Chương trình PRISM của NSA là gì? (Hỏi – Đáp thường thấy)

What is the NSA's PRISM program? (FAQ)

Bây giờ chúng ta biết rằng Cơ quan An ninh Quốc gia Mỹ - NSA (National Security Agency) sử dụng thứ gì đó được gọi là PRISM để giám sát các dữ liệu Web riêng tư. Nghe giống như “1984”. Thực sự thì nó là cái gì?

We now know that the NSA uses something called PRISM to monitor private Web data. Sounds like "1984." What does it really mean?

by Ben Dreyfuss and Emily Dreyfuss, June 7, 2013 11:44 AM PDT

Theo: http://news.cnet.com/8301-1009_3-57588253-83/what-is-the-nsas-prism-program-faq/

Bài được đưa lên Internet ngày: 07/06/2013

Lời người dịch: Vài trích đoạn về vụ Snowden, cựu nhân viên của Cơ quan An ninh Quốc gia Mỹ tiết lộ về chương trình bí mật PRISM mà NSA tiến hành: “Tuy nhiên, như Thời báo New York đã nêu vào cuối buổi chiều thứ sáu, được đưa ra ánh sáng rằng 9 công ty công nghệ lớn đầu tiên được nêu đang làm việc với NSA để tiết lộ thông tin, trong thực tế, đã làm dễ dàng hơn cho chính phủ để truy cập dữ liệu từ các máy chủ của họ”. Các công ty đó là: “Microsoft, Yahoo, AOL, Facebook, Google, Apple, PalTalk, YouTube và Skype. Dropbox được cho là “sớm ra nhập danh sách”. Tuy nhiên, 98% sản phẩm của PRISM là chỉ dựa vào Yahoo, Google và Microsoft”. “Theo “các slide và các tư liệu hỗ trợ khác” được tờ Người bảo vệ và tờ Bưu điện Washington đưa ra từ Snowden: “thư điện tử, chat, các video, các ảnh, các dữ liệu lưu trữ, VoIP, các truyền tệp, các hộ nghị qua video, các lưu ý hoạt động đích... các đăng nhập, …, các chi tiết kết nối mạng xã hội trực tuyến” - vì thế, mọi thứ”.

Bạn đã và đang nghe về một chương trình bí mật hàng đầu của chính phủ được cho là trao cho NSA truy cập vào các thông số của các khách hàng được các công ty công nghệ lớn nắm giữ. Nhưng cái đó là gì, thực sự, và cách mà nó tác động tới bạn? Các báo cáo đang thay đổi nhanh chóng, nên chúng tôi đã tạo ra các câu hỏi đáp thường thấy (FAQ) này để cho bạn biết cái gì được biết cho tới lúc này. Chúng tôi sẽ tiếp tục cập nhật nó khi các sự việc trở nên rõ ràng hơn.

PRISM là gì?

PRISM là viết tắt từ “Planning Tool for Resource Integration, Synchronization, and Management” (Công cụ lên Kế hoạch cho Tích hợp, Đồng bộ và Quản lý các Tài nguyên), và là một “công cụ dữ liệu” được thiết kế để thu thập và xử lý “tình báo nước ngoài” mà truyền qua các cho máy chủ của Mỹ. Các chi tiết về sự hiện diện của nó đã bị rò rỉ trên tờ Bưu Điện Washington và Người bảo vệ từ Edward Snowden, một nhà thầu 29 tuổi của NSA.

Nó bây giờ được chính quyền Obama thừa nhận.

Nhà báo Marc Ambinder về an ninh quốc tế nói: “PRIS là một giao diện đồ họa người sử dụng GUI đá đít mà cho phép một nhà phân tích nhìn vào, thu thập, giám sát, và kiểm tra chéo các dạng dữ liệu khác nhau được cung cấp cho NSA từ các công ty Internet đặt bên trong nước Mỹ”.

Nó chỉ nhằm vào người nước ngoài chứ?

PRISM “không thể được sử dụng để nhằm vào một cách có chủ đích bất kỳ công dân Mỹ nào (PDF)”, hoặc bất kỳ người Mỹ nào khác, hoặc có chủ đích nhằm vào bất kỳ người nào được biết như là ở trong nước Mỹ, theo một tuyên bố được Giám đốc Clapper đã đưa ra hôm 08/06.

Vì sao lại có thể có tình báo nước ngoài trong các máy chủ của Mỹ?

Số lượng khổng lồ giao thông Internet nước ngoài được định tuyến thông qua hoặc được lưu giữ trong các máy chủ của Mỹ. Ví dụ, đa số người sử dụng Facebook và Google không phải là từ Mỹ.

Thế điều này tác động tới các dữ liệu của người Mỹ như thế nào?

