15 cách bảo vệ tránh rủi ro bảo mật trong Mac

15 cách bảo vệ tránh những

rủi ro bảo mật trong Mac

– Một trong những ưu điểm được quảng cáo rầm rộ trong việc sử

dụng Mac là tính bảo mật cao hơn và giảm được các tấn công đến từ malware

hơn so với cách máy tính chạy hệ điều hành Windows. Đơn giản chúng ta có

thể lý giải được nhận định trên qua một loạt các tấn công từ virus, malware,

trojan,… các phần mềm độc hại khác vào hệ điều hành Windows. Trong thực

tế, Trojan horse gần đây được ẩn trong một copy vi phạm bản quyền của iWork

'09 lây nhiễm qua các site chia sẻ file ngang hàng là những gì nổi bật nhất vì nó

là virus đầu tiên tấn công các máy tính Macintosh lan tràn trên Internet (mặc

dù có trước đó vẫn có một số phần mềm độc hại cho các máy tính Mac những

năm trước đó). Tuy tốc độ malware thấp hơn nhiều và nhưng việc xuất hiện

các tấn công mạng không minh chứng được rằng Mac có thể miễn dịch với

những thứ như vậy.

Thực vậy, vẫn tồn tại một cuộc tranh luận chưa có hồi kết qua những năm qua

rằng liệu những người dùng Mac có thự sự đang sở hữu những máy tính an

toàn hoặc đơn giản có được “sự bảo mật chỉ nhờ ít được biết đến” vì chúng thể

hiện một phân vùng khá khiêm tốn trong số lượng tất cả người dùng máy tính

trên toàn thế giới. Trong khi tranh luận này vẫn tiếp tục – và có một vài vấn đề

hợp lệ trên cả hai khía cạnh – tuy nhiên bài báo này không đề cập đến tranh

luận đó mà chỉ đề cập đến một số câu hỏi đơn giản rằng: “Mac của bạn an toàn

đến đâu” và “Làm thế nào để bạn được an toàn hơn với Mac?”

Một sự thật có thể nhận định đó là, Apple Inc. cung cấp một nền tảng khá an

toàn. Công ty đã đầu tư và cho ra đời một số các công nghệ tiên tiến nhằm giúp

bảo vệ tốt người dùng cũng như dữ liệu của họ. Tuy nhiên không có hệ thống

nào là hoàn hảo cả và hệ thống nào cũng có thể có lỗ hổng – nhiều trong số các

lỗ hổng đó rất dễ vá – và các lỗ hổng trên các hệ thống Mac OS X cũng vậy.

Sau đây là 11 cách có thể khắc phục những rủi ro bảo mật đã được phát hiện và

bảo vệ Mac của bạn.

Lưu ý: Trừ khi chúng tôi nói cụ thể một mẹo nào đó chỉ sử dụng cho Leopard,

bằng không nó sẽ làm việc với hầu hết các phiên bản của hệ điều hành X dù

các bước cụ thể có thể khác đôi chút.

Vô hiệu hóa cách thức mở tự động các download “an toàn” trong Safari

Có lẽ một trong những lỗ hổng lớn nhất trong Mac là trình duyệt web Safari

của Apple, nó có thể download các file mà bạn kích vào hoặc các file nào đó

có thể được nhúng trong một trang web cụ thể. Điều này có thể gây ra một số

vấn đề vì cơ chế của Safari được thiết kế để mở các file “an toàn” ngay sau khi

chúng được download về máy. Tuy nhiên, định nghĩa “an toàn” gồm có cả các

các bộ cài đặt và các file image có thể chứa lẫn phần mềm độc hại trong đó.

Nếu các file malware này được nhúng vào trong một website nào đó thì chúng

hoàn toàn có thể được download và được mở một cách tự động.

