🔙 Quay lại trang tải sách pdf ebook Nghệ Thuật Ẩn Mình - Kevin Mitnick Ebooks Nhóm Zalo AN TOÀN THÔNG TIN TRONG KỶ NGUYÊN SỐ T rong kỷ nguyên số, vấn đề bảo mật và an toàn trên không gian mạng ngày càng trở nên quan trọng, không chỉ đối với các doanh nghiệp, tổ chức, chính phủ, mà còn đối với từng cá nhân. Việt Nam có 58 triệu tài khoản Facebook (tính đến hết quý 1/2018); 127 triệu thẻ ngân hàng với 66,6 triệu tài khoản thanh toán cá nhân; cùng hàng tỷ các giao dịch mua bán, trao đổi trên mạng diễn ra mỗi ngày. Chính vì vậy, an ninh mạng trong kỷ nguyên số đang trở thành một chủ đề ngày càng nóng. Chỉ rất gần đây, nhiều tài khoản Facebook cũng như email cá nhân đã bị hacker tấn công và chiếm đoạt. Thủ đoạn của hacker khá đơn giản khi tận dụng các sơ hở của người dùng cũng như các lỗi bảo mật của hệ thống, nhưng chúng đã gây ra những thiệt hại rất lớn cả về vật chất và tinh thần cho người dùng – rất nhiều thông tin cá nhân bị lộ và bị mất, và điều đó cũng đang xảy ra với rất nhiều tổ chức, công ty, cả tư nhân lẫn nhà nước. Ngay đầu tháng 11/2018, một số nguồn tin lan truyền trên mạng cho rằng hệ thống công nghệ của Thế giới Di động bị hacker tấn công và thông tin của khách hàng bị tiết lộ. Các tài khoản thẻ ngân hàng cũng như email và số điện thoại cá nhân bị kẻ xấu công khai trên mạng dù cho nghi vấn lộ dữ liệu khách hàng vẫn đang tiếp tục được điều tra, xác minh. Ngược về quá khứ, tháng 4/2018, website của ngân hàng Vietcombank bị tấn công. Sự cố xảy ra với trang con của website Vietcombank khi người dùng đăng ký email liên kết với tài khoản ngân hàng. Khi được chia sẻ qua Facebook, ảnh bìa của trang con này hiển thị dòng chữ “Đại học Quốc gia Hà Nội”. Hacker còn để lại hai câu thơ “Trăm năm Kiều vẫn là Kiều/ Sinh viên thi lại là điều tất nhiên”. Năm 2016, hệ thống các sân bay lớn tại Việt Nam như Sân bay Quốc tế Tân Sơn Nhất, Sân bay Quốc tế Nội Bài, Sân bay Quốc tế Đà Nẵng, Sân bay Phú Quốc đều bị hacker tấn công và để lại nhiều nội dung xúc phạm, xuyên tạc. Cuối năm 2014, hệ thống các website của VCCorp cũng bị tấn công, làm tê liệt hoạt động truy cập vào toàn bộ hệ thống website báo chí đối tác của VCCorp và gây thiệt hại trực tiếp tới hoạt động của các trang này, đồng thời ảnh hưởng tới hàng triệu độc giả và người tiêu dùng sử dụng các dịch vụ trực tuyến của họ. Theo VCCorp, ước tính sơ bộ sau hai ngày bị tấn công, số tiền VCCorp bị thiệt hại vào khoảng 5 tỷ đồng, bao gồm tất cả các loại doanh thu như quảng cáo, thương mại điện tử… Trên thực tế, không ít những vụ tấn công mạng đã xảy ra liên tiếp tại Việt Nam trong thời gian gần đây và để lại những hậu quả không hề nhỏ. Những vụ việc như thế này đang gióng lên một hồi chuông cảnh báo đối với các cá nhân cũng như doanh nghiệp trong thời đại số. Với xu thế phát triển mạnh mẽ của cuộc cách mạng công nghiệp 4.0 trên toàn thế giới, trong đó có Việt Nam, sự bùng nổ của các thiết bị IoT sẽ mang lại nhiều nguy cơ tiềm ẩn về các cuộc tấn công trên không gian mạng hoặc bị kẻ xấu lợi dụng để tấn công vào các hạ tầng. Chuyên gia an toàn thông tin, vấn đề bảo mật không có tính tuyệt đối. Ngay cả các cường quốc trong ngành công nghệ thông tin-bảo mật như Anh, Pháp, Đức, Mỹ, Trung Quốc... cũng đều bị hacker tấn công. Vậy các doanh nghiệp và người dùng Việt Nam phải làm gì để vừa có thể tận dụng được những lợi thế của nền công nghiệp IoT mà vẫn đảm bảo an toàn thông tin trên mạng? Nhằm mang tới cho độc giả và các doanh nghiệp, tổ chức những kiến thức cơ bản về bảo mật dữ liệu, cảnh báo người đọc về vấn đề quyền riêng tư và nâng cao ý thức bảo mật thông tin, Apha Books trân trọng giới thiệu bộ sách “An toàn thông tin trong kỷ nguyên số” gồm 4 cuốn: The Cuckoo’s Egg (Gián điệp mạng), Ghost in the Wires (Bóng ma trên mạng), The Art of Invisibility (Nghệ thuật ẩn mình) và Hackers lược sử. Thông qua các câu chuyện ly kỳ hấp dẫn về những cuộc truy bắt hacker, những chiến công của các hacker mũ trắng – những kẻ mê máy tính thông minh và lập dị, dám mạo hiểm, bẻ cong các quy tắc và đẩy thế giới vào một hướng đi hoàn toàn mới, độc giả sẽ có được cái nhìn toàn diện về hacker, về đạo đức nghề nghiệp cũng như tương lai của ngành công nghệ để có được cái nhìn rõ ràng hơn về an ninh mạng, chủ đề chưa bao giờ hết nóng hổi của các tín đồ mạng. Bộ trưởng TT&TT Nguyễn Mạnh Hùng đã nhấn mạnh: “An toàn, an ninh mạng được coi là điều kiện để thúc đẩy chính phủ điện tử, chính phủ số và nền công nghiệp nội dung số. Vì vậy, Việt Nam phải trở thành cường quốc về an ninh mạng”. Đồng hành với những vấn đề thời sự nhức nhối hiện nay, với bộ sách này, Apha Books và các đối tác – những nhà cung cấp các giải pháp bảo mật & an ninh mạng như CMC, Netnam, Securitybox, CyRadar... mong muốn đóng góp một phần tri thức cho xã hội, giúp nền kinh tế số Việt Nam phát triển lành mạnh, bền vững. Trân trọng giới thiệu! Tháng 11/2018 Công ty Cổ phần Sách Alpha LỜI GIỚI THIỆU K evin Mitnick là một cái tên rất nổi tiếng trong ngành bảo mật thông tin thế giới. Không chỉ là diễn giả tại các hội thảo bảo mật lớn trên thế giới như DEFCON, diễn đàn thảo luận mở TED mà ông còn nổi tiếng vì quá khứ tù tội của mình. Năm 1988, Kevin bị tù 1 năm và năm 1995 bị phạt tù 48 tháng cùng 3 năm quản chế vì hàng loạt tội danh liên như: lừa đảo qua mạng, nghe lén các phương tiện thông tin liên lạc mà không được phép, truy cập trái phép vào hệ thống máy tính của chính phủ liên bang hay phá hoại tài sản máy tính. Tuy nhiên, điều đặc biệt là sau khi ra tù, Kevin đã thực sự trở thành chuyên gia hàng đầu, thực hiện những công việc tư vấn về bảo mật nhằm giúp tăng cường an toàn thông tin cho rất nhiều các tổ chức lớn tại Mỹ cũng như khắp thế giới. Về cuốn sách này, đối với những độc giả có kiến thức trung bình về kỹ thuật máy tính thoáng qua có thể thấy khá phức tạp bởi những thuật ngữ chuyên ngành hay nhiều lúc nội dung cuốn sách sẽ nói sâu về các kỹ thuật áp dụng. Tuy nhiên, nếu lướt qua các thông tin đó, đọc hết cuốn sách thì các độc giả sẽ thấy đây không chỉ dừng lại là cuốn sách hướng dẫn về các thủ thuật, kỹ thuật dùng để bảo vệ quyền riêng tư của mình khi sống trong thời đại đang chuyển đổi số như hiện nay, mà Kevin còn mô tả cho các độc giả thấy hiện trạng giám sát mạng, hiện trạng bảo mật trên thế giới đang ra sao và thực tế diễn ra là như thế nào. Các ví dụ trong cuốn sách cũng rất sát với hiện trạng ngoài đời thực, nó không phải diễn ra chỉ ở Mỹ mà nó đang diễn ra ở mọi nơi trên thế giới. Đối với những độc giả hiện đang làm trong ngành bảo mật hoặc đã có những nghiên cứu, kinh nghiệm trong lĩnh vực công nghệ thông tin, cuốn sách có thể cung cấp rất nhiều thủ thuật, cách thức hiệu quả để bảo vệ thông tin cá nhân của mình khi hoạt động trên mạng Internet và cả những ví dụ hết sức trực quan về những mối nguy hiểm hay các hình thức thu thập thông tin cá nhân của nhiều tổ chức. Vấn đề về quyền riêng tư cá nhân (privacy) thực tế là vấn đề rất nóng hổi ở các nước phát triển. Quy định bảo vệ dữ liệu chung Châu Âu (GDPR) vừa được EU thông qua năm 2016 là một minh chứng cho vấn đề này. Tại Việt Nam, quá trình chuyển đổi số vẫn đang diễn ra rất nhanh và bắt kịp xu hướng thế giới với các ứng dụng ngân hàng trực tuyến, thương mại điện tử, các hãng taxi công nghệ, tiền mã hóa, blockchain… Tuy nhiên, các vấn đề về bảo mật hệ thống hay quyền riêng tư cá nhân vẫn chưa phát triển với tốc độ tương đương. Điển hình là vẫn còn rất nhiều các tình trạng chia sẻ thông tin cá nhân (nhiều nhất số điện thoại cá nhân phục vụ mục đích quảng cáo, tele-sales) mà chủ sở hữu thông tin không hề hay biết hoặc cho phép. Đó là câu chuyện của thế giới, trở về bối cảnh của Việt Nam thì từ 10 năm trước, Tập đoàn Công nghệ CMC đã tiên phong đầu tư vào lĩnh vực bảo mật, an toàn thông tin (ATTT) với sự ra đời của công ty CMC Infosec. Cho đến thời điểm này, các sản phẩm phòng chống mã độc, giải pháp trung tâm giám sát dịch vụ ATTT, dịch vụ rà soát, phòng chống và ứng cứu khi bị tấn công mạng của CMC Infosec đã chứng tỏ năng lực công nghệ của các chuyên gia bảo mật của Việt nam. Đầu tư cho lĩnh vực An ninh ATTT vừa là định hướng phát triển vừa là trách nhiệm đối với quốc gia của một đơn vị làm công nghệ như CMC. Quay lại với cuốn sách của Kevin, tôi tin rằng nó sẽ có ích cho không chỉ những người đang làm công nghệ và tốt cho tất cả chúng ta, những người vẫn đang hàng ngày sống và làm việc trên môi trường số. Tôi cũng tin chắc rằng, sau khi đọc xong cuốn sách, độc giả sẽ có một cách nhìn khác về việc tự bảo vệ thông tin cá nhân của mình khi sử dụng các dịch vụ hay tham gia kết nối, chia sẻ trên môi trường Internet. Tập đoàn Công nghệ CMC rất hân hạnh đồng hành cùng Alpha Books giới thiệu cuốn sách có ý nghĩa thời sự này tới quý độc giả. Nguyễn Trung Chính Chủ tịch HĐQT/TGĐ Tập đoàn Công nghệ CMC LỜI TỰA TỪ MIKKO HYPPONEN Vài tháng trước, tôi tình cờ gặp lại một người bạn cũ từ thời trung học. Chúng tôi đi uống cà phê để hàn huyên và chia sẻ với nhau về cuộc sống mỗi người. Bạn tôi đang phân phối và hỗ trợ các loại thiết bị y tế hiện đại, còn tôi thì cho hay suốt 25 năm nay tôi chỉ chuyên làm về quyền riêng tư và an ninh trên Internet. Nghe nhắc đến quyền riêng tư trên mạng, bạn tôi bật cười khúc khích. “Nghe cũng hay đấy,” anh nói, “nhưng tôi không thực sự lo lắng về chuyện đó. Xét cho cùng, tôi không phải là tội phạm, cũng không làm điều gì xấu. Tôi không quan tâm chuyện người khác theo dõi những gì tôi làm trên mạng.” Tôi thấy buồn khi nghe người bạn cũ giải thích vì sao anh ấy lại không coi trọng sự riêng tư. Tôi buồn vì đã từng nghe những lí do này rồi, rất nhiều lần là đằng khác. Tôi nghe từ những người cho rằng họ không có gì phải giấu diếm. Tôi nghe từ những người cho rằng chỉ tội phạm mới cần tự bảo vệ mình. Tôi nghe từ những người cho rằng chỉ khủng bố mới sử dụng mã hóa. Tôi nghe từ những người đinh ninh rằng chúng ta không cần bảo vệ các quyền của mình. Nhưng thực sự thì chúng ta cần phải bảo vệ các quyền của mình. Và quyền riêng tư không chỉ ảnh hưởng đến các quyền của chúng ta, mà bản thân nó chính nó là một quyền của con người. Trên thực tế, quyền riêng tư đã được công nhận là một quyền cơ bản của con người trong Tuyên ngôn Quốc tế Nhân quyền của Liên Hợp Quốc năm 1948. Nếu như ngay từ năm 1948, quyền riêng tư của chúng ta đã cần được bảo vệ, thì ngày nay chắc chắn nhu cầu đó càng ngày càng cấp thiết hơn. Suy cho cùng, chúng ta là thế hệ đầu tiên trong lịch sử nhân loại có thể bị theo dõi với mức độ chính xác như vậy. Chúng ta có thể bị theo dõi bằng kĩ thuật số trong suốt cuộc đời. Hầu như tất cả các nội dung liên lạc của chúng ta đều có thể bị nhìn thấy bằng cách này hay cách khác. Chúng ta thậm chí còn liên tục mang những thiết bị theo dõi nhỏ trên người – chỉ có điều chúng ta không gọi chúng là thiết bị theo dõi, mà gọi là điện thoại thông minh. Hoạt động theo dõi trực tuyến có thể cho thấy chúng ta mua sách gì và đọc bài báo nào – thậm chí là phần nào trong bài báo thu hút sự quan tâm của chúng ta nhất. Nó còn biết chúng ta đi đâu và đi với ai, chúng ta đang ốm, đang buồn, hay đang hưng phấn. Phần lớn các hoạt động theo dõi được thực hiện ngày nay đều nhằm biên soạn lại dữ liệu này để kiếm tiền. Bằng cách nào đó, các công ty cung cấp dịch vụ miễn phí đã biến sự “miễn phí” này thành hàng tỉ đô-la doanh thu – đây là một sự minh họa rõ nét, cho thấy giá trị của việc lập hồ sơ người dùng Internet ở quy mô lớn. Ngoài ra, cũng có loại giám sát xác định mục tiêu cụ thể hơn, do các cơ quan chính phủ thực hiện ở trong nước hoặc nước ngoài. Giao tiếp kĩ thuật số đã giúp cho các chính phủ có thể thực hiện giám sát hàng loạt. Nhưng nó cũng giúp chúng ta tự bảo vệ mình tốt hơn thông qua những công cụ như mã hóa, bằng cách lưu trữ dữ liệu an toàn, và bằng cách tuân thủ những nguyên tắc cơ bản về an ninh vận hành (operations security – OPSEC). Tất cả những gì chúng ta cần bây giờ là một bản hướng dẫn cách thực hiện đúng điều đó. Vâng, cuốn cẩm nang mà bạn cần đang ở ngay trong tay bạn đấy. Tôi rất vui vì Kevin đã dành thời gian để chia sẻ những kiến thức của mình về nghệ thuật ẩn mình. Suy cho cùng, ông ấy là bậc thầy trong lĩnh vực này rồi. Cuốn sách này là một nguồn tài nguyên tuyệt vời. Hãy đọc và áp dụng những kiến thức trong đây để bảo vệ bản thân bạn và các quyền của bạn. Kể tiếp chuyện ở quán cà phê, sau cuộc hàn huyên, tôi và người bạn cũ chia tay nhau. Tôi cầu mong mọi điều tốt đẹp đến với anh ấy, nhưng đôi khi tôi vẫn nghĩ về những lời anh nói, “Tôi không quan tâm chuyện người khác theo dõi những gì tôi làm trên mạng.” Có thể bạn không có gì phải giấu diếm. Nhưng bạn có rất nhiều thứ phải bảo vệ đấy. Mikko Hypponen là nhà nghiên cứu trưởng của F-Secure1. Ông hiện là người duy nhất từng thuyết trình ở cả hai hội nghị DEF CON2 và TED. 1 F-Secure (tên cũ là Data Fellows): Một công ty của Phần Lan, chuyên về an ninh và quyền riêng tư trên mạng. Công ty này hiện đang hoạt động tại hơn 100 quốc gia. 2 DEF CON (hay DEFCON, Defcon, và DC): Một trong những hội nghị lớn nhất thế giới về hacker, được tổ chức thường niên tại Las Vegas. Lời giới thiệu: ĐẾN LÚC BIẾN MẤT RỒI Gần hai năm sau ngày Edward Joseph Snowden, một nhân viên hợp đồng của Booz Allen Hamilton3, lần đầu tiên công bố các tài liệu mật lấy được từ Cơ quan An ninh Quốc gia (NSA), diễn viên hài John Oliver của HBO