Từ khóa là có chủ ý. NSA không thể có chủ ý nhằm vào dữ liệu của một người Mỹ. Nhưng các nhà phân tích chỉ cần ít nhất 51% tin tưởng về “tính chất người nước ngoài” của các đích ngắm.

Cái gì PRISM không làm?

Có khả năng nó không phải là tên cho một chương trình giám sát bí mật tổng quát có liên quan tới các công ty công nghệ lớn nhất định, khi ban đầu được nói tới trên tờ Bưu điện Washington. Giám đốc NSA James Clapper đã đưa ra tuyên bố nói rằng: “PRISM dường như tham chiếu tới chương trình máy tính thực sự được sử dụng để thu thập và phân tích các dữ liệu hợp pháp được NSA yêu cầu và được các công ty Internet tiết lộ. Điều này trùng khớp với các báo cáo từ CNET và Thời báo New York”.

Tuy nhiên, như Thời báo New York đã nêu vào cuối buổi chiều thứ sáu, được đưa ra ánh sáng rằng 9 công ty công nghệ lớn đầu tiên được nêu đang làm việc với NSA để tiết lộ thông tin, trong thực tế, đã làm dễ dàng hơn cho chính phủ để truy cập dữ liệu từ các máy chủ của họ.

Các công ty nào có liên quan?

Microsoft, Yahoo, AOL, Facebook, Google, Apple, PalTalk, YouTube và Skype. Dropbox được cho là “sớm ra nhập danh sách”. Tuy nhiên, 98% sản phẩm của PRISM là chỉ dựa vào Yahoo, Google và Microsoft.

Tất cả 9 trong số họ đã rõ ràng phủ định rằng chính phủ có “sự truy cập trực tiếp” tới các máy chủ của họ. Các nguồn tin đáng tin cậy đã khẳng định với CNET rằng PRISM làm việc trên cơ sở từng yêu cầu một, hơn là sự truy cập không bị cùm chân, như ban đầu từng được tờ Bưu điện Washington nêu. Đây là trích dẫn trực tiếp từ bài báo có chiều sâu về vấn đề này:

Các báo cáo đó là không đúng và dường như dựa vào sự nhầm lẫn của một tài liệu PowerPoint bị rò rỉ, theo một cựu quan chức chính phủ có quan hệ thân thiết với tiến trình có được các dữ liệu này và đã được nói ngày hôm nay trong điều kiện nặc danh.

Hơn nữa, dường như là dù họ có thể đã từ chối về sự truy cập trực tiếp tới các máy chủ của họ, thì nhiều người trong thực tế đã đồng ý hợp tác với chính phủ về “việc phát triển các phương pháp kỹ thuật để chia sẻ có hiệu quả và an ninh hơn các dữ liệu của những người sử dụng nước ngoài để đáp ứng các yêu cầu hợp pháp của chính phủ”.

Làm thế nào?

Hoàn toàn chưa rõ, nhưng theo Thời báo New York, trong ít nhất 2 trường hợp các công ty đã thảo luận việc tạo ra các hộp thả (dropbox) số an ninh nơi mà thông tin được NSA tìm có thể được gửi bằng điện tử. Facebook được cho là thực sự xây dựng một hệ thống như vậy.

Vào hôm thứ 3, 11/06, Google đã đưa ra một bức thư cho Bộ Tư pháp, yêu cầu cho phép tiết lộ cơ chế mà theo đó FISA yêu cầu sẽ được hoàn tất. Một người phát ngôn của Facebook đã tham gia vào cuộc gọi, công bố rằng Facebook có thể “chào đón cơ hội cung cấp một báo cáo minh bạch mà cho phép chúng ta chia sẻ với những người sử dụng Facebook trên thế giới một bức tranh hoàn chỉnh về các yêu cầu của chính phủ mà chúng tôi nhận được, và cách mà chúng tôi trả lời”. SAu việc việc bức thư cho Bộ Tư pháp, Google đã thảo luận với Tạp chí Wired các cách thức mà hãng có được thông tin hợp pháp cho chính phủ, khăng khăng thong qua các báo cáo đó về “sự truy cập trực tiếp” tới các máy chủ của Google là sai trái. Hãy nhảy qua phần Nó làm việc như thế nào? của chúng tôi để có thêm chi tiết.

Vì sao Twitter không là một phần của PRISM?

Đó là một câu hỏi rất hay mà ngay từ đầu đã không ai có khả năng trả lời.

Bây giờ dường như dù câu trả lời là: Twitter đơn giản nói không.

