Xuất phát từ nhu cầu thực tế hiện nay, nhu cầu lưu trữ dữ liệu và chuyển đổi dữ liệu từ nơi này sáng nơi khác của người dùng rất đa dạng: Email, Ổ đĩa DVD/CD, công nghệ điện toán đám mây. Việc sử dụng USB vẫn là một giải pháp lưu trữ và chuyển đổi dữ diệu phổ biến bởi tính tiện dụng của nó. Tuy nhiên, nhược điểm của giải pháp này là phải đối mặt với các rủi ro mất an toàn thông tin như bị thất lạc, bị nhiễm mã độc. Đặc biệt với các dữ liệu quan trọng liên quan đến an ninh, quốc phòng nếu bị lộ lọt sẽ gây hậu quả nghiêm trọng.
Do vậy, việc xây dựng chương trình tạo USB an toàn trên Windows là thực sự cần thiết với thực trạng hiện nay. Chương trình tạo USB an toàn trên Windows được thiết kế với giao diện thân thiện với người dùng, dễ dàng sử dụng với các tính năng chính là: tạo USB an toàn không mã hóa và tạo USB an toàn có mã hóa.
Phòng chống mã độc lây nhiễm từ máy tính vào thư mục gốc ổ đĩa USB và ngăn chặn thực thi các chương trình trên ổ USB bằng cách phân quyền truy cập; Đảm bảo an toàn cho thông tin lưu trữ trên USB bằng giải pháp mã hoá BitLocker được tích hợp sẵn trên Windows.
Phòng chống mã độc lây từ máy tính vào USB
Có nhiều giải pháp để bảo vệ ổ USB Flash, nhưng hầu hết trong số đó phụ thuộc vào hệ điều hành Windows. Phương pháp này sử dụng định dạng tập tin NTFS phân quyền bảo mật để bảo vệ ổ đĩa USB và có thể áp dụng trên tất cả hệ điều hành Windows.
Định dạng USB chuẩn NTFS
Cắm USB Flash vào cổng USB của máy tính, đăng nhập vào máy tính cài đặt Windows với tài khoản Administrator, vào Device Manager bằng cách click chuột phải lên My Computer (This PC), chọn Manage, sau đó chọn Disk Drives, kích chuột phải vào tên ổ đĩa USB và chọn Properties rồi di chuyển tới tab Policies và chọn Better performance trong Removal policy, rồi chọn OK (Hình 1).
Hình 1. Thiết lập thuộc tính Policies cho USB
Mở Computer (từ màn hình Desktop) hay Windows Explorer (nhấn tổ hợp phím Windows + E) rồi kích chuột phải vào ổ USB và chọn Format. Sau khi hộp thoại Fomat hiện ra, chọn định dạng NTFS, Quick Format như Hình 2, rồi chọn OK.
Hình 2. Thiết lập Format USB
Hình 3. Thiết lập tài khoản Everyone và quyền Read trên thư mục gốc ổ USB
Cấu hình phân quyền bảo mật cho USB Flash
- Từ Computer, kích chuột phải vào ổ USB và chọn “Properties”. Ở thẻ Security , Click Edit... thiết lập cho duy nhất tài khoản Everyone và chỉ có quyền đọc (read) trên thư mục gốc ổ G:, rồi OK (Hình 3). Sau đó tạo 1 thư mục (ví dụ: Data) trên thư mục gốc ổ đĩa USB để lưu trữ an toàn; click chuột phải lên thư mục Data trên USB, chọn “Properties”. Tiếp theo chọn thẻ Security, nhấn chọn nút Advanced và chọn thẻ Permissions sau đó chọn Change Permissions.
- Chọn Add... để thêm tài khoản Everyone sau đó chọn các quyền như mô tả ở Hình 5, rồi nhấn OK
Hình 4. Giao diện chọn Change Permissions (đổi quyền) trên Data
Lưu ý: Chỉ chọn các quyền như Hình 5 và không chọn các quyền sau:
+ Full control
+ Traverse folder / execute file
+ Write attributes
+ Write extended attributes
+ Delete
+ Change permissions
+ Take permissions
Hình 5. Chọn các quyền cho thư mục Data
Giải pháp kết hợp phân quyền truy cập và mã hóa Bitlocker cho USB
Hiện nay có một số công cụ mã hoá dữ liệu của các hãng thứ ba chạy trên Windows như: VeraCript, TrueCript, FireFly,...và cho phép mã hoá ổ đĩa USB Flash. Tuy nhiên sử dụng công cụ mã hoá BitLocker để mã hoá ổ USB là phù hợp hơn vì nó an toàn hơn, miễn phí và được tích hợp sẵn trên Windows (không phải cài đặt thêm).
