Chủ Nhật, 30 tháng 11, 2014

Windows 10, một bản cập nhật với rất nhiều sự cải tiến về mặt bảo mật





[​IMG]

Windows 10 có nhiều tính năng mới rất thú vị: Start menu quay trở lại với thiết kế hoàn toàn mới, khu vực chạy đa nhiệm tiện dụng hơn, nút tìm kiếm được tích hợp vào thanh tác vụ, đi kèm theo đó còn là sự hợp nhất của nền tảng xuyên suốt nhiều loại thiết bị khác nhau, từ smartphone cho đến laptop và cả TV. Nhưng đó chưa phải là tất cả. Với Windows 10, Microsoft còn dành nhiều nỗ lực để tăng tính bảo mật của hệ thống và tránh cho người dùng những rắc rối không cần thiết.


Khủng hoảng mật khẩu


Thứ đầu tiên mà Microsoft muốn giải quyết chính là mật khẩu. Chris Hallum, người quản lý việc phát triển các tính năng bảo mật cho Windows, chia sẻ: "Chúng tôi không còn nghĩ đến password như một vấn đề. Password thực chất là một cuộc khủng hoảng theo thời gian thực. Bạn phải tìm ra thứ gì đó tốt hơn" trong bối cảnh mật khẩu quá dễ để đoán ra hay dễ bị tiết lộ, dù là vô tình hay cố ý.


Và nó chính là "thông tin định dạng thế hệ kế tiếp". Windows 10 sẽ sử dụng biện pháp bảo mật hai lớp cho các thiết bị của mình, trong đó lớp thứ hai có thể là con chip Trusted Platform Module (TPM) được tích hợp trong nhiều mẫu PC hiện nay (hướng tới có mặt trên mọi thiết bị Windows vào năm 2015), hoặc sử dụng ngay chiếc điện thoại của bạn để tạo mật khẩu cho lớp đăng nhập thứ hai. Hallum thậm chí còn gợi ý về việc sử dụng "những thiết bị mà chúng tôi chưa nói đến" để bổ trợ cho bảo mật hai lớp.


TPM_SLB9635.

Nói thêm về chip TPM, một ví dụ dễ hiểu về cách hoạt động của nó như sau: một chiếc PC được trang bị TPM sẽ lưu trữ tham số về tình trạng hệ thống vào một khu vực an toàn, xem là một chiếc "chìa khóa" ảo. Khi máy tính bị thay đổi linh kiện hoặc bị can thiệp phần mềm (tức tình trạng máy không giống với những gì TPM đang lưu), việc truy cập vào những ứng dụng hay dữ liệu quan trọng sẽ bị chặn lại cho đến khi nào thay đổi nói trên đã được giải quyết.


Hallum nói: "người dùng sẽ mở khóa Windows bằng một cửa chỉ unlock, đó có thể là một mã PIN, mật khẩu hay sử dụng các cảm biến sinh trắc học (vân tay, mắt…), và họ sẽ truy cập vào nó". Và mã PIN trong Windows 10 không chỉ là 4 con số đơn giản, nó có thể được thiết lập lên đến 20 kí tự khác nhau.


Cảm biến vân tay


Như đã nói ở trên, bạn vẫn có thể sử dụng vân tay để đăng nhập vào máy tính của mình. Đây là một tính năng không xa lạ với máy tính Windows, nhất là các dòng máy dùng cho doanh nghiệp, và nó là một giải pháp hữu hiệu để thay thế cho password. Nhưng trong Windows 10, Microsoft đã cải tiến tính năng đọc vân tay để khi kết hợp với các loại đầu đọc thế hệ mới thì máy tính có thể biết được đó có phải là vân tay thực hay không và liệu nó có còn "sống" hay không. Việc đối chiếu vân tay không chỉ thực hiện bằng các đường vân mà còn là "hình ảnh 3D của các rãnh lồi lõm" vốn sẽ trở nên phẳng trên các ngón tay giả hoặc ngón tay đã chết (nghe có vẻ giống phương thức mà Apple đang dùng cho cảm biến Touch ID).


070711_0137.

