[Security][Trust no one]

Well … nói rõ trước rằng: Bài viết này không quá nặng vào các kĩ thuật thật sự của ngành security, chỉ thuần túy là các logic cơ bản mà bất kì ai cũng có thể nghĩ & làm được.

Tạm khoanh vùng trong việc secure account Facebook.

Hack ??? Mọi người cứ nghĩ nó là cái kĩ thuật gì đó cao siêu, kinh khủng lắm. Thưa, nó chỉ là những thứ rất bình dân – dĩ nhiên có những bugs rất thú vị nhưng đó là 1 mảng khác chuyên sâu – cái ta nói chỉ là Social Engineering.

1 điều rất cơ bản của cuộc sống là gì … ??? Không tin BẤT KÌ MỘT AI, ngay cả chính bản thân.

Okay vậy mở màng thế thôi. Giờ listing các vấn đề nhe

  • Không bao giờ đặt 1 password cho hơn 1 trang. Yup. Tất nhiên cũng có ngoại lệ. Ba cái trang xàm xí thì có thể đặt cũng được, miễn nó không chứa BẤT KÌ LIÊN KẾT NÀO với những trang quan trọng khác.
  • Không đặt password … chính mình nhớ được. Hờ hờ … 1 ngày nào đó đám an ninh Cộng sản nó gông đầu bạn và quánh bắt khai password thì sao ??? Bạn sẽ khai nếu bạn nhớ password chính bạn. Vậy thì hãy làm cho chính bạn KHÔNG THỂ NHỚ. Dĩ nhiên không có write down ra nhe. Còn làm sao thì tự suy nghĩ.
  • Không publish personal information. ID / Birthday bla bla … haha có mấy cái information này thì exploit như ngóe nhe :3

Cơ bản là thế. Và khi advanced thì sao … Nói là advanced chứ thật ra cũng basic thấy bà nhưng éo ai care

  • OTP . Định mệnh. Éo tin là ngày nay có người éo bao giờ chịu bật OTP lên để secure account mình :v …. Thôi thì ngu nên chết là phải rồi :v
  • Notifications luôn phải được giám sát 24/24 … Exactly 24/24 … Hình dung khi bạn đang ngủ và có ai đó cố gắng access vào Facebook bạn thì sao ??? Hờ … cứ ngủ đi rồi thì mất account hỏi sao ngu. Đảm bảo bạn có thiết bị bật alarm và không set slient kể cả khi ngủ nhá. Còn nếu bạn không muốn vậy mà muốn ngủ ngon … thôi dẹp mẹ nó social life và đi nhảy lầu đi :v. Đời không như là mơ.
  • Smartphone ( k tính feature phone vì tạm xem như thời nay không ai xài ) không bao giờ để Notifications content show ra ngoài lock screen . Lolz :v . Set OTP rồi để notifications content ngoài lock screen thì mình chỉ cần liếc qua là xem như có OTP luôn.
  • Các accounts phải được register bằng 1 email mà không bao giờ sử dụng … !
  • Sim chứa số phone dùng cho OTP cũng không bao giờ được sử dụng trong cuộc sống. Nó chỉ duy nhất dành cho mục đích nhận OTP, không hơn không kém.
  • Phone chứa sim OTP … phải khác phone sử dụng hàng ngày và không cài bất kì application nào trừ app OTP, banking … etc. Và dĩ nhiên phone đó phải có sự tin tưởng nhất có thể về mặt secure.
  • Luôn và định kì kiểm tra mọi accounts
    • Change password thường xuyên và ngẫu nhiên. Nhưng dưới 15 ngày / 1 lần.
    • Kiểm tra liên tục mỗi ngày không có log access lạ.
    • Không bao giờ cho phép devices lạ nằm trong danh sách trusted devices.
    • Clear hết logged sessions / trusted devices định kì ( hoặc ngẫu nhiên ).

Còn gì nữa hơm ta … Sao bình thường nhớ mà giờ quên zồi ???

Thôi tạm vậy. Có gì update part 2 sau :v

[Update]

  • Về mặt smartphone. Khi cài bất kì application nào vui lòng đọc kĩ nó request permissions gì trên máy. 1 cái app Calculator mà request permission read SMS, call phone, location mà không đặt câu hỏi và nghi ngờ thì chuẩn ngu ISO luôn !
  • Trên desktop không chạy bất kì application nào mà download từ trang lạ trên máy thực. Mọe. Máy ảo như VirtualBox / VMWare sinh ra để làm gì ??? ( btw chạy trong 2 em này cũng có risky là con malware đó có thể exploit bugs để vượt ra khỏi virtual OS … )
  • Luôn inspect khi ai đó, hoặc trang nào đó đưa 1 cái link mà có dấu hiệu nghi ngờ. Mọe. Nó ghi là abc mà anchor href nó trỏ tới cde thì bố láo rồi. Thôi tốt hơn gõ tay đi !!! Rule là don’t trust anyone even yourself mà !!!
  • Khi vô 1 trang lạ mà nó request login thì phải inspect luôn. Check luôn SSL, Domain registration etc … check hết ! Có tin được 1 trang mà domain mới mua hôm qua, mà hôm nay có form hiện đòi password Facebook hơm :v Phắc :v.

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Blog at WordPress.com.

Up ↑

%d bloggers like this: