WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Hacker nổi tiếng Kevin Mitnick chỉ cách ẩn danh khi Online
Hacker danh tiếng nhất thế giới dạy bạn làm thế nào để an toàn trong thời đại Big Brother và Big Data.
Một trong những việc đầu tiên chúng ta làm vào buổi sáng là kiểm tra hòm thư. Cũng có lúc bạn tự hỏi liệu có ai khác đã đọc email của mình. Đó không phải là điều hoang tưởng. Nếu bạn sử dụng dịch vụ hòm thư dựa trên nền tảng web như Gmail hoặc Outlook 365, câu trả lời khá là rõ ràng và đáng sợ.
Nội dung của đoạn thư vẫn còn nằm đâu đó mà chưa bị xóa, ngay cả khi bạn đã xóa chúng sau khi đọc trên máy tính hoặc điện thoại. Web mail là dịch vụ nền tảng đám mây, do đó để người dùng có thể truy cập từ bất kì thiết bị nào, bất cứ lúc nào, cần có các bản sao dự phòng. Ví dụ, nếu bạn sử dụng Gmail, mỗi email gửi và nhận qua tài khoản của bạn sẽ đều có một bản sao được lưu giữ trên các máy chủ khác nhau trên toàn thế giới của Google. Tương tự như vậy với các hệ thống email được cung cấp bởi Yahoo, Apple, AT&T, Comcast, Microsoft hoặc thậm chí là bởi công ty nơi bạn làm việc. Bất kỳ email nào bạn gửi đi cũng có thể bị kiểm tra bất cứ lúc nào bởi công ty lưu trữ. Dù rằng họ vin vào cớ để lọc phần mềm độc hại, nhưng trên thực tế là các bên thứ ba có thể đang truy cập vào email của bạn vì những lý do khác có lợi cho họ.
Thực tế, hầu hết chúng ta có thể chấp nhận việc email của mình bị quét để lọc phần mềm độc hại, hoặc có vài người thậm chí không để tâm kể cả khi hành động quét email là để phục vụ cho mục đích quảng cáo. Tuy nhiên, việc có bên thứ ba đọc và sử dụng nội dung cụ thể trong các email thì thực sự đáng lo ngại.
Ít nhất, bạn cũng nên làm gì đó để người khác không thể quét email của bạn một cách dễ dàng như vậy.
Việc đầu tiên là Mã Hóa
Hầu hết các dịch vụ email nền tảng web sử dụng mã hóa khi email đang được chuyển. Tuy nhiên, có một số dịch vụ chuyển thư giữa các tác nhân MTA (Mail Transfer Agent) không sử dụng mã hóa, có nghĩa là thư của bạn sẽ ở trạng thái mở. Khi đó, bạn cần phải mã hóa tin nhắn của mình.
Mã hóa đối xứng là phương pháp phổ biến nhất cho mã hóa email. Có nghĩa rằng chúng ta sẽ tạo ra 2 khóa: một khóa riêng trên thiết bị của bạn, và một khóa công khai. Hai khóa này là khác nhau nhưng có liên quan về thuật toán.
Ví dụ: Bob muốn gửi cho Alice một email bảo mật. Anh ấy tìm thấy khóa công khai của Alice trên mạng, hoặc lấy khóa trực tiếp từ Alice và khi gửi tin nhắn, Bob sẽ mã hóa chúng bằng khóa của Alice. Tin nhắn này sẽ được mã hóa cho đến khi Alice – và chỉ mình Alice - sử dụng cụm mật khẩu để mở khóa riêng, giải mã tin nhắn.
Vậy, làm thế nào để kích hoạt mã hóa nội dung email?
Phương pháp mã hóa email phổ biến nhất là PGP – “Pretty Good Privacy”. Để sử dụng, bạn phải trả tiền. Đây là sản phẩm của Symatec. Tuy nhiên, Phil Zimmermann – cha đẻ của phương pháp này - cũng là tác giả của một phiên bản mã nguồn mở, miễn phí OpenPGP. Ngoài ra còn có GPG (GNU Privacy Guard) của Werner Koch cũng không tính phí. Cả ba phiên bản này đều có khả năng tương tác. Điều đó có nghĩa rằng, dù bạn sử dụng phiên bản PGP nào, các chức năng cơ bản đều giống nhau.
Khi Edward Snowden quyết định tiết lộ dữ liệu nhạy cảm được sao chép từ NSA, ông ấy cần sự giúp đỡ của những người cùng chí hướng trên thế giới. Laura Poitras – nhà làm phim và ủng hộ quyền riêng tư gần đây đã hoàn thành một bộ phim tài liệu về cuộc sống của những người như Snowden. Snowden muốn tạo một kênh trao đổi được mã hóa với Poitras.
Snowden đã tìm đến Micah Lee thuộc Tổ chức Biên giới Điện tử (Electronic Frontier Foundation). Khóa công khai của Lee có sẵn trên mạng và ông ấy cũng có khóa công khai của Poitras. Lee đã hỏi Poitras xem cô ấy có đồng ý cung cấp khóa công khai không. Câu trả lời là có.
Với tầm quan trọng của những bí mật mà họ sắp chia sẻ, Snowden và Poitras không thể sử dụng địa chỉ hòm thư thông thường của mình. Tại sao vậy? Các tài khoản email cá nhân của cả hai có chứa những thông tin như sở thích, danh sách liên hệ… có thể dẫn đến danh tính bị lộ. Thay vào đó, Snowden và Poitras quyết định tạo các địa chỉ email mới.
Làm thế nào để họ biết địa chỉ email mới của nhau? Hay nói cách khác, nếu cả hai bên đều ẩn danh, làm sao để họ biết ai với ai, và ai là người có thể tin tưởng? Ví dụ, làm thế nào để Snowden loại trừ khả năng rằng NSA hoặc ai đó khác đóng giả làm Poitras bằng một địa chỉ email mới? Các khóa công khai rất dài, do vậy bạn không thể gọi điện thoại và đọc các kí tự cho người khác. Bạn cần một kênh trao đổi email an toàn.
Họ cộng tác với Lee lần nữa. Đầu tiên, Poitras chia sẻ khóa công khai với Lee. Lee đã không sử dụng khóa thật mà thay vào đó là chữ viết tắt 40 ký tự (hoặc dấu vân tay) cho khóa công khai của Poitras. Ông công khai thông tin đó trên Twitter.
Đôi khi để ẩn mình, bạn cần phải lộ diện.
Giờ đây, Snowden có thể lặng lẽ xem tweet của Lee, so sánh khóa rút gọn với tin nhắn mình nhận được. Nếu như hai điều đó không tương thích, Snowden sẽ không tin email đó, tin nhắn có thể đã bị xâm phạm. Hoặc người đang trao đổi với mình thực ra là NSA. Trong trường hợp này, cả hai trùng khớp.
Cuối cùng thì Snowden đã gửi cho Poitras một email được mã hóa, ký tên “Citizenfour”. Chữ ký này về sau trở thành tiêu đề của bộ phim tài liệu đạt giải của Poitras về chiến dịch quyền riêng tư.
Đến đây thì có vẻ như đã kết thúc – họ đã có thể giao tiếp an toàn với nhau qua những email được mã hóa. Nhưng không, đây mới chỉ là bắt đầu.
Lựa chọn dịch vụ mã hóa
Sức mạnh của toán học và độ dài của khóa mã hóa là hai yếu tố quyết định độ-khó-bị-bẻ cho khóa của bạn.
Ngày nay, các thuật toán mã hóa được sử dụng công khai. Luôn có những người tìm cách phá vỡ các thuật toán này thông qua các điểm yếu của chúng. Khi một thuật toán công khai trở nên yếu đi hoặc bị bẻ khóa, nó sẽ bị đào thải, và các thuật toán mới hơn, mạnh hơn sẽ ra đời.
Dù ít hay nhiều, các khóa này đều nằm dưới sự kiểm soát của bạn, và nó rất quan trọng. Nếu bạn tạo ra một khóa mã hóa, chỉ mình bạn có thể lưu trữ khóa trên thiết bị của bạn. Nếu bạn để một công ty thực hiện mã hóa, giả sử trên cloud,thì công ty đó cũng có thể giữ khóa sau khi đã chia sẻ với bạn, và có thể bị tòa án buộc phải chia sẻ khóa với cơ quan thực thi pháp luật.
Khi bạn mã hóa email, tin nhắn, hoặc cuộc gọi - hãy sử dụng mã hóa end-to-end. Điều đó có nghĩa rằng, tin nhắn của bạn sẽ được an toàn cho tới khi đến tay người nhận. Với mã hóa end-to-end, chỉ mình bạn và người nhận có được các khóa để giải mã tin nhắn. Chứ không phải nhà cung cấp dịch vụ viễn thông, chủ sở hữu trang web hoặc nhà phát triển ứng dụng, những bên mà cơ quan thực thi pháp luật hoặc chính phủ sẽ yêu cầu nộp thông tin về bạn. Mở Google, gõ “end‑to‑end encryption voice call”. Nếu như ứng dụng hoặc dịch vụ không sử dụng mã hóa end-to-end, hãy tìm giải pháp khác.
Điều này thực sự phức tạp, nhưng rất may là có những plugin PGP dành cho trình duyệt web Chrome và Firefox khiến việc mã hóa trở nên dễ dàng hơn. Mailvelope, xử lý gọn gàng khóa mã hóa công khai và riêng tư của PGP. Bạn chỉ cần nhập cụm mật khẩu, cặp khóa công khai và riêng tư sẽ được tạo. Sau đó, bất cứ khi nào bạn viết email bằng trình duyệt, chọn người nhận, và nếu người nhận có sẵn khóa công khai, bạn sẽ có tùy chọn gửi cho người đó một tin nhắn được mã hóa.
Hơn cả mã hóa: Siêu dữ liệu (Metadata)
Ngay cả khi bạn mã hóa tin nhắn với PGP, một phần nhỏ thông tin trong tin nhắn của bạn vẫn có thể bị đọc bởi một ai đó. Trước những tiết lộ của Snowden, chính phủ Hoa Kỳ nhiều lần tuyên bố rằng họ không nắm bắt được nội dung thực tế của các email (do được mã hóa bởi PGP). Cái họ thu thập được là siêu dữ liệu email.
Vậy siêu dữ liệu email là gì? Đó chính là thông tin trong phần gửi đến, gửi đi cũng như các địa chỉ IP của các máy chủ khác nhau xử lý email từ người gửi tới người nhận. Nó cũng bao gồm cả dòng tiêu đề vốn đôi khi tiết lộ khá nhiều về nội dung email. Siêu dữ liệu là “di sản” của mạng internet từ những ngày đầu, đến nay vẫn còn được tích hợp trong tất cả các email gửi và nhận. Tuy nhiên, một vài trình đọc email hiện đại không hiển thị những thông tin này.
Nghe có vẻ ổn khi bên thứ ba không thực sự đọc nội dung, và bạn dường như không quan tâm đến cơ chế di chuyển của các email – bao gồm địa chỉ các máy chủ, các mốc thời gian… Tuy nhiên, có thể bạn sẽ ngạc nhiên khi biết được thực tế những thông tin này có thể tiết lộ những gì.
