Làm thế nào để Air Gap một máy tính

Mức độ bảo mật cao nhất của một máy tính là để nó không bị dòm ngó. Đó là cách duy nhất để giảm nguy cơ máy tính bị tấn công xuống gần bằng 0 nhất có thể. Bất cứ điều gì(Anything) ít hơn và một hacker chuyên dụng sẽ xâm nhập vào nó bằng cách nào đó.

Tại sao tôi muốn Air Gap một máy tính?(Why Would I Want To Air Gap a Computer?)

Người bình thường không cần phải sử dụng máy tính. Đây hầu hết là lĩnh vực của các tập đoàn và chính phủ. Đối với một chính phủ, nó có thể là một cơ sở dữ liệu(database) nhạy cảm , một dự án hoặc có thể là kiểm soát một hệ thống vũ khí. Đối với một công ty, nó có thể chứa bí mật thương mại, thông tin tài chính hoặc vận hành một quy trình công nghiệp. Các nhóm hoạt động(Activist groups) cũng có thể làm điều này để ngăn chặn công việc của họ ngừng hoạt động.

Bạn có thể không lo lắng về những điều đó nếu bạn chỉ sử dụng một máy tính ở nhà. Tuy nhiên, chỉ thực hiện một hoặc hai biện pháp này sẽ giúp tăng cường bảo mật của bạn(increase your security) một cách đáng kể.

Khoảng cách không khí là gì?(What’s An Air Gap?)

Khi bạn ngăn cách máy tính, không có gì ngăn cách giữa máy tính và phần còn lại của thế giới ngoài không khí. Tất nhiên, kể từ khi WiFi xuất hiện, nó đã thay đổi có nghĩa là không có kết nối với thế giới bên ngoài. Không có gì chưa có trên máy tính sẽ có thể truy cập vào nó. Không có gì trên máy tính có thể được gỡ bỏ khỏi nó.

Làm cách nào để tạo lỗ hổng cho máy tính của tôi?(How Do I Air Gap My Computer?)

Air gapping một máy tính không đơn giản chỉ cần rút dây mạng(network cable)tắt wifi(disabling the wifi) . Hãy nhớ rằng(Remember) , đây là mục tiêu có giá trị cao đối với các tin tặc tội phạm(criminal hackers) và Diễn viên Quốc gia ( NSA(NSAs) ) làm việc cho các chính phủ nước ngoài. Họ có tiền và thời gian. Thêm vào đó, họ thích thử thách, vì vậy việc theo đuổi một chiếc máy tính có lỗ thông hơi đang hấp dẫn họ.

Hãy bắt đầu từ bên ngoài máy tính và làm việc theo cách của chúng tôi bên trong:

  1. Bảo mật hoạt động ( OpSec ) là quan trọng. OpSec có thể được đơn giản hóa quá mức trên cơ sở cần biết. Không ai cần biết có gì trong phòng chứ đừng nói đến máy tính dùng để làm gì hoặc ai được phép vận hành nó. Đối xử với nó như thể nó không tồn tại. Nếu những người không được phép biết về nó, họ sẽ dễ bị tấn công bởi kỹ thuật xã hội(social engineering attacks)

  1. Hãy(Make) chắc chắn rằng nó ở trong một căn phòng an toàn. Căn phòng chỉ nên có một lối vào và nó phải được khóa mọi lúc. Nếu bạn vào trong để làm việc, hãy khóa cửa sau lưng bạn. Chỉ các nhà khai thác được ủy quyền của PC mới có quyền truy cập. Làm thế nào bạn làm điều này là tùy thuộc vào bạn. Mỗi loại khóa thông minh(electronic smart locks) vật lý và điện tử đều có ưu và nhược điểm.

    Hãy thận trọng với trần thả. Nếu kẻ tấn công có thể bật gạch trần và vượt qua tường, thì cánh cửa bị khóa chẳng có nghĩa lý gì. Không có cửa sổ, cũng không. Mục đích duy nhất của căn phòng là để chứa chiếc máy tính đó. Nếu bạn đang lưu trữ nội dung trong đó, thì sẽ có cơ hội đột nhập và giấu máy ảnh web(web camera) , micrô(microphone) hoặc thiết bị nghe RF.

  1. Hãy(Make) chắc chắn rằng đó là một căn phòng an toàn. Đó là an toàn(Safe) cho máy tính. Căn phòng phải cung cấp khí hậu lý tưởng cho máy tính(ideal climate for the computer) để nó tồn tại lâu nhất có thể. Bất cứ(Anytime) khi nào một máy tính airgap bị hỏng và có thể bị xử lý, sẽ có cơ hội lấy được thông tin từ máy tính bị loại bỏ.

    Bạn cũng sẽ cần hệ thống dập lửa an toàn cho máy tính. Một cái gì đó sử dụng khí trơ hoặc các hợp chất halocarbon là thích hợp. Nó phải không phá hủy máy tính, nếu không hacker có thể cố gắng phá hủy máy tính bằng cách bật vòi phun nước nếu chúng có thể.

  1. Cất tất cả các thiết bị điện tử không cần thiết khác ra khỏi phòng. Không có máy in(printers) , điện thoại di động(cellphones) , máy tính bảng(tablets) , ổ đĩa flash USB(USB flash drives) hoặc fobs chính. Nếu nó có pin trong đó hoặc sử dụng điện, nó sẽ không đi vào phòng đó. Có phải chúng ta đang bị hoang tưởng? Không. Hãy xem nghiên cứu về khe hở không khí mà Tiến sĩ Mordechai Guri(air-gap research Dr. Mordechai Guri) đang thực hiện và xem điều gì có thể xảy ra. 

  1. Nói về USB , hãy cắm hoặc loại bỏ bất kỳ cổng USB(USB ports) không cần thiết nào . Bạn có thể cần một hoặc hai cổng USB cho (USB)bàn phím và chuột(keyboard and mouse) . Các thiết bị đó phải được khóa tại chỗ và không thể tháo rời. Bất kỳ cổng USB(USB) nào khác phải được gỡ bỏ hoặc chặn bằng cách sử dụng một thứ như bộ chặn cổng USB(USB port blocker) . Tốt hơn, hãy sử dụng USB to PS/2 keyboard and mouse converter adapter , với bàn phím và chuột (mouse)PS/2 keyboard . Sau đó, bạn không cần bất kỳ cổng USB bên ngoài nào cả.

  1. Loại bỏ tất cả các phương pháp kết nối mạng(methods of networking) có thể. Loại bỏ phần cứng WiFi , EthernetBluetooth hoặc bắt đầu với một máy tính không có bất kỳ phần cứng nào. Chỉ(Just) vô hiệu hóa các thiết bị đó là không đủ. Bất kỳ(Any) cáp mạng cần thiết nào cũng cần được che chắn. Nó có thể là một bộ điều khiển cho một quy trình công nghiệp vì vậy một số loại cáp có thể cần thiết.

  1. Tắt tất cả các cổng mạng chung(common network ports) trên máy tính. Điều này có nghĩa là các cổng như 80 cho HTTP , 21 cho FTP và các cổng ảo khác. Nếu hacker bằng cách nào đó được kết nối vật lý với máy tính, ít nhất các cổng này sẽ không sẵn sàng và chờ đợi ở đó.

  1. Mã hóa ổ cứng . Nếu hacker vẫn vào được máy tính thì ít nhất dữ liệu đã được mã hóa và vô dụng đối với chúng.

  1. Tắt(Shut) máy tính bất cứ khi nào không cần thiết. Rút phích cắm của nó, thậm chí.

Bây giờ máy tính của tôi có an toàn không?(Is My Computer Safe Now?)

Làm(Get) quen với các điều khoản rủi ro có thể chấp nhận được và an toàn hợp lý. Chừng nào còn có tin tặc, cả mũ trắng và mũ đen(white hat and black hat) , những cách mới để nhảy khoảng cách trên không sẽ tiếp tục được phát triển. Bạn chỉ có thể làm được rất nhiều điều, nhưng khi bạn thoát ra khỏi máy tính thì đó ít nhất là một khởi đầu tốt.



About the author

Tôi là một lập trình viên máy tính và đã có hơn 15 năm. Kỹ năng của tôi nằm ở việc phát triển và duy trì các ứng dụng phần mềm, cũng như cung cấp hỗ trợ kỹ thuật cho các ứng dụng đó. Tôi cũng đã dạy lập trình máy tính cho học sinh trung học và hiện đang là một giảng viên chuyên nghiệp.



Related posts