2011/01/23

Vượt tường lửa | Kiến Thức Chuyên Môn

Khi các mẹo đơn giản vô hiệu quả

Có nhiều lý do tại sao việc sử dụng những kỹ thuật đơn giản như dùng trang đệm của các trang tìm kiếm, hoặc web proxy đơn giản, để truy cập các trang mạng bị cấm cũng không đạt.

Trong một vài trường hợp, những kỹ thuật thông thường này không đủ để vượt qua sự ngăn chặn.
Có khi bạn muốn vượt sự kiểm duyệt nhưng đồng thời cũng không muốn cơ quan kiểm duyệt biết bạn đang truy cập thông tin gì, hoặc phát hiện ra bạn đang tìm cách vượt  kiểm duyệt. Trong những trường hợp như thế, nhiều kỹ thuật cao cấp có thể được xử dụng và mỗi một kỹ thuật giải quyết được những nan đề khác nhau bằng những phương thức khác nhau.

Chương sách này giới thiệu một vài khái niệm kỹ thuật chính để giúp bạn chọn lựa phương cách giải quyết thích ứng trong từng hoàn cảnh. Chương này còn đề cập chi tiết đến nhiều phương cách khác nhau để truy cập được thông tin bị ngăn cấm.


Hướng dẫn cho những ai "mọt.... máy vi tính"

 

Cổng và Giao thức
Mạng lưới Internet toàn cầu đặt nền tảng hoạt động trên nhiều chuỗi giao thức (protocols) để tiêu chuẩn hoá những nhóm thủ tục nhằm quản trị cách thức các mạng máy tính liên lạc với nhau. Những nhóm giao thức chủ yếu được dùng để điều hợp những nối kết và những gói tin (message packets) dùng cho mạng lưới toàn cầu là TCP/IP.  Những giao thức có thể xử lý một lĩnh vực dữ kiện rộng rãi, với phần mềm để phân chia những dữ liệu lớn thành những phần nhỏ hơn, đánh số từng phần để truyền tải, và kết hợp chúng lại tại đầu nhận. Phương pháp phổ biến nhất để xác định giao thức nào để sử dụng là ấn định địa chỉ cho các gói tin tới số cổng nào đỏ. Chẳng hạn như HTTP dùng cho trang mạng bình thường sử dụng cổng 80, và POP3 thường dùng cổng 110 để nhận email. Ngăn cản lưu lượng thông tin tới một cổng cá biệt tại một IP riêng biệt làm vô hiệu hóa truy cập bình thường đến một dịch vụ tại vị trí đó, trong khi vẫn để cho những dịch vụ còn lại có thể sử dụng được. Phương pháp đơn giản nhất để tránh một cổng bị chặn là cung cấp dịch vụ vào một cổng ngoài tiêu chuẩn (non-standard port) nhưng phương cách này chỉ có thể thực hiện bởi chủ nhân dịch vụ chứ không phải bởi người sử dụng.


Mô hình mạng lưới nhiều tầng

Hệ thống giao thức thường được diễn tả như tập hợp của nhiều tầng (lớp). Về phần Internet, tầng cuối cùng (thấp nhất) (được gọi là tầng liên kết dữ liệu) rất gần với phần cứng (hardware), và phần cao nhất (Application Layer, tầng ứng dụng) gần với người sử dụng nhất. Những giao thức chính yếu ở giữa hai tầng này là TCP (Transmission Control Protocol) là tầng giao vận (Transport Layer), và IP  (Internet Protocol) là tầng giao thức mạng, nằm ở dưới tầng TCP của hệ thống mạng (Internet Layer). Hai phần đó hợp lại với nhau thường được gọi là TCP/IP. UDP (User Datagram Protocol – Giao thức sử dụng dữ kiện) là phần ít được biết đến nhưng cũng quan trọng không kém và ở cùng tầng với TCP. Có rất nhiều, nhưng không phải tất cả các dịch vụ cung cấp TCP đồng thời cũng có UDP, trong lúc một vài dịch vụ chỉ có UDP mà thôi.

