Xuất bản ở Security In A Box (https://info.securityinabox.org)

Trang chủ > Bản in PDF > Bản in PDF

11. Làm thế nào sử dụng điện thoại thông minh mộtcách bảo mật nhấtTrong Chương 9: Làm thế nào sử dụng điện thoại di động một cách bảo mật nhất [1], chúng tôi đã thảo luận về cácvấn đề bảo mật khi sử dụng các loại điện thoại di động cơ bản – bao gồm các vấn đề về dịch vụ liên lạc thoại và tinnhắn (SMS/MMS). Những loại điện thoại này chủ yếu (nếu không phải trường hợp đặc biệt) dựa trên hạ tầng mạng điệnthoại di động để truyền nhận các cuộc gọi và dữ liệu.

Với sự phát triển về công nghệ đem lại cho cho các dòng điện thoại di động hiện nay khả năng cung cấp các dịch vụ vàtính năng tương tự như những chiếc máy tính để bàn hay máy tính xách tay. Các loại điện thoại thông minh đem lại nhiềuphương thức mới cho phép liên lạc, ghi và phổ biến thông tin. Để có thể đáp ứng những chức năng mới này, các điệnthoại thông minh không chỉ sử dụng mạng hạ tầng di động mà còn có khả năng kết nối mạng Internet qua kết nối khôngdây (tương tự như một chiếc máy tính xách tay tại quán Internet café) hoặc sử dụng các kết nối dữ liệu qua mạng hạ tầngdi động của nhà cung cấp dịch vụ.

Trong khi vẫn có thể thực hiện việc gọi điện thoại, tất nhiên rồi, với một chiếc điện thoại thông minh, bạn nên coi nhữngchiếc điện thoại thông minh là những thiết bị máy tính nhỏ. Điều này có nghĩa là các công cụ giới thiệu trong chương nàysẽ hữu ích cho bạn khi sử dụng điện thoại thông minh cũng như khi sử dụng máy tính.

Điện thoại thông minh thường hỗ trợ nhiều tính năng đa dạng – duyệt web, thư điện tử, thoại và nhắn tin qua Internet, ghi,lưu trữ và truyền âm thanh, phim và hình ảnh, cho phép kết nối mạng xã hội, trò chơi trực tuyến, giao dịch ngân hàng trựctuyến và những hoạt động khác. Tuy nhiên nhiều trong số những công cụ và tính năng này mang lại các vấn đề về bảomật mới hoặc khiến các mối nguy cơ bảo mật đang tồn tại trở nên nghiêm trọng hơn.

Lấy ví dụ, một số điện thoại thông minh có tích hợp thiết bị định vị vệ tinh toàn cầu (GPS [2]), điều này có nghĩa là theomặc định chúng có thể cung cấp vị trí chính xác của bạn cho nhà cung cấp dịch vụ di động cũng như cho nhiều ứng dụngcài đặt trên điện thoại của bạn ( như các ứng dụng mạng xã hội, bản đồ, trình duyệt và các ứng dụng khác). Như đã đềcập, các điện thoại thông thường cũng đã chuyển tiếp thông tin vị trí của bạn tới nhà cung cấp dịch vụ di đông (đây là mộtphần tính năng cơ bản của điện thoại di động). Tuy nhiên, tính năng GPS không những gia tăng độ chính xác về thông tinvị trí của bạn mà còn gia tăng về số lượng vị trí có thể xác định và chuyển tiếp thông tin. Bạn nên xem lại tất cả các vấnđề bảo mật liên quan tới điện thoại di động đã đề cập trong Chương 9: Hướng dẫn sử dụng điện thoại di động mộtcách bảo mật nhất [3] bởi tất cả những vấn đề này cũng liên quan tới việc sử dụng điện thoại thông minh. Chuong 9 [3]

đã bao gồm những vẫn đề bảo mật liên quan tới nghe lén, chặn tin nhắn hay cuộc gọi, các vấn đề liên quan tới thẻ SIMvà các biện pháp phòng vệ. Trong chương này chúng ta sẽ cùng xem các vấn đề bảo mật mới liên quan tới điện thoạithông minh.

Túi xách, Ví, Điện thoại thông minh

Chúng ta có thể thấy rất rõ ràng lợi ích của việc giữ gìn túi xách hay ví tiền một cách an toàn bởi chúng chứa rất nhiềuthông tin nhạy cảm, và nếu đánh mất thì nhiều thông tin riêng tư và sự an toàn bị ảnh hưởng. Người ta thường ít chú ý hơntới lượng thông tin cá nhân được lưu trữ trong những chiếc điện thoại thông minh, và coi việc bị mất điện thoại chỉ là điềuphiền toái hơn là một nguy cơ. Hãy nghĩ rằng chiếc điện thoại thông minh là một thiết bị máy tính luôn kết nối vào mạngvà thường xuyên được mang theo mình, bạn sẽ thấy rõ sự khác biệt quan trọng giữa thiết bị lưu trữ thông tin rời rạc, vàtĩnh (như chiếc ví), với một thiết bị lưu trữ thông tin động có tính tương tác như một chiếc điện thoại thông minh.

Một ví dụ thực hành đơn giản giúp bạn tưởng tượng rõ sự khác biệt này:

Hãy bỏ hết tất cả trong ví hoặc túi xách của bạn ra và kiểm tra những vật chứa thông tin nhạy cảm. thông thường bạn sẽthấy:

Những tấm hình của người thân (~5 tấm)Các loại thẻ chứng nhận (bằng lái xe, thẻ hội viên, thẻ an sinh xã hội)Thông tin Bảo hiểm sức khỏe (~2 thẻ)Tiền (~5 tờ)Thẻ Credit/Debit (~3 thẻ)

Giờ hãy tìm hiểu xem những gì được chứa trong chiếc điện thoại thông minh của bạn. Một người dùng điện thoại thôngminh thông thường có thể thấy tất cả những thông tin phía trên với số lượng nhiều hơn, và trong một số trường hợp còn cónhiều thông tin giá trị hơn rất nhiều:

Những tấm hình của người thân (~100 tấm hình)Ứng dụng thư điện tử có lưu mật khẩuThư điện tử (~500 emails)Videos (~50 videos)Ứng dụng mạng xã hội có lưu mật khẩuỨng dụng ngân hàng trực tuyến (với truy cập vào các tài khoản ngân hàng)