BitLocker là chương trình được Microsoft tích hợp trong Windows 7 trở lên (các phiên bản Windows Home không được tích hợp) nhằm giúp người sử dụng mã hoá thư mục, tệp tin, ổ đĩa cứng và ổ USB Flash để bảo vệ dữ liệu cá nhân (cách thực hiện mã hóa như Hình 6,7,8,9).
Hình 6. Bật tính năng BitLocker
Hình 7. Thiết lập mật khẩu cho USB Flash
Hình 8. Giao diện quá trình mã hoá trên ổ đĩa
Hình 9. Mã hóa hoàn tất
Sau khi mã hoá xong, ta có một chiếc USB an toàn với đầy đủ các tính năng phân quyền, mã hóa bảo mật. Để sử dụng USB Flash đã mã hóa khi ta cắm USB vào máy tính, thực hiện nhập mật khẩu để mở khóa (Hình 10), sau đó sử dụng USB như bình thường.
Hình 10. Cửa sổ nhập mật khẩu bitlocker
Chống mã độc lây vào máy tính từ ổ đĩa ngoài
Giải pháp phòng chống mã độc lây nhiễm từ ổ đĩa USB không an toàn vào máy tính bằng cách vô hiệu hoá tính năng Autorun và thiết lập chính sách bảo mật SRP chống thực thi mã độc từ ổ đĩa USB bất kỳ. Để vô hiệu hóa tính năng Autorun, thực hiện các bước sau:
Bước 1: Mở hộp thoại Run (Start/Run, hoặc nhấn tổ hợp phím Win+R), gõ: gpedit.msc rồi nhấn OK (Hình 11).
Hình 11. Hộp thoại Run
Bước 2: Mở chọn mục Administrative Templates trong Computer Configuration (Hình 12).
Hình 12. Minh hoạ chọn Administrative Templates trong Computer Configuration
Bước 3: Tại cửa sổ Turn Off Autoplay: chọn Enable; Ở phía dưới (Options) là Turn off Autoplay on: chọn All Drivers, rồi (Apply) và OK (Hinh 13); Làm tương tự như trên với mục User Configuration.
Hình 13. Minh hoạ cách chọn All Settings /Turn off Autoplay /Enabled
Thiết lập chính sách SRP chống thực thi mã độc từ các ổ đĩa ngoài
Giải pháp phần này không giải quyết vấn đề ngăn chặn mã độc lây lan vào các ổ đĩa ngoài (chẳng hạn như USB Flash) và lây từ USB Flash bị nhiễm sang các máy tính khác. Nhưng nếu ổ đĩa ngoài bị nhiễm mã độc, nó sẽ không lây nhiễm vào máy tính được thiết lập chính sách bảo mật. Chính sách bảo mật được áp dụng là Software Restriction Policies (SRP) có trên các phiên bản Windows từ XP trở đi, nó ngăn cấm bất kỳ việc thực thi của các chương trình trực tiếp từ các ổ đĩa được chỉ định. Nếu mọi chương trình trên các ổ đĩa ngoài không thể chạy được, có nghĩa là bất kỳ loại mã độc có thể có trên ổ đĩa đó cũng không thể được kích hoạt lây nhiễm vào máy tính.
Để thiết lập chính sách bảo mật, ta phải đăng nhập với tài khoản Administrators. Mở hộp thoại Run, gõ lệnh: secpol.msc (Hình 14) > Chọn Software Restriction Policies trong Security Settings (Hình 15) > nhấn chuột phải vào Additional Rules trong mục Software Restriction Policies > nhấn Action > chọn New Path Rules.
Hình 14. Dùng hộp thoại Run để mở chính sách bảo mật secpol.msc
Hình 15. Giao diện chính sách bảo mật cục bộ Local Security Policy
Tại đây ta thêm các ổ đĩa USB (F:\, G:\, H:\, I:\) vào Additional Rules của SRP (Hình 16). Làm như vậy nhằm đảm bảo cho các file khả thi không thể chạy trực tiếp từ các ổ đĩa ngoài F:, G:, H:, I:. Sau đó thực hiện khởi động lại máy tính để thực hiện cập nhật chính sách bảo mật.
