Snowden
told me the NSA set fire to the web. Silicon Valley needs to put it
out
Làm
thế nào để đi vượt ra khỏi cuộc nói chuyện SXSW của
chúng ta: sự trả thù của những người quá thông thái,
một công cụ an ninh thường ngày vào một thời điểm.
How
to move beyond our SXSW talk: revenge of the nerds, one everyday
security tool at a time
By Christopher
Soghoian in Austin, theguardian.com,
Tuesday 11 March 2014 15.37 GMT
Theo:
http://www.theguardian.com/commentisfree/2014/mar/11/snowden-nsa-fire-sxsw-silicon-valley-security
Bài được đưa lên
Internet ngày: 11/03/2014
Lời
người dịch: Bài này tác giả và Edward Snowden dạy cho
mọi người đối phó lại với sự giám sát ồ ạt của
NSA. Có 3 bài học chính,
đó là: (1) Vô hiệu hóa dữ
liệu bằng mọi cách; (2) Hạn
chế thu thập, dịch chuyển thời hạn lưu trữ;
và (3) Nghĩ lại mối quan hệ
của chúng ta với các công ty công nghệ.
Bạn là người sử dụng thông thường? Bạn rất nên đọc
hết bài này để nhớ được chi tiết về 3 bài học
chính đó. Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
“Bạn là người
chữa cháy”, người thổi còi NSA Edward Snowden đã nói
cho khán
thính phòng những người hiểu biết công nghệ ở đây
ngày hôm qua, trong cuộc
đàm luận của tôi với anh ta ở liên hoan SXSW. “Mọi
người ở Austin là những người có thể bảo vệ các
quyền của chúng ta thông qua các tiêu chuẩn kỹ thuật”.
Các bình luận của
Edward từng là lời kêu gọi trang bị cho cộng đồng kỹ
thuật để bảo vệ những người sử dụng của mình
khỏi sự giám sát ồ ạt bất phân biệt của SNA và an
ninh mà nó tạo ra. Bất chấp cuộc nói chuyện từ
Washington DC về các
mối đe dọa an ninh không gian mạng (ANKGM) - và bạn sẽ
nghe nhiều hơn về nó hôm nay trong
một cuộc điều trần khẳng định cho người có thể
là lãnh đạo tiếp theo của NSA - bây giờ rõ ràng là các
nỗ lực giám sát ồ ạt của NSA không phải là phương
thức tốt. Bất kể đó là việc làm
xói mòn một cách có hệ thống các tiêu chuẩn mã hóa
toàn cầu, việc đột
nhập và các máy chủ truyền thông của các công ty và
các liên kết dữ liệu hoặc việc khai
thác các chỗ bị tổn thương của cái gọi là ngày
số 0, các vụ gián điệp không gian mạng của quốc gia
được tập trung vào việc tấn công tính riêng tư trực
tuyến và làm suy yếu an ninh của các hệ thống mà tất
cả chúng ta tin tưởng.
Hãy quên tất cả sự
hùng biện của chính phủ về ANKGM: NSA đơn giản không ở
đó để làm cho Internet an ninh hơn. Mà điều đó không có
nghĩa là cơ quan đó phải thắng. Cộng đồng công nghệ
toàn cầu có thể đánh trả, nếu các lập trình viên nỗ
lực xây dựng tính riêng tư và an ninh trong các sản phẩm
của họ. Bằng từ 0 trong các bước thực tiễn Edward và
tôi đã thảo luận trong cuộc đàm thoại ở đây, chúng
ta có thể xây dựng được một Internet an ninh, mở và tự
do hơn.
Không may, đã từ quá
lâu, an ninh từng là một suy nghĩ đi sau. Thậm chí đối
với nhiều người bạn cao thủ của tôi ở đây tại
SXSW.
Cho tới gần đây,
nhiều dịch vụ kết nối mạng xã hội và thư điện tử
tự do mà nhiều người tiêu dùng sử dụng đã thất bại
để tích hợp thứ cơ bản nhất của công nghệ mã hóa.
Điều đó đã làm cho công việc của NSA quá là dễ dàng,
nên thách thức thực sự cho NSA thường trở thành việc
xử lý tất cả các dữ liệu giao tiếp truyền thông chặn
được, thay vì việc chộp nó ngay từ đầu.
