Không có gì là riêng tư với một mạng Wi-Fi mở, tuy nhiên vẫn có thể sử dụng một số cách để tăng độ an toàn, có thể là những cảnh báo để bạn biết cách tránh, có thể là những biện pháp kỹ thuật giúp bảo vệ bạn được an toàn hơn.
Không có gì là bí mật trong một Wi-Fi mở
Ngày nay hầu hết những người dùng có một chút kiến thức về máy tính đều biết cách (và lý do) để bảo vệ các router không dây gia đình của họ. Windows 7 và Vista hiện có một hộp thoại để cảnh báo khi người dùng kết nối đến các mạng không dây không được mã hóa.
Trong các quán cà phê, phòng chờ tại sân bay hoặc thư viện, người dùng có thể kết nối mà không cần đắn đo nhiều nếu sử dụng kết nối không dây không mã hóa chỉ để kiểm tra kết quả của một trận bóng đó hoặc trạng thái của chuyến bay có thể là chấp nhận được. Tuy nhiên nếu dùng kết nối như vậy vào việc đọc email hoặc thực hiện một số hành động trên web có yêu cầu đăng nhập thì đó là một hành động không thể chấp nhận.
Vậy tại sao tất cả các doanh nghiệp không mã hóa các mạng Wi-Fi của họ? Câu trả lời nằm ở hệ thống phân phối khóa theo chuẩn kỹ thuật IEEE 802.11: Để mã hóa lưu lượng mạng, chủ sở hữu mạng hoặc nhà quản lý cần phải chọn một mật khẩu, mật khẩu này cũng được biết đến như “khóa mạng”. Chuẩn mới này yêu cầu mỗi một mật khẩu cho mỗi mạng, mật khẩu này được chia sẻ cho tất cả người dùng nếu chủ sở hữu đã chọn mức bảo mật ở tình trạng kém an toàn, đó là chuẩn WEP lỗi thời mà không chọn chuẩn WPA an toàn hơn hay WPA2.
Tại nhà, tất cả những gì người dùng đều phải thực hiện là thiết lập một lần, sau đó thông báo cho các thành viên trong gia đình mật khẩu, khi đó bạn có thể lướt web bằng mạng không dây tại bất cứ nơi nào trong nhà mà không cần phải lo lắng gì nhiều về vấn đề an toàn. Tuy nhiên trong quá cà phê, nhân viên của quán sẽ phải hướng dẫn cho mỗi khách hàng mật khẩu của mạng không dây và thậm chí còn có thể phải khắc phục sự cố kết nối – rõ ràng đó không phải việc nhỏ mà các nhân viên ở quán sẽ thích thú. Trong tình huống này, chắc chắn một mật khẩu trỗng để dễ dàng sử dụng sẽ được chọn.
Mặc dù vậy thậm chí với một mạng được mã hóa, bạn vẫn không thể an toàn tuyệt đối. Khi máy tính của bạn biết mật khẩu, sự truyền thông sẽ chỉ an toàn với những người mà họ không nằm trên mạng; tất cả những khách hàng khác trong quá cà phê đều có thể thấy lưu lượng của bạn vì họ cũng sử dụng cùng mật khẩu mà bạn đang dùng.
Công việc cá nhân là công việc của đối thủ cạnh tranh
Điều gì sẽ xảy ra nếu bạn nghĩ rằng dữ liệu của mình không quan trọng để ai đó nhòm ngó đến? Có thể bạn chỉ duyệt web, không đăng nhập vào các hệ thống email hoặc các ứng dụng web có yêu cầu mật khẩu. Khi đó bạn chắc mình được an toàn? Không hẳn như vậy.
Hãy hình dung bạn đang ở trong mạng Wi-Fi của một sân bay trong khi vừa trở về từ một buổi thuyết trình sản phẩm. Thay vì kiểm tra hàng trăm email đang chờ, bạn chỉ dám quyết định duyệt website của đối thủ cạnh tranh, để tìm kiếm các ý tưởng khác hay có thể quyết định nghiên cứu các mục tiêu cần đạt được.
Tuy nhiên trong chế độ background, máy khách email của bạn vẫn phát hiện thấy kết nối Internet và thực hiện việc download email. Một đồng nghiệp của bạn tại văn phòng trụ sở thấy trạng thái IM của bạn hiển thị là 'online' và gửi cho bạn một tin nhắn với những nội dung mật.
