối bỏ chobạn cơ hội để thoát khỏi nguy cơ rơi vào tình huống nguy hiểm cho dù bạn chọn cách cố gắng bảo vệ dữ liệu của mình.Tuy nhiên như đã đề cập tại phần Cân nhắc nguy cơ tự thu hút sự chú ý, tính năng này không có tác dụng nếu chỉ đơnthuần bị bắt với chiếc két an toàn trong văn phòng cũng đủ đưa bạn tới những hậu quả không chấp nhận được.

Tính năng có thể chối bỏ của TrueCrypt [5] được thực hiện bằng cách tạo một ‘vùng mã hóa [3] ẩn’ bên trong ‘vùng mã hóa[3]’ thông thường của bạn. Bạn mở vùng dữ liệu ẩn này bằng cách nhập một mật khẩu khác với mật khẩu thông thườngbạn dùng. Ngay cả khi một kẻ xâm nhập với kỹ thuật tinh vi có được mật khẩu truy cập vùng mã hóa thông thường, hắncũng không thể chứng minh rằng vùng mã hóa ẩn thực sự tồn tại.

Tất nhiên, có khả năng hắn cũng biết rõ rằng TrueCrypt [5] có khả năng che giấu thông tin theo cách này, không có gì đảmbảo rằng các mối đe dọa sẽ không còn một khi bạn tiết lộ cho hắn thông tin mật khẩu ‘mồi’. Rất nhiều người sử dụngTrueCrypt [5] không bật tính năng có thể chối bỏ, tuy nhiên điều này được coi là không thể xác định được, theo cách phântích, liệu vùng mã hóa này có chứa ‘đáy giả’ hay không. Với điều này, việc của bạn là đảm bảo rằng bạn không để lộvùng mã hóa ẩn do các lỗi phi kỹ thuật như để nó ở tình trạng mở hoặc để lại các đường dẫn tới tệp nằm trong vùng này.Mục Đọc thêm [12] bên dưới có thể chỉ dẫn bạn tới thêm thông tin về vấn đề này

Claudia: Được thôi, vậy hãy bỏ một chút dữ liệu vớ vẩn vào vùng mã hóa chuẩn, và sau đó có thể lưu toàn bộ thông tinchứng cứ vào vùng ẩn. Anh có ít tài liệu PDF cũ hay cái gì đại loại như vậy không?

Pablo: Ừ, anh cũng đã nghĩ về điều đó. Ý anh là ý tưởng đưa ra mật khẩu mồi chỉ trong trường hợp chúng ta không có lựachọn nào khác, phải không? Nhưng để điều đó có tính thuyết phục, chúng ta cần làm sao để những tệp này trông có vẻnhư quan trọng, em có nghĩ như vậy không? Nếu không phải vậy thì tại sao chúng ta phải mất công mã hóa chúng? Có lẽchúng ta sử dụng những tài liệu tài chính không có liên quan hoặc một danh sách các mật khẩu trang web hay cái gì đó

tương tự.

Đọc thêmNhững thông tin thêm về bảo mật các tệp thông tin, xem chương Cryptology [13], chương Steganography [14] và CaseStudy 3 [15] trong cuốn Digital Security and Privacy for Human Rights Defenders [16]

TrueCrypt – Hỏi và Đáp [17] đưa ra các câu trả lời cho những thắc mắc chung về TrueCrypt.

URL nguồn (được tìm thấy vào ngày 04/11/2015 - 03:12): https://info.securityinabox.org/vi/chuong-4

Các liên kết:[1] https://info.securityinabox.org/vi-chuong1[2] https://info.securityinabox.org/vi/chuong-2[3] https://info.securityinabox.org/vi/glossary#Encryption[4] https://info.securityinabox.org/vi/glossary#FOSS[5] https://info.securityinabox.org/vi/glossary#TrueCrypt[6] https://info.securityinabox.org/vi/truecrypt-main[7] https://info.securityinabox.org/vi/chuong_4_2[8] https://info.securityinabox.org/vi/glossary#Proprietary_software[9] https://info.securityinabox.org/vi/chuong-6[10] https://info.securityinabox.org/vi/glossary#Malware[11] https://info.securityinabox.org/vi/glossary#Steganography[12] https://info.securityinabox.org/vi/chuong_4_3[13] http://www.frontlinedefenders.org/manual/en/esecman/chapter2_4.html[14] http://www.frontlinedefenders.org/manual/en/esecman/chapter2_8.html[15] http://www.frontlinedefenders.org/manual/en/esecman/chapter4_2.html[16] http://www.frontlinedefenders.org/manual/en/esecman[17] http://www.truecrypt.org/faq.php