Trong bài viết trước thì các bạn đã biết được NSO Group hack iOS trong một nốt nhạc, hay là việc tin tặc khai thác các lỗ hổng 0-day
mua ở chợ đen như-mua-rau giúp hacker “chuyên nghiệp” có thể tấn công mọi thiết bị/HĐH một cách vô cùng đơn giản.
Cùng với việc, các quốc gia đã coi không gian mạng Internet hiện nay như một chiến trường mới, khiến cho các hãng bảo mật/nhóm tội phạm càng tích cực vũ-khí-hóa những công cụ tấn công mạng của mình hơn.
Trớ trêu thay, đa số những công cụ hợp pháp này lại đang được phân phối và sử dụng một cách vô tình hay hữu ý bởi giới tin tặc hay các nhóm giám sát người dân bất hợp pháp được bảo trợ bởi chính phủ.
Do vậy, khái niệm HĐH an toàn tuyệt đối là không thể, chỉ có hệ điều hành hỗ trợ kiện toàn công tác bảo mật trong một môi trường tổng thể tốt nhất mà thôi.
Chúng ta gọi chung các hệ điều hành mã nguồn mở được phát triển từ Linux là một OS nhé: Gọi Linux cho dễ so sánh tương quan với 2 hệ điều hành còn lại, đó là: Windows và macOS.
Bài viết này mình đánh giá một cách rất khách quan giữa các OS với nhau (phiên bản mới nhất) dựa trên các tiêu chí bảo mật cụ thể để đảm bảo tính công bằng, không nhằm mục đích quảng cáo cho cái này hay cái nọ.
Bởi một lẽ đương nhiên, người dùng macOS không thích ai chê hệ điều hành macOS mà họ đang dùng cả, Windows và Linux cũng vậy thôi.
Các bạn nên nhớ là có hơn 80% các cuộc tấn công mạng là “social engineering/tấn công con người” chứ không phải tấn công về hệ điều hành, do đó buộc chúng ta phải đánh giá dựa trên các thành phần kỹ thuật với các thuật ngữ chuyên ngành, hi vọng các bạn chủ động tra Google về chúng nhé !
#1. Trình diệt virus tích hợp sẵn
Windows Defender đã quá quen thuộc với người dùng Windows 10, và đa số người dùng Việt Nam chúng ta thường chưa có thói quen mua phần mềm bản quyền để sử dụng.
Nhất là khi Windows đã tích hợp sẵn Windows Defender – một phần mềm diệt virus miễn phí nhưng lại tỏ ra khá hiệu quả thì lại càng không có lý do gì để mua thêm các phần mềm diệt virus cả hãng thứ 3.
Các trình diệt Virus Internet Security nổi tiếng như: Kaspersky, Bitdefender, ESET,… giá bản quyền sơ sơ cũng 300 – 500k. Một mức giá khá đắt so với thu nhập bình quân của chúng ta.
Mặc dù với những công nghệ phát hiện và diệt virus rất cơ bản: Signature inspecting, YARA rule matching, Repucation Checking nhưng nhờ Windows Defender chủ động rà soát, cũng như phạm vi hoạt động trên Windows rộng hơn khiến nó hiệu quả hơn bộ 3 của macOS: Gatekeeper, XProtect, Malware Removal Tool.
Các hệ điều hành trên nền Linux thường không tích hợp sẵn trình diệt virus, mình chỉ biết mỗi ClamAV, nhưng lần cuối mình dùng thì thấy rằng cách cấu hình, khởi chạy nó rất thủ công, người dùng phổ thông khó mà sử dụng nó thành thạo được.
=> Phần này Windows chiếm ưu thế!
#2. Sandboxing: Chạy chương trình trong một môi trường độc lập
Đọc thêm:
- Tạo môi trường an toàn khi lướt web và kiểm thử phần mềm !
- Windows Sandbox là gì? Kích hoạt Windows Sandbox trên Windows 10
Khái niệm này nằm sâu trong HĐH, người dùng không phải cài đặt hay điều chỉnh gì thêm, nói đơn giản thì đây là khả năng hệ điều hành có thể cô lập các tiến trình/chương trình được khởi chạy trong môi trường đa nhiệm.
Tinh thần chung là chương trình nào sử dụng tài nguyên (RAM, CPU,…) của chương trình nấy, đặc biệt là ngăn ngừa sửa file hệ thống.
Ngay cả các trình duyệt như Chrome, Firefox,… đều có sandbox riêng cho các trang web/các tab mà người dùng truy cập, nên lỡ có các mã JavaScript độc chạy trong Tab đó cũng không thể làm gì nhiều đến hệ điều hành, nguyên tắc của “sandbox” là vậy !
Windows và macOS đều “sandbox/cô lập” các ứng dụng được cài từ Microsoft Store/ App Store, nhưng nếu người dùng tự tải file từ Internet rồi tự cài đặt vào thì vấn đề này khó mà kiểm soát được.
Linux thì vượt trội hơn với SELinux và AppArmor giúp “sandbox” các chương trình một cách chủ động/bị động nhanh chóng, nhất là khi bạn có quyền root/admin trên máy.
=> Phần này một điểm cho Linux !
#3. Codesigning: Chữ ký số, xác minh danh tính
Đây là kĩ thuật xác thực nhằm đảm bảo chương trình mà bạn cài vào máy đúng là của chính người phát hành ra nó, và bộ cài/file thực thi không bị sửa đổi hay là chèn mã độc khi sử dụng.
Nguyên tắc là khi phát hành phần mềm, nhà phát triển sẽ gắn chữ ký số và các thông tin nhận diện, cũng như cách để kiểm tra tính toàn vẹn của bộ cài (itegrity checking).
Các bạn yên tâm là nhờ các công nghệ mã hóa, xác thực công khai hiện đại thì việc giả mạo thông tin xác thực trên là rất khó – nếu không muốn nói là không thể, bạn hãy tìm hiểu thêm về PKI, Hash, mã hóa AES,… để xem mình nói có đúng hay không nhé.
Trên hệ điều hành MacOS hay Windows thì đều có quá trình kiểm tra codesigning lớp: từ khi bắt đầu cài đặt cho đến khi mở ứng dụng. Trong khi đó thì Linux, đến thời điểm hiện tại vẫn chưa trang bị quá trình này một cách hoàn thiện.
Các bạn thử tưởng tượng một bộ cài đặt (file setup) bị thay đổi một chút ở phần địa chỉ nhập thông tin đã có thể khiến người dùng mất tài khoản quan trọng như chơi, do đó HĐH mà không có codesigning rất thiếu an toàn!
=> Phần này thì MacOS và Windows mỗi anh một điểm nữa !
#4. System Protection: Bảo vệ ở cấp độ OS
Muốn có một OS (hệ điều hành) an toàn không chỉ phụ thuộc vào mỗi người dùng, mà bản thân OS đó phải có các cơ chế ngăn chặn các loại malware/virus chuyên phá hoại hay nằm vùng trong HĐH như Rootkit.
Ở khoản này thì macOS làm rất tốt với Apple System Integrity Protection (SIP), thừa hưởng cơ chế từ Linux nhưng đặc biệt là với MacOS thì người dùng không thể tự ý điều chỉnh hay vô hiệu hóa thành phần này, kể cả họ có quyền root/power user đi chăng nữa.
Windows thì có Trusted Boot và Secure Boot để bảo vệ hệ điều hành ngay trước khi các phần mềm hỗ trợ bảo mật khác bắt đầu hoạt động.
Nhưng các chuyên gia bảo mật đánh giá Apple SIP
cao hơn 2 thành phần bên trên của Windows.
=> Phần này thì macOS giành thêm 1 điểm nữa, Windows rất cố gắng nên nhận 0.5 điểm thưởng ?
#5. Tổng kết
Xét về góc độ kỹ thuật thì cả 3 hệ điều hành này đều có đầy đủ những tính năng bảo mật cơ bản, OS này có cái này tự phát triển thì OS kia cũng có hoặc đang nghiên cứu thành phần bảo vệ tương đương.
Hệ điều hành an toàn không chỉ đơn thuần dựa vào bản thân công ty: Microsoft, Apple, RedHat,… mà còn là câu chuyện tổng thể mà người dùng ở vị trí trung tâm.
OS tốt, phần mềm diệt virus xịn nhưng rất có thể người dùng lại bị lừa tắt chúng đi, hay người dùng tự chạy các chương trình giả lập cross-platform khiến macOS dính virus bên Windows (ở một mức độ nào đó) rồi lại đổ lỗi macOS kém an toàn,…
Chung quy lại thì chúng ta đang tìm ra một hệ điều hành toàn diện nhất thì đúng hơn, mình chọn Windows 10 bởi số lượng ứng dụng, game phong phú, tương thích phần cứng rất tốt.
Mình sử dụng cẩn thận nên đến giờ vẫn chưa thấy rõ Windows “kém-an-toàn” là như thế nào, mặc dù mình vẫn quên trả tiền bản quyền ESET Internet Security các bạn ạ ^^!
Còn ý kiến của bạn thì thế nào? hãy chia sẻ lại bằng cách comment phía bên dưới bài viết này nhé !
Đọc thêm:
- Kinh nghiệm bảo mật máy tính, bảo vệ dữ liệu cực hay
- 8 tiện ích mở rộng giúp bạn an toàn hơn trên Internet
- 13 lưu ý bạn PHẢI BIẾT để luôn được AN TOÀN TRÊN INTERNET
CTV: Dương Minh Thắng – Blogchiasekienthuc.com