Ngay bây giờ, các
công cụ và dịch vụ giao tiếp truyền thông được sử
dụng rộng rãi nhất - là các công cụ mà chúng tôi sử
dụng để kinh doanh, có thú vui và sự kết nối với
những người mà chúng tôi yêu thích - thất bại để
phân phối cho 3 điều đứng đầu hợp lý và hiện thực
hóa được tính riêng tư, an ninh và tính đơn giản. Kết
quả là, mọi người bị ép phải chọn giữa công nghệ
trực quan vô cùng nhưng về cơ bản lại yếu về tính
riêng tư (như trình duyệt Chrome của Google và hệ điều
hành Android) và công nghệ (như mã hóa thư PGP và Tor) mà
vẫn còn quá khó cho người sử dụng trung bình để sử
dụng... thậm chí nếu các công cụ đó làm được một
công việc tốt hơn nhiều về bảo vệ các dữ liệu
riêng tư.
9 tháng sau khi các tài
liệu của Snowden bị rò rỉ trong các trang đó, dù, các
tiêu chuẩn và thực tiễn của an ninh mỗi ngày thực sự
đang bắt đầu thay đổi. Vài năm qua, và thậm chí hơn
thế sau những tiết lộ của Edward, các công ty của thung
lũng Silicon đã
bắt đầu xúc tác cho - một cách mặc định - các
tính năng cơ bản về an ninh, như sử dụng mã hóa HTTPS
để bảo vệ dữ liệu khi nó được truyền từ các
khách hàng của họ tới các máy chủ của các công ty.
Trong khi mã hóa HTTPS một cách mặc định là sự khởi
đầu tuyệt vời, thì nó là không đủ. Các công ty công
nghệ phải đưa ra các ứng dụng và dịch vụ mà là an
toàn và an ninh một cách mặc định.
1. Vô hiệu hóa dữ
liệu, tất cả các cách thức
Quá là thường xuyên,
an ninh là một tính năng lựa chọn mà ít người thông
thường thậm chí sẽ biết, ít hơn nhiều những người
tìm ra và xúc tác.
Hơn nữa, các công ty
công nghệ lớn cần ôm lấy công nghệ mã hóa từ đầu
chí cuối. Đó là, họ cần khóa các sản phẩm của họ,
sao cho chúng sẽ không có khả năng thấy các dữ liệu
các khách hàng của họ. Dạng công nghệ mã hóa này, nếu
được vài nhà cung cấp dịch vụ chính triển khai, sẽ
phá hỏng đáng kể khả năng của các cơ quan tình báo,
tại Mỹ và ở những nơi khác, để nhảy vào trong sự
giám sát cả đống. Càng nhiều các dữ liệu và giao tiếp
truyền thông được mã hóa, thì càng ít sự giám sát ồ
ạt có thể bảo vệ được.
Nó
làm giảm về kinh tế đơn giản, thực sự: nếu NSA phải
bỏ ra nhiều thời gian hơn để tìm kiếm một cách thức
để phá hoặc nối không phá hủy các giao tiếp truyền
thông được mã hóa, thì nó sẽ bị ép phải làm những
gì nó sẽ phải làm tất cả cùng - sử dụng các sức
mạnh cực kỳ của nó vào các mục tiêu giá trị cao,
thay vì hàng trăm triệu những người vô tội hiện phải
tuân theo sự giám sát của NSA. Nếu bạn yêu cầu sức
mạnh mã hóa đó, hãy cân nhắc điều này: chính phủ Mỹ
vẫn không biết những tài liệu nào Edward đã lấy, vì
anh ta đã mã hóa mọi thứ.
2. Hạn chế thu thập,
dịch chuyển thời hạn lưu trữ
Như Edward đã nhấn
mạnh, các công ty công nghệ cũng có thể bắt đầu hạn
chế dữ liệu mà họ thu thập từ các khách hàng của họ
và chỉ lưu trữ nó càng lâu càng tốt nếu cần cho các
mục đích kinh doanh đích thực - và không một giây nào
dài hơn. Tác động đối với khả năng của chính phủ
để đòi hỏi các dữ liệu từ các công ty như Google và
Facebook được khuếch đại vì các công ty công nghệ đó
thu thập và lưu trữ mọi điều. Nếu các công ty đó
không có dữ liệu mà chính phủ Mỹ và các chính phủ
khác đang tìm kiếm, thì họ không thể cưỡng bách hợp
pháp để chuyển những gì không còn tồn tại hoặc chưa
từng tồn tại ngay từ đầu.
