Thứ Năm, 11 tháng 2, 2010

Các mẹo về an ninh PC cho các lãnh đạo doanh nghiệp

PC Security Tips for Corporate Executives

February 1, 2010, By Michael Horowitz

Theo: http://www.esecurityplanet.com/features/article.phpr/3861996/PC-Security-Tips-for-Corporate-Executives.htm

Bài được đưa lên Internet ngày: 01/02/2010

Lời người dịch: Bạn là lãnh đạo doanh nghiệp ư? Nếu bạn không muốn bị ăn cắp các thông tin bí mật của công ty, thì có một số cách đề làm đấy. Bài viết này sẽ khuyến cáo bạn các điều sau đây: (1) Nếu sử dụng Windows thì bạn phải không được là người quản trị (Administrator) mà hãy loại bỏ các quyền của bạn bằng DropMyRights; (2) Tuyệt đối không sử dụng Internet Explorer, có thể thay bằng Firefox; (3) Không nên sử dụng Adobe Acrobat Reader trên Windows; (4) Hãy bỏ cài đặt QuickTime, Java, Shockwave, Real Player, và bất kỳ phần mềm thông dụng nào khác mà nó là đặc biệt không cần thiết; (5) Vô hiệu hóa tính năng AutoRun/AutoPlay trên Windows nếu sử dụng các đầu USB; (6) Thay Adobe Flash bằng Firefox Flashblock; (7) Thay Microsoft Office bằng OpenOffice; (8) Sử dụng các ổ cứng ngoài có mã hóa toàn bộ ổ - không dùng các ổ gắn trên máy tính xách tay và để bàn; (9) Cẩn thận khi nhận tin từ bạn bè???. Còn bạn thì nghĩ thế nào? Tôi thì chỉ cần chọn thay thế Windows bằng GNU/Linux, ví dụ như Ubuntu, là đủ để tuân theo gần như tất cả những khuyến cáo ở trên, ... và còn hơn thế nữa.

Các cuộc tấn công gần đây chống lại Google và các công ty khác được nhận mạnh là các cuộc tấn công “phising đâm xiên”. Khái niệm này tham chiếu tới các thông điệp thư điện tử có mưu đồ bất lương được thiết kế để lừa đảo người nhận nhằm làm lây nhiễm máy tính của anh hoặc chị ta bằng các phần mềm độc hại.

Kết quả cuối cùng của chuyện giả mạo này, nằm trong nội dung của thông điệp thư điện tử, là việc người sử dụng bị đánh lừa hoặc viếng thăm một trang web bị lây nhiễm, hoặc mở một tài liệu lừa đảo độc hại, hoặc chạy một chương trình độc hại.

Không giống như các thư điện tử phising thông thường mà được thổi tới hàng triệu người, phising đâm xiên, như tên của nó ngụ ý, là có mục đích đặc biệt. Bất kỳ ai mà làm việc với các bí mật mà kẻ xỏ lá muốn, có thể được gửi một thông điệp thư điện tử có mục đích đặc biệt tới họ. Thông điệp này dường như là tới từ ai đó mà họ đã biết và chủ đề sẽ là thứ gì đó mà người gửi có thể muốn thảo luận một cách thông thường. Mọi thứ về thông điệp này là lừa đảo, bao gồm cả địa chỉ nơi gửi (From).

Sự giả mạo thành công, một phần, vì mọi người tin vào địa chỉ nơi gửi (From) của một thông điệp thư điện tử. Không ai muốn; việc giả mạo địa chỉ gửi From là trò chơi trẻ con. Nhưng, vì địa chỉ From là đúng 99% số lần và nhiều người không biết rằng nó là dễ dàng để giả mạo, nên điều này làm cho thông điệp phising đâm xiên vào cửa, thế mới phải nói.

Như tôi gần đây đã viết, khía cạnh quan trọng nhất của Điện toán Phòng vệ là sự nghi ngờ. Các lãnh đạo các công ty có thể nghi ngờ khi làm việc với mọi người, nhưng sự thiếu nhận thức về các mưu đồ bất lương thường thấy trực tuyến.