Các tài liệu nhạy cảmCác bản ghi các đàm thoại nhạy cảmMột kết nối trực tuyến tới thông tin nhạy cảm của bạn

Sử dụng điện thoại thông minh càng nhiều, bạn càng cần chú ý tới các nguy cơ liên quan và có những hành động bảo vệphù hợp. Điện thoại thông mình là thiết bị khuếch đại và phân tán dữ liệu cá nhân của bạn một cách mạnh mẽ. Chúngđược thiết kế để cung cấp khả năng kết nối tối đa và liên kết tới các dịch vụ mạng xã hội theo mặc định. Sở dĩ như vậy làbởi thông tin cá nhân của bạn có giá trị và có thể được tổng hợp, tìm kiếm và bán sinh lợi nhuận. Trong Chương 5: Làmthế nào để khôi phục thông tin bị xóa [4] chúng tôi đã thảo luận tầm quan trọng của việc sao lưu dữ liệu. Điều nàycũng đúng đặc biệt đối với điện thoại thông minh. Có thể là thảm họa nếu bạn để mất điện thoại và không có bản saolưu những dữ liệu quan trọng tại một nơi an toàn (như các thông tin liên lạc). Bên cạnh việc thực hiện sao lưu dữ liệu, hãychắc chắn bạn biết cách khôi phục lại dữ liệu. Hãy chuẩn bị rõ ràng một bản ghi trên giấy các bước cần thực hiện việckhôi phục dữ liệu một cách nhanh chóng trong trường hợp khẩn cấp. Trong chương này chúng tôi sẽ bắt đầu bằng việcgiới thiệu một số điều cơ bản về điện thoại thông minh – tìm hiểu một số nền tảng khác nhau và các quy trình cài đặt cơbản để bảo mật cho thông tin và liên lạc của bạn. Các phần tiếp theo của chương này sẽ bao gồm các cảnh báo đặc biệttrong cách sử dụng điện thoại thông minh một cách thông thường. Các mục kế tiếp sẽ tìm hiểu các vấn đề bảo mật của:

Các nền tảng, Thiết lập và Cài đặtCác nền tảng và Hệ điều hành

Tại thời điểm bài viết, những điện thoại thông minh được sử dụng rộng rãi nhất là iPhone của Apple và Android củaGoogle, theo sau đó là sản phẩm sử dụng Blackberry và Windows. Sự khác biệt quan trọng nhất giữa Android và các hệđiều hành khác là Android, hầu hết mọi trường hợp, là hệ thống Nguồn Mở (FOSS [5]), cho phép hệ điều hành này đượckiểm tra một cách độc lập để xác nhận khả năng bảo vệ thông tin người dùng và phương thức liên lạc an toàn. Điều nàycũng cho phép tăng cường phát triển các ứng dụng bảo mật cho nền tảng nguồn mở này. Nhiều nhà phát triển phầnmềm có ý thức về bảo mật phát triển các ứng dụng cho Android với sự chú trọng về an toàn và bảo mật cho người dùng.Một số ứng dụng này sẽ được đề cập rõ trong phần sau của chương này.

Cho dù bạn đang dùng loại điện thoại thông minh nào, có những vấn đề bạn luôn cần chú ý khi sử dụng điện thoại có kếtnối Internet và có các tính năng như GPS [6] hay khả năng kết nối không dây. Trong chương này chúng tôi chú trọng tớicác thiết bị sử dụng nền tảng Android với lý do đã đề cập phía trên đây là cách dễ dàng hơn để bảo mật dữ liệu và cáckết nối liên lạc. Tuy nhiên, hướng dẫn thiết đặt cơ bản cho một số ứng dụng trên các thiết bị chạy hệ điều hành khácAndroid cũng sẽ được cung cấp. Điện thoại Blackberry thường được giới thiệu là thiết bị nhắn tin và gửi thư điện tử ‘antoàn’. Điều này là bởi các tin nhắn và email được truyền trên kênh bảo mật qua các máy chủ của Blackberry, nằm ngoàiphạm vi kiểm soát của những đối tượng nghe lén. Thật không may là ngày càng nhiều các chính quyền yêu cầu truy cậpcác kênh kết nối này với lý do nhu cầu chống lại nguy cơ khủng bố và tội phạm có tổ chức. Ấn độ, Liên hiệp các vươngquốc Ả rập, Ả rap xê ut, Inddoonexxia và Liban là các ví dụ về chính quyền kiểm soát việc sử dụng các thiết bị Blackberryvà yêu cầu truy cập dữ liệu người dùng tại các quốc gia này.

Feature Phones

Một dòng điện thoại di động được gọi với những tính năng cao cấp hơn điện thoại di động cơ bản nhưng chưa phải làđiện thoại thông minh gọi là 'feature phones' (ví dụ Nokia 7705 Twist hay Samsung Rogue). Gần đây, ‘feature phones’ đãđược tăng cường các tính năng có ở điện thoại thông minh. Nhưng nhìn chung, hệ điều hành của dòng ‘feature phones'thường ít khả năng truy cập do đó cơ hội xây dựng ứng dụng và cải thiệt bảo mật là rất hạn chế. Chung tôi không đề cậpriêng tới dòng điện thoại ‘feature phones’ dù nhiều vấn đề đề cập trong chương này có thể cũng hữu ích cho cả dòngđiện thại feature phones.

Điện thoại thông minh gắn nhãn hãng và khóa mạng

Điện thoại thông minh thường được bán sau khi đã được gắn nhãn bởi nhà cung cấp dịch vụ hoặc khóa mạng. Khóamạng điện thoại thông minh nghĩa là thiết bị này chỉ có thể hoạt động với một mạng của chính nhà cung cấp với thẻ SIMđược cấp là thẻ duy nhất hoạt động với thiết bị này. Các nhà cung cấp dịch vụ di động thường thương hiệu hóa điệnthoại họ bán ra bằng cách cài đặt phần mềm lớp giữa (firmware) hoặc phần mềm riêng của họ lên điện thoại. Họ cũng cóthể thêm hoặc bớt một số tính năng của chiếc điện thoại này. Việc thương hiệu hóa là một cách để các công ty tăngcường doanh thu bằng cách định hướng việc sử dụng điện thoại thông minh, thông thường bao gồm cả việc thu thậpthông tin bạn sử dụng điện thoại hay cho phép việc truy cập từ xa vào điện thoại của bạn.