Apple đã có một cải tiến đáng kể trong việc khắc phục những hư hại mang tính

tiềm tàng trong Mac OS X Leopard, có thể phát hiện tự động các image và các

ứng dụng đã được download từ Internet thông qua các ứng dụng của Apple

(Safari, Mail và iChat). Mặc dù vậy, để có được sự an toàn thực sự, một trong

những cách tốt nhất mà bạn cần thực hiện là vô hiệu hóa tính năng mở tự động

các file như vậy trong trình duyệt Safari.

Vô hiệu hóa tính năng mở tự động các file được download

Từ menu Safari trong thanh bar menu, chọn Preferences, kích tab General, hủy

chọn tùy chọn "Open 'safe' files after downloading". Sau khi thực hiện theo tác

này, bạn sẽ phải tự mở các file đã được download bằng cách kích đúp vào

chúng trong thư mục Downloads hoặc trong danh sách các mục đã download

của Safari.

Không được kích vào tùy chọn "Do not show" trong hộp thoại cảnh báo mà

Leopard hiển thị khi mở các file đã download; cách đó, bạn sẽ luôn được cảnh

báo lần đầu khi mở mỗi một mục đã được download. (Lưu ý: tính năng file

được gắn thể (được tag) này đã được giới thiệu trong Leopard và không áp

dụng cho các phiên bản trước đây của Mac OS X).

Một tính năng bảo mật tương tự trong Leopard đó là sự hỗ trợ cho việc đánh ký

hiệu mã, đây là tính năng gần như chữ ký số trong các file ứng dụng; Mac của

bạn sẽ kiểm tra chúng khi khởi chạy để bảo đảm rằng chúng không bị thay đổi

và đưa ra cảnh báo bạn nếu điều đó xảy ra. Mặc dù cũng có nhiều ứng dụng

của các hãng khác chưa hỗ trợ tính năng này nhưng nó vẫn là một tính năng

mạnh và bạn nên quan tâm đến bất cứ cảnh báo nào như vậy. Như việc đánh

tag các file đã được download, bạn cũng không kích vào tùy chọn "Do not

show option" nếu bạn thấy một trong các cảnh bảo đó.

Cài đặt phần mềm chống virus

Do số lượng virus tấn công vào Mac OS X có phần hạn chế hơn nhiều so với

Windows nên một số người dùng Mac thường có cảm giác rằng nó an toàn hơn

hệ điều hành của Microsoft. Tuy nhiên sự thật ở đây là, mặc dù với số lượng

virus ít nhưng điều đó không đồng nghĩa với việc sẽ không có sự đe dọa đối

với hệ điều hành này. Cũng có cả một số ý kiến còn cho rằng các máy Mac

không thể bị tiêm nhiễm bởi một loại virus tấn công hàng loạt cũng như gây

hỏng hóc khi một virus độc hại nào đó được tạo và được tung vào Internet.

Tuy vậy cho dù không ảnh hưởng trực tiếp nhưng bạn vẫn có thể nhận và mắc

phải một cách tình cờ virus Windows. Điển hình nhất cho trường hợp đó là các

virus macro bên trong các tài liệu Office – một trong số chúng bị hạn chế khả

năng gây ảnh hưởng đến các máy tính nếu phiên bản Office của Mac có kích

hoạt sự hỗ trợ macro.

Nếu bạn đang sử dụng Windows – trong cấu hình dual-boot với Boot Camp

của Apple hoặc trong một công cụ ảo như Parallels Desktop – Mac của bạn

cũng dễ bị tổn thương đối với các virus của PC. Trong thực tế, nếu bạn cài đặt

hệ điều hành Windows trên Mac, khi đó cần phải xem xét đến vấn đề bảo vệ

virus cho cả Mac OS X và Windows.

Khi nói đến các chương trình chống virus cho Mac, một tùy chọn mã nguồn

mở đáng lưu ý đó làClamAV cho Unix (có thể làm việc với Mac OS X nhưng

chỉ với giao diện dòng lệnh).

