Những thông tin trong bài này có thể phần nào trả lời cho câu hỏi “Có thể tự bảo mật email không khi mà trùm tình báo Mỹ không thể làm được điều đó?”.
Trong quá khứ, các điệp viên có thể trao đổi thông tin qua “hộp thư chết”, đây là một phương thức cũ, ví dụ như để thư trong một quyển sách bỏ quên trên ghế đá hoặc trong một khe tường. Giám đốc CIA lại dùng thư mục “Draft” trong Gmail làm “hộp thư chết” và đã bị lộ cách trao đổi các thông tin riêng tư.
Theo các chuyên gia bảo mật, người dùng thường hay nhận định rằng họ khá “kín đáo” trong thế giới số và họ vô hình, đó là sai lầm nghiêm trọng. Người dùng không nhận ra rằng “hack” và gián điệp đã trở thành một trào lưu trong thập kỷ vừa qua và “hack” là một công việc không mấy khó khăn, như vậy, có thể dễ dàng tìm cách đọc được email của người khác.
Hãy đối mặt với sự thật rằng, những thông tin mà bạn cố gắng che giấu khi trao đổi qua email (bí mật kinh doanh, bí mật cá nhân...) đều có thể bị các chuyên gia tìm ra. Đặc biệt, nếu các thông tin này liên quan các hành động phạm pháp thì các Chính phủ phương Tây sẵn sàng can thiệp để có được chúng, kể cả khi được lưu trong máy tính cá nhân hay trên “đám mây”, như đang phổ biến hiện nay.
Như vậy, trong trường hợp bạn cần giữ gìn một vài bí mật cho cá nhân một cách hợp pháp, đặc biệt là bảo vệ tính riêng tư trong thời đại số hóa (thông tin liên quan đến bí mật kinh doanh của công ty, bệnh sử của cá nhân, bí mật riêng tư của gia đình,...) thì những thảo luận sau đây có thể có ích.
Nắm rõ nguy cơ
Dưới góc độ công nghệ, trong vụ việc nói trên, Giám đốc CIA (và người cùng trao đổi thông tin - người thứ 2) đã sai lầm khi cố gắng che giấu các liên lạc và thông tin riêng tư của mình trên email và nghĩ rằng mình “qua mặt” được những người thân là đủ. Họ không thể nghĩ rằng cơ quan pháp luật (ở đây là FBI) lại đi “lục soát” trong hộp thư của cá nhân.
Để che giấu mối liên lạc, Giám đốc CIA và người cùng trao đổi thông tin đã hạn chế việc trao đổi qua mạng, không gửi email mà dùng chung một tài khoản Gmail, lưu thông tin trong thư mục “Draft”. Điều này tránh cho các trao đổi của họ bị “lưu vết”, chỉ việc đăng nhập Gmail và đọc luôn trong “Draft”, sẽ không có thông tin gửi đi, gửi lại. Tuy nhiên, địa chỉ IP của máy tính dùng để truy nhập Gmail không được “ẩn” là manh mối để FBI phát hiện ra người sử dụng chung một tài khoản Gmail với Giám đốc CIA.
Bởi vậy, hiểu rõ nguy cơ là một số phần rất khó khăn trong việc bảo đảm ATTT. Nếu chúng ta lường hết được những nguy cơ có thể chúng ta sẽ hành động một cách cẩn trọng hơn.
Che giấu vị trí truy nhập
Trong trường hợp trên, các đặc vụ FBI có thể sẽ không tìm ra địa chỉ IP để xác định ra người thứ 2 nếu người đó biết sử dụng một số biện pháp bảo mật, trong đó có Tor hoặc VPN. Các biện pháp này sẽ “ẩn” địa chỉ IP khi liên lạc.
Thông thường, các nhà cung cấp dịch vụ email như Gmail, Yahoo,... luôn lưu lại các bản ghi về địa chỉ gửi, địa chỉ nhận trong vòng 18 tháng, trong khoảng thời gian đó, các thông tin này có thể được cung cấp cho tòa án hay cơ quan điều tra của Mỹ. Pháp luật Mỹ bắt buộc cơ quan điều tra phải được sự cho phép của tòa án khi tiến hành khám xét. Tuy nhiên đối với việc “khám xét” email của cá nhân, quy định lại lỏng lẻo hơn và không cần được sự cho phép của tòa án, cơ quan điều tra có thể xem xét nội dung của các email cũ hơn sáu tháng. Thậm chí cơ quan điều tra chỉ phải xin phép tòa án khi cần xem xét các email “chưa được mở” của cá nhân.