Các công ty có bổn phận pháp lý tuân thủ với bất kỳ yêu cầu hợp pháp nào của chính phur về các dữ liệu của người sử dụng, nhưng họ không có bổn phận pháp lý nào để làm cho tiến trình đó dễ dàng hơn. Twitter hình như đã từ chối tham gia với 9 hãng khác trong cố gắng thúc đẩy tiến trình đó

Hôm thứ sáu, ngày 07/06, tờ Thời báo New York đã viết:

Twitter đã từ chối làm cho dễ dàng hơn đối với chính phủ. Nhưng các công ty khác đã tuân thủ hơn, theo những người đã tóm tắt trong các vụ thương thảo. Họ đã mở ra các thảo luận với các quan chức an ninh quốc gia về việc phát triển các phương pháp kỹ thuật để chia sẻ có hiệu quả và an ninh hơn các dữ liệu cá nhân của những người sử dụng nước ngoài để đáp ứng với các yêu cầu hợp pháp của chính phủ. Và trong một số trường hợp, họ đã thay đổi các hệ thống máy tính của họ để làm thế.

Dạng dữ liệu nào được giám sát?

Theo “các slide và các tư liệu hỗ trợ khác” được tờ Người bảo vệ và tờ Bưu điện Washington đưa ra từ Snowden: “thư điện tử, chat, các video, các ảnh, các dữ liệu lưu trữ, VoIP, các truyền tệp, các hộ nghị qua video, các lưu ý hoạt động đích... các đăng nhập, …, các chi tiết kết nối mạng xã hội trực tuyến” - vì thế, mọi thứ.

Ví dụ, các dữ liệu của Google bao gồm “Gmail, chat âm thanh và video, các tệp trên Google Drive, các thư viện ảnh, và giám sát động các khoản tìm kiếm”.

Báo cáo ban đầu gợi ý rằng “NSA báo cáo ngày càng dựa vào PRISM” như là nguồn hàng đầu của nó các tư liệu thô, có tới gần như 1 trong số 7 báo cáo tình báo.

Nguồn tin cậy nói CNET rằng cả các nội dung các giao tiếp và siêu dữ liệu, như thông tin về ai đang nói với ai, có thể được yêu cầu.

Họ có thể đọc các iMessage của tôi không?

Về lý thuyết, có. Đó là dạng dữ liệu mà chương trình đó có truy cập tới.

Thế ai đó đã đọc được thư điện tử của tôi?

Ngoài thực tế là các thuật toán của Google bò tới thư điện tử của bạn toàn thời gian để nhằm vào các quảng cáo ở bạn, “ai đó” trong NSA có thể đã đọc được các thư điện tử của bạn.

Điều đó thậm chí là hợp pháp ư?

Vâng, theo Phần 702 của Luật Giám sát Tình báo Nước ngoài (FISA) năm 2008 và Luật Bảo vệ nước Mỹ năm 2007. Giám đốc NSA James Clapper đã đưa ra một tuyên bố tối thứ năm nói rằng “Phần 702 là một điều khoản của FISA được thiết kế để tạo thuận lợi cho sự có được thông tin tình báo nước ngoài có liên quan tới những người không phải dân Mỹ nằm bên ngoài nước Mỹ. Nó không thể được sử dụng để cố tình nhằm vào các công dân Mỹ, bất kỳ người Mỹ nào khác, hoặc b bất kỳ ai nằm bên trong nước Mỹ”. FISA từng được Quốc hội làm mới lại năm ngoái.

Theo tờ Bưu điện, “Cuối năm ngoái, khi những chỉ trích tại Quốc hội đã tìm các thay đổi trong Luật Sửa đổi Bổ sung FISA, chỉ có những nhà làm luật nào mà biết về PRISM từng bị ràng buộc bởi các lời tuyên thệ của văn phòng để giữ miệng của họ”. Khi câu chuyện vỡ lở, Ron Uwyden (Đảng dân chủ bang Oregon) và Mark Udall (Đảng Dân chủ bang Colorado) đã đưa ra một bức thư họ cùng viết cho Bộ Tư pháp trình bày những lo ngại của họ có liên quan tới chương trình này.

You've been hearing about a top-secret government program reportedly giving the NSA access to digital consumer information held by large tech companies. But what is it, really, and how does it affect you? Reports are changing fast, so we created this FAQ to let you know what is known so far. We will continue to update it as the facts become clear.

What is PRISM?

PRISM stands for "Planning Tool for Resource Integration, Synchronization, and Management," and is a "data tool" designed to collect and process "foreign intelligence" that passes through American servers. Details about its existence were leaked to The Washington Post and The Guardian by Edward Snowden, a 29-year-old NSA contractor.

It has now been acknowledged by the Obama administration.

In the words of national security reporter Marc Ambinder, "PRISM [is] a kick-ass GUI that allows an analyst to look at, collate, monitor, and cross-check different data types provided to the NSA from Internet companies located inside the United States."

It only targets foreigners?

PRISM "cannot be used to intentionally target any U.S. citizen (PDF), or any other U.S. person, or to intentionally target any person known to be in the United States, according to a statement released by Director Clapper on June 8.

Why would there be foreign intelligence on American servers?

A huge amount of foreign internet traffic is routed through or saved on U.S. servers. For instance, a majority of Facebook and Google users are not from the United States.

So how does this affect an American's data?

The key word is intentional. The NSA can't intentionally target an Americans data. But analysts need only be at least 51 percent confident of a target's "foreignness."

What is PRISM not?

It is apparently not the name for an overarching secret surveillance program in affiliation with certain large tech companies, as was originally reported by The Washington Post. Director of National Intelligence James Clapper has released a statement saying, "PRISM is not an undisclosed collection or data mining program." Instead, the name PRISM appears to refer to the actual computer program used to collect and analyze data legally requested by the NSA and divulged by Internet companies. This matches reports from CNET and The New York Times.

However, as the New York Times reported late Friday evening, it has come to light that the nine large tech companies first reported to be working with the NSA to divulge information have, in fact, made it easier for the government to access data from their servers.

Which companies are involved?

Microsoft, Yahoo, AOL, Facebook, Google, Apple, PalTalk, YouTube, and Skype. Dropbox is allegedly "coming soon." However, 98 percent of PRISM production is based on just Yahoo, Google, and Microsoft.

All nine of them have explicitly denied that the government has "direct access" to their servers. Reliable sources have confirmed to CNET that PRISM works on a request-by-request basis, rather than unfettered access, as was originally reported by the Washington Post. Here is a direct quote from our in-depth article on this issue:

Those reports are incorrect and appear to be based on a misreading of a leaked Powerpoint document, according to a former government official who is intimately familiar with this process of data acquisition and spoke today on condition of anonymity.

Still, it appears that though they may have withheld direct access to their servers, many did in fact agree to collaborate with the government on "developing technical methods to more efficiently and securely share the personal data of foreign users in response to lawful government requests."

How?

It's not entirely clear, but according to the New York Times, in at least two cases the companies discussed creating secure digital dropboxes where information sought by the NSA could be electronically deposited. Facebook reportedly actually built such a system.

On Tuesday, June 11, Google published a letter to the Justice Department, asking for permission to disclose the mechanism by which FISA requests are completed. A Facebook spokesperson joined the call, announcing that Facebook would "welcome the opportunity to provide a transparency report that allows us to share with those who use Facebook around the world a complete picture of the government requests we receive, and how we respond." After writing the letter to the Justice Department, Google discussed with Wired Magazine the ways it gets legal information to the government, insisting throughout that reports of "direct access" to Google servers have been erroneous. Jump to our How does it work? section for more details.

Why isn't Twitter a part of PRISM?

That's a very good question that at first no one was able to answer.

It now appears as though the answer is: Twitter simply said no.

Companies are legally obligated to comply with any legitimate government request for user data, but they are under no legal obligation to make that process easier. Twitter apparently refused to join the other nine in steam rolling the process.

On Friday, June 7, the New York Times wrote:

Twitter declined to make it easier for the government. But other companies were more compliant, according to people briefed on the negotiations. They opened discussions with national security officials about developing technical methods to more efficiently and securely share the personal data of foreign users in response to lawful government requests. And in some cases, they changed their computer systems to do so.

What type of data is monitored?

According to "slides and other supporting materials" given to the The Guardian and The Washington Post by Snowden: "e-mail, chat, videos, photos, stored data, VoIP, file transfers, video conferencing, notifications of target activity...log-ins, etc., online social networking details" -- so, everything.

For instance, Google data includes "Gmail, voice and video chat, Google Drive files, photo libraries, and live surveillance of search terms."

The original report suggests that "NSA reporting increasingly relies on PRISM" as its leading source of raw material, accounting for nearly one in seven intelligence reports.

A reliable source tells CNET that both the contents of communications and metadata, such as information about who's talking to whom, can be requested.

Can they read my iMessage?

Theoretically, yes. That is the kind of data the program has access to.

So someone has read my e-mail?

Aside from the fact that Google's algorithms crawl your e-mail all the time to target ads at you, "someone" within the NSA may have read your e-mails.

Is it even legal?

Yes, under Section 702 of the Foreign Intelligence Surveillance Act (FISA) of 2008 and the Protect America Act of 2007. Director of National Intelligence James Clapper released a statement Thursday night saying that "Section 702 is a provision of FISA that is designed to facilitate the acquisition of foreign intelligence information concerning non-U.S. persons located outside the United States. It cannot be used to intentionally target any U.S. citizen, any other U.S. person, or anyone located within the United States." FISA was renewed last year by Congress.

According to the Post, "Late last year, when critics in Congress sought changes in the FISA Amendments Act, the only lawmakers who knew about PRISM were bound by oaths of office to hold their tongues." When the story broke, Ron Wyden (D-Ore.) and Mark Udall (D-Colo.) released a letter they cowrote to the Justice Department expressing their concerns relating to the program.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com