Theo Snowden, siêu dữ liệu email, tin nhắn và cuộc gọi được NSA và các cơ quan khác thu thập. Về cơ bản, chính phủ không thể thu thập siêu dữ liệu từ mọi người; tuy nhiên, kể từ năm 2001 đã có một sự đột biến về luật thu thập hợp pháp.
Để có thể thực sự ẩn mình trên thế giới số, bạn cần phải làm nhiều hơn việc mã hóa các tin nhắn. Bạn cần phải:
Xóa địa chỉ IP thực: Đây chính là ‘dấu vân tay’ của bạn, là điểm kết nối tới Internet. Điều này có thể chỉ ra bạn đang ở đâu (địa chỉ thực của bạn) và nhà cung cấp bạn sử dụng.
Ẩn phần cứng và phần mềm: Khi bạn kết nối vào một trang web trực tuyến, trang web này sẽ lưu ảnh chụp tức thì phần cứng và phần mềm của bạn.
Bảo vệ danh tính: Việc gán tội cho một người trên thế giới online là rất khó. Không phải dễ để chứng minh bạn ngồi trước máy tính khi sự việc xảy ra. Tuy nhiên, nếu như bạn đứng trước camera trước khi vào cửa hàng Starbucks, hoặc bạn mua một cốc latte và thanh toán bằng thẻ tín dụng, những hành động này có thể được liên kết với sự hiện diện của bạn vài phút trước.
Địa chỉ IP của bạn sẽ tiết lộ bạn ở đâu, nhà cung cấp bạn sử dụng là gì, danh tính của người trả tiền cho dịch vụ mạng (có thể là bạn hoặc không). Tất cả thông tin này đều nằm trong siêu dữ liệu email và được sử dụng để định danh bạn. bất kỳ hình thức giao tiếp nào, dùng email hay không, đều được dùng để xác định danh tính bạn dựa trên địa chỉ IP được gán cho bộ định tuyến bạn dùng, bất kể là ở nhà, cơ quan hay những nơi khác.
Tất nhiên, các địa chỉ IP đều có thể bị giả mạo. Ai đó có thể sử dụng địa chỉ proxy ảo, định vị email ở một khu vực khác. Proxy giống như một phiên dịch viên, bạn nói chuyện với người dịch, và người dịch truyền đạt lại với người nước ngoài nội dung đó. Vấn đề ở đây là ai đó sử dụng proxy từ Trung Quốc, hoặc thậm chí là Đức để trốn tránh sự phát hiện trên một email thật đến từ Triều Tiên.
Thay vì sử dụng proxy, bạn có thể sử dụng dịch vụ gửi thư ẩn danh, giúp ẩn địa chỉ IP email của bạn. Gửi mail ẩn danh đơn giản là thay đổi địa chỉ email của người gửi trước khi đến tay người nhận. Người nhận có thể phản hồi thông qua email ẩn danh. Đây là phương thức dễ nhất.
Một cách để ẩn địa chỉ IP là sử dụng Tor (phần mềm mã nguồn mở miễn phí), giống như cách mà Snowden và Poitras đã làm. Tor được thiết kế cho người dùng trong các chế độ khắt khe như một cách giúp các dịch vụ và phương tiện phổ biến tránh bị kiểm duyệt, và ngăn chặn bất kỳ ai theo dõi tìm kiếm.
Tor hoạt động như thế nào? Nó phụ thuộc vào mô hình thông thường để truy cập trang web. Khi sử dụng Tor, đường truyền trực tiếp giữa bạn và trang web mục tiêu được che bởi các nút bổ sung, và cứ mỗi 10 giây, các chuỗi nút này sẽ thay đổi mà không làm gián đoạn việc kết nối của bạn. Các nút khác nhau này giống như các lớp áo của củ hành (TOR ban đầu là từ viết tắt của The Onion Router – Định tuyến kiểu củ hành). Nói cách khác, nếu ai đó muốn lần ra danh tính của bạn từ trang web đích họ sẽ không thể làm được bởi đường truyền thay đổi liên tục. Trừ khi điểm vào và điểm kết thúc của bạn được liên kết bằng cách nào đó, thì kết nối của bạn được ẩn danh.
Để dùng Tor, bạn cần có trình duyệt Firefox được sửa đổi từ trang torproject.org. Đừng thử tìm trình duyệt Tor từ trang web của bên thứ ba. Đối với hệ điều hành Android, Orbot là ứng dụng Tor miễn phí và hợp pháp từ Google Play, vừa mã hóa lưu lượng truy cập, vừa ẩn địa chỉ IP của bạn. Trên các thiết bị iOS (iPad, iPhone), hãy cài đặt trình duyệt Onion, một ứng dụng hợp pháp từ iTunes Appstore.
Ngoài việc cho phép bạn lướt web tìm kiếm, Tor còn cho phép bạn truy cập vào hàng loạt trang web mà thông thường không thể tìm kiếm được gọi là Dark Web. Các trang web này thường kết thúc bằng .onion. Một số trang web ẩn cung cấp hoặc bán các mặt hàng, dịch vụ có thể là bất hợp pháp. Một vài trong số đó là các trang web hợp pháp, được duy trì bởi những người ở các khu vực bị áp bức trên thế giới.
Tuy nhiên, cần lưu ý rằng, Tor cũng có một số điểm yếu: Bạn không có quyền kiểm soát các trạm cuối bởi chúng nằm dưới sự kiểm soát của chính phủ hoặc cơ quan thực thi pháp luật. Bạn cũng có thể bị định danh do Tor hoạt động rất chậm.