Tuy nhiên, vấn đề
là một xung đột cơ bản về lợi ích giữa mô hình kinh
doanh của vô cùng nhiều người khổng lồ công nghệ - sự
thu thập, lưu trữ và thương mại hóa các dữ liệu của
bạn - và tính riêng tư và an ninh của bạn.
Đây là nơi mà người
sử dụng thông thường Internet có thể tạo ra sự khác
biệt. Ngay bây giờ, các dịch vụ số theo đó tất cả
chúng ta dựa vào cho các giao tiếp truyền thông nhanh và
việc duyệt web dễ dàng phần lớn là dựa vào tiền
quảng cáo. Họ bán các dữ liệu mà bạn tạo ra cho các
bên thứ 3, hoặc sử dụng nó để phân phối các quảng
cáo có mục đích cho các bên thứ 3 đó. Toàn bộ các
doanh nghiệp sẽ chuyên tâm cho việc thu thập, phân tích
và sau đó thương mại hóa bất kỳ dữ liệu nào mà bạn
sản xuất. Kết quả là, các ứng dụng, các hệ điều
hành và các dịch vụ mà họ cung cấp cho chúng ta được
tối ưu hóa cho một điều chính yếu: thu thập các dữ
liệu riêng tư của chúng ta.
3. Nghĩ lại mối quan
hệ của chúng ta với các công ty công nghệ
Chúng ta, những người
tiêu dùng hàng ngày, phải làm cho tính riêng tư và an ninh
có lợi nhuận. Nếu chúng ta muốn các công ty đó đặt
ra các lợi ích của chúng ta lên trước, thì chúng ta phải
trả tiền cho các dịch vụ mà họ cung cấp cho chúng ta.
Chúng ta phải đòi hỏi rằng các sản phẩm đó giữ lại
tính riêng tư - một lần nữa, một cách mặc định. Cho
tới khi mô hình kinh doanh này thay đổi, các dịch vụ mà
được làm cho thị trường đám đông sẽ vẫn là không
an ninh, bị tổn thương và được tối ưu hóa cho sự thu
thập dữ liệu.
Bằng việc làm cho nó
khó khăn hơn đối với NSA để tham gia vào sự giám sát
ồ ạt, chúng ta ép cơ quan đó nhằm vào các giao tiếp
truyền thông và các thiết bị của những người bị
tình nghi trên thực tế vì làm sai mà không có việc thỏa
hiệp các quyền về tính riêng tư của những người
khác. Tôi không thể nhấn mạnh đủ những gì tôi đã
nói hôm qua: mục tiêu ở đây không phải là làm mù NSA.
Mục tiêu ở đây là để chắc chắn họ không thể gián
điệp những người ngây thơ, cả đống. Bắt đầu ngay
từ bây giờ.
Được nói rằng các
cao thủ sẽ kế thừa Trái đất. Nếu điều đó là đúng,
thì cũng là trách nhiệm của chúng ta để đảm bảo an
ninh cho nó. Một người đã tự mình, Edward Snowden, bắt
đầu cuộc cách mạng này. Bây giờ là lúc chúng ta kết
thúc nó bằng việc sử dụng các kỹ năng và tri thức
của chúng ta để giữ lại tính riêng tư và các quyền
tự do dân sự của chúng ta, không chỉ từ đầu.
“You
are the firefighters,” National Security Agency whistleblower
Edward Snowden told
a tech savvy audience here yesterday, during my
conversation with him at the SXSW festival. “The people in
Austin are the ones who can protect our rights through technical
standards.”
Ed’s
comments were a call to arms for the tech community to protect its
users from indiscriminate mass surveillance by the NSA and the
insecurity it creates. Despite the talk from Washington DC regarding
cybersecurity
threats – and you’ll hear more of it today during
a confirmation hearing for the would-be next head of the NSA –
it is now clear that the NSA’s mass surveillance efforts are not
meant for good. Whether it’s systematically undermining
global encryption standards, hacking
communications companies’ servers and data links or exploiting
so-called zero-day vulnerabilities, the nation’s cyberspies are
focused on attacking online privacy and weakening the security of
systems that we all trust.
Forget
all the government rhetoric on cybersecurity: the NSA simply isn’t
here to make the Internet more secure. But that doesn’t mean the
agency has to win. The global tech community can fight back, if
developers ramp up efforts to build privacy and security into their
products. By zeroing in on practical steps Ed and I discussed in our
conversation here, we can build a more open, free and secure
Internet.
Unfortunately,
for far too long, security has been an afterthought. Even for a lot
of my fellow geeks here at SXSW.
Until
recently, many of the free email and social networking services used
by consumers failed to integrate the most basic of encryption
technology. That made the NSA’s job far too easy, so the real
challenge for the NSA often became processing all of the intercepted
communications data, rather than grabbing it in the first place.
Right
now, the most widely used communications tools and services – the
ones we use to do business, have fun and connect with those we love –
fail to deliver the reasonable and realizable trifecta of privacy,
security and simplicity. As a result, people are forced to choose
between technology that’s incredibly intuitive but fundamentally
weak on privacy (such as Google’s Chrome browser and Android
operating systems) and technology (like PGP email encryption and Tor)
that remains far too difficult for the average person to use … even
if those tools do a much better job of protecting private
data.
Nine
months after Snowden’s documents leaked in these pages, though, the
standards and practices of everyday security are truly beginning to
change. Over the past few years, and even more so after Ed’s
revelations, Silicon Valley companies have
begun to enable – by default – basic security features, such
as the use of HTTPS encryption to protect data as it is transmitted
from their customers’ to the companies’ servers. While HTTPS
encryption by default is a great start, isn’t enough. The tech
companies must offer apps and services that are safe and secure by
default.
1.
Disable data, all the way
Far
too often, security is an opt-in feature that few regular people will
even know about, much less seek out and enable.
In
addition, big tech companies need to embrace end-to-end encryption
technology. That is, they need to lock their products down, so they
won’t be able to see their customers’ data. This kind of
encryption technology, if deployed by several major service
providers, will significantly thwart the ability of intelligence
agencies, in the US and elsewhere, to engage in bulk surveillance.
The more communications and data are encrypted, the less tenable mass
surveillance becomes.
It
comes down to simple economics, really: if the NSA has to spend more
time finding a way to break or otherwise circumvent encrypted
communications, it will be forced to do what it should have done all
along – use its extraordinary powers on high-value targets, rather
than the hundreds of millions of innocent people currently subject to
NSA surveillance. If you question the power of encryption, consider
this: the US government still doesn’t know what documents Ed took,
because he encrypted everything.
2.
Limit collection, move up storage deadlines
As
Ed stressed, tech companies can also begin to limit the data they
collect from their customers and only store it for as long as it’s
needed for genuine business purposes – and not one second longer.
The impact of the government’s ability to
demand data from companies like Google and Facebook is amplified
because these tech companies collect and store everything. If the
companies don’t have the data that the US government and other
governments are seeking, they cannot be legally compelled to hand
over what no longer exists or never existed in the first place.
The
problem, however, is a fundamental conflict of interest between the
business model of so many tech giants – the collection, storage and
monetization of your data – and your privacy and security.
This
is where the average Internet user can make a difference. Right now,
the digital services upon which we all rely for swift communications
and easy web browsing are largely reliant on advertising dollars.
They sell the data you generate to third parties, or use it to
deliver targeted advertisements for those third parties. Entire
businesses are devoted to collecting, analyzing and then monetizing
whatever data you produce. As a result, the apps, operating systems
and services they provide us are optimized for one major thing: the
collection of our private data.
3.
Rethink our relationship with tech companies
We,
the everyday consumers, must make privacy and security profitable. If
we want these companies to put our interests first, we must pay for
the services that they provide us. We must demand that those products
preserve privacy – again, by default. Until this business model
changes, the services that are made for the mass market will remain
insecure, vulnerable and optimized for data collection.
By
making it harder for the NSA to engage in mass surveillance, we force
the agency to target the communications and devices of people
genuinely suspected of wrongdoing without compromising the privacy
rights of everyone else. I cannot stress enough what I said
yesterday: the goal here isn’t to blind the NSA. The goal here is
to make sure they cannot spy on innocent people, in bulk. Starting
right now.
It’s
been said that the geeks shall inherit the Earth. If that’s true,
it’s also our responsibility to secure it. One of our own, Edward
Snowden, started this revolution. Now it’s time we finished it by
using our skills and knowledge to preserve our privacy and civil
liberties, not just the bottom line.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.