Với những lý do trên, chúng tôi khuyên bạn nên mua một điện thoại không bị thương hiệu hóa bởi nhà cung cấp nếu bạncó lựa chọn. Một điện thoại bị khóa mạng có nguy cơ cao hơn vì dữ liệu của bạn sẽ được định tuyến qua một nhà mạngnơi tập trung mọi luồng dữ liệu kết nối của bạn và bạn không thể thay đổi SIM card của nhà cung cấp dịch vụ khác đểphân tán dữ liệu trên các mạng khác nhau. Nếu điện thoại của bạn bị khóa mạng, hãy nhờ ai đó tin tưởng được giúp bạnmở khóa.

Thiết đặt chung

Điện thoại thông minh có nhiều thiết đặt cho phép kiểm soát bảo mật của thiết bị. Một điều rất quan trọng là chú ý cáchđiện thoại thông minh của bạn được thiết đặt như thế nào. Trong Hướng dẫn Thực hành bên dưới chúng tôi sẽ cảnh báobạn về các thiết đặt bảo mật điện thoại nhất định có thể được sử dụng nhưng không được kích hoạt theo mặc định cũng

như những thiết đặt mặc định khiến điện thoại của bạn không an toàn.

Thực hành: Hãy bắt đầu với Hướng dẫn Cài đặt cơ bản Android [7]

Thực hành: Hãy bắt đầu với Hướng dẫn Cài đặt Cơ bản iPhone [8]

Cài đặt và cập nhật các ứng dụng

Cách thông dụng để cài đặt phần mềm mới lên điện thoại thông minh của bạn là sử dụng Gian hàng Ứng dụng iPhone(iPhone Appstore) hoặc gian hàng Google Play, đăng nhập với thông tin đăng nhập người dùng sau đó tải về và cài đặtứng dụng mong muốn. Với việc đăng nhập bạn liên kết việc sử dụng gian hàng trực tuyến với tài khoản người dùng đăngnhập. Chủ gian hàng trực tuyến lưu trữ thông tin lược sử trình duyệt và lựa chọn ứng dụng của người dùng.

Các ứng dụng được chào bán trên các gian hàng trực tuyến chính thức được chứng nhận bởi chủ gian hàng (Google hayApple), tuy nhiên trên thưc tế điều này cung cấp sự bảo vệ ít ỏi về các hoạt động của ứng dụng sau khi được cài đặt trênđiện thoại của bạn. Ví dụ, một số ứng dụng có thể sao lưu và gửi danh sách địa chỉ liên lạc của bạn sau khi được cài lênmáy điện thoại. Trên các máy Android mỗi ứng dụng cần yêu cầu, trong quá trình cài đặt những hành động gì được chophép khi ứng dụng chạy. Bạn cần để ý cẩn thận tới việc cho phép yêu cầu nào, và liệu những sự chấp thuận này có phùhợp với tính năng tương ứng của ứng dụng đang cài đặt hay không.

Các ứng dụng Android cũng có sẵn từ những nguồn bên ngoài các kênh cung cấp chính thức của Google. Bạn cần nhấnchọn tùy chọn Unknown sources trong Application settings để có thể sử dụng những trang cung cấp ứng dụng này.

Rất hữu ích khi bạn sử dụng các trang thay thế nếu bạn muốn giảm thiểu liên lạc trực tuyến với Google. Chúng tôi giớithiệu F-Droid [9] ('Free Droid'), chuyên cung cấp các ứng dụng Nguồn Mở FOSS [10]. Trong hướng dẫn này, F-Droid là địachỉ nguồn chính cho các ứng dụng chúng tôi giới thiệu, và chúng tôi sẽ chỉ liên kết bạn tới Google Play cho ứng dụngkhông có sẵn trên F-Droid.

Nếu bạn không muôn (hoặc không thể) kết nối trực tuyến để truy cập các ứng dụng, bạn có thể truyền các ứng dụng từđiện thoại của người khác bằng cách copy các tệp .apk [11] (viết tắt của cụm từ 'android application package' – gói ứngdụng android) qua kết nối bluetooth. Một các khác là tải các tệp .apk vào thẻ nhớ Micro SD cho điện thoại của bạn hay sửdụng cáp kết nối để tải các tệp về từ một máy tính PC. Sau khi đã lưu các tệp vào điện thoại, bước đơn giản tiếp theo làấn vào tên tệp và bạn sẽ được hướng dẫn để cài đặt ứng dụng. (Lưu ý: hãy hết sức chú ý khi sử dụng kết nối bluetooth –hãy tìm hiểu Chương 9.2.4: Các tính năng khác ngoài thoại và nhắn tin [12]).

Liên lạc (Thoại và Tin nhắn) dùng Điện thoại ThôngminhHội thoại An toàn

Cơ bản về điện thoại

Trong chương [9.2.2 sự ẩn danh [13] chúng tôi đã thảo luận các phương pháp khác nhau bạn nên cân nhắc để giảm nguycơ bị chặn nghe lén khi sử dụng mạng hạ tầng điện thoại di động của nhà cung cấp dịch vụ để đàm thoại.

Sử dụng Điện thoại thông minh kết nối Internet hay WiFi có thể cung cấp các cách liên lạc bảo mật hơn có thể kể đếnnhư sử dụng thoại qua giao thức IP VoIP [14] và áp dụng các phương thức bảo mật kênh truyền liên lạc này. Một số côngcụ cho điện thoại thông minh còn có thể mở rộng cách thức bảo mật cho không chỉ VoIP, mà cả cho các cuộc gọi điệnthoại di động. (Xem Redphone bên dưới).

Dưới đây là danh sách các công cụ với các điểm mạnh và yếu:

Skype

Là ứng dụng VoIP thương mại phổ biến nhất, Skype [15], có phiên bản cho mọi nền tảng điện thoại thông minh và hoạtđộng hiệu quả khi kết nối không dây của bạn ổn định. Kết nối qua đường mạng điện thoại di động kém ổn định hơn.

Trong Phần 3 [16] của Chương 7: Làm thế nào để bảo mật truyền thông Internet [16], chúng tôi đã đề cập tới nguy cơkhi sử dụng Skype cùng với nguyên nhân tại sao nếu có thể thì nên tránh sử dụng. Nhìn chung, Skype là một phần mềmkhông phải Nguồn Mở và rất khó để có thể xác nhận một cách độc lập mức độ bảo mật của phần mềm này. Hơn thếnữa, Skype đã bị sở hữu bởi Microsoft, họ có lợi ích thương mại để quan tâm tới việc tìm hiểu bạn sử dụng Skype khi nàovà ở đâu. Skype cũng có thể cho phép các cơ quan thực thi luật pháp truy xuất mọi thông tin lịch sử liên lạc của bạn.