Google báo cáo rằng, các cơ quan chính phủ Mỹ đã yêu cầu cung cấp dữ liệu của 16.281 tài khoản trong khoảng thời gian từ tháng 1 đến tháng 7/2012 và Google đã tuân thủ khoảng 90% các yêu cầu đó của Chính phủ Mỹ.
Tắt các bản ghi của Google
Một cách tối thiểu, nên chọn tính năng “off the record” trong tính năng của Google Talk hoặc Google instant messaging Client. Điều này đảm bảo rằng những gì được gõ sẽ không bị lưu lại trong thông tin tài khoản của người dùng Gmail.
Mã hóa thông tin
Đây là phương thức cổ điển, người dùng có thể sử dụng giải thuật mật mã và chia sẻ cặp khóa với người nhận để mã hóa thông tin gửi đi. Tuy nhiên chính phương thức này lại là nguyên nhân ban đầu để gây ra nghi ngờ, nếu không có gì phải che giấu, nếu không có gì “khuất tất”, tại sao thông tin lại phải mã hóa?
Thiết lập bộ “Tự hủy thông tin”
Một dịch vụ như “10 Minute Mail” sẽ cho phép người sử dụng mở địa chỉ email, tạo email và gửi đi, địa chỉ sẽ tự bị xóa sau 10 phút. Ứng dụng Wickr cũng cho phép người sử dụng cài đặt cơ chế tự hủy đối với các thông tin gửi qua điện thoại di động, nó cho phép người gửi kiểm soát thời gian người nhận có thể đọc được thông tin trước khi thông tin sẽ tự xóa đi. Tuy nhiên cách làm này có một rủi ro là người nhận vẫn có thể lưu lại thông tin bằng cách “chụp ảnh màn hình”
Đặt thông tin cần trao đổi vào thư mục “thư nháp”
Ý tưởng này có vẻ khôn ngoan tuy nhiên trong thực tế, lưu thông tin trao đổi trong thư mục “Draft” và sau đó dùng chung cũng không an toàn hơn là gửi thông tin đi. Christopher Soghoian, chuyên gia phân tích của American Civil Liberties Union cho biết chiến thuật này đã được Khalid Shaikh Mohammed tác giả chính của vụ khủng bố 9/11 và Richard Reid, “kẻ đánh bom bằng giầy” sử dụng, tuy nhiên nó tỏ ra không hiệu quả. Email được lưu trong thư mục “Draft” thực ra vẫn được cất giữ đâu đó trên hệ thống kể cả khi người dùng thực hiện việc xóa, nhà cung cấp dịch vụ email vẫn có thể miễn cưỡng cung cấp bản copy cho cơ quan có thẩm quyền.
Sử dụng riêng thiết bị cho các mục đích khác nhau
Nên sử dụng các thiết bị chuyên dụng và riêng biệt để thực hiện các liên lạc có yêu cầu cao về tính bí mật. Trong thực tế, tội phạm mạng thường sử dụng một vài điện thoại di động phục vụ mục đích phạm pháp để đánh lạc hướng sự điều tra.
Cẩn thận và ngăn nắp
Viêc tạo mật khẩu dễ đoán, cất giữ và trao đổi cặp khóa mã một cách cẩu thả, kết nối tùy tiện vào bất kỳ một điểm wifi miễn phí nào,... sẽ là nguyên nhân tạo ra những lỗ hổng về ATTT. Những công cụ mạnh, phương thức mạnh để bảo mật thông tin luôn sẵn có, tuy nhiên không dễ dàng để phối hợp với nhau một cách hiệu quả.
Thay cho lời kết
Thực tế, khi không phải một chuyên gia, càng cố gắng áp dụng các biện pháp bảo mật thì chúng ta lại càng dễ dàng vướng vào các lỗi bảo mật. Một chuyên gia bảo mật đã có lời khuyên là “Nếu bạn không muốn xuất hiện trên trang nhất của các báo lá cải, tốt hơn hết là đừng nói gì cả”
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
10:00 | 13/12/2023
Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.
14:00 | 02/08/2023
Ngày nay, nhiều tổ chức/doanh nghiệp (TC/DN) đã nhận thức được việc chuyển khối lượng công việc lên đám mây sẽ an toàn hơn là tại cơ sở. Phần lớn cho rằng nhà cung cấp dịch vụ đám mây (CSP) sẽ chịu trách nhiệm về bảo mật. Tuy nhiên, để có được điều này thì cần phải có các bước quan trọng để đảm bảo tính bảo mật của nó.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