Không cần trang bị nhiều thứ phức tạp ngoài một phần mềm có thể phân tích gói dữ liệu không dây, kẻ tấn công ở gần chỗ bạn có thể lượm lặt các tin tức tình báo cạnh tranh dựa trên các website mà bạn truy cập và cả IM hoặc các lưu ý phản ánh các vấn đề về quan hệ của bạn với các đối tác quan trọng. Nói ngắn gọn, người khác sẽ có thể đọc thư của bạn trước mà thậm chí bạn không thực hiện bất cứ hành động gì.
Sử dụng SSL cho Webmail
Trước tiên, để đối chọi với việc rình mò mail, bạn hãy sử dụng hệ thống Webmail có sử dụng giao thức HTTPS trong toàn bộ phiên làm việc. Hầu hết các hệ thống Webmail ngày nay đều sử dụng HTTPS khi yêu cầu bạn đăng nhập, vì vậy mật khẩu của bạn sẽ được truyền tải một cách an toàn. Mặc dù vậy, sau khi thẩm định, chúng thường được chuyển trở lại giao thức HTTP để giảm tải phải xử lý trên các máy chủ và thực hiện một số hành động khác.
Điều đó có nghĩa rằng ai đó trên cùng một mạng không dây (dù không được mã hóa hay có mật khẩu chia sẻ) đều có thể đọc nội dung email của bạn. Trong một số trường hợp, họ có thể đánh cắp session cookie và đăng nhập vào Webmail session của bạn mà không cần mật khẩu.
Hai ngoại lệ đáng lưu ý là Gmail và hệ thống email công ty của bạn (chẳng hạn như Outlook Web Access). Đầu năm ngoái, Gmail đã chuyển từ việc sử dụng HTTPS chỉ khi đăng nhập sang sử dụng HTTPS trong toàn bộ quá trình giao dịch của Webmail.
Người dùng Google Apps trước đây cũng có thể chọn tính năng này, tuy nhiên hiện nó được đặt mặc định nhưng vẫn có khả năng chọn (cho trường hợp ai đó không thích bảo mật). Thay đổi này, kết hợp với thuật toán phát hiện đăng nhập đáng ngờ mới của Google, làm cho Gmail trở thành một nhà cung cấp vượt trội hơn so với các đối thủ cung cấp Webmail miễn phí khác. Nếu bạn đang tìm kiếm một lý do để chuyển khỏi các tài khoản AOL, Hotmail, hoặc Yahoo của mình thì bạn đã tìm thấy nó.
Hệ thống Webmail trong công ty bạn cũng có thể được bảo vệ bởi HTTPS ở toàn bộ quá trình giao dịch, đây là cấu hình mặc định cho hầu hết hệ thống. Mặc dù vậy nếu bạn kiểm tra các thư điện tử cho công việc của mình bằng cách sử dụng phần mềm nội bộ (Outlook, Thunderbird, Mac OS X's Mail) thay vì HTTPS Web-based e-mail, thì bạn có thể hoặc không sử dụng mã hóa.
Các Hotspot thu phí: Chưa chắc đã phải là an toàn
Trong khi nghiên cứu để viết bài này, chúng tôi đã phát hiện thấy một quan niệm sai mà trước nay chúng ta vẫn mắc phải đó là, các hotspot thương mại yêu cầu trả phí theo giờ hoặc tháng (như AT&T, Boingo, GoGo, T-Mobile) sẽ an toàn hơn các hotspot miễn phí vì chúng sử dụng mật khẩu và thu phí.
Tuy nhiên trong thực tế, các hotspot này hầu như lại không được mã hóa và họ sử dụng những gì được gọi là "Cổng điện tử captive" chỉ ngăn chặn được sự truy cập Internet cho tới khi bạn nhập vào mật khẩu thuê bao. Dù cổng điện tử này thường được phân phối qua cơ chế HTTPS (để bảo vệ các thông tin thẻ tín dụng hoặc mật khẩu), nhưng tất cả lưu lượng được thẩm định không được mã hóa trong mạng không dây.
Kết quả là bạn phải trả phí với một mức rất thấp nhưng thực sự không được an toàn. Trong thực tế, do tính vốn có của sự truyền lan sóng vô tuyến điện, nên ai đó, dù không phải là một người thuê bao, vẫn có thể xem lưu lượng không được mã hóa mà bạn gửi đi bằng cách đơn giản là join vào mạng không dây cùng SSID.
