2010/09/13

An ninh điện tử | Phác Thảo và Nhận Dạng

Tóm Tắt

I. Danh tính điện tử của bạn là tập hợp các hồ sơ máy điện toán, điện thoại và mạng hoặc có liên quan đến bạn hoặc có thể dùng để nhận dạng bạn.  Danh tính cũng tiết lộ thông tin mà bạn (cũng như bạn bè và đồng nghiệp của bạn) chia sẻ trên các trang mạng xã hội và các trang blog.
II. Kỹ thuật phác thảo thừa nhận một số thói quen, tính cách, đoàn thể chính trị và xã hội của bạn, cũng như của bạn bè và đồng nghiệp của bạn.  Internet là một tài nguyên xuất sắc để phác thảo nhận dạng bạn.
III. Kỹ thuật ẩn danh là một công cụ quan trọng cho các nhà hoạt động trên mạng khi sử dụng các công cụ liên lạc, nhưng đây là công tác khó khăn trong kỹ thuật hiện đại ngày nay.

Chương này sẽ giải thích về danh tính điện tử của bạn và mô tả cách dùng kỹ thuật hiện đại để phác thảo ra tính cách, các lãnh vực hoạt động và mối giao thiệp của bạn.  Chương này sẽ nhắc đến một số đề tài đã được giải thích trong tài liệu hướng dẫn này gồm có kỹ thuật theo dõi và ẩn danh, và sẽ cố gắng trình bày các cạm bẫy cố hữu và sự bất an của kỹ thuật mạng và điện thoại di động.  Mục đích của chương là để giáo dục người đọc về những lỗ hổng tiềm tàng về an ninh và tự do hội họp hiện hữu trong hệ thống mạng và viễn thông ngày nay, và để hướng dẫn cách đối phó với và cách giảm thiểu hậu quả của các lỗ hổng.

Mặc dù có nhiều người quen thuộc với những thuật ngữ như Web 2.0, mạng xã hội, tin nhanh twitter, truyền bá phim đoạn, v.v., nhưng rất ít người để ý đến khả năng xâm nhập của hệ thống mạng toàn cầu dùng để cung cấp các dịch vụ này.  Mặc dù sự liên lạc trực tiếp và sự truy cập thông tin do kỹ nghệ hiện đại cung cấp rất có nhiều sức cám dỗ, bạn cần phải cân nhắc nó với tính thâm nhập cố hữu của các dụng dụ này có thể đi sâu vào đời sống riêng tư của chúng ta và thu thập dữ kiện về hoạt động của bạn và mạng lưới bạn bè.

Khả năng tình báo mạng không phải chỉ hiện hữu tại các nước tân tiến và ưa dùng kỹ thuật.  Xu hướng thường gặp trong giới buôn bán võ khí trên toàn cầu – có nhiều nước sẵn sàng bán kỹ thuật đã lỗi thời cho bất cứ ai mua được – là họ cũng áp dụng kỹ thuật theo dõi và bảo an.  Sự tập trung các cơ sở dữ liệu công cộng và tư nhân về một nơi, dưới chiêu bài an ninh quốc gia và thế giới thường được dùng nhằm vượt qua các trở ngại về luật pháp và tài chính, cũng như việc tất cả chúng ta phổ biến và đón nhận các dụng cụ và chức năng truyền thông, tạo ra hậu quả làm suy giảm đi và thường là xóa đi sự kín đáo và ẩn danh của danh tính chúng ta – một quyền lợi bẩm sinh và được bảo vệ bởi nhiều hiệp ước và tổ chức quốc tế.

Danh Tính Điện Tử

Trong thực tế của  thế giới, mỗi người được nhận dạng nhờ vào hộ chiếu của chính phủ cấp và người quen biết mặt.  Ngoài ra, còn có nhiều tài liệu và thông tin khác như là bằng lái xe, số an sinh xã hội và số khai thuế và tiếng tăm là những đặc tính nổi bật cho danh tính và đoàn thể của ta.

