Ngoài ra, còn có các ứng dụng thương mại cũng cung cấp mã hóa đầu cuối. Tôi chỉ có một lời cảnh báo duy nhất ở đây là phần mềm của họ là độc quyền, mà nếu thiếu đi những đánh giá độc lập, thì không thể xác nhận được tính an toàn và toàn vẹn của các phần mềm đó. Silent Phone cung cấp tính năng mã hóa đầu cuối tin nhắn văn bản. Tuy nhiên, phần mềm này lại lưu trữ một số dữ liệu, nhưng chỉ nhằm mục đích cải thiện các dịch vụ của mình. Khóa mã hóa được lưu trữ trên thiết bị – có nghĩa là chính phủ hoặc cơ quan thực thi pháp luật không thể buộc nhà sản xuất của phần mềm này là Silent Circle giao nộp khóa mã hóa của bất kỳ người dùng nào.
Vừa rồi tôi đã nói đến dữ liệu di chuyển và dữ liệu nghỉ, cũng như việc sử dụng mã hóa đầu cuối, PFS, và OTR. Còn các dịch vụ không dựa trên ứng dụng, chẳng hạn như webmail, thì sao? Mật khẩu thì sao?
Chương 5:
Thoắt ẩn thoắt hiện
Tháng Tư năm 2013, Khairullozhon Matanov, một cựu tài xế taxi 22 tuổi đến từ Quincy, Massachusetts, đi ăn tối với hai người bạn, thực ra là một cặp anh em. Trong câu chuyện, ba người nhắc đến sự kiện mới diễn ra trong ngày: một người đã đặt các nồi cơm điện bên trong chứa đầy đinh, thuốc súng, và thiết bị bấm giờ ở vị trí gần vạch đích của cuộc thi chạy Boston Marathon. Vụ nổ đã cướp đi ba mạng sống và làm bị thương hơn 200 người. Cặp anh em ngồi ăn cùng Matanov, Tamerlan và Dzhokhar Tsarnaev, về sau được xác định là nghi phạm chính.
Sau này, Matanov nói rằng anh không được biết thông tin trước về vụ đánh bom, nhưng anh bị cáo buộc là đã rời khỏi một cuộc họp sớm với các viên chức thực thi pháp luật sau sự kiện đánh bom trên và vội vàng xóa lịch sử trình duyệt trên máy tính cá nhân. Chỉ riêng hành động đơn giản đó – xóa lịch sử trình duyệt của máy tính xách tay – đã dẫn đến những cáo buộc chống lại Matanov.
Xóa lịch sử trình duyệt cũng là một trong những cáo buộc chống lại David Kernell, sinh viên đã tấn công tài khoản email của Sarah Palin. Điều thú vị nằm ở chỗ, khi xóa lịch sử trình duyệt, chạy trình chống phân mảnh[54] đĩa, và xóa các file ảnh của Palin đã tải về, Kernell chưa hề bị điều tra. Thông điệp rút ra ở đây là ở Mỹ, bạn không được phép xóa bất cứ hoạt động gì từng thực hiện trên máy tính của mình. Các công tố viên muốn xem toàn bộ lịch sử trình duyệt của bạn.
[54] Chống phân mảnh (defragmentation): Quá trình hợp nhất các file bị phân mảnh trên ổ cứng của người dùng.
Các cáo buộc chống lại Matanov và Kernell xuất phát từ một luật gần 15 năm tuổi đời – Luật Cải cách Kiểm toán trong Công ty Đại chúng và Bảo vệ Nhà đầu tư (theo cách gọi ở Thượng viện), hoặc Đạo luật Doanh nghiệp và Trách nhiệm và Giải trình Kiểm toán (theo cách gọi ở Hạ viện), hoặc theo lối gọi dân dã là Đạo luật Sarbanes-Oxley năm 2002. Luật này là kết quả trực tiếp ra đời sau những hoạt động quản lý yếu kém ở Enron, một hãng cung cấp khí đốt bị phát hiện là gian lận và lừa gạt các nhà đầu tư cũng như chính phủ Hoa Kỳ. Các nhà điều tra phát hiện ra rằng rất nhiều dữ liệu đã bị xóa ngay từ khi bắt đầu cuộc điều tra, khiến các công tố viên khó biết được chính xác những gì đã xảy ra trong công ty này. Kết quả là, Thượng nghị sĩ Paul Sarbanes và Đại biểu bang Ohio là Michael G. Oxley đã đỡ đầu cho sự ra đời của đạo luật liên quan đến bảo tồn dữ liệu, trong đó có yêu cầu giữ lại lịch sử trình duyệt.