Ngoài ra, Hallum còn muốn thấy những cảm biến có chiều rộng 9mm để người dùng có thể ấn cả ngón tay mình lên. Tất nhiên là các nhà sản xuất thiết bị có thể chọn những cảm biến nhỏ hơn, rẻ hơn tùy vào mục đích của họ. "Chúng tôi sẽ cố gắng giảm chi phí đến mức vân tay có thể triển khai rộng rãi", ông nói. "Chúng tôi có dấu hiệu từ một OEM – không phải cam kết mà chỉ là dấu hiệu – cho thấy họ có thể sẽ trang bị cảm biến vân tay trên tất cả mọi sản phẩm tiêu dùng của mình. Dù sao thì tôi hi vọng tôi cũng không bị "phỏng" một lần nữa bởi trước đây tôi từng nói về chuyện này hồi Windows 8…"


Microsoft cũng đang nghiên cứu việc sử dụng khóa USB như là một giải pháp thay thế mã bảo mật hai lớp, tương tự như những gì Google từng làm với các dịch vụ của mình. Trước đây việc bảo mật hai lớp đòi hỏi chúng ta nhập một mã xác thực dài 6 số được gửi qua tin nhắn SMS hoặc email, còn bây giờ bạn chỉ việc cắm chiếc bút nhớ USB tương thích chuẩn Security Key vào máy tính là đã có thể đăng nhập Gmail, Google+, Maps… Google vẫn yêu cầu người dùng nhập mật khẩu của tài khoản nhằm tránh tình trạng có ai đó xâm nhập trái phép vào hộp thư chỉ bằng cách trộm chiếc "chìa khóa". Chrome cũng trở thành trình duyệt đầu tiên trên thế giới hỗ trợ Security Key.


Đặt tính linh hoạt lên hàng đầu


Hallum tin rằng sự linh hoạt về thông tin đăng nhập trong Windows 10 chính là một thế mạnh. "Thứ làm chúng tôi khác biệt đó là bạn có thể sử dụng những thiết bị hiện có để xác thực, bạn có thể xài ngay chiếc PC hoặc điện thoại của mình."


mobile-diagram.


Ông mô tả thêm: "Điều này có nghĩa là chiếc smartphone – bao gồm Windows Phone, Android, iPhone với đầu đọc vân tay, và có thể một ngày nào đó sẽ có thêm BlackBerry – có thể lưu trữ thông tin định danh của người dùng. Bạn sẽ ghép đôi nó với PC thông qua Bluetooth để giúp bạn đăng nhập. Tính năng này sẻ giúp bảo mật hai lớp trở thành một thứ gì đó hiển nhiên và được áp dụng rộng rãi, người ta không còn phải lo về việc nhận tin nhắn chứa mã số hay các khóa vật lý nữa".


Hallum tự tin rằng cách đăng nhập nói trên sẽ được áp dụng bởi nhiều dịch vụ khác nhau trên nền tảng Windows 10, cả về mặt tiêu dùng lẫn dịch vụ chuyên nghiệp. "Nó sẽ thành công. Bạn sẽ thấy rất nhiều dịch vụ như Netflix (áp dụng cách đăng nhập nói trên). Người ta cũng sẽ thấy tầm quan trọng của tính năng này với lĩnh vực ngân hàng, nội dung cá nhân…". Những ứng dụng doanh nghiệp sử dụng chung username và password với Windows cũng sẽ chạy được với cách đăng nhập nói trên. "Mọi app sẽ tận dụng được nó, trừ khi bạn viết app theo một cách gì đó thật lạ lùng".


Hạn chế tấn công "Pass the Hash"


Hệ thống bảo mật của Windows 10 được xây dựng theo nhiều "thùng chứa" (container) khác nhau. Windows nằm trong một container, còn những dấu hiệu bảo mật (token) của Active Directory thì nằm trong một container khác (Active Directory là dịch vụ được Microsoft xây dựng cho Windows Server để chứng nhận và xác thực việc đăng nhập của mọi tài khoản hay thiết bị trong một mạng). Các dấu hiệu này lại chính là thứ mà nhiều hacker muốn có được để thâm nhập vào mạng lưới của một công ty bằng kĩ thuật mang tên "Pass the Hash".


Hacker_Pass_the_hash.


Hallum giải thích: "Khi kẻ tấn công có được token chứa thông tin đăng nhập của bạn thì cũng giống như việc hắn có được username và password. Hacker có thể sử dụng quyền quản trị và chạy một công cụ để trích xuất rồi chiếm lấy token, khi đó hắn có thể đi dạo quanh mạng nội bộ của công ty và truy cập vào mọi server mà không bị hỏi password". Đây là điều cực kì nguy hiểm với các công ty, tổ chức bởi số liệu tài chính, dữ liệu khách hàng, bí mật kinh doanh hay chiến lược điều hành có thể bị lộ ra bên ngoài. Trong một số trường hợp, điều này có thể dẫn đến công ty bị phá sản hay bị đối thủ cạnh tranh vượt mặt.





