NGHỆ THUẬT ẨN MÌNH - Chương 2: CÒN AI KHÁC ĐANG ĐỌC EMAIL CỦA BẠN?

[full_width] N ếu bạn giống tôi, thì một trong những việc đầu tiên bạn làm vào buổi sáng là kiểm tra email. Và, nếu bạn giống tôi,...

[full_width]

Nếu bạn giống tôi, thì một trong những việc đầu tiên bạn làm vào buổi sáng là kiểm tra email. Và, nếu bạn giống tôi, thì hẳn bạn cũng thắc mắc không biết còn ai khác đọc được email của mình nữa không. Đó không phải là một sự lo lắng thiếu cơ sở đâu. Nếu bạn sử dụng dịch vụ email trên nền web20 như Gmail hoặc Outlook 365, thì câu trả lời đã rõ ràng và rất đáng sợ đấy.
20 Email trên nền web (hay webmail): Hệ thống email trong đó người dùng có thể truy cập email qua trình duyệt trên bất kỳ máy tính hay thiết bị nào có kết nối Internet.
Dù bạn xóa email ngay sau khi đọc, việc đó cũng không nhất thiết có nghĩa là nội dung email đã bị xóa hẳn. Vẫn còn một bản sao của nó ở đâu đó. Webmail hoạt động dựa trên công nghệ đám mây, do đó, để bạn có thể truy cập email từ bất cứ thiết bị nào, ở bất cứ đâu, vào bất cứ lúc nào, chắc chắn phải có vô số bản sao dự phòng. Ví dụ, nếu bạn sử dụng Gmail, từng email được gửi và nhận qua tài khoản Gmail của bạn đều được lưu trữ bản sao trong nhiều máy chủ khác nhau của Google trên toàn thế giới. Điều này cũng đúng nếu bạn sử dụng các hệ thống email của Yahoo, Apple, AT&T, Comcast, Microsoft, hoặc thậm chí là của tổ chức nơi bạn làm việc. Công ty chủ quản có thể kiểm tra bất cứ email nào mà bạn gửi đi vào bất cứ lúc nào. Trên lý thuyết, việc này là để lọc các phần mềm độc hại, nhưng thực tế là các bên thứ ba có thể và thực sự đang truy cập email của chúng ta vì nhiều lý do khác, với dụng ý xấu và mang tính tư lợi hơn.
Về nguyên tắc, hầu hết chúng ta sẽ không đời nào cho phép bất cứ ai khác đọc được thư của mình, ngoại trừ người mà chúng ta gửi thư đến. Đã có các quy định pháp lý nhằm bảo vệ thư từ được gửi qua Dịch vụ Bưu chính ở Mỹ và các quy định nhằm bảo vệ những nội dung được lưu trữ như email. Tuy nhiên, trong thực tế, chúng ta thường biết và có lẽ đã chấp nhận rằng tồn tại một sự thỏa hiệp nhất định nào đó liên quan đến sự thuận tiện trong giao tiếp mà email mang lại. Chúng ta biết rằng Yahoo (cùng với rất nhiều công ty khác) cung cấp dịch vụ webmail miễn phí, và chúng ta biết rằng phần lớn nguồn thu nhập của Yahoo là đến từ quảng cáo. Nhưng có lẽ chúng ta chưa biết hai chuyện trên liên hệ với nhau thế nào, và điều đó có thể ảnh hưởng ra sao đến sự riêng tư của mình.

Một ngày nọ, Stuart Diamond, một cư dân sống ở Bắc California, đã nhận ra điều đó. Anh để ý thấy rằng các quảng cáo mà anh nhìn thấy ở góc trên bên phải của email Yahoo không hiện ra ngẫu nhiên mà được dựa theo nội dung các email ra vào hòm thư của anh. Ví dụ, nếu trong một email tôi nhắc đến chuyến đi diễn thuyết sắp tới ở Dubai, thì những quảng cáo xuất hiện trong tài khoản email của tôi có thể sẽ liên quan đến các hãng hàng không, khách sạn, và những việc cần làm khi ở các Tiểu vương quốc Ả-rập Thống nhất.

Hành vi này thường được nêu ra một cách cẩn thận trong các điều khoản dịch vụ mà hầu hết chúng ta đều nhấn nút đồng ý nhưng có lẽ chưa một lần đọc qua. Không ai muốn xem những quảng cáo không liên quan gì tới sở thích cá nhân của mình, phải vậy không nào? Và miễn là email di chuyển giữa các chủ tài khoản Yahoo, thì việc công ty đó có thể quét nội dung email để tìm quảng cáo phù hợp cho chúng ta, và biết đâu chặn được phần mềm độc hại hay thư rác, cũng là điều hợp lý kia mà.

Tuy nhiên, Diamond, cùng với David Sutton, cũng đến từ Bắc California, bắt đầu nhận ra rằng nội dung các email được gửi và nhận qua các địa chỉ bên ngoài Yahoo cũng ảnh hưởng đến nội dung quảng cáo dành cho họ. Điều đó cho thấy công ty này đã chặn và đọc tất cả các email của họ, chứ không chỉ riêng những email ra vào qua các máy chủ Yahoo.

Dựa trên những gì quan sát được, năm 2012, hai người đã gửi đơn kiện tập thể thay mặt cho 275 triệu chủ tài khoản của Yahoo, trong đó nêu lên những mối lo ngại xung quanh hoạt động tương đương với hành vi nghe trộm bất hợp pháp của công ty này.

Sự kiện này có giúp chấm dứt hoạt động quét email không? Không hề.

Trong các vụ kiện tập thể, thường có một khoảng thời gian để cả hai bên liên quan tìm hiểu và phản hồi thông tin cho nhau. Trong trường hợp trên, giai đoạn ban đầu này kéo dài gần ba năm. Tháng Sáu năm 2015, một thẩm phán ở San Jose, California, ra phán quyết rằng Diamond và Sutton có đủ cơ sở để tiếp tục theo đuổi vụ kiện, và rằng theo Đạo luật Lưu trữ Thông tin Liên lạc, những người đã gửi hoặc nhận email qua Yahoo từ ngày 2 tháng Mười năm 2011, thời điểm Diamond và Sutton lần đầu đệ đơn khiếu kiện, có thể tham gia vào vụ kiện này. Ngoài ra, các chủ tài khoản email không thuộc hệ thống Yahoo sống tại California cũng có thể đệ đơn kiện chiểu theo Đạo luật Xâm phạm Quyền riêng tư của bang này. Cho tới nay, vụ việc này vẫn đang chờ xử lý.

Trong quá trình biện hộ trước một vụ kiện khác vào đầu năm 2014 cũng liên quan đến hoạt động quét email, Google đã vô tình công bố thông tin về quy trình quét email của họ trong một phiên điều trần trước tòa, sau đó vội vàng tìm cách chỉnh sửa hoặc gỡ bỏ thông tin trên nhưng không thành công. Vụ kiện này liên quan đến nghi vấn Google đã quét hoặc đọc chính xác những gì. Theo các nguyên đơn, trong đó có một số hãng truyền thông lớn, bao gồm cả các chủ sở hữu của tạp chíUSA Today, Google nhận ra rằng nếu chỉ quét nội dung của hộp thư đến, họ sẽ bỏ qua rất nhiều nội dung có thể là hữu ích khác. Vụ kiện này cho rằng Google đã chuyển từ chỉ quét email được lưu trữ và nằm trên máy chủ Google sang quét tất cả các email vẫn đang trong quá trình di chuyển, bất kể email đó được gửi đi từ iPhone hay máy tính xách tay, khi người dùng còn ngồi trong quán cà phê.

Đôi khi các công ty thậm chí còn tìm cách quét lén email vì mục đích riêng. Một ví dụ nổi tiếng là Microsoft. Hãng này đã vấp phải phản ứng dữ dội khi tiết lộ rằng họ đã quét hộp thư đến của một người dùng Hotmail bị nghi ngờ sao chép trái phép một phần mềm của Microsoft. Sau vụ việc này, Microsoft tuyên bố trong tương lai họ sẽ để cho các cơ quan thực thi pháp luật xử lý những cuộc điều tra tương tự.

