Xin xem lời trần tình ở phần I. Phần II này xin đề cập đến tính bảo mật của nội dung điện thư cá nhân và các posts trên mạng xã hội (email content and social network post confidentiality/privacy).
Dạ dạ Đệ xin vào đề...
Trước hết một câu hỏi thường được đặt ra mà không có câu trả lời hoặc câu trả lời thì mơ hồ: "Email có an toàn và bảo mật không?"
Không có câu trả lời hoặc câu trả lời mơ hồ là vì câu hỏi rộng quá mà các nhà làm luật lệ ở xứ Hoa Kỳ này (sau hơn hai thập niên toàn cầu mạng) vẫn quá lỗi thời trong luật lệ Internet và vì Internet có chỉ là của Hoa Kỳ như thời kỳ phôi thai ARPANET của quân đội Mỹ nữa đâu. Toàn cầu hóa (globalization) làm cho việc đặt luật trở nên gần như bất khả thi.
Câu trả lời của MPR.org (Báo điện của đài phát thanh công cộng của Minnesota, USA) là... còn tùy! Tùy theo email của Bê cũ hay mới. Nếu chưa quá 180 ngày thì cơ quan thẩm quyền chỉ có thể động tới nếu có trát tòa (search warrant) với lý do chính đáng là tại sao mà Thẩm Quyền (TQ)(1) muốn biết nội dung của email.
Email sau 180 ngày, TQ chỉ cần gọi hoặc email cho Google (hay bất cứ hãng chủ điều hành email nào như Yahoo, Microsoft, vân vân...) thì Google sẽ chuyển tất cả nội dung mà TQ yêu cầu mà không cần lý do gì cả (không cần trát tòa).
Tại sao lại là 180 ngày? Dạ, tại các NGÀI làm luật trong quốc hội Hoa Kỳ có cái nhìn chỉ quá lỗ mũi của các Ngài một chút thôi. Ngày ấy vì ổ cứng (hard drive) còn quá mắc với dung lượng lại nhỏ (storage size) nên các Ngài "nghĩ" không hãng email nào chứa nội dung email quá 180 ngày. Ngày nay, ổ cứng quá rẻ mà dung lượng lại quá lớn nên các hãng chủ đều giữ emails lâu hơn nhiều. Nhất là với những trung tâm dữ kiện (trên) đám mây--Cloud Data Center mà các hãng xử dụng ngày nay thì chắc không cần phải xóa emails cũ làm gì nếu còn giá trị xử dụng, hay nói cách khác nếu còn tính chuyện bán cho người nào muốn mua.
Bê sẽ nói: "Nhưng mà email của tôi chắc không bị kiểm soát đâu; nhà nước đâu có rảnh mà "monitor" (quan sát theo dõi) emails của phó thường dân như tôi!" Dạ có lẽ là Bê nói đúng. Không ai hơi đâu mà monitor mấy cái emails... vớ vẩn của Bê và của Đệ đâu.
Nhưng vấn đề trở nên phức tạp hơn khi nghĩ đến... tin tặc (TT) và giá trị của emails (và posts trên Facebook) đối với các hãng/cơ quan muốn khai thác dữ kiện (data mining & data analytics). TT không có cần trát tòa gì sất! TT có thể xâm nhập vào, thí dụ như, Google, lấy tất cả các emails và bán cho ai muốn mua để khai thác thông tin cá nhân của Bê.
Từ xưa đến nay, ai cũng nghe qua, đọc qua về cách tấn công trong võ thuật và quân sự. (Dạ, Đệ không biết mấy về võ thuật mà cũng không là lính một ngày nào). Đó là tấn công vào chỗ yếu nhất của người ta hay địch thủ. Rất có lý vì mình đỡ tốn sức mà hiệu quả lại cao. Xin lấy một thí dụ, một nhóm bạn chơi với nhau lâu năm (mọi người trong nhóm đều có thể tin cậy được) trao đổi emails với nhau thường xuyên và nhiều tin tức cá nhân được lưu chuyển trong các emails đó. Trong nhóm, coi như là một vòng xích (chain) cấu tạo bởi những mắt xích (links) là email của mỗi cá nhân trong nhóm và muốn phá cái vòng xích này không phải là dễ. Nhưng có một người (một mắt xích) thường xuyên vào gmail và computer không cài mật mã (password) thì tin tặc sẽ tìm cách "đánh" vào cái mắt xích này để xâm nhập emails và đánh cắp được những tin tức cá nhân của những người khác trong nhóm. Cái mắt xích yếu nhất trong sợi giây xích đó thuật ngữ chuyên môn gọi là "the weakest link". Bê sẽ nói: "Tôi không có ngu vậy đâu! Computer của tôi có cài mật mã đàng hoàng!" Dạ, Bê "missed the point" rồi. Đây chỉ là một ví dụ đơn giản thôi. Với tin tặc thì mấy cái password không nhằm nhòi gì đâu. Và nữa nếu Bê là người... cẩn thận, thì tất cả các emails mà Bê nhận được Bê in chúng nó ra tất, trên giấy trắng mực đen thì computer password cũng chả giúp gì cho việc bảo mật! Hay là ví von như vầy: nhóm trao đổi email đó như cái nhà có nhiều cửa và cửa sổ. Tất cả mọi cửa đều có khóa; trừ một cái cửa không khóa. Kẻ gian sẽ vô bằng cửa nào? Hay là tất cả cửa số đều có màn che; trừ một cửa số không có màn che vì chủ nhân (của cái cửa sổ đó) có cái quan điểm sống là không có gì phải che dấu. Kẻ gian nếu muốn nhìn vào nhà thì tìm đến cửa số nào?
