Menu

Riêng tư và ẩn danh trên Internet

on Security, Rants

Mỗi khi lên mạng, ta đều để lại dấu vết. Khi bật modem, nhà mạng (ISP) cấp cho ta một địa chỉ IP. Chỉ cần có được IP này, bất kỳ ai có thẩm quyền có thể truy ra ta là ai. IP cũng giống như địa chỉ nhà, có địa chỉ rồi thì ai cũng dễ dàng lần ra vị trí nơi ở. Trong môi trường công ty, IP dùng để xác định máy tính ta đang dùng. Mọi lưu lượng đều được quản lý bởi phần mềm theo dõi chuyên dụng. Nhờ đó, quản trị viên có thể biết được ta đang làm gì trên máy.

Bạn lên Facebook quá nhiều trong giờ làm việc? Bạn sẽ nhận được email nhắc nhở từ sếp trong nay mai. Bạn thường hay chat chit trên máy tính của công ty? Rất có thể cuộc trò chuyện đó đã được lưu lại và đang chờ sếp “duyệt”. Thậm chí các chương trình theo dõi có thể quay phim màn hình của bạn, hoặc chụp màn hình theo chu kỳ định trước. Bạn nên nhớ rằng việc theo dõi nhân viên rất phổ biến, dễ dàng và hoàn toàn hợp pháp. Máy tính bạn đang dùng ở công ty chính là tài sản của công ty, do đó họ làm gì với nó là quyền của họ, kể cả việc âm thầm theo dõi bạn.

Thông tin là thứ vô hình nên rất ít người coi trọng việc bảo vệ nó. Những rủi ro về xâm phạm thông tin riêng tư là có thật, và nó diễn ra hàng ngày như cơm bữa. Nó hoạt động âm thầm nên ta không hề hay biết. Khi không nhìn thấy rủi ro trước mắt, ta cứ nghĩ nó không tồn tại. Đôi khi, cái tư duy “thấy rồi mới tin” là một sai lầm. Hầu hết mọi người nghĩ mình sẽ là một ngoại lệ, “chắc nó chừa mình ra”. Trên thực tế, rủi ro không chừa một ai.

Trong thế giới thực, ta cũng thường vô ý để lộ thông tin cá nhân. Chắc ai cũng đã từng photocopy giấy tờ cá nhân để làm một thủ tục pháp lý nào đấy. Hành động tưởng chừng như vô hại như photocopy nhưng lại tạo ra một rủi ro rất lớn. Điều tệ hại hơn cả là hầu như chẳng ai quan tâm đến vấn đề này. Trước đây, máy photocopy không được trang bị ổ cứng. Cho nên, khi muốn photo 50 bản tài liệu, máy photocopy phải quét tài liệu gốc 50 lần. Nhưng giờ đây, máy photocopy được trang bị thêm ổ cứng. Nhờ đó, nó chỉ cần quét tài liệu một lần duy nhất và có thể in ra bao nhiêu bản tùy ý. Hình ảnh tài liệu được quét sẽ lưu xuống ổ cứng, và nó sẽ nằm ở đó cho tới khi người chủ ra lệnh xóa. Tuy nhiên, chẳng người chủ nào làm việc này, bởi lẽ sức chứa của ổ cứng thường rất lớn, chẳng có lý do gì phải xóa khi dung lượng trống còn nhiều.

Thế rồi chiếc máy photocopy được bán lại cho người khác, và mọi thông tin trên ổ cứng cũng được chuyển sang chủ mới. Chỉ có trời mới biết người chủ này làm gì với đống dữ liệu đó. Các công ty lớn thường trang bị máy photocopy để tránh bị lộ tài liệu nhạy cảm ra ngoài. Liệu chủ tiệm photocopy có thông đồng với công ty đối thủ để “chôm” những tài liệu nội bộ? Giáo viên cũng hiểu rất rõ vấn đề này nên họ thường photo đề thi ngay sát giờ thi hoặc dùng máy photocopy trong trường.

Trong thế giới ảo, rủi ro này càng lớn hơn. Người trẻ ngày nay thích thể hiện, cái gì cũng đăng lên Facebook. Họ không biết rằng chỉ cần dựa vào những thứ được đăng, kẻ ma mãnh có thể xâu chuỗi chúng lại để có được thông tin hoàn chỉnh về họ: thói quen, sở thích, nơi ở, chỗ thường lui tới… Khi chụp một bức ảnh rồi đăng lên mạng, họ không biết rằng kèm theo bức ảnh đó là các thông tin phụ (metadata) như ngày chụp, thiết bị dùng để chụp, nơi đã chụp, và nhiều thông tin khác. Khi chat bằng các ứng dụng trên điện thoại, thông tin vị trí địa lý được công khai nếu không biết cách tắt. Công nghệ càng phát triển bao nhiêu thì danh sách rủi ro càng dài bấy nhiêu.

Kiến thức an toàn trên mạng cũng cần thiết như kiến thức an toàn giao thông. Bất kỳ ai tham gia Internet phải hiểu rõ rủi ro khi “lưu thông” trên mạng. Không ít trường hợp để lộ thông tin như email, số điện thoại, và ít lâu sau, chủ nhân bị quấy rối bởi những kẻ lạ. Hầu hết mọi người thường để lộ thông tin cá nhân khi thực hiện các giao dịch qua mạng, đơn cử là hình thức mua hàng trên Facebook bằng cách để lại tên và số điện thoại trong phần bình luận. Đây là phương pháp tệ nhất để mua hàng online. Khi giao dịch, ta cần một kênh an toàn, đảm bảo mọi thông tin đều được bảo mật. Cung cấp công khai thông tin cá nhân trên Facebook hay diễn đàn là điên rồ vì có rất nhiều con mắt lướt qua những dòng thông tin đó, kể cả con mắt của kẻ theo dõi.

Đôi khi có những kẻ thích chõ vào chuyện riêng của ta. Chúng muốn biết ta đang làm gì, nói chuyện với ai, và về cái gì. Chúng muốn biết mọi thứ về ta. Đây là những kẻ theo dõi chuyên nghiệp, được tài trợ, đào tạo bài bản, nên chúng biết mọi chiêu thức cần thiết để moi ra thông tin. Để đề phòng bọn này, ta phải có những phương pháp cao cấp. Từ những tài liệu NSA được tiết lộ bởi Edward Snowden, ta có thể thấy công nghệ gián điệp đã lên tới tầm cao mới. Thay vì phải đi săn lùng thông tin, kẻ theo dõi chỉ ngồi một chỗ, ngay tại nơi dữ liệu đi qua. Chúng dùng kĩ thuật khai phá dữ liệu (data mining) để thu thập và phân tích dữ liệu tự động. Chiêu thức này giúp tăng tính hiệu quả của quá trình theo dõi gấp nhiều lần.

Riêng tư và ẩn danh

Trước khi hướng dẫn bạn sử dụng Tor, tôi muốn đề cập một chút về hai thuật ngữ quan trọng mà nhiều người hay nhầm lẫn: Riêng tư (Privacy) và Ẩn danh (Anonymity).

  • Riêng tư (Privacy) là che giấu việc ta đang làm. Không ai biết ta đang làm gì, nhưng họ có thể biết ta là ai. Khi ta vào nhà vệ sinh và đóng cửa lại, chẳng ai biết chắc ta làm gì trong đó. Có thể ta làm “điều mà ai cũng biết là điều gì đấy”, mà cũng có thể không. VPN (Virtual Private Network) là giải pháp hiệu quả cho sự riêng tư. Nó tạo ra một đường ống (tunnel) xuyên Internet để truyền lưu lượng đến đích. Đường ống này được mã hóa và không ai phá vỡ được nó nếu không có khóa (key) để giải mã (khác một trời một vực so với đường ống nước sông Đà).

  • Ẩn danh, nặc danh (Anonymity) là che giấu danh tính. Không ai biết ta là ai, nhưng họ có thể biết ta đang làm gì. Ẩn danh rất hữu ích trong trường hợp ta muốn tố cáo sai phạm của tổ chức hay cá nhân nào đó, nhưng lại sợ việc này ảnh hưởng đến tính mạng của ta (kẻ bị tố cáo có “thế lực rất lớn”). Do đó, ta dùng phương pháp che giấu danh tính để tuồn bằng chứng phạm tội ra bên ngoài, thường là cho phóng viên. Và Tor chính là giải pháp hiệu quả cho sự ẩn danh.

Nếu muốn phát huy tối đa tính bảo mật, ta nên phối hợp cả hai. Kết nối đến mạng lưới Tor thông qua VPN (VPN trước, Tor sau) hoặc dùng Tor để kết nối VPN (Tor trước, VPN sau). Đáng buồn là cả hai phương pháp này có cách thức cấu hình và cài đặt khá công phu. Thông thường, chỉ dùng Tor và các dịch vụ nó cung cấp là khá đủ cho nhu cầu ẩn danh của bạn.

Tại sao dùng VPN lại không ẩn danh? Khi sử dụng VPN, nhà cung cấp dịch vụ này biết IP thực của người dùng, và như thế là ta không còn ẩn danh nữa. Nếu nhà cung cấp bảo mật kém, hoặc không đáng tin cậy (cấu kết với kẻ theo dõi) thì chẳng khác nào ta giao trứng cho ác.

Giới thiệu Tor

Những dấu vết ta để lại trên mạng tiết lộ quá nhiều thông tin nhạy cảm và điều đó rất bất lợi. Tuy có nhiều phương thức che đậy những vết tích này, nhưng giải pháp hiệu quả nhất hiện nay là Tor, một mạng lưới proxy giúp ta ẩn nấp những kẻ theo dõi. Proxy là một máy chủ trung gian giúp qua mặt tường lửa để truy cập những trang web “cấm”. Proxy sẽ truy xuất địa chỉ cần đến, sau đó chuyển nội dung lại cho ta.

Tor là một dạng proxy cao cấp. Nhưng thay vì chỉ qua một máy chủ, Tor chuyển tiếp lưu lượng qua nhiều máy chủ khác nhau (gọi là relay), và những kết nối này đều được mã hóa. Nhờ vậy, chỉ có máy chủ đầu tiên (nút nhập - entry node) của Tor biết IP của ta. Sau khi máy chủ cuối (nút xuất - exit node) nhận lưu lượng, nó sẽ chuyển đến đích và nhận hồi đáp (response) rồi chuyển ngược lại cho máy chủ đầu tiên theo một đường đi mới. Cuối cùng dữ liệu sẽ được gửi về máy ta. Các máy chủ trung gian của Tor được gọi là nút trung chuyển (transit node). Phương pháp đi vòng vèo giúp tăng tính bảo mật cho người dùng vì khả năng theo dõi lưu lượng cực kỳ khó khi đường di chuyển khác nhau và ngẫu nhiên, chưa kể chúng đã được mã hóa nhiều lớp như vỏ củ hành. Do vậy, cách vận chuyển lưu lượng trong mạng lưới Tor được gọi là định tuyến củ hành (onion routing).

Cách Tor hoạt động

Khi quan sát những công nghệ như Tor, Bitcoin, và BitTorrent, ta có thể nhận thấy một điều: cấu trúc phi tập trung (decentralized), phân tán (distributed) và ngang hàng (peer-to-peer) là nền tảng của sự bền vững. Không một tổ chức hay cá nhân nào có thể hạ được Tor, Bitcoin hay BitTorrent. Những công nghệ này như quái vật Hydra, chặt một đầu nó sẽ mọc lại hai đầu mới. Với những công nghệ theo nguyên tắc tập trung, điểm tập trung trở thành tử huyệt (single point of failure). Chỉ cần một cuộc tấn công, bố ráp vào tử huyệt thì cả hệ thống sụp đổ.

Sử dụng Tor Browser

Sử dụng Tor rất đơn giản. Đầu tiên ta vào trang torproject.org để tải Tor Browser và tiến hành cài đặt. Đây thực chất là trình duyệt Firefox nhưng đã được chế biến, tích hợp thêm Tor và những công cụ bảo mật (gỡ mã JavaScript, chặn quảng cáo…). Sau khi cài đặt, ta chạy Tor Browser. Mọi lưu lượng trong trình duyệt sẽ đi qua mạng lưới Tor.

Tor Browser

Khi dùng trình duyệt Tor, ta không nên mở chế độ cửa sổ toàn màn hình (maximize). Kẻ theo dõi có thể nắm thông số kích thước cửa sổ để truy lùng bạn. Tốt nhất, theo Tor khuyến cáo, ta nên dùng kích thước cửa sổ mặc định của trình duyệt Tor.

