Month: June 2008

Cốc cốc cốc
Ai gọi đó
Tôi là thỏ
Nếu là thỏ
Cho xem tai
Cốc cốc cốc
Ai gọi đó
Tôi là nai
Nếu là nai
Cho xem gạc
Cốc cốc cốc
Ai gọi đó
Tôi là gió
Nếu là gió
Xin mời vào

Bạn có đang nhớ về tuổi thơ của mình như tôi? Ừh, nhớ thật đó. Nhưng mà tôi vô cái blog này không phải để đọc đồng dao, đây là blog bảo mật thông tin kia mà? Ấy bạn đừng nóng, nào hãy cùng ngồi xuống với tôi, uống một ngụm trà (và vài con nghêu hấp xã chẹp chẹp) rồi ta cùng đi vào chủ đề chính nào.

Bạn thấy tiêu đề của bài viết này không? Authentication, tạm dịch là xác thực. Authentication là chữ A đầu tiên trong bộ tứ Authentication, Authorization, Availability và Authenticity như bốn trụ chống trời nâng đỡ thế giới bảo mật. Hôm nay chúng ta sẽ bàn về chữ A đầu tiên, nghĩa là đi tìm câu trả lời (hay tìm cách hỏi) cho câu hỏi: bạn có phải là người mà bạn tự nhận không?

Bạn và tôi mỗi ngày đều xác thực ít nhất vài lần, có khi là chúng ta xác thực người khác, có khi người khác xác thực chúng ta. Ví dụ như khi bạn đi gửi xe chẳng hạn, người ta sẽ cho bạn một mẩu giấy, mà thuật ngữ gọi là token, trên đó thường có ghi thông tin về chiếc xe của bạn (biển số chẳng hạn). Mẫu giấy này chính là một thứ gì đó mà bạn sở hữu (something you have) giúp bạn chứng minh với người giữ xe rằng: bạn chính là người chủ của chiếc xe. Chỉ có những người có mẩu giấy đó mới được phép lấy chiếc xe của bạn ra ngoài. Nhiệm vụ của bạn là phải giữ nó an toàn, mất là rất phiền toái đấy nhé.
Một ví dụ khác chính là bài đồng dao ở trên. Nếu bạn là thỏ ư, chắc hẳn tai bạn phải dài lắm, cho tôi xem đi nào rồi tôi mới tin. Ở đây, tôi xác thực bằng một đặc điểm trên cơ thể của bạn (something you are). Dấu vân tay, võng mạc hay giọng nói là những đặc điểm thường được sử dụng. Còn có một cách xác thực khác khá phổ biến, đó là dựa trên những điều mà bạn biết (something you know). Bạn đang chat trên Yahoo! Messenger? Thế làm sao bạn đăng nhập vào đó được? Bạn phải biết mật khẩu, chính mật khẩu là thông tin giúp Yahoo! xác thực bạn là chủ nhân của tài khoản đang đăng nhập. Tất cả những ai biết mật khẩu đều có thể đăng nhập vào tài khoản của bạn.

Ngoài ra còn một cách xác thực nữa là dựa vào sự tin tưởng (something you trust). Cách xác thực này thường được áp dụng trong các trường hợp những cá nhân đơn lẻ có nhu cầu xác thực danh tính lẫn nhau. Khi đó họ sẽ dựa vào một bên thứ ba mà cả hai cùng tin tưởng để làm trung gian. Ví dụ như người ta tin tưởng vào thông tin trong chứng minh thư của bạn không phải vì họ tin tưởng bạn mà vì họ tin tưởng vào tổ chức cấp chứng minh thư đó cho bạn, ở đây là cơ quan công an. Cũng có trường hợp họ áp dụng tính bắt cầu trong niềm tin để xác thực. Ví dụ như anh A tin chị B, chị B tin anh C, nên anh A sẽ tin anh C (vì anh A tin rằng chị B đã xác thực danh tính anh C trước đó rồi).