Nhưng hành vi này không chỉ giới hạn ở phạm vi email cá nhân. Nếu bạn gửi email qua mạng công ty, thì bộ phận IT21 trong công ty cũng có thể quét và lưu trữ nội dung liên lạc của bạn. Đội IT có quyền quyết định cho phép các email đi qua máy chủ và mạng của công ty hay báo cho cơ quan thực thi pháp luật. Điều này bao gồm các email chứa bí mật thương mại hoặc các tài liệu có vấn đề, chẳng hạn như chứa nội dung khiêu dâm. Họ cũng thực hiện quét email để tìm phần mềm độc hại. Nếu đội IT thực hiện quét và lưu trữ email của bạn, họ cần phải nêu rõ chính sách của mình mỗi khi bạn đăng nhập – nhưng hầu hết các công ty đều không làm điều đó.

21 IT (information technology): Công nghệ thông tin.
Tuy hầu hết chúng ta đều có thể chấp nhận được việc email của mình bị quét để tìm kiếm phần mềm độc hại, và có lẽ một số người cũng có thể nhắm mắt bỏ qua việc quét email vì mục đích quảng cáo, nhưng việc các bên thứ ba đọc email của chúng ta rồi đưa ra hành động dựa theo đó là hết sức đáng lo ngại. (Tất nhiên, ngoại trừ vấn đề liên quan đến các nội dung ấu dâm).

Vì vậy, hễ khi nào bạn viết email, dù nội dung không mấy quan trọng, và kể cả khi bạn đã xóa nó khỏi hộp thư đến, hãy nhớ rằng rất có thể một bản sao của những câu chữ và hình ảnh trong đó sẽ bị quét và tồn tại trong một thời gian dài. (Một số công ty có thể có chính sách lưu trữ ngắn, nhưng đa phần đều giữ email trong một thời gian dài).

Như vậy, bạn đã biết chính phủ và các công ty đều đọc email của mình, và việc tối thiểu mà bạn có thể làm là khiến cho việc đó trở nên khó khăn hơn rất nhiều.

Hầu hết các dịch vụ email trên nền web đều sử dụng mã hóa trong lúc email trên đường lưu chuyển. Tuy nhiên, khi chuyển email qua lại giữa các chương trình chuyển thư (Mail Transfer Agent – MTA), một số dịch vụ có thể không sử dụng mã hóa, khiến email của bạn bị sơ hở. Ví dụ, trong môi trường làm việc, người lãnh đạo có thể truy cập được vào hệ thống email của công ty. Để ẩn mình, bạn phải mã hóa được các email – nghĩa là khóa chúng lại sao cho chỉ những người nhận mới có thể mở khóa để đọc. Mã hóa là gì? Đó là một mật mã.

Lấy ví dụ rất đơn giản là mật mã Caesar. Phương pháp này thay thế mỗi chữ cái bằng một chữ cái khác cách nó một khoảng cách nhất định trong bảng chữ cái. Chẳng hạn, nếu khoảng cách ấn định là 2, thì khi sử dụng phương pháp Caesar, a sẽ trở thành c, c sẽ trở thành e, z sẽ trở thành b, và cứ thế đến hết. Với cơ chế mã hóa bù trừ 2 đơn vị, “Kevin Mitnick” sẽ trở thành “Mgxkp Okvpkem.”

Tất nhiên, hầu hết các hệ thống mã hóa được sử dụng ngày nay đều mạnh hơn nhiều so với mật mã Caesar cơ bản. Do vậy, việc phá mã sẽ khó khăn hơn rất nhiều. Nhưng mọi dạng mã hóa đều cần đến chìa khóa, đóng vai trò là mật khẩu để khóa và mở thông điệp mã hóa. Mã hóa đối xứng có nghĩa là cùng một chìa khóa được dùng để khóa và mở thông điệp mã hóa. Tuy nhiên, khó có thể chia sẻ các khóa đối xứng, khi hai bên không biết nhau hoặc cách xa nhau về mặt địa lý, vì cả hai đều ở trên Internet.

Trên thực tế, việc mã hóa email chủ yếu sử dụng kỹ thuật mã hóa bất đối xứng. Điều đó có nghĩa là tôi tạo ra hai khóa: một khóa bí mật được lưu trong thiết bị của tôi và tôi không bao giờ chia sẻ nó với ai, và một khóa công khai mà tôi có thể đăng tải tự do trên Internet. Hai khóa khác nhau nhưng lại có mối liên hệ với nhau về mặt toán học.

Ví dụ: Bob muốn gửi cho Alice một email an toàn. Anh lên mạng tìm kiếm khóa công khai của Alice hoặc trực tiếp hỏi cô, và khi gửi email cho Alice, anh mã hóa nó bằng khóa của cô. Email này sẽ vẫn ở trạng thái mã hóa cho đến khi Alice – và chỉ riêng Alice – sử dụng cụm mật khẩu để mở khóa bí mật của mình và mở email được mã hóa.

Vậy việc mã hóa nội dung email được thực hiện như thế nào?

Phương pháp mã hóa email phổ biến nhất là PGP (Pretty Good Privacy). Phần mềm này không miễn phí mà là một sản phẩm của công ty Symantec. Nhưng người tạo ra nó, Phil Zimmermann, còn phát triển phiên bản nguồn mở miễn phí của nó là OpenPGP. Và lựa chọn thứ ba, GPG (GNU Privacy Guard), do Werner Koch tạo ra, cũng là phần mềm miễn phí. Tin vui là cả ba đều tương thích với nhau, tức là bất kể bạn sử dụng phiên bản PGP nào, các chức năng cơ bản đều giống nhau.

Khi quyết định tiết lộ những dữ liệu nhạy cảm lấy được từ NSA, Edward Snowden cần sự hỗ trợ của những người cùng tư tưởng với mình ở khắp nơi trên thế giới. Nghịch lý nằm ở chỗ, anh phải thoát khỏi mạng lưới trong khi vẫn duy trì hoạt động trên Internet, tức là phải trở nên vô hình.

Dù không có bí mật quốc gia nào để chia sẻ, nhưng bạn cũng nên lưu ý giữ gìn sự riêng tư cho các email của mình. Kinh nghiệm của Snowden và những người khác cho thấy đây là việc không dễ làm, nhưng có thể làm được, nếu chúng ta thận trọng một chút.

Snowden liên lạc với người khác bằng tài khoản cá nhân thông qua một công ty có tên là Lavabit. Nhưng email không sử dụng giao thức point-to-point22 trực tiếp, tức là một email có thể đi qua một số máy chủ trên thế giới trước khi đến hộp thư đến của người nhận. Snowden biết rằng trong cuộc hành trình này, những người chặn được đường đi của email có thể đọc được nội dung mà anh viết trong đó.

22 Point-to-Point Protocol (PPP – Giao thức điểm-nối-điểm): Một giao thức liên kết dữ liệu được dùng để thiết lập kết nối trực tiếp giữa hai nút mạng.

Vì vậy, anh phải áp dụng một chiến thuật tinh vi để thiết lập một phương tiện giao tiếp thực sự an toàn, ẩn danh, và được mã hóa hoàn toàn với Laura Poitras, nhà làm phim và cũng là người ủng hộ cho quyền riêng tư (gần đây bà mới hoàn thành một bộ phim tài liệu kể về cuộc sống của những người tố giác). Snowden muốn tạo một cuộc trao đổi mã hóa với Poitras, nhưng chỉ ít người biết khóa công khai của bà. Đến khóa công khai Poitras cũng không thực sự để công khai cho lắm.

Để tìm chìa khóa công khai của Poitras, Snowden phải tiếp cận với một bên thứ ba, Micah Lee thuộc Tổ chức Biên giới Điện tử (Electronic Frontier Foundation), một tổ chức ủng hộ quyền riêng tư trực tuyến. Khóa công khai của Lee đã có sẵn trên mạng, và theo một bài viết trên tạp chí trực tuyến Intercept, anh có khóa công khai của Poitras, nhưng trước tiên anh cần kiểm tra xem liệu bà có cho phép anh chia sẻ nó hay không. Poitras đồng ý.