Kỹ nghệ thông tin hiện đại có khả năng xâm nhập và lấy nhiều chi tiết tỉ mỉ hơn so với thế giới ta thường biết đến.  Có nhiều cách nhận dạng của đời sống cá nhân, thói quen, lãnh vực hoạt động và đoàn thể xã hội bạn đang sinh hoạt, được thu thập và giữ lại.  Nghiên cứu các thông tin và giả thuyết về lối sống tại nhà và tại sở làm được gọi là phác thảo và được trình bày sau trong chương này.

Danh tính điện tử của bạn có thể được thu thập từ nhiều mẫu thông tin, thường do chính hành động của ta tạo ra hoặc báo ra, hoặc do hành động của bạn bè và đồng nghiệp ta.  Mỗi khi liên kết vào mạng, bạn được nhận dạng bởi địa chỉ IP ấn định cho máy bạn (xin xem thêm tại Chương 2.5 và Phụ Lục B).  Trường hợp bạn làm việc từ nhà hoặc sở làm, có thể dùng địa chỉ IP này để dễ dàng suy ra danh tính thật của bạn – vì bạn đã đăng ký và mua dịch vụ truy cập mạng từ một nhà cung cấp tại địa phương đã biết được tên và địa chỉ của bạn.


Một nguyên tắc tương tự cũng được áp dụng cho điện thoại di động.  Nếu bạn đã đăng ký số điện thoại dưới tên bạn, thì mọi cuộc gọi tại số này có liên quan đến bạn.  Ngoài ra, địa điểm của mỗi điện thoại di động đều có thể tính được bằng kỹ thuật gọi là phép đo tam giác – khi một số đài điện thoại nằm gần nơi điện thoại của bạn có thể tính toán được nơi bạn đang ở, chính xác đến độ vài mét.  Còn có thể phức tạp hơn.  Mỗi cái điện thoại được nhận dạng bằng một số IMEI duy nhất.  Con số này được ghi lại mỗi khi bạn dùng điện thoại để gọi.  Dù thay đổi thẻ SIM của điện thoại đã có gắn liền với danh tính của bạn (qua số IMEI) cũng chưa chắc làm cho bạn được ẩn danh.

Điện thoại di động thế hệ thứ 3 – loại điện thoại cung cấp dịch vụ truy cập mạng và tọa độ định vị toàn cầu (GPS) tiết lộ địa điểm chính xác của bạn và thường thì tiết lộ danh tính của bạn cho hãng cung cấp dịch vụ.  Ngay cả khi đã tắt đi, điện thoại cũng có thể tiết lộ tọa độ của nó: nó vẫn tiếp tục liên lạc với các đài điện thoại bằng cách gửi đi một tín hiệu hoạt động ngắn.  Vì lý do này, nên nhà cung cấp phục vụ có thể mở điện thọai di động lên từ xa.  Có giải pháp là tháo pin ra hẳn khỏi điện thoại, và như vậy sẽ làm điện thoại mất đi khả năng cung cấp điện cho bất cứ chức năng nào.

Trương mục và địa chỉ email cũng có thể dùng để nhận dạng bạn.  Khi trương mục được đăng ký dưới tên thật thì nhận dạng thật dễ dàng, và khi trương mục được ẩn danh nhưng được truy cập từ một địa điểm mà địa chỉ IP có gắn liền với bạn thì bạn cũng có thể bị nhận dạng.

Cùng một nguyên tắc được áp dung khi bạn viết blog và sử dụng trương mục chat trên mạng, đăng nhập mạng xã hội, đăng ký diễn đàn và tiểu sử trò chơi mạng.  Như đã trình bày trước đây trong sổ tay này, nhà cung cấp dịch vụ mạng và điện thoại thu thập lại tài liệu liên lạc.  Khi có đủ thông tin về hoạt động mạng của bạn, có thể nhờ vào dụng cụ truyền thông điện tử mà suy ra danh tính xác thực của bạn.

Máy đã bị nhiễm malware cũng có thể vạch trần chi tiết bí mật của người dùng máy, tiết lộ thông tin về hoạt động của người dùng cho một kẻ thứ ba.  Nếu muốn biết thêm chi tiết về cách đối phó với những mối đe dọa này, xin xem thêm ở Chương 2.9.