Điều đó cũng có nghĩa rằng, người bên ngoài có thể dễ dàng quan sát và capture các Websites HTTP mà bạn truy cập, mọi e-mail POP3 không được mã hóa, hoặc sự truyền tải dữ liệu FTP mà bạn thực hiện. Các hacker có một chút kinh nghiệm thậm chí còn có thể thay đổi thẻ không dây của họ để giả mạo nhận dạng card không dây của bạn và có thể truy cập miễn phí thông qua một hotspot thương mại mà bạn là người phải chịu tiền trả phí.
Sử dụng VPN của bạn
Nếu công ty cung cấp kết nối VPN (mạng riêng ảo) để truy cập Internet thì bạn nên sử dụng chức năng này khi truy cập Internet từ các Wi-Fi hotspot có đăng ký hay miễn phí. Bằng cách kích hoạt chức năng VPN trên laptop, bạn sẽ bảo đảm tất cả truyền thông của mình được mã hóa ở mức cao và được tạo đường hầm từ Wi-Fi hotspot, qua Internet đến trung tâm dữ liệu của công ty, nơi nó được giải mã và được gửi ra kết nối Internet của công ty.
Đây là một phương pháp an toàn cho việc truy cập tài nguyên công ty (mạng nội bộ, email, cơ sở dữ liệu) vì bạn sẽ có một đường hầm riêng nối đến công ty của mình. Trong một số cấu hình VPN của nhiều công ty, bạn có thể duyệt Internet để truy cập vào tài nguyên công ty.
Kỹ thuật như vậy tuy có thể làm chậm tốc độ hơn so với việc duyệt web không mã hóa chút ít nhưng bảo mật mà bạn có được là vấn đề quan trọng.
Nếu công ty không cung cấp dịch vụ VPN hoặc có một VPN "
split tunneling" (trong đó chỉ các request gửi đến tài nguyên công ty được đi qua đường hầm mã hóa, còn lại tất cả lưu lượng khác được truyền tải mà không mã hóa trực tiếp đến đích), không phải lo lắng vì bạn vẫn có thể được bảo vệ an toàn.
Hãy thử nghiệm HotSpot Shield, một dịch vụ VPN của AnchorFree. Đây là công ty cung cấp phần mềm VPN mà bạn có thể cài đặt trên laptop từ trước để sử dụng tại các Wi-Fi hotspot công cộng.
Khi kích hoạt phần mềm và dịch vụ, nó sẽ mã hóa lưu lượng của bạn và gửi qua một đường hầm đến trung tâm dữ liệu HotSpot Shield, sau đó gửi ra Internet, giống như cách máy chủ VPN của một công ty nào đó vẫn thực hiện. HotSpot Shield thậm chí còn có các thiết lập VPN di động (không cần download) để bảo vệ hành động lướt web của bạn trên các máy điện thoại iPhone bằng phần mềm máy khách Cisco VPN đi kèm mà Apple cung cấp.
Bằng cách sử dụng dịch vụ như vậy, bạn có thể tạo một kết nối an toàn. Khi đó, lưu lượng của bạn sẽ được gửi đi dưới dạng không mã hóa đến đích cuối cùng trên Internet, cứ như thể bạn đang duyệt từ một laptop được cắm trực tiếp vào trung tâm dữ liệu công ty.
Cách thức này không đảm bảo an toàn một cách tuyệt đối vì đường hầm mã hóa không có khả năng kiểm soát được tất cả các cách mà bạn truy cập web. Mặc dù vậy, nó chắc chắn an toàn hơn thiết lập không VPN.
Tóm tắt lại việc truy cập Wi-Fi an toàn
Có thể tóm tắt lại như sau:
1. Nếu công ty bạn có một VPN mà bạn có thể sử dụng để lướt web, hãy sử dụng nó.
2. Nếu không thể sử dụng VPN công ty, hãy sử dụng HotSpot Shield để thay thế
3. Không đánh đồng việc đăng ký hành động Wi-Fi Internet có thu phí với việc duyệt web an toàn.
4. Trên các mạng không dây không được mã hóa, bất cứ ai cũng có thể thấy nơi bạn đang truy cập (ngoại trừ trên các website HTTPS).
5. Trên các mạng không dây được mã hóa, bất cứ ai có mật khẩu cũng đều có thể thấy nơi bạn đang truy cập (có thể là một vài người trong nhà bạn hay có thể là hàng trăm người tại sân bay).