Tại thời điểm này, cả Lee và Poitras đều không biết ai muốn biết khóa công khai của Poitras; họ chỉ biết rằng có người đang tìm nó. Snowden sử dụng một tài khoản khác để liên lạc, chứ không dùng tài khoản email cá nhân. Nhưng nếu không sử dụng PGP thường xuyên, có thể thi thoảng bạn lại đưa khóa PGP vào các email quan trọng, và đó cũng là chuyện đã xảy ra với Snowden. Anh đã quên đưa khóa công khai của mình vào email để Lee có thể trả lời.

Không có cách nào an toàn để liên lạc với con người bí ẩn này, Lee đành phản hồi bằng email văn bản bình thường, chưa mã hóa, trong đó yêu cầu Snowden cung cấp khóa công khai, và Snowden làm theo yêu cầu đó.

Một lần nữa Lee, một bên thứ ba đáng tin cậy, lại phải can thiệp. Từ kinh nghiệm cá nhân, tôi có thể khẳng định rằng việc xác minh danh tính của người đang có liên lạc bí mật với bạn là hết sức quan trọng, tốt nhất là thông qua một người bạn chung – nhưng nhớ phải kiểm tra kỹ để chắc chắn rằng bạn đang liên lạc với người bạn đó chứ không phải kẻ mạo danh.

Tôi biết điều này là quan trọng do trước đây tôi từng vào vai kẻ mạo danh, trong đó đối tác không nghi ngờ về danh tính thực sự của tôi hoặc khóa công khai mà tôi đã gửi. Lần đó, tôi muốn liên lạc với Neill Clift, một sinh viên sau đại học chuyên ngành hóa hữu cơ tại Đại học Leeds, Anh, đồng thời là chuyên gia tìm kiếm các lỗ hổng an ninh trong hệ điều hành VMS của công ty Digital Equipment Corporation (DEC). Tôi muốn Clift gửi cho tôi thông tin về tất cả các lỗ hổng an ninh mà anh đã báo cáo cho DEC. Để làm được điều đó, tôi phải làm sao để anh ta nghĩ rằng tôi thực sự làm việc cho DEC.

Đầu tiên, tôi mạo danh một người tên là Dave Hutchins để gửi email cho anh ta. Trước đó, tôi đã mạo danh Derrell Piper thuộc bộ phận kỹ thuật VMS để gọi cho Clift, vì vậy lúc này tôi (trong vai Hutchins) viết trong email rằng Piper muốn trao đổi qua email với Clift về một dự án. Tìm kiếm trong hệ thống email của DEC, tôi biết rằng trước đây Clift và Piper thật đã gửi email cho nhau, nên yêu cầu mới này cũng không có gì lạ lùng cả. Sau đó, tôi gửi một email giả mạo địa chỉ email của Piper.

Để khiến Clift tin tưởng hơn nữa, tôi còn đề nghị anh ta sử dụng mã hóa PGP để một kẻ như Kevin Mitnick không thể đọc được email. Chẳng bao lâu sau, Clift và “Piper” đã trao đổi thông tin về khóa công khai và mã hóa nội dung liên lạc – các nội dung mà tôi, trên cương vị Piper, có thể đọc được. Sai lầm của Clift là không nghi ngờ về danh tính của Piper. Tương tự, khi nhận được một cuộc gọi bất ngờ từ ngân hàng yêu cầu cung cấp số An sinh Xã hội hoặc thông tin về tài khoản của bạn, hãy gác máy và đích thân gọi đến ngân hàng – làm sao mà bạn biết được người vừa chủ động liên hệ với mình là ai chứ.

Do tầm quan trọng của những bí mật mà họ sắp chia sẻ với nhau, Snowden và Poitras không thể sử dụng địa chỉ email thường dùng được. Tại sao vậy? Tài khoản email cá nhân của họ chứa các thông tin đặc thù – chẳng hạn như sở thích, danh sách liên lạc – có thể xác định danh tính của họ. Thay vào đó, Snowden và Poitras quyết định tạo tài khoản email mới.
Vấn đề duy nhất lúc này là làm sao để họ biết địa chỉ email mới của nhau? Nói cách khác, nếu cả hai bên đều hoàn toàn ẩn danh, vậy thì làm thế nào để họ có thể biết ai là ai và ai là người có thể tin tưởng? Chẳng hạn, làm sao Snowden có thể yên tâm loại trừ khả năng NSA hoặc ai đó khác mạo danh tài khoản email mới của Poitras? Khóa công khai rất dài, vì vậy, dù có thể sử dụng đường dây điện thoại an toàn, bạn cũng không thể nhấc máy lên gọi rồi đọc to từng ký tự của khóa cho phía bên kia chép lại được. Cần phải có một kênh trao đổi email an toàn.

Bằng cách lại nhờ đến Micah Lee một lần nữa, Snowden và Poitras có thể giao phó niềm tin của mình vào một người khi thiết lập tài khoản email mới và ẩn danh. Đầu tiên, Poitras cho Lee biết khóa công khai mới của mình. Nhưng khóa mã hóa PGP tương đối dài (không đến mức vô hạn định như số Pi23, nhưng dài), và điều gì sẽ xảy ra nếu tài khoản email của Lee cũng đang bị người khác theo dõi? Vì thế, Lee không dùng khóa thực mà dùng từ viết tắt gồm 40 ký tự (hay còn gọi là dấu vân tay) của khóa công khai của Poitras, và anh đăng thông tin này lên Twitter, một website công khai.

23 Số Pi (giá trị xấp xỉ bằng 3,1415926535897): Một số có độ dài vô hạn.

Đôi khi bạn phải sử dụng cái hữu hình để trở nên vô hình.

Lúc này, Snowden có thể lẳng lặng đọc tweet24 của Lee và so sánh khóa rút gọn này với thông điệp anh nhận được. Nếu hai dữ liệu không khớp nhau, Snowden sẽ biết rằng không nên tin tưởng vào email đó, vì có thể nội dung email đã bị xâm phạm, hoặc người gửi là NSA.

24 Tweet: Từ chỉ một bài đăng trên mạng xã hội Twitter.

Trong trường hợp này, hai dữ liệu trên khớp với nhau.

Bây giờ, một số yêu cầu về danh tính trên mạng – và vị trí ngoài đời thực của họ – đã được loại bỏ, Snowden và Poitras đã có thể sẵn sàng cho kênh liên lạc ẩn danh và an toàn qua email. Cuối cùng, Snowden gửi cho Poitras một email mã hóa, trong đó anh chỉ đề tên mình là “Citizenfour25.” Chữ ký này về sau trở thành tiêu đề cho bộ phim tài liệu nói về chiến dịch bảo vệ quyền riêng tư của bà và giành được giải Oscar.

25 Citizenfour (công dân 4): Snowden sử dụng số 4 vì trước anh, đã có ba người tìm cách tiết lộ hoạt động giám sát người dân của NSA. Trong mắt anh, anh là người thứ tư.

Mọi chuyện tưởng chừng như xong xuôi – bây giờ họ đã có thể liên lạc một cách an toàn qua email mã hóa – nhưng không phải vậy. Đó mới chỉ là khởi đầu.

Sau vụ tấn công khủng bố năm 2015 ở Paris, nhiều chính phủ đã tính đến chuyện xây dựng cửa hậu hoặc các phương thức khác giúp người của chính phủ có thể giải mã các email, văn bản, và tin nhắn điện thoại được mã hóa từ những kẻ bị tình nghi là khủng bố nước ngoài. Tất nhiên, điều này sẽ đánh bại mục đích của mã hóa. Nhưng thực ra, các chính phủ không cần phải tận mắt đọc nội dung mã hóa trong email mới biết đích xác bạn đang liên lạc với ai và với tần suất như thế nào – tôi sẽ trình bày điều này ở ngay sau đây.

Như tôi đã nói, mục đích của mã hóa là mã hóa thông điệp của bạn sao cho chỉ người có đúng khóa mới có thể giải mã được. Sức mạnh của phép toán và độ dài của khóa là hai yếu tố quyết định mức độ khó dễ của việc giải mã khi không có khóa.