đến Quảng trường Thời đại ở Thành phố New York để thực hiện một cuộc khảo sát ngẫu nhiên nhằm lấy tư liệu cho một chương trình về quyền riêng tư và giám sát. Các câu hỏi của anh rất rõ ràng. Edward Snowden là ai? Anh ta đã làm gì? 3 Booz Allen Hamilton: Hãng tư vấn về công nghệ thông tin và quản lí, có trụ sở tại Virginia, Mỹ. (BTV) Trong các trích đoạn phỏng vấn mà Oliver phát sóng sau đó, có vẻ như không ai biết câu trả lời. Có người nói họ nhớ tên Snowden, song cũng không thể nói chính xác anh ta đã làm gì (hay tại sao anh ta lại làm thế). Sau khi trở thành nhân viên hợp đồng cho NSA, Edward Snowden đã sao chép hàng nghìn tài liệu mật và tuyệt mật, sau đó đem trao cho các phóng viên để họ công bố rộng khắp. Lẽ ra Oliver có thể kết thúc chương trình phóng sự đó bằng một thông điệp buồn, rằng sau gần hai năm tích cực đưa tin của giới truyền thông, vẫn chưa có ai ở Mỹ thực sự quan tâm đến hoạt động gián điệp trong nước của chính phủ. Nhưng nam diễn viên này đã chọn một cách khác. Anh bay tới Nga, nơi Snowden hiện đang sống lưu vong, để thực hiện một cuộc phỏng vấn trực tiếp. Câu hỏi đầu tiên mà Oliver đặt cho Snowden là: Anh mong muốn đạt được điều gì? Snowden trả lời rằng anh muốn cho thế giới thấy những gì NSA đang làm: thu thập dữ liệu về hầu hết tất cả mọi người. Khi Oliver cho anh xem các cuộc phỏng vấn thực hiện ở Quảng trường Thời đại, trong đó hết người này đến người khác trả lời rằng họ không biết Snowden là ai, anh nói, “Không thể cung cấp đầy đủ thông tin cho mọi người được.” Tại sao chúng ta không được cung cấp nhiều thông tin hơn về các vấn đề liên quan đến quyền riêng tư mà Snowden và những người khác đã vạch ra? Tại sao dường như chúng ta không ai quan tâm đến việc bị cơ quan chính phủ nghe lén các cuộc điện thoại, email, thậm chí cả tin nhắn của mình? Có lẽ bởi vì nhìn chung, NSA không trực tiếp ảnh hưởng đến cuộc sống của hầu hết chúng ta – ít nhất là không theo một cách hữu hình, như một sự xâm nhập mà chúng ta có thể cảm nhận. Nhưng như Oliver cũng đã phát hiện ra tại Quảng trường Thời đại ngày hôm đó, người Mỹ có quan tâm đến quyền riêng tư khi họ nhận thức rõ vấn đề. Ngoài các câu hỏi về Snowden, anh còn đặt các câu hỏi chung chung về quyền riêng tư. Ví dụ, khi anh hỏi họ nghĩ gì nếu chính phủ thực hiện một chương trình ghi lại các ảnh khỏa thân gửi qua Internet, quan điểm của người dân New York cũng rất tương đồng với nhau – chỉ có điều là lần này, tất cả đều phản đối chuyện đó. Một người thậm chí còn tiết lộ rằng gần đây có gửi đi một bức ảnh như vậy. Tất cả những người được hỏi trong chương trình phỏng vấn ở Quảng trường Thời đại đều nhất trí rằng những người sinh sống ở nước Mỹ cần được tự do chia sẻ bất kì điều gì trên Internet một cách riêng tư – kể cả một bức ảnh chụp hình dương vật. Đó là lập luận cơ bản của Snowden. Hóa ra chương trình giả tưởng nêu trên cũng không khác là mấy so với thực tế. Như Snowden đã giải thích cho Oliver trong cuộc phỏng vấn giữa hai người, do các công ty như Google đặt máy chủ ở khắp nơi trên thế giới, nên ngay cả một tin nhắn đơn giản (có thể bao gồm ảnh khoả thân) giữa hai vợ chồng sinh sống trong cùng một thành phố của Mỹ cũng có thể bị đẩy ra một máy chủ ở nước ngoài trước tiên. Vì dữ liệu đó đã rời khỏi lãnh thổ nước Mỹ, dù chỉ trong một nano giây, nên dựa vào Đạo luật Patriot4, NSA có thể thu thập và lưu trữ tin nhắn hoặc email đó (bao gồm cả hình ảnh khiếm nhã), bởi vì về mặt kĩ thuật, tại thời điểm dữ liệu đó được giữ lại, nó đã đi vào nước Mỹ từ một nguồn nước ngoài. Quan điểm của Snowden là: Những người dân Mỹ bình thường đang bị cuốn vào một mẻ lưới hậu11/9, vốn ban đầu được thiết kế để ngăn chặn khủng bố nước ngoài nhưng giờ đây đã trở thành công cụ để theo dõi tất cả mọi người. 4 Đạo luật Patriot (viết tắt của “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism” – Đoàn kết và Tăng cường sức mạnh của nước Mỹ bằng cách Cung cấp Công cụ Phù hợp Cần thiết để Ngăn chặn Khủng bố): Đạo luật của Mỹ có hiệu lực từ ngày 26/10/2001, sau khi diễn ra cuộc khủng bố ngày 11/9/2001. Có thể bạn sẽ nghĩ rằng, trước những tin tức liên tục về các vụ xâm phạm dữ liệu cùng các chiến dịch giám sát của chính phủ, chúng ta sẽ trở nên giận dữ hơn nhiều. Rằng trước tốc độ diễn ra của hiện tượng này – chỉ trong một vài năm – chúng ta sẽ vượt qua giai đoạn sốc và chuyển sang diễu hành biểu tình trên các đường phố. Nhưng trên thực tế, điều ngược lại mới đúng. Nhiều người trong số chúng ta, thậm chí nhiều độc giả của cuốn sách này, giờ đây đã đi đến chỗ chấp nhận rằng ít nhất là ở một mức độ nào đó, mọi việc chúng ta làm – gọi điện, nhắn tin, gửi email, tham gia mạng xã hội – đều có thể bị người khác trông thấy. Và điều đó thật đáng thất vọng. Có thể bạn không vi phạm pháp luật. Bạn sống một cuộc sống mà bạn tưởng là bình thường và lặng lẽ, và bạn cảm thấy giữa đám đông trên mạng ngày nay, không có ai chú ý đến mình. Nhưng hãy tin tôi đi: Ngay cả bạn cũng không vô hình đâu. Ít nhất là chưa. Tôi thích ảo thuật, và một số người có thể nói rằng để xâm nhập được vào máy tính cần phải có sự khéo léo. Một trò ảo thuật phổ biến là khiến cho một vật trở thành vô hình. Tuy nhiên, bí mật ở đây là vật đó không thực sự biến mất hay trở thành vô hình mà vẫn luôn hiện hữu ở hậu cảnh – phía sau một bức màn, bên trên một ống tay áo, ở trong túi – bất kể chúng ta có nhìn thấy nó hay không. Điều tương tự cũng đúng với những thông tin cá nhân của từng người hiện đang được thu thập và lưu trữ, thường là ngoài sự nhận biết của chúng ta. Hầu hết chúng ta đều không biết chỗ tìm những thông tin này, và cũng không biết rằng người khác có thể dễ dàng xem được chúng. Và bởi vìchúng ta không nhìn thấy chúng, nên có thể đinh ninh rằng mình là vô hình trước người yêu cũ, cha mẹ, trường học, cấp trên, và thậm chí là cả chính phủ. Vấn đề là nếu bạn biết chỗ tìm, thì tất cả những thông tin đó đều có sẵn và bất kì ai cũng có thể tiếp cận. Trong các buổi thuyết trình, tôi thường bị người ta chất vấn về quan điểm trên. Trong một lần như vậy, tôi gặp một người chất vấn là một phóng viên rất đa nghi. Khi ấy, chúng tôi ngồi trao đổi ở bàn riêng trong quầy bar khách sạn ở một thành phố lớn của Mỹ. Phóng viên này nói rằng cô chưa hề bị xâm phạm dữ liệu bao giờ. Theo cô, vì còn trẻ nên cô không có nhiều tài sản, do đó không có nhiều hồ sơ về cô. Cô cũng không bao giờ đưa thông tin cá nhân vào các bài báo hay trang mạng xã hội cá nhân – tất cả chỉ xoay quanh công việc mà thôi. Với cô, như vậy là vô hình. Tôi xin phép được tìm số An sinh Xã hội5 và bất kì thông tin cá nhân nào khác của cô trên mạng. Cô miễn cưỡng đồng ý. 5 Số An sinh Xã hội (áp dụng tại Mỹ): là dãy số riêng biệt gán cho từng cá nhân, dùng để theo dõi các lợi ích An sinh Xã hội và cho các mục đích nhận dạng cá nhân khác. Trước sự chứng kiến của cô, tôi đăng nhập vào một website dành riêng cho các nhà điều tra tư nhân. Tôi đủ điều kiện truy cập nhờ tham gia điều tra các sự cố xâm phạm máy tính trên toàn cầu. Vì đã biết tên cô, nên tôi hỏi nơi cô ở. Nếu cô không chịu nói, tôi vẫn có thể tìm ra được thông tin này trên Internet, ở một website khác. Sau vài phút, tôi biết số An sinh Xã hội của cô, thành phố nơi cô chào đời, và thậm chí cả tên thời con gái của mẹ cô. Tôi còn biết tất cả những nơi mà cô gọi là nhà và mọi số điện thoại mà cô từng sử dụng. Cô nhìn chằm chằm vào màn hình với vẻ ngạc nhiên thấy rõ, và xác nhận rằng các thông tin này gần như là đúng hết. Website mà tôi sử dụng ở trên chỉ giới hạn người dùng trong phạm vi các công ty hoặc cá nhân đã được xác thực. Họ thu một khoản phí hàng tháng khá thấp, cộng thêm chi phí bổ sung cho các hoạt động tra cứu thông tin, và thi thoảng họ lại tiến hành một đợt xác thực để kiểm tra xem mục đích tra cứu của người dùng có hợp pháp không. Nhưng chỉ cần bỏ ra một khoản phí tra cứu nhỏ là bạn có thể tìm kiếm các thông tin tương tự về bất cứ ai. Và chuyện đó là hoàn toàn hợp pháp. Bạn đã bao giờ điền vào một biểu mẫu trực tuyến, gửi thông tin tới một trường học hoặc một tổ chức đưa thông tin của họ lên mạng, hoặc đồng ý đăng tải lên Internet tin tức về một vụ việc pháp lý chưa? Nếu rồi, nghĩa là bạn đã tình nguyện cung cấp thông tin cá nhân cho một bên thứ ba và bên này có thể tùy nghi sử dụng thông tin đó. Rất có thể là một số – nếu không phải tất cả – dữ liệu đó bây giờ đã xuất hiện trên mạng và sẵn sàng phục vụ cho các công ty kiếm tiền từ việc thu thập từng mẩu thông tin cá nhân trên Internet. Tổ chức Privacy Rights Clearinghouse6 cho biết có hơn 130 công ty chuyên thu thập thông tin cá nhân (bất kể chính xác hay không) về bạn. 6 Privacy Rights Clearinghouse (PRC – Tổ chức Bảo vệ Quyền Riêng tư): Một tổ chức phi lợi nhuận ở Mỹ, chuyên cung cấp thông tin cho người tiêu dùng và bảo vệ quyền lợi của người tiêu dùng. Và còn có cả những dữ liệu mà bạn không tình nguyện cung cấp trên mạng nhưng vẫn được các công ty và chính phủ thu thập – chúng ta gửi email, nhắn tin, và gọi điện cho ai; tìm kiếm thông tin gì trên mạng; mua sắm những gì (cả trên mạng và ở cửa hàng truyền thống); và đi những đâu (cả đi bộ lẫn đi xe). Khối lượng dữ liệu thu thập được về từng người trong số chúng ta đang tăng theo cấp số nhân mỗi ngày. Có thể bạn cho rằng không cần phải lo lắng về điều này. Nhưng hãy tin tôi đi: bạn cần phải lo lắng đấy. Tôi hy vọng rằng khi đọc hết cuốn sách này, bạn sẽ được trang bị đầy đủ thông tin và sẵn sàng bắt tay vào thực hiện hành động nào đó. Chúng ta đang sống trong ảo tưởng về sự riêng tư, và có lẽ chúng ta đã sống như thế này suốt nhiều thập niên qua. Có thể đôi lúc nào đó, chúng ta cũng thoáng nhíu mày khó chịu khi thấy chính phủ, công ty, cấp trên, thầy cô giáo, và bố mẹ mình lại tiếp cận được nhiều thông tin về đời sống riêng tư của mình đến thế. Song vì sự tiếp cận này được mở rộng dần dần, vì bấy lâu nay chúng ta cứ vô tư tiếp nhận từng sự thuận tiện nho nhỏ mà kỹ thuật số mang lại nhưng không kháng cự lại tác động của chúng đến quyền riêng tư của mình, nên giờ đây việc quay ngược thời gian càng lúc càng trở nên khó khăn hơn. Hơn nữa, có ai lại muốn vứt bỏ món đồ chơi ưa thích của mình chứ? Mối nguy hại của việc sống trong trạng thái bị giám sát bằng kỹ thuật số không nằm ở việc dữ liệu bị thu thập (chúng ta gần như không thể làm được gì về điều đó) mà nằm ở việc người ta làm gì với dữ liệu sau khi thu thập được. Hãy tưởng tượng những gì mà một công tố viên hăng hái có thể làm được với tập hồ sơ khổng lồ gồm các điểm dữ liệu thô về bạn, có thể là từ vài năm trước. Ngày nay, dữ liệu – đôi khi là cả những dữ liệu được thu thập ngoài ngữ cảnh – sẽ tồn tại vĩnh viễn. Ngay cả thẩm phán Stephen Breyer của Tòa án Tối cao Mỹ cũng đồng ý rằng, “Rất khó biết trước được khi nào thì phát ngôn của một người bỗng trở nên có liên quan đến cuộc điều tra nào đó của một vị công tố viên.” Nói cách khác, có thể bạn chẳng mảy may bận tâm đến bức ảnh chụp cảnh bạn say rượu mà một người nào đó đăng lên Facebook. Có thể bạn cho rằng mình không có gì để giấu diếm, nhưng bạn dám chắc chưa? Trong một bài viết có lập luận chặt chẽ đăng trên tạp chí Wired, nhà nghiên cứu an ninh mạng nổi tiếng Moxie Marlinspike chỉ ra rằng ngay cả một chuyện đơn giản như sở hữu một con tôm hùm nhỏ cũng là tội phạm liên bang ở Mỹ. “Bất kể là bạn mua nó tại cửa hàng, được người khác cho, nó đã chết hay còn sống, bạn tìm thấy nó sau khi nó chết vì các nguyên nhân tự nhiên, hoặc thậm chí bạn giết nó trong lúc tự vệ – bạn vẫn có thể vào tù vì một con tôm hùm.” Vấn đề ở đây là có rất nhiều quy định nhỏ nhặt, chỉ mang tính danh nghĩa mà có khi bạn phạm phải nhưng không biết. Chỉ có điều, bây giờ đã có một đường mòn dữ liệu7 để chứng minh điều đó chỉ sau vài cú click chuột, và bất cứ ai muốn cũng có thể tiếp cận được nó. 7 Đường mòn dữ liệu (data trail): Là một chuỗi dữ liệu mà người dùng để lại khi sử dụng Internet, gửi tin nhắn, hay gọi điện thoại… Quyền riêng tư rất phức tạp. Nó không phải là vấn đề áp dụng đồng đều cho tất cả mọi người. Mỗi chúng ta đều có những lý do khác nhau để phân biệt thông tin cá nhân nào có thể sẵn sàng chia sẻ tự do với người lạ, thông tin nào muốn giữ riêng cho mình. Có thể bạn không muốn vợ/chồng đọc được những nội dung cá nhân của mình. Có thể bạn không muốn công ty biết về đời sống riêng của mình. Hoặc cũng có thể bạn lo rằng mình đang bị một cơ quan chính phủ theo dõi. Đó là những kịch bản rất khác nhau, nên không thể đưa ra lời khuyên nào cho phù hợp với tất cả được. Bởi vì chúng ta có những quan điểm phức tạp và đa dạng về sự riêng tư, nên tôi sẽ bàn về điều quan trọng nhất – chuyện gì đang diễn ra đối với hoạt động thu thập dữ liệu lén lút ngày nay – và để bạn tự quyết định xem điều gì là phù hợp với mình. Mục đích của cuốn sách này là giúp bạn nắm được những phương thức khác nhau để duy trì sự riêng tư trong thế giới số, đồng thời đưa ra những giải pháp mà bạn có thể áp dụng hoặc không. Vì sự riêng tư là một lựa chọn cá nhân, nên mức độ ẩn danh cũng sẽ thay đổi theo từng quan điểm cá nhân. Trong cuốn sách này, tôi sẽ chứng minh rằng từng người trong chúng ta đang bị theo dõi, ở nhà và bên ngoài – khi bạn ra phố, ngồi ở quán cà phê, hoặc lái xe xuống đường cao tốc. Máy tính, điện thoại, ô tô, hệ thống báo động tại gia, thậm chí tủ lạnh của bạn cũng đều là những điểm tiếp cận tiềm năng vào cuộc sống riêng tư của bạn. Tin vui là, ngoài việc làm bạn sợ, tôi cũng sẽ chỉ cho bạn những việc cần làm để khắc phục tình trạng thiếu vắng sự riêng tư vốn đã trở thành chuyện thường nhật. Trong cuốn sách này, bạn sẽ học được cách: mã hóa và gửi email an toàn bảo vệ dữ liệu bằng việc quản lý tốt mật khẩu giấu địa chỉ IP thực khi truy cập vào các website che dấu vết để máy tính không bị theo dõi bảo vệ tính ẩn danh của bạn và nhiều hơn nữa. Bây giờ, hãy sẵn sàng để làm chủ nghệ thuật ẩn mình. Chương 1: MẬT KHẨU CỦA BẠN CÓ THỂ BỊ BẺ KHÓA! Jennifer Lawrence đã có một cuối tuần trùng dịp Ngày lễ Lao động8 mệt mỏi. Sáng hôm đó, năm 2014, nữ diễn viên từng giành giải Oscar này cùng với một số nhân vật nổi tiếng khác tỉnh dậy và phát hiện ra rằng những bức ảnh riêng tư nhất của họ – trong đó có nhiều bức khỏa thân – đã bị phát tán trên mạng Internet. 