Chỉ ít ngày trước, Roger Thompson của AVG đã mô tả việc thâm nhập vào website của Ủy ban Thuế vụ Oklahoma. Để bị lây nhiễm, người sử dụng đầu cuối đơn giản đã đồng ý tới một thỏa thuận giấy phép của Adobe. Thỏa thuận này được coi là hợp pháp, nhưng nó là từ một bọn xỏ lá hơn là từ Adobe, và việc đồng ý với nó đã cài đặt vào phần mềm độc hại.

The recent attacks against Google and other companies highlighted "spear phishing" attacks. The term refers to scam e-mail messages designed to trick the recipient into infecting his or her own computer with malicious software (malware).

The end result of the phony yarn, spun in the body of an e-mail message, is that the duped user either visits an infected Web page, opens a maliciously crafted document, or runs a malicious program.

Unlike regular phishing e-mails that are blasted out to millions, spear phishing, as the name implies, is specifically targeted. Anyone that works with secrets that the bad guys want, may be sent an e-mail message targeted specifically at them. The message will appear to come from someone they know and the topic will be something that the sender would normally discuss. Everything about the message is fraudulent, including the From address.

The fraud is successful, in part, because people trust the From address of an e-mail message. No one should; forging the From address is child’s play. But, since the From address is correct 99% of the time and many don't know that it is easily forged, this gets the spear phishing message in the door, so to speak.

As I recently wrote, the most important aspect of Defensive Computing is skepticism. Corporate executives may be skeptical when dealing with people, but lack awareness of common online scams.

Just a few days ago, Roger Thompson of AVG described the hacking of the Oklahoma Tax Commission Website. To be infected, the end user simply had to agree to an Adobe license agreement. The agreement looked legit, but it was from bad guys rather than Adobe, and agreeing to it installed malware.

Ở đây tôi giả thiết chúng ta đang thiết lập cấu hình cho một máy tính cho ai đó bằng việc truy cập tới các bí mật của doanh nghiệp, ai đó mà sự thiếu hụt của họ về kiến thức kỹ thuật làm cho họ thành một mục tiêu dễ dàng cho những kẻ bất lương trực tuyến. Những bước nào chúng ta có thể nắm để tự họ bảo vệ được những người này?

Những người sử dụng bị hạn chế

Việc chạy như một người sử dụng bị hạn chế (bị hạn chế hoặc theo tiêu chuẩn) là việc đầu tiên. Vì lợi ích của tính tương thích ngược của những người sử dụng Windows, mặc định, chạy như là những người quản trị [hệ thống], mà nó cho phép họ thay đổi mọi thứ, mọi lúc, mọi nơi. Bất chấp hành vi mặc định này, Microsoft khuyến cáo, và tất cả dân kỹ thuật đều đồng ý, rằng mọi người sẽ an toàn hơn nếu chạy như những người sử dụng bị hạn chế.

Những người sử dụng Windows Vista và 7 có thể cảm thấy rằng UAC bảo vệ họ, ngay cả khi đã đăng nhập vào như một người quản trị. Nó không phải thế.

Tôi đã từng kiểm thử cả một đời như một người sử dụng bị hạn chế đôi lúc trên cả Windows XP và 7. Nó làm việc tốt hơn trên Windows 7; XP có một số thoái thác trong triển khai. Nhưng dù có bất kỳ thoái thác nào, điều này có lẽ là vũ khí lớn nhất trong kho vũ khí của phần mềm Điện toán Phòng vệ. Việc ôm những con bộ khốc liệt trong Windows, nó sẽ ngăn ngừa sự cài đặt của bất kỳ phần mềm nào (giả thiết cú đánh không được đưa ra một mật khẩu nào của người quản trị).

Nếu, vì bất kỳ lý do gì, việc chạy như một người sử dụng bị hạn chế đều không phải là một lựa chọn, thì những người sử dụng Windows XP vẫn có thể có được sự bảo vệ tốt nhất mà nó đưa ra với chương trình DropMyRights (hãy bỏ đi các quyền của tôi). Chương trình này của Microsoft được sử dụng để nổi lên trên một chương trình khác và bỏ đi các quyền của nó. Ví dụ, một người sử dụng trong nhóm người quản trị (Administrator) có thể nháy lên một biểu tượng cho Adobe Reader, mà thực sự chạy DropMyRights. Nó, tới lượt, chạy Adobe Reader, nhưng chỉ sau khi việc bỏ các quyền đối với những người sử dụng bị hạn chế. Vì thế, nếu một tệp PDF bị lây nhiễm cố gắng cài đặt phần mềm, nó sẽ thất bại.

