Câu chuyện về Jennifer Lawrence thống trị khắp các mặt báo trong ngày hôm đó. Đây là một phần trong sự kiện The Fappening[9], một đợt rò rỉ lớn những bức ảnh khỏa thân và bán khỏa thân của Rihanna, Kate Upton, Kaley Cuoco, Adrianne Curry cùng gần 300 người nổi tiếng khác, hầu hết đều là phụ nữ – các bức ảnh lưu trữ trong điện thoại di động của họ đã bị truy cập từ xa rồi bị đem chia sẻ trên mạng. Dĩ nhiên, một số người rất thích thú khi được xem những bức ảnh này; tuy nhiên, với nhiều người khác, sự cố này là một lời nhắc nhở đáng lo ngại rằng điều tương tự cũng có thể xảy ra với chính họ.
[9] The Fappening (từ ghép giữa từ fap (thủ dâm) và tên bộ phim thuộc thể loại tâm lý kinh dị, The Happening): Tên do giới truyền thông và người dùng Internet đặt cho sự kiện gần 500 bức ảnh riêng tư nhạy cảm của nhiều người nổi tiếng bị phát tán trên mạng, xảy ra vào ngày 31/8/2014.
Những hình ảnh riêng tư của Jennifer Lawrence và những người khác đã bị tiếp cận như thế nào?
Do tất cả những người nổi tiếng đều sử dụng iPhone, nên theo suy đoán ban đầu, đây có lẽ là một cuộc xâm phạm dữ liệu lớn nhắm vào iCloud, một dịch vụ lưu trữ đám mây của Apple dành cho người dùng iPhone. Khi thiết bị vật lý hết bộ nhớ, khách hàng có thể lưu các dữ liệu hình ảnh, file, nhạc, và trò chơi trên máy chủ ở Apple, thường là với một khoản phí nhỏ hàng tháng. Google cũng cung cấp dịch vụ tương tự cho Android.
Apple, vốn hầu như không bao giờ bình luận trên các phương tiện truyền thông về vấn đề an ninh, phủ nhận mọi sai sót từ phía họ. Công ty này đưa ra một tuyên bố gọi vụ việc trên là “cuộc tấn công nhắm vào tên người dùng, mật khẩu, và câu hỏi bảo mật,” đồng thời bổ sung thêm rằng, “Trong các trường hợp mà chúng tôi đã điều tra, không có trường hợp nào xảy ra do hành vi xâm phạm vào các hệ thống của Apple, bao gồm iCloud hay ứng dụng Tìm iPhone.”
Những bức ảnh trên xuất hiện trước tiên ở một diễn đàn hacker chuyên đăng tải ảnh bị đánh cắp. Diễn đàn này có nhiều cuộc thảo luận sôi nổi về các công cụ điều tra số[10] dùng để đánh cắp những bức ảnh đó. Các nhà nghiên cứu, điều tra viên, và cơ quan thực thi pháp luật sử dụng những công cụ này để truy cập dữ liệu từ các thiết bị hoặc đám mây, thường là để điều tra một vụ phạm tội. Và tất nhiên, chúng cũng còn nhiều công dụng khác.
[10] Điều tra số (digital forensics): Một nhánh của khoa học pháp y, bao gồm việc khôi phục và điều tra các tài liệu được tìm thấy trong các thiết bị kỹ thuật số, thường là có liên quan đến tội phạm máy tính.
Một trong những công cụ được thảo luận công khai trên diễn đàn này, Elcomsoft Phone Password Breaker[11], gọi tắt là EPPB, được thiết kế để giúp các cơ quan thực thi pháp luật cũng như các cơ quan chính phủ có thể truy cập vào các tài khoản iCloud và được rao bán công khai. Đây chỉ là một trong nhiều công cụ có sẵn, nhưng có vẻ nó là phổ biến nhất trên diễn đàn này. EPPB yêu cầu trước tiên người dùng phải có thông tin về tên đăng nhập và mật khẩu iCloud của mục tiêu cần tấn công. Tuy nhiên, đối với những người sử dụng diễn đàn này, việc lấy tên đăng nhập và mật khẩu iCloud không phải là chuyện khó. Tình cờ, vào dịp cuối tuần nghỉ lễ đó trong năm 2014, một người đã đăng lên kho lưu trữ mã nguồn trực tuyến phổ biến Github một công cụ gọi là iBrute, một cơ chế bẻ khóa mật khẩu được thiết kế để lấy thông tin đăng nhập iCloud của bất kỳ ai.