Hình 16. Thêm các ổ đĩa USB vào Additional Rules của SRP
Giao diện chương trình SafedUSB
SafedUSB là chương trình tạo USB an toàn trên Windows thực hiện tự động hoá giải pháp được nêu trong mục 2.1 và 2.2 đã nêu trên. Chương trình có giao diện đơn giản, dễ sử dụng với đầy đủ các tính năng như: định dạng NTFS, phân quyền truy cập thư mục tệp tin trên ổ đĩa cho người dùng, mã hoá BitLocker, thiết lập chính sách nhóm (group policy), chính sách bảo mật (Security Policy),… nhằm đơn giản hóa thao tác cho người sử dụng.
Chương trình tạo USB an toàn trên Windows có giao diện như Hình 17 với các thành phần chính như sau:
- Thanh tiêu đề;
- Các tùy chọn: Lựa chọn ổ đĩa; đặt nhãn USB;
- Các tùy chọn phân quyền Ổ đĩa và các Thư mục;
- Tùy chọn mã hóa;
- Các nút chức năng.
Chức năng chính của SafedUSB:
Hai chức năng chính tạo và bảo vệ USB an toàn:
- Phòng chống mã độc lây nhiễm vào USB.
- Mã hóa bảo vệ dữ liệu được lưu trữ trên USB.
Hình 17. Giao diện chương trình tạo USB an toàn
Bài viết này đã đưa ra một giải pháp khá đơn giản và hiệu quả trong việc sử dụng USB Flash an toàn trên Hệ điều hành Windows bằng cách áp dụng một số tính năng có sẵn của Windows như: định dạng NTFS, phân quyền truy cập thư mục tệp tin trên ổ đĩa cho người dùng, mã hoá BitLocker, thiết lập chính sách nhóm (Group Policy), chính sách bảo mật (Security Policy). Trên cơ sở đó, nhóm tác giả bài viết đã xây dựng một công cụ nhỏ gọn SafedUSB tạo USB an toàn có hai chức năng chính là phòng chống lây nhiễm mã độc vào USB và mã hoá bảo vệ dữ liệu được lưu trữ trên USB. Công cụ SafedUSB có thể chạy trên các phiên bản Windows được sử dụng phổ biến hiện nay (Windows 7/8/8.1/10). Độc giả có thể tải phần mềm SafedUSB thông qua đường link để sử dụng.
Trần Ngọc Anh
13:00 | 14/09/2021
07:00 | 06/12/2021
08:00 | 13/12/2021
11:00 | 29/07/2021
09:00 | 20/08/2021
09:00 | 24/11/2023
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
17:00 | 11/08/2023
Wireless Mesh Network là công nghệ mạng truyền thông đầy hứa hẹn với khả năng kết nối mạnh mẽ và ổn định, được ứng dụng trong nhiều lĩnh vực khác nhau. Trong số 1 (071) 2023 của Tạp chí An toàn thông tin, nhóm tác giả đã giới thiệu về cơ sở lý thuyết của Wifi Mesh. Để ứng dụng thực tiễn nền tảng này, trong bài báo dưới đây nhóm tác giả đề xuất một giải pháp thiết kế hệ thống giám sát độ nghiêng của thiết bị trong không gian ba chiều X, Y, Z sử dụng module ESP32 WROOM có tính năng truyền nhận dữ liệu bằng Wifi Mesh.
09:00 | 04/05/2023
Những năm gần đây, các ứng dụng sử dụng hệ thống IoT đang ngày càng phát triển bởi khả năng mềm dẻo trong thiết kế phần cứng và thu thập dữ liệu. Đồng hành cùng với sự thay đổi của các công nghệ mạng truyền dẫn, tín hiệu, Wifi Mesh đang trở thành một lựa chọn thực tế và phù hợp đối với các hệ thống IoT công nghiệp, thương mại điện tử. Thông qua bài báo này, nhóm tác giả sẽ giới thiệu về nền tảng công nghệ mạng Wifi Mesh, từ đó làm cơ sở cho việc ứng dụng để thiết kế hệ thống giám sát đo độ nghiêng sẽ được trình bày trong kỳ tới.
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024