Có thể nói rằng, nếu bạn vẫn quyết định sử dụng Tor, bạn không nên chạy nó cùng với thiết bị vật lý nào đó dùng để duyệt web. Nói cách khác, bạn nên có một máy tính xách tay để duyệt web và một thiết bị riêng biệt cho Tor. Nếu ai đó xâm nhập vào máy tính xách tay của bạn, họ vẫn không thể tách các lớp Tor bởi nó chạy trên một hộp vật lý riêng biệt.
Tạo một tài khoản mới (ẩn danh)
Các tài khoản email kế thừa có thể được kết nối theo nhiều cách khác nhau như thông qua bạn bè, sở thích, công việc. Để liên lạc bí mật, bạn cần tạo các tài khoản email mới sử dụng Tor, và địa chỉ IP trên tài khoản này không liên kết với danh tính thật sự của bạn dưới bất kỳ hình thức nào.
Tạo các địa chỉ email ẩn danh là một thử thách, nhưng là việc khả thi.
Bạn cần sử dụng một dịch vụ web miễn phí nếu như không muốn để lại vết khi trả tiền cho các dịch vụ email riêng tư. Tuy nhiên lại có một rắc rối nhỏ: Gmail, Microsoft, Yahoo và các ứng dụng khác đều yêu cầu bạn cung cấp số điện thoại để xác minh danh tính. Rõ ràng là bạn không thể sử dụng số điện thoại thực của mình, vì nó liên quan tới tên và địa chỉ thực. Bạn cần phải thiết lập số điện thoại Skype nếu nó hỗ trợ xác thực giọng nói thay vì xác thực qua tin nhắn. Tuy nhiên, bạn vẫn cần có một tài khoản email và thẻ quà tặng đã được thanh toán trước để thiết lập.
Một vài người nghĩ rằng, điện thoại ẩn danh (burner phone) là các thiết bị chỉ được sử dụng bởi các kẻ khủng bố, ma cô hay những kẻ buôn ma túy; tuy nhiên những chiếc điện thoại này mang lại rất nhiều công dụng hợp pháp cho người dùng. Điện thoại ẩn danh chủ yếu cung cấp dịch vụ thoại, văn bản, dịch vụ email, đều là những thứ người dùng cần. Tuy nhiên, sẽ rất khó khăn để mua được một chiếc điện thoại ẩn danh. Tôi có thể vào Walmart, trả tiền mặt và mua một chiếc điện thoại ẩn danh. Ai sẽ biết? Vâng, rất nhiều người sẽ biết.
Đầu tiên, làm thế nào để tôi đến được Walmart? Bắt một chiếc Uber hay là taxi? Những điều này có thể là chứng cứ hầu tòa. Tôi có thể lái xe của mình, nhưng cơ quan thực thi pháp luật sử dụng công nghệ nhận diện biển số tự động (ALPR) trong các bãi đỗ xe công cộng, nhằm tìm kiếm các phương tiện bị mất hoặc đánh cắp cũng như những người có lệnh bắt giữ. Những ghi chép của ALPR cũng có thể là chứng cứ hầu tòa.
Thậm chí khi tôi đi bộ tới Walmart, một khi bước chân vào cửa hàng, gương mặt của tôi cũng sẽ hiện rõ trên các camera an ninh trong cửa hàng, và các video đó cũng là chứng cứ hầu tòa.
Tôi có thể thuê một người lạ đến cửa hàng, có thể là người vô gia cư. Người đó bước vào và mua một chiếc điện thoại bằng tiền mặt. Chúng tôi có thể gặp nhau khá xa cửa hàng nhằm tránh xa khỏi giao dịch thực sự.
Kích hoạt điện thoại trả trước yêu cầu việc gọi cho bộ phận dịch vụ khách hàng hoặc kích hoạt trên trang web của nhà cung cấp. Để tránh bị ghi lại nhằm “đảm bảo chất lượng”, kích hoạt qua trang web an toàn hơn. Sử dụng Tor qua mạng không dây sau khi đổi địa chỉ MAC là biện pháp bảo vệ tối thiểu. Bạn nên tạo tất cả thông tin thuê bao được nhập trên trang web. Đối với địa chỉ của mình, hãy tìm kiếm trên Google một địa chỉ của một khách sạn lớn và sử dụng nó thay thế. Tạo ngày sinh và mã PIN dễ nhớ trong trường hợp bạn cần liên hệ dịch vụ khách hàng trong tương lai.
Sau khi sử dụng Tor để chọn ngẫu nhiên địa chỉ IP, và tạo tài khoản Gmail không liên quan tới số điện thoại thực, Google gửi tới điện thoại của bạn mã xác thực hoặc cuộc gọi xác thực. Sau đó, bạn có một tài khoản Gmail gần như không có dấu vết gì. Nhờ vào Tor, chúng ta có thể tạo các email an toàn với địa chỉ IP ẩn (mặc dù bạn không có quyền kiểm soát các trạm cuối); và nhờ vào PGP, chỉ người nhận mới có thể đọc được nội dung thư.
Để tài khoản ở trạng thái ẩn, bạn chỉ được truy cập với Tor, điều này giúp địa chỉ IP không bao giờ được liên kết với tài khoản đó. Hơn nữa, bạn không bao giờ nên thực hiện bất kì tìm kiếm nào trên internet khi đăng nhập vào tài khoản Gmail ẩn danh đó, bởi bạn có thể vô tình tìm kiếm thứ gì đó liên quan đến danh tính thực sự của mình. Ngay cả việc tìm kiếm thông tin về thời tiết cũng tiết lộ vị trí của bạn.
Có thể thấy, trở nên vô hình và giữ cho mình vô hình yêu cầu kỉ luật và sự cẩn trọng liên tục. Nhưng điều đó là xứng đáng. Vấn đề quan trọng nhất là: Đầu tiên, lưu ý tất cả các cách mà ai đó có thể nhận dạng bạn, kể cả khi bạn thực hiện một vài (chứ không phải là tất cả) các biện pháp được đưa ra trong bài này. Nếu bạn đã thực hiện hết các biện pháp, hãy cẩn trọng mỗi khi sử dụng tài khoản ẩn danh.
