Làm thế nào để bảo mật thông tin khi kết nối qua mạng Wifi công cộng?

14:34 | 02/07/2015

Đến nay, hầu hết người dùng có quan tâm đến vấn đề bảo mật đều biết rằng truy cập internet qua mạng Wifi mở ở các điểm công cộng như quán cafe, sân bay…là khá nguy hiểm. Thông tin trao đổi qua đó có thể bị nghe lén và đôi khi, kẻ xấu còn chiếm quyền kiểm soát các phiên làm việc của bạn. Tuy nhiên, hầu hết các chuyên gia chỉ cảnh báo chứ không hướng dẫn người dùng cách sử dụng mạng Wifi mở một cách an toàn.



Các website lớn như Twitter và Google đã sử dụng SSL một cách rộng rãi để bảo vệ người dùng. Để được bảo vệ toàn diện hơn, nhiều người lựa chọn sử dụng mạng riêng ảo (VPN). Phần lớn những người dùng VPN sử dụng dịch vụ do công ty của họ cung cấp. Nhưng cũng có những dịch vụ công cộng như Freedome của F-Secure hay HideMyAss của Privax. Qua VPN, tất cả mọi thông tin đi/đến máy người dùng đều được mã hóa – dù website người dùng truy cập có sử dụng SSL hay không. Ngay cả nếu điểm truy cập Wifi bị kẻ xấu kiểm soát thì chúng cũng không thể đọc được dữ liệu của người dùng, thậm chí không biết những địa chỉ mà người dùng truy cập – điều chúng có thể biết nếu bạn dùng SSL qua mạng Wifi mở.

Nhưng vẫn có một lỗ hổng trong cách làm này và nó luôn tồn tại. Người dùng không thể kết nối với VPN khi chưa vào được Internet, và kết nối VPN không thể thiết lập ngay lập tức. Trong phần lớn các điểm truy cập Wifi công cộng, người dùng sẽ được kết nối tự động với mạng nhưng buộc phải mở trình duyệt để vào “cổng truy cập” do router cung cấp để nhập mã định danh và nhấn nút chấp nhận điều khoản dịch vụ (Terms of Service). Trong thời gian chờ kết nối với VPN, các phần mềm trên máy người dùng có thể đã “nhanh nhẹn” sử dụng kết nối internet để làm việc. 

Người dùng dùng một phần mềm e-mail client POP3 hay IMAP? Phần mềm đó có thể đã gửi thông tin người dùng/mật khẩu và truyền nhận số lượng lớn thư qua mạng Wifi. Các phần mềm trò chuyện (instant messaging) cũng có thể đã kết nối ngay mà không đợi đến khi bạn nối vào VPN. Larry Seltzer – cựu tổng biên tập của BYTE, Dark Reading và Network Computing tại UBM Tech – đã thử điều này tại một cửa hàng Starbucks với Google Wifi trong khi chạy Wireshark. Hàng ngàn gói tin đã được gửi đi và đến trên mạng mở trước khi có kết nối VPN. Ngay cả nếu phần mềm trên máy người dùng được cấu hình để dùng HTTPS thì vẫn có nguy cơ các tấn công kiểu SSLStrip lừa các phần mềm đó chuyển sang kết nối HTTP.

Khoảng thời gian rất ngắn, có thể chỉ vài giây/vài chục giây, cũng đã đủ khiến cho những thông tin giá trị như tên người dùng/mật khẩu bị tiết lộ. Hãy thử chạy các công cụ giám sát mạng như TCPView của Microsoft (trên Windows) hay Little Snitch (trên Mac) trước khi kết nối Internet để thấy những gì xảy ra trong những giây đầu tiên ấy. Thông tin có thể được mã hóa qua giao thức SSL nhưng các chi tiết về cấu hình hệ thống vẫn có thể bị lộ và được dùng cho các cuộc tấn công sau này.

Đó là chưa kể đôi khi kết nối VPN bị lỗi. Theo cấu hình mặc định trên phần lớn các hệ điều hành, trong trường hợp đó các ứng dụng sẽ chuyển về kết nối Wifi mở. Đừng vội quy trách nhiệm cho các nhà cung cấp VPN công cộng. VPN mà các tổ chức cung cấp cho nhân viên của họ cũng gặp vấn đề ý như thế, trừ khi họ tìm cách cấu hình như hướng dẫn dưới đây.

