Những gì có thể bị lộ khi dùng Wi-Fi không an toàn ?

Mỗi lần kết nối vào các mạng WiFi không khóa mã, người dùng luôn được cảnh báo những mạng này có thể không an toàn. Vậy cụ thể thì những thông tin gì có thể bị lộ khi bạn kết nối vào một mạng WiFi không an toàn ? Tác giả Eric Geier của PC World là một người hoạt động trong lĩnh vực bảo mật. Để minh họa cho bài viết này, anh đã tới một quán cà phê gần nhà và sử dụng mạng WiFi không khóa ở đây. Dưới đây là những chia sẻ của tác giả...
Nội dung trích xuất từ tài liệu:
Những gì có thể bị lộ khi dùng Wi-Fi không an toàn ?Những gì có thể bị lộ khi dùng Wi-Fi không an toàn ?Mỗi lần kết nối vào các mạng WiFi không khóa mã, người dùng luôn được cảnh báonhững mạng này có thể không an toàn. Vậy cụ thể thì những thông tin gì có thể bị lộ khibạn kết nối vào một mạng WiFi không an toàn ?Tác giả Eric Geier của PC World là một người hoạt động trong lĩnh vực bảo mật. Đểminh họa cho bài viết này, anh đã tới một quán cà phê gần nhà và sử dụng mạng WiFikhông khóa ở đây. Dưới đây là những chia sẻ của tác giả.Mục đích của tôi khi thực hiện bài viết này không phải là xâm nhập vào máy tính haythiết bị của người khác - điều đó là bất hợp pháp - mà chỉ để xem thử thôi. Nó cũng giốngnhư việc bạn nghe khi ai đó nói chuyện qua bộ đàm vậy. Giống như thiết bị bộ đàm, cácmạng WiFi cũng hoạt động trên dải sóng mà ai cũng có thể bắt được.Ở phần dưới của bài viết, bạn sẽ thấy việc thu thập các thông tin nhạy cảm có thể thựchiện dễ dàng ở những địa điểm phát sóng công cộng - như quán cà phê, nhà hàng, sânbay, khách sạn… Bạn có thể bắt được email, dò mật khẩu, xem các tin nhắn không mãhoá, và cũng có thể đăng nhập vào các trang web bằng tài khoản của người khác. Rấtmay là bạn có thể tự bảo vệ mình, và tôi cũng sẽ đề cập đến các phương pháp này.Xem các trang web được truy cậpTôi mở laptop của mình và bắt đầu bắt các tín hiệu WiFi, hay còn được gọi là các gói tin802.11, với bản dùng thử một phần mềm phân tích mạng không dây. Các gói tin được bắtsẽ hiện lên trên màn hình theo thời gian thực, nhanh hơn rất nhiều so với tốc độ tôi có thểđọc, do vậy tôi chỉ thực hiện bắt gói tin trong vài phút rồi dừng lại để phân tích.Đầu tiên tôi tìm các gói có chứa mã HTML, để xem những người dùng chung mạng đangtruy cập các trang web nào. Tôi cũng thu được một vài thông tin, nhưng không có gì thúvị, do vậy tôi đã sử dụng điện thoại để vào trang web của mình - egeier.com.Các gói tin chứa mã HTML trông khá phức tạp, nhưng chương trình phân tích có thể tựsắp xếp chúng lại thành dạng trang web như bạn nhìn thấy trên hình. Một số phần hiển thịchưa chuẩn, nhưng nhìn chung định dạng của trang web đã được dựng lại và khá nhiềuthông tin có thể xem được. Email gửi qua smartphone cũng dễ dàng bị lộTrong thời gian thử, tôi không thấy ai gửi hay nhận email, nhưng có thể đọc được emailmà tôi gửi đi từ điện thoại di động của mình. Do tôi sử dụng một ứng dụng để kết nối vớimáy chủ email qua giao thức POP3 mà không có mã hoá, tôi còn có thể xem được thôngtin về địa chỉ email và mật khẩu (phần bôi mờ trong hình). Với các thông tin này, ngườiđánh cắp thông tin có thể sử dụng email của tôi để xem và gửi thư. Và tin nhắn qua Yahoo Messenger cũng vậyTôi cũng dùng Yahoo Messenger để gửi một tin nhắn, và phần mềm phân tích cũng cóthể xem được tin nhắn này. Như vậy bạn không nên dùng một dịch vụ nhắn tin trực tiếpkhông có tính năng mã hoá trong trường hợp này.Lấy trộm các thông tin khi dùng phương thức FTP Bạn cũng có thể bị lộ thông tin đăng nhập nếu sử dụng giao thức FTPNếu như bạn sử dụng giao thức FTP (File Transfer Protocol) để tải lên, tải xuống haychia sẻ file, bạn không nên dùng khi đang nối vào một mạng WiFi không an toàn. Hầuhết các máy chủ FTP sử dụng các kết nối không được mã hoá, do vậy các thông tin đăngnhập và nội dung truyền tải đều có thể được xem dưới dạng văn bản thông thường, dovậy người thâm nhập có thể dễ dàng lấy được các thông tin.Khi tôi dùng laptop để đăng nhập vào máy chủ FTP của mình, các gói tin bắt được đã đểlộ ra tên tài khoản và mật khẩu, và các thông tin này có thể dùng để đăng nhập vào nhiềuphần trong website của tôi.Sử dụng trái phép các tài khoảnMáy tính không phải là thiết bị duy nhất có thể dùng để đánh cắp thông tin. Tôi cũng cóthể sử dụng ứng dụng có tên DroidSheep trên chiếc điện thoại Android của mình, để cóthể truy cập vào các tài khoản Gmail, Facebook, Yahoo, Facebook ... của người khác. Điện thoại Android cũng có thể dùng để đăng nhập vào tài khoản người khácDroidSheep tìm kiếm và liệt kê ra danh sách các đăng nhập không an toàn. Nó không bắtđược mật khẩu, nhưng có thể giúp bạn đăng nhập vào tài khoản của người khác khi ngườiđó đang sử dụng, và dùng các chức năng như người chủ tài khoản.Ở hình trên, bạn có thể thấy DroidSheep đã liệt kê ra các đăng nhập vào Google,LinkedIn và Yahoo từ nhiều người dùng khác trên mạng WiFi, cũng như lần đăng nhậpcủa tôi vào Facebook. Tác giả chỉ sử dụng điện thoại để đăng nhập tài khoản của chính mình trên điện thoại, nhưng cũng có thể dễ dàng đăng nhập tài khoản của những người khácTôi không truy cập vào tài khoản của người khác, nhưng đã mở Facebook trên chiếc điệnthoại mà không cần phải nhập tài khoản hay mật khẩu Facebook.Những lưu ý để sử dụng mạng WiFi một cách an toànBạn đã thấy việc sử dụng mạng WiFi công cộng có thể để lộ ra rất nhiều thông tin quantrọng. Những g ...