Trích từ “Nghệ thuật ẩn mình: Hacker danh tiếng nhất thế giới dạy bạn làm thế nào để an toàn trong thời đại Big Brother và Big Data”; bản quyền © 2017 bởi Kevin D. Mitnick và Robert Vamosi. Được sử dụng với sự cho phép của Little, Brown và Company, New York. Đã đăng ký Bản quyền.
Một trong những việc đầu tiên chúng ta làm vào buổi sáng là kiểm tra hòm thư. Cũng có lúc bạn tự hỏi liệu có ai khác đã đọc email của mình. Đó không phải là điều hoang tưởng. Nếu bạn sử dụng dịch vụ hòm thư dựa trên nền tảng web như Gmail hoặc Outlook 365, câu trả lời khá là rõ ràng và đáng sợ.
Thực tế, hầu hết chúng ta có thể chấp nhận việc email của mình bị quét để lọc phần mềm độc hại, hoặc có vài người thậm chí không để tâm kể cả khi hành động quét email là để phục vụ cho mục đích quảng cáo. Tuy nhiên, việc có bên thứ ba đọc và sử dụng nội dung cụ thể trong các email thì thực sự đáng lo ngại.
Ít nhất, bạn cũng nên làm gì đó để người khác không thể quét email của bạn một cách dễ dàng như vậy.
Việc đầu tiên là Mã Hóa
Hầu hết các dịch vụ email nền tảng web sử dụng mã hóa khi email đang được chuyển. Tuy nhiên, có một số dịch vụ chuyển thư giữa các tác nhân MTA (Mail Transfer Agent) không sử dụng mã hóa, có nghĩa là thư của bạn sẽ ở trạng thái mở. Khi đó, bạn cần phải mã hóa tin nhắn của mình.
Mã hóa đối xứng là phương pháp phổ biến nhất cho mã hóa email. Có nghĩa rằng chúng ta sẽ tạo ra 2 khóa: một khóa riêng trên thiết bị của bạn, và một khóa công khai. Hai khóa này là khác nhau nhưng có liên quan về thuật toán.
Ví dụ: Bob muốn gửi cho Alice một email bảo mật. Anh ấy tìm thấy khóa công khai của Alice trên mạng, hoặc lấy khóa trực tiếp từ Alice và khi gửi tin nhắn, Bob sẽ mã hóa chúng bằng khóa của Alice. Tin nhắn này sẽ được mã hóa cho đến khi Alice – và chỉ mình Alice - sử dụng cụm mật khẩu để mở khóa riêng, giải mã tin nhắn.
Vậy, làm thế nào để kích hoạt mã hóa nội dung email?
Phương pháp mã hóa email phổ biến nhất là PGP – “Pretty Good Privacy”. Để sử dụng, bạn phải trả tiền. Đây là sản phẩm của Symatec. Tuy nhiên, Phil Zimmermann – cha đẻ của phương pháp này - cũng là tác giả của một phiên bản mã nguồn mở, miễn phí OpenPGP. Ngoài ra còn có GPG (GNU Privacy Guard) của Werner Koch cũng không tính phí. Cả ba phiên bản này đều có khả năng tương tác. Điều đó có nghĩa rằng, dù bạn sử dụng phiên bản PGP nào, các chức năng cơ bản đều giống nhau.
Khi Edward Snowden quyết định tiết lộ dữ liệu nhạy cảm được sao chép từ NSA, ông ấy cần sự giúp đỡ của những người cùng chí hướng trên thế giới. Laura Poitras – nhà làm phim và ủng hộ quyền riêng tư gần đây đã hoàn thành một bộ phim tài liệu về cuộc sống của những người như Snowden. Snowden muốn tạo một kênh trao đổi được mã hóa với Poitras.
Snowden đã tìm đến Micah Lee thuộc Tổ chức Biên giới Điện tử (Electronic Frontier Foundation). Khóa công khai của Lee có sẵn trên mạng và ông ấy cũng có khóa công khai của Poitras. Lee đã hỏi Poitras xem cô ấy có đồng ý cung cấp khóa công khai không. Câu trả lời là có.
Với tầm quan trọng của những bí mật mà họ sắp chia sẻ, Snowden và Poitras không thể sử dụng địa chỉ hòm thư thông thường của mình. Tại sao vậy? Các tài khoản email cá nhân của cả hai có chứa những thông tin như sở thích, danh sách liên hệ… có thể dẫn đến danh tính bị lộ. Thay vào đó, Snowden và Poitras quyết định tạo các địa chỉ email mới.
Làm thế nào để họ biết địa chỉ email mới của nhau? Hay nói cách khác, nếu cả hai bên đều ẩn danh, làm sao để họ biết ai với ai, và ai là người có thể tin tưởng? Ví dụ, làm thế nào để Snowden loại trừ khả năng rằng NSA hoặc ai đó khác đóng giả làm Poitras bằng một địa chỉ email mới? Các khóa công khai rất dài, do vậy bạn không thể gọi điện thoại và đọc các kí tự cho người khác. Bạn cần một kênh trao đổi email an toàn.
Họ cộng tác với Lee lần nữa. Đầu tiên, Poitras chia sẻ khóa công khai với Lee. Lee đã không sử dụng khóa thật mà thay vào đó là chữ viết tắt 40 ký tự (hoặc dấu vân tay) cho khóa công khai của Poitras. Ông công khai thông tin đó trên Twitter.
