Các mẹo về an ninh PC cho các lãnh đạo doanh nghiệp

PCSecurity Tips for Corporate Executives

February 1, 2010, ByMichael Horowitz

Theo:http://www.esecurityplanet.com/features/article.phpr/3861996/PC-Security-Tips-for-Corporate-Executives.htm

Bài được đưa lênInternet ngày: 01/02/2010

Lờingười dịch: Bạn là lãnh đạo doanh nghiệp ư? Nếu bạnkhông muốn bị ăn cắp các thông tin bí mật của côngty, thì có một số cách đề làm đấy. Bài viết này sẽkhuyến cáo bạn các điều sau đây: (1) Nếu sử dụngWindows thì bạn phải không được là người quản trị(Administrator) mà hãy loại bỏ các quyền của bạn bằngD-ropMyRights; (2) Tuyệt đối không sử dụng InternetExplorer, có thể thay bằng Firefox; (3) Không nên sử dụngAdobe Acrobat Reader trên Windows; (4) Hãy bỏ cài đặtQuickTime, Java, Shockwave, Real Player, và bất kỳ phần mềmthông dụng nào khác mà nó là đặc biệt không cầnthiết; (5) Vô hiệu hóa tính năng AutoRun/AutoPlay trênWindows nếu sử dụng các đầu USB; (6) Thay Adobe Flash bằngFirefox Flashblock; (7) Thay Microsoft Office bằng OpenOffice; (8)Sử dụng các ổ cứng ngoài có mã hóa toàn bộ ổ -không dùng các ổ gắn trên máy tính xách tay và để bàn;(9) Cẩn thận khi nhận tin từ bạn bè???. Còn bạn thìnghĩ thế nào? Tôi thì chỉ cần chọn thay thế Windowsbằng GNU/Linux, ví dụ như Ubuntu, là đủ để tuân theogần như tất cả những khuyến cáo ở trên, ... và cònhơn thế nữa.

Các cuộc tấn cônggần đây chống lại Google và các công ty khác đượcnhận mạnh là các cuộc tấn công “phising đâm xiên”.Khái niệm này tham chiếu tới các thông điệp thư điệntử có mưu đồ bất lương được thiết kế để lừađảo người nhận nhằm làm lây nhiễm máy tính của anhhoặc chị ta bằng các phần mềm độc hại.

Kết quả cuối cùngcủa chuyện giả mạo này, nằm trong nội dung của thôngđiệp thư điện tử, là việc người sử dụng bị đánhlừa hoặc viếng thăm một trang web bị lây nhiễm, hoặcmở một tài liệu lừa đảo độc hại, hoặc chạy mộtchương trình độc hại.

Không giống như cácthư điện tử phising thông thường mà được thổi tớihàng triệu người, phising đâm xiên, như tên của nó ngụý, là có mục đích đặc biệt. Bất kỳ ai mà làm việcvới các bí mật mà kẻ xỏ lá muốn, có thể được gửimột thông điệp thư điện tử có mục đích đặc biệttới họ. Thông điệp này dường như là tới từ ai đómà họ đã biết và chủ đề sẽ là thứ gì đó màngười gửi có thể muốn thảo luận một cách thôngthường. Mọi thứ về thông điệp này là lừa đảo, baogồm cả địa chỉ nơi gửi (F-rom).

Sự giả mạo thànhcông, một phần, vì mọi người tin vào địa chỉ nơigửi (F-rom) của một thông điệp thư điện tử. Không aimuốn; việc giả mạo địa chỉ gửi F-rom là trò chơi trẻcon. Nhưng, vì địa chỉ F-rom là đúng 99% số lần vànhiều người không biết rằng nó là dễ dàng để giảmạo, nên điều này làm cho thông điệp phising đâm xiênvào cửa, thế mới phải nói.