Nếu muốn một sản phẩm có đầy đủ tính năng vào được bán thương mại nhằm

có được sự bảo vệ chắc chắn cho Mac, hãy kiểm tra VirusBarrier của Intego

Systems Inc. (70$ cho mỗi thiết bị; 200$ cho năm thiết bị), Sophos Anti-Virus

SBE (giá cả có thể thay đổi phụ thuộc vào số lượng người dùng và số lượng

năng của dịch vụ, bắt đầu từ 45$ cho một đăng ký hoặc 190$ cho năm đăng

ký), Norton AntiVirus của Symantec Corp. (50$ cho một người dùng)

hoặc VirusScan của McAfee Inc.

Không cho phép truy cập khách từ xa hoặc kích hoạt tài khoản khách của

Leopard

Các máy Mac luôn hỗ trợ truy cập máy khách cho việc chia sẻ file, trong hỗ trợ

đó, người dùng từ xa có thể kết nối vào một Mac mà không cần cung cấp

username, password hay các thông tin nhận dạng khác. Ý tưởng cho phép truy

cập từ xa vào Mac của bạn luôn tiềm ẩn vấn đề thỏa hiệp trong bảo mật. Chính

vì vậy không bao giờ cho phép như vậy vì những vấn đề bảo mật có thể dễ

dàng tấn công vào lỗ hổng hệ thống.

Trong Leopard, Apple đã mở rộng sự truy cập máy khách ở mức nội bộ: Người

dùng có thể đăng nhập và sử dụng Mac bằng một tài khoản khách không yêu

cầu username hoặc password. Ý tưởng của tài khoản khác được dự định cho

mục đích thuận tiện. Chẳng hạn như nếu bạn có bạn bè hoặc gia đình viếng

thăm, bạn có thể cho phép họ sử dụng Mac của bạn mà không cần cho phép họ

truy cập vào tài khoản người dùng hay các file của bạn. Khi họ đăng xuất, thư

mục chủ của họ và các file mà họ đã tạo sẽ tự động được xóa.

Mặc dù vậy cũng có một số thư mục hệ thống, chẳng hạn như thư mục Unix

/tmp, tài khoản khách có thể ghi dữ liệu vào thư mục đó mà có thể hoặc không

thể bị xóa khi đăng xuất (hoặc khởi động lại bắt buộc). Tài khoản khách cũng

có quyền truy cập vào các ứng dụng đã được cài đặt, do đó có thể dễ bị sử

dụng để thực hiện các hành động mã độc từ máy tính của bạn. Nếu bạn phải sử

dụng tài khoản khác, hãy hạn chế sự truy cập của nó bằng các điều khiển cha

Parental Controls.

Vô hiệu hóa tài khoản khách

Bạn có thể tắt cả tài khoản khách và sự truy cập tài khoản khách từ xa trong

panel Accounts của System Preferences trong Leopard. Chọn Guest Account

bên phần bên phải của panel, sau đó hủy chọn "Allow guests to log into this

computer" và "Allow guests to connect to shared folders."

Nếu bạn vẫn thích có các tài khoản khách nhưng hạn chế sự truy cập của nó

đối với các file và các ứng dụng, hãy tích vào tùy chọn "Allow guests to log

into this computer" và kích vào nút Open Parental Controls.

Sử dụng các mật khẩu an toàn

Mật khẩu người dùng là một trong những nền tảng cơ sở của bảo mật. Nếu bạn

sử dụng một mật khẩu đơn giản và dễ đoán thì chính là bạn đang gọi mời ai đó

xâm nhập vào máy tính hay tài khoản của mình.

Mac OS X có sự hỗ trợ mật khẩu sẽ tự động tạo các mật khẩu ngẫu nhiên theo

một mức phức tạp nào đó, nó cũng cho phép bạn kiểm tra độ phức tạp của các

mật khẩu mà bạn tạo. Nên sử dụng tính năng này bất cứ khi nào cần tạo một

mật khẩu mới – với các website hoặc các dịch vụ khác, cũng như cho tàu

khoản người dùng Mac OS X của bạn.

