Ngày qua ngày, chúng ta sử dụng máy tính hay smartphone và tương tác rất nhiều với hệ điều hành. Nhưng nhiều người vẫn không rõ lắm về khái niệm này.
Hệ điều hành là gì ?
Hệ điều hành về cơ bản, nó là phần nằm giữa phần cứng và phần mềm. Chúng ta vẫn làm việc với rất nhiều phần mềm mỗi ngày như Office, Skype hay Chrome… Có một vấn đề là phần mềm thì không thể tương tác trực tiếp tới phần cứng như CPU, RAM… Nó cần có một hệ điều hành để điều phối trung gian.
Hình ảnh dưới đây cho thấy thị phần các hệ điều hành mà chúng ta vẫn thường hay sử dụng như Windows, Android, iOS…
Dễ thấy rằng, hệ điều hành nào cũng đều có rất nhiều đối tượng cần phải bảo mật. Ví dụ như trên điện thoại, chúng ta có rất nhiều dữ liệu nhạy cảm như: dữ liệu chat, ảnh, email, password được lưu trên trình duyệt, thậm chí là ứng dụng ebanking… Tương tự như trên máy tính, cũng có rất nhiều dữ liệu nhạy cảm tương tự cần phải bảo mật.
Yêu cầu về bảo mật
Do đặc điểm dữ liệu thay đổi theo từng đối tượng người dùng hoặc loại hình sử dụng, nhưng khi đề cập tới bảo mật, thì tam giác bảo mật dưới đây luôn được đề cập tới dù ở bất kỳ đâu.
Confidentiality: Tính bí mật
Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính…) được cấp phép.
Integrity: Tính toàn vẹn
Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi.
Availability: Tính sẵn sàng
Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn.
Dữ liệu có thể được coi là đạt yêu cầu về bảo mật khi đạt được 3 yếu tố này.
Một số ví dụ phổ biến về bảo mật hệ điều hành
Xác thực và mật khẩu yếu
Xác thực là phương thức để kiểm tra danh tính của một đối tượng, có thể là trên một hệ thống cục bộ hay từ xa. Xác thực có thể đạt được thông qua các yếu tố sau:
- Something you know: là cái gì đó chỉ bạn biết: ví dụ như password hay mã PIN
- Something you are: là cái mà chỉ bạn có: ví dụ như vân tay, hay liên quan tới sinh trắc học
- Something you have: là cái gì đó mà chỉ bạn có: ví dụ một cái điện thoại kèm sim của bạn và bạn sẽ nhận OTP trên đó
Password là hình thức xác thực phổ biến nhất, và nó cũng bị hack nhiều nhất. Thậm chí nhiều người còn sử dụng mật khẩu yếu và dễ đoán kiểu như 123456. Chưa hết, thậm chí họ còn sử dụng chung trên nhiều website khác nhau. Một số khác thì dùng những đặc điểm cá nhân làm password, ví dụ như ngày sinh, tên người thân, vật nuôi… Họ nghĩ những mật khẩu như vậy vừa dễ nhớ lại vừa khó đoán. Nhưng thật ra thì những kẻ tấn công cũng đã nhận biết được thói quen này.
Bạn có thấy kinh ngạc không khi sau nhiều năm, thói quen đặt password vẫn không hề thay đổi ?
Khi kẻ tấn công đoán được mật khẩu của bất kỳ tài khoản nào của bạn. Chúng đều có thể chiếm quyền truy cập thậm chí cả các tài khoản khác nữa. Do đó cách tốt nhất để chống lại điều này là đặt mật khẩu thật phức tạp cùng xác thực 2 bước (2FA) nếu có.
Phân quyền dữ liệu yếu
Luôn cần tuân thủ nguyên tắc “Least Privilege” – nghĩa là ít quyền nhất có thể. Ở môi trường doanh nghiệp, bạn cần đảm bảo người dùng không thể vào chéo dữ liệu của nhau. Ở môi trường cá nhân, chúng ta cũng cần chú ý chỉ chia sẻ dữ liệu tới những người liên quan, thay vì chia sẻ một cách public. Khi cần kiểm tra hãy nhớ “ai ? có thể truy cập cái gì ?”
Phân quyền yếu kém là ảnh hưởng tới tính bí mật và toàn vẹn của dữ liệu. Người ta sẽ có thể truy cập được dữ liệu mà họ không có quyền rồi sửa đổi nó làm ảnh hưởng tới tính toàn vẹn.
Truy cập tới các chương trình độc hại
Hãy nhớ tới tam giác bảo mật, tùy vào đặc thù của chương trình độc hại mà nó có thể tấn công vào từng yếu tố riêng biệt: tính bí mật, toàn vẹn hay sẵn sàng.
Như Trojan horse chẳng hạn, nó cho phép người tấn công quyền truy cập vào hệ thống. Hậu quả là họ có thể đọc dữ liệu và thay đổi nó.
Vài kiểu phần mềm độc hại khác, ví dụ như ransomware – là loại virus mã hóa dữ liệu người dùng. File mã hóa sẽ không thể đọc được nếu không biết mật khẩu giải mã hãy nói một cách nghiêm trọng hơn file đã đi vào cánh cửa hư vô – nếu không được giải mã. Cả 3 yếu tố bảo mật đều bị xâm phạm và có thể dẫn đến hư hỏng dữ liệu vĩnh viễn nếu họ không trả tiền :)
