Không thể bảo vệ bí mật cá nhân trên Internet

MrQuậy

Well-Known Member
24/09/2013
178
2.221 bài viết
Không thể bảo vệ bí mật cá nhân trên Internet
Ngày nay, mạng toàn cầu đang trở thành một công cụ theo dõi cực kỳ hiệu quả, có khả năng theo dõi hầu như tất cả mọi người.
antoanthongtin.vn-bao%20ve%20bi%20mat%20ca%20nhan%20tren%20Internet.jpg

Chuyên gia bảo mật Bruce Schneier cho rằng Internet đã trở thành một “nhà nước giám sát” (surveillance state) theo dõi tất cả mọi người, mọi lúc mọi nơi. Việc Google theo dõi người dùng đã không còn là điều gì bí mật. Facebook cũng vậy. Trong một chuỗi phóng sự, tờ USA Today cho thấy cách Facebook theo dõi người dùng (bao gồm các thành viên và cả những người chưa từng đăng ký sử dụng dịch vụ của mạng xã hội này) và thu thập được khá nhiều dữ liệu. Facebook dùng cookie để theo dõi bất kỳ ai truy cập trang facebook.com và từ thời điểm đó trở đi, mỗi khi họ ghé thăm một trang web thứ ba có nút Like hay một plug-in khác của Facebook, plug-in sẽ kết hợp với cookie để báo cho Facebook biết ngày/giờ truy cập, địa chỉ của trang web. Các đặc tính duy nhất của máy tính và trình duyệt như địa chỉ IP, độ phân giải màn hình, phiên bản của hệ điều hành... cũng được ghi lại. Apple thì theo dõi người dùng qua iPhone và iPad. Có một trường hợp cá biệt, phóng viên Alexis C. Madrigal của tờ The Atlantic đã sử dụng công cụ Collusion của Mozilla để theo dõi những người đang theo dõi anh ta qua trình duyệt. Kết quả thực sự vượt xa mức tưởng tượng của hầu hết người dùng, ít nhất 105 công ty đã theo dõi hành vi truy cập Internet của Alexis chỉ trong vòng 36 tiếng đồng hồ.

Vì sao người dùng khó ẩn danh trên Internet

Những việc chúng ta làm trên Internet đang được kết hợp với những dữ liệu khác về bản thân mỗi người. Hầu như mọi việc mà chúng ta đang làm đều có liên quan đến máy tính và máy tính tạo ra dữ liệu như một sản phẩm phụ tự nhiên. Và mọi thứ đều được lưu lại, được đối chiếu để tìm ra mối liên hệ; rất nhiều công ty big-data đang kiếm tiền bằng cách dựng lên hồ sơ về cuộc sống của mọi người từ các nguồn dữ liệu khác nhau. Chẳng hạn, Facebook đang kết nối hành vi trực tuyến của người dùng với thói quen mua sắm ngoài đời thực của họ. Và còn nhiều ví dụ khác, từ dữ liệu về vị trí của bạn tại công ty di động cho tới hình ảnh ghi lại các bước đi của bạn trong các hệ thống camera theo dõi. Tất cả mọi người đang bị theo dõi liên tục và dữ liệu được lưu trữ mãi mãi (người dùng không có quyền xóa). Sự theo dõi đó vượt xa trí tưởng tượng của những nhà văn viết truyện viễn tưởng trước đây. Tất nhiên, chúng ta có thể áp dụng các biện pháp phòng ngừa như hạn chế tìm kiếm trên iPhone, dùng các trình duyệt cho phép xóa cookie trên máy tính, sử dụng bí danh trên Facebook (điều đang bị hạn chế dần với chính sách bắt buộc sử dụng tên thật), tắt điện thoại di động và chỉ sử dụng tiền mặt trong thanh toán.... Nhưng những điều đó chẳng có nghĩa lý gì, vì ngày càng có nhiều cách để theo dõi. Internet, thư điện tử, điện thoại di động, trình duyệt, mạng xã hội, máy tìm kiếm - tất cả những thứ đó và những tiện ích mới xuất hiện đang trở thành nhu cầu không thể thiếu được trong xã hội hiện đại. Không thể yêu cầu mọi người từ bỏ các dịch vụ đó chỉ vì họ không muốn bị theo dõi, nhất là khi việc theo dõi người dùng được che giấu rất tinh vi và có rất ít lựa chọn khác (những dịch vụ không theo dõi người dùng). Tất cả các công ty cung cấp dịch vụ trên Internet đều muốn theo dõi người dùng, còn các công ty di động thì thường xuyên phá vỡ các biện pháp bảo vệ tính riêng tư trên mạng.