Để có được sự hỗ trợ này, bạn hãy vào panel Accounts trong System

Preferences, chọn một tài khoản người dùng, kích tùy chọn Change Password,

sau đó kích nút có biểu tượng chìa khóa bên cạnh trường New Password.

Sự hỗ trợ mật khẩu có thể tạo các mật khẩu an toàn

Cần phải biết một điều rằng, mật khẩu phức tạp nhất cũng có thể bị crack nên

bạn cần nhớ thay đổi mật khẩu của mình thường xuyên. Nếu bạn không tin

tưởng mình sẽ nhớ, hãy thiết lập một hành động nhắc nhở theo hàng tháng

trong iCal.

Vô hiệu hóa đăng nhập tự động

Như một phần của hỗ trợ cài đặt - Setup Assistant chạy khi bạn cài đặt Mac OS

X hoặc khởi động một máy Mac mới, Mac OS X sẽ tự động kích hoạt sự đăng

nhập tài khoản người dùng đầu tiên mà bạn tạo – điều đó có nghĩa rằng bạn có

thể đăng nhập mà không cần cung cấp username và password bất cứ khi nào

khởi động.

Vô hiệu hóa tính năng tự động đăng nhập

Tuy chức năng tự động đăng nhập có nhiều thuận tiện nhưng nếu chỉ có bạn sử

dụng máy Mac đó thì điều đó cũng có nghĩa rằng bất cứ ai có sự truy cập vật lý

vào Mac của bạn cũng đều có thể khởi động lại nó để tăng quyền truy cập cho

tài khoản và các file của bạn. Đây chính là tiềm ẩn một sự rủi ro về bảo mật

cho những người dùng Laptop của Mac.

Bạn có thể vô hiệu hóa tính năng tự động đăng nhập này trong Accounts của

System Preferences bằng cách kích chuột vào nút Login Options ở phía dưới

danh sách các tài khoản người dùng phía bên trái. Tùy chọn tự động đăng nhập

sẽ xuất hiện ở phía trên của vùng panel bên phải; chọn Disabled từ menu xuất

hiện của nó.

Không hiển thị những gợi ý về usernames hoặc password khi đăng nhập

Mặc định, cửa sổ đăng nhập của Mac OS X sẽ hiển thị một danh sách tất cả các

người dùng trong máy Mac (hoặc tất cả những người dùng có thể truy cập

trong một mạng). Điều này làm cho bất cứ ai có quyền truy cập vật lý vào Mac

cũng đều có thể tăng quyền truy cập với nó một cách dễ dàng, vì họ chỉ cần

đoán mật khẩu. Việc vô hiệu hóa sự hiển thị của tất cả người dùng sẽ bổ sung

thêm một lớp bảo mật vì nó yêu cầu người dùng trái phép cần phải biết cả

username tương ứng của tài khoản.

Một cách đơn giản khác nhằm bảo mật cho tài khoản là vô hiệu hóa các gợi ý

về mật khẩu ( đây là tính năng mà Mac OS X vẫn hiển thị giúp người dùng nhớ

được mật khẩu của họ sau ba lần đăng nhập thất bại). Điều này gây ảnh hưởng

đáng kể đến sự bảo mật trong việc sử dụng mật khẩu, do đó bạn hãy vô hiệu

hóa.

Cả hai tùy chọn này đều có thể được cấu hình trong cùng một Accounts pane, ở

đó bạn có thể vô hiệu hóa tính năng đăng nhập tự động. Để vô hiệu hóa tính

năng gợi ý mật khẩu, bạn hãy hủy chọn hộp kiểm bên cạnh “Show password

hints”. Để không hiển thị username trong cửa sổ đăng nhập, chọn nút "Name

and password" bên cạnh "Display log-in window as", tùy chọn có nghĩa người

dùng sẽ phải đánh cả username và mật khẩu của nó để đăng nhập.