"Nhưng mà tôi viết tiếng Việt thì ai đọc được, trừ người Việt", Bê sẽ nói. Dạ thưa Bê, với kỹ thuật vi tính ngày nay, ngôn ngữ có thể được chuyển đổi dễ dàng: Bê có viết chữ Phạn thì nếu Đệ đây muốn đọc và hiểu nghĩa cũng không khó khăn gì chứ đừng nói gì tới các TQ.
Một thí dụ nữa là năm vừa rồi Đệ có vào Amazon.com và Newegg.com đề tìm mua một cái "router" mới (mà không mua lúc đó). Trong nhiều tuần sau đó, Đệ để ý là khi Đệ vào một trang mạng để coi phim online thì thấy các quảng cáo phần nhiều là về cái router mà tôi đang tìm hoặc những sản phẩm tương tự. Lúc đó mới vỡ lẽ ra là cái tin "ông Hòa đang tìm mua một cái router" đã đến tai con buôn! Bê sẽ nói: "thì sao? so what?" Dạ nếu Bê không màng là người ta biết thêm tin tức cá nhân của mình thì không có sao cả! Mà còn tiện lợi nữa vì các quảng cáo đó nó bỏ công ra làm cho riêng Bê đó. Nhờ quảng cáo này (selective targetted advertizing) mà Bê biết được chỗ nào bán rẻ hơn. Đúng! Nếu cái gì cũng sợ thì đừng vào Amazon nữa. Khốn nỗi là mua on line qua Amazon quá tiện lợi nhất là ở xứ tuyết. Thí dụ này cũng không hoàn toàn chính xác về bảo mật email; Đệ biết vậy, nhưng chỉ muốn nêu ra là kỹ thuật khai thác tin tức mạng (Internet data mining) đã tiến quá xa trong lãnh vực tìm hiểu tin tức cá nhân để bán cho những tổ chức muốn trục lợi. Thí dụ điển hình là vào "phây" (Facebook đánh vần theo chữ Việt) thì sẽ đọc được tin tức của các CẬU và các MỢ mà chả cần tra tấn hỏi cung chi... cho mang tiếng là vi phạm nhân quyền.
Để kết bài này, cách hay nhất là muốn dấu điều gì (hoặc hình ảnh gì) thì xin đừng gởi qua emails hoặc đăng chúng lên mạng xã hội như Facebook. Không có gì bảo đảm là người nhận (dù là theo Bê là rất đáng tin cậy) sẽ làm mọi cách để tin tức/hình ảnh mà Bê gởi cho họ sẽ được bảo mật. À mà bưu điện để gởi thơ và bưu kiện vẫn còn hoạt động ở các nước mà sao Bê không tiếp tục xử dụng bưu điện? A, mà có gởi hình bằng thơ tay thì cũng nên dặn người nhận là đừng số hóa bức hình (image scanning) rồi "tung" vào Internet. Hi, hi...
Thân,
P.S.: Phần phụ chú bằng tiếng Mỹ hơi khô khan nên thì tùy Bê. Thích thì đọc thêm; không thì thôi.
Chú thích:
(1) TQ-Thẩm Quyền là bất cứ cơ quan an ninh nào của Hoa Kỳ chẳng hạn như FBI, NSA, vân vân vì Google là hãng Mỹ, chịu luật lệ Hoa Kỳ. TQ có thể hiểu rộng ra là bất cứ chính quyền nào.
Phụ chú:
http://people.howstuffworks.
https://support.office.com/en-
http://www.npr.org/2011/11/24/
http://www.huffingtonpost.com/
Blogs Đã Viết--Theo Đề Tài
Không có nhận xét nào:
Đăng nhận xét