Và để ngăn chặn tình trạng trên, Windows 10 lưu trữ token trong một container riêng và rất đặc biệt. Container này thực chất là một hệ điều hành siêu nhỏ gọn chạy trên công nghệ ảo hóa Hyper-V mà Microsoft gọi là Virtual Secure Mode (VSM). Hallum tiết lộ: "Bạn hãy nghĩ về nó như là phần nhân của Windows – nó là một OS nhỏ sẽ cần chỉ khoảng 1GB RAM để chạy nhưng vẫn có đủ khả năng để thực thi các dịch vụ xác thực, phân quyền trên Active Directory".


Microsoft_Hyper_V.

Ông còn hứa hẹn rằng VSM sẽ không ảnh hưởng đến hiệu năng của máy tính. Và ngay cả khi PC của nhân viên trong công ty bị tấn công bởi rootkit hay bootkit, vốn có thể thay đổi phần lõi của hệ điều hành để chiếm quyền điều khiển thiết bị, cũng không thể truy cập được token nói trên.


Để tính năng VSM có thể hoạt động được, các máy tính của nhân viên trong công ty sẽ phải chạy Windows 10, ngoài ra chúng còn phải có một CPU hỗ trợ ảo hóa phần cứng, còn trên máy chủ thì cần có Windows Server phiên bản mới.


Nhưng không có gì là hoàn hảo


Hallum cẩn trọng nói: "Chúng tôi không thể hứa rằng Pass the Hash không thể xảy ra, vẫn có thể có lỗ hổng trong việc triển khai VSM của chúng tôi. Tuy nhiên, đây là một giải pháp về mặt kiến trúc được thiết kế để ngăn ngừa mối nguy hiểm này, còn trong quá khứ những gì chúng tôi từng làm chỉ là phòng vệ và khiến việc đánh cắp token trở nên khó hơn một chút. Đây là một trong những biện pháp mạnh mẽ nhất mà chúng tôi có thể làm được".


Microsoft nghĩ rằng VSM sẽ giúp ích được rất nhiều với nạn đột nhập vào hệ thống máy tính của các doanh nghiệp. "Tôi không muốn rằng chúng tôi đã giải quyết được vấn đề nhưng bước đi này rất quan trọng so với những gì chúng tôi từng thực hiện. Tính năng SmartCard ảo trong Windows 8 là một bước tăng cường nhỏ, còn VSM sẽ là một bước tăng cường cho cả thế giới". VSM cũng có thể được tận dụng cho những tính năng bảo mật khác của Windows. Nếu bạn chạy Windows 10 trên máy ảo, bạn có thể dùng VSM như một con chip TPM ảo.


Hệ sinh thái các ứng dụng tin cậy


Nếu PC trong các công ty, tổ chức áp dụng hệ thống Enterprise Lockdown của Windows 10 thì chỉ những đoạn mã xuất phát từ các phần mềm an toàn mới được thực thi (bao gồm Windows, app được Microsoft chứng nhận, app trên Windows Store, app từ các nhà phát triển tin cậy, hoặc app do chính doanh nghiệp viết ra). Hallum gọi đây là nỗ lực nhằm "tạo ra một hệ sinh thái ứng dụng đáng tin cậy" dành cho PC. Cách mà hệ sinh thái này bảo vệ người dùng cũng giống cách mà App Store bảo vệ thiết bị iOS, tuy nhiên nó sẽ phù hợp hơn với môi trường doanh nghiệp.


Ung_dung_dang_tin_cay.


Enterprise Lockdown sẽ chỉ chạy với Windows Enterprise và với những PC được khóa UEFI (bởi nếu Windows được thiết lập để chỉ chấp nhận các phần mềm đã chứng nhận thì phần mềm mã độc vẫn có thể thay đổi thiết lập đó, trừ khi UEFI bị khóa). Microsoft đề xuất rằng các nhà sản xuất nên áp dụng điều này cho những dòng PC doanh nghiệp và cũng nên tính phí thấp, nhưng còn thực tế thì phải xem các OEM sẽ hỗ trợ Microsoft như thế nào.