Thiết Lập Hồ Sơ Điện Tử (Digital Profiling)
 Khi danh tính của một hồ sơ điện tử trên mạng (digital profile) chủ ý hay vô tình có liên hệ với một cá nhân thì quyền riêng tư của cá nhân ấy trở thành một quan tâm lớn. Bởi vì những lần truy cập vào những trạng mạng trên Internet, hoặc những trao đổi, liên lạc qua email có thể làm lộ những tin rất quan trọng về một người, ví dụ như thói quen và những mối quan hệ của người ấy với những tổ chức, cá nhân cụ thể khác.  Cho nên, quan điểm chính trị và xã hội, cũng như sự liên kết với các tổ chức và đặc biệt là những hành động trong tương lai của cá nhân ấy có thể được giả định.

Hiện nay, việc thu gom thông tin cá nhân trên mạng để lập thành hồ sơ cá biệt để sử dụng cho nhiều mục địch khác nhau rất phổ biến. Với tên gọi digital profiling, đây là cách thu thập thông tin từ các kho dữ liệu (database) mà người sử dụng mạng vô tình hay cố ý lưu lại. Dựa vào các hồ sơ ấy, người ta có thể phỏng đoán cá tính, xu hướng hành vi hay hành động của một cá nhân hay một tổ chức.  Vi vậy profiling được các công ty tiếp thị, hoặc tài chính áp dụng để phân tích sở thích của người tiêu dùng, cũng như tác động của một mặt hàng hoặc dịch vụ lên người tiêu dùng.  Profiling cũng là cách thông dụng để cơ quan công quyền có thông tin về những suy tính gây ra tội ác để suy đoán, và nhận diện nhằm ngăn chặn kẻ gian trước khi họ gây ra tội ác.  Cụ thể, profiling hiện nay rất phổ biến trong kỹ nghệ hàng không. Cách này được áp dụng để ngăn chặn kẻ có tiềm năng gây ra tội ác, hay khủng bố ngay trước khi họ bước chân lên phi cơ.

Ngoài việc thu thập hồ sơ về tội ác, tiềm năng tín dụng, việc làm, và dữ liệu y khoa, profiling ngày nay bao gồm thu thập luôn danh tính điện tử trên mạng (digital identity) để nâng cao mức xác thực và mức độ chi tiết của mỗi hồ sơ.  Cụ thể, tất cả các email gửi đi và nhận được, những cú điện thoại, và các trang mạng bạn truy cập đều được lưu lại. Để khi cần, người ta mang ra phân tích.  Các ví dụ phổ biến là Google Email và các ứng dụng (applications) của Google.  Google cung cấp dịch vụ miễn phí cho hàng triệu khách hàng. Nhưng, Google vẫn kiếm được lợi nhuận là nhờ vào quảng cáo. Các phầm mềm được cài sẳn trong  những dịch vụ của Google sẽ rà soát email và những mối liên lạc qua ngã Google để tìm thông tin và  đối tượng tương xứng để quảng cáo.  Điều đáng ngại là khách hàng phải đồng ý với chính sách này khi ghi danh tạo trương mục (account).

Tuy rất khó để biết Google sẽ phản ứng và sử dụng các thông tin nêu trên ra sao dưới sức ép của luật pháp Mỹ, nhưng chúng ta cũng  hình dung ra được những mối nguy ngại từ việc nhận dạng (profiling) này.  Tương tự như vậy, ta sẽ còn gặp khó khăn nữa để có thể đoán trước đại công ty này sẽ tuân thủ và hành động như thế nào nhằm tôn trọng các luật về quyền riêng tư của chính quyền nước ngoài. Ví dụ, tại Hoa Lục, Google đã lắp đặt những hệ thống sàng lọc kết quả truy cập (results of searches) Internet do người dân Hoa Lục tìm khi Google phải tuân thủ theo luật pháp nơi này. Cũng xin nói thêm là, cứ vài năm một lần, các công ty viễn thông hàng đầu và nhiều  chính phủ các nước họp mặt để thảo luận về các tiến trình cũng như cập nhật các kỹ thuật kiểm soát Internet và truyền thông. Mong rằng quyền riêng tư sẽ được phần nào bảo đảm.