Các thuật toán mã hóa được sử dụng ngày nay đều là công khai. Đó là điều hợp lý. Hãy cẩn thận với các thuật toán mã hóa độc quyền và không công khai. Các thuật toán công khai đều đã được kiểm định, có nghĩa là nhiều người đã tìm cách phá giải chúng. Khi một thuật toán công khai bị phá giải hoặc trở nên suy yếu, nó sẽ bị gỡ bỏ và các thuật toán mới hơn, mạnh hơn sẽ thế chỗ. Các thuật toán cũ vẫn tồn tại, nhưng không nên tiếp tục sử dụng chúng.

Nhìn chung, các khóa thuộc quyền kiểm soát của bạn, do đó, việc quản lý chúng là rất quan trọng. Nếu bạn tạo một khóa mã hóa, thì bạn – và không ai khác – sẽ có khóa đó lưu trong thiết bị của mình. Nếu bạn cho phép một công ty thực hiện mã hóa trên đám mây, thì sau khi chia sẻ khóa cho bạn, công ty này vẫn có thể giữ lại nó. Điều đáng lo ngại ở đây là công ty này có thể buộc phải chia sẻ khóa đó với cơ quan thực thi pháp luật hoặc cơ quan chính phủ theo lệnh của tòa án mà không đến lý do xác đáng. Bạn nên đọc kỹ chính sách bảo mật của dịch vụ mã hóa mà bạn sử dụng và tìm hiểu xem ai sở hữu các khóa. 
Nếu bạn muốn mã hóa một thông điệp – một email, văn bản, hoặc cuộc điện thoại – hãy sử dụng mã hóa đầu cuối26. Tức là thông điệp của bạn sẽ ở trạng thái không thể đọc được cho tới khi nó đến tay người nhận. Với mã hóa đầu cuối, chỉ bạn và người nhận mới có khóa để giải mã thông điệp. Các công ty viễn thông, chủ sở hữu website, hay nhà phát triển ứng dụng – tức những bên có thể bị các cơ quan thực thi pháp luật hay chính phủ yêu cầu giao nộp thông tin về bạn – sẽ không có được đặc quyền ấy. Làm sao để biết liệu dịch vụ mã hóa bạn đang sử dụng có phải là mã hóa đầu cuối không? Hãy tìm kiếm trên Google cụm từ “end-to-end encryption voice call” (mã hóa đầu cuối cuộc gọi thoại). Đừng chọn ứng dụng hoặc dịch vụ nào không sử dụng mã hóa đầu cuối.

26 Mã hóa đầu cuối (end-to-end encryption – E2EE): Phương thức mã hóa theo đó chỉ những người giao tiếp với nhau mới có thể hiểu được thông điệp mã hóa. 

Nếu những điều này nghe có vẻ phức tạp, đó là bởi vì bản chất chúng như vậy. Nhưng hiện đã có các plugin27 PGP dành cho trình duyệt Chrome và Firefox, giúp quá trình mã hóa được dễ dàng hơn. Một trong số đó là Mailvelope, phần mềm xử lý khéo léo các khóa mã hóa công khai và bí mật của PGP. Bạn chỉ cần nhập cụm mật khẩu để tạo khóa. Sau đó, hễ khi nào bạn viết email trên nền web rồi chọn người nhận, và nếu người nhận đó cũng có khóa công khai, thì chương trình sẽ đưa ra một lựa chọn để bạn có thể gửi nội dung mã hóa cho họ.

27 Plugin: Phần mềm hỗ trợ, bổ sung tính năng cụ thể cho một chương trình lớn hơn.

Nhưng ngay cả khi bạn đã mã hóa nội dung email bằng PGP, bất kỳ ai cũng vẫn có thể đọc một phần nhỏ nhưng chứa nhiều thông tin trong đó. Biện hộ trước những tiết lộ của Snowden, chính phủ Mỹ đã nhiều lần khẳng định rằng họ không thu thập nội dung thực sự của các email – mà với mã hóa PGP, nội dung email sẽ ở trạng thái không thể đọc được. Thay vào đó, chính phủ Mỹ cho biết họ chỉ thu thập các siêu dữ liệu của email.

Siêu dữ liệu email là gì? Là thông tin trong các trường “To” (người nhận) và “From” (người gửi), cũng như địa chỉ IP của các máy chủ đã xử lý email từ người gửi đến người nhận. Siêu dữ liệu cũng bao gồm dòng tiêu đề – mà thông tin ở dòng tiêu đề nhiều khi có thể cho biết cả nội dung mã hóa của email. Vốn là một di sản tồn tại từ những ngày đầu của Internet, siêu dữ liệu vẫn xuất hiện trong mọi email gửi và nhận, nhưng người dùng hiện đại đã biết cách ẩn đi các thông tin này.

PGP, dù ở dạng nào, không thực hiện mã hóa siêu dữ liệu – tức các trường “Người nhận,” “Người gửi,” dòng tiêu đề, và nhãn thời gian. Các thông tin này vẫn ở dạng văn bản, dù bạn có nhìn thấy chúng hay không. Các bên thứ ba vẫn có thể nhìn thấy siêu dữ liệu ở email mã hóa, và như vậy họ sẽ biết được rằng vào ngày X bạn đã gửi email cho người Y, và rằng hai ngày sau, bạn lại gửi một email khác cho người đó,…

Điều đó nghe có vẻ vô hại, vì các bên thứ ba không thực sự đọc được nội dung email, mà có lẽ bạn cũng không quan tâm đến cơ chế di chuyển của email – các địa chỉ máy chủ và nhãn thời gian – nhưng bạn sẽ ngạc nhiên khi thấy lượng thông tin có thể rút ra được từ hai yếu tố đơn giản là đường đi và tần suất của email.

Trở lại thập niên 1990, trước khi bị FBI săn lùng, tôi đã thực hiện một phân tích siêu dữ liệu đối với tài liệu ghi thông tin các cuộc gọi điện thoại. Đầu tiên, tôi xâm nhập vào PacTel Cellular, một nhà cung cấp dịch vụ di động ở Los Angeles để lấy các hồ sơ ghi chi tiết cuộc gọi (CDR) của những người cung cấp thông tin mà FBI đang sử dụng để tìm hiểu về các hoạt động của tôi.

CDR rất giống với siêu dữ liệu mà tôi đang nói đến ở đây; chúng cho biết thời gian cuộc gọi được thực hiện, số điện thoại gọi đến, thời lượng cuộc gọi, và số lần gọi cho một số điện thoại cụ thể – tất cả đều là những thông tin rất hữu ích.

Bằng cách tìm kiếm trong các cuộc gọi qua PacTel Cellular đến đường dây điện thoại cố định của người cung cấp thông tin, tôi đã xây dựng được một danh sách số điện thoại di động của những người đã gọi cho anh ta. Phân tích hóa đơn điện thoại của người gọi, tôi thấy rằng họ là thành viên thuộc đội chống tội phạm cổ cồn trắng28 của FBI, hoạt động bên ngoài văn phòng Los Angeles. Quả nhiên, một vài số mà họ gọi đi là trong mạng nội bộ, đến văn phòng FBI ở Los Angeles, văn phòng công tố viên, và các văn phòng chính phủ khác. Một vài cuộc gọi có thời lượng trao đổi rất dài, và khá thường xuyên. 
28 Tội phạm cổ cồn trắng: Chỉ các vụ án có động cơ về tài chính, phi bạo lực, do những người hoạt động trong lĩnh vực kinh doanh/chính phủ gây ra.

Hễ khi nào họ chuyển người cung cấp thông tin đến một nhà an toàn29 mới, tôi đều lấy được số điện thoại cố định ở đó bởi vì các đặc vụ sẽ gọi đến đó sau khi liên lạc với người cung cấp thông tin qua máy nhắn tin. Sau khi đã có số điện thoại cố định của người cung cấp thông tin, vận dụng social engineering, tôi còn có thể lấy được địa chỉ thực – chẳng hạn, tôi giả vờ làm nhân viên của Pacific Bell, một công ty cung cấp dịch vụ tại các nhà an toàn.