Theo một bản cáo trạng của đại bồi thẩm đoàn, Matanov đã xóa lịch sử trình duyệt Google Chrome của mình một cách có chọn lọc, theo đó chỉ để lại dữ liệu về các hoạt động trong một số ngày nhất định trong tuần xung quanh ngày 15 tháng 4 năm 2013. Matanov chính thức bị truy tố về hai tội: “(1) phá hủy, thay đổi, và làm sai lệch hồ sơ, tài liệu, và các vật thể hữu hình trong một cuộc điều tra liên bang, và (2) khai nhận sai sự thật, bịa đặt, và gian lận trong một cuộc điều tra liên bang liên quan đến khủng bố quốc tế và trong nước.” Matanov bị kết án 30 tháng tù giam.
Trước đây, điều khoản về lịch sử trình duyệt trong Đạo luật Sarbanes-Oxley hiếm khi được sử dụng để chống lại các doanh nghiệp hoặc cá nhân. Và Matanov là trường hợp bất thường, một vụ án an ninh quốc gia nghiêm trọng. Tuy nhiên, sau sự kiện này, các công tố viên đã nhận ra được tiềm năng của nó và bắt đầu dùng đến nó thường xuyên hơn.
Nếu bạn không thể ngăn người khác theo dõi email, điện thoại, và tin nhắn của mình, và nếu pháp luật không cho phép bạn xóa lịch sử trình duyệt, vậy bạn có thể làm gì? Có lẽ ngay từ đầu bạn đừng thu thập những dữ liệu lịch sử làm gì.
Các trình duyệt như Firefox của Mozilla, Chrome của Google, Safari của Apple và Internet Explorer của Microsoft và Edge đều có sẵn tính năng tìm kiếm ẩn danh trên mọi thiết bị, từ máy tính cá nhân truyền thống cho đến thiết bị di động. Trong mỗi phiên tìm kiếm, trình duyệt sẽ mở một cửa sổ mới và không lưu lại các thông tin bạn đã tìm kiếm hay địa chỉ mà bạn truy cập. Khi bạn đóng cửa sổ trình duyệt riêng tư đó, mọi dấu vết về các trang bạn đã truy cập sẽ biến mất khỏi thiết bị. Đổi lại, nếu không đánh dấu (bookmark) website nào trong khi sử dụng trình duyệt riêng tư, bạn sẽ không thể nhớ đường quay lại đó; không có lịch sử nào cả – ít nhất là không có trên máy của bạn.
Có thể bạn cảm thấy yên tâm khi sử dụng cửa sổ riêng tư trên Firefox hay chế độ ẩn danh trên Chrome, nhưng yêu cầu truy cập riêng tư của bạn vẫn phải đi qua nhà cung cấp dịch vụ Internet, tức công ty mà bạn bỏ tiền ra để mua dịch vụ Internet hoặc di động – và nhà cung cấp này có thể chặn bất kỳ thông tin nào gửi đi mà không được mã hóa. Nếu bạn truy cập một website sử dụng mã hóa, thì nhà cung cấp có thể lấy được siêu dữ liệu – tức các thông tin cho biết vào ngày A giờ B bạn truy cập website C.
Khi trình duyệt Internet – trên máy tính cá nhân truyền thống hoặc thiết bị di động – kết nối với một website, trước tiên nó sẽ tìm hiểu xem có mã hóa không, và nếu có thì là mã hóa loại nào. Giao thức cho các hoạt động giao tiếp qua web được gọi là http, đặt trước địa chỉ website, nghĩa là một URL điển hình có thể trông giống như sau: http://www.mitnicksecurity.com. Trong một số trường hợp, cụm “www” là không cần thiết.
Khi bạn sử dụng mã hóa để kết nối với một website, giao thức sẽ thay đổi một chút. Thay vì “http,” bạn sẽ thấy “https,” như vậy địa chỉ website lúc này sẽ là https://www.mitnicksecurity.com. Kết nối https này an toàn hơn, một phần vì đây là kết nối điểm-tới-điểm, nhưng với điều kiện bạn phải kết nối trực tiếp với chính website đó. Ngoài ra còn có rất nhiều Mạng Phân phối Nội dung (Content Delivery Network – CDN) lưu trữ lại các trang để máy khách cung cấp chúng nhanh hơn, bất kể bạn ở đâu trên thế giới, và do đó tạo thành một hàng rào ngăn bạn với website bạn muốn truy cập.