Như tôi gần đây đãviết, khía cạnh quan trọng nhất của Điện toán Phòngvệ là sự nghi ngờ. Các lãnh đạo các công ty có thểnghi ngờ khi làm việc với mọi người, nhưng sự thiếunhận thức về các mưu đồ bất lương thường thấytrực tuyến.

Chỉ ít ngày trước,Roger Thompson của AVG đã mô tả việc thâm nhập vàowebsite của Ủy ban Thuế vụ Oklahoma. Để bị lây nhiễm,người sử dụng đầu cuối đơn giản đã đồng ý tớimột thỏa thuận giấy phép của Adobe. Thỏa thuận nàyđược coi là hợp pháp, nhưng nó là từ một bọn xỏ láhơn là từ Adobe, và việc đồng ý với nó đã cài đặtvào phần mềm độc hại.

Therecent attacks against Google and other companies highlighted "spearphishing" attacks. The term refers to scam e-mail messagesdesigned to trick the recipient into infecting his or her owncomputer with malicious software (malware).

Theend result of the phony yarn, spun in the body of an e-mail message,is that the duped user either visits an infected Web page, opens amaliciously crafted document, or runs a malicious program.

Unlikeregular phishing e-mails that are blasted out to millions, spearphishing, as the name implies, is specifically targeted. Anyone thatworks with secrets that the bad guys want, may be sent an e-mailmessage targeted specifically at them. The message will appear tocome f-rom someone they know and the topic will be something that thesender would normally discuss. Everything about the message isfraudulent, including the F-rom address.

Thefraud is successful, in part, because people trust the F-rom addressof an e-mail message. No one should; forging the F-rom address ischild’s play. But, since the F-rom address is correct 99% of thetime and many don't know that it is easily forged, this gets thespear phishing message in the door, so to speak.

AsI recently wrote, the mostimportant aspect of Defensive Computing is skepticism. Corporateexecutives may be skeptical when dealing with people, but lackawareness of common online scams.

Justa few days ago, Roger Thompson of AVG described the hackingof the Oklahoma Tax Commission Website. To be infected, the enduser simply had to agree to an Adobe license agreement. The agreementlooked legit, but it was f-rom bad guys rather than Adobe, andagreeing to it installed malware.

Ở đây tôi giảthiết chúng ta đang thiết lập cấu hình cho một máy tínhcho ai đó bằng việc truy cập tới các bí mật của doanhnghiệp, ai đó mà sự thiếu hụt của họ về kiến thứckỹ thuật làm cho họ thành một mục tiêu dễ dàng chonhững kẻ bất lương trực tuyến. Những bước nào chúngta có thể nắm để tự họ bảo vệ được những ngườinày?

Những người sửdụng bị hạn chế

Việc chạy như mộtngười sử dụng bị hạn chế (bị hạn chế hoặc theotiêu chuẩn) là việc đầu tiên. Vì lợi ích của tínhtương thích ngược của những người sử dụng Windows,mặc định, chạy như là những người quản trị [hệthống], mà nó cho phép họ thay đổi mọi thứ, mọi lúc,mọi nơi. Bất chấp hành vi mặc định này, Microsoftkhuyến cáo, và tất cả dân kỹ thuật đều đồng ý,rằng mọi người sẽ an toàn hơn nếu chạy như nhữngngười sử dụng bị hạn chế.

Những người sửdụng Windows Vista và 7 có thể cảm thấy rằng UAC bảo vệhọ, ngay cả khi đã đăng nhập vào như một người quảntrị. Nó không phải thế.

Tôi đã từng kiểmthử cả một đời như một người sử dụng bị hạnchế đôi lúc trên cả Windows XP và 7. Nó làm việc tốthơn trên Windows 7; XP có một số thoái thác trong triểnkhai. Nhưng dù có bất kỳ thoái thác nào, điều này cólẽ là vũ khí lớn nhất trong kho vũ khí của phần mềmĐiện toán Phòng vệ. Việc ôm những con bộ khốc liệttrong Windows, nó sẽ ngăn ngừa sự cài đặt của bất kỳphần mềm nào (giả thiết cú đánh không được đưa ramột mật khẩu nào của người quản trị).

