Bảo mật và thiết bị nhớ USB

Khi các thiết bị nhớ USB vừa mới xuất hiện, rất nhiều chuyên gia về bảo mật đã lên tiếng cảnh báo về những rắc rối do chúng đem lại. Điều đó không có gì đáng ngạc nhiên vì các thiết bị nhớ USB chính là một lỗ hổng bổ sung vào bức tranh bảo mật thông tin vốn đã không mấy sáng sủa. Người dùng có thể cắm thiết bị nhớ USB vào máy tính và chép những dữ liệu quan trọng của công ty đem ra ngoài hoặc mang virút từ bên ngoài vào hệ thống.

Theo số liệu của Silicon.com, 70% trường hợp dữ liệu của các công ty bị thất thoát liên quan đến các thiết bị, trong đó tỷ lệ mất dữ liệu do các thiết bị nhớ USB ngày càng tăng nhanh. Các tổ chức đành chịu bó tay cho tới khi có sự xuất hiện của Windows XP SP2. Bản Service Pack này cho phép chúng ta chuyển các thiết bị nhớ USB thành chỉ đọc bằng cách bổ sung thêm một giá trị trong registry. Đó là giá trị WriteProtect trong nhánh HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies. Nếu giá trị này được đặt là 0, việc cấm ghi thiết bị nhớ USB bị vô hiệu hóa; ngược lại nếu đặt giá trị này là 1 thì tất cả các thiết bị nhớ USB được cắm vào máy đều trở thành thiết bị chỉ đọc.
Các bước thực hiện cụ thể:

- Vào Registry Editor.

- Chuyển tới HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies

- Tạo giá trị WriteProtect kiểu DWORD

- Đặt giá trị này là 1 để cấm ghi, 0 để cho phép ghi lên các thiết bị nhớ USB

Bạn có thể dùng công cụ viết script và công cụ phân phối tự chọn để gửi thiết lập mới tới tất cả các máy tính. Theo tôi, cách tốt nhất là sử dụng SMS 2003 (nhưng các bạn cũng có thể sử dụng Login Script để làm việc này).

Tuy nhiên vấn đề không chỉ đơn giản như vậy. Có một số người cần có khả năng truy cập tới những thông tin quan trọng và họ thường có được điều đó dù bằng cách này hay cách khác. Trong những trường hợp như vậy, nỗi lo về vấn đề mất cắp dữ liệu không phải là vấn đề lớn vì nhân viên hoàn toàn có thể lấy dữ liệu bằng cách ghi ra đĩa mềm, đĩa CD hoặc gửi qua mạng. Rủi ro lớn hơn chính là ở chỗ những thiết bị nhớ USB quá nhỏ, vì thế chúng rất dễ trở thành mục tiêu của kẻ cắp hoặc bị người dùng để quên. Và những thông tin bí mật có thể bị mất trước khi chúng ta kịp nhận ra. Vì việc cấm sử dụng các thiết bị nhớ USB là không hợp lý và khả thi nên phương pháp đơn giản nhất để phòng ngừa điều đó là mã hóa dữ liệu trong các thiết bị nhớ USB. Với các PC chạy Windows 2000 hay XP, chúng ta có thể sử dụng Windows Encrypting File System (EFS) để mã hóa dữ liệu ngay trong quá trình vận hành. Cách này rất thích hợp cho những người sử dụng laptop khi đi công tác. Nhưng theo Microsoft, EFS không thể mã hóa các tệp trên những thiết bị tháo lắp được như CD, đĩa mềm hay các thiết bị nhớ USB. Nếu bạn sử dụng phần mềm thứ ba trên PC hay mạng để mã hóa dữ liệu cho các thiết bị nhớ USB thì việc đó lại làm mất tính năng tiện lợi của chúng là có thể sử dụng ở bất cứ đâu (chưa kể tới khả năng người dùng quên công đoạn mã hóa).