29 Nhà an toàn: Chỉ một nơi bí mật, dùng để che giấu người khỏi nguy hiểm hay các mối đe dọa.

Social engineering là kỹ thuật tấn công sử dụng mánh khóe, lừa gạt, và gây ảnh hưởng để khiến đối tượng mục tiêu phải thực hiện theo yêu cầu. Thông thường, mọi người sẽ bị lừa để cung cấp thông tin nhạy cảm. Trong trường hợp này, vì biết số điện thoại nội bộ ở công ty điện thoại, nên tôi đóng giả một kỹ thuật viên, biết sử dụng đúng thuật ngữ và biệt ngữ chuyên ngành – đây là điều quan trọng giúp thu thập thông tin nhạy cảm.

Như vậy, mặc dù việc ghi lại siêu dữ liệu trong email khác với việc ghi lại nội dung email thực tế, nhưng từ quan điểm về quyền riêng tư, đó cũng là hành vi xâm phạm trái phép.

Nếu nhìn vào siêu dữ liệu từ bất kỳ email nào gần đây, bạn sẽ thấy địa chỉ IP của các máy chủ đã chuyển email đó đi vòng quanh thế giới trước khi đến tay bạn. Mỗi máy chủ – giống như mỗi người truy cập Internet – đều có một địa chỉ IP riêng là giá trị số học được tính toán bằng cách sử dụng thông tin về quốc gia nơi bạn đang sống và nhà cung cấp Internet của bạn. Mỗi quốc gia có các khối địa chỉ IP riêng, và mỗi nhà cung cấp dịch vụ lại có khối phụ riêng, được chia nhỏ hơn theo loại hình dịch vụ, như quay số, cáp, hoặc di động. Nếu bạn mua địa chỉ IP tĩnh, nó sẽ được gắn với tài khoản thuê bao và địa chỉ nhà riêng của bạn, nếu không, địa chỉ IP bên ngoài sẽ được tạo ra từ vùng địa chỉ gán cho nhà cung cấp dịch vụ Internet của bạn. Ví dụ: một người gửi – tức là người đang gửi email cho bạn – có thể có địa chỉ IP 27.126.148.104, là địa chỉ nằm ở Victoria, Úc.

Hoặc địa chỉ đó có thể là 175.45.176.0, một trong những địa chỉ IP của Bắc Triều Tiên. Trong trường hợp địa chỉ thứ hai này, tài khoản email của bạn có thể bị gắn cờ để chính phủ kiểm tra. Ai đó trong chính phủ Mỹ có thể muốn biết tại sao bạn lại liên lạc với người ở Bắc Triều Tiên, ngay cả khi dòng tiêu đề email là “Chúc mừng sinh nhật.”

Có thể bạn vẫn cho rằng địa chỉ máy chủ không chứa thông tin gì thú vị. Nhưng tần suất liên lạc có thể cho bạn biết rất nhiều điều. Ngoài ra, nếu xác định rõ từng thành phần – người gửi, người nhận, và vị trí của họ – bạn có thể suy luận ra tình hình. Ví dụ, khi kết hợp siêu dữ liệu với các cuộc gọi điện thoại – thời lượng gọi, thời gian gọi,… – bạn có thể phỏng đoán được sức khỏe tâm thần của một người. Một cuộc gọi kéo dài 10 phút vào lúc 10 giờ đêm đến đường dây nóng hỗ trợ các vấn đề bạo lực gia đình, hoặc một cuộc gọi kéo dài 20 phút vào lúc nửa đêm từ cầu Brooklyn đến đường dây nóng ngăn chặn tự tử có thể mang lại rất nhiều thông tin. Đại học Dartmouth đã phát triển một ứng dụng để phát hiện ra các xu hướng stress, trầm cảm, và cô đơn trong dữ liệu người dùng. Hoạt động của người dùng cũng có mối tương quan với thành tích điểm số của sinh viên ở trường.

Bạn vẫn không thấy có gì nguy hại khi siêu dữ liệu email của mình bị lộ? Immersion, một chương trình được tạo ra ở Viện Công nghệ Massachusetts, có thể vạch ra các mối quan hệ giữa người gửi và người nhận của tất cả các email mà bạn lưu trữ trong tài khoản email của mình chỉ bằng cách sử dụng siêu dữ liệu. Công cụ này là một cách giúp bạn định lượng trực quan những người quan trọng nhất đối với mình. Thậm chí nó còn có thang thời gian di động, giúp bạn thấy vai trò của những người mà mình quen biết thay đổi lên xuống ra sao theo thời gian. Có thể bạn nghĩ rằng bạn hiểu rõ các mối quan hệ của mình, nhưng khi nhìn hình ảnh biểu diễn chúng bằng đồ họa, biết đâu bạn sẽ có được một cái nhìn khách quan hơn. Có thể qua đó bạn mới chợt nhận ra rằng mình hay gửi email cho một người mới chỉ thân sơ, hoặc mình quá lười gửi email cho một người thân thiết. Với công cụ Immersion, bạn có thể tùy chọn việc có tải dữ liệu lên hay không, và bạn cũng có thể xóa thông tin sau khi đồ thị đã hoàn tất.

Theo Snowden, các siêu dữ liệu email, văn bản, và điện thoại của chúng ta đang bị NSA và các cơ quan khác thu thập. Nhưng chính phủ không thể thu thập siêu dữ liệu của tất cả mọi người được, phải không? Về mặt kỹ thuật là không. Tuy nhiên, từ năm 2001 tới nay đã có xu hướng gia tăng mạnh trong hoạt động thu tập thông tin “hợp pháp.”

Được sự hậu thuẫn của Đạo luật Giám sát Tình báo Nước ngoài (FISA) năm 1978 của Mỹ, Tòa án Giám sát Tình báo Nước ngoài (viết tắt là FISC, hoặc Tòa án FISA) quản lý tất cả các yêu cầu xin lệnh giám sát đối với các cá nhân nước ngoài tại Mỹ. Nhìn bề ngoài, việc cơ quan thực thi pháp luật phải có lệnh của tòa án mới được phép can thiệp vào một cá nhân nghe có vẻ hợp lý. Nhưng thực tế lại hơi khác. Chỉ tính riêng trong năm 2012, có 1.856 yêu cầu được trình lên tòa và cả 1.856 yêu cầu được phê duyệt – điều này cho thấy rằng quy trình phê duyệt hiện nay của chính phủ Mỹ hầu như chỉ mang tính hình thức. Sau khi Toà án FISA ra yêu cầu, cơ quan thực thi pháp luật có thể buộc các công ty tư nhân phải giao nộp mọi dữ liệu về bạn mà họ có.

Để có thể thực sự ẩn mình trong thế giới số, bạn sẽ phải làm nhiều việc hơn, chứ không chỉ đơn thuần là mã hóa email. Sau đây là những việc cần làm:

Xóa địa chỉ IP thực: Đây là vị trí bạn kết nối với Internet, là dấu vân tay của bạn. Nó có thể cho biết bạn đang ở đâu (chi tiết đến tận địa chỉ nhà bạn) và đang sử dụng nhà cung cấp nào.

Che thông tin về phần cứng và phần mềm mà bạn đang sử dụng: Khi bạn kết nối trực tuyến với một website, website đó có thể chụp nhanh thông tin về phần cứng và phần mềm mà bạn đang sử dụng. Họ có thể sử dụng một số thủ thuật để tìm hiểu xem bạn đang cài đặt phần mềm nào, chẳng hạn Adobe Flash. Phần mềm trình duyệt báo cho website đó biết bạn đang sử dụng hệ điều hành nào, phiên bản nào, và bạn đang chạy các phần mềm nào khác trên máy tính vào thời điểm đó.

Bảo vệ tính ẩn danh của bạn: Việc chỉ ra mối liên hệ giữa hoạt động trên mạng và ngoài đời thực là rất khó. Rất khó để chứng minh rằng vào thời điểm một sự kiện diễn ra, bạn đang ngồi ở bàn phím. Tuy nhiên, nếu bạn xuất hiện trước camera trước khi vào mạng tại quán cà phê Starbucks, hoặc nếu bạn vừa mua một ly cà phê ở Starbucks bằng thẻ tín dụng, thì có thể liên hệ những hành động này với sự hiện diện trực tuyến của bạn vài phút sau đó.