Nếu, vì bất kỳ lýdo gì, việc chạy như một người sử dụng bị hạn chếđều không phải là một lựa chọn, thì những người sửdụng Windows XP vẫn có thể có được sự bảo vệ tốtnhất mà nó đưa ra với chương trình D-ropMyRights (hãy bỏđi các quyền của tôi). Chương trình này của Microsoftđược sử dụng để nổi lên trên một chương trìnhkhác và bỏ đi các quyền của nó. Ví dụ, một ngườisử dụng trong nhóm người quản trị (Administrator) có thểnháy lên một biểu tượng cho Adobe Reader, mà thực sựchạy D-ropMyRights. Nó, tới lượt, chạy Adobe Reader, nhưngchỉ sau khi việc bỏ các quyền đối với những ngườisử dụng bị hạn chế. Vì thế, nếu một tệp PDF bịlây nhiễm cố gắng cài đặt phần mềm, nó sẽ thấtbại.

Tôi đã viết trênblog về D-ropMyRights rất nhiều vào mùa hè năm 2007 (xem Mỗingười sử dụng Windows XP phải bỏ các quyền của họ).

Việc chạy như mộtngười sử dụng bị hạn chế tuy nhiên không ngăn cảnđược phần mềm độc hại chạy, chỉ không chạy đượcra ngoài các thư mục nào đó (và từ việc được càiđặt vĩnh viễn). Cần nhiều bước hơn nữa.

HereI assume we are configuring a computer for someone with access tocorporate secrets, someone whose lack of technical know-how makesthem an easy target for online scammers. What steps can we take toprotect this person f-rom themselves?

RestrictedUsers

Runningas a limited (a.k.a. restricted or standard) user is job one. For thesake of backward compatibility Windows users, by default, run asAdministrators, which lets them change anything, anytime, anywhe-re.Despite this default behavior, Microsoft recommends, and all techiesagree, that people are safer running as limited users.

WindowsVista and 7 users may feel that UAC protects them, even when loggedon as an administrator. It does not.

I'vebeen testing life as a restricted user for a while on both Windows XPand 7. It works better on Windows 7; XP has a number of quirks in theimplementation. But regardless of any quirks, this is perhaps thebiggest weapon in the Defensive Computing software arsenal. Barringsevere bugs in Windows, it should prevent the installation of anysoftware (assuming the bigshot is not given an Administratorpassword).

If,for whatever reason, running as a limited user is not an option,Windows XP users can still get most of the protection it offers withthe free D-ropMyRights program. This Microsoft program is used tofront-end another program and d-rop its rights. For example, anAdministrator class user can click on an icon for the Adobe Reader,which actually runs D-ropMyRights. It, in turn, runs the Adobe Reader,but only after d-ropping the rights down to those of a limited user.Thus, if an infected PDF file tries to install software, it fails.

Iblogged about D-ropMyRights extensively in the summer of 2007 (seeEveryWindows XP user should d-rop their rights).

Runningas a limited user however does not prevent malicious software f-romrunning, just f-rom running out of certain folders (and f-rom beingpermanently installed). More steps are needed.

Internet Explorer

Tôi thỉnh thoảng gặpchuyên gia về an ninh Steve Gibson để bàn về tình hìnhĐiện toán Phòng vệ, mà cuối cùng đã gặp được.

Không InternetExplorer gì nữa cả

Chỉ nói không. Cácbạn không để các bạn sử dụng Internet Explorer.

Một phần điều nàylà không công bằng đối với Microsoft, khi mà IE khôngnhất thiết có lỗi nhiều hơn so với các trình duyệtcạnh tranh khác. Nhưng nó là đủ lỗi, và nó có một mụctiêu khổng lồ được bôi trên lưng nó.

Cộng với việc,Microsoft làm cho tình trạng tồi tệ còn tồi tệ hơn bằngviệc chậm sửa các lỗi. Nếu không vì lý do gì khác lýdo này, thì bất kỳ trình duyệt web nào khác cũng là antoàn hơn IE.

Các trình duyệt khácđược cập nhật với các sửa lỗi khi chúng là cầnthiết. IE phải sống trong một sự quan liêu khổng lồ màbức chế nó chỉ có được cập nhất một lần trongtháng. Nó tạo ra những dòng trên trang nhất khi IE đượcvá khi cần, ngược lại so với được theo lịch. Khôngtốt cho an ninh.

Bổ sung vào sự chậmtrể vá IE là việc vá này bị ép chỉ một lần trongtháng theo lịch, Microsoft có một lịch sử chỉ luôn chậmtrễ.

Ví dụ, lỗi của IEmà đã bị khai thác gần đây để tấn công Google và cáccông ty khác đầu tiên được gọi là chỗ bị tổnthương ngày số 0; thuật ngữ của dân kỹ thuật cho mộtlỗi mới được phát hiện. Hóa ra là nó không phải làlỗi ngày số 0 gì cả, mà đã là 120 ngày rồi. Microsoftđã được cảnh báo về vấn đề này 4 tháng trước khinó bị khai thác trên Google.

Và chúng ta vẫn cònchưa làm được với các vấn đề của IE. Computerworldnói rằng các lỗithiết kế trong trình duyệt này có thể làm cho nó mởtoang toàn bộ ổ C: ổ.

không có thứ nào nhưvậy như là việc loại bỏ Internet Explorer, nhưng chúng tacó thể dấu nó.

Đầu tiên, hãy khóanó tốt nhất có thể. Trên tab Security - An ninh (củaInternet Options) hãy thiết lập Internet và các vùng intranetcục bộ (Local) về an ninh cao. Hãy bật chế độ bảo vệvà DEP (lưu ý là DEP đòi hỏi hỗ trợ đi kèm trong cảvi xử lý và BIOS).

Rồi bỏ tất cả cácdấu hiệu có thể nhìn thấy được của Internet Explorer.Hãy loại bỏ nó khỏi màn hình, thanh công cụ, và númStart. Vẫn còn đó, chỉ bây giờ cách duy nhất để chạynó là chuyển tới C:Program FilesInternet Exploreriexplore.exe

InternetExplorer

Ittook security expert Steve Gibson awhile to come around to my Defensive Computing posture, but hefinally did.

Nomore Internet Explorer.

Justsay no. Friends don't let friends use Internet Explorer.

Inpart this is unfair to Microsoft, as IE is not necessarily anybuggier than competing browsers. But it is buggy enough, and it has ahuge target painted on its back.

Plus,Microsoft makes a bad situation worse by being slow to fix bugs. Iffor no other reason than this, any other Web browser is safer thanIE.

Otherbrowsers are up-dated with bug fixes when they are needed. IE has tolive in a huge bureaucracy that dictates it only gets up-dated once amonth. It makes headlines when IE is patched when needed, as opposedto on schedule. Not good for security.

Inaddition to the slow IE patching imposed by the once-a-monthschedule, Microsoft has a history of just being slow.

Forexample, the IEbug that was exploited recently to attack Google and others wasinitially called a zero-day vulnerability; techie terminology for anewly discovered bug. It turns out not have been zero day at all,more like 120 days. Microsoft wasalerted to the problem four months before it was exploited onGoogle.

And,we're still not done with IE issues. Computerworld reports thatdesignflaws in the browser can let it expose the entire C: disk.

Thereis no such thing as removing Internet Explorer, but we can hide it.

First,lock it down as best as possible. On the Security tab (of InternetOptions) set the Internet and Local intranet zones to high security.Turn on protected mode and DEP (note that DEP requires companionsupport in both the processor and BIOS).