Các ứng dụng VoIP khác

Liên lạc sử dụng ứng dụng VoIP thường là miễn phí (hoặc giảm chi phí đáng kể so với các cuộc gọi di động thôngthường) và để lại it dấu vết liên lạc. Trên thực tế một phiên liên lạc VoIP bảo mật là cách an toàn nhất để đàm thoại.

CSipSimple [17] là phần mềm VoIP mạnh mẽ cho các điện thoại Android được phát triển và duy trì tốt cùng với nhiều tính

năng trợ giúp thiết đặt cho các dịch vụ VoIp khác nhau.

Mạng Thoại Bảo mật Kiến trúc Mở (OSTN) [18] và máy chủ cung cấp bởi dự án Guardian, ostel.me [19], gần đây đưa ramột trong những phương thức kết nối thoại bảo mật nhất. Hiểu rõ và tin tưởng đơn vị vận hành máy chủ VoIP bạn sửdụng để kết nối là một sự cân nhắc quan trọng. Nhà cung cấp máy chủ cho dịch vụ này - Guardian Project [20] – nổi tiếngvà có uy tín trong cộng đồng.

Khi sử dụng CsipSimple, bạn không bao giờ kến nối trực tiếp với đối tác liên lạc, thay vào đó luồng dữ liệu sẽ được địnhtuyến qua máy chủ Ostel. Điều này khiến cho việc theo dõi dữ liệu và tìm ra đối tác liên lạc của bạn. Hơn nữa, Ostelkhông lưu trữ bất kỳ thông tin dữ liệu nào ngoài thông tin tài khoản cần để đăng nhập. Tất cả dữ liệu thoại được mã hóabảo mật và ngay cả siêu dữ liệu, thường đã rất khó để khai thác, cũng sẽ trở nên khó khăn hơn khi thông tin được địnhtuyến qua máy chủ ostel.me. Nếu bạn tải về CsipSimple từ ostel.me, chương trình sẽ được cấu hình trước để sử dụngmáy chủ ostel.me khiến cho việc cài đặt và sử dụng rất dễ dàng.

RedPhone [21] là ứng dụng Miễn phí và Nguồn Mở thực hiện việc mã hóa dữ liệu liên lạc thoại giữa hai thiết bị sử dụngphần mềm này. Chương trình rất dễ cài đặt và sử dụng với giao diện quay số và liên lạc truyền thống. Đối tác liên lạccủa bạn cần cài đặt và sử dụng RedPhone để đàm thoại với bạn. Để thuận tiện, RedPhone sử dụng số điện thoại củabạn làm thông tin xác nhận (giống như tên người dùng tron các ứng dụng VoIP khác). Tuy nhiên điều này sẽ kiến việcphân tích dữ liệu và truy tìm ngược ra bạn dễ dàng hơn, qua số điện thoại của bạn. RedPhone sử dụng một máy chủtrung tâm, là điểm tập trung dữ liệu và do đó cho phép RedPhone ở vị trí quan trọng (về kiểm soát một số thông tin trên).Hướng dẫn Thực hành CsipSimple, Ostel.me và Redphone sẽ được giới thiệu tới đây. Bạn có thể tìm hiểu thêm thông tintheo các đường dẫn cung cấp phía trên.

Gửi Tin nhắn An toànBạn nên lưu ý khi gửi tin nhắn SMS và khi nhắn tin trực tuyến trên điện thoại thông minh.

SMS

Như đã mô tả trong Chương 9.2.3 Liên lạc qua Tin nhắn – SMS / Tin nhắn [22], Trao đổi SMS ở mặc định là rất khôngan toàn. Bất kỳ ai có thể truy cập hạ tầng mạng viễn thông di động đều có khả năng chặn nghe lén các tin nhắn này dễdàng và đây là điều xảy ra thường xuyên trong nhiều trường hợp. Không tin tưởng sử dụng việc nhắn tin trong các tìnhhuống nghiêm trọng cần bảo mật. Không có cách nào xác thực tin nhắn SMS, do đó sẽ không thể xác định được nội dungtin nhắn có bị thay đổi trong quá trình truyền hay liệu người gửi tin nhắn có thực sự là ai đó mà họ tự nhận không.

Bảo mật SMS

TextSecure [23] là công cụ Nguồn Mở Miễn phí FOSS [24] cho phép gửi và nhận SMS bảo mật trên điện thoại Android.Chương trình cho phép gửi tin nhắn mã hóa và không mã hóa nên bạn có thể sử dụng làm ứng dụng SMS mặc định. Đểtrao đổi tin nhắn mã hóa, ứng dụng này cần được cài đặt trên cả máy điện thoại của người nhận và người gửi, do đó bạnsẽ cần yêu cầu đối tác liên lạc cài đặt ứng dụng này lên điện thoại của họ. Textsecure tự động xác định khi một tin nhắnmã hóa được gửi đến từ một người dùng Textsecure khác. Chương trình cho phép bạn gửi tin nhắn mã hóa tới nhiều hơnmột người nhận. Các tin nhắn sẽ được tự động ký số cho phép việc thay đổi nội dung tin nhắn trên đường truyền là gầnnhư không thể. Trong phần hướng dẫn thực hành Textsecure chung tôi sẽ giải thích chi tiết các tính năng của công cụnày cũng như cách sử dụng.

Thực hành: Hãy bắt đầu với Hướng dẫn Textsecure [25]

Nhắn tin trực tuyến An toàn

Tin nhắn và trò chuyện trực tuyến sử dụng điện thoại có thể tạo ra nhiều thông tin có nguy cơ bị chặn nghe lén. Nhữngcuộc hội thoại như vậy có thể được sử dụng chống lại bạn bởi các thế lực thù địch về sau này. Chính vì vậy bạn nên hếtsức cảnh giác về những gì sẽ trao đổi qua tin nhắn trên điện thoại khi nhắn tin trực tuyến. Có một số cách nhắn tin trựctuyến an toàn. Cách tối ưu là dùng phương pháp mã hóa từ gửi tới nhận, bằng cách này bạn có thể chắc chắn rằng ngườiở đầu kia chính là người bạn muốn trao đổi tin tức.