Như chúng ta đã biết, mỗi khi bạn kết nối với Internet, kết nối đó sẽ được gán cho một địa chỉ IP. Nếu bạn muốn ẩn mình trên mạng thì đây là một vấn đề: bạn có thể đổi tên (hoặc không cung cấp tên), nhưng địa chỉ IP vẫn sẽ tiết lộ bạn đang ở đâu, bạn sử dụng nhà cung cấp nào, và danh tính của người thanh toán cho dịch vụ Internet (có thể là bạn hoặc không phải là bạn). Tất cả các thông tin này đều được đưa vào trường siêu dữ liệu của email và sau này có thể được dùng để xác định ra bạn. Bất kỳ hoạt động giao tiếp nào, dù là email hay không, đều có thể được dùng để nhận diện bạn dựa trên địa chỉ IP gán cho bộ định tuyến mà bạn đang sử dụng – có thể là ở nhà, nơi làm việc, hoặc ở nhà bạn.

Tất nhiên, có thể giả mạo địa chỉ IP trong email. Một người có thể sử dụng địa chỉ proxy – tức không phải địa chỉ IP thực của người đó mà là địa chỉ của người khác – để khiến email đó có vẻ như bắt nguồn từ một địa điểm khác. Proxy đóng vai trò như một phiên dịch viên – bạn nói với người phiên dịch, rồi người phiên dịch nói lại cho đối tác ngoại quốc của bạn – chỉ có thông điệp là vẫn giữ nguyên. Vấn đề ở đây là một người có thể sử dụng proxy từ Trung Quốc hoặc thậm chí Đức để tránh bị phát hiện qua một email có nguồn gốc thực sự ở Bắc Triều Tiên.

Thay vì lưu trữ proxy riêng, bạn có thể sử dụng một dịch vụ gọi là anonymous remailer30 để giấu địa chỉ IP của email. Anonymous remailer chỉ thay đổi địa chỉ email của người gửi rồi chuyển email đến cho người nhận. Người nhận có thể trả lời thông qua dịch vụ remailer này. Đó là phiên bản đơn giản nhất.

30 Anonymous remailer (chuyển tiếp thư ẩn danh): Là máy chủ nhận email có nhúng các hướng dẫn về nơi cần gửi tiếp email đi, và thực hiện chuyển tiếp mà không để lộ nguồn gốc của email.

Ngoài ra còn có các biến thể khác. Một số remailer loại I và II không cho phép trả lời email; chúng chỉ đơn thuần là hình thức liên lạc một chiều. Remailer loại III, hay còn gọi là Mixminion, cung cấp dịch vụ trọn gói: trả lời, chuyển tiếp, và mã hóa. Nếu bạn chọn phương thức liên lạc ẩn danh này, hãy tìm hiểu xem remailer của mình cung cấp dịch vụ nào.
Một cách nữa để giấu địa chỉ IP là sử dụng bộ định tuyến kiểu củ hành (Tor)31 – đây là cách mà Snowden và Poitras đã áp dụng.

31 Tor (The Onion Router – Định tuyến kiểu củ hành): Cũng giống như củ hành tây gồm nhiều lớp, Tor sử dụng một mạng lưới các máy tính cá nhân lồng vào nhau, gọi là nút, làm nhiệm vụ định tuyến và mã hóa lưu lượng truy cập Internet đi qua Internet.

Chương trình mã nguồn mở Tor do Phòng Thí nghiệm Nghiên cứu Hải quân Hoa Kỳ phát triển vào năm 2004 nhằm giúp người của quân đội thực hiện hoạt động tìm kiếm mà không để lộ vị trí thực của mình, và từ đó được mở rộng ra. Tor được thiết kế để giúp những người sống trong các thể chế hà khắc tránh được sự kiểm duyệt đối với các phương tiện truyền thông và dịch vụ đại chúng, đồng thời ngăn chặn người khác theo dõi những cụm từ khóa tìm kiếm mà họ sử dụng. Hiện nay, Tor vẫn miễn phí và dành cho bất cứ ai, ở bất cứ nơi đâu – kể cả bạn.

Tor hoạt động như thế nào? Nó đảo ngược mô hình truy cập website thông thường.

Thông thường, khi vào mạng, bạn mở trình duyệt Internet và nhập tên của website muốn truy cập. Một yêu cầu được chuyển tới website đó và một phần nghìn giây sau, trình duyệt của bạn nhận được phản hồi cùng với website. Dựa trên địa chỉ IP, website này biết nhà cung cấp dịch vụ là ai, và đôi khi còn biết được cả vị trí của bạn do suy từ vị trí nhà cung cấp hoặc độ trễ của các bước nhảy từ thiết bị của bạn đến website. Ví dụ, nếu thiết bị của bạn hiển thị vị trí ở Mỹ, nhưng thời gian và số bước nhảy mà yêu cầu của bạn cần trải qua để đến được đích lại cho thấy bạn đang ở một nơi khác, thì một số website – đặc biệt là các website trò chơi – sẽ coi đó là dấu hiệu gian lận.

Khi bạn sử dụng Tor, đường nối trực tiếp giữa bạn và website mà bạn truy cập sẽ được che khuất bởi một loạt các nút bổ sung, và sau mỗi 10 giây, chuỗi nút mạng kết nối bạn với website đó sẽ thay đổi mà không gây gián đoạn cho bạn. Các nút mạng kết nối bạn với một website giống như các lớp trong một củ hành tây vậy. Nói cách khác, nếu có người muốn từ website đích lần ngược lại để tìm bạn, đó là điều bất khả thi vì đường dẫn sẽ liên tục thay đổi. Kết nối của bạn sẽ được ẩn danh, trừ khi điểm đăng nhập và điểm thoát ra của bạn có mối liên hệ nào đó.

Với Tor, yêu cầu mở một website của bạn – ví dụ, mitnicksecurity.com – sẽ không được gửi trực tiếp đến máy chủ đó mà trước tiên được gửi đến một nút Tor khác. Và để làm cho mọi việc trở nên phức tạp hơn, nút mạng này lại tiếp tục chuyển yêu cầu trên đến một nút khác, cuối cùng mới kết nối với mitnicksecurity.com. Như vậy, có một nút đăng nhập, một nút ở giữa, và nút thoát ra. Nếu muốn nhìn xem ai đang truy cập vào website của công ty mình, tôi sẽ chỉ nhìn thấy địa chỉ IP và thông tin từ nút thoát ra, tức nút cuối cùng trong chuỗi, chứ không thấy được nút đầu tiên, tức nút đăng nhập của bạn. Bạn có thể xây dựng cấu hình cho Tor để nó sử dụng nút thoát ra ở một quốc gia cụ thể, chẳng hạn Tây Ban Nha, hoặc thậm chí còn chi tiết hơn, ví dụ Honolulu.

Để sử dụng Tor, bạn phải lấy trình duyệt Firefox sửa đổi từ website Tor (torproject.org). Hãy tìm các trình duyệt Tor phù hợp cho hệ điều hành của bạn trên website dự án Tor. Đừng sử dụng website của bên thứ ba. Đối với các hệ điều hành Android, Orbot trên Google Play là một ứng dụng Tor miễn phí phù hợp, vừa thực hiện mã hóa lưu lượng truy cập vừa ẩn địa chỉ IP của bạn. Trên các thiết bị iOS (iPad, iPhone), hãy cài đặt trình duyệt Onion, một ứng dụng phù hợp từ cửa hàng ứng dụng iTunes.

Có thể bạn đang thắc mắc, tại sao không tạo luôn một máy chủ email ngay trong Tor? Có người đã làm rồi. Tor Mail là dịch vụ được lưu trữ trên một website dành riêng cho các trình duyệt Tor. Tuy nhiên, FBI32 đã thu giữ máy chủ đó trong một vụ án không liên quan và chiếm được quyền truy cập vào tất cả các email mã hóa lưu trong Tor Mail. Đây là một câu chuyện cảnh giác cho thấy ngay cả khi bạn đinh ninh rằng thông tin của mình là an toàn và không có sơ hở, nhưng thực tế có thể không phải là như vậy.