Sử dụng Tails

Tor không phải giải pháp hoàn hảo. Nếu máy tính bị cài chương trình ghi phím (keylogger), Tor không thể cứu bạn. Nếu máy tính bị sếp cài phần mềm theo dõi, Tor cũng bó tay. Do đó, để tránh những rủi ro trên, tôi thích dùng Tails, phiên bản Linux tích hợp sẵn Tor và có thể chạy trực tiếp từ DVD hoặc USB mà không cần cài đặt.

Một lợi thế khi dùng Tails đó là mọi lưu lượng ra khỏi máy đều thông qua Tor. Do đó, ta không phải lo về việc vô tình để lộ tung tích IP vì mở một file có truy xuất Internet. Với Tails, tôi có thể dùng bất kỳ máy tính và bất kỳ kết nối Internet nào, vì mọi thứ đều nằm trong chiếc USB. Khi cần dùng Tails, tôi cắm nó vào máy, và boot từ USB. Khi dùng xong, tôi shut down và rút USB khỏi máy, không để lại một dấu vết nào trên ổ cứng máy tính. Dù hệ điều hành gốc có bị virus, bị cài phần mềm gián điệp, tôi cũng không lo lắng khi đã có Tails. Đây chính là cách dùng Tor hiệu quả nhất.

Để dùng Tails, ta tải về file ISO và dùng chương trình Universal USB Installer để tạo ổ đĩa boot USB. Nếu đã từng cài Linux thì chắc bạn đã quen với cách này. Sau khi cài xong, ta boot từ USB để vào giao diện của Tails. Sử dụng Tails cũng đơn giản như dùng Linux nên tôi không hướng dẫn chi tiết ở đây để bạn đỡ nhàm chán.

Vì Tails dùng giao diện GNOME nên trông nó rất khác so với Windows. Do đó, để ngụy trang, Tails cho phép ta thay đổi giao diện thành Windows 8, giúp tránh những ánh mắt tò mò nơi công cộng. Hơn nữa, ta có thể tắt máy nhanh bằng cách rút USB ra khỏi máy. Dùng cách này trong trường hợp nghi ngờ có ai đó đang cố xâm nhập máy của ta, hoặc khi dùng máy của người khác và họ đang cần ta trả máy gấp.

Tập thói quen an toàn

Để sử dụng Tor hiệu quả, ta phải học cách loại bỏ những thói quen xấu khi dùng Internet. Dù có dùng Tor đi chăng nữa, mà ta vẫn theo thói cũ thì sẽ có nguy cơ bị lộ danh tính, mất dữ liệu, dính virus… Dưới đây là một vài thói quen ta nên bỏ:

  • Mở file vừa tải về: Nếu file này sử dụng kết nối Internet, nó sẽ không dùng Tor, và ta sẽ bị lộ IP. Nếu muốn mở file này, ta nên ngắt kết nối mạng.
  • Làm quen với người lạ trên mạng: Không bao giờ cung cấp thông tin cá nhân như địa chỉ nhà, số điện thoại,… cho người lạ. Không được mở file do người lạ gửi qua email, dù đó là định dạng file có vẻ vô hại như .jpg hay .txt. Nếu người này có dấu hiệu quá hăm hở để làm quen, kết bạn thì ta nên cẩn trọng hơn nữa. Chắc chắn kẻ này có ý đồ khác. Kẻ lừa đảo chuyên nghiệp thường sử dụng thành thạo các đòn tâm lý được gọi là kỹ nghệ xã hội (social engineering) để dụ ta vô ý nói ra những điều lẽ ra phải giữ kín.
  • Dùng máy tính công cộng: Ta chẳng biết trong máy chứa gì, có thể là chương trình ghi phím (keylogger) để đánh cắp tài khoản email hay Facebook. Các máy tính này thường không có ai bảo dưỡng hoặc nếu có thì cũng qua loa, sơ sài theo kiểu “cha chung không ai khóc”. Rất nhiều người bị mất tài khoản Facebook chỉ vì dùng máy tính công cộng.
  • Dùng USB: Một trong những nguồn phát tán virus phổ biến nhất là USB. Để đề phòng, ta nên tắt tính năng autorun của Windows khi cắm USB vào máy. Nếu được, ta nên chia sẻ tài liệu qua file đính kèm trong email, hoặc upload lên dịch vụ lưu trữ trực tuyến rồi gửi liên kết cho người nhận.
  • Dùng kết nối WiFi miễn phí: Ở đời không có gì miễn phí. Chẳng có ai khờ đến mức để WiFi cho thiên hạ dùng thoải mái. Có thể đây là mồi nhử để dụ con mồi nhẹ dạ kết nối vào. Lúc đó, kẻ theo dõi sẽ “hứng” mọi dữ liệu ra vào máy tính. Do vậy, nếu thấy WiFi không cài passphrase, tốt nhất ta nên xóa nó khỏi danh sách để tránh click nhầm.