Phần trên cùng, được gọi là tầng ứng dụng (Application layer), bao gồm nhiều giao thức như là DNS (dùng cho tên miền), FTP (truyền cập tin), HTTP (trang mạng), IRC (nói chuyện, tán gẫu), NNTP (usenet), POP3 (nhận email), SIP (truyền giọng nói qua IP/ điện thoại IP), và SSH (mã hóa truyền thông). IANA (Tổ chức cấp phát tín hiệu mạng toàn cầu) ấn định số cổng cho từng dịch vụ ứng dụng như cổng 53 được dùng để tìm kiếm DNS (hệ thống tên miền), cổng 80 dùng cho HTTP, và cổng 110 cho POP3 (Post Office Protocol 3). Một cách tổng quát, mặc định những cổng số cho từng giao thức để cho tiện lợi chứ không phải là điều bắt buộc về phương diện kỹ thuật, thật ra các loại dữ kiện gửi tới cổng nào cũng được. Có rất nhiều phương pháp điều hành tương tự trong việc phân công cho các cổng được ấn định cho UDP như vậy. Không phải tất cả nhưng một vài trường hợp một dịch vụ có thể truy cập chung cổng sử dụng TCP hay UDP cũng được. Một ngoại lệ là NTP (Network Time Protocol) chỉ được cung cấp trên UDP mà thôi. UDP thông thường cũng được dùng cho trực tiếp đa truyền thông ứng dụng chẳng hạn như truyền giọng nói trên giao thức IP (điện thoại IP), mà một vài ứng dụng không được cung cấp trên TCP.

Người sử dụng thường không quan tâm đến sự ấn định của cổng bởi vì sự ấn định được điều khiển một cách tự động trong những trường hợp mặc định. Tuy nhiên, việc sử dụng những cổng tiêu chuẩn không phải là điều bắt buộc. Tùy theo sự sắp xếp trước giữa người cung cấp và người sử dụng dịch vụ, người quản lý hệ thống có thể điều chỉnh để sự truy cập vào những dịch vụ tiêu chuẩn qua những số cổng ngoài tiêu chuẩn. Cách sắp xếp này cho phép phần mềm vượt qua được cách chận cổng nhằm hạn chế sử dụng các dịch vụ này.

Một số nhu liệu có thể được ấn định để sử dụng số cổng ngoài tiêu chuẩn. Địa chỉ URL có cách tiện gọn để chỉ định số cổng trong cách ghi. Chẳng hạn như địa chỉ URL http://www.example.com:8000/foo/ có thể sử dụng để gửi yêu cầu HTTP tới trang mạng example.com ở cổng 8000, thay vì dùng cổng mặc định thông thường là  80.

Những Kỹ thuật Sàng lọc Cao Cấp

(Phỏng theo “Truy Cập bị Từ Chối” tức “Access Denied,” chương 3 của tác giả Steven J. Murdoch and Ross Anderson)

Mục đích xử dụng phương pháp lọc thay đổi tùy theo động cơ thúc đẩy của mỗi tổ chức sử dụng phương pháp đó. Họ có thể làm cho một trang mạng nào đó (hay một phần của trang mạng đó) không thể truy cập được đối với những người muốn vào xem, làm cho việc truy cập trang đó thất thường, hoặc làm cho người sử dụng thoái chí không muốn truy cập ngay từ đầu. Việc chọn lựa cách sàng lọc cũng còn tùy thuộc vào khả năng của cơ quan đòi hỏi kiểm duyệt – nơi nào với tới được, những ai họ có thể áp chế được và chịu chi bao nhiêu tiền. Những cân nhắc khác bao gồm con số sai sót có thể chấp nhận được, sự sàng lọc có công khai hay không, và độ chắc chắn (ngăn cản đối với cả người xử dụng đôi chút cũng như những người muốn vượt thoát).

