Dự luật Thượng viện Mỹ được xây dựng cùng DEA nhắm vào mã hóa đầu cuối
(therecord.media)- Cooper Davis Act đã được đưa lên toàn thể Thượng viện, với danh nghĩa đối phó buôn bán ma túy trực tuyến, sẽ áp đặt nghĩa vụ báo cáo cho DEA đối với mạng xã hội, nhà cung cấp liên lạc mã hóa và các dịch vụ trực tuyến
- Khi công ty thực sự biết về việc phân phối ma túy bất hợp pháp, họ phải cung cấp cho DEA tên người dùng và các thông tin khác; cụm từ “willfully blind” làm gia tăng tranh cãi quanh phạm vi trách nhiệm của các dịch vụ mã hóa
- Các tổ chức bảo vệ quyền riêng tư lo ngại dự luật này có thể biến chính việc duy trì mã hóa đầu cuối thành một yếu tố rủi ro, và việc làm suy yếu mã hóa sẽ làm lung lay an ninh cũng như quyền riêng tư của người dùng
- DEA và phía bảo trợ viện dẫn việc các băng đảng ma túy Mexico đã sử dụng Facebook, Instagram, TikTok, Snapchat, WhatsApp, Telegram, Signal, Wire, Wickr cùng hơn 1.100 vụ việc liên quan làm căn cứ
- Phía phản đối cho rằng việc nhận diện ngôn ngữ, bối cảnh và tiếng lóng trong hoạt động rao bán ma túy đòi hỏi đánh giá phức tạp, nên điều này có thể dẫn tới cấu trúc trong đó doanh nghiệp chuyển dữ liệu riêng tư cho cơ quan thực thi pháp luật mà không cần lệnh khám xét hay giám sát
Xung đột giữa nghĩa vụ báo cáo của Cooper Davis Act và mã hóa
- Cooper Davis Act là dự luật lưỡng đảng được đặt theo tên một thiếu niên ở Kansas tử vong sau khi vô tình uống phải viên thuốc chứa fentanyl mua trên Snapchat
- Dự luật yêu cầu các công ty mạng xã hội và nhà cung cấp liên lạc trên web phải cung cấp cho DEA tên người dùng và các thông tin khác nếu họ có actual knowledge về việc phân phối ma túy bất hợp pháp trên nền tảng
- Trọng tâm tranh cãi là câu chữ cho rằng công ty có thể phải chịu trách nhiệm vì không báo cáo nếu đã “willfully blind” trước hành vi vi phạm
- Greg Nojeim của Center for Democracy and Technology lo ngại các nhà cung cấp dịch vụ mã hóa sẽ bị đặt giữa hai lựa chọn
- Nếu duy trì mã hóa đầu cuối, họ phải chấp nhận rủi ro bị quy trách nhiệm là cố tình làm ngơ trước nội dung bất hợp pháp
- Nếu loại bỏ mã hóa đầu cuối, người dùng hiện tại sẽ đối mặt với các mối đe dọa bảo mật mới và xâm phạm quyền riêng tư
- Cody Venzke của ACLU cho rằng điều khoản này nhắm vào mã hóa, và nhấn mạnh mục đích của các công nghệ bảo vệ quyền riêng tư như mã hóa đầu cuối là bảo vệ người dùng khỏi sự giám sát của nền tảng
- Meredith Whittaker của Signal Foundation chỉ trích rằng theo logic này, việc không giám sát toàn diện mọi người cũng có thể bị xem là “willful blindness”
Căn cứ mà DEA và phía bảo trợ đưa ra
- Các cơ quan thực thi pháp luật từ lâu đã chỉ trích rằng mã hóa đầu cuối tạo ra một “lawless space” mà tội phạm, khủng bố và các tác nhân xấu có thể lợi dụng
- Trong thông cáo báo chí tháng 5, DEA cho biết hai băng đảng Mexico buôn lậu phần lớn fentanyl và methamphetamine vào Mỹ đang sử dụng các ứng dụng mạng xã hội để điều phối hậu cần và tiếp cận nạn nhân
- Ví dụ được nêu gồm Facebook, Instagram, TikTok, Snapchat
- Các nền tảng mã hóa được nhắc tới gồm WhatsApp, Telegram, Signal, Wire, Wickr
- Trong các chiến dịch gần đây của DEA, hơn 1.100 vụ việc nhắm vào các băng đảng ma túy Mexico có liên quan đến ứng dụng mạng xã hội và các nền tảng liên lạc mã hóa
- Chủ tịch Ủy ban Tư pháp Thượng viện Dick Durbin chỉ trích các công ty vẫn hoạt động trong tình trạng gần như miễn trừ dù biết các chất được rao bán không có mục đích sử dụng hợp pháp, đồng thời nhắc tới một cơ chế tương tự hệ thống báo cáo tài liệu lạm dụng tình dục trẻ em
- Phía Thượng nghị sĩ Jeanne Shaheen đưa ra số liệu của DEA làm căn cứ cho sự cần thiết của dự luật
- Trong 390 cuộc điều tra về tử vong do dùng thuốc quá liều mà DEA điều tra trong 5 tháng, có 129 vụ liên quan trực tiếp tới mạng xã hội
- Dự luật nêu mục tiêu xây dựng một hệ thống báo cáo toàn diện và tiêu chuẩn hóa để DEA có thể nhận diện và triệt phá các mạng lưới tội phạm quốc tế tốt hơn
Lo ngại về quyền riêng tư, giám sát và tác động tới nền tảng
- Các nhà vận động cho quyền riêng tư phản bác rằng việc phát hiện biểu đạt rao bán ma túy khó hơn nhiều so với nhận diện hình ảnh lạm dụng tình dục trẻ em
- Thượng nghị sĩ Alex Padilla nhấn mạnh rằng không giống hình ảnh lạm dụng tình dục trẻ em trực tuyến, ngôn ngữ đòi hỏi bối cảnh trong hoạt động giám sát quy mô lớn
- Ông chỉ trích rằng dự luật có thể trên thực tế biến các công ty công nghệ chưa qua đào tạo thành lực lượng thực thi pháp luật
- Ông cũng lo ngại chỉ cần một niềm tin hợp lý cũng có thể dẫn tới việc tiết lộ dữ liệu cá nhân cho cơ quan thực thi pháp luật liên bang mà không cần lệnh khám xét hay giám sát
- Carl Szabo của NetChoice cho biết các mạng xã hội vốn đã tự nguyện hợp tác với cơ quan thực thi pháp luật để ngăn chặn buôn bán ma túy
- Ông cho rằng nếu dự luật có hiệu lực, mọi báo cáo đều sẽ trở thành đối tượng của quy trình theo Fourth Amendment, từ đó có thể khiến cơ quan thực thi pháp luật khó nhận diện mối đe dọa hơn
1 bình luận
Ý kiến trên Hacker News
Tôi nghĩ cần có một đạo luật kiểu cấm sủa nhầm cây, ngăn các tổ chức dùng nguồn lực để gây ảnh hưởng lên những luật điều chỉnh chính hành vi của họ
Có thể lập luận rằng ngành liên quan hiểu vấn đề rõ nhất nên có thể góp ý vào quá trình ra quyết định, nhưng giới hạn chỉ nên là nộp dữ liệu vận hành thô đã loại bỏ những thông tin nhạy cảm cần được bảo vệ theo luật
Vượt quá mức đó thì rốt cuộc chỉ là các nhà vận động hành lang của chính phủ vì lợi ích riêng mà thôi
Trong một hệ thống khiến người bình thường bị nghi ngờ, còn tội phạm thì được trao quyền độc quyền một thị trường béo bở, mớ hỗn loạn kiểu này là hệ quả tất yếu
Những người như Al Capone đã cho thấy hậu quả thảm họa của Lệnh cấm rượu từ 100 năm trước, vậy mà chúng ta vẫn lặp lại sai lầm đó với các chất khác
Ứng dụng Mobile Justice của ACLU thì mọi người nên cài trên điện thoại, để phòng khi cần
Có vẻ như ngày nào Australia, UK, US cũng có dự luật mới
Rốt cuộc họ sẽ cứ thúc đẩy cho đến khi một dự luật như vậy được thông qua sao?
Mỗi lần những dự luật như thế này được đưa ra, chúng ta đều phải thắng; còn phía kia chỉ cần thắng một lần
Áp lực dư luận và các chiến dịch quảng cáo phản đối những dự luật như thế này phải được duy trì liên tục
Chỉ cần một quân domino đổ là sẽ thành “ở đó được thì ở chúng ta cũng được”
Việc EU không phải US không có nghĩa là họ không làm những trò độc đoán y hệt, được hậu thuẫn bởi các nguồn tài trợ tương tự hoặc giống nhau
Họ đưa ra cùng những cái cớ như “phải bắt tội phạm ghê tởm/hãy nghĩ đến trẻ em”, “chỉ dùng với tội phạm thôi”, nhưng điều đó không đúng
Chúng ta biết các luật kiểu này cũng sẽ được dùng với những người bị coi là thù địch với chính phủ, và với những người làm báo chí bất kể có bằng cấp hay không
Họ thật sự ghét việc không thể giám sát 24/7 tất cả chúng ta
Dự luật này là một món quà cho Russia và China
Giờ họ sẽ có thể đọc liên lạc của bất kỳ ai; chẳng lẽ bạn nghĩ họ sẽ ngừng mã hóa liên lạc của chính họ sao?
Liên kết đến dự luật thực tế là [1]. Mối lo là do câu chữ mơ hồ, các công ty mạng xã hội có thể buộc phải từ bỏ mã hóa đầu cuối
Tôi không phải chuyên gia pháp lý, nhưng dự luật được đề xuất có ghi rõ rằng không được diễn giải là yêu cầu nhà cung cấp phải giám sát người dùng hoặc nội dung liên lạc, hay chủ động tìm kiếm, sàng lọc, quét các sự kiện và hoàn cảnh liên quan
Mục tiêu có vẻ là khiến website không thể phớt lờ khi người ta báo cáo các trường hợp cụ thể về hành vi bất hợp pháp trên website đó
[1] https://www.congress.gov/bill/118th-congress/senate-bill/108...
Kết hợp hai điều này lại thì có nghĩa là phải duy trì khả năng giám sát người dùng khi được yêu cầu, tức là không được dùng thứ mã hóa đáng sợ kia
Khi khả năng đó đã tồn tại, bước tiếp theo trên thực tế là chức năng KYC và SAR
Mục thứ tư trong tweet này là phần khiến mọi người lo ngại: https://twitter.com/JakeLaperruque/status/167888722551627776...
Không rõ dự luật đã được sửa rồi, hay mục thứ tư gây vấn đề đó được thêm vào sau
Người đề xuất: Sen. Marshall, Roger [R-KS]
Đồng đề xuất: Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
Nên gọi điện cho thượng nghị sĩ của bạn và cho họ biết rằng bạn không ủng hộ dự luật này. Nghe có thể hời hợt và không hiệu quả, nhưng nhân viên văn phòng thượng viện thực sự có ghi lại những việc như vậy
Quyền được bảo đảm an toàn về thân thể và tài sản nếu không có lệnh khám xét do thẩm phán phê chuẩn đã đi đâu rồi?
Tuyên ngôn Nhân quyền của Mỹ khi đó gây tranh cãi rất lớn, và những người ủng hộ rất cứng rắn, nên cuối cùng nó trở thành 10 tu chính án đầu tiên của Hiến pháp
Nếu những người ủng hộ kiên trì đến cùng, họ có thể đã buộc phải đưa nó vào phần văn bản chính của Hiến pháp, hoặc giữ nguyên tình trạng Articles of Confederation ban đầu, nhưng họ đã thỏa hiệp
Dù Tuyên ngôn Nhân quyền không phải là các tu chính án mà nằm trong văn bản chính của Hiến pháp, có lẽ nó vẫn sẽ bị vứt bỏ dễ dàng như hiện nay
Rốt cuộc là vì điều gì? Để DEA và CIA tiếp tục hoạt động với những đặc quyền như East India Company sao?
Tôi không hiểu dự luật này hay cuộc chiến chống ma túy giúp ích gì cho người Mỹ bình thường. Tôi hoàn toàn không tin rằng nó đem lại bất kỳ lợi ích nào cho người Mỹ bình thường
Trái lại, tôi cho rằng nó nhiều khả năng mang lại lợi ích cho các cơ quan hành pháp, chứ không phải công dân, bằng cách cho họ quyền tiếp cận đặc quyền tới thị trường hàng hóa trọng tội và thông tin
Hai phần ba dân số Mỹ sống trong khu vực đó
https://www.aclu.org/know-your-rights/border-zone
Hãy tưởng tượng ở NYC, bạn rời nhà ở Bronx đi làm bằng tàu điện ngầm, rồi bị CBP chặn lại lục soát, tịch thu điện thoại và laptop, yêu cầu mật khẩu mạng xã hội và đe dọa giam giữ nếu không tuân theo: https://www.theatlantic.com/technology/archive/2017/02/give-...
https://www.wired.com/2017/02/guide-getting-past-customs-dig...
Thực tế là công dân Mỹ được khuyên nên thông báo cho gia đình, bạn bè và luật sư về việc di chuyển của mình để phòng trường hợp bị giam giữ khi qua biên giới thật sự là điên rồ
Đất nước này đang tiếp tục trượt về phía chủ nghĩa phát xít
Tôi nghĩ đây là một trong những yếu tố thúc đẩy việc áp dụng passkey. Passkey trông như chỉ yêu cầu xác thực sinh trắc học, nhưng việc nộp vân tay hay khuôn mặt không được bảo vệ, chỉ lời nói hoặc lời khai mới được bảo vệ, nên nó làm suy yếu toàn bộ lớp bảo vệ
Nó loại bỏ mối đe dọa bất hợp pháp là phishing, nhưng lại khiến mối đe dọa hợp pháp là vượt qua mã hóa trở nên dễ dàng, bất kể mã hóa mạnh đến đâu
Tại sao DEA không gây sức ép với Senate để trừng phạt China vì tiền chất fentanyl?
https://www.brookings.edu/articles/chinas-role-in-the-fentan...
Trước hết, việc tấn công mã hóa đầu cuối là sai
Nhưng tôi ngày càng chán ngấy việc Big Tech được miễn trách nhiệm đối với nội dung không mã hóa
Cơ chế đó được tạo ra để giúp các nền tảng mạng xã hội thời kỳ đầu tồn tại, nhưng giờ họ không còn là các startup khởi đầu trong gara nữa, mà là một trong những thực thể giàu có nhất hành tinh
Họ có khả năng quản lý nền tảng của mình, nhưng sẽ không quản lý một cách thiện chí trừ khi việc đó ảnh hưởng đến doanh thu hoặc họ sợ bị truy tố vì luật
Lập luận kiểu như “ngân hàng có thể giám sát khách hàng, nhưng họ sẽ không làm một cách thiện chí nếu việc đó không ảnh hưởng đến doanh thu hoặc không sợ bị truy tố” được áp dụng cho các tổ chức tài chính
Kết quả là nếu thông tin về một người hay giao dịch nào đó trông có vẻ liên quan dù chỉ chút ít đến đối tượng bị trừng phạt, nó sẽ bị chặn một cách ngẫu nhiên
Nếu một giao dịch của Al-Qaeda lọt qua và báo chí biết được, họ sẽ bị phạt tiền và bị cơ quan quản lý cùng Quốc hội khiển trách; nhưng ngược lại, nếu một người vô tội bị chặn, họ chỉ nghe vài lời phàn nàn rồi công việc kinh doanh vẫn tiếp tục
Tôi cho rằng các công ty mạng xã hội cũng sẽ có cùng động lực như vậy. Bất cứ thứ gì có thể bị coi là hơi khó chịu một chút cũng sẽ bị gỡ xuống
Cứ tưởng tượng vụ tước quyền kiếm tiền trên YouTube nhưng còn tệ hơn là được
[1] Ví dụ: https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
Với các dịch vụ một-một, một cách tiếp cận rất ít can thiệp là hợp lý. Thông thường không cần gỡ những nội dung rác rưởi; rác vào thì rác ra, mọi người có thể phớt lờ hoặc lọc cục bộ
Nhưng các diễn đàn trực tuyến công khai cần một mức điều phối nhất định, và nhìn chung điều đó là đáng mong muốn. Vì ai đó có thể spam rác đến mức khiến nó trở nên vô dụng với mọi người
S230 là cơ chế không chỉ miễn trách nhiệm đối với nội dung bị bỏ sót, mà còn cho phép điều phối cả những thiệt hại phát sinh khi việc điều phối thiện chí đi quá xa
Phần lớn tài liệu đáng bị lên án trên các nền tảng không phải là bất hợp pháp hay là hành vi trái pháp luật. Nội dung khó chịu, xúc phạm, hạ thấp và gây hiểu lầm phần lớn vẫn hợp pháp và không tạo ra trách nhiệm thực sự lớn
Tuy nhiên, nếu không có sự bảo vệ rộng như S230, người ta có thể kiện vì cả những chuyện nhỏ nhặt, và nếu không phải là công ty trị giá hàng chục tỷ USD thì có thể phá sản trước khi cuối cùng thắng kiện
Một thế giới không có bảo vệ trách nhiệm mạnh mẽ là thế giới nơi bạn không thể an toàn chọc tức hay làm phật ý một đối thủ có nhiều tiền và quyền lực hơn rất nhiều
Các nền tảng như Facebook, Google, Twitter nhờ quy mô và tài sản của mình vốn đã gần như miễn nhiễm với kiện tụng dân sự. Chỉ cần nhìn việc kiện tụng hầu như không có tác dụng trong các vụ xâm phạm quyền riêng tư hoặc chặn dữ liệu người dùng mà không báo trước, gây thiệt hại lớn
Vụ thông đồng tiền lương của Apple và Google cuối cùng cũng bị kết tội, nhưng chi phí họ chịu còn thấp hơn số tiền tiết kiệm được từ tiền lương
Các chính sách tồi xuất hiện vì quy mô, tài sản và quyền lực của họ khiến họ cũng khá miễn nhiễm trước dư luận
Nếu cách quản trị tồi của các trang mạng xã hội gây hại cho công chúng, thì có nhiều lựa chọn thay thế hơn sẽ tốt hơn
Facebook, Twitter, v.v. sẽ vẫn sống sót trong một thế giới không có S230, nhưng những lựa chọn thay thế nhỏ hơn, được quản lý tốt hơn mà mọi người có thể mong muốn thì hầu như khó tồn tại
Điều thấy được trong các dự luật kiểu này là chính phủ muốn biến doanh nghiệp thành đại diện để điều tra và thực thi pháp luật
Một trong những động cơ là nó có thể làm suy yếu triệt để quy trình tố tụng đúng đắn. Hiến pháp tạo ra các biện pháp bảo vệ trước việc khám xét của chính phủ, nhưng vì chúng ta đã “tự nguyện” giao dữ liệu cho doanh nghiệp nên thiếu các bảo vệ tương tự đối với doanh nghiệp
Vì vậy, nếu chính phủ buộc doanh nghiệp tiến hành khám xét, họ có thể né được phần lớn các quyền theo Tu chính án thứ Tư
YouTube có phải báo cáo bản tin [1] về việc một cảnh sát bị quá liều fentanyl do phơi nhiễm trong khi làm nhiệm vụ như là sự thật hoặc tình tiết liên quan đến việc phân phối fentanyl bất hợp pháp không?
Có bao nhiêu bài rap và lời bài hát sẽ trở thành đối tượng phải báo cáo chỉ vì có ca từ ám chỉ khả năng sử dụng ma túy thật?
Tất cả các bài báo và thảo luận trên mạng xã hội kiểu “{celebrity_name} dies from drug overdose” cũng phải báo cáo sao?
Bằng sáng chế USPTO US3141823A[2] về phương pháp tổng hợp fentanyl cũng thuộc diện phải báo cáo sao? Vì người dùng mạng xã hội liên kết đến bằng sáng chế đó có thể liên quan đến việc sản xuất fentanyl bất hợp pháp?
Bài báo “An Efficient, Optimized Synthesis of Fentanyl and Related Analogs”[3] của National Institutes of Health cũng phải báo cáo sao? Vì người dùng liên kết đến bài báo đó có thể liên quan đến việc sản xuất bất hợp pháp?
Nếu dự luật đề xuất cấm thông báo yêu cầu bảo quản dữ liệu trong ít nhất 5 ngày, thì nền tảng nên xóa nội dung vi phạm điều khoản, hay giữ nguyên để không thông báo cho người dùng?
Nếu nền tảng không thể xóa nội dung có vấn đề, thì điều gì xảy ra khi nội dung đó được đăng cùng với nội dung vi phạm bản quyền, nội dung khiêu dâm, hoặc những nội dung khác mà họ thường gỡ ngay lập tức?
[1] https://www.youtube.com/watch?v=Jd76HxqCPf0
[2] https://patents.google.com/patent/US3141823A/en
[3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/
Trên thực tế, đó là trường hợp họ nghĩ mình đã chạm vào fentanyl và bị cơn hoảng loạn vì sợ quá liều
Khi được đưa đến bệnh viện và xét nghiệm, không tìm thấy dấu vết fentanyl trong máu, nhưng truyền thông và cảnh sát bỏ qua phần đó và thổi phồng câu chuyện. Vì nó đáng xấu hổ
Cách duy nhất để cảnh sát phơi nhiễm với fentanyl không phải là chạm vào nó, mà là nuốt/đưa vào cơ thể
Việc tạo một ứng dụng phụ trợ kiểu như mã hóa bằng GPG trước khi gửi tin nhắn sẽ khó đến mức nào?
Chỉ cần nhập nội dung vào ô văn bản, ứng dụng mã hóa rồi sao chép vào clipboard để dán vào app nhắn tin là được. Bên nhận thì làm ngược lại
Ngày càng rõ ràng rằng nếu muốn chính phủ và các công ty công nghệ không đọc lén tin nhắn, chúng ta phải tự giải quyết
Nghĩa là nếu ai đó lấy được khóa, họ có thể đọc mọi nội dung trong quá khứ và hiện tại đã được mã hóa bằng khóa đó
Perfect forward secrecy đòi hỏi hai đầu cuối cùng tham gia vào quá trình liên lạc, nên không phù hợp với cấu trúc “gửi rồi quên” của email, nhưng với nhắn tin tức thời thì chắc chắn cần thiết
Phần khó là tự động dán vào trong ứng dụng và tự động sao chép ra ngoài ứng dụng, trong bối cảnh nhà phát triển app nhắn tin có thể chủ động chống lại hoạt động đó
Mailvelope[1] là một ví dụ triển khai cách này cho webmail
Nếu chấp nhận thao tác thủ công, PGP vốn đã có thể dùng cùng với bất cứ thứ gì
[1] https://mailvelope.com/
Nếu Briar có đầy đủ tính năng trên iOS và chỉ cần chỉnh lại UI một chút cho giống như được thiết kế sau Android 7, thì sẽ rất tuyệt