8 Ngày lễ Lao động: Ngày lễ toàn quốc ở Mỹ, diễn ra vào ngày thứ Hai đầu tiên trong tháng Chín hằng năm. Bây giờ, bạn hãy nhắm mắt hình dung về tất cả những bức ảnh hiện đang được lưu trữ trên máy tính, điện thoại, và email của mình. Dĩ nhiên, phần lớn đều là những hình ảnh vô hại. Bạn không thấy vấn đề gì khi để cả thế giới cùng xem những bức ảnh chụp cảnh hoàng hôn, những bức ảnh gia đình dễ thương, thậm chí cả những bức ảnh tự sướng hài hước. Nhưng liệu bạn có thấy thoải mái khi chia sẻ mọi bức ảnh của mình không? Bạn sẽ cảm thấy thế nào nếu đột nhiên tất cả chúng đều xuất hiện trên mạng? Có thể không phải ảnh cá nhân nào cũng mang tính nhạy cảm, nhưng dẫu sao, đó cũng vẫn là tư liệu về những khoảnh khắc riêng tư. Chúng ta phải là người có quyền quyết định xem có nên chia sẻ chúng hay không, khi nào, và bằng cách nào, nhưng với dịch vụ đám mây, sự lựa chọn đó có thể không phải lúc nào cũng thuộc về chúng ta. Câu chuyện về Jennifer Lawrence thống trị khắp các mặt báo trong ngày hôm đó. Đây là một phần trong sự kiện The Fappening9, một đợt rò rỉ lớn những bức ảnh khỏa thân và bán khỏa thân của Rihanna, Kate Upton, Kaley Cuoco, Adrianne Curry cùng gần 300 người nổi tiếng khác, hầu hết đều là phụ nữ – các bức ảnh lưu trữ trong điện thoại di động của họ đã bị truy cập từ xa rồi bị đem chia sẻ trên mạng. Dĩ nhiên, một số người rất thích thú khi được xem những bức ảnh này; tuy nhiên, với nhiều người khác, sự cố này là một lời nhắc nhở đáng lo ngại rằng điều tương tự cũng có thể xảy ra với chính họ. 9 The Fappening (từ ghép giữa từ fap (thủ dâm) và tên bộ phim thuộc thể loại tâm lý kinh dị, The Happening): Tên do giới truyền thông và người dùng Internet đặt cho sự kiện gần 500 bức ảnh riêng tư nhạy cảm của nhiều người nổi tiếng bị phát tán trên mạng, xảy ra vào ngày 31/8/2014. Những hình ảnh riêng tư của Jennifer Lawrence và những người khác đã bị tiếp cận như thế nào? Do tất cả những người nổi tiếng đều sử dụng iPhone, nên theo suy đoán ban đầu, đây có lẽ là một cuộc xâm phạm dữ liệu lớn nhắm vào iCloud, một dịch vụ lưu trữ đám mây của Apple dành cho người dùng iPhone. Khi thiết bị vật lý hết bộ nhớ, khách hàng có thể lưu các dữ liệu hình ảnh, file, nhạc, và trò chơi trên máy chủ ở Apple, thường là với một khoản phí nhỏ hàng tháng. Google cũng cung cấp dịch vụ tương tự cho Android. Apple, vốn hầu như không bao giờ bình luận trên các phương tiện truyền thông về vấn đề an ninh, phủ nhận mọi sai sót từ phía họ. Công ty này đưa ra một tuyên bố gọi vụ việc trên là “cuộc tấn công nhắm vào tên người dùng, mật khẩu, và câu hỏi bảo mật,” đồng thời bổ sung thêm rằng, “Trong các trường hợp mà chúng tôi đã điều tra, không có trường hợp nào xảy ra do hành vi xâm phạm vào các hệ thống của Apple, bao gồm iCloud hay ứng dụng Tìm iPhone.” Những bức ảnh trên xuất hiện trước tiên ở một diễn đàn hacker chuyên đăng tải ảnh bị đánh cắp. Diễn đàn này có nhiều cuộc thảo luận sôi nổi về các công cụ điều tra số10 dùng để đánh cắp những bức ảnh đó. Các nhà nghiên cứu, điều tra viên, và cơ quan thực thi pháp luật sử dụng những công cụ này để truy cập dữ liệu từ các thiết bị hoặc đám mây, thường là để điều tra một vụ phạm tội. Và tất nhiên, chúng cũng còn nhiều công dụng khác. 10 Điều tra số (digital forensics): Một nhánh của khoa học pháp y, bao gồm việc khôi phục và điều tra các tài liệu được tìm thấy trong các thiết bị kỹ thuật số, thường là có liên quan đến tội phạm máy tính. Một trong những công cụ được thảo luận công khai trên diễn đàn này, Elcomsoft Phone Password Breaker11, gọi tắt là EPPB, được thiết kế để giúp các cơ quan thực thi pháp luật cũng như các cơ quan chính phủ có thể truy cập vào các tài khoản iCloud và được rao bán công khai. Đây chỉ là một trong nhiều công cụ có sẵn, nhưng có vẻ nó là phổ biến nhất trên diễn đàn này. EPPB yêu cầu trước tiên người dùng phải có thông tin về tên đăng nhập và mật khẩu iCloud của mục tiêu cần tấn công. Tuy nhiên, đối với những người sử dụng diễn đàn này, việc lấy tên đăng nhập và mật khẩu iCloud không phải là chuyện khó. Tình cờ, vào dịp cuối tuần nghỉ lễ đó trong năm 2014, một người đã đăng lên kho lưu trữ mã nguồn trực tuyến phổ biến Github một công cụ gọi là iBrute, một cơ chế bẻ khóa mật khẩu được thiết kế để lấy thông tin đăng nhập iCloud của bất kỳ ai. 11 Elcomsoft Phone Password Breaker: Công cụ trả phí dùng để tìm lại các dữ liệu cần thiết, như dò lại mật khẩu iCloud khi bị quên thông qua bản dự phòng trên iTunes. Sử dụng kết hợp iBrute và EPPB, kẻ xấu có thể mạo danh nạn nhân và tải xuống bản sao lưu đầy đủ dữ liệu iPhone của nạn nhân đó trên đám mây và đưa vào một thiết bị khác. Tính năng rất hữu ích với người dùng khi họ nâng cấp điện thoại. Và nó cũng có giá trị đối với kẻ tấn công, bởi hắn có thể thấy mọi hoạt động bạn từng thực hiện trên thiết bị di động của mình. Điều này mang lại nhiều thông tin hơn so với việc chỉ đăng nhập vào tài khoản iCloud của nạn nhân. Jonathan Zdziarski, cố vấn điều tra số kiêm nhà nghiên cứu an ninh, chia sẻ với tạp chí Wiredrằng kết quả kiểm tra các bức ảnh bị rò rỉ do ông thực hiện khớp với việc sử dụng iBrute và EPPB. Khi chiếm được quyền truy cập vào một bản sao lưu dữ liệu iPhone được khôi phục, kẻ tấn công sẽ lấy được rất nhiều thông tin cá nhân có thể sử dụng để tống tiền sau này. Tháng 10 năm 2016, Ryan Collins, một người 36 tuổi sống ở Lancaster, Pennsylvania, bị kết án 18 tháng tù vì tội “truy cập trái phép vào một máy tính được bảo vệ để lấy thông tin” liên quan đến vụ tấn công trên. Hắn bị buộc tội truy cập trái phép vào hơn 100 tài khoản email của Apple và Google. Để bảo vệ tài khoản iCloud và các tài khoản trực tuyến khác của mình, bạn phải đặt mật khẩu mạnh. Điều đó là hiển nhiên. Tuy nhiên, theo kinh nghiệm của bản thân với tư cách là một chuyên gia kiểm định an ninh – tức người được thuê để tấn công vào các mạng máy tính nhằm tìm kiếm các lỗ hổng – tôi thấy rằng nhiều người, kể cả lãnh đạo các tập đoàn lớn, rất lười đặt mật khẩu. Một ví dụ là Michael Lynton, Giám đốc Điều hành của hãng Sony Entertainment. Ông này dùng cụm ký tự “sonyml3” làm mật khẩu tài khoản tên miền của mình. Không có gì ngạc nhiên khi email của ông bị tấn công và phát tán trên Internet vì kẻ tấn công nắm được quyền truy cập vào gần như mọi cơ sở dữ liệu trong công ty với vai trò quản trị viên. Ngoài mật khẩu liên quan đến công việc, còn có mật khẩu bảo vệ các tài khoản riêng tư. Việc chọn một mật khẩu khó đoán không ngăn được các công cụ tấn công như oclHashcat (một công cụ phá mật khẩu lợi dụng các đơn vị xử lý đồ họa – hay GPU – để thực hiện tấn công tốc độ cao), nhưng nó sẽ làm cho quá trình này diễn ra chậm lại, đủ để kẻ tấn công nản chí mà chuyển sang một mục tiêu dễ ăn hơn. Có thể đưa ra một dự đoán hợp lý rằng trong vụ tấn công Ashley Madison vào tháng 7 năm 201512, các mật khẩu bị tiết lộ chắc chắn cũng được dùng ở những nơi khác nữa, như tài khoản ngân hàng và thậm chí tài khoản của máy tính ở nơi làm việc. Trong danh sách 11 triệu mật khẩu của Ashley Madison bị phát tán trên mạng, phổ biến nhất là “123456,” “12345,” “password”, “DEFAULT,” “123456789,” “qwerty”, “12345678”, “abc123,” và “1234567.” Nếu cũng đang sử dụng những mật khẩu như trên, thì rất có thể bạn sẽ trở thành nạn nhân của các vụ xâm phạm dữ liệu, vì hầu hết các bộ công cụ bẻ mật khẩu có sẵn trên mạng đều có các cụm từ thông dụng này. Bạn có thể truy cập website www.haveibeenpwned.com để kiểm tra xem tài khoản của mình đã từng bị xâm phạm bao giờ chưa. 12 Ashley Madison: Một dịch vụ hẹn hò và mạng xã hội trực tuyến ở Canada, nhắm đến đối tượng là những người đã lập gia đình hoặc đã có bạn trai/bạn gái. Tháng 7/2015, một nhóm hacker đánh cắp dữ liệu người dùng của công ty này và phát tán lên mạng. Trong thế kỷ 21, chúng ta có thể làm tốt hơn. Thực ra là tốt hơn rất nhiều, với nhiều cách sắp xếp ký tự chữ và số dài hơn, phức tạp hơn nhiều. Nghe có vẻ khó, nhưng tôi sẽ hướng dẫn bạn cả cách tự động và thủ công để thực hiện điều đó . Cách dễ nhất là đừng tự tạo mật khẩu mà hãy tự động hóa quy trình này. Hiện đã có một số phần mềm quản lý mật khẩu có thể lưu trữ mật khẩu trong kho chứa có khóa và cho phép bạn truy cập bằng một cú nhấp chuột khi cần, đồng thời còn tạo ra được những mật khẩu mới, rất mạnh và độc đáo. Tuy nhiên, phương pháp này có hai vấn đề cần lưu ý. Một là, các phần mềm quản lý mật khẩu sử dụng một mật khẩu chính để truy cập. Nếu có kẻ khiến máy tính của bạn lây nhiễm một phần mềm độc hại và đánh cắp cơ sở dữ liệu mật khẩu và mật khẩu chính lưu trong đó bằng chương trình keylog13, thì trò chơi kết thúc. Khi đó, kẻ này sẽ có quyền truy cập vào tất cả các mật khẩu của bạn. Trong các dự án kiểm định an ninh, thi thoảng tôi thay thế phần mềm quản lý mật khẩu bằng một phiên bản sửa đổi để lấy mật khẩu chính (trong trường hợp đó là phần mềm mã nguồn mở). Điều này được thực hiện sau khi tôi giành được quyền truy cập vào mạng lưới của khách hàng bằng vai trò quản trị. Sau đó, tôi sẽ tấn công tất cả các mật khẩu đặc quyền. Nói cách khác, tôi sẽ sử dụng các phần mềm quản lý mật khẩu làm cửa sau để lấy chìa khóa xâm nhập. 13 Keylog: Chỉ việc sử dụng phần mềm để ghi lại mọi thao tác trên bàn phím của người dùng máy tính, đặc biệt là để tiếp cận trái phép mật khẩu và các thông tin bí mật khác. Vấn đề thứ hai khá rõ ràng: Nếu để mất mật khẩu chính, bạn sẽ mất tất cả các mật khẩu còn lại. Nhưng không sao, bởi bạn luôn có thể cài đặt lại mật khẩu cho từng tài khoản, nhưng đó sẽ là một rắc rối lớn nếu bạn có nhiều tài khoản khác nhau. Tuy có những sai sót này, nhưng những mẹo sau đây cũng đủ giúp bạn giữ an toàn cho mật khẩu của mình. Đầu tiên, các cụm mật khẩu14, chứ không đơn thuần chỉ là mật khẩu, phải dài – ít nhất 20-25 ký tự. Lý tưởng nhất, hãy sử dụng các ký tự ngẫu nhiên, như ek5iogh#skf&skd. Thật không may, con người thường khó học thuộc được các chuỗi ngẫu nhiên. Vì vậy, hãy sử dụng phần mềm quản lý mật khẩu, như thế còn tốt hơn nhiều so với việc tự chọn mật khẩu. Tôi thích các phần mềm quản lý mật khẩu mã nguồn mở như Password Safe và KeePass, vốn chỉ lưu trữ dữ liệu cục bộ trên máy tính của bạn. 14 Cụm mật khẩu (passphrase): Một chuỗi ký tự dùng để kiểm soát quyền truy cập một hệ thống, chương trình, hay dữ liệu trên máy tính. Cụm từ mật khẩu cũng tương tự như mật khẩu (password) xét về cách sử dụng, nhưng nhìn chung là dài hơn để tăng cường an ninh. Một nguyên tắc quan trọng khác là không bao giờ sử dụng cùng một mật khẩu cho hai tài khoản khác nhau. Điều này rất khó thực hiện vì ngày nay, chúng ta dùng mật khẩu cho hầu như tất cả mọi thứ. Do đó, hãy để phần mềm quản lý mật khẩu tạo và lưu giữ các mật khẩu mạnh, riêng biệt cho bạn. Nhưng ngay cả khi bạn đã có mật khẩu mạnh, kẻ xấu vẫn có thể sử dụng công nghệ để đánh bại bạn. Có những chương trình đoán mật khẩu như John the Ripper, một chương trình mã nguồn mở miễn phí mà bất kỳ ai cũng có thể tải xuống và hoạt động trong các tham số cấu hình do người dùng thiết lập. Ví dụ, người dùng có thể chỉ định số lượng ký tự cần thử, có sử dụng các ký hiệu đặc biệt hay không, có bao gồm các bộ ký tự ngoại ngữ hay không,… John the Ripper và các phần mềm tấn công mật khẩu khác có thể hoán vị các ký tự trong mật khẩu bằng cách sử dụng các bộ quy tắc cực kỳ hiệu quả trong việc đánh cắp mật khẩu. Điều này đơn giản có nghĩa là chúng sẽ thử mọi tổ hợp có thể có của các số, chữ cái, và ký hiệu trong các tham số cho đến khi bẻ được mật khẩu. May mắn nằm ở chỗ, hầu hết chúng ta đều không có ý định phòng vệ trước chính quyền, vốn có thời gian và nguồn lực dư dả đến vô hạn định. Có chăng, chúng ta chỉ muốn phòng vệ trước vợ/chồng, người thân, hay một người mà chúng ta thực lòng căm ghét (nhưng khi gặp phải một mật khẩu dài 25 ký tự, người đó sẽ không có đủ cả thời gian lẫn nguồn lực để ngồi phá giải). Giả sử bạn muốn tạo mật khẩu theo cách cũ, và đã chọn được một số mật khẩu rất mạnh. Hãy đoán thử xem chuyện gì sẽ xảy ra? Nhớ là đừng có viết thẳng băng trên mặt giấy rằng, “Ngân hàng Bank of America: 4the1sttimein4ever*.” Như thế khác nào vẽ đường cho hươu chạy. Trong trường hợp này, hãy dùng một dạng ký tự mã hóa thay cho tên ngân hàng của bạn (giả dụ thế), chẳng hạn “Lọ bánh quy” (vì trước đây có người đã giấu tiền trong các lọ bánh quy) và theo sau đó là “4the1st.” Hãy lưu ý, tôi không ghi cụm từ mật khẩu hoàn thiện. Không cần phải làm thế. Bạn đã biết phần còn lại của cụm từ là gì rồi. Nhưng người khác có thể không biết. Người nào