Cũng xin lưu ý rằng nếu bạn đăng nhập vào các tài khoản Google, Yahoo hoặc Microsoft, các tài khoản này có thể ghi lại lưu lượng web trên máy tính cá nhân hoặc thiết bị di động của bạn – có lẽ là để xây dựng kho dữ liệu về hành vi trực tuyến của bạn nhằm giúp họ hiển thị những quảng cáo phù hợp hơn. Để tránh điều này, hãy đăng xuất khỏi các tài khoản Google, Yahoo, và Microsoft khi sử dụng xong và khi nào cần sử dụng tiếp hãy đăng nhập lại.
Ngoài ra còn có các trình duyệt mặc định được tích hợp vào thiết bị di động – xin lưu ý đây không phải là các trình duyệt tốt. Chúng là rác thì đúng hơn, vì đó phiên bản mini của các trình duyệt trên máy tính để bàn và máy tính xách tay, do đó thiếu đi một số biện pháp an ninh và bảo vệ quyền riêng tư của các phiên bản mạnh hơn. Ví dụ, iPhone cài sẵn Safari, nhưng bạn nên vào cửa hàng Apple trực tuyến để tải phiên bản Chrome hoặc Firefox dành cho thiết bị di động, các trình duyệt này được thiết kế riêng cho môi trường di động. Các phiên bản Android mới hơn đều được cài đặt sẵn Chrome. Tất cả các trình duyệt trên thiết bị di động ít nhất đều hỗ trợ duyệt web riêng tư.
Và nếu sử dụng Kindle Fire, bạn không nên tải xuống Firefox hay Chrome qua Amazon. Thay vào đó, hãy sử dụng một vài thủ thuật thủ công để cài đặt Firefox hoặc Chrome qua trình duyệt Silk của Amazon. Để cài đặt Firefox trên Kindle Fire, hãy mở trình duyệt Silk và truy cập website Mozilla FTP. Chọn “Go,” sau đó chọn file có đuôi .apk.
Hoạt động duyệt web riêng tư không tạo ra các file tạm thời, do đó không để lại lịch sử duyệt web trên máy tính xách tay hoặc thiết bị di động. Liệu một bên thứ ba có thể vẫn thấy sự tương tác của bạn với các website không? Có, trừ khi tương tác đó được mã hóa ngay từ đầu. Để thực hiện điều này, Tổ chức Biên giới Điện tử đã xây dựng plugin HTTPS Everywhere dành cho các trình duyệt Firefox và Chrome trên máy tính cá nhân truyền thống và trình duyệt Firefox trên thiết bị Android. Tại thời điểm viết cuốn sách này, chưa có phiên bản dành cho iOS. Nhưng HTTPS Everywhere có thể mang đến một lợi thế độc đáo: giả dụ rằng trong vài giây đầu tiên của phiên kết nối, trình duyệt và website đàm phán về loại bảo mật sẽ sử dụng. Bạn muốn sử dụng PFS mà tôi đã nói đến ở chương trước. Nhưng không phải mọi website đều sử dụng PFS. Và không phải mọi cuộc đàm phán đều cho ra kết quả là PFS – dù rằng nó được đề xuất. HTTPS Everywhere có thể bắt buộc sử dụng https bất cứ khi nào có thể, ngay cả khi không có PFS.
Đây là một tiêu chí nữa đối với một kết nối an toàn: mọi website phải có chứng chỉ, tức sự đảm bảo của một bên thứ ba rằng khi bạn kết nối, ví dụ với website của ngân hàng Bank of America, thì đó thực sự là website của ngân hàng này chứ không phải là website lừa đảo. Các trình duyệt hiện đại làm việc với các bên thứ ba này, gọi là nhà chứng thực, để có các danh sách cập nhật. Khi bạn kết nối với một website không được chứng thực một cách hợp lệ, trình duyệt sẽ đưa ra cảnh báo hỏi xem bạn có tin tưởng website đó và tiếp tục truy cập hay không. Bạn được tự do đặt ra ngoại lệ. Nhưng nhìn chung, đừng tạo ngoại lệ, trừ khi bạn biết website đó.