Đôi khi để ẩn mình, bạn cần phải lộ diện.
Giờ đây, Snowden có thể lặng lẽ xem tweet của Lee, so sánh khóa rút gọn với tin nhắn mình nhận được. Nếu như hai điều đó không tương thích, Snowden sẽ không tin email đó, tin nhắn có thể đã bị xâm phạm. Hoặc người đang trao đổi với mình thực ra là NSA. Trong trường hợp này, cả hai trùng khớp.
Cuối cùng thì Snowden đã gửi cho Poitras một email được mã hóa, ký tên “Citizenfour”. Chữ ký này về sau trở thành tiêu đề của bộ phim tài liệu đạt giải của Poitras về chiến dịch quyền riêng tư.
Đến đây thì có vẻ như đã kết thúc – họ đã có thể giao tiếp an toàn với nhau qua những email được mã hóa. Nhưng không, đây mới chỉ là bắt đầu.
Lựa chọn dịch vụ mã hóa
Sức mạnh của toán học và độ dài của khóa mã hóa là hai yếu tố quyết định độ-khó-bị-bẻ cho khóa của bạn.
Ngày nay, các thuật toán mã hóa được sử dụng công khai. Luôn có những người tìm cách phá vỡ các thuật toán này thông qua các điểm yếu của chúng. Khi một thuật toán công khai trở nên yếu đi hoặc bị bẻ khóa, nó sẽ bị đào thải, và các thuật toán mới hơn, mạnh hơn sẽ ra đời.
Dù ít hay nhiều, các khóa này đều nằm dưới sự kiểm soát của bạn, và nó rất quan trọng. Nếu bạn tạo ra một khóa mã hóa, chỉ mình bạn có thể lưu trữ khóa trên thiết bị của bạn. Nếu bạn để một công ty thực hiện mã hóa, giả sử trên cloud,thì công ty đó cũng có thể giữ khóa sau khi đã chia sẻ với bạn, và có thể bị tòa án buộc phải chia sẻ khóa với cơ quan thực thi pháp luật.
Khi bạn mã hóa email, tin nhắn, hoặc cuộc gọi - hãy sử dụng mã hóa end-to-end. Điều đó có nghĩa rằng, tin nhắn của bạn sẽ được an toàn cho tới khi đến tay người nhận. Với mã hóa end-to-end, chỉ mình bạn và người nhận có được các khóa để giải mã tin nhắn. Chứ không phải nhà cung cấp dịch vụ viễn thông, chủ sở hữu trang web hoặc nhà phát triển ứng dụng, những bên mà cơ quan thực thi pháp luật hoặc chính phủ sẽ yêu cầu nộp thông tin về bạn. Mở Google, gõ “end‑to‑end encryption voice call”. Nếu như ứng dụng hoặc dịch vụ không sử dụng mã hóa end-to-end, hãy tìm giải pháp khác.
Điều này thực sự phức tạp, nhưng rất may là có những plugin PGP dành cho trình duyệt web Chrome và Firefox khiến việc mã hóa trở nên dễ dàng hơn. Mailvelope, xử lý gọn gàng khóa mã hóa công khai và riêng tư của PGP. Bạn chỉ cần nhập cụm mật khẩu, cặp khóa công khai và riêng tư sẽ được tạo. Sau đó, bất cứ khi nào bạn viết email bằng trình duyệt, chọn người nhận, và nếu người nhận có sẵn khóa công khai, bạn sẽ có tùy chọn gửi cho người đó một tin nhắn được mã hóa.
Hơn cả mã hóa: Siêu dữ liệu (Metadata)
Ngay cả khi bạn mã hóa tin nhắn với PGP, một phần nhỏ thông tin trong tin nhắn của bạn vẫn có thể bị đọc bởi một ai đó. Trước những tiết lộ của Snowden, chính phủ Hoa Kỳ nhiều lần tuyên bố rằng họ không nắm bắt được nội dung thực tế của các email (do được mã hóa bởi PGP). Cái họ thu thập được là siêu dữ liệu email.
Vậy siêu dữ liệu email là gì? Đó chính là thông tin trong phần gửi đến, gửi đi cũng như các địa chỉ IP của các máy chủ khác nhau xử lý email từ người gửi tới người nhận. Nó cũng bao gồm cả dòng tiêu đề vốn đôi khi tiết lộ khá nhiều về nội dung email. Siêu dữ liệu là “di sản” của mạng internet từ những ngày đầu, đến nay vẫn còn được tích hợp trong tất cả các email gửi và nhận. Tuy nhiên, một vài trình đọc email hiện đại không hiển thị những thông tin này.
Nghe có vẻ ổn khi bên thứ ba không thực sự đọc nội dung, và bạn dường như không quan tâm đến cơ chế di chuyển của các email – bao gồm địa chỉ các máy chủ, các mốc thời gian… Tuy nhiên, có thể bạn sẽ ngạc nhiên khi biết được thực tế những thông tin này có thể tiết lộ những gì.
Theo Snowden, siêu dữ liệu email, tin nhắn và cuộc gọi được NSA và các cơ quan khác thu thập. Về cơ bản, chính phủ không thể thu thập siêu dữ liệu từ mọi người; tuy nhiên, kể từ năm 2001 đã có một sự đột biến về luật thu thập hợp pháp.
Để có thể thực sự ẩn mình trên thế giới số, bạn cần phải làm nhiều hơn việc mã hóa các tin nhắn. Bạn cần phải:
Xóa địa chỉ IP thực: Đây chính là ‘dấu vân tay’ của bạn, là điểm kết nối tới Internet. Điều này có thể chỉ ra bạn đang ở đâu (địa chỉ thực của bạn) và nhà cung cấp bạn sử dụng.