Shaun Murphy, người sáng lập PrivateGiant (www.privategiant.com) – công ty tạo ra các sản phẩm bảo vệ an ninh và bí mật cá nhân cho các trao đổi trực tuyến, đề xuất việc sử dụng một phần mềm tường lửa, có thể là loại đi kèm với hệ điều hành hay phần mềm của hãng thứ ba đều được: Biện pháp cơ bản là chặn tất cả các kết nối từ trong ra và từ bên ngoài vào trên mạng công cộng, chỉ trừ một ngoại lệ duy nhất là trình duyệt mà bạn dùng để nối vào “cổng truy cập Wifi”. Trình duyệt đó nên là công cụ duy nhất bạn dùng cho mục đích này (nối vào “cổng truy cập Wifi”) và có thể là một duyệt web để đọc tin (nhưng không được bao gồm truy cập thư điện tử, mạng xã hội hay bất cứ hoạt động nào có thể để lộ thông tin định danh cá nhân). Dùng tường lửa đó để thiết lập một hồ sơ/vùng cho kết nối VPN – nơi các trao đổi vào/ra ít bị hạn chế hơn (nên chặn các kết nối ra ngoài theo mặc định và bổ sung từng ứng dụng khi cần, người dùng sẽ ngạc nhiên khi biết có bao nhiêu ứng dụng đòi quyền kết nối ra ngoài). Cách làm này khiến cho tất cả các ứng dụng email client, trình duyệt web và các ứng dụng khác trở nên vô hiệu khi người dùng chưa kết nối vào VPN.

Sean Sullivan, nhà tư vấn bảo mật tại F-Secure, cũng đưa ra lời khuyên giống như vậy cùng với một bổ sung đáng giá " Người dùng nên mở trình duyệt (để nối vào “cổng truy cập Wifi”) ở chế độ an toàn ('safe mode') với các trình cắm (plugins) được vô hiệu hóa".

Việc cấu hình phần mềm tường lửa trên PC để chặn các kết nối “phi VPN” không phải là việc đơn giản. Điều đó thay đổi tùy theo từng hệ điều hành, từng phần mềm tường lửa khác nhau và thậm chí không thực hiện được trên Windows 8.1. Với hệ điều hành Windows, các bước cần thực hiện như sau:

- Kết nối vào VPN mà bạn lựa chọn theo quy trình thông thường.

- Trong mục Network and Sharing Center của Control Panel, đặt kết nối VPN connection vào loại Public network và các mạng Wifi công cộng vào loại Home hay Office (tốt nhất là Home). (Trong Windows 8 và các phiên bản mới hơn, thiết lập thứ hai có thể khá phức tạp trừ khi kết nối mạng được tạo mới, do Windows 8.x không cung cấp giao diện người dùng cho việc thay đổi location type - bạn sẽ không thể làm được nếu người dùng không xóa và tạo lại tất cả các kết nối mạng)

- Cuối cùng, trong mục Windows Firewall của Control Panel, chuyển tới Advanced Settings. Tạo một luật chặn tất cả các ứng dụng thiết lập kết nối trên các mạng Public. Sau đó tạo một luật cho phép chương trình VPN và trình duyệt bạn định dùng để nối vào “cổng truy cập Wifi” thiết lập kết nối trên các mạng Public. Các luật trên cần được áp dụng cho cả kết nối vào và ra.

BolehVPN của Hong Kong đã cung cấp các hướng dẫn chi tiết cho việc sử dụng Windows Firewall trên Windows 7 để thực hiện quy trình khái quát trên (https://bolehvpn.net/blocking-non-vpn-traffic.php). Với hệ điều hành Mac, người dùng có thể làm tương tự với tường lửa Little Snitch (http://asciithoughts.com/posts/2014/02/15/using-little-snitch-to-prevent-internet-access-without-vpn/).

Việc cấu hình khá phức tạp và mất thời gian, đó là cấu hình chỉ dùng cho các mạng Wifi mở. Nếu truy cập các mạng Wifi có mã hóa WPA2 thì có lẽ không nên tốn công sử dụng VPN (để đỡ ảnh hưởng đến tốc độ truy cập).