Chúng tôi khuyến nghị sử dụng Gibberbot [26] là ứng dụng nhắn tin trực tuyến cho điện thoại Android. Gibberbot cung cấptính năng mã hóa mạnh và dễ sử dụng để nhắn tin với giao thức Nhắn tin Off-the-Record [27]. Việc mã hóa này cung cấpkhả năng xác thực (bạn có thể xác thực rằng bạn đang trao đổi với đúng người) và khả năng bảo mật độc lập cho từngphiên liên lạc đảm bảo nếu việc mã hóa của một phiên liên lạc bị lộ, các phiên liên lạc trong quá khứ và tương lai sẽ vẫnđảm bảo an toàn. Gibberbot được thiết kế để làm việc với Orbot nên tin nhắn trực tuyến của bạn sẽ được định tuyến quamạng ẩn danh Tor [28]. Điều này khiến cho việc truy dấu vết hoặc thậm chí việc phát hiện có liên lạc sẽ rất khó khăn.

Thực hành: Hãy bắt đầu với Gibberbot Guide [29]

Với điện thoại iPhone, tiện ích ChatSecure [30] cung cấp tính năng tương tự, tuy nhiên sẽ không dễ dàng để thiết đặt tiệních sử dụng với mạng ẩn danh Tor [28]. Phần Hướng dẫn Thực hành ChatSecure sẽ sớm được giới thiệu. Bạn có thể xemthêm thông tin tại trang chủ [30]. Với bất kỳ ứng dụng nào bạn sẽ sử dụng, hãy luôn cân nhắc xem tài khoản nào bạn sẽ sửdụng cho việc nhắn tin trực tuyến. Ví dụ khi bạn sử dụng tài khoản Google Talk, Google sẽ biết thông tin đăng nhập vàthời gian truy cập của bạn. Đồng thời hãy đồng ý với đối tác liên lạc về việc không lưu lại lịch sử trao đổi đặc biệt là khinhững hội thoại này không được mã hóa.

Lưu trữ Thông tin trên Điện thoại Thông minhĐiện thoại thông minh thường có khả năng lưu trữ cao. Thật không may là dữ lieuj lưu trữ trên thiết bị của bạn có thể dễdàng bị truy cập bởi bên thứ ba, có thể là truy cập từ xa hoặc truy cập trực tiếp vào điện thoại. Một số lưu ý để giảm thiểuviệc truy cập không phù hợp tới các thông tin của bạn được giải thích trong Hướng dẫn Cài đặt Cơ bản cho Android [7]

và Hướng dẫn Cài đặt Cơ bản cho iPhone [8]. Ngoài ra, bạn có thể thực hiện các bước để mã hóa các thông tin nhạycảm trên điện thoại sử dụng các công cụ riêng.

Các tiện ích mã hóa dữ liệu

Công cụ Android Privacy Guard (APG) [31] cho phép sử dụng OpenGPG mã hóa cho tệp và thư điện tử. Việc mã hóagiúp lưu tệp và tài liệu của bạn một cách an toàn trên điện thoại cũng như khi gửi thư điện tử.

Thực hành: hãy bắt đầu với Hướng dẫn APG [32]

Cryptonite [33] là một công cụ mã hóa tệp Nguồn Mở Miễn phí. Cryptonite có nhiều tính năng cao cấp đặc biệt dành chođiện thoại Android được cấu hình toàn quyền điều khiển (rooted) với phần mềm trung gian tùy chỉnh. Xem thêm phần Sửdụng Nâng cao Điện thoại Thông minh [34] để có thêm hướng dẫn.

Thực hành: Hãy bắt đầu với Hướng dẫn Cryptonite [35]

Giữ Mật khẩu An toàn

Bạn có thể quản lý tất cả các mật khẩu cần thiết trong một tệp được mã hóa bảo mật sử dụng Keepass. Bạn sẽ chỉ cầnmột mật khẩu chủ để truy cập tất cả các mật khẩu được quản lý. Với Keepass bạn có thể sử dụng những mật khẩu đủmạnh cho từng tài khoản sử dụng vì Keepass sẽ ghi nhớ các mật khẩu này cho bạn và tiện ích này cũng cung cấp tínhnăng sinh mật khẩu để tạo những mật khẩu mới. Bạn có thể đồng bộ cơ sở dữ liệu mật khẩu trong Keepass giữa điệnthoại và máy tính của mình. Chúng tôi khuyên bạn chỉ nên thực hiện việc đồng bộ các mật khẩu bạn sử dụng trên điệnthoại. Bạn có thể tạo một cơ sở dữ liệu mật khẩu riêng nhỏ hơn trên máy tính để đồng bộ với điện thoại thay vì sao chéptoàn bộ cơ sở dữ liệu với tất cả các mật khẩu bạn sử dụng lên trên điện thoại của mình. Đồng thời, vì mọi mật khẩu sẽđược quản lý bởi một mật khẩu chủ, một điều hết sức quan trọng là lựa chọn và sử dụng mật khẩu chủ thật mạnh đểquản lý cơ sở dữ liệu mật khẩu với Keepass. Hãy tham khảo Chương 3: Làm thế nào để tạo và duy trì mật khẩu bảomật [36].

Thực hành: Hãy bắt đầu với Hướng dẫn MiniKeepass [37]

Gửi Thư điện tử dùng Điện thoại Thông minhTrong phần này chúng tôi sẽ đề cập ngắn gọn về việc sử dụng thư điện tử trên điện thoại thông minh. Chúng tôi khuyếnkhích các bạn tìm hiểu thêm các phần Bảo mật thư điện tử [38] và Mẹo phản ứng khi nghi ngờ hòm thư bị theo dõi [39]

trong Chương 7: Làm thế nào để bảo mật truyền thông trên Internet của bạn [40]

Ngay ban đầu hãy cân nhắc xem liệu bạn có thực sự cần truy cập thư điện tử sử dụng điên thoại hay không. Bảo mật chomáy tính và các thông tin trên đó về tổng thể sẽ đơn giản hơn so với đối với thiết bị di động như điện thoại thông minh.Điện thoại thông minh rất dễ bị mất cắp, theo dõi và xâm nhập.

Nếu bạn thực sự cần phải truy cập thư điện tử sử dụng chiếc điện thoại thông minh, có một số hành động bạn cần thựchiện để giảm thiểu nguy cơ bảo mật.