[11] Elcomsoft Phone Password Breaker: Công cụ trả phí dùng để tìm lại các dữ liệu cần thiết, như dò lại mật khẩu iCloud khi bị quên thông qua bản dự phòng trên iTunes.
Sử dụng kết hợp iBrute và EPPB, kẻ xấu có thể mạo danh nạn nhân và tải xuống bản sao lưu đầy đủ dữ liệu iPhone của nạn nhân đó trên đám mây và đưa vào một thiết bị khác. Tính năng rất hữu ích với người dùng khi họ nâng cấp điện thoại. Và nó cũng có giá trị đối với kẻ tấn công, bởi hắn có thể thấy mọi hoạt động bạn từng thực hiện trên thiết bị di động của mình. Điều này mang lại nhiều thông tin hơn so với việc chỉ đăng nhập vào tài khoản iCloud của nạn nhân.
Jonathan Zdziarski, cố vấn điều tra số kiêm nhà nghiên cứu an ninh, chia sẻ với tạp chí Wiredrằng kết quả kiểm tra các bức ảnh bị rò rỉ do ông thực hiện khớp với việc sử dụng iBrute và EPPB. Khi chiếm được quyền truy cập vào một bản sao lưu dữ liệu iPhone được khôi phục, kẻ tấn công sẽ lấy được rất nhiều thông tin cá nhân có thể sử dụng để tống tiền sau này.
Tháng 10 năm 2016, Ryan Collins, một người 36 tuổi sống ở Lancaster, Pennsylvania, bị kết án 18 tháng tù vì tội “truy cập trái phép vào một máy tính được bảo vệ để lấy thông tin” liên quan đến vụ tấn công trên. Hắn bị buộc tội truy cập trái phép vào hơn 100 tài khoản email của Apple và Google.
Để bảo vệ tài khoản iCloud và các tài khoản trực tuyến khác của mình, bạn phải đặt mật khẩu mạnh. Điều đó là hiển nhiên. Tuy nhiên, theo kinh nghiệm của bản thân với tư cách là một chuyên gia kiểm định an ninh – tức người được thuê để tấn công vào các mạng máy tính nhằm tìm kiếm các lỗ hổng – tôi thấy rằng nhiều người, kể cả lãnh đạo các tập đoàn lớn, rất lười đặt mật khẩu. Một ví dụ là Michael Lynton, Giám đốc Điều hành của hãng Sony Entertainment. Ông này dùng cụm ký tự “sonyml3” làm mật khẩu tài khoản tên miền của mình. Không có gì ngạc nhiên khi email của ông bị tấn công và phát tán trên Internet vì kẻ tấn công nắm được quyền truy cập vào gần như mọi cơ sở dữ liệu trong công ty với vai trò quản trị viên.
Ngoài mật khẩu liên quan đến công việc, còn có mật khẩu bảo vệ các tài khoản riêng tư. Việc chọn một mật khẩu khó đoán không ngăn được các công cụ tấn công như oclHashcat (một công cụ phá mật khẩu lợi dụng các đơn vị xử lý đồ họa – hay GPU – để thực hiện tấn công tốc độ cao), nhưng nó sẽ làm cho quá trình này diễn ra chậm lại, đủ để kẻ tấn công nản chí mà chuyển sang một mục tiêu dễ ăn hơn.
Có thể đưa ra một dự đoán hợp lý rằng trong vụ tấn công Ashley Madison vào tháng 7 năm 2015[12], các mật khẩu bị tiết lộ chắc chắn cũng được dùng ở những nơi khác nữa, như tài khoản ngân hàng và thậm chí tài khoản của máy tính ở nơi làm việc. Trong danh sách 11 triệu mật khẩu của Ashley Madison bị phát tán trên mạng, phổ biến nhất là “123456,” “12345,” “password”, “DEFAULT,” “123456789,” “qwerty”, “12345678”, “abc123,” và “1234567.” Nếu cũng đang sử dụng những mật khẩu như trên, thì rất có thể bạn sẽ trở thành nạn nhân của các vụ xâm phạm dữ liệu, vì hầu hết các bộ công cụ bẻ mật khẩu có sẵn trên mạng đều có các cụm từ thông dụng này. Bạn có thể truy cập website www.haveibeenpwned.com để kiểm tra xem tài khoản của mình đã từng bị xâm phạm bao giờ chưa.