Các thói quen xấu cần bỏ thì rất nhiều. Trên đây chỉ là một phần nhỏ trong số đó. Tóm lại, ta phải cẩn thận với người “lạ” và của “lạ” hay bất cứ cái gì “lạ” (kể cả tàu “lạ”).

Dùng email ẩn danh

Kể từ vụ NSA được phép truy cập máy chủ Google để theo dõi các tài khoản, người dùng bắt đầu quan tâm hơn về vấn đề riêng tư trên mạng. Dù đã ra đời khá lâu, email vẫn là phương tiện trao đổi thông tin phổ biến nhất. Không có công ty nào trong thời đại Internet mà lại không dùng email. Đó cũng chính là món mồi ngon béo bở mà tin tặc luôn muốn khai thác vì email chứa nhiều thông tin quan trọng về một người, các giao dịch họ thực hiện, danh sách đối tác làm ăn… Những người làm công việc điều tra số (digital forensics) luôn ra sức xâm nhập email của đối tượng nhằm tìm ra những manh mối mới cho cuộc điều tra. Có thể nói, tài khoản email chính là mỏ vàng thông tin.

Để thực sự ẩn danh, ta không bao giờ cho lộ IP hay bất kỳ thông tin nào khác về ta. Nếu dịch vụ email đòi xác thực bằng số điện thoại thì ta không còn ẩn danh nữa. Khi duyệt email, ta phải làm mọi thứ qua Tor. Dù chỉ một lần đăng nhập không qua Tor, ta sẽ bị lộ IP. Ngoài ra, ta nên tắt tính năng tải hình tự động của dịch vụ email. Kẻ theo dõi có thể chèn một hình có kích thước rất nhỏ (khoảng 1 pixel) vào nội dung email. Khi mở email có hình này, nó sẽ được tải từ máy chủ của kẻ theo dõi, đồng thời máy chủ cũng lưu lại IP của ta. Do vậy, ta phải luôn cảnh giác với email từ người lạ nếu muốn bảo mật danh tính của mình.

Khi đăng ký tài khoản email mới, ta nên dùng tên giả. Trong mục chọn quốc gia, hãy chọn quốc gia đã phát triển và có cơ sở hạ tầng Internet phát triển mạnh (Mỹ, Úc hoặc các quốc gia châu Âu). Các nút xuất (exit node) của Tor thường nằm ở các nước này nên khi truy cập tài khoản email, ta ít bị nghi ngờ.

Lời kết

Thông tin cá nhân cũng là một loại tài sản. Tuy nhiên, do thứ tài sản này vô hình, không thể chạm tay vào, nên nhiều người không quan tâm đến chúng như những loại tài sản khác. Trong thời đại công nghệ thông tin thì thông tin là tài sản quý nhất. Do vậy, cách tốt nhất để phòng chống việc thông tin cá nhân bị phát tán trên mạng đó là tự giáo dục bản thân thực hiện thói quen an toàn. Lỗ hổng bảo mật lớn nhất nằm ở con người, không phải máy móc. Thông tin của ai thì người đó có trách nhiệm tự bảo vệ. Không ai có khả năng gỡ bỏ nó khi ta, hoặc người khác, lỡ dại công khai lên mạng.

Những gì tôi trình bày trong bài viết này có thể không giúp bạn an toàn 100%, nhưng ít ra nó cũng làm cho việc theo dõi bạn trở nên khó khăn gấp bội lần. Bạn hãy tập những thói quen an toàn khi dùng Internet, và đừng quên dùng Tor khi có nhu cầu.