Ẩn phần cứng và phần mềm: Khi bạn kết nối vào một trang web trực tuyến, trang web này sẽ lưu ảnh chụp tức thì phần cứng và phần mềm của bạn.
Bảo vệ danh tính: Việc gán tội cho một người trên thế giới online là rất khó. Không phải dễ để chứng minh bạn ngồi trước máy tính khi sự việc xảy ra. Tuy nhiên, nếu như bạn đứng trước camera trước khi vào cửa hàng Starbucks, hoặc bạn mua một cốc latte và thanh toán bằng thẻ tín dụng, những hành động này có thể được liên kết với sự hiện diện của bạn vài phút trước.
Địa chỉ IP của bạn sẽ tiết lộ bạn ở đâu, nhà cung cấp bạn sử dụng là gì, danh tính của người trả tiền cho dịch vụ mạng (có thể là bạn hoặc không). Tất cả thông tin này đều nằm trong siêu dữ liệu email và được sử dụng để định danh bạn. bất kỳ hình thức giao tiếp nào, dùng email hay không, đều được dùng để xác định danh tính bạn dựa trên địa chỉ IP được gán cho bộ định tuyến bạn dùng, bất kể là ở nhà, cơ quan hay những nơi khác.
Tất nhiên, các địa chỉ IP đều có thể bị giả mạo. Ai đó có thể sử dụng địa chỉ proxy ảo, định vị email ở một khu vực khác. Proxy giống như một phiên dịch viên, bạn nói chuyện với người dịch, và người dịch truyền đạt lại với người nước ngoài nội dung đó. Vấn đề ở đây là ai đó sử dụng proxy từ Trung Quốc, hoặc thậm chí là Đức để trốn tránh sự phát hiện trên một email thật đến từ Triều Tiên.
Thay vì sử dụng proxy, bạn có thể sử dụng dịch vụ gửi thư ẩn danh, giúp ẩn địa chỉ IP email của bạn. Gửi mail ẩn danh đơn giản là thay đổi địa chỉ email của người gửi trước khi đến tay người nhận. Người nhận có thể phản hồi thông qua email ẩn danh. Đây là phương thức dễ nhất.
Một cách để ẩn địa chỉ IP là sử dụng Tor (phần mềm mã nguồn mở miễn phí), giống như cách mà Snowden và Poitras đã làm. Tor được thiết kế cho người dùng trong các chế độ khắt khe như một cách giúp các dịch vụ và phương tiện phổ biến tránh bị kiểm duyệt, và ngăn chặn bất kỳ ai theo dõi tìm kiếm.
Tor hoạt động như thế nào? Nó phụ thuộc vào mô hình thông thường để truy cập trang web. Khi sử dụng Tor, đường truyền trực tiếp giữa bạn và trang web mục tiêu được che bởi các nút bổ sung, và cứ mỗi 10 giây, các chuỗi nút này sẽ thay đổi mà không làm gián đoạn việc kết nối của bạn. Các nút khác nhau này giống như các lớp áo của củ hành (TOR ban đầu là từ viết tắt của The Onion Router – Định tuyến kiểu củ hành). Nói cách khác, nếu ai đó muốn lần ra danh tính của bạn từ trang web đích họ sẽ không thể làm được bởi đường truyền thay đổi liên tục. Trừ khi điểm vào và điểm kết thúc của bạn được liên kết bằng cách nào đó, thì kết nối của bạn được ẩn danh.
Để dùng Tor, bạn cần có trình duyệt Firefox được sửa đổi từ trang torproject.org. Đừng thử tìm trình duyệt Tor từ trang web của bên thứ ba. Đối với hệ điều hành Android, Orbot là ứng dụng Tor miễn phí và hợp pháp từ Google Play, vừa mã hóa lưu lượng truy cập, vừa ẩn địa chỉ IP của bạn. Trên các thiết bị iOS (iPad, iPhone), hãy cài đặt trình duyệt Onion, một ứng dụng hợp pháp từ iTunes Appstore.
Ngoài việc cho phép bạn lướt web tìm kiếm, Tor còn cho phép bạn truy cập vào hàng loạt trang web mà thông thường không thể tìm kiếm được gọi là Dark Web. Các trang web này thường kết thúc bằng .onion. Một số trang web ẩn cung cấp hoặc bán các mặt hàng, dịch vụ có thể là bất hợp pháp. Một vài trong số đó là các trang web hợp pháp, được duy trì bởi những người ở các khu vực bị áp bức trên thế giới.
Tuy nhiên, cần lưu ý rằng, Tor cũng có một số điểm yếu: Bạn không có quyền kiểm soát các trạm cuối bởi chúng nằm dưới sự kiểm soát của chính phủ hoặc cơ quan thực thi pháp luật. Bạn cũng có thể bị định danh do Tor hoạt động rất chậm.
Có thể nói rằng, nếu bạn vẫn quyết định sử dụng Tor, bạn không nên chạy nó cùng với thiết bị vật lý nào đó dùng để duyệt web. Nói cách khác, bạn nên có một máy tính xách tay để duyệt web và một thiết bị riêng biệt cho Tor. Nếu ai đó xâm nhập vào máy tính xách tay của bạn, họ vẫn không thể tách các lớp Tor bởi nó chạy trên một hộp vật lý riêng biệt.
Tạo một tài khoản mới (ẩn danh)
Các tài khoản email kế thừa có thể được kết nối theo nhiều cách khác nhau như thông qua bạn bè, sở thích, công việc. Để liên lạc bí mật, bạn cần tạo các tài khoản email mới sử dụng Tor, và địa chỉ IP trên tài khoản này không liên kết với danh tính thật sự của bạn dưới bất kỳ hình thức nào.