32 FBI: Cục Điều tra Liên bang Mỹ.

Tuy Tor sử dụng mạng đặc biệt, nhưng bạn vẫn có thể truy cập Internet từ đó, chỉ có điều tốc độ tải trang sẽ chậm hơn nhiều. Tuy nhiên, ngoài việc cho phép bạn lướt các website ở phần có thể tìm kiếm được trên Internet, Tor còn giúp bạn truy cập vào một thế giới website không thể tìm kiếm được theo cách thông thường, gọi là web tối . Đây là những website không mang tên thông thường như Google.com mà có đuôi là .onion. Một số website ẩn này có thể chào mời, bán, hoặc cung cấp các sản phẩm và dịch vụ bất hợp pháp. Một số khác là các website hợp pháp của những người sống ở các khu vực bị áp bức.

Dẫu vậy, bạn cũng nên lưu ý đến một số điểm yếu của Tor:

  • - Bạn không có quyền kiểm soát các nút thoát ra – có thể chúng thuộc quyền kiểm soát của chính phủ hoặc các cơ quan thực thi pháp luật;
  • - Thông tin về bạn vẫn có thể bị thu thập và bạn vẫn có thể được nhận dạng;
  • - Tor rất chậm.

Nhưng nếu vẫn quyết định sử dụng Tor, bạn không nên chạy nó trên cùng một thiết bị thường dùng để duyệt web. Nói cách khác, hãy dùng một máy tính xách tay để duyệt web và một thiết bị riêng cho Tor (ví dụ, một máy tính mini Raspberry Pi chạy phần mềm Tor). Mục đích ở đây là nếu có người xâm nhập được vào máy tính xách tay của bạn, họ vẫn sẽ không thể bóc tầng giao vận Tor của bạn vì nó chạy trên một thiết bị khác.

Trong trường hợp của Snowden và Poitras, như tôi đã nói, việc liên lạc qua email mã hóa là không đủ bảo mật. Sau khi Poitras tạo khóa công khai mới cho tài khoản email ẩn danh của mình, bà có thể gửi nó đến địa chỉ email trước kia của Snowden, nhưng nếu có người đang theo dõi tài khoản đó, thì danh tính mới của bà sẽ bị lộ. Một nguyên tắc hết sức cơ bản ở đây là bạn phải cách ly hoàn toàn các tài khoản ẩn danh khỏi bất kỳ thứ gì có thể liên quan đến danh tính thực của bạn.

Để tàng hình, bạn phải bắt đầu từ đầu cho mỗi liên hệ bảo mật mới mà bạn thực hiện. Các tài khoản email cũ có thể được kết nối theo nhiều cách khác nhau đến các khía cạnh khác trong cuộc sống của bạn – bạn bè, sở thích, công việc. Để giao tiếp bí mật, bạn phải tạo tài khoản email mới bằng Tor để địa chỉ IP thiết lập tài khoản không có bất kỳ mối liên hệ nào với danh tính thực của bạn.

Tạo địa chỉ email ẩn danh là khó nhưng có thể làm được.

Bạn có thể sử dụng các dịch vụ email cá nhân. Nhưng nếu thanh toán cho các dịch vụ đó, bạn sẽ để lại dấu vết, nên tốt hơn, hãy sử dụng dịch vụ web miễn phí. Một rắc rối nhỏ: Gmail, Microsoft, Yahoo và các nhà cung cấp khác đều yêu cầu bạn cung cấp số điện thoại để xác minh danh tính. Rõ ràng bạn không thể sử dụng số điện thoại di động thật vì nó có thể liên quan đến tên và địa chỉ thật của bạn. Bạn có thể thiết lập một số điện thoại Skype nếu nó có tính năng xác thực bằng giọng nói thay vì xác thực bằng tin nhắn; tuy nhiên, bạn vẫn sẽ cần đến một tài khoản email hiện có và một thẻ quà tặng trả trước để thiết lập một số điện thoại Skype. Nếu bạn nghĩ chỉ cần sử dụng điện thoại di động trả trước là danh tính sẽ không bị lộ, thì bạn nhầm rồi. Nếu bạn từng sử dụng điện thoại trả trước để thực hiện các cuộc gọi có mối liên hệ với danh tính thực của mình, việc tìm ra bạn là ai đơn giản như trò chơi dành cho trẻ em.

Hãy sử dụng điện thoại dùng một lần. Một số người nghĩ điện thoại ẩn danh33 là thiết bị chỉ dành cho những kẻ khủng bố, buôn người, và buôn bán ma túy, nhưng thực ra chúng có rất nhiều công dụng hợp pháp. Ví dụ, do muốn tìm hiểu xem ai là người đã tiết lộ các thông tin quan trọng trong ban lãnh đạo công ty, hãng Hewlett-Packard đã thuê thám tử tư điều tra và họ đến lục lọi thùng rác ở nhà một phóng viên kinh doanh; phóng viên này sau đó chuyển sang sử dụng điện thoại ẩn danh để họ khó xác định các cuộc gọi của cô hơn. Kể từ sau vụ việc này, cô chỉ trao đổi với nguồn cung cấp thông tin của mình trên điện thoại ẩn danh.

33 Điện thoại ẩn danh (burner phone): Loại điện thoại di động giá rẻ, được thiết kế để sử dụng tạm thời, thường được vứt bỏ sau khi sử dụng. Điện thoại ẩn danh sử dụng dịch vụ trả trước tính theo phút, không có hợp đồng với nhà cung cấp dịch vụ điện thoại nào.

Tương tự, một người phụ nữ muốn tránh bị chồng/bạn trai cũ quấy rầy có thể sử dụng loại điện thoại không yêu cầu phải ký hợp đồng sử dụng hoặc không cần đến tài khoản Google hay Apple. Điện thoại ẩn danh thường có tính năng Internet hạn chế, chủ yếu cung cấp dịch vụ thoại, tin nhắn, và email – nhưng đôi khi đó là tất cả những gì chúng ta cần. Tuy nhiên, bạn vẫn có thể lấy được dữ liệu vì có thể kết nối điện thoại ẩn danh với máy tính xách tay rồi dùng nó để lướt Internet. (Ở phần sau của cuốn sách, tôi sẽ nêu cách thay đổi địa chỉ MAC34 trên máy tính xách tay sao cho mỗi khi bạn kết nối với điện thoại ẩn danh, nó lại có vẻ như là một thiết bị mới.)

34 MAC (media access control – kiểm soát truy cập phương tiện truyền thông): Là một tầng con trong tầng liên kết dữ liệu (DLL) trong mô hình tham chiếu OSI bảy tầng. Chức năng cơ bản của MAC là cung cấp cơ chế xác định địa chỉ và truy cập kênh sao cho mỗi nút trên một mạng lưới đều có thể giao tiếp với các nút khác trên cùng mạng hoặc khác mạng.

Tuy nhiên, việc giấu danh tính của bạn khi mua một chiếc điện thoại ẩn danh cũng rất khó khăn. Có thể lấy các hành động trong thế giới thực để nhận dạng bạn trong thế giới ảo. Dĩ nhiên, tôi có thể đến những cửa hàng như Walmart để mua điện thoại ẩn danh và 100 phút gọi bằng tiền mặt. Như vậy thì ai mà biết được chứ? Thực ra, rất nhiều người sẽ biết đấy.

Trước tiên, tôi đến Walmart bằng cách nào? Bắt xe Uber hay taxi? Tất cả những thông tin này đều có thể bị tòa yêu cầu cung cấp.

Tôi có thể lái xe riêng, nhưng cơ quan thực thi pháp luật hiện đã triển khai sử dụng công nghệ nhận dạng biển số tự động (ALPR) tại các bãi đỗ xe công cộng lớn để tìm kiếm xe bị mất/trộm cũng như để tìm kiếm những người đang có lệnh truy nã. Tòa án có thể yêu cầu giao nộp các dữ liệu từ ALPR.