Thenget rid of all visible signs of Internet Explorer. Remove it f-rom thedesktop, task bar, and the Start button. It's still there, only nowthe only way to run it is to navigate to

C:ProgramFilesInternet Exploreriexplore.exe

Firefox và AdobeReader

Thay chỗ cho InternetExplorer, tôi gợi ý Firefox; không có thông tin ở đây.Nhưng, nếu cần một vài sự khắc phục của máy.

Vặn vẹo về an ninhtuyệt vời đối với Firefox là để ép thanh địa chỉchuyển sang màu xanh lá cây trên tất cả các trang web anninh HTTPS. Sẽ không khó để huấn luyện bất kỳ ai rằngmàu xanh lá cây là an toàn và bất kỳ màu gì khác làkhông an toàn. Sự vặn vẹo này được thực hiện bằngviệc sửa một tệp được gọi là userchrome.css. Hãy xem“Làmcho Firefox trên các trang web an ninh biến thành màu xanh lácây”.

Khả năng khác làviệc sử dụng phiên bản mang xách được của Firefox hơnlà một bản sao được cài đặt bình thường. Điều nàykhông chỉ cho phép một người sử dụng được hạnchế/bị hạn chế/tiêu chuẩn cập nhật được trìnhduyệt với các bản vá mới, mà nó còn làm cho phần mềmkhó hơn để tìm bởi bất kỳ phần mềm độc hại nàomuốn lây nhiễm cho nó.

Một chương trìnhkhác mà tôi muốn cấm đối với bất kỳ ai trên máytính có liên quan tới các bí mật của công ty là AdobeAcrobat Reader.

Giống như InternetExplorer, Adobe Reader có một mục tiêu lớn được bôi trênnó. Nó cũng từng là rất nhiều lỗi qua vài năm nay. Tạimột thời điểm, Adobe nghĩ là ý tưởng tốt chỉ đưara những sửa lỗi mỗi 3 tháng một. Và thủ tục này choviệc cập nhật phần mềm là kho hơn là nó cần phảicó.

Bổ sung thêm cho bảnthân Reader, Adobe cài đặt 2 chương trình mà chúng chạybất kỳ khi nào Windows khởi động, mà là một tai nạnchờ để xảy ra. Trên thực tế, chỉ cần huơ chuột quatên của một tệp PDF làm cho một chương trình Adobe(AcroRd32Info.exe) chạy, không cần nháy chuột. Điều nàyđúng ngay cả nếu Adobe Reader không là chương trình mặcđịnh cho việc mở các tệp PDF (được thử trên WindowsXP với Adobe Reader 8.2.0). Tất cả những thứ này quá làbừa bãi đối với tôi.

Có nhiều độc giảPDF khác, bất kỳ ai trong số đó cũng sẽ là một mụctiêu nhỏ hơn. Tôi sử dụng một tứ từ Foxit Software. Nókhông làm mọi thứ mà Adobe Reader làm, nhưng nó là đủcho hầu hết mọi người.

Nếu, vì một vài lýdo, Adobe Reader không thể bỏ cài đặt được, thì ítnhất đừng có làm cho nó thành một chương trình mặcđịnh cho việc mở các tập PDF, và phải chắc chắn tắtJavascript đi.

Firefoxand Adobe Reader

Inplace of Internet Explorer, I suggest Firefox; no news here. But, itdoes need some work out of the box.

Agreat security tweak to Firefox is to force the address bar to turngreen on all secure HTTPS Web pages. It shouldn't be hard to trainanyone that green is safe and anything else is not. This tweak isdone by editing a file called userchrome.css. For more see "MakeFirefox flag secure web pages as green."

Anotherpossibility is using the portableversion of Firefox rather than a normally installed copy. Notonly does this allow a limited/restricted/standard user to up-date thebrowser with new patches, it also makes the software harder to findby any malware looking to infect it.

Anotherprogram that I'd ban f-rom the computer of anyone involved withcorporate secrets is Adobe Acrobat Reader.

LikeInternet Explorer, the Adobe Reader has a big target painted on it.It has also been rather buggy over the last couple years. At onepoint, Adobe thought it was a good idea to only issue bug fixes everythree months. And the procedure for updating the software is harderthan it needs to be.

Inaddition to the Reader itself, Adobe installs two programs that runevery time Windows starts, which is an accident waiting to happen. Infact, simply hovering the mouse over the name of a PDF file causes anAdobe program(AcroRd32Info.exe) to run, no clicking required. This istrue even if the Adobe Reader is not the default program for openingPDFs (tested on Windows XP with Adobe Reader 8.2.0).

It'sall just too intrusive for my taste.

Thereare many other PDF readers, any one of which will be a lesser target.I use the one f-rom FoxitSoftware. It doesn'tdo everything that Adobe Reader does, but it should be enough foralmost everyone.

If,for some reason, Adobe Reader can't be un-installed, then at leastdon't make it the default program for opening PDFs, and be sure toturn off Javascript.

Các vấn đề kháccủa phần mềm

Nhiều năm các virusđã lan truyền trên các ổ USB và chúng tiếp tục làm nhưvậy. Windows 7 là bị khóa nhiều hơn về khía cạnh nàyso với XP, nhưng nó cũng không phải là thứ tránh đượcđạn. Tin tốt lành là với một nâng cấp đơn giản chophần đăng ký (registry), bạn có thể bảo vệ 100% khỏitất cả các chỗ có khả năng bị tổn thương củaAutorun/AutoPlay. (Tôi đã viết điều này năm ngoái: “Cáchtốt nhất để vô hiệu hóa Autorun để bảo vệ các ổUSB khỏi bị lây nhiễm”).

Trong khi InternetExplorer và Adobe Reader là những ứng dụng bị nhắm tớithường xuyên nhất, thì bọn xỏ lá cũng khai thác cácphần mềm thông dụng khác. Vì thế, phần mềm càng ítđược cài đặt càng tốt. Với điều đó trong đầu,tôi có thể bỏ cài đặt QuickTime, Java, Shockwave, RealPlayer, và bất kỳ phần mềm thông dụng nào khác mà nólà đặc biệt không cần thiết.

Flash là một lựachọn khó. Vì nó là phổ biến, mà bạn có thể mong đợibọn xỏ lá sẽ khai thác những chỗ có thể bị tổnthương được biết tới như chúng đã được phát hiệnra. Nhưng, nó cũng thường xuyên cần tới. Như một sựthỏa hiệp, hãy xem xét trình mở rộng của Firefox làFlashblock.

Nó làm việc bằngviệc khóa các đối tượng của Flash trên các trang web vàthay thế chúng bằng các ô trống. Nếu một đối tượngFlash nào đó đặc biệt cần tới, tất cả thứ bạn cầnlàm là nháy lên nó để chạy nó. Như tôi viết về điềunày, trình mở rộng Flashblock từng được tải về gần8 triệu lần.

Có lẽ vua của cácphần mềm phổ biến là Microsoft Office. Hãy coi việc thaythế nó bằng OpenOffice, một lần nữa, theo lý thuyết, làphần mềm ít bị làm mục tiêu hơn.

OpenOffice không hoạtđộng như Microsoft Office, nhưng đối với những dân khôngkỹ thuật, như những người của các công ty, thì nóphải là đủ tính năng.

Bạn có biết rằnglỗi gần đây trong Internet Explorer, lỗi mà nó là nguy cấptới mức là Microsoft đã tung ra một bản sửa ngay lậptức mà không chờ tới ngày thứ ba của tuần thứ 2 củatháng, cũng đã lây nhiễm cho Microsoft Office không? Điềunày báo chí không nói tới nhiều. Đây là những lờicủa chính Microsoft:

Chúng tôi cũng nhậnthức được rằng chỗ có thể bị tổn thương này cóthể bị khai thác bằng việc đưa vào một kiểm soátActiveX trong một tệp của Microsoft Access, Word, Excel, hoặcPowerPoint. Các khách hàng có thể mở phải một tệp độchại vá sẽ bị rủi ro về sự khai thác. Để ngăn ngừasự khai thác, chúng tôi khuyến cáo các khách hàng vô hiệuhóa các kiểm soát ActiveX trong Microsoft Office.