Tạo các địa chỉ email ẩn danh là một thử thách, nhưng là việc khả thi.
Bạn cần sử dụng một dịch vụ web miễn phí nếu như không muốn để lại vết khi trả tiền cho các dịch vụ email riêng tư. Tuy nhiên lại có một rắc rối nhỏ: Gmail, Microsoft, Yahoo và các ứng dụng khác đều yêu cầu bạn cung cấp số điện thoại để xác minh danh tính. Rõ ràng là bạn không thể sử dụng số điện thoại thực của mình, vì nó liên quan tới tên và địa chỉ thực. Bạn cần phải thiết lập số điện thoại Skype nếu nó hỗ trợ xác thực giọng nói thay vì xác thực qua tin nhắn. Tuy nhiên, bạn vẫn cần có một tài khoản email và thẻ quà tặng đã được thanh toán trước để thiết lập.
Một vài người nghĩ rằng, điện thoại ẩn danh (burner phone) là các thiết bị chỉ được sử dụng bởi các kẻ khủng bố, ma cô hay những kẻ buôn ma túy; tuy nhiên những chiếc điện thoại này mang lại rất nhiều công dụng hợp pháp cho người dùng. Điện thoại ẩn danh chủ yếu cung cấp dịch vụ thoại, văn bản, dịch vụ email, đều là những thứ người dùng cần. Tuy nhiên, sẽ rất khó khăn để mua được một chiếc điện thoại ẩn danh. Tôi có thể vào Walmart, trả tiền mặt và mua một chiếc điện thoại ẩn danh. Ai sẽ biết? Vâng, rất nhiều người sẽ biết.
Đầu tiên, làm thế nào để tôi đến được Walmart? Bắt một chiếc Uber hay là taxi? Những điều này có thể là chứng cứ hầu tòa. Tôi có thể lái xe của mình, nhưng cơ quan thực thi pháp luật sử dụng công nghệ nhận diện biển số tự động (ALPR) trong các bãi đỗ xe công cộng, nhằm tìm kiếm các phương tiện bị mất hoặc đánh cắp cũng như những người có lệnh bắt giữ. Những ghi chép của ALPR cũng có thể là chứng cứ hầu tòa.
Thậm chí khi tôi đi bộ tới Walmart, một khi bước chân vào cửa hàng, gương mặt của tôi cũng sẽ hiện rõ trên các camera an ninh trong cửa hàng, và các video đó cũng là chứng cứ hầu tòa.
Tôi có thể thuê một người lạ đến cửa hàng, có thể là người vô gia cư. Người đó bước vào và mua một chiếc điện thoại bằng tiền mặt. Chúng tôi có thể gặp nhau khá xa cửa hàng nhằm tránh xa khỏi giao dịch thực sự.
Kích hoạt điện thoại trả trước yêu cầu việc gọi cho bộ phận dịch vụ khách hàng hoặc kích hoạt trên trang web của nhà cung cấp. Để tránh bị ghi lại nhằm “đảm bảo chất lượng”, kích hoạt qua trang web an toàn hơn. Sử dụng Tor qua mạng không dây sau khi đổi địa chỉ MAC là biện pháp bảo vệ tối thiểu. Bạn nên tạo tất cả thông tin thuê bao được nhập trên trang web. Đối với địa chỉ của mình, hãy tìm kiếm trên Google một địa chỉ của một khách sạn lớn và sử dụng nó thay thế. Tạo ngày sinh và mã PIN dễ nhớ trong trường hợp bạn cần liên hệ dịch vụ khách hàng trong tương lai.
Sau khi sử dụng Tor để chọn ngẫu nhiên địa chỉ IP, và tạo tài khoản Gmail không liên quan tới số điện thoại thực, Google gửi tới điện thoại của bạn mã xác thực hoặc cuộc gọi xác thực. Sau đó, bạn có một tài khoản Gmail gần như không có dấu vết gì. Nhờ vào Tor, chúng ta có thể tạo các email an toàn với địa chỉ IP ẩn (mặc dù bạn không có quyền kiểm soát các trạm cuối); và nhờ vào PGP, chỉ người nhận mới có thể đọc được nội dung thư.
Để tài khoản ở trạng thái ẩn, bạn chỉ được truy cập với Tor, điều này giúp địa chỉ IP không bao giờ được liên kết với tài khoản đó. Hơn nữa, bạn không bao giờ nên thực hiện bất kì tìm kiếm nào trên internet khi đăng nhập vào tài khoản Gmail ẩn danh đó, bởi bạn có thể vô tình tìm kiếm thứ gì đó liên quan đến danh tính thực sự của mình. Ngay cả việc tìm kiếm thông tin về thời tiết cũng tiết lộ vị trí của bạn.
Có thể thấy, trở nên vô hình và giữ cho mình vô hình yêu cầu kỉ luật và sự cẩn trọng liên tục. Nhưng điều đó là xứng đáng. Vấn đề quan trọng nhất là: Đầu tiên, lưu ý tất cả các cách mà ai đó có thể nhận dạng bạn, kể cả khi bạn thực hiện một vài (chứ không phải là tất cả) các biện pháp được đưa ra trong bài này. Nếu bạn đã thực hiện hết các biện pháp, hãy cẩn trọng mỗi khi sử dụng tài khoản ẩn danh.
Trích từ “Nghệ thuật ẩn mình: Hacker danh tiếng nhất thế giới dạy bạn làm thế nào để an toàn trong thời đại Big Brother và Big Data”; bản quyền © 2017 bởi Kevin D. Mitnick và Robert Vamosi. Được sử dụng với sự cho phép của Little, Brown và Company, New York. Đã đăng ký Bản quyền.
Theo Wired
Chỉnh sửa lần cuối: