Windows, Linux hay macOS: đâu là HĐH an toàn nhất?


Trong bài viết trước thì các bạn đã biết được NSO Group hack iOS trong một nốt nhạc, hay là việc tin tặc khai thác các lỗ hổng 0-day mua ở chợ đen như-mua-rau giúp hacker “chuyên nghiệp” có thể tấn công mọi thiết bị/HĐH một cách vô cùng đơn giản.

Cùng với việc, các quốc gia đã coi không gian mạng Internet hiện nay như một chiến trường mới, khiến cho các hãng bảo mật/nhóm tội phạm càng tích cực vũ-khí-hóa những công cụ tấn công mạng của mình hơn.


Trớ trêu thay, đa số những công cụ hợp pháp này lại đang được phân phối và sử dụng một cách vô tình hay hữu ý bởi giới tin tặc hay các nhóm giám sát người dân bất hợp pháp được bảo trợ bởi chính phủ.

Do vậy, khái niệm HĐH an toàn tuyệt đối là không thể, chỉ có hệ điều hành hỗ trợ kiện toàn công tác bảo mật trong một môi trường tổng thể tốt nhất mà thôi.

Chúng ta gọi chung các hệ điều hành mã nguồn mở được phát triển từ Linux là một OS nhé: Gọi Linux cho dễ so sánh tương quan với 2 hệ điều hành còn lại, đó là: Windows và macOS.

window-linux-hay-macos-an-toan-nhat (1)

Bài viết này mình đánh giá một cách rất khách quan giữa các OS với nhau (phiên bản mới nhất) dựa trên các tiêu chí bảo mật cụ thể để đảm bảo tính công bằng, không nhằm mục đích quảng cáo cho cái này hay cái nọ.

Bởi một lẽ đương nhiên, người dùng macOS không thích ai chê hệ điều hành macOS mà họ đang dùng cả, Windows và Linux cũng vậy thôi.

Các bạn nên nhớ là có hơn 80% các cuộc tấn công mạng là “social engineering/tấn công con người” chứ không phải tấn công về hệ điều hành, do đó buộc chúng ta phải đánh giá dựa trên các thành phần kỹ thuật với các thuật ngữ chuyên ngành, hi vọng các bạn chủ động tra Google về chúng nhé!

data-full-width-responsive="true"

#1. Trình diệt virus tích hợp sẵn

Windows Defender đã quá quen thuộc với người dùng Windows 10, và đa số người dùng Việt Nam chúng ta thường chưa có thói quen mua phần mềm bản quyền để sử dụng.

Nhất là khi Windows đã tích hợp sẵn Windows Defender – một phần mềm diệt virus miễn phí nhưng lại tỏ ra khá hiệu quả thì lại càng không có lý do gì để mua thêm các phần mềm diệt virus cả hãng thứ 3.

Các trình diệt Virus Internet Security nổi tiếng như: Kaspersky, Bitdefender, ESET,… giá bản quyền sơ sơ cũng 300 – 500k. Một mức giá khá đắt so với thu nhập bình quân của chúng ta.

window-linux-hay-macos-an-toan-nhat (2)

Mặc dù với những công nghệ phát hiện và diệt virus rất cơ bản: Signature inspecting, YARA rule matching, Repucation Checking nhưng nhờ Windows Defender chủ động rà soát, cũng như phạm vi hoạt động trên Windows rộng hơn khiến nó hiệu quả hơn bộ 3 của macOS: Gatekeeper, XProtect, Malware Removal Tool.

Các hệ điều hành trên nền Linux thường không tích hợp sẵn trình diệt virus, mình chỉ biết mỗi ClamAV, nhưng lần cuối mình dùng thì thấy rằng cách cấu hình, khởi chạy nó rất thủ công, người dùng phổ thông khó mà sử dụng nó thành thạo được.

=> Phần này Windows chiếm ưu thế!

#2. Sandboxing: Chạy chương trình trong một môi trường độc lập

Đọc thêm:

Khái niệm này nằm sâu trong HĐH, người dùng không phải cài đặt hay điều chỉnh gì thêm, nói đơn giản thì đây là khả năng hệ điều hành có thể cô lập các tiến trình/chương trình được khởi chạy trong môi trường đa nhiệm.

Tinh thần chung là chương trình nào sử dụng tài nguyên (RAM, CPU,…) của chương trình nấy, đặc biệt là ngăn ngừa sửa file hệ thống.

window-linux-hay-macos-an-toan-nhat (3)

Ngay cả các trình duyệt như Chrome, Firefox,… đều có sandbox riêng cho các trang web/các tab mà người dùng truy cập, nên lỡ có các mã JavaScript độc chạy trong Tab đó cũng không thể làm gì nhiều đến hệ điều hành, nguyên tắc của “sandbox” là vậy !

Windows và macOS đều “sandbox/cô lập” các ứng dụng được cài từ Microsoft Store/ App Store, nhưng nếu người dùng tự tải file từ Internet rồi tự cài đặt vào thì vấn đề này khó mà kiểm soát được.

Linux thì vượt trội hơn với SELinux và AppArmor giúp “sandbox” các chương trình một cách chủ động/bị động nhanh chóng, nhất là khi bạn có quyền root/admin trên máy.

=> Phần này một điểm cho Linux !