tìm thấy bản danh sách các mật khẩu không đầy đủ này đều sẽ thấy rối trí – ít nhất là lúc đầu. Xin kể ra đây một câu chuyện thú vị: Một lần, tôi tới nhà một người bạn – anh này là một nhân viên nổi tiếng của Microsoft – và trong bữa tối, chúng tôi trao đổi vấn đề an ninh mật khẩu với vợ con của anh. Giữa chừng câu chuyện, vợ của bạn tôi đứng dậy và đi về phía tủ lạnh. Chị đã viết tất cả các mật khẩu của mình vào một mảnh giấy và dùng nam châm gắn nó vào cửa tủ lạnh. Bạn tôi chỉ còn biết lắc đầu, tôi thì cười toe toét. Viết mật khẩu ra giấy có thể không phải là một giải pháp hoàn hảo, và không sử dụng mật khẩu mạnh cũng vậy. Một số website – chẳng hạn website ngân hàng – sẽ khóa người dùng sau một vài lần thử mật khẩu không thành công, thường là ba lần. Tuy nhiên, nhiều nơi vẫn chưa thực hiện điều này. Nhưng ngay cả khi một website áp dụng cơ chế khóa người dùng sau ba lần thử không thành công, thì những kẻ xấu sử dụng John the Ripper hoặc oclHashcat cũng không bẻ mật khẩu theo cách đó. (Nhân tiện, oclHashcat phân tán quá trình tấn công qua nhiều GPU và mạnh hơn nhiều so với John the Ripper.) Ngoài ra, hacker cũng không mò mẫm thử từng mật khẩu khả dĩ trên một website trực tiếp. Giả sử kẻ xấu đã lấy cắp được dữ liệu, và trong phần dữ liệu kết xuất có cả tên người dùng cũng như mật khẩu. Nhưng các mật khẩu thu được từ cuộc xâm phạm này chỉ là những thứ vô nghĩa. Mà như vậy thì kẻ tấn công đâu có được lợi ích gì? Hễ khi nào bạn gõ một mật khẩu, dù là để mở khóa máy tính xách tay hay một dịch vụ trực tuyến – mật khẩu đó sẽ được đưa qua một thuật toán một chiều gọi là hàm băm. Nó khác với quá trình mã hóa. Mã hóa là hai chiều: bạn có thể mã hóa và giải mã, với điều kiện bạn có chìa khóa trong tay. Hàm băm là một dạng dấu vân tay đại diện cho một chuỗi ký tự cụ thể. Về lý thuyết, các thuật toán một chiều là bất khả đảo – hoặc ít nhất là không dễ dàng. Nội dung được lưu trữ trong cơ sở dữ liệu mật khẩu trên máy tính cá nhân truyền thống, thiết bị di động, hoặc tài khoản đám mây của bạn không phải là MaryHadALittleLamb123$, mà là giá trị băm của nó, tức là một chuỗi các số và chữ cái, đóng vai trò là dấu hiệu đại diện cho mật khẩu của bạn. Bộ nhớ được bảo vệ trên máy tính lưu trữ giá trị băm của mật khẩu, chứ không phải là bản thân mật khẩu, và các giá trị này có thể bị đánh cắp trong một cuộc tấn công vào các hệ thống mục tiêu hoặc bị rò rỉ trong các vụ xâm phạm dữ liệu. Sau khi đã lấy được các giá trị băm mật khẩu này, hacker có thể sử dụng nhiều công cụ có sẵn công khai, như John the Ripper hoặc oclHashcat, để phá vỡ chúng nhằm tìm ra mật khẩu thực thông qua kỹ thuật vét cạn15 hoặc thử từng từ trong một danh sách các từ, chẳng hạn từ điển. Các tùy chọn trong John the Ripper và oclHashcat cho phép kẻ tấn công sửa đổi các từ được thử trước nhiều bộ quy tắc, ví dụ bộ quy tắc leetspeak – một hệ thống dùng để thay thế các chữ cái bằng số, như trong “k3v1n m17n1ck.” Quy tắc này sẽ thay đổi tất cả các mật khẩu thành nhiều kiểu hoán vị leetspeak khác nhau. Các phương pháp bẻ khóa mật khẩu này hiệu quả hơn nhiều so với phương pháp tấn công vét cạn đơn giản. Thông thường, những mật khẩu đơn giản và phổ biến nhất sẽ bị phá trước, sau đó mới dần chuyển sang các mật khẩu phức tạp hơn. Thời gian cần thiết cho quá trình này phụ thuộc vào một số yếu tố. Sử dụng công cụ bẻ khóa kết hợp với tên người dùng và giá trị băm mật khẩu đánh cắp được, hacker có thể truy cập vào một hoặc nhiều tài khoản của bạn bằng cách thử mật khẩu đó trên nhiều website kết nối với địa chỉ email hoặc các dữ liệu định danh khác của bạn. 15 Tấn công vét cạn (brute force): Kiểu tấn công được dùng cho tất cả các loại mã hóa, hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Vì thế, thời gian thực hiện phương pháp này rất lâu, tùy theo độ dài của mật khẩu. Thông thường, kỹ thuật này chỉ được dùng khi các phương pháp khác đều không có hiệu quả. Nhìn chung, mật khẩu càng nhiều ký tự thì các chương trình đoán mật khẩu như John the Ripper sẽ càng mất nhiều thời gian để quét tất cả các biến khả dĩ. Vì các bộ vi xử lý máy tính ngày nay càng lúc càng chạy nhanh hơn, nên thời gian cần thiết để tính toán toàn bộ số mật khẩu có sáu, thậm chí tám, ký tự cũng ngày một rút ngắn đi. Đó là lý do tại sao tôi khuyên bạn nên sử dụng mật khẩu từ 25 ký tự trở lên. Sau khi bạn đã tạo được những mật khẩu mạnh, đừng bao giờ tiết lộ chúng. Chuyện này nghe có vẻ hiển nhiên đến mức không cần phải nhắc, nhưng các cuộc khảo sát ở London và nhiều thành phố lớn khác cho thấy, người ta sẵn sàng trao đổi mật khẩu của mình để lấy những thứ vặt vãnh như một cây bút hoặc một miếng sô-cô-la. Một người bạn của tôi có lần cho bạn gái biết mật khẩu Netflix của mình. Quyết định này ngay vào thời điểm đó là điều dễ hiểu, vì anh muốn để cô tự chọn phim cho cả hai cùng xem. Nhưng trong phần phim được đề xuất trên Netflix là những bộ phim được giới thiệu với lý do “vì bạn đã từng xem…,” bao gồm cả những bộ phim mà anh đã xem với các cô bạn gái trước kia. Tất nhiên, ai chẳng có người yêu cũ. Có khi chính bạn còn nghi ngờ nếu hẹn hò với một người chưa từng có ai. Nhưng không cô bạn gái nào muốn nhìn thấy bằng chứng về những cô gái đã đến trước mình cả. Nếu đã bảo vệ các dịch vụ trực tuyến của mình bằng mật khẩu, thì bạn cũng nên bảo vệ các thiết bị cá nhân bằng mật khẩu. Hầu hết chúng ta đều có máy tính xách tay, và nhiều người vẫn có máy tính để bàn. Có thể bây giờ bạn đang ở nhà một mình, nhưng còn những vị khách mà bạn mời tới ăn tối lát nữa đến thì sao? Tại sao lại phải chấp nhận rủi ro rằng một người trong số họ có thể truy cập các file, ảnh, và trò chơi của bạn khi ngồi vào máy? Sau đây là một câu chuyện cảnh giác khác về Netflix: Vào thời Netflix chủ yếu vẫn gửi DVD, một cặp vợ chồng đã bị chơi khăm một vố như thế này. Trong một bữa tiệc tại gia, họ để mở tài khoản Netflix trên trình duyệt máy tính của mình. Sau đó, họ phát hiện ra rằng nhiều loại phim khiêu dâm đã được thêm vào danh sách đăng ký – nhưng họ chỉ phát hiện ra điều này sau khi nhận được những bộ phim đó qua thư. Việc tự bảo vệ mình bằng mật khẩu tại văn phòng thậm chí còn quan trọng hơn. Hãy nghĩ về những lần bạn đang ngồi ở bàn làm việc thì bị gọi đi họp đột xuất. Ai đó có thể đi ngang qua chỗ bạn và thấy được bảng tính ngân sách cho quý tiếp theo. Hay tất cả các email có trong hộp thư đến của bạn. Hay tệ hơn, nếu không đặt chế độ bảo vệ bằng mật khẩu khi màn hình ở chế độ chờ và hẹn máy tự động kích hoạt chế độ này khi màn hình không hoạt động một vài giây, thì bất cứ khi nào bạn rời khỏi bàn làm việc trong một thời gian dài – ví dụ ra ngoài ăn trưa hoặc tham dự một cuộc họp kéo dài – một người nào đó có thể ngồi vào chỗ bạn, viết một email và gửi đi với tư cách là bạn. Hoặc thậm chí thay đổi ngân sách quý tiếp theo trên bảng tính. Có nhiều phương pháp mới sáng tạo giúp ngăn chặn những tình huống này, như phần mềm khóa màn hình sử dụng Bluetooth để xác minh xem bạn có ở gần máy tính hay không. Nói cách khác, nếu bạn vào nhà vệ sinh và điện thoại di động của bạn ra khỏi phạm vi Bluetooth của máy tính, thì màn hình sẽ bị khóa ngay lập tức. Ngoài ra, còn có các phiên bản sử dụng thiết bị Bluetooth như dây đeo cổ tay hoặc đồng hồ thông minh nhưng có cơ chế hoạt động tương tự. Tạo mật khẩu để bảo vệ các tài khoản và dịch vụ trực tuyến là một chuyện, nhưng điều đó cũng không giúp ích gì nếu có người lấy được thiết bị của bạn, nhất là khi bạn đang để các tài khoản trực tuyến ở trạng thái đăng nhập. Vì vậy, nếu bạn quyết định chỉ bảo vệ bằng mật khẩu đối với một loại thiết bị nhất định, hãy bảo vệ các thiết bị di động, vì chúng dễ bị mất hoặc đánh cắp nhất. Tuy nhiên, tổ chức Consumer Reports cho hay 34% người Mỹ không bảo vệ các thiết bị di động của mình bằng bất kỳ biện pháp nào, như khóa màn hình bằng mã PIN đơn giản gồm 4 chữ số. Năm 2014, một sĩ quan cảnh sát ở thành phố Martinez, California đã thú nhận hành vi ăn cắp các bức ảnh khỏa thân trên điện thoại di động của một người bị nghi là lái xe trong lúc say rượu – đây là sự vi phạm Tu chính án thứ tư trong Tuyên ngôn Nhân quyền của Hiến pháp. Cụ thể, Tu chính án thứ tư cấm các hành vi tìm kiếm và thu giữ không hợp lý khi không có lệnh của thẩm phán và không có lý do rõ ràng – chẳng hạn, các nhân viên thực thi pháp luật phải nêu rõ tại sao họ muốn lấy điện thoại của bạn. Nếu bạn vẫn chưa bảo vệ thiết bị di động của mình bằng mật khẩu, hãy đặt sách xuống và làm ngay nhé. Tôi nói nghiêm túc đấy. Có ba cách khóa điện thoại phổ biến – áp dụng với cả Android, iOS, hay bất kỳ loại nào khác. Thông dụng nhất là passcode – một dãy số được sắp xếp theo thứ tự nhất định mà bạn nhập vào để mở khóa điện thoại. Nhưng đừng chấp nhận lượng chữ số mà điện thoại đề xuất. Hãy vào mục cài đặt và tự đặt cấu hình mật khẩu để passcode được mạnh hơn – nếu thích, bạn có thể đặt bảy số (chẳng hạn, lấy một số điện thoại cũ đã lâu không dùng.) Đừng dùng passcode dưới bốn số. Một số thiết bị di động cho phép bạn chọn passcode bằng chữ. Một lần nữa, hãy chọn ít nhất bảy ký tự. Các thiết bị di động hiện đại hiển thị cả khóa bằng chữ và số trên cùng một màn hình, giúp việc chuyển đổi qua lại giữa chúng trở nên dễ dàng hơn. Một cách khóa khác là bằng hình ảnh. Từ năm 2008, điện thoại Android đã được trang bị các mẫu khóa gọi là ALP (Android Lock Pattern – ALP). Chín dấu chấm xuất hiện trên màn hình, và bạn kết nối chúng theo bất kỳ thứ tự nào tùy ý; chuỗi kết nối đó sẽ trở thành passcode của bạn. Có thể bạn cho rằng giải pháp này thật tài tình, và chỉ riêng số lượng các cách kết hợp khả dĩ ở đây cũng đã đủ để khiến chuỗi mà bạn chọn trở nên không thể phá vỡ nổi. Nhưng tại hội thảo PasswordsCon16 năm 2015, theo thông tin từ các nhà nghiên cứu, trong một cuộc khảo sát, những người tham gia cho biết họ chỉ sử dụng một số rất ít trong số 140.704 mẫu có trong ALP – quả đúng là bản chất khó bỏ của con người. Và những mẫu dễ đoán đó là gì vậy? Thường là chữ cái đầu tiên của tên người dùng. Nghiên cứu này cũng phát hiện ra rằng mọi người có xu hướng sử dụng các chấm ở giữa và ít sử dụng các dấu chấm ở bốn góc xa. Lần tới khi bạn đặt ALP, hãy để ý đến điều này nhé. 16 Hội nghị PasswordsCon: Hội nghị chuyên về mật khẩu, mã PIN, và xác thực số, ra mắt lần đầu tại Bergen, Na-uy năm 2010 và được tổ chức thường niên. Cuối cùng là khóa sinh trắc học. Apple, Samsung, và các nhà sản xuất lớn khác hiện cho phép khách hàng sử dụng ứng dụng quét vân tay để mở khóa điện thoại. Nhưng xin lưu ý, những ứng dụng này cũng không phải là không thể phá vỡ. Sau khi Touch ID ra mắt, các nhà nghiên cứu – có lẽ đang kỳ vọng rằng Apple sẽ có nhiều cải thiện so với các ứng dụng quét vân tay đang có mặt trên thị trường – ngạc nhiên khi thấy rằng vẫn có thể áp dụng một số phương pháp tấn công ứng dụng quét vân tay cũ trên iPhone, chẳng hạn như dùng phấn rôm trẻ em và băng dính trong để lấy dấu vân tay. Các điện thoại khác sử dụng camera tích hợp để nhận diện khuôn mặt của chủ sở hữu. Nhưng cách làm này cũng có thể bị phá giải bằng cách đặt một bức ảnh có độ phân giải cao của chủ sở hữu trước màn hình camera. Nhìn chung, bản thân các phương pháp sinh trắc học cũng dễ bị tấn công. Lý tưởng nhất, nên sử dụng sinh trắc học làm một yếu tố xác thực. Vuốt ngón tay hoặc cười trước camera, sau đó nhập mã PIN hoặc passcode. Điều đó sẽ giữ an toàn cho thiết bị di động của bạn. Điều gì sẽ xảy ra nếu bạn tạo được một mật khẩu mạnh nhưng không viết ra để ghi nhớ? Đặt lại mật khẩu sẽ là một tính năng hữu ích khi bạn không thể truy cập vào một tài khoản không sử dụng thường xuyên. Nhưng đó cũng có thể là một miếng mồi dễ ăn cho những kẻ tấn công. Sử dụng manh mối mà chúng ta rải khắp Internet, như thông tin hồ sơ cá nhân trên mạng xã hội, hacker có thể truy cập vào email cũng như các dịch vụ khác của chúng ta chỉ bằng cách đặt lại mật khẩu. Trong một cuộc tấn công đã được báo chí đưa tin, hacker lấy bốn chữ số cuối cùng trong số thẻ tín dụng của mục tiêu, sau đó dùng chúng làm bằng chứng nhận dạng khi gọi điện cho một nhà cung cấp dịch vụ và yêu cầu thay đổi địa chỉ email. Bằng cách đó, kẻ tấn công có thể tự ý đặt lại mật khẩu mà chủ sở hữu hợp pháp không biết. Quay trở lại năm 2008, David Kernell, một sinh viên tại Đại học Tennessee, đã thử tìm cách truy cập tài khoản email Yahoo cá nhân của ứng cử viên phó tổng thống Mỹ khi đó là Sarah Palin. Kernell có thể sử dụng cách đoán mật khẩu, nhưng quyền truy cập tài khoản sẽ bị khóa sau vài lần thử không thành công. Thay vào đó, sinh viên này sử dụng chức năng đặt lại mật khẩu mà theo nhận định sau này của anh là “dễ dàng.” Tôi chắc rằng chúng ta ai cũng từng nhận được email lạ từ bạn bè và đồng nghiệp, trong đó chứa đường dẫn liên kết tới các website khiêu dâm ở nước ngoài, và về sau mới biết được rằng tài khoản email của họ đã bị chiếm đoạt. Email bị chiếm đoạt thường là do mật khẩu bảo vệ tài khoản không mạnh. Hoặc có người đã biết được mật khẩu – thông qua một cuộc xâm phạm dữ liệu – hoặc kẻ tấn công sử dụng chức năng đặt lại mật khẩu. Khi thiết lập tài khoản lần đầu tiên, chẳng hạn tài khoản email hay tài khoản ngân hàng, có thể bạn sẽ được hỏi những thông tin gọi là câu hỏi bảo mật, thường là ba câu. Hầu hết sẽ có trình đơn (menu) liệt kê các câu hỏi gợi ý để bạn chọn. Các câu hỏi này thường rất rõ ràng. Bạn sinh ra ở đâu? Bạn học cấp ba ở đâu? Hay đại học? Và tên thời con gái của mẹ bạn – câu này đã được dùng làm câu hỏi bảo mật từ ít nhất là năm 1882. Như tôi sẽ trình bày dưới đây, các công ty có thể và trên thực tế có thực hiện việc quét Internet để thu thập thông tin cá nhân, khiến việc trả lời những câu hỏi bảo mật cơ bản này trở nên hết sức đơn giản. Một người có thể dành ra vài phút trên Internet là đã có thể trả lời tất cả các câu hỏi bảo mật của một cá nhân. Mãi đến gần đây, các câu hỏi bảo mật này mới được cải thiện phần nào. Ví dụ, “Anh rể của bạn sinh ra ở bang nào?” là một câu hỏi tương đối rõ ràng, song việc trả lời chính xác những câu hỏi “tốt” này cũng có những rủi ro riêng (tôi sẽ nói kỹ hơn ở ngay sau đây). Nhưng nhiều câu được gọi là câu hỏi bảo mật vẫn còn quá dễ dàng, chẳng hạn như, “Quê của bố bạn ở đâu?” Nhìn chung, khi đặt câu hỏi bảo mật, hãy tránh sử dụng các gợi ý rõ ràng có sẵn trong trình đơn. Ngay cả khi website chỉ bao gồm các câu hỏi bảo mật cơ bản, hãy sáng tạo. Không ai bắt bạn phải trả lời đúng câu hỏi cả. Bạn có thể tha hồ phát huy sự láu lỉnh của mình. Ví dụ, với câu hỏi, “Màu sắc ưa thích của bạn là gì?” bạn có thể trả lời là kẹo trái cây. Ai mà đoán được chứ. Nội dung mà bạn đưa ra làm câu trả lời sẽ trở thành câu trả lời “chính xác” cho câu hỏi bảo mật đó. Khi cung cấp các câu trả lời sáng tạo, hãy nhớ ghi lại cả câu hỏi và câu trả lời rồi cất chúng ở một nơi an toàn (hoặc lưu trong phần mềm quản lý mật khẩu). Sau này, biết đâu có lúc bạn lại cần đến dịch vụ hỗ trợ kỹ thuật, và họ hỏi bạn những câu hỏi bảo mật. Hãy ghi vào một cuốn sổ tay hoặc một tờ giấy rồi cất trong ví (hoặc học thuộc lòng và sử dụng nhất quán một bộ câu trả lời) để giúp bạn nhớ rằng, ví dụ, với câu “Bạn sinh ra ở đâu?” thì câu trả lời là “Trong bệnh viện.” Sự mập mờ đơn giản này phần nào có thể ngăn chặn trường hợp một ai đó tìm hiểu về bạn trên Internet và thử một câu trả lời hợp lý hơn, chẳng hạn, “Columbus, Ohio.” Việc trả lời trung thực các câu hỏi bảo mật còn mang lại những rủi ro khác về sự riêng tư: Bạn cung cấp nhiều thông tin cá nhân hơn so với những gì đã có trên mạng. Ví dụ, câu trả lời trung thực cho câu hỏi “Anh rể của bạn sinh ra ở bang nào?” có thể sẽ bị website mà bạn cung cấp câu trả lời này bán lại cho một bên thứ ba, và có thể được dùng kết hợp với các thông tin khác hay để điền thông tin còn thiếu. Ví dụ, từ câu trả lời về người anh rể, một người có thể suy luận ra rằng bạn đã hoặc đang có gia đình, và rằng vợ/chồng (hoặc vợ/chồng cũ) của bạn có anh em trai, hoặc kết hôn với một người đàn ông sinh ra ở tiểu bang mà bạn cung cấp. Đó là một lượng lớn thông tin bổ sung rút ra từ một câu trả lời đơn giản. Ngược lại, nếu bạn không có anh rể, cứ mạnh dạn trả lời câu hỏi này một cách sáng tạo, ví dụ viết “Puerto Rico.” Điều đó sẽ khiến cho những kẻ muốn tìm hiểu về bạn phải bối rối. Càng cung cấp nhiều thông tin đánh lạc hướng, bạn càng trở nên vô hình trên mạng. Khi trả lời những câu hỏi tương đối không phổ biến này, hãy cân nhắc đến giá trị của website đối với bạn. Ví dụ, bạn có thể tin tưởng cung cấp cho ngân hàng của mình các thông tin cá nhân bổ sung này, nhưng với dịch vụ phát video trực tuyến thì không. Đồng thời, hãy tìm hiểu về chính sách bảo mật của website đó, lưu ý đến những đoạn nói hoặc ngụ ý nói rằng họ có thể bán thông tin họ thu thập được cho các bên thứ ba. Để đặt lại mật khẩu cho tài khoản email Yahoo của Sarah Palin, cần phải cung cấp thông tin về ngày sinh, mã bưu chính, và câu trả lời cho câu hỏi bảo mật “Bạn gặp chồng mình ở đâu?” Có thể dễ dàng tìm thấy ngày sinh và mã bưu chính của Palin trên mạng (vào thời điểm đó, bà đang là Thống đốc bang Alaska). Câu hỏi bảo mật đòi hỏi nhiều công sức hơn một chút, nhưng Kernell cũng có thể tìm ra được. Trong các cuộc phỏng vấn, Palin đã nhiều lần nói rằng chồng bà chính là người yêu từ thời trung học. Và hóa ra đó cũng là câu trả lời chính xác cho câu hỏi bảo mật của bà: “Trường trung học.” Bằng cách đoán câu trả lời cho câu hỏi bảo mật của Palin, Kernell đã đặt lại mật khẩu email Yahoo của bà, nhờ vậy anh ta có thể đọc tất cả các email cá nhân trong đó. Ảnh chụp màn hình hộp thư đến của Palin được đăng lên một website dành cho hacker. Bản thân Palin cũng bị khóa khỏi email cho đến khi bà đặt lại mật khẩu. Hành vi của Kernell là bất hợp pháp vì vi phạm Đạo luật Gian lận và Lạm dụng Máy tính. Cụ thể, anh ta bị kết án vì hai tội: cản trở pháp luật bằng cách phá hủy hồ sơ (trọng tội), và giành quyền truy cập trái phép vào máy tính (tội nhẹ). Năm 2010, anh ta bị kết án một năm và một ngày tù, cộng với ba năm quản thúc. Nếu tài khoản email của bạn bị chiếm đoạt, như trường hợp của Palin, trước tiên bạn phải thay đổi mật khẩu bằng cách sử dụng tùy chọn đặt lại mật khẩu (vâng, giải pháp dễ đoán, đúng không?). Hãy đặt mật khẩu mới mạnh hơn như tôi đã hướng dẫn ở trên. Thứ hai, hãy kiểm tra mục Thư đã gửi để xem những nội dung nào đã được gửi đi bằng tên của bạn. Có thể bạn sẽ phát hiện ra rằng một thư rác đã được gửi tới nhiều bên, thậm chí là gửi cho toàn bộ danh sách liên hệ của bạn. Bây giờ thì bạn đã biết lý do tại sao bao nhiêu năm qua, bạn bè của bạn cứ gửi thư rác cho bạn rồi chứ? Có người đã tấn công tài khoản email của họ đấy. Ngoài ra, hãy kiểm tra xem liệu có ai đã tự thêm họ vào tài khoản của bạn hay không. Ở phần trước, chúng ta đã nói về việc chuyển tiếp thư liên quan đến nhiều tài khoản email. Kẻ tấn công giành được quyền truy cập vào dịch vụ email của bạn cũng có thể cài đặt chế độ chuyển tiếp tất cả email của bạn tới tài khoản của hắn. Bạn vẫn sẽ nhận email như bình thường, nhưng kẻ tấn công cũng sẽ đọc được chúng. Nếu có kẻ đã tự thêm hắn vào tài khoản của bạn, hãy xóa địa chỉ email chuyển tiếp này ngay lập tức. Mật khẩu và mã PIN là một phần của giải pháp bảo mật, nhưng chúng ta vừa thấy rằng hai yếu tố này là có thể đoán được. Ngoài việc đặt mật khẩu phức tạp, còn có một cách tốt hơn nữa là xác thực hai yếu tố. Trước vụ việc ảnh khỏa thân của Jennifer Lawrence và những người nổi tiếng khác bị phát tán trên Internet, Apple đã thiết lập cơ chế xác thực hai yếu tố, hay còn gọi là 2FA (two-factor authentication), cho các dịch vụ iCloud của mình. 2FA là gì? Trong quá trình xác thực người dùng, các website hoặc ứng dụng sẽ xét đến ít nhất hai trong số ba yếu tố, thông thường là: một thứ mà bạn có, một thứ mà bạn biết, và một thứ là bạn. Một thứ mà bạn có có thể là thẻ tín dụng/thẻ ghi nợ gắn chip hay có dải từ tính. Một thứ mà bạn biết thường là mã PIN hoặc câu trả lời cho câu hỏi bảo mật. Và một thứ là bạn bao gồm các thông số sinh trắc học như vân tay, nhận dạng khuôn mặt, nhận dạng giọng nói… Càng có nhiều thông tin này, bạn càng có thể chắc chắn rằng người dùng chính là người mà họ đã tự nhận. Nghe có vẻ đây là công nghệ mới, nhưng không phải. Trong hơn 40 năm qua, hầu hết chúng ta đều đã thực hiện 2FA mà không nhận ra điều đó. Khi sử dụng máy ATM, tức là bạn đang thực hiện 2FA đấy. Làm sao lại có thể như vậy? Bạn có một chiếc thẻ do ngân hàng phát hành (thứ mà bạn có) và một mã PIN (thứ mà bạn biết). Khi kết hợp chúng lại với nhau, máy ATM không người điều khiển trên đường phố sẽ biết rằng bạn đang muốn truy cập vào tài khoản ghi trên thẻ. Một số quốc gia áp dụng thêm các phương tiện xác thực khác tại các máy ATM, chẳng hạn như nhận diện khuôn mặt và in lòng bàn tay. Đây gọi là xác thực đa yếu tố (multifactor authentication – MIF). Có thể áp dụng các phương pháp tương tự trên môi trường trực tuyến. Nhiều tổ chức tài chính và chăm sóc sức khỏe, cũng như các tài khoản email thương mại và tài khoản mạng xã hội cho phép bạn chọn 2FA. Trong trường hợp này, thứ mà bạn biết là mật khẩu của bạn, và thứ mà bạn có là điện thoại di động. Việc sử dụng điện thoại để truy cập vào các website này được coi là “ngoài dải” vì điện thoại không kết nối với máy tính mà bạn đang sử dụng. Nhưng nếu bạn sử dụng tính năng 2FA, kẻ tấn công sẽ không thể truy cập các tài khoản được bảo vệ bằng 2FA nếu không có thiết bị di động của bạn trong tay. Lấy Gmail làm ví dụ. Để kích hoạt tính năng 2FA, bạn cần nhập số điện thoại di động của mình vào website Gmail. Sau đó, để xác minh danh tính, Google sẽ gửi đến điện thoại của bạn một tin nhắn chứa mã gồm sáu chữ số. Tiếp theo, bạn xác minh rằng máy tính này và số điện thoại kia là có kết nối với nhau bằng cách nhập mã đó vào website Gmail. Về sau, khi có người muốn thay đổi mật khẩu trên tài khoản của bạn từ một máy tính hoặc thiết bị mới, Google sẽ gửi tin nhắn đến điện thoại của bạn. Sau khi mã xác minh chính xác được nhập vào website thì các thay đổi đối với tài khoản của bạn mới được thực hiện. Tuy nhiên, ở đây có một vấn đề. Theo các nhà nghiên cứu tại Symantec, khi gửi tin nhắn để xác nhận danh tính, nếu bạn không để ý, một người nào đó tình cờ biết được số điện thoại di động của bạn sẽ có thể thực hiện tấn công social engineering17 và đánh cắp mã đặt lại mật khẩu được bảo vệ bằng 2FA. 17 Social Engineering (tấn công phi kỹ thuật): Trong lĩnh vực an ninh thông tin, tấn công social engineering chỉ việc thao túng người khác bằng tâm lý học để khiến họ thực hiện các hành động hoặc tiết lộ các thông tin bí mật. Giả sử tôi muốn chiếm tài khoản email nhưng không biết mật khẩu của bạn. Tôi biết số điện thoại di động của bạn vì thông tin về bạn rất dễ tìm thấy trên Google. Tôi có thể vào trang cài đặt lại cho dịch vụ email của bạn và yêu cầu đặt lại mật khẩu. Do bạn đã bật tính năng xác thực hai yếu tố, nên dịch vụ này sẽ gửi tới điện thoại của bạn một tin nhắn chứa mã xác thực. Tới đây thì mọi chuyện vẫn ổn đúng không? Chờ đã. Vụ tấn công điện thoại của nhà hoạt động chính trị DeRay Mckesson gần đây cho thấy kẻ xấu có thể đánh lừa nhà cung cấp dịch vụ di động để thực hiện đổi SIM như thế nào. Nói cách khác, kẻ tấn công có thể giành quyền kiểm soát dịch vụ di động của bạn và nhận các tin nhắn gửi tới bạn – chẳng hạn như tin nhắn chứa mã xác thực từ Google gửi đến để đặt lại tài khoản Gmail đã được bảo vệ bằng 2FA. Điều này dễ thực hiện hơn là lừa một người đọc to tin nhắn chứa mật khẩu mới của họ – nhưng cách này vẫn khả thi, và đòi hỏi kỹ thuật tấn công social engineering. Do không đọc được mã xác minh mà nhà cung cấp dịch vụ email gửi đến điện thoại của bạn, nên tôi sẽ phải giả vờ là một người khác để lấy được nó từ tay bạn. Chỉ vài giây trước khi bạn nhận được tin nhắn thực sự từ nhà cung cấp email, chẳng hạn Google, tôi có thể gửi tin nhắn cho bạn với nội dung: “Google vừa phát hiện có hoạt động bất thường trên tài khoản của bạn. Vui lòng gửi lại mã đã được gửi tới thiết bị di động của bạn để ngăn chặn hoạt động trái phép”. Bạn sẽ thấy rằng quả nhiên, bạn vừa mới nhận được một tin nhắn từ Google trong đó có chứa một mã xác minh hợp lệ, và nếu mất cảnh giác, bạn có thể vô tư gửi nó cho tôi. Khi đó, tôi sẽ có dưới 60 giây để nhập mã này và truy cập vào trang đặt lại mật khẩu rồi chiếm tài khoản email của bạn. Hoặc bất kỳ tài khoản nào khác. Vì mã xác thực cung cấp trong tin nhắn không được mã hóa và có thể chiếm đoạt theo cách tôi vừa mô tả, nên để thực hiện 2FA an toàn hơn, hãy tải xuống ứng dụng Google Authenticator từ Google Play hoặc cửa hàng ứng dụng iTunes nếu là iPhone. Ứng dụng này sẽ tạo một mã truy cập duy nhất gồm 6 chữ số trên chính nó mỗi lần bạn muốn truy cập một website yêu cầu 2FA – vì vậy không cần phải gửi tin nhắn nào cả. Mã do ứng dụng tạo ra này được đồng bộ hóa với cơ chế xác thực để cấp quyền truy cập của website. Tuy nhiên, Google Authenticator lưu trữ hạt giống mật khẩu một lần của bạn trong Keychain18 của Apple với phần cài đặt cho “Chỉ riêng thiết bị này.” Điều đó có nghĩa là nếu bạn sao lưu dữ liệu iPhone và khôi phục chúng sang một thiết bị khác (vì bạn nâng cấp hoặc thay thế một điện thoại bị mất), các mã Google Authenticator sẽ không được di chuyển, và việc đặt lại các mã đó là cả một rắc rối lớn. Hãy in ra giấy các mã khẩn cấp để đề phòng trường hợp bạn phải thay đổi thiết bị. Các ứng dụng khác như 1Password cho phép bạn sao lưu và khôi phục các hạt giống mật khẩu một lần để tránh cho bạn rắc rối này. 18 Từ iOS 7.0.3 và OS X 10.9, Apple có một tính năng mới là iCloud Keychain (chùm chìa khóa iCloud). Nó có nhiệm vụ đồng bộ hóa các thông tin về tên đăng nhập, mật khẩu website, thông tin thẻ tín dụng và một số thông tin khác giữa các thiết bị iOS với máy tính Mac, nhờ đó người dùng sẽ không phải tốn thời gian nhập liệu thủ công. Sau khi đã đăng ký một thiết bị, nếu vẫn tiếp tục đăng nhập vào website trên từ thiết bị đó, bạn sẽ phải tích chọn ô tin tưởng vào thiết bị này trong 30 ngày (nếu có), nếu không bạn vẫn sẽ bị hỏi mã truy cập mới. Tuy nhiên, nếu bạn sử dụng một thiết bị khác – giả sử bạn mượn máy tính của vợ/chồng mình – thì khi đó bạn sẽ được yêu cầu xác thực bổ sung. Không cần phải nói, nếu bạn sử dụng 2FA, hãy luôn mang theo điện thoại di động bên mình. Với tất cả những biện pháp phòng xa này, có thể bạn sẽ thắc mắc không biết tôi có lời khuyên gì dành cho những người thực hiện các giao dịch tài chính trực tuyến. Với chi phí khoảng 100 đô-la/năm, bạn có thể sử dụng dịch vụ bảo vệ tường lửa và chống virus cho ba máy tính. Vấn đề nằm ở chỗ, khi lướt web, bạn có thể tải vào trình duyệt của mình một biểu ngữ quảng cáo chứa phần mềm độc hại. Hoặc có thể bạn mở một email chứa phần mềm độc hại. Nếu máy tính của bạn thường xuyên tiếp xúc với Internet, thì bằng cách này hay cách khác, kiểu gì nó cũng sẽ bị nhiễm độc, và sản phẩm chống virus của bạn có thể không ngăn chặn được tất cả. Vì vậy, tôi khuyên bạn nên bỏ ra khoảng 200 đô-la để mua Chromebook19. Tôi thích iPad, nhưng chúng đắt quá. Chromebook gần giống với một chiếc máy tính bảng dễ sử dụng như iPad, nhưng có giá rẻ hơn nhiều. 19 Chromebook: Một loại máy tính xách tay hoặc máy tính bảng sử dụng hệ điều hành là Chrome OS dựa trên Linux. Thiết bị này chủ yếu được dùng để thực hiện các tác vụ trên trình duyệt Google Chrome, trong đó phần lớn các ứng dụng và dữ liệu được lưu trên đám mây thay vì lưu trong máy. Các thiết bị Chromebook ra mắt từ cuối năm 2017 cũng có thể chạy các ứng dụng Android. Quan điểm của tôi là, bạn cần phải có một thiết bị phụ để dùng riêng cho các hoạt động liên quan đến tài chính, có thể là cả các hoạt động liên quan đến y tế nữa. Để cài đặt bất kỳ ứng dụng nào, trước tiên bạn phải đăng ký bằng tài khoản Gmail – điều này sẽ giúp bạn hạn chế mở trình duyệt để lướt Internet. Sau đó, bạn hãy kích hoạt 2FA trên website để nó nhận ra Chromebook. Sau khi thực hiện xong các hoạt động liên quan đến ngân hàng hoặc y tế, hãy cất Chromebook đi một chỗ để chờ tới lần sử dụng tiếp theo, khi bạn cần phải cân đối sổ sách hay thu xếp một cuộc hẹn với bác sĩ. Cách này có vẻ phiền hà. Đúng là như vậy. Bạn sẽ không còn được hưởng cái tiện lợi của việc có thể giao dịch với ngân hàng vào bất kỳ lúc nào. Nhưng kết quả mà nó mang lại là giảm thiểu khả năng kẻ xấu sục sạo các thông tin về ngân hàng và tín dụng của bạn. Nếu bạn chỉ cài đặt và sử dụng hai hoặc ba ứng dụng cho Chromebook, và nếu bạn đánh dấu website ngân hàng hoặc website y tế mà không truy cập vào các website khác, thì khả năng thiết bị của bạn bị nhiễm Trojan hoặc các phần mềm độc hại khác là rất thấp. Như vậy, chúng ta vừa thống nhất với nhau rằng cần phải tạo các mật khẩu mạnh và không được chia sẻ chúng, và rằng cần phải kích hoạt 2FA bất cứ khi nào có thể. Trong các chương tiếp theo, chúng ta sẽ cùng xem các hoạt động tương tác phổ biến hằng ngày có thể để lại dấu vân tay số ở mọi nơi như thế nào, và bạn có thể làm gì để bảo vệ sự riêng tư của mình. Chương 2: CÒN AI KHÁC ĐANG ĐỌC EMAIL CỦA BẠN? Nếu bạn giống tôi, thì một trong những việc đầu tiên bạn làm vào buổi sáng là kiểm tra email. Và, nếu bạn giống tôi, thì hẳn bạn cũng thắc mắc không biết còn ai khác đọc được email của mình nữa không. Đó không phải là một sự lo lắng thiếu cơ sở đâu. Nếu bạn sử dụng dịch vụ email trên nền web20 như Gmail hoặc Outlook 365, thì câu trả lời đã rõ ràng và rất đáng sợ đấy. 20 Email trên nền web (hay webmail): Hệ thống email trong đó người dùng có thể truy cập email qua trình duyệt trên bất kỳ máy tính hay thiết bị nào có kết nối Internet. Dù bạn xóa email ngay sau khi đọc, việc đó cũng không nhất thiết có nghĩa là nội dung email đã bị xóa hẳn. Vẫn còn một bản sao của nó ở đâu đó. Webmail hoạt động dựa trên công nghệ đám mây, do đó, để bạn có thể truy cập email từ bất cứ thiết bị nào, ở bất cứ đâu, vào bất cứ lúc nào, chắc chắn phải có vô số bản sao dự phòng. Ví dụ, nếu bạn sử dụng Gmail, từng email được gửi và nhận qua tài khoản Gmail của bạn đều được lưu trữ bản sao trong nhiều máy chủ khác nhau của Google trên toàn thế giới. Điều này cũng đúng nếu bạn sử dụng các hệ thống email của Yahoo, Apple, AT&T, Comcast, Microsoft, hoặc thậm chí là của tổ chức nơi bạn làm việc. Công ty chủ quản có thể kiểm tra bất cứ email nào mà bạn gửi đi vào bất cứ lúc nào. Trên lý thuyết, việc này là để lọc các phần mềm độc hại, nhưng thực tế là các bên thứ ba có thể và thực sự đang truy cập email của chúng ta vì nhiều lý do khác, với dụng ý xấu và mang tính tư lợi hơn. Về nguyên tắc, hầu hết chúng ta sẽ không đời nào cho phép bất cứ ai khác đọc được thư của mình, ngoại trừ người mà chúng ta gửi thư đến. Đã có các quy định pháp lý nhằm bảo vệ thư từ được gửi qua Dịch vụ Bưu chính ở Mỹ và các quy định nhằm bảo vệ những nội dung được lưu trữ như email. Tuy nhiên, trong thực tế, chúng ta thường biết và có lẽ đã chấp nhận rằng tồn tại một sự thỏa hiệp nhất định nào đó liên quan đến sự thuận tiện trong giao tiếp mà email mang lại. Chúng ta biết rằng Yahoo (cùng với rất nhiều công ty khác) cung cấp dịch vụ webmail miễn phí, và chúng ta biết rằng phần lớn nguồn thu nhập của Yahoo là đến từ quảng cáo. Nhưng có lẽ chúng ta chưa biết hai chuyện trên liên hệ với nhau thế nào, và điều đó có thể ảnh hưởng ra sao đến sự riêng tư của mình. Một ngày nọ, Stuart Diamond, một cư dân sống ở Bắc California, đã nhận ra điều đó. Anh để ý thấy rằng các quảng cáo mà anh nhìn thấy ở góc trên bên phải của email Yahoo không hiện ra ngẫu nhiên mà được dựa theo nội dung các email ra vào hòm thư của anh. Ví dụ, nếu trong một email tôi nhắc đến chuyến đi diễn thuyết sắp tới ở Dubai, thì những quảng cáo xuất hiện trong tài khoản email của tôi có thể sẽ liên quan đến các hãng hàng không, khách sạn, và những việc cần làm khi ở các Tiểu vương quốc Ả-rập Thống nhất. Hành vi này thường được nêu ra một cách cẩn thận trong các điều khoản dịch vụ mà hầu hết chúng ta đều nhấn nút đồng ý nhưng có lẽ chưa một lần đọc qua. Không ai muốn xem những quảng cáo không liên quan gì tới sở thích cá nhân của mình, phải vậy không nào? Và miễn là email di chuyển giữa các chủ tài khoản Yahoo, thì việc công ty đó có thể quét nội dung email để tìm quảng cáo phù hợp cho chúng ta, và biết đâu chặn được phần mềm độc hại hay thư rác, cũng là điều hợp lý kia mà. Tuy nhiên, Diamond, cùng với David Sutton, cũng đến từ Bắc California, bắt đầu nhận ra rằng nội dung các email được gửi và nhận qua các địa chỉ bên ngoài Yahoo cũng ảnh hưởng đến nội dung quảng cáo dành cho họ. Điều đó cho thấy công ty này đã chặn và đọc tất cả các email của họ, chứ không chỉ riêng những email ra vào qua các máy chủ Yahoo. Dựa trên những gì quan sát được, năm 2012, hai người đã gửi đơn kiện tập thể thay mặt cho 275 triệu chủ tài khoản của Yahoo, trong đó nêu lên những mối lo ngại xung quanh hoạt động tương đương với hành vi nghe trộm bất hợp pháp của công ty này. Sự kiện này có giúp chấm dứt hoạt động quét email không? Không hề. Trong các vụ kiện tập thể, thường có một khoảng thời gian để cả hai bên liên quan tìm hiểu và phản hồi thông tin cho nhau. Trong trường hợp trên, giai đoạn ban đầu này kéo dài gần ba năm. Tháng Sáu năm 2015, một thẩm phán ở San Jose, California, ra phán quyết rằng Diamond và Sutton có đủ cơ sở để tiếp tục theo đuổi vụ kiện, và rằng theo Đạo luật Lưu trữ Thông tin Liên lạc, những người đã gửi hoặc nhận email qua Yahoo từ ngày 2 tháng Mười năm 2011, thời điểm Diamond và Sutton lần đầu đệ đơn khiếu kiện, có thể tham gia vào vụ kiện này. Ngoài ra, các chủ tài khoản email không thuộc hệ thống Yahoo sống tại California cũng có thể đệ đơn kiện chiểu theo Đạo luật Xâm phạm Quyền riêng tư của bang này. Cho tới nay, vụ việc này vẫn đang chờ xử lý. Trong quá trình biện hộ trước một vụ kiện khác vào đầu năm 2014 cũng liên quan đến hoạt động quét email, Google đã vô tình công bố thông tin về quy trình quét email của họ trong một phiên điều trần trước tòa, sau đó vội vàng tìm cách chỉnh sửa hoặc gỡ bỏ thông tin trên nhưng không thành công. Vụ kiện này liên quan đến nghi vấn Google đã quét hoặc đọc chính xác những gì. Theo các nguyên đơn, trong đó có một số hãng truyền thông lớn, bao gồm cả các chủ sở hữu của tạp chíUSA Today, Google nhận ra rằng nếu chỉ quét nội dung của hộp thư đến, họ sẽ bỏ qua rất nhiều nội dung có thể là hữu ích khác. Vụ kiện này cho rằng Google đã chuyển từ chỉ quét email được lưu trữ và nằm trên máy chủ Google sang quét tất cả các email vẫn đang trong quá trình di chuyển, bất kể email đó được gửi đi từ iPhone hay máy tính xách tay, khi người dùng còn ngồi trong quán cà phê. Đôi khi các công ty thậm chí còn tìm cách quét lén email vì mục đích riêng. Một ví dụ nổi tiếng là Microsoft. Hãng này đã vấp phải phản ứng dữ dội khi tiết lộ rằng họ đã quét hộp thư đến của một người dùng Hotmail bị nghi ngờ sao chép trái phép một phần mềm của Microsoft. Sau vụ việc này, Microsoft tuyên bố trong tương lai họ sẽ để cho các cơ quan thực thi pháp luật xử lý những cuộc điều tra tương tự. Nhưng hành vi này không chỉ giới hạn ở phạm vi email cá nhân. Nếu bạn gửi email qua mạng công ty, thì bộ phận IT21 trong công ty cũng có thể quét và lưu trữ nội dung liên lạc của bạn. Đội IT có quyền quyết định cho phép các email đi qua máy chủ và mạng của công ty hay báo cho cơ quan thực thi pháp luật. Điều này bao gồm các email chứa bí mật thương mại hoặc các tài liệu có vấn đề, chẳng hạn như chứa nội dung khiêu dâm. Họ cũng thực hiện quét email để tìm phần mềm độc hại. Nếu đội IT thực hiện quét và lưu trữ email của bạn, họ cần phải nêu rõ chính sách của mình mỗi khi bạn đăng nhập – nhưng hầu hết các công ty đều không làm điều đó. 21 IT (information technology): Công nghệ thông tin. Tuy hầu hết chúng ta đều có thể chấp nhận được việc email của mình bị quét để tìm kiếm phần mềm độc hại, và có lẽ một số người cũng có thể nhắm mắt bỏ qua việc quét email vì mục đích quảng cáo, nhưng việc các bên thứ ba đọc email của chúng ta rồi đưa ra hành động dựa theo đó là hết sức đáng lo ngại. (Tất nhiên, ngoại trừ vấn đề liên quan đến các nội dung ấu dâm). Vì vậy, hễ khi nào bạn viết email, dù nội dung không mấy quan trọng, và kể cả khi bạn đã xóa nó khỏi hộp thư đến, hãy nhớ rằng rất có thể một bản sao của những câu chữ và hình ảnh trong đó sẽ bị quét và tồn tại trong một thời gian dài. (Một số công ty có thể có chính sách lưu trữ ngắn, nhưng đa phần đều giữ email trong một thời gian dài). Như vậy, bạn đã biết chính phủ và các công ty đều đọc email của mình, và việc tối thiểu mà bạn có thể làm là khiến cho việc đó trở nên khó khăn hơn rất nhiều. Hầu hết các dịch vụ email trên nền web đều sử dụng mã hóa trong lúc email trên đường lưu chuyển. Tuy nhiên, khi chuyển email qua lại giữa các chương trình chuyển thư (Mail Transfer Agent – MTA), một số dịch vụ có thể không sử dụng mã hóa, khiến email của bạn bị sơ hở. Ví dụ, trong môi trường làm việc, người lãnh đạo có thể truy cập được vào hệ thống email của công ty. Để ẩn mình, bạn phải mã hóa được các email – nghĩa là khóa chúng lại sao cho chỉ những người nhận mới có thể mở khóa để đọc. Mã hóa là gì? Đó là một mật mã. Lấy ví dụ rất đơn giản là mật mã Caesar. Phương pháp này thay thế mỗi chữ cái bằng một chữ cái khác cách nó một khoảng cách nhất định trong bảng chữ cái. Chẳng hạn, nếu khoảng cách ấn định là 2, thì khi sử dụng phương pháp Caesar, a sẽ trở thành c, c sẽ trở thành e, z sẽ trở thành b, và cứ thế đến hết. Với cơ chế mã hóa bù trừ 2 đơn vị, “Kevin Mitnick” sẽ trở thành “Mgxkp Okvpkem.” Tất nhiên, hầu hết các hệ thống mã hóa được sử dụng ngày nay đều mạnh hơn nhiều so với mật mã Caesar cơ bản. Do vậy, việc phá mã sẽ khó khăn hơn rất nhiều. Nhưng mọi dạng mã hóa đều cần đến chìa khóa, đóng vai trò là mật khẩu để khóa và mở thông điệp mã hóa. Mã hóa đối xứng có nghĩa là cùng một chìa khóa được dùng để khóa và mở thông điệp mã hóa. Tuy nhiên, khó có thể chia sẻ các khóa đối xứng, khi hai bên không biết nhau hoặc cách xa nhau về mặt địa lý, vì cả hai đều ở trên Internet. Trên thực tế, việc mã hóa email chủ yếu sử dụng kỹ thuật mã hóa bất đối xứng. Điều đó có nghĩa là tôi tạo ra hai khóa: một khóa bí mật được lưu trong thiết bị của tôi và tôi không bao giờ chia sẻ nó với ai, và một khóa công khai mà tôi có thể đăng tải tự do trên Internet. Hai khóa khác nhau nhưng lại có mối liên hệ với nhau về mặt toán học. Ví dụ: Bob muốn gửi cho Alice một email an toàn. Anh lên mạng tìm kiếm khóa công khai của Alice hoặc trực tiếp hỏi cô, và khi gửi email cho Alice, anh mã hóa nó bằng khóa của cô. Email này sẽ vẫn ở trạng thái mã hóa cho đến khi Alice – và chỉ riêng Alice – sử dụng cụm mật khẩu để mở khóa bí mật của mình và mở email được mã hóa. Vậy việc mã hóa nội dung email được thực hiện như thế nào? Phương pháp mã hóa email phổ biến nhất là PGP (Pretty Good Privacy). Phần mềm này không miễn phí mà là một sản phẩm của công ty Symantec. Nhưng người tạo ra nó, Phil Zimmermann, còn phát triển phiên bản nguồn mở miễn phí của nó là OpenPGP. Và lựa chọn thứ ba, GPG (GNU Privacy Guard), do Werner Koch tạo ra, cũng là phần mềm miễn phí. Tin vui là cả ba đều tương thích với nhau, tức là bất kể bạn sử dụng phiên bản PGP nào, các chức năng cơ bản đều giống nhau. Khi quyết định tiết lộ những dữ liệu nhạy cảm lấy được từ NSA, Edward Snowden cần sự hỗ trợ của những người cùng tư tưởng với mình ở khắp nơi trên thế giới. Nghịch lý nằm ở chỗ, anh phải thoát khỏi mạng lưới trong khi vẫn duy trì hoạt động trên Internet, tức là phải trở nên vô hình. Dù không có bí mật quốc gia nào để chia sẻ, nhưng bạn cũng nên lưu ý giữ gìn sự riêng tư cho các email của mình. Kinh nghiệm của Snowden và những người khác cho thấy đây là việc không dễ làm, nhưng có thể làm được, nếu chúng ta thận trọng một chút. Snowden liên lạc với người khác bằng tài khoản cá nhân thông qua một công ty có tên là Lavabit. Nhưng email không sử dụng giao thức point-to-point22 trực tiếp, tức là một email có thể đi qua một số máy chủ trên thế giới trước khi đến hộp thư đến của người nhận. Snowden biết rằng trong cuộc hành trình này, những người chặn được đường đi của email có thể đọc được nội dung mà anh viết trong đó. 22 Point-to-Point Protocol (PPP – Giao thức điểm-nối-điểm): Một giao thức liên kết dữ liệu được dùng để thiết lập kết nối trực tiếp giữa hai nút mạng. Vì vậy, anh phải áp dụng một chiến thuật tinh vi để thiết lập một phương tiện giao tiếp thực sự an toàn, ẩn danh, và được mã hóa hoàn toàn với Laura Poitras, nhà làm phim và cũng là người ủng hộ cho quyền riêng tư (gần đây bà mới hoàn thành một bộ phim tài liệu kể về cuộc sống của những người tố giác). Snowden muốn tạo một cuộc trao đổi mã hóa với Poitras, nhưng chỉ ít người biết khóa công khai của bà. Đến khóa công khai Poitras cũng không thực sự để công khai cho lắm. Để tìm chìa khóa công khai của Poitras, Snowden phải tiếp cận với một bên thứ ba, Micah Lee thuộc Tổ chức Biên giới Điện tử (Electronic Frontier Foundation), một tổ chức ủng hộ quyền riêng tư trực tuyến. Khóa công khai của Lee đã có sẵn trên mạng, và theo một bài viết trên tạp chí trực tuyến Intercept, anh có khóa công khai của Poitras, nhưng trước tiên anh cần kiểm tra xem liệu bà có cho phép anh chia sẻ nó hay không. Poitras đồng ý. Tại thời điểm này, cả Lee và Poitras đều không biết ai muốn biết khóa công khai của Poitras; họ chỉ biết rằng có người đang tìm nó. Snowden sử dụng một tài khoản khác để liên lạc, chứ không dùng tài khoản email cá nhân. Nhưng nếu không sử dụng PGP thường xuyên, có thể thi thoảng bạn lại đưa khóa PGP vào các email quan trọng, và đó cũng là chuyện đã xảy ra với Snowden. Anh đã quên đưa khóa công khai của mình vào email để Lee có thể trả lời. Không có cách nào an toàn để liên lạc với con người bí ẩn này, Lee đành phản hồi bằng email văn bản bình thường, chưa mã hóa, trong đó yêu cầu Snowden cung cấp khóa công khai, và Snowden làm theo yêu cầu đó. Một lần nữa Lee, một bên thứ ba đáng tin cậy, lại phải can thiệp. Từ kinh nghiệm cá nhân, tôi có thể khẳng định rằng việc xác minh danh tính của người đang có liên lạc bí mật với bạn là hết sức quan trọng, tốt nhất là thông qua một người bạn chung – nhưng nhớ phải kiểm tra kỹ để chắc chắn rằng bạn đang liên lạc với người bạn đó chứ không phải kẻ mạo danh. Tôi biết điều này là quan trọng do trước đây tôi từng vào vai kẻ mạo danh, trong đó đối tác không nghi ngờ về danh tính thực sự của tôi hoặc khóa công khai mà tôi đã gửi. Lần đó, tôi muốn liên lạc với Neill Clift, một sinh viên sau đại học chuyên ngành hóa hữu cơ tại Đại học Leeds, Anh, đồng thời là chuyên gia tìm kiếm các lỗ hổng an ninh trong hệ điều hành VMS của công ty Digital Equipment Corporation (DEC). Tôi muốn Clift gửi cho tôi thông tin về tất cả các lỗ hổng an ninh mà anh đã báo cáo cho DEC. Để làm được điều đó, tôi phải làm sao để anh ta nghĩ rằng tôi thực sự làm việc cho DEC. Đầu tiên, tôi mạo danh một người tên là Dave Hutchins để gửi email cho anh ta. Trước đó, tôi đã mạo danh Derrell Piper thuộc bộ phận kỹ thuật VMS để gọi cho Clift, vì vậy lúc này tôi (trong vai Hutchins) viết trong email rằng Piper muốn trao đổi qua email với Clift về một dự án. Tìm kiếm trong hệ thống email của DEC, tôi biết rằng trước đây Clift và Piper thật đã gửi email cho nhau, nên yêu cầu mới này cũng không có gì lạ lùng cả. Sau đó, tôi gửi một email giả mạo địa chỉ email của Piper. Để khiến Clift tin tưởng hơn nữa, tôi còn đề nghị anh ta sử dụng mã hóa PGP để một kẻ như Kevin Mitnick không thể đọc được email. Chẳng bao lâu sau, Clift và “Piper” đã trao đổi thông tin về khóa công khai và mã hóa nội dung liên lạc – các nội dung mà tôi, trên cương vị Piper, có thể đọc được. Sai lầm của Clift là không nghi ngờ về danh tính của Piper. Tương tự, khi nhận được một cuộc gọi bất ngờ từ ngân hàng yêu cầu cung cấp số An sinh Xã hội hoặc thông tin về tài khoản của bạn, hãy gác máy và đích thân gọi đến ngân hàng – làm sao mà bạn biết được người vừa chủ động liên hệ với mình là ai chứ. Do tầm quan trọng của những bí mật mà họ sắp chia sẻ với nhau, Snowden và Poitras không thể sử dụng địa chỉ email thường dùng được. Tại sao vậy? Tài khoản email cá nhân của họ chứa các thông tin đặc thù – chẳng hạn như sở thích, danh sách liên lạc – có thể xác định danh tính của họ. Thay vào đó, Snowden và Poitras quyết định tạo tài khoản email mới. Vấn đề duy nhất lúc này là làm sao để họ biết địa chỉ email mới của nhau? Nói cách khác, nếu cả hai bên đều hoàn toàn ẩn danh, vậy thì làm thế nào để họ có thể biết ai là ai và ai là người có thể tin tưởng? Chẳng hạn, làm sao Snowden có thể yên tâm loại trừ khả năng NSA hoặc ai đó khác mạo danh tài khoản email mới của Poitras? Khóa công khai rất dài, vì vậy, dù có thể sử dụng đường dây điện thoại an toàn, bạn cũng không thể nhấc máy lên gọi rồi đọc to từng ký tự của khóa cho phía bên kia chép lại được. Cần phải có một kênh trao đổi email an toàn. Bằng cách lại nhờ đến Micah Lee một lần nữa, Snowden và Poitras có thể giao phó niềm tin của mình vào một người khi thiết lập tài khoản email mới và ẩn danh. Đầu tiên, Poitras cho Lee biết khóa công khai mới của mình. Nhưng khóa mã hóa PGP tương đối dài (không đến mức vô hạn định như số Pi23, nhưng dài), và điều gì sẽ xảy ra nếu tài khoản email của Lee cũng đang bị người khác theo dõi? Vì thế, Lee không dùng khóa thực mà dùng từ viết tắt gồm 40 ký tự (hay còn gọi là dấu vân tay) của khóa công khai của Poitras, và anh đăng thông tin này lên Twitter, một website công khai. 23 Số Pi (giá trị xấp xỉ bằng 3,1415926535897): Một số có độ dài vô hạn. Đôi khi bạn phải sử dụng cái hữu hình để trở nên vô hình. Lúc này, Snowden có thể lẳng lặng đọc tweet24 của Lee và so sánh khóa rút gọn này với thông điệp anh nhận được. Nếu hai dữ liệu không khớp nhau, Snowden sẽ biết rằng không nên tin tưởng vào email đó, vì có thể nội dung email đã bị xâm phạm, hoặc người gửi là NSA. 24 Tweet: Từ chỉ một bài đăng trên mạng xã hội Twitter. Trong trường hợp này, hai dữ liệu trên khớp với nhau. Bây giờ, một số yêu cầu về danh tính trên mạng – và vị trí ngoài đời thực của họ – đã được loại bỏ, Snowden và Poitras đã có thể sẵn sàng cho kênh liên lạc ẩn danh và an toàn qua email. Cuối cùng, Snowden gửi cho Poitras một email mã hóa, trong đó anh chỉ đề tên mình là “Citizenfour25.” Chữ ký này về sau trở thành tiêu đề cho bộ phim tài liệu nói về chiến dịch bảo vệ quyền riêng tư của bà và giành được giải Oscar. 25 Citizenfour (công dân 4): Snowden sử dụng số 4 vì trước anh, đã có ba người tìm cách tiết lộ hoạt động giám sát người dân của NSA. Trong mắt anh, anh là người thứ tư. Mọi chuyện tưởng chừng như xong xuôi – bây giờ họ đã có thể liên lạc một cách an toàn qua email mã hóa – nhưng không phải vậy. Đó mới chỉ là khởi đầu. Sau vụ tấn công khủng bố năm 2015 ở Paris, nhiều chính phủ đã tính đến chuyện xây dựng cửa hậu hoặc các phương thức khác giúp người của chính phủ có thể giải mã các email, văn bản, và tin nhắn điện thoại được mã hóa từ những kẻ bị tình nghi là khủng bố nước ngoài. Tất nhiên, điều này sẽ đánh bại mục đích của mã hóa. Nhưng thực ra, các chính phủ không cần phải tận mắt đọc nội dung mã hóa trong email mới biết đích xác bạn đang liên lạc với ai và với tần suất như thế nào – tôi sẽ trình bày điều này ở ngay sau đây. Như tôi đã nói, mục đích của mã hóa là mã hóa thông điệp của bạn sao cho chỉ người có đúng khóa mới có thể giải mã được. Sức mạnh của phép toán và độ dài của khóa là hai yếu tố quyết định mức độ khó dễ của việc giải mã khi không có khóa. Các thuật toán mã hóa được sử dụng ngày nay đều là công khai. Đó là điều hợp lý. Hãy cẩn thận với các thuật toán mã hóa độc quyền và không công khai. Các thuật toán công khai đều đã được kiểm định, có nghĩa là nhiều người đã tìm cách phá giải chúng. Khi một thuật toán công khai bị phá giải hoặc trở nên suy yếu, nó sẽ bị gỡ bỏ và các thuật toán mới hơn, mạnh hơn sẽ thế chỗ. Các thuật toán cũ vẫn tồn tại, nhưng không nên tiếp tục sử dụng chúng. Nhìn chung, các khóa thuộc quyền kiểm soát của bạn, do đó, việc quản lý chúng là rất quan trọng. Nếu bạn tạo một khóa mã hóa, thì bạn – và không ai khác – sẽ có khóa đó lưu trong thiết bị của mình. Nếu bạn cho phép một công ty thực hiện mã hóa trên đám mây, thì sau khi chia sẻ khóa cho bạn, công ty này vẫn có thể giữ lại nó. Điều đáng lo ngại ở đây là công ty này có thể buộc phải chia sẻ khóa đó với cơ quan thực thi pháp luật hoặc cơ quan chính phủ theo lệnh của tòa án mà không đến lý do xác đáng. Bạn nên đọc kỹ chính sách bảo mật của dịch vụ mã hóa mà bạn sử dụng và tìm hiểu xem ai sở hữu các khóa. Nếu bạn muốn mã hóa một thông điệp – một email, văn bản, hoặc cuộc điện thoại – hãy sử dụng mã hóa đầu cuối26. Tức là thông điệp của bạn sẽ ở trạng thái không thể đọc được cho tới khi nó đến tay người nhận. Với mã hóa đầu cuối, chỉ bạn và người nhận mới có khóa để giải mã thông điệp. Các công ty viễn thông, chủ sở hữu website, hay nhà phát triển ứng dụng – tức những bên có thể bị các cơ quan thực thi pháp luật hay chính phủ yêu cầu giao nộp thông tin về bạn – sẽ không có được đặc quyền ấy. Làm sao để biết liệu dịch vụ mã hóa bạn đang sử dụng có phải là mã hóa đầu cuối không? Hãy tìm kiếm trên Google cụm từ “end-to-end encryption voice call” (mã hóa đầu cuối cuộc gọi thoại). Đừng chọn ứng dụng hoặc dịch vụ nào không sử dụng mã hóa đầu cuối. 26 Mã hóa đầu cuối (end-to-end encryption – E2EE): Phương thức mã hóa theo đó chỉ những người giao tiếp với nhau mới có thể hiểu được thông điệp mã hóa. Nếu những điều này nghe có vẻ phức tạp, đó là bởi vì bản chất chúng như vậy. Nhưng hiện đã có các plugin27 PGP dành cho trình duyệt Chrome và Firefox, giúp quá trình mã hóa được dễ dàng hơn. Một trong số đó là Mailvelope, phần mềm xử lý khéo léo các khóa mã hóa công khai và bí mật của PGP. Bạn chỉ cần nhập cụm mật khẩu để tạo khóa. Sau đó, hễ khi nào bạn viết email trên nền web rồi chọn người nhận, và nếu người nhận đó cũng có khóa công khai, thì chương trình sẽ đưa ra một lựa chọn để bạn có thể gửi nội dung mã hóa cho họ. 27 Plugin: Phần mềm hỗ trợ, bổ sung tính năng cụ thể cho một chương trình lớn hơn. Nhưng ngay cả khi bạn đã mã hóa nội dung email bằng PGP, bất kỳ ai cũng vẫn có thể đọc một phần nhỏ nhưng chứa nhiều thông tin trong đó. Biện hộ trước những tiết lộ của Snowden, chính phủ Mỹ đã nhiều lần khẳng định rằng họ không thu thập nội dung thực sự của các email – mà với mã hóa PGP, nội dung email sẽ ở trạng thái không thể đọc được. Thay vào đó, chính phủ Mỹ cho biết họ chỉ thu thập các siêu dữ liệu của email. Siêu dữ liệu email là gì? Là thông tin trong các trường “To” (người nhận) và “From” (người gửi), cũng như địa chỉ IP của các máy chủ đã xử lý email từ người gửi đến người nhận. Siêu dữ liệu cũng bao gồm dòng tiêu đề – mà thông tin ở dòng tiêu đề nhiều khi có thể cho biết cả nội dung mã hóa của email. Vốn là một di sản tồn tại từ những ngày đầu của Internet, siêu dữ liệu vẫn xuất hiện trong mọi email gửi và nhận, nhưng người dùng hiện đại đã biết cách ẩn đi các thông tin này. PGP, dù ở dạng nào, không thực hiện mã hóa siêu dữ liệu – tức các trường “Người nhận,” “Người gửi,” dòng tiêu đề, và nhãn thời gian. Các thông tin này vẫn ở dạng văn bản, dù bạn có nhìn thấy chúng hay không. Các bên thứ ba vẫn có thể nhìn thấy siêu dữ liệu ở email mã hóa, và như vậy họ sẽ biết được rằng vào ngày X bạn đã gửi email cho người Y, và rằng hai ngày sau, bạn lại gửi một email khác cho người đó,… Điều đó nghe có vẻ vô hại, vì các bên thứ ba không thực sự đọc được nội dung email, mà có lẽ bạn cũng không quan tâm đến cơ chế di chuyển của email – các địa chỉ máy chủ và nhãn thời gian – nhưng bạn sẽ ngạc nhiên khi thấy lượng thông tin có thể rút ra được từ hai yếu tố đơn giản là đường đi và tần suất của email. Trở lại thập niên 1990, trước khi bị FBI săn lùng, tôi đã thực hiện một phân tích siêu dữ liệu đối với tài liệu ghi thông tin các cuộc gọi điện thoại. Đầu tiên, tôi xâm nhập vào PacTel Cellular, một nhà cung cấp dịch vụ di động ở Los Angeles để lấy các hồ sơ ghi chi tiết cuộc gọi (CDR) của những người cung cấp thông tin mà FBI đang sử dụng để tìm hiểu về các hoạt động của tôi. CDR rất giống với siêu dữ liệu mà tôi đang nói đến ở đây; chúng cho biết thời gian cuộc gọi được thực hiện, số điện thoại gọi đến, thời lượng cuộc gọi, và số lần gọi cho một số điện thoại cụ thể – tất cả đều là những thông tin rất hữu ích. Bằng cách tìm kiếm trong các cuộc gọi qua PacTel Cellular đến đường dây điện thoại cố định của người cung cấp thông tin, tôi đã xây dựng được một danh sách số điện thoại di động của những người đã gọi cho anh ta. Phân tích hóa đơn điện thoại của người gọi, tôi thấy rằng họ là thành viên thuộc đội chống tội phạm cổ cồn trắng28 của FBI, hoạt động bên ngoài văn phòng Los Angeles. Quả nhiên, một vài số mà họ gọi đi là trong mạng nội bộ, đến văn phòng FBI ở Los Angeles, văn phòng công tố viên, và các văn phòng chính phủ khác. Một vài cuộc gọi có thời lượng trao đổi rất dài, và khá thường xuyên. 28 Tội phạm cổ cồn trắng: Chỉ các vụ án có động cơ về tài chính, phi bạo lực, do những người hoạt động trong lĩnh vực kinh doanh/chính phủ gây ra. Hễ khi nào họ chuyển người cung cấp thông tin đến một nhà an toàn29 mới, tôi đều lấy được số điện thoại cố định ở đó bởi vì các đặc vụ sẽ gọi đến đó sau khi liên lạc với người cung cấp thông tin qua máy nhắn tin. Sau khi đã có số điện thoại cố định của người cung cấp thông tin, vận dụng social engineering, tôi còn có thể lấy được địa chỉ thực – chẳng hạn, tôi giả vờ làm nhân viên của Pacific Bell, một công ty cung cấp dịch vụ tại các nhà an toàn. 29 Nhà an toàn: Chỉ một nơi bí mật, dùng để che giấu người khỏi nguy hiểm hay các mối đe dọa. Social engineering là kỹ thuật tấn công sử dụng mánh khóe, lừa gạt, và gây ảnh hưởng để khiến đối tượng mục tiêu phải thực hiện theo yêu cầu. Thông thường, mọi người sẽ bị lừa để cung cấp thông tin nhạy cảm. Trong trường hợp này, vì biết số điện thoại nội bộ ở công ty điện thoại, nên tôi đóng giả một kỹ thuật viên, biết sử dụng đúng thuật ngữ và biệt ngữ chuyên ngành – đây là điều quan trọng giúp thu thập thông tin nhạy cảm. Như vậy, mặc dù việc ghi lại siêu dữ liệu trong email khác với việc ghi lại nội dung email thực tế, nhưng từ quan điểm về quyền riêng tư, đó cũng là hành vi xâm phạm trái phép. Nếu nhìn vào siêu dữ liệu từ bất kỳ email nào gần đây, bạn sẽ thấy địa chỉ IP của các máy chủ đã chuyển email đó đi vòng quanh thế giới trước khi đến tay bạn. Mỗi máy chủ – giống như mỗi người truy cập Internet – đều có một địa chỉ IP riêng là giá trị số học được tính toán bằng cách sử dụng thông tin về quốc gia nơi bạn đang sống và nhà cung cấp Internet của bạn. Mỗi quốc gia có các khối địa chỉ IP riêng, và mỗi nhà cung cấp dịch vụ lại có khối phụ riêng, được chia nhỏ hơn theo loại hình dịch vụ, như quay số, cáp, hoặc di động. Nếu bạn mua địa chỉ IP tĩnh, nó sẽ được gắn với tài khoản thuê bao và địa chỉ nhà riêng của bạn, nếu không, địa chỉ IP bên ngoài sẽ được tạo ra từ vùng địa chỉ gán cho nhà cung cấp dịch vụ Internet của bạn. Ví dụ: một người gửi – tức là người đang gửi email cho bạn – có thể có địa chỉ IP 27.126.148.104, là địa chỉ nằm ở Victoria, Úc. Hoặc địa chỉ đó có thể là 175.45.176.0, một trong những địa chỉ IP của Bắc Triều Tiên. Trong trường hợp địa chỉ thứ hai này, tài khoản email của bạn có thể bị gắn cờ để chính phủ kiểm tra. Ai đó trong chính phủ Mỹ có thể muốn biết tại sao bạn lại liên lạc với người ở Bắc Triều Tiên, ngay cả khi dòng tiêu đề email là “Chúc mừng sinh nhật.” Có thể bạn vẫn cho rằng địa chỉ máy chủ không chứa thông tin gì thú vị. Nhưng tần suất liên lạc có thể cho bạn biết rất nhiều điều. Ngoài ra, nếu xác định rõ từng thành phần – người gửi, người nhận, và vị trí của họ – bạn có thể suy luận ra tình hình. Ví dụ, khi kết hợp siêu dữ liệu với các cuộc gọi điện thoại – thời lượng gọi, thời gian gọi,… – bạn có thể phỏng đoán được sức khỏe tâm thần của một người. Một cuộc gọi kéo dài 10 phút vào lúc 10 giờ đêm đến đường dây nóng hỗ trợ các vấn đề bạo lực gia đình, hoặc một cuộc gọi kéo dài 20 phút vào lúc nửa đêm từ cầu Brooklyn đến đường dây nóng ngăn chặn tự tử có thể mang lại rất nhiều thông tin. Đại học Dartmouth đã phát triển một ứng dụng để phát hiện ra các xu hướng stress, trầm cảm, và cô đơn trong dữ liệu người dùng. Hoạt động của người dùng cũng có mối tương quan với thành tích điểm số của sinh viên ở trường. Bạn vẫn không thấy có gì nguy hại khi siêu dữ liệu email của mình bị lộ? Immersion, một chương trình được tạo ra ở Viện Công nghệ Massachusetts, có thể vạch ra các mối quan hệ giữa người gửi và người nhận của tất cả các email mà bạn lưu trữ trong tài khoản email của mình chỉ bằng cách sử dụng siêu dữ liệu. Công cụ này là một cách giúp bạn định lượng trực quan những người quan trọng nhất đối với mình. Thậm chí nó còn có thang thời gian di động, giúp bạn thấy vai trò của những người mà mình quen biết thay đổi lên xuống ra sao theo thời gian. Có thể bạn nghĩ rằng bạn hiểu rõ các mối quan hệ của mình, nhưng khi nhìn hình ảnh biểu diễn chúng bằng đồ họa, biết đâu bạn sẽ có được một cái nhìn khách quan hơn. Có thể qua đó bạn mới chợt nhận ra rằng mình hay gửi email cho một người mới chỉ thân sơ, hoặc mình quá lười gửi email cho một người thân thiết. Với công cụ Immersion, bạn có thể tùy chọn việc có tải dữ liệu lên hay không, và bạn cũng có thể xóa thông tin sau khi đồ thị đã hoàn tất. Theo Snowden, các siêu dữ liệu email, văn bản, và điện thoại của chúng ta đang bị NSA và các cơ quan khác thu thập. Nhưng chính phủ không thể thu thập siêu dữ liệu của tất cả mọi người được, phải không? Về mặt kỹ thuật là không. Tuy nhiên, từ năm 2001 tới nay đã có xu hướng gia tăng mạnh trong hoạt động thu tập thông tin “hợp pháp.” Được sự hậu thuẫn của Đạo luật Giám sát Tình báo Nước ngoài (FISA) năm 1978 của Mỹ, Tòa án Giám sát Tình báo Nước ngoài (viết tắt là FISC, hoặc Tòa án FISA) quản lý tất cả các yêu cầu xin lệnh giám sát đối với các cá nhân nước ngoài tại Mỹ. Nhìn bề ngoài, việc cơ quan thực thi pháp luật phải có lệnh của tòa án mới được phép can thiệp vào một cá nhân nghe có vẻ hợp lý. Nhưng thực tế lại hơi khác. Chỉ tính riêng trong năm 2012, có 1.856 yêu cầu được trình lên tòa và cả 1.856 yêu cầu được phê duyệt – điều này cho thấy rằng quy trình phê duyệt hiện nay của chính phủ Mỹ hầu như chỉ mang tính hình thức. Sau khi Toà án FISA ra yêu cầu, cơ quan thực thi pháp luật có thể buộc các công ty tư nhân phải giao nộp mọi dữ liệu về bạn mà họ có. Để có thể thực sự ẩn mình trong thế giới số, bạn sẽ phải làm nhiều việc hơn, chứ không chỉ đơn thuần là mã hóa email. Sau đây là những việc cần làm: Xóa địa chỉ IP thực: Đây là vị trí bạn kết nối với Internet, là dấu vân tay của bạn. Nó có thể cho biết bạn đang ở đâu (chi tiết đến tận địa chỉ nhà bạn) và đang sử dụng nhà cung cấp nào. Che thông tin về phần cứng và phần mềm mà bạn đang sử dụng: Khi bạn kết nối trực tuyến với một website, website đó có thể chụp nhanh thông tin về phần cứng và phần mềm mà bạn đang sử dụng. Họ có thể sử dụng một số thủ thuật để tìm hiểu xem bạn đang cài đặt phần mềm nào, chẳng hạn Adobe Flash. Phần mềm trình duyệt báo cho website đó biết bạn đang sử dụng hệ điều hành nào, phiên bản nào, và bạn đang chạy các phần mềm nào khác trên máy tính vào thời điểm đó. Bảo vệ tính ẩn danh của bạn: Việc chỉ ra mối liên hệ giữa hoạt động trên mạng và ngoài đời thực là rất khó. Rất khó để chứng minh rằng vào thời điểm một sự kiện diễn ra, bạn đang ngồi ở bàn phím. Tuy nhiên, nếu bạn xuất hiện trước camera trước khi vào mạng tại quán cà phê Starbucks, hoặc nếu bạn vừa mua một ly cà phê ở Starbucks bằng thẻ tín dụng, thì có thể liên hệ những hành động này với sự hiện diện trực tuyến của bạn vài phút sau đó. Như chúng ta đã biết, mỗi khi bạn kết nối với Internet, kết nối đó sẽ được gán cho một địa chỉ IP. Nếu bạn muốn ẩn mình trên mạng thì đây là một vấn đề: bạn có thể đổi tên (hoặc không cung cấp tên), nhưng địa chỉ IP vẫn sẽ tiết lộ bạn đang ở đâu, bạn sử dụng nhà cung cấp nào, và danh tính của người thanh toán cho dịch vụ Internet (có thể là bạn hoặc không phải là bạn). Tất cả các thông tin này đều được đưa vào trường siêu dữ liệu của email và sau này có thể được dùng để xác định ra bạn. Bất kỳ hoạt động giao tiếp nào, dù là email hay không, đều có thể được dùng để nhận diện bạn dựa trên địa chỉ IP gán cho bộ định tuyến mà bạn đang sử dụng – có thể là ở nhà, nơi làm việc, hoặc ở nhà bạn. Tất nhiên, có thể giả mạo địa chỉ IP trong email. Một người có thể sử dụng địa chỉ proxy – tức không phải địa chỉ IP thực của người đó mà là địa chỉ của người khác – để khiến email đó có vẻ như bắt nguồn từ một địa điểm khác. Proxy đóng vai trò như một phiên dịch viên – bạn nói với người phiên dịch, rồi người phiên dịch nói lại cho đối tác ngoại quốc của bạn – chỉ có thông điệp là vẫn giữ nguyên. Vấn đề ở đây là một người có thể sử dụng proxy từ Trung Quốc hoặc thậm chí Đức để tránh bị phát hiện qua một email có nguồn gốc thực sự ở Bắc Triều Tiên. Thay vì lưu trữ proxy riêng, bạn có thể sử dụng một dịch vụ gọi là anonymous remailer30 để giấu địa chỉ IP của email. Anonymous remailer chỉ thay đổi địa chỉ email của người gửi rồi chuyển email đến cho người nhận. Người nhận có thể trả lời thông qua dịch vụ remailer này. Đó là phiên bản đơn giản nhất. 30 Anonymous remailer (chuyển tiếp thư ẩn danh): Là máy chủ nhận email có nhúng các hướng dẫn về nơi cần gửi tiếp email đi, và thực hiện chuyển tiếp mà không để lộ nguồn gốc của email. Ngoài ra còn có các biến thể khác. Một số remailer loại I và II không cho phép trả lời email; chúng chỉ đơn thuần là hình thức liên lạc một chiều. Remailer loại III, hay còn gọi là Mixminion, cung cấp dịch vụ trọn gói: trả lời, chuyển tiếp, và mã hóa. Nếu bạn chọn phương thức liên lạc ẩn danh này, hãy tìm hiểu xem remailer của mình cung cấp dịch vụ nào. Một cách nữa để giấu địa chỉ IP là sử dụng bộ định tuyến kiểu củ hành (Tor)31 – đây là cách mà Snowden và Poitras đã áp dụng. 31 Tor (The Onion Router – Định tuyến kiểu củ hành): Cũng giống như củ hành tây gồm nhiều lớp, Tor sử dụng một mạng lưới các máy tính cá nhân lồng vào nhau, gọi là nút, làm nhiệm vụ định tuyến và mã hóa lưu lượng truy cập Internet đi qua Internet. Chương trình mã nguồn mở Tor do Phòng Thí nghiệm Nghiên cứu Hải quân Hoa Kỳ phát triển vào năm 2004 nhằm giúp người của quân đội thực hiện hoạt động tìm kiếm mà không để lộ vị trí thực của mình, và từ đó được mở rộng ra. Tor được thiết kế để giúp những người sống trong các thể chế hà khắc tránh được sự kiểm duyệt đối với các phương tiện truyền thông và dịch vụ đại chúng, đồng thời ngăn chặn người khác theo dõi những cụm từ khóa tìm kiếm mà họ sử dụng. Hiện nay, Tor vẫn miễn phí và dành cho bất cứ ai, ở bất cứ nơi đâu – kể cả bạn. Tor hoạt động như thế nào? Nó đảo ngược mô hình truy cập website thông thường. Thông thường, khi vào mạng, bạn mở trình duyệt Internet và nhập tên của website muốn truy cập. Một yêu cầu được chuyển tới website đó và một phần nghìn giây sau, trình duyệt của bạn nhận được phản hồi cùng với website. Dựa trên địa chỉ IP, website này biết nhà cung cấp dịch vụ là ai, và đôi khi còn biết được cả vị trí của bạn do suy từ vị trí nhà cung cấp hoặc độ trễ của các bước nhảy từ thiết bị của bạn đến website. Ví dụ, nếu thiết bị của bạn hiển thị vị trí ở Mỹ, nhưng thời gian và số bước nhảy mà yêu cầu của bạn cần trải qua để đến được đích lại cho thấy bạn đang ở một nơi khác, thì một số website – đặc biệt là các website trò chơi – sẽ coi đó là dấu hiệu gian lận. Khi bạn sử dụng Tor, đường nối trực tiếp giữa bạn và website mà bạn truy cập sẽ được che khuất bởi một loạt các nút bổ sung, và sau mỗi 10 giây, chuỗi nút mạng kết nối bạn với website đó sẽ thay đổi mà không gây gián đoạn cho bạn. Các nút mạng kết nối bạn với một website giống như các lớp trong một củ hành tây vậy. Nói cách khác, nếu có người muốn từ website đích lần ngược lại để tìm bạn, đó là điều bất khả thi vì đường dẫn sẽ liên tục thay đổi. Kết nối của bạn sẽ được ẩn danh, trừ khi điểm đăng nhập và điểm thoát ra của bạn có mối liên hệ nào đó. Với Tor, yêu cầu mở một website của bạn – ví dụ, mitnicksecurity.com – sẽ không được gửi trực tiếp đến máy chủ đó mà trước tiên được gửi đến một nút Tor khác. Và để làm cho mọi việc trở nên phức tạp hơn, nút mạng này lại tiếp tục chuyển yêu cầu trên đến một nút khác, cuối cùng mới kết nối với mitnicksecurity.com. Như vậy, có một nút đăng nhập, một nút ở giữa, và nút thoát ra. Nếu muốn nhìn xem ai đang truy cập vào website của công ty mình, tôi sẽ chỉ nhìn thấy địa chỉ IP và thông tin từ nút thoát ra, tức nút cuối cùng trong chuỗi, chứ không thấy được nút đầu tiên, tức nút đăng nhập của bạn. Bạn có thể xây dựng cấu hình cho Tor để nó sử dụng nút thoát ra ở một quốc gia cụ thể, chẳng hạn Tây Ban Nha, hoặc thậm chí còn chi tiết hơn, ví dụ Honolulu. Để sử dụng Tor, bạn phải lấy trình duyệt Firefox sửa đổi từ website Tor (torproject.org). Hãy tìm các trình duyệt Tor phù hợp cho hệ điều hành của bạn trên website dự án Tor. Đừng sử dụng website của bên thứ ba. Đối với các hệ điều hành Android, Orbot trên Google Play là một ứng dụng Tor miễn phí phù hợp, vừa thực hiện mã hóa lưu lượng truy cập vừa ẩn địa chỉ IP của bạn. Trên các thiết bị iOS (iPad, iPhone), hãy cài đặt trình duyệt Onion, một ứng dụng phù hợp từ cửa hàng ứng dụng iTunes. Có thể bạn đang thắc mắc, tại sao không tạo luôn một máy chủ email ngay trong Tor? Có người đã làm rồi. Tor Mail là dịch vụ được lưu trữ trên một website dành riêng cho các trình duyệt Tor. Tuy nhiên, FBI32 đã thu giữ máy chủ đó trong một vụ án không liên quan và chiếm được quyền truy cập vào tất cả các email mã hóa lưu trong Tor Mail. Đây là một câu chuyện cảnh giác cho thấy ngay cả khi bạn đinh ninh rằng thông tin của mình là an toàn và không có sơ hở, nhưng thực tế có thể không phải là như vậy. 32 FBI: Cục Điều tra Liên bang Mỹ. Tuy Tor sử dụng mạng đặc biệt, nhưng bạn vẫn có thể truy cập Internet từ đó, chỉ có điều tốc độ tải trang sẽ chậm hơn nhiều. Tuy nhiên, ngoài việc cho phép bạn lướt các website ở phần có thể tìm kiếm được trên Internet, Tor còn giúp bạn truy cập vào một thế giới website không thể tìm kiếm được theo cách thông thường, gọi là web tối . Đây là những website không mang tên thông thường như Google.com mà có đuôi là .onion. Một số website ẩn này có thể chào mời, bán, hoặc cung cấp các sản phẩm và dịch vụ bất hợp pháp. Một số khác là các website hợp pháp của những người sống ở các khu vực bị áp bức. Dẫu vậy, bạn cũng nên lưu ý đến một số điểm yếu của Tor: - Bạn không có quyền kiểm soát các nút thoát ra – có thể chúng thuộc quyền kiểm soát của chính phủ hoặc các cơ quan thực thi pháp luật;