Thiết lập một mật khẩu firmware

Những rủi ro bảo mật lớn nhất xuất hiện nếu Mac của bạn bị đánh cắp hoặc bị

thỏa hiệp về mặt vật lý. Thậm chí nếu những tên trộm không thể đăng nhập vào

tài khoản của bạn, thì chúng có thể tăng quyền truy cập vào dữ liệu trên Mac

của bạn bằng một trong những chế độ khởi động đặc biệt có trong tất cả các

máy Mac, chẳng hạn như khởi động từ một DVD cài đặt và thiết lập lại mật

khẩu, sử dụng Target Disk Mode để làm cho máy Mac của bạn hoạt động như

một ổ cứng ngoài, hoặc khởi động vào chế độ Unix-style Single User Mode.

Tuy nhiên bạn có thể thiết lập một mật khẩu firmware trên máy Mac. Mật khẩu

này được ghi vào chip firmware trên bo mạch chủ của Mac bằng chuẩn Open

Firmware trên các máy PowerPC hoặc Extensible Firmware Interface (EFI)

trên các máy Intel. Không quan tâm đến nền tảng, bạn có thể sử dụng công cụ

miễn phí của Apple cho việc thực thi mật khẩu firmware mang tên Open

Firmware Password Utility.

Nếu bạn hoặc ai đó muốn sử dụng chế độ khởi động đặc biệt, khi đó bạn sẽ bị

yêu cầu nhập vào mật khẩu firmware. Điều này giúp cho những máy tính cá

nhân lẫn doanh nghiệp tránh được sự soi mói không cần thiết. Tuy nhiên có

một vấn đề ở đây cần phải lưu ý rằng, nếu bạn quên mật khẩu này thực sự

không có cách nào để thiết lập lại hoặc gỡ bỏ nó.

Sử dụng các tùy chọn của panel bảo mật trong System Preferences

Panel Security trong System Preferences cung cấp cho người dùng Mac một số

tùy chọn đơn giản nhưng mạnh cho việc bảo vệ các hệ thống của họ - yêu cầu

một mật khẩu cho việc đánh thức từ chế độ ngủ hoặc chế độ screensaver, vô

hiệu hóa tính năng tự động đăng nhập (yêu cầu sự thẩm định khi khởi động),

yêu cầu một username và password của tài khoản quản trị để thay đổi các thiết

lập trong System Preferences, tự động đăng xuất sau một chu kỳ thời gian

không tích cực nào đó.

Sử dụng các tùy chọn trong Panel Security

Mỗi một trong các tùy chọn trên đều có những ưu điểm cho việc bảo vệ sự truy

cập dữ liệu của bạn nếu ai đó có sự truy cập vật lý vào máy của bạn. Điều này

còn thực sự quan trọng trong trường hợp bạn sở hữu một Laptop hoặc đang

làm việc trên một máy Mac cung cấp một hình thức truy cập công cộng nào đó.

Tùy chọn sử dụng bộ nhớ ảo an toàn cũng được đặt ở đây. Khi bộ nhớ ảo an

toàn được kích hoạt thì swap file mà Mac sử dụng để lưu dữ liệu đang chạy

nếu nó bắt đầu chạy trong điều kiện thiếu RAM sẽ được mã hóa. Điều này làm

giảm nguy cơ Mac bị thỏa hiệp về mặt vật lý, bất cứ dữ liệu nào cho các ứng

dụng tích cực hoặc các quá trình đều có thể phục hồi được. Đây là một tính

năng quan trọng vì bộ nhớ ảo chứa nhiều thông tin nhạy cảm có thể bị sử dụng

để thỏa hiệp Mac thậm chí nếu dữ liệu nằm trên một ổ đĩa an toàn.