Trong phần này, chúng tôi sẽ trình bày làm sao để ngăn chận thông tin một khi đã thiết lập danh sách các nguồn thông tin cần cấm. Thiết lập danh sách này là một thử thách đáng kể và là yếu điểm thông thường của hệ thống sàng lọc. Không những số lượng lớn lao của trang mạng làm cho việc thiết lập một danh sách đầy đủ nội dung bị ngăn chặn trở nên khó khăn, mà sự di chuyển của nội dung và trang mạng thay đổi địa chỉ IP làm cho sự cập nhật danh sách này đòi hỏi rất nhiều nỗ lực. Hơn thế nữa, nếu người điều hành muốn can thiệp vào sự ngăn chặn đó, trang mạng phải di chuyển nhanh hơn bình thường.

Sàng Lọc bằng Phần đầu TCP/IP

Một gói tin IP gồm có một phần đầu, kế tiếp là dữ kiện chuyển tãi (gói hàng / payload). Bộ định tuyến (routers) phải xem xét phần đầu IP vì địa chỉ IP của nơi đến nằm trong đây. Để ngăn không cho truy cập máy chủ đó, router có để được cấu hình để loại bỏ gói IP nào đi đến địa chỉ có trong sổ đen. Tuy nhiên, mỗi máy chủ có thể cung cấp nhiều loại dịch vụ, chẳng hạn như cung cấp dịch vụ web và email. Cho nên, sự ngăn chặn hoàn toàn dựa trên địa chỉ IP mà thôi sẽ khiến không truy cập được tất cả những dịch vụ khác của máy chủ có tên trong sổ đen.

Sự ngăn chặn có thể được chính xác hơn bằng cách thêm số cổng vào sổ đen, số cổng đó cũng có ghi trong phần đầu TCP/IP.  Việc nhiều trang mạng cùng nằm trên một máy chủ, cùng địa chỉ IP, và cùng luôn số cổng 80 là điều khá thông thường.

Ngăn Chặn Cổng

Các cổng được sử dụng có thể bị kiểm soát bởi những nhà điều hành mạng của tổ cung cấp dịch vụ vi tính mà bạn đang sử dụng – dù cho đó là một công ty tư nhân hay quán cà phê Internet, do công ty cung cấp dịch vụ Internet, hay do bất cứ nhân viên kiểm duyệt  nào của một cơ quan chính phủ có quyền truy cập đến các điểm kết nối mà ISP cung cấp.  Bên cạnh lý do kiểm duyệt còn có rất nhiều lý do để cổng có thể bị chặn-để hạn chế thư rác, hay để kiểm soát những chi phí liên quan đến sử dụng đường truyền nhanh (high-bandwidth), chẳng hạn như việc chia sẻ dữ liệu trên mạng đồng đẳng (peer-to-peer filesharing).

Nếu một cổng bị chặn, bạn không thể truy cập được bất cứ thông tin nào có liên hệ đến cổng đó. Giới kiểm duyệt thường chặn các cổng số 1080, 3128, và 8080 bởi vì đây là những cổng thông dụng nhất của các dịch vụ proxy. Trong trường hợp này, bạn phải tìm những proxy dùng cổng số khác. Việc tìm kiếm này sẽ tương đối khó khăn.

Bạn có thể thử xem cổng nào bị chặn trên đường dây của bạn bằng cách dụng phần mềm Telnet. Chỉ cần mở một giao diện dòng lệnh (command line)  terminal hay DOS prompt, đánh chữ “telnet login.icq.com 5555" hay "telnet login.oscar.aol.com 5555" rồi ấn“ENTER” trên bàn phím.  Con số 5555 là cổng mà bạn muốn thử. Nếu bạn nhận được những ký hiệu lạ thì sự nối kết đã thành công.

  telnet_1.png
  
Nếu trái lại, máy vi tính lập tức báo cáo là đường nối bị rớt (failed), hết giờ, hay bị gián đoạn, bị cắt, hay reset, nghĩa là cổng đó có thể bị chặn. (Nên nhớ rằng một số cổng có thể bị chặn chỉ khi nào có liên hệ đến một địa chỉ IP nào đó).