Tôi đã viết trên blog về DropMyRights rất nhiều vào mùa hè năm 2007 (xem Mỗi người sử dụng Windows XP phải bỏ các quyền của họ).

Việc chạy như một người sử dụng bị hạn chế tuy nhiên không ngăn cản được phần mềm độc hại chạy, chỉ không chạy được ra ngoài các thư mục nào đó (và từ việc được cài đặt vĩnh viễn). Cần nhiều bước hơn nữa.

Here I assume we are configuring a computer for someone with access to corporate secrets, someone whose lack of technical know-how makes them an easy target for online scammers. What steps can we take to protect this person from themselves?

Restricted Users

Running as a limited (a.k.a. restricted or standard) user is job one. For the sake of backward compatibility Windows users, by default, run as Administrators, which lets them change anything, anytime, anywhere. Despite this default behavior, Microsoft recommends, and all techies agree, that people are safer running as limited users.

Windows Vista and 7 users may feel that UAC protects them, even when logged on as an administrator. It does not.

I've been testing life as a restricted user for a while on both Windows XP and 7. It works better on Windows 7; XP has a number of quirks in the implementation. But regardless of any quirks, this is perhaps the biggest weapon in the Defensive Computing software arsenal. Barring severe bugs in Windows, it should prevent the installation of any software (assuming the bigshot is not given an Administrator password).

If, for whatever reason, running as a limited user is not an option, Windows XP users can still get most of the protection it offers with the free DropMyRights program. This Microsoft program is used to front-end another program and drop its rights. For example, an Administrator class user can click on an icon for the Adobe Reader, which actually runs DropMyRights. It, in turn, runs the Adobe Reader, but only after dropping the rights down to those of a limited user. Thus, if an infected PDF file tries to install software, it fails.

I blogged about DropMyRights extensively in the summer of 2007 (see Every Windows XP user should drop their rights).

Running as a limited user however does not prevent malicious software from running, just from running out of certain folders (and from being permanently installed). More steps are needed.

Internet Explorer

Tôi thỉnh thoảng gặp chuyên gia về an ninh Steve Gibson để bàn về tình hình Điện toán Phòng vệ, mà cuối cùng đã gặp được.

Không Internet Explorer gì nữa cả

Chỉ nói không. Các bạn không để các bạn sử dụng Internet Explorer.

Một phần điều này là không công bằng đối với Microsoft, khi mà IE không nhất thiết có lỗi nhiều hơn so với các trình duyệt cạnh tranh khác. Nhưng nó là đủ lỗi, và nó có một mục tiêu khổng lồ được bôi trên lưng nó.

Cộng với việc, Microsoft làm cho tình trạng tồi tệ còn tồi tệ hơn bằng việc chậm sửa các lỗi. Nếu không vì lý do gì khác lý do này, thì bất kỳ trình duyệt web nào khác cũng là an toàn hơn IE.

Các trình duyệt khác được cập nhật với các sửa lỗi khi chúng là cần thiết. IE phải sống trong một sự quan liêu khổng lồ mà bức chế nó chỉ có được cập nhất một lần trong tháng. Nó tạo ra những dòng trên trang nhất khi IE được vá khi cần, ngược lại so với được theo lịch. Không tốt cho an ninh.

Bổ sung vào sự chậm trể vá IE là việc vá này bị ép chỉ một lần trong tháng theo lịch, Microsoft có một lịch sử chỉ luôn chậm trễ.

Ví dụ, lỗi của IE mà đã bị khai thác gần đây để tấn công Google và các công ty khác đầu tiên được gọi là chỗ bị tổn thương ngày số 0; thuật ngữ của dân kỹ thuật cho một lỗi mới được phát hiện. Hóa ra là nó không phải là lỗi ngày số 0 gì cả, mà đã là 120 ngày rồi. Microsoft đã được cảnh báo về vấn đề này 4 tháng trước khi nó bị khai thác trên Google.

Và chúng ta vẫn còn chưa làm được với các vấn đề của IE. Computerworld nói rằng các lỗi thiết kế trong trình duyệt này có thể làm cho nó mở toang toàn bộ ổ C: ổ.

không có thứ nào như vậy như là việc loại bỏ Internet Explorer, nhưng chúng ta có thể dấu nó.

Đầu tiên, hãy khóa nó tốt nhất có thể. Trên tab Security - An ninh (của Internet Options) hãy thiết lập Internet và các vùng intranet cục bộ (Local) về an ninh cao. Hãy bật chế độ bảo vệ và DEP (lưu ý là DEP đòi hỏi hỗ trợ đi kèm trong cả vi xử lý và BIOS).

Rồi bỏ tất cả các dấu hiệu có thể nhìn thấy được của Internet Explorer. Hãy loại bỏ nó khỏi màn hình, thanh công cụ, và núm Start. Vẫn còn đó, chỉ bây giờ cách duy nhất để chạy nó là chuyển tới C:Program FilesInternet Exploreriexplore.exe

Internet Explorer

It took security expert Steve Gibson a while to come around to my Defensive Computing posture, but he finally did.

No more Internet Explorer.

Just say no. Friends don't let friends use Internet Explorer.

In part this is unfair to Microsoft, as IE is not necessarily any buggier than competing browsers. But it is buggy enough, and it has a huge target painted on its back.

Plus, Microsoft makes a bad situation worse by being slow to fix bugs. If for no other reason than this, any other Web browser is safer than IE.

Other browsers are updated with bug fixes when they are needed. IE has to live in a huge bureaucracy that dictates it only gets updated once a month. It makes headlines when IE is patched when needed, as opposed to on schedule. Not good for security.

In addition to the slow IE patching imposed by the once-a-month schedule, Microsoft has a history of just being slow.

For example, the IE bug that was exploited recently to attack Google and others was initially called a zero-day vulnerability; techie terminology for a newly discovered bug. It turns out not have been zero day at all, more like 120 days. Microsoft was alerted to the problem four months before it was exploited on Google.

And, we're still not done with IE issues. Computerworld reports that design flaws in the browser can let it expose the entire C: disk.

There is no such thing as removing Internet Explorer, but we can hide it.

First, lock it down as best as possible. On the Security tab (of Internet Options) set the Internet and Local intranet zones to high security. Turn on protected mode and DEP (note that DEP requires companion support in both the processor and BIOS).

Then get rid of all visible signs of Internet Explorer. Remove it from the desktop, task bar, and the Start button. It's still there, only now the only way to run it is to navigate to

C:Program FilesInternet Exploreriexplore.exe

Firefox và Adobe Reader

Thay chỗ cho Internet Explorer, tôi gợi ý Firefox; không có thông tin ở đây. Nhưng, nếu cần một vài sự khắc phục của máy.

Vặn vẹo về an ninh tuyệt vời đối với Firefox là để ép thanh địa chỉ chuyển sang màu xanh lá cây trên tất cả các trang web an ninh HTTPS. Sẽ không khó để huấn luyện bất kỳ ai rằng màu xanh lá cây là an toàn và bất kỳ màu gì khác là không an toàn. Sự vặn vẹo này được thực hiện bằng việc sửa một tệp được gọi là userchrome.css. Hãy xem “Làm cho Firefox trên các trang web an ninh biến thành màu xanh lá cây”.

Khả năng khác là việc sử dụng phiên bản mang xách được của Firefox hơn là một bản sao được cài đặt bình thường. Điều này không chỉ cho phép một người sử dụng được hạn chế/bị hạn chế/tiêu chuẩn cập nhật được trình duyệt với các bản vá mới, mà nó còn làm cho phần mềm khó hơn để tìm bởi bất kỳ phần mềm độc hại nào muốn lây nhiễm cho nó.

Một chương trình khác mà tôi muốn cấm đối với bất kỳ ai trên máy tính có liên quan tới các bí mật của công ty là Adobe Acrobat Reader.

Giống như Internet Explorer, Adobe Reader có một mục tiêu lớn được bôi trên nó. Nó cũng từng là rất nhiều lỗi qua vài năm nay. Tại một thời điểm, Adobe nghĩ là ý tưởng tốt chỉ đưa ra những sửa lỗi mỗi 3 tháng một. Và thủ tục này cho việc cập nhật phần mềm là kho hơn là nó cần phải có.

Bổ sung thêm cho bản thân Reader, Adobe cài đặt 2 chương trình mà chúng chạy bất kỳ khi nào Windows khởi động, mà là một tai nạn chờ để xảy ra. Trên thực tế, chỉ cần huơ chuột qua tên của một tệp PDF làm cho một chương trình Adobe (AcroRd32Info.exe) chạy, không cần nháy chuột. Điều này đúng ngay cả nếu Adobe Reader không là chương trình mặc định cho việc mở các tệp PDF (được thử trên Windows XP với Adobe Reader 8.2.0). Tất cả những thứ này quá là bừa bãi đối với tôi.

Có nhiều độc giả PDF khác, bất kỳ ai trong số đó cũng sẽ là một mục tiêu nhỏ hơn. Tôi sử dụng một tứ từ Foxit Software. Nó không làm mọi thứ mà Adobe Reader làm, nhưng nó là đủ cho hầu hết mọi người.

Nếu, vì một vài lý do, Adobe Reader không thể bỏ cài đặt được, thì ít nhất đừng có làm cho nó thành một chương trình mặc định cho việc mở các tập PDF, và phải chắc chắn tắt Javascript đi.

Firefox and Adobe Reader

In place of Internet Explorer, I suggest Firefox; no news here. But, it does need some work out of the box.

A great security tweak to Firefox is to force the address bar to turn green on all secure HTTPS Web pages. It shouldn't be hard to train anyone that green is safe and anything else is not. This tweak is done by editing a file called userchrome.css. For more see "Make Firefox flag secure web pages as green."

Another possibility is using the portable version of Firefox rather than a normally installed copy. Not only does this allow a limited/restricted/standard user to update the browser with new patches, it also makes the software harder to find by any malware looking to infect it.

Another program that I'd ban from the computer of anyone involved with corporate secrets is Adobe Acrobat Reader.

Like Internet Explorer, the Adobe Reader has a big target painted on it. It has also been rather buggy over the last couple years. At one point, Adobe thought it was a good idea to only issue bug fixes every three months. And the procedure for updating the software is harder than it needs to be.

In addition to the Reader itself, Adobe installs two programs that run every time Windows starts, which is an accident waiting to happen. In fact, simply hovering the mouse over the name of a PDF file causes an Adobe program(AcroRd32Info.exe) to run, no clicking required. This is true even if the Adobe Reader is not the default program for opening PDFs (tested on Windows XP with Adobe Reader 8.2.0).

It's all just too intrusive for my taste.

There are many other PDF readers, any one of which will be a lesser target. I use the one from Foxit Software. It doesn't do everything that Adobe Reader does, but it should be enough for almost everyone.

If, for some reason, Adobe Reader can't be un-installed, then at least don't make it the default program for opening PDFs, and be sure to turn off Javascript.

Các vấn đề khác của phần mềm

Nhiều năm các virus đã lan truyền trên các ổ USB và chúng tiếp tục làm như vậy. Windows 7 là bị khóa nhiều hơn về khía cạnh này so với XP, nhưng nó cũng không phải là thứ tránh được đạn. Tin tốt lành là với một nâng cấp đơn giản cho phần đăng ký (registry), bạn có thể bảo vệ 100% khỏi tất cả các chỗ có khả năng bị tổn thương của Autorun/AutoPlay. (Tôi đã viết điều này năm ngoái: “Cách tốt nhất để vô hiệu hóa Autorun để bảo vệ các ổ USB khỏi bị lây nhiễm”).

Trong khi Internet Explorer và Adobe Reader là những ứng dụng bị nhắm tới thường xuyên nhất, thì bọn xỏ lá cũng khai thác các phần mềm thông dụng khác. Vì thế, phần mềm càng ít được cài đặt càng tốt. Với điều đó trong đầu, tôi có thể bỏ cài đặt QuickTime, Java, Shockwave, Real Player, và bất kỳ phần mềm thông dụng nào khác mà nó là đặc biệt không cần thiết.

Flash là một lựa chọn khó. Vì nó là phổ biến, mà bạn có thể mong đợi bọn xỏ lá sẽ khai thác những chỗ có thể bị tổn thương được biết tới như chúng đã được phát hiện ra. Nhưng, nó cũng thường xuyên cần tới. Như một sự thỏa hiệp, hãy xem xét trình mở rộng của Firefox là Flashblock.

Nó làm việc bằng việc khóa các đối tượng của Flash trên các trang web và thay thế chúng bằng các ô trống. Nếu một đối tượng Flash nào đó đặc biệt cần tới, tất cả thứ bạn cần làm là nháy lên nó để chạy nó. Như tôi viết về điều này, trình mở rộng Flashblock từng được tải về gần 8 triệu lần.