Không sử dụng điện thoại thông minh là phương tiện chính truy cập thư điện tử. Việc tải về (và di chuyển) thư từmáy chủ thư và chỉ lưu trữ lên điện thoại là không nên thực hiện. bạn có thể cài đặt ứng dụng thư điện tử để tải vềbản sao của các thư điện tử từ máy chủ thư.

Nếu bạn sử dụng việc mã hóa thư điện tử với một số đối tác liên lạc, hãy cân nhắc việc cài đặt tiện ích mã hóa nàylên điện thoại thông minh. Điều này có thêm lợi ích là các thư điện tử mã hóa sẽ vẫn an toàn trong trường hợp điệnthoại của bạn rơi vào tay kẻ xấu.

Lưu các khóa mã hóa riêng trên máy điện thoại có thể khá rủi ro. Nhưng lợi ích của việc có thể gửi và lưu trữ thư điện tửmã hóa bảo mật có thể sẽ lớn hơn rủi ro này. Hãy cân nhắc việc tạo ra các cặp khóa mã hóa chỉ dùng trong trường hợpsử dụng các thiết bị di động ( sử dụng tiện ích APG [31]) khi đó bạn sẽ không cần sao chép khóa riêng từ máy tính vàođiện thoại. Hãy lưu ý rằng điều này đòi hỏi bạn phải yêu cầu các đối tác liên lạc cũng mã hóa thư điện tử sử dụng khóacông khai dành cho thiết bị di động của bạn.

Thực hành: Hãy bắt đầu với Hướng dẫn K9 và APG [41]

Ghi hình ảnh với Điện thoại Thông minhViệc ghi hình ảnh, phim hay âm thanh sử dụng điện thoại thông minh có thể là công cụ hữu hiệu để ghi và chia sẻ các sựkiện quan trọng. Tuy nhiên, một điều hết sức quan trọng là phải cẩn trọng và tôn trọng quyền riêng tư cũng như an toàn

của những người được chụp ảnh ghi hình hay ghi âm. Ví dụ, nếu bạn chụp hình hay quay phim và ghi âm một sự kiệnquan trọng nào đó, có thể sẽ nguy hiểm cho bản thân bạn hay cho những người được ghi hình nếu chiếc điện thoại củabạn rơi vào tay kẻ xấu. Trong trường hợp này, những gợi ý sau có thể hữu ích:

Có một cơ chế tải an toàn các tệp ghi hình ảnh lên một địa địa chỉ lưu trữ trực tuyến được bảo mật và xóa những tệpnày khỏi điện thoại ngay lập tức ( ngay khi bạn có thể) sau khi ghi hình.

Sử dụng công cụ làm nhòe ảnh mặt của những người xuất hiện trong hình hoặc phim hay làm méo tiếng của âmthanh được ghi và chỉ lưu các tệp phim ảnh đã làm nhòe ảnh mặt và méo tiếng trên điện thoại của bạn.

Bảo vệ hoặc xóa các thông tin siêu dữ liệu về thời gian và địa điểm trong các tệp phim và hình ảnh.

Guardian Project [20] đã phát triển một ứng dụng Nguồn Mở Miễn phí FOSS [24] là ObscuraCam [42] có khả năng nhậndạng khuôn mặt và làm mờ ảnh mặt. Bạn có thể chọn chế độ làm mờ ảnh và tất nhiên là cả đối tượng cần làm nhòe.Obscuracam cũng có thể xóa các bức ảnh gốc và nếu bạn đã thiết đặt một máy chủ lưu trữ các hình ảnh đã chụp, tiện íchnày hỗ trợ tính năng tải ảnh lên rất dễ dàng.

Thực hành: Hãy bắt đầu với *Hướng dẫn Obscuracam * [43]

Tại thời điểm bài viết này, tổ chức nhân quyền Witness [44] đang hợp tác với Guardian project về giải pháp cho cả bađiểm nêu trên.

Truy cập Internet một cách Bảo mật qua Điện thoạiThông minhNhư đã thảo luận trong Chuong 7: Làm thế nào để bảo mật truyền thông Internet của bạn [40] và Chương 8: Làmthế nào để đảm bảo nặc danh và vượt qua sự kiểm duyệt trên mạng Internet [45], truy cập nội dung trên Internet,hoặc đăng tải các thông tin trực tuyến như hình ảnh hoặc các đoạn phim, sẽ để lại những dấu vết tiết lộ bạn là ai và bạnđang làm gì. Điều này có thể khiến bạn gặp nguy hiểm. Việc sử dụng điện thoại thông minh để truy cập Internet sẽ khiếnnhững nguy cơ trên ở mức độ lớn hơn.

Truy cập qua kết nối WiFi hoặc Mạng Di động

Điện thoại thông minh cho phép bạn lựa chọn cách bạn kết nối vào Internet: có thể qua kết nối không dây từ một thiết bịphát không dây (như trong một quán café Internet), hoặc qua kết nối dữ liệu mạng di động, như GPRS, EDGE, hay UMTSđược cung cấp bởi nhà cung cấp dịch vụ mạng di động.

Sử dụng kết nối không dây sẽ giảm các dấu vết dữ liệu bạn có thể để lại trong mạng của nhà cung cấp dịch vụ di động(bởi không kết nối sử dụng các thông tin đăng ký dịch vụ di động). Tuy nhiên, trong nhiều trường hợp, kết nối qua mạngthông tin di động là cách duy nhất. Rất không may là các giao thức kết nối dữ liệu cho mạng điện thoại di động ( nhưEDGE hay UMTS) đều không phải là các chuẩn mở. Các nhà phát triển độc lập và các kỹ sư bảo mật không thể tìm hiểuvà kiểm tra các giao thức này để hiểu rõ về cách các giao thức này được cài đặt như thế nào bởi các nhà cung cấp dịchvụ di động.

Ở một số quốc gia các đơn vị cung cấp dịch vụ điện thoại di động hoạt động trong điều kiện pháp lý khác biệt so với cácđơn vị cung cấp dịch vụ kết nối Internet, điều này cho phép việc giám sát và theo dõi sẽ chặt chẽ hơn bởi các nhà cungcấp và chính quyền các nước này.

Dù bạn phải sử dụng phương thức kết nối dữ liệu nào qua điện thoại thông minh, bạn luôn có thể giảm thiểu các nguy cơđể lộ dữ liệu bằng các sử dụng các công cụ năng danh và mã hóa.

