Apple đã mất đi thời kỳ bảo mật huy hoàng?

Với số lượng bản vá lỗi bảo mật lớn nhất cùng một lỗ hổng trong hỗ trợ thiết bị không dây, hệ điều hành Mac OS X dường như không còn kéo dài được thời kỳ vô địch của mình. Chuyên gia của chúng tôi đã đi sâu nghiên cứu các đe doạ thực trong thế giới Apple và phác thảo một số bước đơn giản giúp bạn tự bảo vệ chính mình.

Sự kiện đánh dấu đầu tiên là bản update bảo mật tháng 5 khá quy mô của Apple, vá hơn 40 lỗi trong hệ điều hành Mac OS X và QuickTime. Sau đó là bản vá lỗi của tháng 8 với hơn 26 lỗi được sửa. Hầu như đồng thời các chuyên gia nghiên cứu đều đề cập sâu sắc tới lỗ hổng bảo mật thiết bị không dây dễ bị hack trong các máy tính MacBook tại Hội nghị hacker Black Hat năm nay.

Điều gì đang diễn ra? Có phải Mac OS X đã chấm dứt thời kỳ huy hoàng của mình? Có phải một số lượng lớn vấn đề bảo mật “mức Windows” lại xuất hiện trong Mac OS X theo vết xe thông thường của các hệ điều hành?

Cũng không hẳn như vậy. Nghiên cứu từ các máy tính MacBook bị hack, các chuyên gia bảo mật khẳng định rằng các ổ bị lỗi là thiết bị truy cập không dây nhóm thứ ba, không phải thẻ AirPort dựng sẵn trong MacBook.

Nếu như bạn không vấp phải các lỗi bảo mật ngớ ngẩn thì OS X vẫn an toàn như trước đây. Hiện tượng bạn đang thấy là sự phát triển tự nhiên của vấn đề bảo mật hệ điều hành. Nó đang trở nên phổ biến hơn.

Bảo mật Windows và bảo mật Mac

Mac OS X là một hệ điều hành rất an toàn. Nhưng không có nghĩa nó hoàn toàn kỳ diệu. Một số người sử dụng Mac thích truyền bá câu chuyện thần thoại về “sự bảo mật hoàn hảo của hệ điều hành Mac OS X”. Nhưng thực tế nó cũng chỉ là một trong các hệ điều hành được thiết kế tốt. Mac OS X có khả năng kháng cự cao với các mối nguy hiểm, nhưng không có nghĩa là không có lỗ hổng để tấn công.

Cũng không đúng khi nói rằng Windows là hệ điều hành tệ nhất. Thời kỳ đầu với Windows NT 4, Microsoft Office và Internet Explorer, Microsoft đã có những bước đi táo bạo với các quyết định cứng rắn. Nếu như không có phản ứng tệ hại nào từ phía người dùng, họ sẽ tạo ra các vấn đề nigh-crippling như bạn thấy trong các hệ điều hành Windows ngày nay. Điều tệ nhất ở Windows là tài khoản Admistrator của người quản trị hệ thống cùng quá nhiều gói phần mềm dành cho tài khoản này. Tài khoản Administrator của Windows cũng giống như tài khoản mạnh nhất root trong Unix. Không có file nào người quản trị viên không được quyền truy cập, không có hoạt động nào quản trị viên không được thực hiện. Thậm chí tài khoản này còn được đặt mặc định trong tất cả các hệ điều hành Windows, từ NT cho tới XP. Vì thế mỗi lần bạn sử dụng máy tính với vài trò tải khoản gốc, bạn sẽ là… vua. Không có gì bạn không thể làm. Thậm chí bạn còn không phải nhận bất kỳ cảnh báo nào.

Thêm một điểm rất không an toàn nữa là thói quen của Windows, hệ điều hành thậm chí không yêu cầu mật khẩu đối với tài khoản Administrator. Bạn có thể thực hiện quá trình đăng nhập tự động, không cần dùng mật khẩu. Vì thế các malware khi thâm nhập vào hệ thống có thể chạy như một root (tài khoản gốc). Rất ít hệ điều hành có thể ngăn chặn được chương trình phần mềm chạy với các đặc quyền như thế.

Apple không hề có điều đó. Một người dùng với vai trò “Admistrator” không có đặc quyền của tài khoản gốc, mà chỉ nằm trong nhóm “admin”. Điều đó có nghĩa là, khi cần người dùng có thể thẩm định và chạy chương trình như một root (tài khoản gốc), nhưng về cơ bản đó không phải là root thực. Trong Mac OS X, khả năng đăng nhập hệ thống như một root là không thể. Bạn phải thực hiện một số bước thiết lập rồi mới sử dụng được chức năng này.

Microsoft cũng học hỏi một số chi tiết từ Apple vào trong Windows Vista. Khi hệ điều hành này được phát hành vào năm sau, người dùng sẽ không được mặc định đăng nhập với vai trò là administrtor hay root.