Cách xác thực bằng mật khẩu là cách thông dụng nhất vì tính đơn giản và dễ triển khai của nó. Tuy nhiên, qua thời gian cách này bộc lộ nhiều điểm yếu mà dễ thấy nhất là: mật khẩu rất dễ bị đánh cắp. Sự thực là bất kì thứ gì lưu trữ trên máy tính đều rất dễ bị đánh cắp. Nhưng tôi đâu có lưu mật khẩu trên máy tính đâu? Tôi nhớ chúng trong não và chỉ khi nào cần thiết tôi mới gõ chúng ra kia mà? Bạn có lưu đấy. Có thể bạn không lưu xuống ổ cứng nhưng khi bạn gõ ra nghĩa là bạn đang lưu mật khẩu của mình vào RAM. Và chỉ trong tích tắc, mật khẩu "tối mật" của bạn sẽ được chuyển đến tay một kẻ khác! Nhưng bạn an tâm, đã có rất nhiều giải pháp cho vấn đề này, trọn vẹn hay không trọn vẹn.

Tôi có mở tài khoản ở một ngân hàng, chủ yếu để nhận tiền lương từ công ty mà tôi làm chuyển vào. Tôi thường rút tiền thông qua máy ATM. Làm thế nào tôi chứng minh cho ngân hàng biết tôi là chủ tài khoản? Tôi phải trình ra được thẻ ATM của mình (something you have) và nhập vào đúng số PIN gắn với thẻ ATM đó (something you know). Rõ ràng cách làm này an toàn hơn việc chỉ sử dụng mật khẩu. Muốn đánh cắp tiền của tôi, kẻ trộm phải vừa chôm được thẻ ATM, vừa biết được mã PIN của tôi. Nói cách khác hắn phải chôm được hai yếu tố mới xác thực được.

Đây chính là ý tưởng chủ đạo của việc nâng câo tính an toàn khi xác thực: kết hợp nhiều yếu tố khác nhau (multi-factor authentication), mà thông dụng nhất là xác thực hai yếu tố (two-factor authentication) và xác thực ba yếu tố (three-factor authentication). Người ta sẽ gộp 4 yếu tố ở trên (thông thường là 3 yếu tố đầu), để tạo ra các tổ hợp yếu tố dùng để xác thực. Thông dụng nhất là sự kết hợp giữa something you know và something you have như cách làm của thẻ ATM. Dĩ nhiên bạn hoàn toàn có thể làm n-factor authentication với n > 3 nhưng lúc đó hệ thống của bạn sẽ chẳng có người nào sử dụng cả bởi vì nó quá bất tiện. Bảo mật bao giờ cũng phải là sự cân bằng giữa an toàn và tiện dụng. Vả lại, không có gì là an toàn tuyệt đối. Two-factor hay n-factor đi chăng nữa cũng chỉ giúp bạn giảm xác suất bị tấn công xuống một mức nào đó, nhưng không bao giờ là zero.
-mrro

TIN BUỒN

Gia đình vô cùng thương tiếc báo tin
Bé Iu-xơ Cu Tèo
Con bà Ắc-ti Đai-réc-tri
Cháu ông Đồ-men Cồng-tron-lơ
01 giờ 12 phút tuổi

Đã bị Bác sĩ sát thủ Đồ-men Át-min "lỡ tay" sát hại cách đây hai ngày khi đem Bé Cu Tèo ra làm vật thí nghiệm, hiện chưa tìm được xác, mặc dù Bác sĩ Đồ-men Át-min đã cố gắng tìm mọi thuốc men để cứu chữa cho cả gia đình (?).

Mặc dù tang gia vô cùng bối rối, nhưng vẫn tranh thủ "tám" với các nhân chứng và đã thu thập được các sự kiện sau :
– Tiếng hét thứ nhất : "Tui chưa chết mà sao Bác sĩ đòi hồi sinh, hồi sức cho tui ?"
– Lời đồn thứ nhất : "Bên Tàu có bán thuốc DSRM, uống chung với thuốc RMP sẽ chữa được bá bệnn, làm người chết tự động sống dậy".
– Tiếng hét thứ hai : "Bác sĩ ơi, con em bị liệt rồi !"
– Lời đồn thứ hai : "Uống thuốc DSRM thì hồn lìa khỏi xác, lúc đó muốn làm gì xác thì làm".

Sự thật về vụ án Cu Tèo và các tiếng hét cũng như các lời đồn đãi như thế nào, xin quí vị xem tiếp sẽ rõ

Tiếng hét thứ nhất : "Tui chưa chết mà sao Bác sĩ đòi hồi sinh, hồi sức cho tui ?"