Hỗ trợ cho các kiểmsoát Active X trong các tài liệu Office là một tai nạn vềan ninh chờ để xảy ra. Tôi đọc những chỉ lệnh choviệc vô hiệu hóa các kiểm soát ActiveX trong MicrosoftOffice 2003. Chúng là rất lộn xộn, tôi không thể làmtheo chúng được. Thứ an toàn nhất để làm là thay thếMicrosoft Office bằng phần mềm cạnh tranh với nó.

Othersoftware issues

Foryears viruses have spread on USB flash drives (a.k.a. pen drive,thumb drive, etc.) and they continue to do so. Windows 7 is morelocked down in this respect than XP, but it is not bullet-proof.

Thegood news is that with a simple up-date to the registry, you can offer100% protection f-rom all Autorun/AutoPlay vulnerabilities. (I wroteabout this last year: "Thebest way to disable Autorun for protection f-rom infected USB flashdrives.")

WhileInternet Explorer and Adobe Reader are the most frequently targetedapplications, bad guys also exploit other popular software. Thus, theless software installed the better. With this in mind, I wouldun-install QuickTime, Java, Shockwave, Real Player, and any otherpopular software that is not absolutely needed.

Flashis a difficult choice. Because it's popular, you can expect bad guysto exploit known vulnerabilities as they are discovered. But, it'salso needed frequently. As a compromise, consider the FlashblockFirefox extension.

Itworks by blocking Flash objects on Web pages and replacing them withplaceholders. If a particular Flash object is needed, all you need dois click on it to run it. As I write this, the Flashblock extensionhas been downloaded nearly 8 million times.

Perhapsthe king of popular software is Microsoft Office. Consider replacingit with Open Office, the theory being, again, software that is alesser target.

OpenOffice is not as functional as Microsoft Office, but for non-techies,such as corporate bigshots, it should be functional enough.

Didyou know that the recent bug in Internet Explorer, the one that wasso critical that Microsoft released an immediate fix without waitingfor the second Tuesday of the month, also affected Microsoft Office?This didn't get much press. In Microsoft'sown words:

Weare also aware that the vulnerability can be exploited by includingan ActiveX control in a Microsoft Access, Word, Excel, or PowerPointfile. Customers would have to open a malicious file to be at risk ofexploitation. To prevent exploitation, we recommend that customersdisable ActiveX Controls in Microsoft Office.

Supportfor ActiveX controls in Office documents is a security accidentwaiting to happen. I read the instructions for disabling ActiveXcontrols in Microsoft Office 2003. They were so confusing, I couldn'tfollow them. The safest thing to do is replace Microsoft Office withcompeting software.

Mã hóa phần cứng

Về phía phần cứng,tôi có 2 gợi ý. Đầu tiên, hãy thiết lập mật khẩucho ổ cứng trong máy tính. Điều này phải là một thứđơn giản để làm và các mật khẩu của ổ cứng là anninh hơn so với cả các mật khẩu khởi động ở mứcBIOS lẫn các mật khẩu của hệ điều hành. Hãy xem “Cácmật khẩu cho ổ đĩa cứng đưa ra an ninh tuyệt vời mộtcách tự do”.

Mã hóa tốt nhất là,còn tranh cãi, mã hóa toàn bộ đĩa và nếu một lãnh đạonào đó có những tệp nhạy cảm trên máy tính của mình,thì điều này là có ý nghĩa. Nhưng, các tệp nhạy cảmphải không bị giữ trên một máy tính xách tay hoặc máytính để bàn. chúng sẽ được lưu trữ tốt nhất trênmột ổ đĩa ngoài, một khi nó có thể du lịch với ngườiquan trọng tới những nơi mà một máy tính không thể đi.

2 ổ cứng được mãhóa, ổ cứng an ninh USB của ThinkPad của Lenovo và AegisPadlock, đứng ra mà không cần bất kỳ phần mềm nàochạy trên bất kỳ máy tính nào; vì thế chúng có thểlàm việc với các máy tính chạy Windows, OS X hoặc Linux.

Mỗi ổ có sẵn cácnúm mà chúng được sử dụng để gõ vào mật khẩu. Chotới khi một mật khẩu đúng được gõ vào, thì máy tínhkhông thể thấy bất kỳ thứ gì trong ổ đĩa. Sau khikiểm tra tính đúng đắn của mật khẩu, các ổ này làmviệc như là các ổ cứng được giải mã. Máy tính hoàntoàn không nhận thức được về sự mã hóa. Đối vớingười sử dụng, không phải học gì, chỉ một mậtkhẩu.

Một ưu điểm lớnkhác cho một ổ đĩa cứng ngoài được mã hóa là việcnó có thể dễ dàng và nhanh chóng được khóa chỉ bằngviệc rút nó khỏi máy tính.

Hardwareencryption

Onthe hardware side, I have two suggestions. First, set a password forthe hard drive in the computer. This should be a simple thing to doand hard drive passwords are more secure than both BIOS level startuppasswords and operating system passwords. For more see, "Harddisk passwords offer great security for free."

Thebest encryption is, arguably, full disk encryption and if anexecutive has sensitive files on her computer, this might makesense. But, sensitive files should not be kept on a laptop or desktopcomputer. They are best stored on an external hard drive, one thatcan travel with the bigshot to places that a computer can't go.

Twoencrypted hard drives, the LenovoThinkPad USB Secure Hard Drive and the AegisPadlock, stand out for not needing any software running on anycomputer; thus they can work with computers running Windows, OS X, orLinux.

Eachhas built-in buttons that are used to enter a password. Until a validpassword is given, the computer can't see anything on the drive.After the password is validated, the drives work like normalun-encrypted hard drives. The computer is totally unaware of theencryption. For the user, there is no learning curve, just apassword.

Anotherbig advantage to an external encrypted hard drive is that it can beeasily and quickly locked just by unplugging it f-rom the computer.

Khai thác các bạnbè

Liệu tất cả nhữngthứ này có nhiều rắc rối không? Tôi đang đối phó quámức chăng?

Hoạt động mà Googleđã phát hiện vào cuối năm 2009 là rất tinh vi phức tạp.Tờ Thời báo Tài chính đã chỉ nói rằng “những ngườibạn cá nhân của các nhân viên tại Google, Adobe, và cáccông ty khác là những mục tiêu của các tin tặc”.

Các bạn bè ư? Bàiviết này của Joseph Menn, nói

“… bọn tin tặc đãlựa chọn các nhân viên tại các công ty với sự truy cậptới các dữ liệu sở hữu độc quyền, rồi đã nghiêncứu xem ai là bạn bè của họ. Các tin tặc đã làm tổnthương các tài khoản mạng xã hội của những ngườibạn này, hy vọng để cải thiện tính khả thi mà cácmục tiêu cuối cùng của họ có thể nháy vào nhữngđường liên kết mà họ gửi”.

OK.

Exploitingfriends

Isall this too much trouble? Am I over reacting?

Theoperation that Google uncovered at the end of 2009 was verysophisticated. The FinancialTimesjust reported that "personal friends of employees at Google,Adobe, and other companies were targeted by hackers."

Friends?The article, by Joseph Menn, says

...theattackers had se-lected employees at the companies with access toproprietary data, then learnt who their friends were. The hackerscompromised the social network accounts of those friends, hoping toenhance the probability that their final targets would click on thelinks they sent."

Yikes.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com