[12] Ashley Madison: Một dịch vụ hẹn hò và mạng xã hội trực tuyến ở Canada, nhắm đến đối tượng là những người đã lập gia đình hoặc đã có bạn trai/bạn gái. Tháng 7/2015, một nhóm hacker đánh cắp dữ liệu người dùng của công ty này và phát tán lên mạng.
Trong thế kỷ 21, chúng ta có thể làm tốt hơn. Thực ra là tốt hơn rất nhiều, với nhiều cách sắp xếp ký tự chữ và số dài hơn, phức tạp hơn nhiều. Nghe có vẻ khó, nhưng tôi sẽ hướng dẫn bạn cả cách tự động và thủ công để thực hiện điều đó .
Cách dễ nhất là đừng tự tạo mật khẩu mà hãy tự động hóa quy trình này. Hiện đã có một số phần mềm quản lý mật khẩu có thể lưu trữ mật khẩu trong kho chứa có khóa và cho phép bạn truy cập bằng một cú nhấp chuột khi cần, đồng thời còn tạo ra được những mật khẩu mới, rất mạnh và độc đáo.
Tuy nhiên, phương pháp này có hai vấn đề cần lưu ý. Một là, các phần mềm quản lý mật khẩu sử dụng một mật khẩu chính để truy cập. Nếu có kẻ khiến máy tính của bạn lây nhiễm một phần mềm độc hại và đánh cắp cơ sở dữ liệu mật khẩu và mật khẩu chính lưu trong đó bằng chương trình keylog[13], thì trò chơi kết thúc. Khi đó, kẻ này sẽ có quyền truy cập vào tất cả các mật khẩu của bạn. Trong các dự án kiểm định an ninh, thi thoảng tôi thay thế phần mềm quản lý mật khẩu bằng một phiên bản sửa đổi để lấy mật khẩu chính (trong trường hợp đó là phần mềm mã nguồn mở). Điều này được thực hiện sau khi tôi giành được quyền truy cập vào mạng lưới của khách hàng bằng vai trò quản trị. Sau đó, tôi sẽ tấn công tất cả các mật khẩu đặc quyền. Nói cách khác, tôi sẽ sử dụng các phần mềm quản lý mật khẩu làm cửa sau để lấy chìa khóa xâm nhập.
[13] Keylog: Chỉ việc sử dụng phần mềm để ghi lại mọi thao tác trên bàn phím của người dùng máy tính, đặc biệt là để tiếp cận trái phép mật khẩu và các thông tin bí mật khác.
Vấn đề thứ hai khá rõ ràng: Nếu để mất mật khẩu chính, bạn sẽ mất tất cả các mật khẩu còn lại. Nhưng không sao, bởi bạn luôn có thể cài đặt lại mật khẩu cho từng tài khoản, nhưng đó sẽ là một rắc rối lớn nếu bạn có nhiều tài khoản khác nhau.
Tuy có những sai sót này, nhưng những mẹo sau đây cũng đủ giúp bạn giữ an toàn cho mật khẩu của mình.
Đầu tiên, các cụm mật khẩu[14], chứ không đơn thuần chỉ là mật khẩu, phải dài – ít nhất 20-25 ký tự. Lý tưởng nhất, hãy sử dụng các ký tự ngẫu nhiên, như ek5iogh#skf&skd. Thật không may, con người thường khó học thuộc được các chuỗi ngẫu nhiên. Vì vậy, hãy sử dụng phần mềm quản lý mật khẩu, như thế còn tốt hơn nhiều so với việc tự chọn mật khẩu. Tôi thích các phần mềm quản lý mật khẩu mã nguồn mở như Password Safe và KeePass, vốn chỉ lưu trữ dữ liệu cục bộ trên máy tính của bạn.
[14] Cụm mật khẩu (passphrase): Một chuỗi ký tự dùng để kiểm soát quyền truy cập một hệ thống, chương trình, hay dữ liệu trên máy tính. Cụm từ mật khẩu cũng tương tự như mật khẩu (password) xét về cách sử dụng, nhưng nhìn chung là dài hơn để tăng cường an ninh.