Lý do của tất cả các bản vá lỗi?

Những cảnh báo bảo mật của Mac cùng các bản vá lỗi bạn thấy gần đây không phải là dấu hiệu chứng tỏ Apple đang nhầm lẫn trong bảo mật hệ điều hành. Nhưng nhiều người vẫn đang tích cực tìm kiếm lỗ hổng một cách nghiêm túc để Apple có thể vá chúng. Chớ trêu là tất cả điều này đều đã được Synmatec xác nhận trong nhiều báo tổng quan năm 2005. Trong bài “Internet Security Threat Report” (Báo cáo về các đe doạ bảo mật Internet), Symantec khẳng định rằng Mac OS X đang ngày càng trở nên phổ biến, sẽ có nhiều người tìm ra lỗ hổng của nó (dù mạnh hay yếu). Và vì thế, tất nhiên con số các lỗ hổng tìm thấy sẽ tăng và đó chính là điều các bạn thấy hiện nay.

Điều đó không phải là xấu. Có thể hơi đáng lo một chút, nhưng đó là cách tốt nhất để giảm các lỗ hổng. Nếu những người tìm kiếm lỗ hổng Mac OS X chỉ là các nhân viên Apple, hệ điều hành sẽ còn nhiều lỗi bị bỏ sót. Bản thân các lỗ hổng này không dễ bị khai thác trực tiếp. Chúng chỉ là con đường tiềm ẩn để khai thác và đó là lý do vì sao bạn cần phải luôn cập nhật bản mới nhất cho hệ thống của mình.

Sự thật là tất cả các malware đến giờ vẫn còn chưa quan tâm nhiều tới OS X và bạn vẫn chưa gặp nguy hiểm mấy khi thực hiện một vài bước bảo vệ thông thường. Các đe doạ thực trong thế giới Mac chỉ là những hành động tự mãn và dại dột mà thôi.

Tự bảo vệ mình

Mặc dù Mac OS X khá an toàn, nhưng bạn cũng có thể thực hiện một số bước dễ dàng sau đây để tự bảo vệ mình:

1. Không dùng đến chức năng Sharing trừ phi bạn cần chia sẻ file.

Trừ phi bạn thật sự cần chia sẻ file với ai đó thì mới cần bật chức năng Sharing. Đây là một bước rất dễ dàng. Chẳng cần làm gì cả. Mặc định, tất cả các dịch vụ chia sẻ trong Mac OS X đều ở chế độ “disabled” (không sử dụng). Kẻ tấn công sẽ khó khăn hơn nhiều nếu muốn truyền tải một file tới cái máy chẳng bao giờ mở đường dẫn truyền file.

Nếu bạn không chắc chắn liệu mình có cần chia sẻ file hay không thì bạn có thể cân nhắc theo hướng dẫn sau: Nếu bạn phải hỏi “Mình có nên làm điều đó không”, câu trả lời là “Không”. Nếu bạn cần làm một điều gì đó, hãy chắc chắn về nó.

Trong hai hình minh hoạ dưới đây, bạn có thể thấy các thiết lập chia sẻ bảo mật mặc định. Nếu bạn bật bất kỳ dịch vụ chia sẻ nào, bạn không chắc chúng vẫn hoạt động hay không. Đây là những điều bạn nên biết khi tắt các dịch vụ này. (Hộp thoại Sharing là hộp thoại đầu tiên bạn thấy trong mục Sharing Preference Pane ở phần System Preferences)

2. Đừng download các phần mềm lạ

Đừng download các phần mềm lạ, không có nghĩa là “đừng bao giờ download bất kỳ cái gì nếu như không có mã nguồn đầy đủ” nhưng bạn nên chắc chắn về nguồn của nó. Như trước đây, một nhóm người đã gặp tai hoạ khi cho rằng đang download miến phí qua internet bản demo Microsoft Office 2004. Trong khi nó thực sự là một bản script độc hại, xoá sạch thư mục gốc của họ. Tất nhiên chỉ có một nơi để các script này tồn tại là các website download phải đặt dấu hỏi như Limewire.

Nói chung hãy download các phần mềm từ những website đáng tin cậy như VersionTracker. Đó là một website tuyệt vời, không chỉ có các phần mềm dành cho Mac OS X mà còn cả cho Windows và Palm. Chúng còn được cập nhật liên tục hằng ngày. Không giống như hầu hết mạng P2P như LimeWire đã nói trên, VersionTracker không cho phép post phần mềm nạc danh lên website. Và ít nhất có một chương trình kiểm tra cơ sở các phần mềm sẽ đăng tải lên website.