Nhưng dù đi bộ đến Walmart, thì ngay khi tôi bước vào cửa hàng, hệ thống camera an ninh trong cửa hàng sẽ ghi lại khuôn mặt tôi, và video đó có thể bị tòa yêu cầu giao nộp.

Được rồi, vậy giả sử tôi cử người đi mua hộ – một người mà tôi không biết, ví dụ tôi thuê một người vô gia cư tình cờ gặp trên phố. Người đó đi vào cửa hàng rồi dùng tiền mặt để mua điện thoại ẩn danh cùng vài tấm thẻ cào. Đây là phương pháp an toàn nhất. Bạn có thể thu xếp gặp người này ở một nơi cách xa cửa hàng sau khi họ mua xong. Như vậy, bạn sẽ không có liên đới với giao dịch mua bán thực tế. Trong trường hợp này, mắt xích yếu nhất vẫn có thể là người mà bạn cử đi – anh ta đáng tin cậy đến mức nào? Nếu số tiền thù lao mà bạn trả lớn hơn giá trị của chiếc điện thoại, có lẽ anh ta sẽ giao lại chiếc điện thoại như đã hứa.

Để kích hoạt điện thoại trả trước, bạn phải gọi đến bộ phận dịch vụ khách hàng của nhà mạng hoặc thực hiện kích hoạt trên website của họ. Nhưng để tránh cuộc gọi bị ghi âm nhằm “giúp chúng tôi bảo đảm chất lượng dịch vụ,” hãy kích hoạt trên web. Biện pháp bảo vệ tối thiểu ở đây là sau khi thay đổi địa chỉ MAC, hãy sử dụng Tor thông qua mạng không dây mở. Các thông tin thuê bao bạn nhập vào website đều nên là thông tin ngụy tạo. Về địa chỉ, hãy tìm kiếm trên Google địa chỉ của một khách sạn lớn và sử dụng thông tin đó. Bịa ra một ngày sinh nào đó và nhập mã PIN dễ nhớ để đề phòng trường hợp sau này phải liên lạc với dịch vụ khách hàng của nhà mạng.

Có một số dịch vụ email không yêu cầu xác minh, và nếu không phải lo lắng về các nhà chức trách, bạn có thể sử dụng số Skype để đăng ký tài khoản Google hoặc các dịch vụ tương tự, nhưng để minh họa, chúng ta hãy giả sử rằng sau khi bạn sử dụng Tor để ngẫu nhiên hóa địa chỉ IP, và sau khi tạo được một tài khoản Gmail không liên quan đến số điện thoại thực của bạn, Google gửi đến điện thoại của bạn mã xác minh hoặc cuộc gọi thoại. Lúc này, bạn đã có một tài khoản Gmail gần như không thể lần dấu.

Như vậy, bây giờ chúng ta đã có một địa chỉ email ẩn danh được thiết lập bằng các dịch vụ quen thuộc và phổ biến. Chúng ta có thể gửi đi các email tương đối an toàn, có địa chỉ IP ẩn danh nhờ Tor (mặc dù bạn không có quyền kiểm soát các nút thoát ra) và có nội dung mà chỉ người nhận mới đọc được nhờ PGP.

Xin lưu ý, tài khoản này chỉ có thể được giữ ẩn danh khi bạn truy cập nó thông qua Tor để địa chỉ IP của bạn không có mối liên hệ gì với nó. Ngoài ra, trong thời gian đăng nhập vào tài khoản Gmail ẩn danh này, bạn không nên thực hiện bất kỳ hoạt động tìm kiếm nào trên Internet, vì biết đâu bạn lại vô tình tìm kiếm một thông tin gì đó có liên quan đến danh tính thật của mình. Ngay cả việc tìm kiếm thông tin về thời tiết cũng có thể tiết lộ vị trí của bạn.

Như bạn có thể thấy, quá trình ẩn mình và duy trì sự vô hình này đòi hỏi tinh thần kỷ luật nghiêm khắc và sự cẩn trọng thường trực. Nhưng đó là cái giá xứng đáng để được vô hình.
Các kết luận quan trọng nhất ở đây là: Trước tiên, hãy nhận thức được tất cả những cách mà người khác có thể dùng để nhận diện bạn, ngay cả khi bạn chỉ thực hiện một số chứ không phải tất cả các biện pháp phòng ngừa mà tôi đã mô tả. Và nếu đã áp dụng tất cả các biện pháp này, bạn vẫn cần lưu ý đề phòng mỗi khi sử dụng các tài khoản ẩn danh. Không có ngoại lệ nào trong trường hợp này cả đâu.

Cũng cần phải nhắc lại rằng mã hóa đầu cuối – tức phương thức mã hóa sao cho email được an toàn và không ai có thể đọc được nó ngoại trừ người nhận, chứ không phải mã hóa đơn thuần – là rất quan trọng. Có thể sử dụng mã hóa đầu cuối cho các mục đích khác, chẳng hạn như mã hóa cuộc gọi và tin nhắn – chúng ta sẽ bàn đến vấn đề này ở hai chương tiếp theo. 

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Anotador,1,AutoIT,17,Ấn Độ,1,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,108,Bất Động Sản Tại Tiền Giang,4,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,ceh,1,Châu Tinh Trì,2,Checked,6,Chiến tranh,2,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Cổ Trang,11,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,2,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,13,ebook free,286,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,77,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,10,Hacking and Security,6,Hacking Tools,36,Hài hước,8,Hành Động,9,He Thong Site Phim,25,Hijacking,6,Hình Sự,5,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,Hồng Kông,3,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,27,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,1,Khoa Huyễn,6,khuyến mãi,2,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,32,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,25,Kinh Dị - Ma,6,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lồng Tiếng,6,Lược Sử Hacker,2,Mã Giảm Giá,1,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,77,Pen-Test,6,Pentest Box,9,phanmem,22,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,58,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đang Cập Nhập,5,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoàn Thành,7,Phim Hoạt Hình,2,Phim Hot,2,Phim Hồng Kông,20,Phim HQ,15,Phim Kinh Dị,8,Phim lẻ,7,Phim Mới 2007,1,Phim Mới 2010,1,Phim Mới 2011,4,Phim Mới 2012,2,Phim Mới 2013,2,Phim Mới 2014,6,Phim Mới 2015,4,Phim Nhật Bản,4,Phim SD,12,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,32,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,prc,79,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,rút gọn link,1,sach,47,Sách,33,Sách Nghệ Thuật Sống,12,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,Thành Long,1,them,1,Thiết Kế Web,28,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,5,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,100,TIL,8,Tin Tức,51,Tình Cảm - Tâm Lý,16,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,Trinh Thám - Hình Sự,8,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,9,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,TVB,3,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,3,Việt Nam,14,Virus,4,Võ Thuật,12,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
NhutTruong.Com - Dịch Vụ CNTT: NGHỆ THUẬT ẨN MÌNH - Chương 2: CÒN AI KHÁC ĐANG ĐỌC EMAIL CỦA BẠN?
NGHỆ THUẬT ẨN MÌNH - Chương 2: CÒN AI KHÁC ĐANG ĐỌC EMAIL CỦA BẠN?
https://3.bp.blogspot.com/-ZrzNd3wY5Vw/XNwOeBT6r0I/AAAAAAAAmkQ/sGJzOkLnNzg0sFMyKzID9v3Ds-EOgeDlQCLcBGAs/s640/email-hacking-incidents-consequences-and-solutions.jpg
https://3.bp.blogspot.com/-ZrzNd3wY5Vw/XNwOeBT6r0I/AAAAAAAAmkQ/sGJzOkLnNzg0sFMyKzID9v3Ds-EOgeDlQCLcBGAs/s72-c/email-hacking-incidents-consequences-and-solutions.jpg
NhutTruong.Com - Dịch Vụ CNTT
https://www.nhuttruong.com/2019/05/nghe-thuat-minh-chuong-2-con-ai-khac.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2019/05/nghe-thuat-minh-chuong-2-con-ai-khac.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow Đây là nội dung quý hiếm để tránh google quét chết link Vui lòng đăng nhập Facebook hoặt Tweet để like và share để hiện link Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy