Vương quốc Anh đang làm suy yếu an toàn của toàn thế giới

 (blog.thenewoil.org)
15 điểm bởi GN⁺ 2025-02-25 | 4 bình luận | Chia sẻ qua WhatsApp
  • Tuần này, Vương quốc Anh đã đẩy cả thế giới vào tình thế nguy hiểm
  • Năm 2016, “Đạo luật Quyền hạn Điều tra (Investigatory Powers Act)” được thông qua, mở rộng đáng kể quyền giám sát điện tử của Anh
  • Gần đây, Anh đã ra lệnh cho Apple cài một cửa hậu mã hóa vào iCloud và cấm công khai việc này
  • Apple vốn đã từ chối các yêu cầu cửa hậu từ chính phủ, nhưng lần này đã quyết định gỡ bỏ hoàn toàn mã hóa iCloud dành cho người dùng tại Anh

Bảo vệ dữ liệu nâng cao

  • Mã hóa là công nghệ khiến dữ liệu không thể bị đọc bởi những người không được cấp quyền
  • Phần lớn thiết bị hiện đại và lưu lượng Internet đều được mã hóa, nhưng nhà cung cấp dịch vụ vẫn có thể truy cập
  • Một số nhà cung cấp triển khai “mã hóa đầu cuối (E2EE)” để dữ liệu chỉ có thể được truy cập trên thiết bị của người dùng
  • Chương trình “Bảo vệ dữ liệu nâng cao (ADP)” của Apple ra mắt năm 2022, mã hóa gần như toàn bộ dữ liệu iCloud bằng E2EE, ngoại trừ email, danh bạ và lịch
  • Tuy nhiên, do yêu cầu từ Anh, Apple đã gỡ ADP tại Anh

Cửa hậu & Salt Typhoon

  • Cửa hậu là gì?
    • Cửa hậu là một lối vào ẩn trong mã hóa hoặc phần mềm, được tạo ra để nhà phát triển có thể truy cập trực tiếp
    • Nó thường hoạt động âm thầm mà không có sự đồng ý của người dùng, khác với quyền truy cập hỗ trợ kỹ thuật được cung cấp tự nguyện
  • Cửa hậu có thể chỉ được “người tốt” sử dụng không?
    • Các chính trị gia và quan chức chính phủ thường lập luận rằng cửa hậu là cần thiết vì “mục đích tốt đẹp”, nhưng đó là một khái niệm bất khả thi trong thực tế
    • Cũng như cửa hậu vật lý, cửa hậu phần mềm không thể ngăn được kẻ xâm nhập có ác ý
    • Tác nhân độc hại có thể lách qua bằng cách tìm lỗ hổng phần mềm hoặc chiếm đoạt tài khoản người dùng thông qua các cuộc tấn công phishing
  • Cửa hậu có thể bị bất kỳ ai lạm dụng
    • Mối đe dọa nội bộ (insider threat) là có thật, và nhân viên không đáng tin có thể lạm dụng cửa hậu
    • Ví dụ, từng có một kỹ sư Yahoo xâm nhập tài khoản người dùng để đánh cắp ảnh cá nhân
  • Vụ Salt Typhoon (vụ hack mạng viễn thông Mỹ năm 2024)
    • Năm 2024, người ta phát hiện chính phủ Trung Quốc đã xâm nhập mạng viễn thông của Mỹ và nhiều quốc gia khác
    • Ít nhất 9 nhà mạng lớn tại Mỹ (Verizon, T-Mobile, AT&T, v.v.) đã bị tấn công, và trong vụ hack này, cửa hậu dành cho cơ quan thực thi pháp luật đã bị khai thác
    • Cửa hậu này ban đầu được thiết kế cho hoạt động nghe lén có phê duyệt của tòa án, nhưng cuối cùng cũng bị hacker của chính phủ Trung Quốc sử dụng theo cách y hệt
    • Trong quá trình đó, nhật ký cuộc gọi và tin nhắn của các quan chức cấp cao như Tổng thống Donald Trump và Phó Tổng thống Kamala Harris đã bị lộ
  • Khái niệm “cửa hậu chỉ để người tốt dùng” là hư cấu
    • Vụ Salt Typhoon là bằng chứng mang tính quyết định cho thấy cửa hậu rốt cuộc sẽ bị lạm dụng
    • Khi các chính trị gia nói rằng “cửa hậu là an toàn”, điều đó chẳng khác gì nói rằng kỳ lân và quỷ lùn có thật

Vấn đề cửa hậu trong bối cảnh rộng hơn

  • Ngay cả khi thừa nhận rằng việc Anh ép Apple cài cửa hậu là sai, tác động của nó không chỉ giới hạn ở người dùng tại Anh
  • Sự việc này không phải một trường hợp cá biệt, mà cần được hiểu như một phần của một mô thức lớn hơn
  • PGP và Cuộc chiến Mã hóa (Crypto Wars)
    • PGP (Pretty Good Privacy), sau khi ra mắt năm 1991, đã bị chính phủ Mỹ quản lý như vũ khí và trở thành đối tượng bị kiểm soát
    • Khi tòa án ra phán quyết rằng “mã nguồn là quyền tự do biểu đạt”, công nghệ mã hóa mới có thể được phổ biến rộng rãi
    • Nhờ phán quyết này, các công nghệ như TLS, AES ngày nay đã trở nên phổ biến, cho phép mua sắm trực tuyến an toàn và lưu trữ dữ liệu an toàn
    • Vụ việc này cũng là bước ngoặt khiến EFF (Electronic Frontier Foundation) trở nên nổi tiếng, và đại diện pháp lý khi đó là Cindy Cohn, hiện là lãnh đạo của EFF
  • Cuộc chiến Mã hóa vẫn đang tiếp diễn
    • Ngay tại Mỹ, tranh cãi về việc đưa cửa hậu vào hệ thống vẫn tiếp tục
      • Dưới thời chính quyền Trump, Bộ trưởng Tư pháp William Barr đã ủng hộ mạnh mẽ cửa hậu
      • Chính quyền Biden cũng gián tiếp ủng hộ việc làm suy yếu mã hóa thông qua “Kids Online Safety Act” năm 2022
      • Lập trường của Biden đối với các dự luật quản lý mạnh tay hơn như EARN IT Act, STOP CSAM Act vẫn chưa rõ ràng
  • Mối đe dọa đối với an toàn số cũng gia tăng ở châu Âu
    • Chat Control: Ở châu Âu, đã có đề xuất luật buộc các ứng dụng nhắn tin (WhatsApp, v.v.) phải phát hiện tài liệu lạm dụng tình dục trẻ em (CSAM)
    • Apple trước đây cũng từng cố triển khai một hệ thống tương tự, nhưng đã rút lại vì lỗi kỹ thuật và khả năng bị lạm dụng
    • Tuy nhiên, những nỗ lực như vậy vẫn liên tục lặp lại và quay trở lại
  • Chính phủ Anh thậm chí còn cố mô tả người dùng mã hóa là tội phạm thông qua chiến dịch #NoPlaceToHide
    • Các chính sách xâm phạm quyền riêng tư như xóa bỏ tính ẩn danh trực tuyến và các chương trình giám sát mạng xã hội trên diện rộng đang lan rộng trên toàn cầu
    • Yêu cầu của Anh đối với Apple không đơn thuần là vì công dân nước mình, mà có thể trở thành thêm một cuộc tấn công vào quyền riêng tư số toàn cầu, đồng thời là một tiền lệ thành công

