'NSA có thể đột nhập vào máy tính và cài đặt phần mềm độc hại lên đó' - CEO mật mã

'NSA could just hack into computer and install malware on it' - encryption CEO

20 August 2013, 16:04

Theo: http://voiceofrussia.com/news/2013_08_20/NSA-could-just-hack-into-computer-and-install-malware-on-it-encryption-CEO-3541/

Bài được đưa lên Internet ngày: 20/08/2013

Tải về tệp âm thanh

Lời người dịch: Bài viết dạy những kiến thức cơ bản về việc mã hóa và giải mã thông điệp đối với thư điện tử được gửi nhận qua Internet, rất cần thiết cho những ai có mong muốn bảo vệ tính riêng tư của khi sử dụng thư điện tử. Một vài trích đoạn ví dụ: “Vì thế, có thể bạn đã tự mình lưu với PGP và bạn bắt đầu gửi các thư điện tử được mã hóa cho mọi người, và CSA không thể đọc được các thư điện tử có mã hóa đó trên đường truyền. Tuy nhiên, hoàn toàn có thể là NSA có thể đột nhập được vào máy tính của bạn và cài đặt phần mềm độc hại lên máy tính của bạn, giống như một trình đọc bàn phím keylogger. Sau đó họ có thể thấy được thư điện tử đó, bạn gõ nó thế nào trước khi bạn thậm chí mã hóa. Vì thế, họ có thể có sự mã hóa thông qua các cách khác”. “Thư điện tử không phải là cách giao tiếp an ninh nhất. Nếu bạn muốn giao tiếp an ninh hơn, bạn có thể gửi các thông điệp được viết của bạn bằng việc sử dụng dịch vụ thông điệp văn bản có mã hóa, giống của chúng tôi, mà không chia sẻ các khóa với máy chủ”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Hầu hết các dịch vụ thư điện tử, như Gmail, Yahoo và Hotmail không được mã hóa và có thể bị phơi ra cho sự soi xét có khả năng từ các nhà cung cấp dịch vụ hoặc bất kỳ ai có thể thọc tay vào với các nhà cung cấp đó, như chính phủ chẳng hạn.

Đó chính là lý do đối với người sáng lập ra Lavabit, 32 tuổi, Ladar Livison đã phải đối mặt với một quyết định khó khăn liệu ông có nên tiết lộ thông tin hay là đóng cửa webisite mật mã thư điện tử riêng của ông. Levison đã chọn bảo vệ những người sử dụng của ông.

“Đối với tôi điều này không phải là về việc bảo vệ tính riêng tư của một người duy nhất. Lavabit đã nhận được hơn 2 chục yêu cầu về thông tin từ Chính phủ trong lịch sử 10 năm của nó.

Và chúng tôi không bao giờ có vấn đề chuyển thông tin mà chúng tôi đã có. Chỉ gần đây hoàn cahr đã thay đổi và tôi đã bị ép phải quyết định làm thế nào tôi có thể bảo vệ được tính riêng tư của tất cả những người sử dụng của tôi”.

Các dịch vụ mã hóa thư điện tử cá nhân, như Lavabit và Silent Circle, làm việc bằng cách cho phép những người sử dụng mã hóa các thư điện tử của họ mà có thể sau đó được truy cập và được giải mã bằng một mật khẩu. Tuy nhiên, các công ty có thể được yêu cầu bỏ các mật khẩu của họ, mà có thể gây nguy hiểm cho thông tin của những người sử dụng của họ.

Đồng sáng lập ra Silent Circle là Phil Zimmermann cũng đã đóng cửa dịch vụ thư điện tử của ông để bảo vệ những người sử dụng của ông, vì ông đã sợ bị ép phải từ bỏ thông tin riêng tư.

“Nếu ai đó tới và xoắn tay bạn dưới một lệnh của tòa án chúng tôi có thể bỏ các khóa, chúng tôi có thể bị ép phải bỏ các khóa. Và chúng tôi đã không thích bị nằm trong tình huống đó”.

Zimmermann cũng lưu ý rằng thậm chí thông tin được mã hóa không hoàn toàn được bảo vệ vì các phần khác của thư điện tử, như tên hoặc các đầu đề của người gửi vẫn còn bị phơi ra trong thư.

“Thậm chí một thư điện tử được mã hóa có phần của nó bị phơi ra - các đầu đề thư mà nói thư từ ai tới, ai là người nhận nó, có thể vấn đề của chủ đề thư điện tử. Phần của thư điện tử mà không được mã hóa, thậm chí khi bạn đã mã hóa thư điện tử”.

Micah Lee từ Quỹ Biên giới Điện tử - EFF (Electronic Frontier Foundation) nói rằng sự mà hóa làm việc Vấn đề là mọi người vẫn có khả năng đột nhập vào các máy tính và lấy đi các mật khẩu hoặc các khóa để giải mã các thông tin được mã hóa. Trích lời người làm rò rỉ thông tin của NSA Edward Snowden, Lee nói rằng vấn đề là ở các điểm đầu cuối và không phải ở các tư liệu được mã hóa.

“Tuy nhiên, an ninh các điểm đầu cuối là yếu đáng sợ. Với an ninh các điểm đầu cuối ông ta đang nói về an ninh của các máy tính mà đang thực hiện sự mã hóa và giải mã. Vì thế, có thể bạn đã tự mình lưu với PGP và bạn bắt đầu gửi các thư điện tử được mã hóa cho mọi người, và CSA không thể đọc được các thư điện tử có mã hóa đó trên đường truyền. Tuy nhiên, hoàn toàn có thể là NSA có thể đột nhập được vào máy tính của bạn và cài đặt phần mềm độc hại lên máy tính của bạn, giống như một trình đọc bàn phím keylogger. Sau đó họ có thể thấy được thư điện tử đó, bạn gõ nó thế nào trước khi bạn thậm chí mã hóa. Vì thế, họ có thể có sự mã hóa thông qua các cách khác”.

Mặt khác, Zimmermann lưu ý rằng có những cách thức tốt hơn để đảm bảo an ninh cho các giao tiếp truyền thông hơn là thư điện tử.

“Thư điện tử không phải là cách giao tiếp an ninh nhất. Nếu bạn muốn giao tiếp an ninh hơn, bạn có thể gửi các thông điệp được viết của bạn bằng việc sử dụng dịch vụ thông điệp văn bản có mã hóa, giống của chúng tôi, mà không chia sẻ các khóa với máy chủ”.

Lavison nói rằng ông đã trở nên nản chí rằng Chính phủ đã áp dụng các luật trong bí mật và tiếp tục vi phạm các quyền của các công dân Mỹ.

“Các quyền riêng tư của người Mỹ vẫn còn bị vi phạm, và với sự miễn phạt. Thật bối rối để thấy sự tham ăn mà Chính phủ của chúng ta đã có trong các yêu cầu của họ đối với thông tin từ các công ty như của tôi”.

Zimmermann đồng ý và nói rằng đã tới lúc phải đẩy ngược lại và phát triển nhiều chính sách hơn mà bảo vệ công chúng Mỹ.

“Đây là sự quá đáng của Chính phủ. Chúng ta phải cố gắng đẩy ngược lại và cố phục hồi lại tính riêng tư mà chúng ta đã có trước đó”.

Lee nói rằng có lẽ giải pháp tốt nhất bây giờ là mã hóa dữ liệu dòng (stream) cho phép tất cả những người sử dụng dễ dàng mã hóa và giải mã thông tin.

Most email services, such as Gmail, Yahoo and Hotmail are not encrypted and could be exposed to possible scrutiny from either the service providers or anyone who can twist the arm of these providers, such as the government.

Such was the case for the 32-year-old Lavabit founder Ladar Levison who was faced with a tough decision of whether he should reveal information or shut down his private email encryption website. Levison chose to protect his users.

“For me this wasn’t about protecting the privacy of a single person. Lavabit has received over two dozen requests for information from the Government over its ten-year history.

And we never had a problem turning over the information that we had. It is only recently that the climate has changed and I was forced to decide how I would protect the privacy of all my users.”

Private email encryption services, such as Lavabit and Silent Circle, work by allowing users to encrypt their emails which can then be accessed and decoded by a password. However, these companies could be asked to give up their passwords, which could jeopardize the information of its users.

Co-founder of Silent Circle Phil Zimmermann also shuttered his email service in order to protect his users, because he was afraid of being forced to give up private information.

“If somebody came in and twisted our arm under a court order, we could give up the keys, we would be forced to give up the keys. And we didn’t like to be in that position.”

Zimmermann also notes that even encrypted information is not completely protected because other parts of the email, such as the sender’s name or headers are still exposed in the email.

“Even an encrypted email has that part of it exposed – the mail headers that say who it is from, who it is to, maybe the subject matter of the email. That part of the email does not get encrypted, even when you have encrypted the email.”

Micah Lee from the Electronic Frontier Foundation says that encryption works. The problem is that people are still able to hack onto the computers and take the passwords or keys to decode encrypted information. Quoting NSA leaker Edward Snowden, Lee says that the problem is at the endpoints and not the actual encrypted material.

“However, endpoint security is terrifically weak. By endpoint security he is talking about the security of computers that are doing the encryption and the decryption. So, maybe you saved yourself up with PGP and you start sending encrypted emails to people, and the CSA can’t read those encrypted emails in transit. However, it is totally possible that the NSA could just hack into your computer and install malware on your computer, like a keylogger. And then they can see the email, how do you typing it in before you even encrypted. So, they can just get around the encryption through other ways.”

On the other hand, Zimmermann notes that there are better ways to secure communications than emailing.

“Email is not the most secure way to communicate. If you want to communicate more securely, you can send your written messages by using an encrypted text-messaging service, like ours, that doesn’t share the keys with the server.”

Levison says that he has become frustrated that the Government has applied laws in secret and continues to violate the rights of American citizens.

“The privacy rights of Americans are still being violated, and with impunity. It is embarrassing to see just edacious our Government has gotten in their requests for information from companies like mine.”

Zimmermann agrees and says that it is time to push back and develop more policies that protect the American public.

“This is Government’s overreach. We have to try to change the laws. We have to try to push back and try to recover the privacy that we had before.”

Lee says that maybe the best solution now is the streamline data encryption allowing all users to easily encrypt and decode information.

Elly Mui
Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com