Thông tin cá nhân của một người và rồi danh tính của người đó không chỉ bị lộ (hay bóp méo) qua những hoạt động hằng ngày, mà còn phải chịu tác động bởi những gì người khác trao đổi hoặc bàn luận về người ấy.  Ví dụ, một bức điện thư (email) gửi đến hộp thư với nội dung liên quan đến hồ sơ (profile) của một người. Căn cứ vào nội dung của bức thư ấy (qua Internet hôm nay), bất kể email kia được nhận hay không, người ta có thể đoán ra danh tính của người nhận thư. Vì thế, khi một email được gửi đến một nhóm địa chỉ, mối giao kết và liên hệ giữa các người trong nhóm tự nhiên thành hình, bất kể sự mong muốn của mỗi người nhận. Cho nên, hồ sơ cá nhân trên mạng của ta rất dễ, và thường chịu ảnh hưởng bởi những giao tiếp giữa ta, bạn bè và đồng nghiệp.

Vài ví dụ nhằm biểu thị tiềm năng việc bị thu thập thông tin khi sử dụng các dịch vụ liên kết mạng xã hội. Công chúng sẵn sàng tải lên Internet một khối lượng lớn thông tin cá nhân, tạo liên kết giữa bạn bè và đồng nghiệp, để lộ nơi ở, hình ảnh, và cả thông tin liên lạc, khi sức ép và sự thu hút tham gia vào “cách mạng truyền thông” này mỗi ngày một lớn.  Chưa khi nào bằng lúc này, khi các nhà tiếp thị, chính phủ, và kẻ gian có thể thu thập thông tin cá nhân trên mạng dễ dàng để sử dụng cho nhiều mục đích khác nhau. Điển hình là các Vệ Binh Cách Mạng Iran đã tốn rất nhiều thời gian trên mạng Twitter để theo dõi tất cả các cuộc biểu tình cũng như chương trình hành động của đối phưong, đôi khi còn mạo dạng người đấu tranh. Vì thế họ đã thành công trong việc ngăn chặn hành động của đối phương ngay từ khi còn trong trứng nước. Twitter cũng có thể đã giúp họ nhận diện hoặc xác nhận danh tính của những người biểu tình và những nhà lãnh đạo đấu tranh xã hội.

Một khi thông tin đã được lưu, rất khó xoá (xem thêm chương 2.3), và điều này cũng áp dụng tại các ứng dụng trên những mạng xã hội (social networking tools). Một trang Facebook hoàn toàn cá nhân có thể bị người chủ tương lai soi mói trước khi mướn bạn, bất kể công việc bạn xin làm là việc gì. Hoặc một cơ quan truyền thông, được sự bảo trợ của chính phủ, nếu muốn chế diễu hay tìm bẩn các thành viên của tổ chức nhân quyền như NGO, không những có thể điều tra các trang mạng xã hội của bất cứ thành viên nào, mà còn có thể đi sâu vào trang của bạn, và bạn của bạn họ nữa. Có thể  nói, khi một quả  táo hư, hay môt chút bụi bẩn được tìm trong muôn vàn mối liên hệ trên toàn cầu của một người,  nhiều chuyện có thể được thêu dệt để tác động đến danh tiếng và uy tín của người đó, và cả luôn tổ chức hay cơ quan người đấy làm.

Tóm lại, không ai có thể tránh khỏi việc bị thu thập thông tin cá nhân (profiling). Tuy nhiên, nhận thức ra và có những biện pháp đề phòng sẽ giúp ta giới hạn, hoặc có quyền chọn lựa những thông tin gì về ta sẽ bị thu nhặt. Xin kết luận rằng, sự tác động của kỹ thuật vào trong đời sống nghề nghiệp và đời sống cá nhân đồng nghĩa với việc phải ta đối diện với nguy cơ bị thu thập thông tin cá nhân!


Chính Danh và sự Minh Danh (authenticity and Authentication)   

Tính chất toàn cầu và đại chúng của Internet đờng nghĩa với phải cần thêm nhiều phương pháp mới để thẩm định thông tin và chính danh của người dùng.   Cho đến bây giờ, người sử dụng email được nhận dạng bởi tên người xử dụng (username) và mật khẩu (password). Mỗi trương mục gắn liền với danh tính, và tên liên hệ được hiển thị để minh chứng nguồn gốc tất cả tin nhắn gửi đến bạn bè và đồng nghiệp. Username cũng được xử dụng bởi các tham dự viên trên những phiên tán gẫu (chat), diễn đàn (forum), và các trang mạng liên kết xã hội trên Internet. Như đã được bàn luận trước đây và trong toàn tài liệu này, nhiều nội dung thông tin qua ngã Internet rất dễ bị giám sát. Thêm vào đó, rất nhiều danh tính mà ta dựa vào để nhận dạng nhân sự trong môi trường ảo, có thể làm giả được. Một kẻ gian đủ kinh nghiệm có thể ngụy tạo địa chỉ điện thư của họ giống hệt như của bạn (xem chương 2.5) để mạo danh bạn gửi thư.  Bằng cách lần theo dấu vết của bức thư  khi đã được mã hoá, ta có thể tìm ra người nặc danh, nhưng dường như rất ít trong chúng ta được chỉ dạy cách này (xem Phụ Lục B-Điện Thư).

Nguồn gốc của một email không thể tin cậy được nếu không thể xác định người đích thực gửi là ai. Ví dụ, tổ chức Ân Xá Quốc Tế, vì nhận thức vấn đề này, nên tất cả liên lạc qua điện thư của tổ chức này đều kèm theo thông điệp phủ nhận trách nhiệm sau đây:

“…Những giao tiếp qua Internet không an toàn, bởi vậy Ân Xá Quốc Tế không chấp nhận trách nhiệm pháp lý đối với nội dung của thư tín này. Nếu bạn không phải là người được nhận, bạn không được tiết lộ hoặc đặt niềm tin vào thông tin trong bức điện thư này.”

Khi tán gẩu (trên MSN hay Skype), bạn đôi khi cho rằng đối phương đích thật là người họ tự nhận, mặc dù chưa có cách nào kiểm chứng được qua giọng nói hay qua thị giác. Cho nên một trương mục được thoả hiệp, hoặc một trương mục nặc danh có thể gây ra nhiều rủi ro đến sự riêng tư và an toàn cho những ai đặt hết niềm tin vào uy tính một trương mục khi trao đổi thông tin. 

Những phương pháp điện tử (digital methods) thường không hiệu quả lắm trong việc nhận dạng chân dung kẻ gian trên Internet. Cho nên ta phải dựa vào một phương pháp cũ, nhưng thông dụng, là trao đổi ám hiệu cho nhau trước khi trò chuyện.  Những ám hiệu này có thể là một ngôn từ bí mật, hoặc một câu hỏi với câu trả lời mật giành riêng cho các đương sự trước khi cuộc tán gẩu bắt đầu.  Và những ám hiệu này được gắn bó với một trương mục hay username với người mà bạn thật sư quen biết. Chỉ có vậy mới phần nào bảo đảm được quyền riêng tư của bạn!

Nhận dạng danh tính trực tuyến tương đối rắc rối hơn khi xử dụng điện thư. Bởi vì người gửi có thể không gửi kèm bất cứ chi tiết gì để minh định danh tính của họ ( ví dụ như giấu điạ chỉ nơi gửi).  Tương tự, bị đọc lén và thay đổi nội dung thư là những đe dọa có thật và thường có xác suất xảy ra rất cao. Những chữ ký điện tử (digital signatures) được tạo ra nhằm để đối phó với những khó khăn trong việc xác định danh tính thật trên môi trường ảo.  Các chữ ký này sử dụng phương pháp mã hoá (encryption) để lưu lại hết nội dung của tin nhắn và danh tính của người gửi, và được bảo an bởi một mật khẩu mạnh. Nếu bản tin nhắn ấy bị đột nhập, hay phá hoại, chữ ký kia sẽ bị làm hỏng, và người nhận sẽ được thông báo rằng tin nhắn kia không còn đáng tin cậy nữa. Cho nên một khi bạn xây dựng được một hệ thống mã hoá công cộng tốt, chữ ký điện tử của bạn sẽ trở thành một giá trị tối đa trong việc xác định danh tính của bạn và người nhận khi trao đổi tin nhắn.

Hướng Đến Sự Ẩn Danh (Towards digital anonymity)

Khuất danh theo đúng nghĩa là điều có đạt được trong thế giới tân tiến của kỹ thuật trao đổi thông tin. Rất nhiều nhà đấu tranh đã và đang bị lộ và bị xét xử vì phát hành bài viết, gửi tin nhắn, hoặc gọi điện thoại cho nhau cho dù đã dùng bí danh. Có lẽ những thông tin trong bản tin ngắn hay những trao đổi qua điện thoại không hé lộ bất kỳ thông tin nào để có thể nhận dạng danh tính họ. Nhưng khi phải xử dụng đến những phương tiện giao tiếp kia, họ vô tình dùng đến các chức năng khác đã được cài sẳn, và các chức năng ấy hé lộ danh tính của họ!

Giải pháp là tìm hiểu một phương tiện cụ thể, một tin nhắn, hay một hành động trên mạng gắn liền với danh tính thật của bạn ra sao để tìm cách ứng phó. Mức độ khuất danh vừa phải có thể đạt được bằng cách ghi danh một địa chỉ email ảo với thật nhiều trương mục khác nhau. Tốt nhất là làm vậy trên máy điện toán công cộng (ví dụ, tại thư viện  hay quán Café Internet) khi địa chỉ IP của máy không liên hệ đến bạn. Hãy chọn dịch vụ được biết đến rộng rãi, như Hotmail hay Gmail và tạo một địa chỉ điện thư không dùng tên bạn hoặc bất cứ từ khoá nào mà người ta có thể lần mò theo mà tìm ra danh tính thật của bạn. Phải quyết tâm không nhắc, không kèm theo bất cứ thông tin nào liên quan đến danh tính thật của bạn khi trao đổi tin nhắn nếu không cần, và phải hết sức thận trong khi tiết lộ địa chỉ điện thư ảo với người khác.

Khi lướt các trang mạng, hãy để ý các hành động của bạn bị giám sát ra sao. Nếu bạn muốn giữ trạng thái tương đối khuất danh khi phải lướt những trang mạng “nguy hiểm” thì nên làm chuyện này ở các máy điện toán công cộng. Còn những mạng lưới ẩn danh như Tor hay các proxy servers hổ trợ ẩn danh thì có thể giúp bạn ngụy trang điểm đến và nguồn gốc các thông tin bạn tìm. Hãy cố gắng không xử dụng cách này khi lướt những trang“nguy hiểm” qua đường kết nối Internet  cá nhân tại nhà riêng, cho dù chỉ làm “một lần.” Bởi vì một khi đầu mối về bạn đã được hình thành, nó có thể được lưu trữ tại các server của nhà cung cấp dịch vụ Internet.

Khi xử dụng điện thoại di động, đổi máy di động mới và thẻ nhớ mới (SIM) sẽ giúp bạn phần nào ẩn danh. Những thẻ nhớ trả tiền trước (Pre-paid SIM cards) và các máy không đăng ký có thể ẩn danh những người tham gia nói chuyện. Ở một số nước, bạn có thể mua thẻ nhớ và máy không cần phải đăng ký danh tính, hoặc mua với danh tính giả. Nhưng đấy có thể là một việc làm bất hợp pháp về mặt pháp lý. Chúng ta cần biết rằng, nguy cơ bị lộ danh tính sẽ giảm đi nếu bạn hạn chế sử dụng và thường xuyên thay đổi máy di động.

Có thể đã quá trể để ẩn danh danh tính hiện giờ, dù là trên Internet hay qua các phương tiên truyền thông di động. Hãy tạo nhiều trương mục mới và hãy thay đổi số điện thoại nhằm phần nào giữ được ẩn danh trong trao đổi. Sau đó, hãy lưu tâm đến nơi và cách đăng ký, cũng như nội dung trao đổi qua phương tiện hay dịch vụ này với người khác. 

Tóm lại, phải luôn luôn cẩn thận, cảnh giác, và thận trọng đối với những sinh hoạt trên Internet và điện thoại di động, nếu sự ẩn danh dính liền với sự an nguy của bạn!

No comments:

Post a Comment