Sau đây là một số cổng thông dụng nhất :

• 20 và 21 - FTP (file transfer), dùng để chuyển dữ liệu
• 22 - SSH (secure shell remote access), dùng để kết nối từ xa (an toàn)
• 23 - Telnet (unsecure remote access), dùng để kết nối từ xa (không an toàn)
• 25 - SMTP (send email), dùng để gửi điện thư
• 53 - DNS (resolves a computer's name to an IP address), chuyển đổi tên miền qua số IP
• 80 - HTTP (normal web browsing; also sometimes used for a proxy), dùng để truy cập vào mạng
• 110 - POP3 (receive email), dùng để nhận điện thư
• 143 - IMAP (send/receive email), dùng để gửi và nhận điện thư
• 443 - SSL (secure HTTPS connections), dùng để nối kết vào HTTPS (an toàn)
• 993 - secure IMAP, được bảo an
• 995 - secure POP3, được bảo an
• 1080 - SOCKS proxy
• 1194 - OpenVPN
• 3128 - Squid proxy
• 3389 - Remote Desktop
• 8080 - Standard HTTP-style proxy

Chẳng hạn, trong một trường đại học, chỉ có cổng số 22 (SSH), 110 (POP3), 143 (IMAP), 993 (secure IMAP), 995 (secure POP3) and 5190 (ICQ trò chuyện trực tuyến) có thể được mở để đi ra ngoài. Như vậy có nghĩa là bạn phải tìm một máy chủ proxy hay máy chủ VPN đang vận hành tại những cổng này, hay thuyết phục một người bạn, hoặc một mối liên lạc ở bên ngoài trường thiết lập một máy chủ proxy tại một trong những cổng trên.  Khả năng cho phép những máy chủ proxy dùng những cổng không thông thường là điều khiến các kỹ thuật vượt thoát kiểm duyệt trở thành hiện thực.

Sàng Lọc Bằng Nội Dung TCP/IP

Việc sàng lọc phần đầu TCP/IP chỉ chặn được truyền thông dựa trên địa chỉ gửi ra  chứ không chặn được nội dung mà gói tin đó chuyển tải. Đây có thể là một vấn đề cho giới kiểm duyệt nếu việc thiết lập một danh sách có đầy đủ những địa chỉ IP chứa đựng những nội dung phải ngăn cấm là điều không thể thực hiện, hoặc là nếu một số địa chỉ IP chứa không đủ nội dung bị ngăn cấm để mang lại cảm tưởng rằng không nên chặn truyền thông một cách toàn diện. Có một phương pháp kiểm soát tốt hơn mà có thể thực hiện được: nội dung mà gói tin mang theo có thể bị kiểm tra nhắm vào những từ khoá bị cấm. Những dụng cụ khác có thể cần đến vì những thiết bị định tuyến (routers) thường không thể kiểm tra được nội dung của gói tin, mà chỉ kiểm soát được phần đầu của gói tin. Phần cứng (hardware) thông thường không phản ứng kịp để chặn những gói tin vi phạm, thành ra phải sử dụng những phương pháp khác để ngăn cản những gói tin này. Vì gói tin có một kích thước tối đa, toàn bộ nội dung thông tin có thể được chia ra thành nhiều gói tin nhỏ hơn. Vì thế trong khi các gói tin phạm luật có thể vượt qua được, nhưng nội dung bên trong có thể bị xáo trộn vì những gói tin tiếp theo sau có thể bị chặn lại. Việc này có thể thực hiên được bằng phương pháp ngăn chặn các gói tin trực tiếp, hoặc gửi tin nhắn đến cả hai đầu đối thoại để yêu cầu họ ngưng trao đổi. Một ảnh hưởng khác về kích thước tối đa của gói tin là những từ chủ yếu có thể bị tản mác ra khỏi giới hạn của các đơn vị thông tin (packet boundaries). Như vậy, những thiết bị để kiểm soát riêng rẽ từng đơn vị có thể bị thất bại trong việc phát giác ra những từ cấm. Để cho việc kiểm soát được hoàn toàn hữu hiệu, dòng truyền thông phải được kết hợp lại như cũ, việc này tăng thêm phức tạp. Thay vào đó, phương pháp sàng lọc HTTP proxy có thể được sử dụng, sẽ được trình bày sau này.

Làm Xáo trộn Hệ thống tên miền (DNS)

Đa số việc liên lạc qua Internet sử dụng tên miền thay vì dùng địa chỉ IP, đặc biệt là về việc truy cập mạng. Vì vậy, nếu giai đoạn tra cứu tên miền có thể bị sàng lọc, việc truy cập các trang mạng bị cấm có thể được ngăn chặn một cách hữu hiệu. Với phương pháp này, máy quản trị dịch vụ tên miền (DNS) được truy cập bởi người xử dụng được cung cấp một danh sách tên miền bị ngăn cấm. Khi máy vi tính yêu cầu được truy cập vào địa chỉ IP cụ thể nằm trong một trong những tên miền bị ngăn cấm này, thì máy sẽ nhận được một câu trả lời trống (hay không trả lời). Và khi không đến được điạ chỉ IP, máy sẽ nhận được một tín hiệu báo lỗi.

Xin lưu ý là ngay tại giai đoạn mà sự ngăn tên miền được tiến hành người sử dụng vẫn chưa truy nhập một trang nào thuộc tên miền đó, đó là lý do vì sao tất cả những trang mạng thuộc một tên miền sẽ bị chặn.


Sàng lọc bằng HTTP proxy

Một phương pháp khác để định thể hệ thống mạng là thay vì để cho người sử dụng kết nối trực tiếp vào trang mạng thì buộc (hay khuyến khích) họ đi vào những trang mạng đó qua một máy chủ chuyển tiếp (proxy server).  Ngoài việc trì hoãn những yêu cầu (để tiện kiểm soát), proxy server có thể tạm giữ trang mạng đó lại trong một vùng đệm. Lợi điểm của phương pháp này là nếu có một người sử dụng thứ hai cùng chung một nhà cung cấp mạng có yêu cầu tương tự thì máy chuyển tiếp sẽ đáp ứng trực tiếp từ các trang đệm, thay vì phải đi vào máy chủ thực sự thêm một lần nữa. Đối với người sử dụng thì phương pháp này hay hơn vì trang mạng sẽ hiện lên nhanh hơn, có vẻ như họ chỉ nối kết với nhà cung cấp mạng của họ chứ không phải nối kết với với một nhà cung cấp thứ hai. Phương pháp này cũng tiện lợi hơn cho ISP vì phải phải tốn băng thông (bandwidth) khi nối vào máy chủ, và thay vì phải chuyển tiếp những trang từ những mạng phổ thông hàng trăm lần, họ chỉ cần chuyển một lần là đủ rồi.

Tuy nhiên, song song với việc cải tiến hiệu suất, HTTP proxy cũng có thể ngăn chặn trang mạng. Máy chuyển tiếp quyết định có nên chấp thuận sự yêu cầu tới trang mạng hay không, và nếu được, gửi yêu cầu tới máy quản trị mạng nội dung yêu cầu. Vì toàn thể nội dung hiện hữu, những trang mạng cá biệt có thể bị sàng lọc, dựa trên căn bản cả tên và nội dung của trang mạng.

Hybrid TCP/IP và HTTP proxy

Khi mà các yều cầu kết nối bị chặn bắt bởi HTTP proxy thì chúng phải được tập hợp lại từ những gói tin nguyên thủy, phải được giải mã và phải được phát lại thì các phần cứng (hardware) vi tính cần có để bắt kịp tốc độ truyền tải của Internet sẽ rất tốn kém. Bởi thế mới có những hệ thống cung cấp HTTP proxy đa năng với giá rẻ hơn. Những hệ thống lọc này vận hành bằng cách thành lập một danh sách địa chỉ IP của tất cả các trang mạng có nội dung bị cấm, nhưng thay vì ngăn chặn tất cả dữ kiện truyền tải bởi những máy chủ của các trang web này, lưu lượng truyền thông  được chuyển hướng về một máy HTTP proxy minh bạc.  Ở đây, toàn bộ địa chỉ trang web được kiểm tra và nếu chúng có nội dung bị cấm thì chúng sẽ bị chận lại, nếu không thì các yêu cầu sẽ được đi qua như bình thường.

Từ Chối Dịch Vụ (Denial of Service)

Khi một tổ chức muốn thực hiện việc lọc thông tin ở những trang web mà họ không có quyền điều khiển (hoặc không truy cập vào hạ tầng cơ sở của mạng) để áp dụng phương pháp ngăn chặn thông thường, thì trang web có thể bị làm tê liệt bởi việc tấn công bằng cách làm quá tải máy chủ đến mức nó không thể cung cấp dịch vụ được. Kỹ thuật này được gọi là tấn công từ chối dịch vụ (DOS). Tấn công từ chối dịch vụ có thể thực hiện được bởi một máy vi tính rất mạnh; cách phổ biến hơn là phối hợp nhiều máy tính khác nhau nằm rải rác trên mạng để tấn công (Distributed DoS / DDoS)

Xóa Sổ Tên Miền

Như đã nói trước đây, giai đoạn đầu của việc truy cập trang web là liên lạc với máy chủ DNS để tìm ra địa chỉ IP của trang web muốn truy cập. Việc lưu trữ tất cả những tên miền hiện hữu là một việc không khả thi, nên thay vì vậy có bộ giải đệ quy (recursive resolver) lưu trữ đường dẫn đến các máy chủ DNS khác có xác suất tìm ra câu trả lời. Các máy chủ DNS này lại lần nữa dùng bộ giải đệ quy để tìm đến các máy chủ DNS khác cho tới khi một máy DNS có thẩm quyền gửi lại lời giảp đáp.

Hệ thống tên miền được sắp xếp theo thứ bậc, với quốc gia có tên miền như “.uk” và “.de” ở trên cùng với những tên miền không biên giới như “.org” và “.com”. Những server có trách nhiệm với những tên miền này phân phối trách nhiệm cho server phụ thuộc cấp dưới (subdomain) ví dụ như example.com, và cho các DNS server khác nhằm hướng dẫn những yêu cầu kết nối cho những server này. Như thế, nếu máy chủ DNS dùng cho miền ở cấp bậc cao nhất xoá sổ một tên miền cập dưới thì các bộ giải đệ quy sẽ không tìm ra được địa chỉ IP yêu cầu, và vì thế làm cho trang mạng đó không truy cập được.

Những tên miền bậc cao nhất của các quốc gia (.vn, .cn, .uk, v.v....) thường được điều hành bởi chính phủ hay bởi một cơ quan được bổ nhiệm bởi chính quyền của quốc gia đó. Vì thế nếu một trang web được đăng ký dưới tên miền của một quốc gia mà nội dung chuyển tải bị cấm thì trang mạng đó có nguy cơ bị xoá sổ.


Tháo Gỡ Máy Chủ


Những máy chủ chứa đựng nội dung truy cập mạng cũng như những người điều hành phải được tọa lạc tại một địa điểm nào đó. Nếu những nơi này đặt dưới những sự kiểm soát hợp pháp hay ngoài phạm vi pháp luật của những kẻ chống đối nội dung của máy chủ thì hệ thống cung cấp có thể bị cắt hay người điều hợp bị bắt buộc phải ngưng hoạt động.  Vì vậy mà trang web bạn muốn viếng có thể ngưng hoạt động.

Giám sát, theo dõi


Những phương cách nêu trên có cản trở việc truy cập vào những nguồn thông tin bị cấm, nhưng những phương pháp này vừa thô sơ vừa có thể bị qua mặt. Một phương pháp khác có thể sử dụng song song với việc kiểm duyệt, là giám sát xem trang mạng nào bị xâm nhập. Nếu truy cập hay cố gắng truy cập một nội dung bị ngăn cấm thì những chế tài hợp pháp có thể triển khai để trừng phạt. 

Nếu sự kiện này được phổ biến rộng rãi có thể làm cho những người sử dụng tránh việc truy cập nội dung bị cấm, ngay cả khi chính những phương pháp về kỹ thuật không đầy đủ để ngăn cản sự truy cập.

Phương pháp mã hoá


Phương pháp mã hoá là một trong những ứng dụng kỹ thuật phòng thủ để chống lại sự giám sát thông tin. Phương pháp này sử dụng phương pháp toán học tinh vi để làm đảo lộn luồng thông tin, làm cho những tin tức không đọc được đối với người nghe lén. Việc mã hoá cũng có thể ngăn chận người điều hành mạng biến cải những nội dung của thông tin, hay ít ra cũng làm cho những thay đổi đó có thể được phát hiện.

Người ta nghĩ rằng phương pháp mã hoá hiện đại rất khó bị những phương pháp kỹ thuật đánh bại. Và chương trình mã hoá thì được quảng bá rộng rãi để giúp cho người sử dụng bảo mật chống bị dòm ngó, nghe lén. Mặt khác, mã hóa có thể bị phá vỡ bởi nhiều phương pháp, kể cả những mã độc (malware) có chủ đích, hay một cách tổng quát thông qua những nan đề chủ yếu về quản trị và giao dịch chìa khóa  (key-managementkey-exchange problems), khi người sử dụng không theo những quy trình cần thiết để sử dụng phương pháp mã hoá một cách an toàn. Chẳng hạn, những chương trình mã hoá thường cần có một phương pháp để nhận dạng của người hay máy vi tính ở phía kia của mạng nối kết; trái lại, sự thông tin có thể bị nguy hiểm đối với sự tấn công đứng giữa nơi mà kẻ nghe lén giả dạng làm người nghe để chặn bắt thông tin riêng tư. Việc phối kiểm danh tính này được thực hiện bằng nhiều phương pháp khác nhau bởi nhiều phần mềm khác nhau, nhưng bỏ qua hay tránh những quy trình thẩm tra có thể làm suy yếu cơ chế sự giám sát.

Một phương cách theo dõi khác là phân tích luồng thông tin, nơi mà những sự kiện về thông tin được sử dụng để suy đoán về những nội dung, nguồn gốc, mục tiêu, hoặc ý định của thông tin cho dù người nghe lén không hiểu được nội dung của luồng thông tin đó. Sự phân tích luồng thông tin có thể là một phương pháp vô cùng hữu hiệu và rất khó để đối phó; đặc biệt là sự quan ngại về những hệ thống ẩn danh, nơi mà sự phân tích luồng thông tin có thể đưa đến việc nhận dạng người sử dụng ẩn danh. Những hệ thống ẩn danh cao cấp như Tor chứa đựng một vài biện pháp với mục đích để giảm sự hữu hiệu của phương pháp phân tích luồng thông tin, tuy nhiên tùy theo khả năng của người nghe lén mà những biện pháp đó có thể vẫn không chống lại kỹ thuật phân tích luồng thông tin này.

Kỹ thuật giao tế


Nhiều cách đối xử khéo léo thường xuyên được dùng để ngăn cản người sử dụng không truy cập những nội dung không phù hợp. Thí dụ, gia đình có thể đặt máy vi tính trong phòng khách, tức là nơi mà mọi người có thể nhìn thấy màn hình của máy, thay vì đặt tại những nơi riêng tư; đây như là một phương pháp nhẹ nhàng để ngăn cản con cái đừng truy cập những trang mạng không phù hợp. Thư viện có thể đặt những máy vi tính tại những vị trí mà nhân viên có thể thấy được từ bàn làm việc của họ. Quán cà phê Internet có thể có máy quay phim theo dõi. Luật lệ địa phương có thể đòi hỏi những máy quay phim đó được gắn tại những địa điểm như thế, đồng thời bắt buộc người sử dụng phải đăng ký với giấy chứng minh nhân dân cho cơ quan nhà nước cấp mới được sử dụng. Có rất nhiều phương pháp để kiểm soát, từ các phương pháp mà nhiều người cho là hợp lý đến những phương pháp mà nhiều người cảm thấy là quá đáng.
 
Tác giả : Kiến Thức Chuyên Môn
© Steven Murdoch And Ross Anderson 2008
Điều chỉnh:
adam hyde 2008
Alice Miller 2008
Freerk Ohling 2008
Niels Elgaard Larsen 2009
Sam Tennyson 2008
Seth Schoen 2008
Tom Boyle 2008
Tomas Krag 2008

Giấy phép: Giấy phép công cộng

Sản xuất cho cẩm nang FLOSS




No comments:

Post a Comment