Có lẽ vua của các phần mềm phổ biến là Microsoft Office. Hãy coi việc thay thế nó bằng OpenOffice, một lần nữa, theo lý thuyết, là phần mềm ít bị làm mục tiêu hơn.

OpenOffice không hoạt động như Microsoft Office, nhưng đối với những dân không kỹ thuật, như những người của các công ty, thì nó phải là đủ tính năng.

Bạn có biết rằng lỗi gần đây trong Internet Explorer, lỗi mà nó là nguy cấp tới mức là Microsoft đã tung ra một bản sửa ngay lập tức mà không chờ tới ngày thứ ba của tuần thứ 2 của tháng, cũng đã lây nhiễm cho Microsoft Office không? Điều này báo chí không nói tới nhiều. Đây là những lời của chính Microsoft:

Chúng tôi cũng nhận thức được rằng chỗ có thể bị tổn thương này có thể bị khai thác bằng việc đưa vào một kiểm soát ActiveX trong một tệp của Microsoft Access, Word, Excel, hoặc PowerPoint. Các khách hàng có thể mở phải một tệp độc hại vá sẽ bị rủi ro về sự khai thác. Để ngăn ngừa sự khai thác, chúng tôi khuyến cáo các khách hàng vô hiệu hóa các kiểm soát ActiveX trong Microsoft Office.

Hỗ trợ cho các kiểm soát Active X trong các tài liệu Office là một tai nạn về an ninh chờ để xảy ra. Tôi đọc những chỉ lệnh cho việc vô hiệu hóa các kiểm soát ActiveX trong Microsoft Office 2003. Chúng là rất lộn xộn, tôi không thể làm theo chúng được. Thứ an toàn nhất để làm là thay thế Microsoft Office bằng phần mềm cạnh tranh với nó.

Other software issues

For years viruses have spread on USB flash drives (a.k.a. pen drive, thumb drive, etc.) and they continue to do so. Windows 7 is more locked down in this respect than XP, but it is not bullet-proof.

The good news is that with a simple update to the registry, you can offer 100% protection from all Autorun/AutoPlay vulnerabilities. (I wrote about this last year: "The best way to disable Autorun for protection from infected USB flash drives.")

While Internet Explorer and Adobe Reader are the most frequently targeted applications, bad guys also exploit other popular software. Thus, the less software installed the better. With this in mind, I would un-install QuickTime, Java, Shockwave, Real Player, and any other popular software that is not absolutely needed.

Flash is a difficult choice. Because it's popular, you can expect bad guys to exploit known vulnerabilities as they are discovered. But, it's also needed frequently. As a compromise, consider the Flashblock Firefox extension.

It works by blocking Flash objects on Web pages and replacing them with placeholders. If a particular Flash object is needed, all you need do is click on it to run it. As I write this, the Flashblock extension has been downloaded nearly 8 million times.

Perhaps the king of popular software is Microsoft Office. Consider replacing it with Open Office, the theory being, again, software that is a lesser target.

Open Office is not as functional as Microsoft Office, but for non-techies, such as corporate bigshots, it should be functional enough.

Did you know that the recent bug in Internet Explorer, the one that was so critical that Microsoft released an immediate fix without waiting for the second Tuesday of the month, also affected Microsoft Office? This didn't get much press. In Microsoft's own words:

We are also aware that the vulnerability can be exploited by including an ActiveX control in a Microsoft Access, Word, Excel, or PowerPoint file. Customers would have to open a malicious file to be at risk of exploitation. To prevent exploitation, we recommend that customers disable ActiveX Controls in Microsoft Office.

Support for ActiveX controls in Office documents is a security accident waiting to happen. I read the instructions for disabling ActiveX controls in Microsoft Office 2003. They were so confusing, I couldn't follow them. The safest thing to do is replace Microsoft Office with competing software.

Mã hóa phần cứng

Về phía phần cứng, tôi có 2 gợi ý. Đầu tiên, hãy thiết lập mật khẩu cho ổ cứng trong máy tính. Điều này phải là một thứ đơn giản để làm và các mật khẩu của ổ cứng là an ninh hơn so với cả các mật khẩu khởi động ở mức BIOS lẫn các mật khẩu của hệ điều hành. Hãy xem “Các mật khẩu cho ổ đĩa cứng đưa ra an ninh tuyệt vời một cách tự do”.

