Học bảo mật

Source: http://www.hvaonline.net/hvaonline/posts/list/1116.hva
Author: conmale

Để có thể bảo mật một cái gì thì việc đầu tiên phải hiểu tường tận cái mình cần bảo mật. Đây là khái niệm tổng thể và căn bản nhất. Kế tiếp, phải hiểu rõ mình bảo vệ với đối tượng nào, trong môi trường nào.

Bảo mật có thể rất sâu và rất rộng. Ví dụ:

- muốn bảo mật desktop --> phải tường tận desktop (nó làm việc ra làm sao, thường bị hỏng hóc chỗ nào, thường bị nghịch phá, làm hỏng trong hoàn cảnh ra sao...)

- muốn bảo mật server --> phải tường tận server (server đó có chức năng gì? cung cấp những dịch vụ gì, những dịch vụ này thường bị sự cố ở đâu? những ai thường "chọc phá" chúng....)

- muốn bảo mật phần mềm ứng dụng --> phải hiểu rõ phần mềm ấy (nó làm gì, cung cấp cái gì và có thể tạo ra những tình huống ra làm sao....)

- muốn bảo mật chính ứng dụng mình viết ra --> phải hiểu rõ mục tiêu người dùng là ai, ứng dụng mình tạo ra có những chức năng cốt lõi là gì.

- muốn bảo mật một hệ thống làm việc --> phải hiểu rõ hệ thống ấy (gồm có những gì, chức năng của từng bộ phận ra làm sao, chúng thường bị sự cố gì, những thành phần nào thường "chọc phá" chúng...).

và ...v..v...

Vậy, câu hỏi "bắt đầu từ đâu" có thể sẽ là: bắt đầu bằng cách làm cho mình tường tận những gì mình muốn bảo mật.

Thế, làm sao để có thể tường tận?
Xác định cụ thể mục tiêu mình muốn bảo mật và bắt đầu từ cái căn bản nhất: cách xử dụng, cách cài đặt, cách điều chỉnh, cách tối ưu, cách mở rộng. Từ đó, những kiến thức thâu thập được trên chặng đường này sẽ giúp mình mở rộng ra những "khu vực" khác của bảo mật.

Đọc sách gì?
Đọc bất cứ sách gì nhưng cần 2 điểm tối quan trọng:
- kiểm chứng và tổng hợp sau khi đọc (kiểm chứng xem điều mình đọc có xác thực không? có ai phát biểu, nhận định gì khác với điều mình đọc không?)
- thực hành và xác thực trong khi và sau khi đọc (thực hành những gì có thể thực hành để nắm được cái thực tế).

Tham khảo ở đâu?
Bất cứ nơi nào cho phép: web, search engine, forums, bạn bè, thầy cô... nhưng 1 điểm tối quan trọng trước khi tham khảo (hỏi) người khác:
- tự đặt một câu hỏi cho hữu lý (nếu chính mình không hiểu câu hỏi thì người khác khó có thể hiểu được điều mình muốn hỏi)
- thử tự mình trả lời trước (nếu không thể tự trả lời, ít nhất mình rõ hơn điều mình đang thắc mắc).

Và 2 điều không thể thiếu: đam mê + kiên nhẫn.

Thân mến.

==========================================================================
Để hiểu tường tận mọi thứ, phải học và làm mọi thứ. Nếu muốn bảo mật web server, phải hiểu cách làm việc của nó, phải biết cách cài đặt, điều chỉnh, tối ưu nó trước khi đụng đến bảo mật. Không biết nó làm việc ra sao thì bảo mật cái gì?

Forum là tầng nằm trên một web server, muốn bảo mật nó phải biết nó làm việc thế nào, điều chỉnh nó ra làm sao. Nếu forum này không cho nguồn hoặc không biết cách điều chỉnh nguồn thì chỉ có thể trông đợi vào bản vá của nhóm cung cấp forum software. Nếu có nguồn và biết cách điều chỉnh, tối ưu nguồn thì phải nắm rõ những điểm yếu của forum nằm ở đâu. Cái này chẳng những đòi hỏi kiến thức lập trình dành cho loại forum ấy mà còn phải hiểu nguyên tắc bảo mật, phải hiểu quy trình dữ liệu được xử lý ra sao và mọi giềng mối thao tác của forum.

Học "hack" trước hay học bảo mật trước là câu hỏi được bàn cãi thường xuyên. Không biết chương trình + hệ thống làm việc ra sao thì làm sao mà "hack"? Ngay cả chưa hiểu thế nào thật sự là "hack" thì làm sao "hack"? Bảo mật đòi hỏi cả chiều rộng lẫn chiều sâu nhưng điều không thể thiếu là kiến thức về hệ thống mình muốn bảo mật.

Nói tóm lại, bắt đầu bằng tư thế của người dùng rồi mới trở thành người dùng thành thạo. Từ đó, mới có thể trở thành "hacker". Nếu chưa phải là người dùng thì khoan nghĩ đến việc trở thành "hacker".