Tiếng thét hãi hùng này là của bà Ắc-ti Đai-réc-tri lúc bà đang còn khỏe mạnh, chạy nhảy đùng đùng, không hề bị tê liệt, nhưng Bác Sĩ Đồ-men Át-min lại định đè ra làm vật lý trị liệu nhằm phục hồi chức năng vận động.
Khi bà này phản ứng thì Bác sĩ Đồ-men Át-min lại nghe được lời đồn về thuốc DSRM ở bên Tàu rất hiệu nghiệm.

Bạn đã backup System State cho máy Domain Controller (trong đó có các thông tin về Active Directory). Active Directory ở máy Domain Controller vẫn đang hoạt động, như vậy bạn không thể Restore trực tiếp System State được.

Hệ thống còn gợi ý cho bạn phải boot lại và chọn Directory Services Restore Mode mới có thể phục hồi được.

Tiếng hét thứ hai : "Bác sĩ ơi, con em bị liệt rồi !"

Lần này thì ông Đồ-men Cồng-tron-lơ hét đấy, sau khi ông uống lộn xộn hai ba thứ thuốc thì hình như bà Ắc-ti Đai-réc-tri liệt thật. Bà này liệt thật thì mới có hy vọng cứu sống Cu Tèo (?), nhưng Bác sĩ Đồ-men Át-min cho bệnh nhân uống thuốc mà lại không "Đọc kỹ hướng dẫn sử dụng trước khi dùng", thấy bà này liệt và được chương trình quảng cáo trên ti vi nhắc tuồng, chỉ lo làm cho bà này phục hồi chức năng vận động mà lại không lo cứu Cu Tèo, cứ tưởng thuốc Tàu tự cứu thằng bé rồi.

Lúc Domain Controller hoạt động, bạn muốn restore System State thì đương nhiên là không được, bây giờ đã vào DSRM, Windows chạy Safe Mode, không cho Active Directory hoạt động để bạn tiến hành các hoạt động restore đấy.

Lúc này, nếu bạn chạy chương trình Active Directory Users and Computers thì sẽ thấy thông báo như hình trên, cho thấy lúc này máy của bạn vừa giống như máy Workstation Local, vừa giống Domain Controller. Nếu lúc này bạn nóng lòng có Active Directory, restart lại Domain Controller và logon như Domain Admin bình thường thì coi như công cốc, file SAM trong Domain Controler vẫn sẽ như cũ, và user CuTeo vẫn không restore được (Vì có ai chạy chương trình Backup (BK) để restore đâu).

Lời đồn này quá chính xác, nhưng Bác sĩ Đồ-men Át-min dù đã được xem phim về hai tiếng thét hãi hùng trước rồi, vẫn không chịu để ý. Đúng ra khi thấy bà Ắc-ti Đai-réc-tri liệt rồi, ông Đồ-men Cồng-tron-lơ mặt mày thấy ghê thì Bác sĩ phải cho ông này uống tiếp liều thuốc giải BK. Uống thuốc giải BK đúng cách thì Cu Tèo chắc chắn được cứu sống, không qua đời thảm thương như vậy.

Lúc đang trong DSRM-Safe Mode, bạn vẫn chạy được Backup (BK) như bình thường. Vì lúc này Active Directory không hoạt động, máy Domain Controller của bạn đang như một máy Workstation Local bình thường, cho nên bạn hoàn toàn có thể cho restore System State đã backup trước đó.

Nhớ chỉnh option restore cho đúng. Xong chầu restore, boot lại máy thì Domain Controller lại hoạt động bình thường và user CuTeo sẽ có lại như xưa.

Qua bài viết này bạn rút ra được gì ? Cái cần thiết của một Domains Administrator là phải luôn luôn chạy backup System State, đến khi Active Directory có sự cố thì cứ lôi file backup ra và sẽ có cách cứu mạng

*********
Bé Iu-xơ Cu Tèo : user CuTeo
Ắc-ti Đai-réc-tri : Active Direcroty
Đồ-men Cồng-tron-lơ : Domain Controller
Đồ-men Át-min : Domains Administrator