Mã hóa tốt nhất là, còn tranh cãi, mã hóa toàn bộ đĩa và nếu một lãnh đạo nào đó có những tệp nhạy cảm trên máy tính của mình, thì điều này là có ý nghĩa. Nhưng, các tệp nhạy cảm phải không bị giữ trên một máy tính xách tay hoặc máy tính để bàn. chúng sẽ được lưu trữ tốt nhất trên một ổ đĩa ngoài, một khi nó có thể du lịch với người quan trọng tới những nơi mà một máy tính không thể đi.

2 ổ cứng được mã hóa, ổ cứng an ninh USB của ThinkPad của Lenovo và Aegis Padlock, đứng ra mà không cần bất kỳ phần mềm nào chạy trên bất kỳ máy tính nào; vì thế chúng có thể làm việc với các máy tính chạy Windows, OS X hoặc Linux.

Mỗi ổ có sẵn các núm mà chúng được sử dụng để gõ vào mật khẩu. Cho tới khi một mật khẩu đúng được gõ vào, thì máy tính không thể thấy bất kỳ thứ gì trong ổ đĩa. Sau khi kiểm tra tính đúng đắn của mật khẩu, các ổ này làm việc như là các ổ cứng được giải mã. Máy tính hoàn toàn không nhận thức được về sự mã hóa. Đối với người sử dụng, không phải học gì, chỉ một mật khẩu.

Một ưu điểm lớn khác cho một ổ đĩa cứng ngoài được mã hóa là việc nó có thể dễ dàng và nhanh chóng được khóa chỉ bằng việc rút nó khỏi máy tính.

Hardware encryption

On the hardware side, I have two suggestions. First, set a password for the hard drive in the computer. This should be a simple thing to do and hard drive passwords are more secure than both BIOS level startup passwords and operating system passwords. For more see, "Hard disk passwords offer great security for free."

The best encryption is, arguably, full disk encryption and if an executive has sensitive files on her computer, this might make sense. But, sensitive files should not be kept on a laptop or desktop computer. They are best stored on an external hard drive, one that can travel with the bigshot to places that a computer can't go.

Two encrypted hard drives, the Lenovo ThinkPad USB Secure Hard Drive and the Aegis Padlock, stand out for not needing any software running on any computer; thus they can work with computers running Windows, OS X, or Linux.

Each has built-in buttons that are used to enter a password. Until a valid password is given, the computer can't see anything on the drive. After the password is validated, the drives work like normal un-encrypted hard drives. The computer is totally unaware of the encryption. For the user, there is no learning curve, just a password.

Another big advantage to an external encrypted hard drive is that it can be easily and quickly locked just by unplugging it from the computer.

Khai thác các bạn bè

Liệu tất cả những thứ này có nhiều rắc rối không? Tôi đang đối phó quá mức chăng?

Hoạt động mà Google đã phát hiện vào cuối năm 2009 là rất tinh vi phức tạp. Tờ Thời báo Tài chính đã chỉ nói rằng “những người bạn cá nhân của các nhân viên tại Google, Adobe, và các công ty khác là những mục tiêu của các tin tặc”.

Các bạn bè ư? Bài viết này của Joseph Menn, nói

“… bọn tin tặc đã lựa chọn các nhân viên tại các công ty với sự truy cập tới các dữ liệu sở hữu độc quyền, rồi đã nghiên cứu xem ai là bạn bè của họ. Các tin tặc đã làm tổn thương các tài khoản mạng xã hội của những người bạn này, hy vọng để cải thiện tính khả thi mà các mục tiêu cuối cùng của họ có thể nháy vào những đường liên kết mà họ gửi”.

OK.

Exploiting friends

Is all this too much trouble? Am I over reacting?

The operation that Google uncovered at the end of 2009 was very sophisticated. The Financial Times just reported that "personal friends of employees at Google, Adobe, and other companies were targeted by hackers."

Friends? The article, by Joseph Menn, says

...the attackers had selected employees at the companies with access to proprietary data, then learnt who their friends were. The hackers compromised the social network accounts of those friends, hoping to enhance the probability that their final targets would click on the links they sent."

Yikes.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.