#3. Codesigning: Chữ ký số, xác minh danh tính

Đây là kĩ thuật xác thực nhằm đảm bảo chương trình mà bạn cài vào máy đúng là của chính người phát hành ra nó, và bộ cài/file thực thi không bị sửa đổi hay là chèn mã độc khi sử dụng.

Nguyên tắc là khi phát hành phần mềm, nhà phát triển sẽ gắn chữ ký số và các thông tin nhận diện, cũng như cách để kiểm tra tính toàn vẹn của bộ cài (itegrity checking).

window-linux-hay-macos-an-toan-nhat (4)

Các bạn yên tâm là nhờ các công nghệ mã hóa, xác thực công khai hiện đại thì việc giả mạo thông tin xác thực trên là rất khó – nếu không muốn nói là không thể, bạn hãy tìm hiểu thêm về PKI, Hash, mã hóa AES,… để xem mình nói có đúng hay không nhé.

Trên hệ điều hành MacOS hay Windows thì đều có quá trình kiểm tra codesigning lớp: từ khi bắt đầu cài đặt cho đến khi mở ứng dụng. Trong khi đó thì Linux, đến thời điểm hiện tại vẫn chưa trang bị quá trình này một cách hoàn thiện.

Các bạn thử tưởng tượng một bộ cài đặt (file setup) bị thay đổi một chút ở phần địa chỉ nhập thông tin đã có thể khiến người dùng mất tài khoản quan trọng như chơi, do đó HĐH mà không có codesigning rất thiếu an toàn!

=> Phần này thì MacOS và Windows mỗi anh một điểm nữa !

#4. System Protection: Bảo vệ ở cấp độ OS

Muốn có một OS (hệ điều hành) an toàn không chỉ phụ thuộc vào mỗi người dùng, mà bản thân OS đó phải có các cơ chế ngăn chặn các loại malware/virus chuyên phá hoại hay nằm vùng trong HĐH như Rootkit.

window-linux-hay-macos-an-toan-nhat (5)

Ở khoản này thì macOS làm rất tốt với Apple System Integrity Protection (SIP), thừa hưởng cơ chế từ Linux nhưng đặc biệt là với MacOS thì người dùng không thể tự ý điều chỉnh hay vô hiệu hóa thành phần này, kể cả họ có quyền root/power user đi chăng nữa.

Windows thì có Trusted Boot và Secure Boot để bảo vệ hệ điều hành ngay trước khi các phần mềm hỗ trợ bảo mật khác bắt đầu hoạt động.

Nhưng các chuyên gia bảo mật đánh giá Apple SIP cao hơn 2 thành phần bên trên của Windows.

=> Phần này thì macOS giành thêm 1 điểm nữa, Windows rất cố gắng nên nhận 0.5 điểm thưởng 🙂

#5. Tổng kết

Xét về góc độ kỹ thuật thì cả 3 hệ điều hành này đều có đầy đủ những tính năng bảo mật cơ bản, OS này có cái này tự phát triển thì OS kia cũng có hoặc đang nghiên cứu thành phần bảo vệ tương đương.

Hệ điều hành an toàn không chỉ đơn thuần dựa vào bản thân công ty: Microsoft, Apple, RedHat,… mà còn là câu chuyện tổng thể mà người dùng ở vị trí trung tâm.

window-linux-hay-macos-an-toan-nhat (6)

OS tốt, phần mềm diệt virus xịn nhưng rất có thể người dùng lại bị lừa tắt chúng đi, hay người dùng tự chạy các chương trình giả lập cross-platform khiến macOS dính virus bên Windows (ở một mức độ nào đó) rồi lại đổ lỗi macOS kém an toàn,…

Chung quy lại thì chúng ta đang tìm ra một hệ điều hành toàn diện nhất thì đúng hơn, mình chọn Windows 10 bởi số lượng ứng dụng, game phong phú, tương thích phần cứng rất tốt.

Mình sử dụng cẩn thận nên đến giờ vẫn chưa thấy rõ Windows “kém-an-toàn” là như thế nào, mặc dù mình vẫn quên trả tiền bản quyền ESET Internet Security các bạn ạ ^^!

Còn ý kiến của bạn thì thế nào? hãy chia sẻ lại bằng cách comment phía bên dưới bài viết này nhé !

Đọc thêm:


CTV: Dương Minh Thắng – Blogchiasekienthuc.com

Note: Bài viết này hữu ích với bạn chứ? Đừng quên đánh giá bài viết, like và chia sẻ cho bạn bè và người thân của bạn nhé !

Administrator: Kiên Nguyễn Blog

Có một câu nói của người Nhật mà mình rất thích đó là " Người khác làm được thì mình cũng làm được ". Chính vì thế mà hãy theo đuổi đam mê, thành công sẽ theo đuổi bạn ! Nếu như bạn đang gặp khó khăn và cần sự trợ giúp thì hãy comment phía bên dưới mỗi bài viết để nhận được sự hỗ trợ từ cộng đồng Blog Chia Sẻ Kiến Thức nhé.

Một vài lưu ý trước khi comment :

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *
Tất cả các comment của các bạn sẽ được giải đáp trong vòng 48h (thường vào buổi tối)!
Không được sử dụng từ khóa trong ô 'Name', bạn hãy dùng tên thật hoặc Nickname của bạn !
Không dẫn link sang trang web/blog khác. Xem quy định comment tại đây. Thank All!

Leave a Reply

Your email address will not be published. Required fields are marked *