Sự nặc danh

Để truy cập các thông tin một cách nặc danh, bạn có thể sử dụng ứng dụng Android là Orbot [46]. Orbot định tuyến luồngthông tin liên lạc của bạn qua mạng ẩn danh Tor.

Thực hành: Hãy bắt đầu với Hướng dẫn Orbot [47]

Một tiện ích khác, Orweb, là một trình duyệt web có các tính năng bảo mật tăng cường giống như sử dụng các máy chủtrung chuyển và không lưu lại lược sử truy cập. Orbot và Orweb kết hợp vượt qua các bộ lọc chặn và tường lửa và chophép truy cập trực tuyến nặc danh.

Thực hành: Hãy bắt đầu với Hướng dẫn Orweb [48]

Máy chủ trung chuyển

Phiên bản dành cho di động của Firefox [49] - Firefox mobile [50] có thể được tích hợp các tiện ích mở rộng máy chủ trungchuyển giúp định tuyến dữ liệu kết nối của bạn tới một máy chủ trung chuyển. Từ máy chủ trung gian này dữ liệu củabạn được chuyển tới trang web bạn truy cập. Giải pháp này hữu ích trong trường hợp mạng bị kiểm duyệt, nhưng sẽ vẫnđể lộ yêu cầu truy cập của bạn trừ khi kết nối từ trình duyệt của bạn tới máy chủ trung chuyển được mã hóa. Chúng tôikhuyên dùng tiện ích mở rộng Proxy Mobile [51] (cũng được phát triển bởi Guardian Project [52], cho phép tạo kết nối máy

khuyên dùng tiện ích mở rộng Proxy Mobile (cũng được phát triển bởi Guardian Project , cho phép tạo kết nối máychủ trung chuyển dễ dàng với Firefox. Đây cũng là cách duy nhất để định tuyến kết nối từ trình duyệt Firefox mobile tớiOrbot và sử dụng mạng nặc danh Tor [28].

Bảo mật Nâng cao Điện thoại Thông minhTạo quyền truy cập đầy đủ vào điện thoại thông minh của bạnHầu hết các điện thoại thông minh có nhiều tính năng hơn những gì hệ điều hành cài đặt sẵn, các phần mềm của nhàsản xuất (phần mềm lớp giữa), hay các chương trình của nhà cung cấp dịch vụ điện thoại cho phép. Nhiều chức năng bị‘khóa’ một cách nghịch lý khiến người dùng không thể sử dụng hoặc thay thế các tính năng này, và chúng tồn tại ngoàitầm kiểm soát của người dùng. Trong hấu hết các trường hợp, những tính năng này không thực sự cận thiết cho ngườidùng điện thoại thông minh. Tuy nhiên có những tính năng và ứng dụng có thể nâng cao tính bảo mật cho dữ liệu và kếtnối trên điện thoại thông minh. Đồng thời có những tính năng cài đặt sẵn cần được gỡ bỏ để tránh các nguy cơ bảo mật.

Vì điều này và những lý do khác, nhiều người dùng điện thoại thông minh chọn cách can thiệp và cài đặt các phần mềmvà chương trình lên điện thoại thông minh của họ để đạt được quyền truy cập đầy đủ cho phép họ cài đặt một số chứcnăng nâng cao hay gỡ bỏ hoặc giảm bớt những tính năng khác.

Tiến trình thực hiện việc vượt qua các hạn chế của hệ điều hành cài đặt bởi các nhà cung cấp dịch vụ mạng hay nhà sảnxuất trên điện thoại thông minh được gọi là ‘mở khóa’ ‘rooting’ (đối với các thiết bị Android) và jailbreaking ( trong thườnghợp các thiết bị dùng iOS, như iPhone hay iPad). Thông thường, việc mở khóa thành công sẽ cho bạn toàn quyền truycập để có thể cài đặt và sử dụng các ứng dụng bổ sung, cho phép thay đổi các cấu hình trước khi mở khóa không thểthực hiện được, và toàn quyền kiểm soát việc lưu trữ dữ liệu và thẻ nhớ của điện thoại thông minh.

CẢNH BÁO: Việc mở khóa (Rooting hay jailbreaking) có thể là quá trình không khôi phục lại trạng thái cũ được, vàthường yêu cầu kinh nghiệm về cài đặt và cấu hình phần mềm. Hãy cân nhắc kỹ các điều sau trước khi tiến hành ‘mởkhóa’:

Sẽ có rủi ro khiến điệnt thoại của bạn không thể hoạt động được nữa, hay ‘mất hết chức năng’.

Bảo hành của nhà sản xuất hay nhà cung cấp dịch vụ di động có thể bị từ chối.

Ở một số nơi, việc mở khóa phần mềm là phạm pháp.

Tuy nhiên, nếu bạn thực hiện cẩn thận, việc mở khóa thiết bị là cách trực tiếp để có quyền kiểm soát chiếc điện thoạithông minh của bạn và khiến nó trở nên an toàn hơn.

Phần mềm Lớp giữa Thay thếNếu bạn sở hữu điện thoại Android, bạn có thể cân nhắc cài đặt thay thế phần mềm lớp giữa để tăng cường thêm khảnăng kiểm soát chiếc điện thoại của mình. Hãy lưu ý rằng đề có thể cài đặt phần mềm lớp giữa thay thế, bạn cần trướchết phải có quyền truy cập tối đa bằng việc ‘mở khóa’ điện thoại của mình.

Một ví dụ về phần mềm lớp giữa thay thế cho điện thoại Android là Cyanogenmod [53] cho phép bạn, lấy một ví dụ, gỡ bỏcác ứng dụng ở mức hệ thống trên điện thoại của bạn (ví dụ các ứng dụng được cài bởi nhà sản xuất hoặc nhà cung cấpdịch vụ di động). Bằng cách đó, bạn có thể giảm bớt nguy cơ thiết bị của mình bị theo dõi, như khả năng tự động gửi dữliệu tới nhà cung cấp dịch vụ mà bạn không hề hay biết.

Hơn thế nữa, Cyanogenmod mặc định có cài đặt săn ứng dụng OpenVPN, ứng dụng này có thể khá khó để tự cài đặt.VPN ( mạng riêng ảo) là một trong các cách bảo mật định tuyến kết nối Internet của bạn (hãy xem bên dưới).