Không ai có thể đảm bảo được sự an toàn hoàn hảo. Nhưng VersionTracker đến nay đã lựa chọn được cách thức bảo mật hợp lý. Download về rồi, nhưng quá trình chạy chương trình mới cần cẩn thận nhất. Vì mỗi lần chạy mã lệnh, bạn không thể điều khiển được mã lệnh đó đang làm gì. Nếu bạn là một administrator thì mã nguồn chạy là do bạn. Nếu bạn thẩm định như một root (gốc) trong một hộp thoại bảo mật thì mã nguồn chạy như một gốc. Không có cái gì trong thế giới này có thể ngăn chặn được một Trojan horse với các đặc quyền gốc.

3. Hãy suy nghĩ trước khi nhập mật khẩu

Nhiều ứng dụng yêu cầu bạn nhập mật khẩu quản trị, nhất là trong quá trình cài đặt. Nhưng bạn không nên thực hiện điều đó ngay. Bao giờ cũng có câu hỏi thẩm định lại. Nếu không có gì xảy ra, hãy kiểm tra xem liệu hộp thoại yêu cầu có hợp lệ không. Dưới đây là hai ảnh yêu cầu thẩm định xác thực tôi tạo ra bằng Applescript để chứng minh:

Hãy kiểm tra xem liệu hộp thoại yêu cầu được thẩm định trước khi chấp nhận không (Nguồn: InformationWeek)

Có một số cách giúp xác định xem liệu đây có phải là hộp thoại yêu cầu xác thực hay không. Đầu tiên là biểu tượng hình chiếc khoá với yêu cầu biểu tượng của ứng dụng nằm bên trên. Sau đó là dòng thông báo, báo cho bạn biết ứng dụng (trong trường hợp này là Script Debugger) đang yêu cầu mật khẩu của bạn. Tiếp theo là username đầy đủ đã được điền sẵn trong ô “Name”. Nếu chúng ta mở rộng hình tam giác “Details” chúng ta sẽ thấy nhiều thông tin có thể giúp bạn hơn.

Hãy chắc chắn tên ứng dụng đã khớp... (Nguồn: InformationWeek)

Bây giờ chúng ta sẽ xem xét cụ thể các quy định yêu cầu của một ứng dụng (system.privilege.admin) khi cấp phát đặc quyền truy cập như là một root. Nếu tên của ứng dụng không khớp với tên biểu tượng nằm ở đầu hộp thoại, hãy nghĩ hai lần trước khi thực hiện xác nhận. Tuy nhiên trước hết bạn nên kiểm tra vị trí đặc quyền yêu cầu ứng dụng. Nếu bạn kích vào viền màu xanh của tên ứng dụng bạn có thể lấy được đường dẫn danh sách ứng dụng đó, như hình dưới đây:

...và xem đường dẫn file đã phù hợp chưa (Nguồn: InformationWeek)

Đường dẫn thể hiện trong Script Debugger 4 chính xác là tại thư mục: /Applications/Programming/AppleScript/Script Debugger 4/ (chú ý trong Unix dấu nhắc “/” chỉ mức gốc của ổ boot, và các thư mục được thể hiện với dấu gạch chéo “/”). Nếu đường dẫn thể hiện trong hộp thoại và đường dẫn đáng lẽ có của ứng dụng lại khác nhau thì không nên nhập mật khẩu vào.

Kiểm tra hộp thoại không phải là phương pháp hoàn hảo, nếu không muốn nói là khá tầm thường nhưng thà có cái gì đó để kiểm tra còn hơn là tin tưởng mù quáng.

4. Cập nhật các bản vá lỗi.

Trong khi có thể bạn không muốn chèn thêm các bản vá lỗi cho nặng máy thì tôi không chờ quá một tuần để cập nhật nó. Các bản vá lỗi bảo mật là cách đơn giản nhất để tự bảo vệ chính bạn. Tôi luôn luôn cập nhật phiên bản hệ điều hành mặc dù có thể bạn phải trả tiền cho phiên bản mới bởi vì sự thực là phiên bản hiện thời luôn thu hút sự quan tâm hơn khi xuất hiện lỗi và bản sửa lỗi. Bảo mật là lý do xác đáng nhất để cập nhật các phiên bản mới. Một số lỗ hổng bảo mật có thể đòi hỏi phải thay đổi mà chỉ có phiên bản hệ điều hành mới mới có thể giải quyết được.

Nếu theo bốn mẹo nhỏ trên và áp dụng ý thức chung trong hướng dẫn sử dụng Mac hằng ngày, cơ hội giải quyết các vấn đề sẽ nhanh hơn nhiều.

Sẽ không còn cơn ác mộng bảo mật lớn nào từ Mac OS X nữa. Tất cả đều chỉ muốn nói lên rằng nhiều người sẽ sử dụng Mac OS X hơn và Apple sẽ quan tâm một cách nghiêm túc hơn dưới quan điểm bảo mật. Và cuối cùng mọi thứ đều tốt đẹp!