Hallum tin rằng giải pháp Enterprise Lockdown sẽ cực kì hiệu quả. "Giả sử như người nắm trong tay quyền cài đặt các ứng dụng được chứng nhận là một người đáng tin cậy, tôi nghĩ rằng chúng tôi có thể loại hoàn toàn bỏ phần mềm mã độc". Ông cũng gợi ý rằng tính năng này sẽ giúp các cửa hàng ngăn chặn việc bị hack hay bị trộm thông tin vốn đã xảy ra từ nhiều năm nay.


Việc bảo vệ tập tin trên Windows 10


Những tập tin được mã hóa trong Windows 10 cũng sẽ được lưu trong các container, nhưng khác với thiết bị di động lưu trữ mọi tập tin quan trọng vào một container chung, Windows 10 sẽ dùng một container riêng cho từng file một. Hallum cho biết: "Container của chúng tôi rất khác. Nó là một container ở cấp độ tập tin nên từng file – dù cho đó là tài liệu kinh doanh, nhạc, video, hay tập tin sinh ra bởi ứng dụng – đều được bảo vệ bởi một thùng chứa đã mã hóa, và Windows sẽ trở thành một người kiểm soát việc truy cập chúng".


Windows 10 cũng sẽ biết được tập tin nào thì nên mã hóa, dựa vào nhiều yếu tố như xuất xứ của file, ứng dụng bạn dùng để tạo hay mở file, kết hợp với đó là những chính sách do người quản trị hệ thống thiết lập. "Bạn có thể chọn một vài nơi trên mạng nội bộ và nói rằng 'chúng tôi xem đây là khu vực dành cho công ty – đây là mail server, đây là file server, còn đây là những địa chỉ IP quan trọng'. Khi tập tin xuất phát từ những nơi đó, Windows 10 sẽ biết và mã hóa chúng". Bạn cũng có thể thiết lập rằng ứng dụng X, Y, Z là các app dùng trong công ty và mọi file ra vào các app này sẽ được mã hóa tự động.


Phiên bản Windows mới của Microsoft còn có khả năng phân biệt tập tin làm việc và tập tin cá nhân. Bạn có thể đánh dấu rằng app A, B, C là app riêng và không dùng cho việc kinh doanh, khi đó Windows 10 sẽ không cho phép chúng mở những tập tin từ app X, Y, Z.


Còn với những ứng dụng đa mục đích như Office, Microsoft sẽ cung cấp một tùy chọn trong hộp thoại Save để người dùng chọn rằng tập tin này là tập tin kinh doanh hay chỉ là tập tin cá nhân không cần mã hóa.


Container chứ không phải là sự giới hạn


Hallum nói container của Windows 10 khác với container của giải pháp Samsung Knox bởi hướng đi của Samsung dường như là áp đặt ra những "giới hạn". "Tôi bị giới hạn – tôi phải di chuyển sang một khu vực an toàn để truy cập được những tập tin của tôi. Tôi cần phải dùng những ứng dụng riêng chỉ để truy cập email. Một container chứa chung app và dữ liệu (như Knox) thì quả thật rất hiệu quả về mặt bảo mật nhưng tôi phải thay đổi hành vi của mình. Tôi phải dừng việc sử dụng những phần mềm quan thuộc mà tôi thích".


Samsung_Knox.

Chính vì thế, cách thức được Microsoft áp dụng cho Windows 10 được xem như thân thiện và dễ dùng hơn cho người dùng, từ đó đảm bảo rằng trải nghiệm người dùng không bị giảm đi. Và tất nhiên, các tập tin đã mã hóa vẫn có thể sử dụng trên những thiết bị chạy nền tảng khác. Hallum nói OS X, iOS và Android đều được hỗ trợ, và người quản trị trong các công ty có thiết lập phân quyền mở app bằng bất kì trình quản lý thiết bị nào chứ không chỉ là System Center của Microsoft.


Hiện tại vẫn còn nhiều tính năng bảo mật của Windows 10 đang được phát triển, và Hallum nghĩ rằng chính khía cạnh bảo mật sẽ giúp Windows 10 trở thành một bản cập nhật hấp dẫn. "Trong mỗi phiên bản Windows chứng tôi đều tăng cường tính an toàn của hệ thống, còn bây giờ chúng tôi làm cho nó 'cứng' hơn… Nhờ vậy, các doanh nghiệp có được lý do rất hấp dẫn để nâng cấp hệ thống của mình để tránh những vụ tấn công đáng tiếc."


Nguồn: TechRadar










Windows 10, một bản cập nhật với rất nhiều sự cải tiến về mặt bảo mật
Người đăng: vào lúc

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)