Cách tốt hơn là mua các thiết bị nhớ có sẵn tính năng mã hóa. Rất nhiều nhà sản xuất đã tính đến điều này và chi phí bổ sung để có được những thiết bị đó hoàn toàn có thể chấp nhận được nếu đem so với các biện pháp bảo vệ khác. Có thể kể ra một vài ví dụ như Lexar JumpDrive Secure USB Flash Drive (http://www.lexar.com/jumpdrive/jd_secure.html), Kingston DataTraveler Elite (http://www.kingston.com/digitalmedia/dt_elite.asp). Các thiết bị đó đều có tính năng mã hóa bằng thuật toán AES (Advanced Encryption Standard). Ngoài việc hoạt động tốt trong nhiều điều kiện khác nhau, chúng còn cung cấp một số tính năng bảo vệ bổ sung trong trường hợp người dùng lỡ đánh mất. Mỗi nhà sản xuất có phương pháp mã hóa và lựa chọn độ dài khóa khác nhau, vì vậy cần chọn thiết bị nhớ USB với tính năng mã hóa phù hợp cho người dùng (nghĩa là có độ phức tạp vừa phải, tương ứng với trình độ sử dụng của họ). Bạn đừng quên cập nhật chính sách bảo mật của đơn vị khi đưa những thiết bị đó vào sử dụng. Hơn thế, bạn cần duy trì một cơ sở dữ liệu (với chế độ bảo mật và sao lưu tương xứng) chứa mật mã của những thiết bị đó. Nếu không, sẽ có nhiều chuyện rầy rà xảy ra khi người dùng quên mã.

Điều đáng buồn là câu chuyện của chúng ta không chỉ dừng lại ở đó. Vấn đề virus lây lan qua các thiết bị nhớ USB tưởng “xưa như trái đất” nhưng xét kỹ lại không phải như vậy. Nhiều người (trong đó có cả tôi) đã từng cho rằng virus lây qua USB có thể ngăn chặn dễ dàng bằng cách bật tính năng dò quét real-time của trình diệt virus. Nhưng thực tế đã chứng minh ngược lại, số lượng virus lây qua thiết bị nhớ USB tăng khá nhanh và các nhà cung cấp giải pháp đã không thể cập nhật kịp thời. Hơn thế nữa, một bài viết trên Dark Reading đã cảnh báo một nguy cơ mới: phát tán mã độc bằng các thiết bị nhớ USB. Theo bài viết đó, một công ty bảo mật được thuê đánh giá độ bảo mật của hệ thống mạng cho một tổ chức tín dụng đã có thể lấy mật khẩu của các nhân viên một cách rất dễ dàng nhờ các thiết bị nhớ USB. Cách làm của họ như sau: phát triển một phần mềm Trojan có tính năng key-logger, cài vào các thiết bị nhớ USB để chúng tự động chạy mỗi khi được cắm vào máy tính và đem rải những thiết bị nhớ đó xung quanh những khu vực các nhân viên của tổ chức tín dụng hay qua lại. Kết quả là trong số 20 thiết bị nhớ USB bị “đánh rơi” thì có tới 15 được cắm vào máy tính của tổ chức tín dụng và gửi lại tên người dùng và mật khẩu cho nhóm đánh giá bảo mật qua thư điện tử. Không ai phải bàn cãi về việc thử nghiệm đó sẽ thành công (và còn có thể thành công rực rỡ hơn) nếu tiến hành ở Việt Nam. Vì vậy, việc trước tiên chúng ta cần làm là tiến hành các biện pháp phòng chống. Cũng như ở trên, ngoài việc rà soát chính sách bảo mật và phổ biến cho mọi nhân viên, chúng ta cần có biện pháp kỹ thuật cụ thể: vô hiệu tính năng Autorun trên các ổ đĩa tháo lắp được và ngăn chặn việc tự động gửi thư điện tử không được người dùng cho phép.

Để vô hiệu hoá Autorun, hãy tạo một giá trị DWORD với tên “NoDriveTypeAutorun” tại khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer của registry rồi đặt giá trị theo bảng dưới đây.

Theo đó, nếu muốn vô hiệu hóa tính năng autorun của tất cả các ổ đĩa trừ đĩa CD ROM, bạn tính 1+4+8+16+64+128 = 221 (bỏ giá trị 32 cho CD ROM), đổi ra hệ cơ số 16 được DD (sử dụng Calculator của Windows) rồi nhập giá trị DD cho “NoDriveTypeAutorun”. Để vô hiệu hóa tính năng autorun của tất cả mọi loại đĩa, bạn nhập FF.

Hệ 16	Hệ 10	Ý nghĩa
0x1	1	Vô hiệu Autorun của các loại đĩa chưa biết kiểu
0x4	4	Vô hiệu Autorun của các ổ đĩa tháo lắp được
0x8	8	Vô hiệu Autorun của các ổ đĩa cố định
0x10	16	Vô hiệu Autorun của các ổ đĩa mạng
0x20	32	Vô hiệu Autorun của các ổ đĩa CD-ROM
0x40	64	Vô hiệu Autorun của các loại đĩa RAM
0x80	128	Vô hiệu Autorun của các loại đĩa chưa biết kiểu
0xFF	255	Vô hiệu Autorun của tất cả các loại đĩa

Theo PCworld.