Cyanogenmod đồng thời cung cấp chế độ truy cập Incognito, với chế độ này lịch sử liên lạc của bạn không được lưu lạitrên điện thoại.

Cyanogenmod bao gồm nhiều tính năng khác. Tuy nhiên phần mềm lớp giữa này không được hỗ trợ bởi mọi thiết bịAndroid, vì vậy trước khi thực hiện cài đặt, hãy kiểm tra danh sách các thiết bị hỗ trợ [54].

Mã hóa toàn bộ các ổ đĩa

Nếu điện thoại của bạn đã được ‘mở khóa’, bạn có thể cân nhắc việc mã hóa toàn bộ thiết bị lưu trữ dữ liệu hoặc tạo mộtvùng nhớ trên điện thoại để bảo vệ một số thông tin trên đó. Luks Manager [55] cho phép việc mã hóa tức thời đơn giảncác vùng nhớ với giao diện người dùng rất thân thiện. Chúng tôi hết sức khuyến nghị bạn sử dụng công cụ này trước khilưu trữ dữ liệu trên chiếc điện thoại Android của mình và sử dụng Ổ đĩa Mã hóa được tạo bởi Luks Manager để lưu trữ dữliệu của mình.

Dự án Whisper Systems đang phát triển ứng dụng WhisperCore [56] cho phép mã hóa toàn bộ thiết bị Android của bạn.

Mạng Riêng Ảo (VPN)

Một kết nối VPN cung cấp một kênh mã hóa qua mạng Internet giữa thiết bị của bạn và máy chủ VPN. Kênh này đượcgọi là đường hầm, vì không giống như các kênh truyền mã hóa khác, như https, kênh này ẩn toàn bộ ccs dịch vụ, giao

thức và nội dung. Một đường hầm VPN được thiết lập một lần và tồn tại đến khi bạn quyết định tắt kết nối đó.

Hãy lưu ý, do luồng dữ liệu của bạn sẽ đi qua máy chủ trung chuyển hay máy chủ VPN, bên thứ ba chỉ cần truy cập đượcvào máy chủ này để phân tích theo dõi các hoạt động liên lạc của bạn. Vì vậy một điều quan trọng là phải chọn cẩn thậnnhà cung cấp dịch vụ máy chủ trung chuyển và VPN. Một điều nên thực hiện là sử dụng các máy chủ trung gian và/hoặcmáy chủ VPN vì việc phân tán luồng dữ liệu sẽ giúp giảm nguy cơ bị ảnh hưởng bởi một dịch vụ đã bị kiểm duyệt.

Chúng tôi giới thiệu sử dụng máy chủ RiseUp VPN [57]. Bạn có thể sử dụng máy chủ VPN RiseUp trên thiết bị Androidsau khi cài đặt Cyanogenmod (xem phía trên). Việc thiết lập kết nối tới máy chủ RiseUp VPN cho điện thoại iPhone cũngkhá dễ dàng – hãy xem thêm tại đây [58].

URL nguồn (được tìm thấy vào ngày 04/11/2015 - 03:17): https://info.securityinabox.org/vi/chuong-11

Các liên kết:[1] https://info.securityinabox.org/vi/chuong-10[2] https://info.securityinabox.org/vi/Glossary#GPS[3] https://info.securityinabox.org/vi/chuong-9[4] https://info.securityinabox.org/vi/chuong-5[5] https://info.securityinabox.org/vi/Glossary#FOSS[6] https://info.securityinabox.org/vi/glossary#GPS[7] https://info.securityinabox.org/vi/android_basic[8] https://info.securityinabox.org/vi/iphone_basic[9] http://f-droid.org[10] https://info.securityinabox.org/vi/glossary#FOSS[11] https://info.securityinabox.org/en/glossary#apk[12] https://info.securityinabox.org/vi/chuong_9_2_4[13] https://info.securityinabox.org/vi/chuong_9_2_2[14] https://info.securityinabox.org/en/Glossary#VoIP[15] https://info.securityinabox.org/vi/glossary#skype[16] https://info.securityinabox.org/vi/chuong_7_3[17] http://f-droid.org/repository/browse/?fdid=com.csipsimple&fdpage=4[18] https://guardianproject.info/wiki/OSTN[19] https://ostel.me[20] https://guardianproject.info[21] https://play.google.com/store/apps/details?id=org.thoughtcrime.redphone[22] https://info.securityinabox.org/vi/chuong_9_2_3[23] https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms[24] https://info.securityinabox.org/en/glossary#FOSS[25] https://info.securityinabox.org/vi/textsecure_main[26] https://guardianproject.info/apps/gibber/[27] https://info.securityinabox.org/vi/glossary#OTR[28] https://info.securityinabox.org/vi/glossary#Tor[29] https://info.securityinabox.org/vi/gibberbot_main[30] https://chatsecure.org[31] https://info.securityinabox.org/vi/APG_main[32] https://info.securityinabox.org/en/APG_main[33] https://code.google.com/p/cryptonite/[34] https://info.securityinabox.org/vi/chuong_11_8[35] https://info.securityinabox.org/vi/Cryptonite_main[36] https://info.securityinabox.org/vi/chuong-3[37] https://info.securityinabox.org/vi/KeepassDroid_main[38] https://info.securityinabox.org/vi/chapter_7_1[39] https://info.securityinabox.org/en/chuong_7_2[40] https://info.securityinabox.org/vi/chuong-7[41] https://info.securityinabox.org/vi/K9_main[42] https://guardianproject.info/apps/obscuracam/[43] https://info.securityinabox.org/vi/Obscuracam_main[44] https://info.securityinabox.org/vi/www.witness.org[45] https://info.securityinabox.org/vi/chuong-8[46] https://www.torproject.org/docs/android.html.en[47] https://info.securityinabox.org/vi/Orbot_main[48] https://info.securityinabox.org/vi/Orweb_main[49] https://info.securityinabox.org/vi/glossary#Firefox[50] http://f-droid.org/repository/browse/?fdid=org.mozilla.firefox[51] https://guardianproject.info/apps/proxymob-firefox-add-on/[52] https://guardianproject.info/[53] http://www.cyanogenmod.com[54] http://www.cyanogenmod.com/devices[55] http://www.whispersys.com/[56] http://www.whispersys.com/whispercore.html[57] https://help.riseup.net/en/vpn[58] https://support.apple.com/kb/HT1424