Cách ứng phó

  • Xét đến Salt Typhoon và các vụ rò rỉ dữ liệu, những người thúc đẩy cửa hậu có vẻ либо thiếu hiểu biết kỹ thuật, hoặc cố tình muốn áp đặt điều đó
    • Việc chính phủ Anh coi mã hóa là mối đe dọa và tìm cách làm suy yếu nó rốt cuộc sẽ khiến dữ liệu người dùng dễ bị tổn thương hơn, đồng thời tạo cớ để các quốc gia khác làm điều tương tự
  • Có suy đoán rằng việc Apple rút khỏi thị trường Anh có thể là một chiến lược để ứng phó pháp lý, nhưng không có căn cứ đáng tin cậy
    • Nếu Apple tiến hành một cuộc chiến pháp lý và giành chiến thắng, đó sẽ là bước ngoặt quan trọng cho việc bảo vệ quyền riêng tư
    • Cũng như trường hợp mã hóa PGP và Phil Zimmermann trước đây, một chiến thắng pháp lý có thể trở thành tiền lệ cho việc bảo vệ quyền riêng tư số
    • Hành động của một quốc gia (đặc biệt là cường quốc) sẽ ảnh hưởng đến các quốc gia khác, và thường là theo hướng tiêu cực
  • Những việc người dùng có thể làm
    • Ngừng sử dụng iCloud:
      • Dù Advanced Data Protection (ADP) của Apple vẫn còn được cung cấp ở một số quốc gia, việc giao toàn bộ dữ liệu cho đám mây vẫn không phải là lựa chọn đáng tin cậy
      • Ảnh, lịch, ghi chú, bộ nhớ drive và các dữ liệu tương tự có thể được chuyển sang các dịch vụ thay thế đáng tin cậy hơn
      • Danh sách các dịch vụ thay thế ưu tiên quyền riêng tư và bảo mật
    • Với dữ liệu khó hoặc không thể sao chép dễ dàng, hãy lưu trên thiết bị hoặc không sử dụng
      • Với các dịch vụ như dữ liệu sức khỏe, thông báo và ví điện tử, nên cân nhắc lưu trên thiết bị hoặc không dùng ngay từ đầu
      • Dù Apple Wallet rất tiện, vẫn có nghiên cứu cho thấy dùng tiền mặt hiệu quả hơn trong việc quản lý ngân sách
      • Ngay cả khi không phân tích dữ liệu giấc ngủ, chỉ cần duy trì vệ sinh giấc ngủ cơ bản cũng thường là đủ
    • Tham gia chính trị
      • Luật bảo vệ quyền riêng tư có thể là tuyến phòng thủ quan trọng cho việc bảo vệ dữ liệu (ví dụ: trong EU áp dụng GDPR, gần như không tồn tại các trang web tra cứu thông tin cá nhân)
      • Nếu là công dân Anh, bạn nên liên hệ với nghị sĩ để bày tỏ phản đối đối với “thông báo năng lực kỹ thuật (technical capability notice)” liên quan đến Advanced Data Protection của Apple
      • Bạn cũng có thể nhận hỗ trợ từ các tổ chức tại Anh như Big Brother Watch, Privacy International, v.v.

Kết luận

  • Không ai coi trọng quyền riêng tư lại đi ủng hộ tội phạm
  • Nhưng hy sinh quyền tự do dân sự để ngăn chặn một số ít tội phạm là một cách tiếp cận mất cân bằng
  • Nhiều chính sách xâm phạm quyền riêng tư được thúc đẩy dưới danh nghĩa “bảo vệ trẻ em”, nhưng đó không phải là sự bảo vệ thực sự
    • Trẻ em và thanh thiếu niên cần một môi trường để tự do trưởng thành và học hỏi từ sai lầm
    • Chúng ta không nên sống trong một thế giới nơi sai lầm trong môi trường số bị lưu lại vĩnh viễn và đàn áp tự do cá nhân
    • Thay vì chính sách, các biện pháp bảo vệ kỹ thuật mới phải là giải pháp thực chất
  • Cấm mã hóa không phải là bảo vệ mà ngược lại còn tạo ra rủi ro
  • Cách đối phó với việc chính phủ Anh xâm phạm quyền riêng tư:
    • Chuyển sang các dịch vụ an toàn nằm ngoài phạm vi pháp lý của Anh
    • Với tư cách cử tri, bày tỏ sự phản đối với chính phủ

Bài viết liên quan

4 bình luận

 
ryudaewan 2025-02-26

Tôi cứ tưởng Công đảng Anh đứng về phía cánh tả hơn Đảng Bảo thủ chứ, ha ha~
 
colus001 2025-02-25

Ngay cả ở Nga, họ cũng đàn áp Telegram như thế, nhưng đến khi chiến tranh nổ ra thì rốt cuộc lại dùng Telegram; chính phủ Hàn Quốc cũng từng đẩy Telegram thành trục ác, nhưng rồi hóa ra chính họ lại dùng Telegram, thậm chí còn bị lộ là dùng cả Signal. Trên đời không có thứ gọi là bảo mật chỉ có lợi cho riêng mình, nên tôi cũng nghĩ có lẽ họ đang thiếu hiểu biết về công nghệ.
 
unsure4000 2025-02-25

Tôi nghĩ việc các chính trị gia phá hoại bảo mật chẳng hơn gì thái độ kiểu “chỉ mình tôi dùng thôi”. Nếu họ đi đâu cũng có vài trợ lý tháp tùng mà vẫn không hiểu nổi chừng này công nghệ, thì đó là sự tắc trách trong công việc.
 
GN⁺ 2025-02-25
Ý kiến trên Hacker News

  • "Apple đã nói rõ rằng họ sẽ từ chối yêu cầu cài cửa hậu từ chính phủ"

    • Cần lưu ý rằng tại Mỹ, họ không thể từ chối hoặc công khai điều đó nếu không có lệnh của tòa án
    • Các đạo luật như SCA và NSL ngăn doanh nghiệp tiết lộ yêu cầu từ chính phủ

  • "Bài viết hay. Những 'người tốt' dùng luật để tiếp cận cũng có thể là kẻ xấu"

    • Có những trường hợp cá nhân lạm dụng quyền lực
    • Các chính phủ mang tính đàn áp có thể kiểm soát dữ liệu cá nhân

  • "Tuyên ngôn cypherpunk năm 1993 giờ có cảm giác thật xa vời"

    • Giờ đây ngay cả giới kỹ thuật cũng không còn đấu tranh vì quyền riêng tư

  • "Tôi nghĩ Apple lẽ ra phải có lập trường cứng rắn hơn"

    • Có ý kiến cho rằng lẽ ra họ nên công khai các tài khoản iCloud của chính trị gia Anh
    • Apple giờ đang xử lý quyền riêng tư theo cách trưởng thành hơn

  • "Nếu cho phép cửa hậu, những kẻ thù đáng tin cậy nhất sẽ là bên xâm nhập đầu tiên"

    • Các quốc gia khác hoặc cựu nhân viên có thể tiếp cận trước

  • "Nhìn tiêu đề bài báo tôi đã nghĩ đó là câu view"

    • Nhưng thực ra nó được đánh giá là đưa ra cách để người dùng thông thường bảo vệ dữ liệu của mình

  • "Ý kiến của cựu bộ trưởng Đảng Bảo thủ cũng khá đáng chú ý"

    • Ông nhấn mạnh rằng các tác nhân xấu có thể tấn công thiết bị cá nhân
    • Việc viện dẫn cửa hậu như một công cụ để giải quyết vấn đề CSAM không thật sự thuyết phục

  • "Apple chẳng phải đang dùng mã hóa phía máy khách sao?"

    • Có vẻ như Anh đang cố kìm hãm quyền riêng tư cá nhân

  • "Tôi không tin vào động cơ của dự luật từ phía chính phủ"

    • Về mặt lịch sử, Anh từng che giấu các vụ lạm dụng trẻ em
    • Họ lập luận rằng chừng nào còn có mã hóa E2E thì các cơ quan MI* sẽ không thể thực hiện nhiệm vụ

  • "Ví dụ về Salt Typhoon có vẻ không liên quan lắm"

    • Điều quan trọng hơn là khả năng nhật ký kết nối Internet bị rò rỉ cao hơn nhiều