Bảo vệ bí mật cá nhân (hay tính riêng tư) trên Internet gần như là điều không thể. Chỉ cần bạn quên bật tính năng bảo vệ một lần, kích chuột nhầm vào một liên kết, hay gõ nhầm một thứ gì đó là bạn đã gắn vĩnh viễn tên mình với dịch vụ (lẽ ra là) ẩn danh đang sử dụng.

Trong thế giới ngày nay, các chính phủ và các công ty đang phối hợp với nhau để theo dõi các cá nhân. Các chính phủ có nhu cầu sử dụng dữ liệu do các công ty thu thập, đôi khi còn yêu cầu họ thu thập nhiều hơn và lưu giữ lâu hơn. Các công ty thì sẵn sàng mua dữ liệu từ chính phủ. Còn người dùng thì không có cách gì hạn chế những điều đó. Kết quả là Google (và nhiều công ty khác) có thể biết nhiều thông tin về một người hơn những gì người đó hình dung. Còn công ty di động thì biết chính xác vị trí của bạn vào bất kỳ thời điểm nào trong ngày. Sẽ không còn những cuộc trao đổi riêng tư vì càng ngày chúng ta càng trao đổi nhiều hơn qua thư điện tử, tin nhắn, mạng xã hội. Và tất cả những gì mỗi người làm trên máy tính sẽ được lưu lại, đối chiếu, xem xét và chuyển từ công ty này sang công ty khác mà họ không hề hay biết/chấp thuận; và các chính phủ có thể truy cập những thông tin đó bất kỳ lúc nào.

Nguyên nhân khiến người dùng “mắc bẫy” các công ty

Con số thống kê cho thấy rằng, có đến 99% người dùng không đọc hết các điều khoản sử dụng (EULA /Privacy Policy/Terms and Conditions) khi cài đặt phần mềm hay sử dụng dịch vụ. Để chứng minh điều đó, năm 2014, F-Secure đã thực hiện một thử nghiệm thú vị. Họ yêu cầu SySS - một công ty kiểm thử xâm nhập của Đức - tạo một điểm truy cập WiFi miễn phí trên đường phố London cho những người qua lại sử dụng. Điều khoản sử dụng của dịch vụ này khá kỳ quặc: những người dùng phải đồng ý cho đi đứa con đầu lòng, hoặc con thú cưng quý nhất của họ. Và trong một thời gian rất ngắn (khoảng hơn 1 tiếng đồng hồ), đã có tới 6 người chấp nhận điều kiện vô lý đó, chỉ để được truy cập WiFi miễn phí.

Gần đây nhất, hàng triệu người đã tải xuống bản cài đặt Windows 10 qua chương trình Windows Insider Program, mà hầu như không ai trong số đó quan tâm đến việc kiểm tra điều khoản sử dụng, hay chính sách bảo vệ quyền riêng tư. Trong khi đó, các điều khoản do Microsoft đưa ra cho phép họ theo dõi người dùng một cách chưa từng có: “Microsoft thu thập thông tin về bạn, các thiết bị của bạn, các ứng dụng và mạng, cách bạn dùng những thiết bị, ứng dụng và mạng đó. Các ví dụ về dữ liệu mà chúng tôi thu thập bao gồm tên bạn, địa chỉ thư điện tử, các tùy chọn và sở thích; Lịch sử duyệt web, tìm kiếm và sử dụng tệp; Dữ liệu về các cuộc gọi và SMS; Cấu hình thiết bị và dữ liệu cảm biến; Cách sử dụng ứng dụng”. Như để “đánh đố” người dùng, Microsoft tạo nên một chính sách dài 45 trang với hơn 10 ngàn từ. Người dùng vẫn có quyền lựa chọn không cho phép thu thập dữ liệu, nhưng việc tìm ra các thiết lập nằm rải rác ở 13 màn hình và trang web khác nhau trong cuốn “tiểu thuyết mini” về chính sách của Windows 10 thì quả thực là rất ít người có đủ kiên nhẫn để thực hiện.

Những cơ chế giúp người dùng kiểm soát thông tin cá nhân

Một số công ty thu thập thông tin có cơ chế cho phép các cá nhân “Opt out” (yêu cầu được rút khỏi danh sách bị thu thập thông tin cá nhân hoặc ít nhất là ngưng nhận quảng cáo), nhưng việc tìm hiểu cơ chế đó ở từng công ty là không hề đơn giản. Phần lớn người tiêu dùng không được biết những thông tin đó. Trong số 212 công ty thu thập thông tin cá nhân mà phóng viên Natasha Singer của tờ New York Times nhận diện được, chỉ có 92 công ty (tức là chưa được một nửa) chấp nhận “opt-out”. Hơn thế, phần lớn trong số đó đòi hỏi những quy trình rất phức tạp. Nhiều công ty yêu cầu gửi một số giấy tờ tùy thân, chẳng hạn như giấy phép lái xe, để có thể rút khỏi danh sách bị thu thập thông tin.

Trong quá trình tìm hiểu về Network Advertising Initiative - NAI (một sáng kiến bảo vệ quyền riêng tư của người tiêu dùng), phóng viên Alexis của tờ The Atlantic đã tìm tới trang web “tự kiểm soát” của họ để điền vào mẫu “Opt Out”. Anh cũng làm điều đó với hơn 10 công ty được liệt kê (tham gia sáng kiến trên) một cách dễ dàng. Tuy nhiên, kết quả không thực sự rõ ràng. Sau khi đã yêu cầu ngưng theo dõi, Alexis sử dụng Collusion để kiểm tra và thấy rất nhiều công ty tiếp tục theo dõi anh (nhưng không rõ đó có phải là các công ty anh đã opt-out hay không). Các nhà nghiên cứu ở đại học Stanford cho biết, một số công ty tiếp tục theo dõi Alexis sau khi anh đã yêu cầu họ ngưng thực hiện điều đó. Sau khi các nhà nghiên cứu công bố kết quả trên blog của Trường đại học, họ nhận được một phản hồi lập tức từ Chuck Curran - người đứng đầu NAI tại thời điểm đó. Người đứng đầu NAI lý luận rằng, người dùng không có quyền không bị theo dõi. “Từ lâu chúng tôi đã nhận ra rằng, người tiêu dùng nên được cung cấp lựa chọn vì dữ liệu về sở thích của họ có thể dùng để giúp cho các quảng cáo gửi tới họ có liên quan hơn. Nhưng quy tắc của NAI cũng nhìn nhận rằng, các công ty đôi khi cần tiếp tục thu thập dữ liệu cho các mục đích vận hành không liên quan đến việc gửi quảng cáo dựa trên hành vi trực tuyến của người dùng”. Tóm lại chúng ta có thể hiểu là, các nhà quảng cáo trực tuyến sẵn sàng cung cấp cho người dùng quyền không nhận quảng cáo dựa trên lịch sử duyệt web của họ.

Các nhà nghiên cứu từ hai trường đại học Stanford và Princeton đã đề xuất sáng kiến Do Not Track, theo đó, người dùng lựa chọn opt-out và gửi thông tin đến các website qua HTTP header. Thậm chí Microsoft bật theo mặc định tùy chọn Do Not Track trên Internet Explorer 10. Nhưng Do Not Track chỉ là một lời hứa và không bắt buộc trên phương diện pháp lý. Hơn thế nữa, ngay từ phương diện kỹ thuật thì các máy chủ Apache (chiếm khoảng 2/3 trong số các máy chủ web hiện nay) cũng sẽ bỏ qua thiết lập đó.

Dù không có gì đảm bảo hoàn toàn cho quyền riêng tư trên Internet, nhưng chúng ta vẫn có thể sử dụng các biện pháp kỹ thuật để “ẩn mình” khỏi các loại quảng cáo. Nếu các công ty không tự nguyện ngừng theo dõi người dùng, thì chúng ta cần có cách ngăn chặn điều đó. Một số công cụ có thể bảo vệ người dùng khỏi sự theo dõi của Facebook và các trang web khác, ví dụ như các plug-in Priv3, Ghostery, Adblock Plus và Do Not Track Plus. Tuy nhiên, hiện còn có rất ít người biết về những công cụ đó, sử dụng trình duyệt hỗ trợ chúng, hay thậm chí quan tâm đến việc cần tránh bị theo dõi. Hãy thử trải nghiệm và tự đánh giá những công cụ bảo vệ quyền riêng tư nên ở trên.

Theo ATTT
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên