Category Archives: Information Security

Tam giác bảo mật S.F.U

Như trong bài viết này, tôi có đề cập đến ba mục tiêu chính cần đạt được trong công tác bảo mật cho một hệ thống thông tin và ba mục tiêu này tạo thành bộ ba (hay tam giác) bảo mật  C.I.A. Hôm nay, tôi sẽ nói về một tam giác bảo mật (security triangle) khác mà trong đó 3 thành tố của nó có mối liên hệ và ảnh hưởng tới nhau.

Hình trên cho biết 3 đặc tính cơ bản của một hệ thống thông tin và đó cũng là 3 yếu tố (tương ứng với 3 góc) của tam giác bảo mật S.F.U (hoặc S.F.E) mà tôi muốn nhắc đến trong bài này đó là:

  • Functionality: chức năng (mặt định lượng)
  • Security: tính bảo mật
  • Usability (hoặc Ease of Use): tính tiện dụng

Ở bên trong tam giác S.F.U này có một quả bóng nhỏ. Khi quả bóng này có thiên hướng di chuyển về một góc nào đó của tam giác thì có nghĩa rằng yếu tố tương ứng với góc đó được chú trọng, tăng cường và đồng thời 2 yếu tố còn lại sẽ bị coi nhẹ, suy giảm. Cụ thể:

  • Nếu nâng cao độ bảo mật cho hệ thống (quả bóng di chuyển về góc Security) cũng đồng nghĩa với việc người dùng phải chịu nhiều rằng buộc, trải qua nhiều bước kiểm tra an ninh khi muốn tiếp cận và sử dụng hệ thống (tức, tính Usability bị giảm đi) và số lượng các chức năng của hệ thống sẽ được giữ ở mức tối thiểu nhất có thể vì rõ ràng, càng nhiều chức năng thì hệ thống đó tiềm ẩn thêm những lỗ hổng có thể bị khai thác (tức, tính Functionalitybị giảm đi).
  • Nếu bổ sung thêm nhiều chức năng cho hệ thống (quả bóng di chuyển về gócFunctionality) cũng đồng nghĩa việc hệ thống đó có thể chứa đựng nhiều lỗ hổng không lường trước được, các mối đe dọa và rủi ro tăng lên (tức, tính Security giảm đi) và rõ ràng, càng nhiều chức năng thì độ phức tạp khi sử dụng hệ thống tăng lên (tức, tính Usability giảm đi).
  • Cuối cùng, nếu muốn việc sử dụng hệ thống trở nên đơn giản, thuận tiện hơn (quả bóng di chuyển về góc Usability) thì buộc lòng ta phải giảm tinh giản, làm gọn các chức năng trong hệ thống (tức, tính Functionality giảm đi) và nới lỏng các biện pháp an ninh (tức, tính Security giảm đi).

Để dễ hiểu hơn, tôi xin lấy một ví dụ thế này. Bạn có một hệ thống E-commerce nhằm quảng bá cho các sản phẩm, dịch vụ của bạn và đồng thời cho phép khách hàng đặt hàng, thanh toán trực tuyến. Rõ ràng, khi giao dịch qua mạng Internet thế này thì yếu tố bảo mật phải được đặt lên hàng đầu nhằm tránh rủi ro, thiệt hại cho khách hàng và chính bạn khi xảy ra các sự cố an ninh như hệ thống bị tấn công khiến dữ liệu khách hàng, bí mật kinh doanh bị đánh cắp, thông tin giao dịch bị lộ, hay toàn bộ hệ thống bị tê liệt… Trước nguy cơ đó, để phòng chống với các mối đe dọa thì tất nhiên bạn sẽ đầu tư xây dựng và triển khai một loạt các cơ chế bảo vệ đa tầng (Defense-in-Depth) như:

  • Xác thực đa yếu tố (multi-factor) với smart card, mã PIN kết hợp với mật khẩu mạnh.
  • Mã hóa cho các phiên giao dịch với SSL Certificate.
  • Kiểm soát truy cập, giám sát, cảnh báo, phản ứng sử dụng firewall,VPN,  proxy, IDS/IPS, Anti-Virus,… cộng với các chính sách bảo mật nghiêm ngặt.
  • v.v..

Nhiêu đó thôi cũng đủ làm cho hệ thống tuy có an toàn hơn nhưng lại trở nên phức tạp hơn và gây bất tiện cho những người dùng với kiến thức bảo mật ít ỏi nhưng luôn mong mỏi được thoải mái, dễ dàng trong việc sử dụng dịch vụ, chức năng của hệ thống, đôi khi còn làm cho bản thân những người quản trị bảo mật cho hệ thống đó khó khăn trong việc điều hành, duy trì.

Ngoài tình huống trên, bạn có thể tự tìm hiểu thêm nhiều ví dụ khác minh họa cho ý nghĩa của tam giác bảo mật S.F.U.

Suy cho cùng, một giải pháp bảo mật tối ưu thì cần cân đối hài hòa giữa cả 3 yếu tố Security, Functionality và Usability. Khi đó, quả bóng kia sẽ ở tâm điểm của tam giác S.F.U.

The Conscience of a Hacker

The Conscience of a Hacker – Lời trần tình của một hacker, còn gọi là “tuyên ngôn hacker”, đã trở thành kinh điển như một trong những tư liệu đầu tiên soi vào góc tối của tâm lý giới hacker.

Bài này được lưu truyền trên hàng ngàn website với nhiều bản hơi khác nhau. Mình dịch từ nguyên bản tiếng Anh: The Conscience of a Hacker

/*************************************************************************/

Những lời sau đây tôi viết ít lâu sau khi bị bắt.

LỜI TRẦN TÌNH CỦA MỘT HACKER

Tác giả: +++The Mentor+++

  Viết ngày 8/1/1986

/*************************************************************************/

Hôm nay thế là lại thêm một người nữa bị tóm, tin đăng đầy trên báo. “Trẻ tuổi bị giam trong vụ án rùm beng về máy tính”, “Hacker bị bắt sau khi mở khóa ngân hàng”…

Lũ trẻ khốn kiếp. Chúng nào có khác gì nhau.

Nhưng các người, với mớ tâm lý học chắp vá với tư duy công nghệ những năm 50 của các người, có bao giờ nhìn vào tâm tư của hacker không? Có bao giờ các người tự hỏi cái gì đã thúc y hành động, lực nào đã dập thành y, khuôn nào đã đúc nên y không?

Ta là một hacker, hãy bước vào thế giới của ta…

Thế giới của ta khởi đầu từ ghế nhà trường… Ta khôn lanh hơn phần lớn trẻ em khác, mấy thứ rác rưởi họ dạy bọn ta khiến ta phát chán…

Đứa cá biệt khốn kiếp. Chúng nào có khác gì nhau.

Rồi ta vào trung học. Được nghe cô giáo giảng đi giảng lại đến mười lăm lần phép rút gọn phân số. Hiểu bài. “Dạ không, thưa cô, con không viết lời giải ạ. Con tính nhẩm thôi ạ…”

Ranh con khốn kiếp. Chắc lại cóp bài rồi. Chúng nào có khác gì nhau.

Hôm nay ta có một khám phá. Khám phá ra một cái máy tính. Xem nào, cái này thật là hay. Nó làm được mọi chuyện theo ý ta. Nếu nó làm sai, đó là bởi vì ta lẫn. Chứ chẳng phải vì nó không mến ta…

Hay vì cảm thấy bị ta hăm dọa…

Hay vì tưởng ta là một cái bịch thịt huyênh hoang…

Hay vì không chịu ta dạy dỗ và thấy tốt nhất là nên té khỏi đây…

Ranh con khốn kiếp. Suốt ngày chỉ có chơi game. Chúng nào có khác gì nhau.

Và điều đó rồi xảy ra… một cánh cửa mở toang ra thế giới… rượt đuổi nhau trên đường dây điện thoại như chất heroin chạy trong huyết quản dân ghiền, phát một xung điện, phát giác một góc trú chân xa lánh nỗi bất lực thường ngày… phát hiện một diễn đàn. “Đây rồi… đây mới là chốn dung thân của ta…”

Nơi đây ta quen biết mọi người… kể cả nếu ta chưa bao giờ gặp họ, chưa bao giờ nói chuyện với họ, có thể không bao giờ nghe được thêm tin tức gì về họ nữa… Ta vẫn quen biết hết mọi người…

Ranh con khốn kiếp. Lại choán mất đường điện thoại rồi. Chúng nào có khác gì nhau.

Các người có thể đưa đ(ầu) ra mà cá rằng bọn ta nào có khác gì nhau!

Trên ghế nhà trường bọn ta đã được đút cho từng thìa bột trong khi bọn ta thèm ăn chả nướng… Các người mớm cho bọn ta từng mẩu thịt, thứ thịt vô vị đã được nhai nát sẵn. Bọn ta bị ngó lơ bởi những kẻ thờ
ơ, bị hành hạ bởi những tên cuồng bạo. Vài người có chữ dạy được bọn ta đã phát hiện bọn ta là những học trò ngoan, nhưng vài người như thế chỉ như những giọt nước trong sa mạc.

Còn đây mới là thế giới của bọn ta… thế giới hạt điện tử và khóa chuyển mạch, vẻ đẹp của kbps.

Bọn ta xài “chùa” những dịch vụ đáng lẽ ra rẻ như bèo nếu nhà cung cấp không phải là bọn đầu cơtrục lợi lòng tham không đáy, còn các người thì gọi bọn ta là tội phạm.

Bọn ta khám phá… còn các người gọi bọn ta là tội phạm.

Bọn ta theo đuổi kiến thức… còn các người gọi bọn ta là tội phạm.

Bọn ta tồn tại không định kiến màu da, dân tộc, tín ngưỡng… còn các người gọi bọn ta là tội phạm.

Các người chế bom nguyên tử, điều khiển chiến tranh, giết chóc, bịp bợm, nói dối và cố lừa cho bọn ta tin những việc đó mang lại cho bọn ta điều tốt đẹp, còn bọn ta vẫn cứ bị gọi là tội phạm.

Phải, ta là tội phạm đấy. Tội ác của ta là tội ham hiểu biết. Tội ác của ta là tội đánh giá con người không qua vẻ họ tỏ mà qua lời họ nói, qua ý họ nghĩ. Tội ác của ta là tội khôn lanh hơn các người, một tội ác mà các người không bao giờ tha thứ.

Ta là một hacker, và đây là tuyên ngôn của ta. Các người có thể ngăn chặn một cá nhân này, nhưng các người không thể nào ngăn chặn được tất cả… Nói cho cùng, chúng ta nào có khác gì nhau.

+++The Mentor+++

/*************************************************************************/

Bruce Schneier: So You Want to Be a Security Expert

Bruce Schneier, là một chuyên gia và tác gia rất nổi tiếng về mật mã học và an ninh máy tính. Vì vậy mà ông thường hay nhận được thư từ của nhiều người để nhờ tham vấn cho việc: bắt đầu như thế nào trong lĩnh vực an toàn thông tin? Ở bài viết này, “So You Want to Be a Security Expert”, Schneier chia sẻ cách tiếp cận và những lời khuyên thực tế, bổ ích để giúp giải đáp phần nào thắc mắc trên.

Đầu tiên, ông nhận định rằng không cần phải là coder mới có thể trở thành security expert. Bởi vì an toàn thông tin được chia ra làm nhiều chuyên ngành nhỏ như system security, network security, software security, v.v.. Bạn có thể lựa chọn để trở thành chuyên gia trong việc tìm kiếm lỗ hổng trong phần mềm hoặc hệ thống mạng. Vâng, có rất nhiều hướng đi và cơ hội khác nhau phù hợp cho nhiều tập kỹ năng khác nhau.

Sau đó, ông đưa ra 3 lời khuyên khái quát cho những người muốn bắt đầu trong lĩnh vựccomputer security là:

  • Study: rất nhiều hình thức, môi trường để học tập như ở trường đại học, tham gia các khóa đào tạo cao cấp của học viện SANS, Offensive Security và cũng cần luyện tập khả năng tự nghiên cứu qua các cuốn sách, trang blog chuyên về security, v.v..
  • Do: cần thiết phải trau dồi thực hành, ứng dụng, kiểm nghiệm những thứ đã học trong thực tế một cách thường xuyên bằng cách configure, design, breaking các hệ thống an ninh.
  • Show: trình bày, minh chứng, chia sẻ những cái mình biết và làm được cho cộng đồng. Đây cũng là một cách để nâng cao cơ hội khi phỏng vấn, vị thế khi đi làm. Có thể bằng cách tham gia thảo luận tích cực trên các mailing list, blog, forum, viết sách, giảng dạy, làm diễn giả, v.v..

Schneier cũng dành sự quan tâm tới các security certification để giúp nhà tuyển dụng nhận diện nhanh chóng và dễ dàng những kiến thức, kỹ năng của một ứng viên nào đó. Ngoài ra, ông coi security mindset (cách tư duy) là một yếu tố quan trọng để thành công trong lĩnh vực an toàn thông tin. Ở khía cạnh này, ông viết “Good engineering involves thinking about how things can be made to work; the security mindset involves thinking about how things can be made to fail”. Rất đúng, nên suy nghĩ như một hacker, đặt vào tình thế của một criminal mới bao quát được nhiều vấn đề bảo mật.

Điều cuối cùng được đề cập đến trong bài là về cryptography. Mật mã học hiện đại thì khó để theo học, một phần là yêu cầu kiến thức nâng cao về toán học. Nhưng vì là core factor của security nên việc học hỏi thêm về crypto vẫn là điều cần thiết.

P/S: đây là bài thứ 2 trong loạt bài phỏng vấn những brightest minds của security industry nhằm giúp định hướng cho những người muốn bước chân vào lĩnh vực này.

Xem thêm: How to Break Into Security

(Nguồn: So You Want to Be a Security Expert)

%d bloggers like this: