Chương 14 ẨN DANH LÀ MỘT VIỆC KHÓ
Cách đây vài năm, trên chuyến đi từ Bogota, Colombia trở về Mỹ, và khi đến Atlanta, tôi đã được hai viên chức hải quan lặng lẽ hộ tống vào một căn phòng riêng. Vì đã từng bị bắt, cũng từng trải qua thời gian ngồi tù, nên tôi không có gì hốt hoảng lắm. Tuy vậy, điều này vẫn đáng lo ngại. Tôi không làm gì sai cả. Và tôi ở trong căn phòng đó suốt bốn tiếng, trong khi thời hạn giữ người mà không có lệnh bắt giữ là chín tiếng.
Sự cố bắt đầu khi một nhân viên Hải quan quét hộ chiếu của tôi rồi nhìn chằm chằm vào màn hình. “Kevin,” anh này vừa cười toét miệng vừa nói. “Đoán xem có chuyện gì nào? Một số người ở tầng dưới muốn nói chuyện với anh. Nhưng đừng lo lắng. Mọi thứ sẽ ổn thôi.”
Trước đó, tôi tới Bogota để thuyết trình theo nguồn tài trợ của tờ El Tiempo, đồng thời cũng ghé thăm bạn gái. Trong lúc ngồi chờ trong căn phòng ở tầng dưới, tôi gọi cho cô bạn gái lúc này đang ở Bogota và được biết cảnh sát ở Colombia đã gọi và yêu cầu khám xét một gói hàng mà tôi đã đặt vào trong một thùng chuyển phát nhanh của FedEx để gửi đến Mỹ. “Họ tìm thấy dấu vết của cocaine,” cô ấy nói. Tôi đã biết là không phải như vậy.
Gói hàng chứa một chiếc ổ cứng gắn trong cỡ 4 xăng-ti-mét. Rõ ràng là các nhà chức trách Colombia, hoặc có thể Mỹ, muốn kiểm tra nội dung của ổ đĩa, vốn đã được mã hóa. Cocaine là một cái cớ để họ mở gói hàng. Tôi không bao giờ lấy lại được chiếc ổ cứng của mình.
Sau đó tôi biết được rằng cảnh sát đã xé rách hộp, tháo thiết bị điện tử ra từng mảnh, sau đó phá hủy ổ cứng của tôi trong lúc loay hoay mở thiết bị đó bằng cách khoan một lỗ để dò tìm cocaine. Lẽ ra họ nên dùng loại tuốc-nơ-vít chuyên dụng để mở ổ đĩa. Họ không tìm thấy bất kỳ loại ma túy nào.
Trong khi đó, tại Atlanta, các quan chức đã mở hành lý của tôi và tìm thấy chiếc MacBook Pro, một chiếc máy tính xách tay Dell XPS M1210, một chiếc máy tính xách tay Asus 900, ba hoặc bốn ổ cứng, nhiều thiết bị lưu trữ USB, một số thiết bị Bluetooth, ba chiếc iPhone và bốn chiếc điện thoại di động Nokia (mỗi chiếc có thẻ SIM riêng, vì vậy tôi có thể tránh được phí chuyển vùng trong khi gọi ở các quốc gia khác nhau). Đây là những công cụ tiêu chuẩn trong nghề của tôi.
Cũng trong hành lý của tôi còn có bộ đồ phá khóa và một thiết bị nhân bản có thể đọc và phát lại bất kỳ thẻ HID lân cận nào. Thiết bị nhân bản có thể được sử dụng để lấy thông tin đăng nhập lưu trữ trên thẻ truy cập bằng cách đặt nó ở gần chúng. Ví dụ, tôi có thể giả mạo thông tin thẻ của một người để truy cập các hệ thống mà không phải tạo thẻ giả. Tôi có những thứ này bởi vì tôi đã thực hiện một bài thuyết trình quan trọng về an ninh ở Bogota. Đương nhiên, mắt của các nhân viên hải quan sáng rực lên khi họ nhìn thấy chúng, họ nghĩ tôi có ý đồ gì – ví dụ như quét trộm thẻ tín dụng chẳng hạn, chỉ có điều các thiết bị này không thể làm được việc đó.
Cuối cùng, các nhân viên của Cục Di Trú và Hải quan Mỹ (ICE) xuất hiện và hỏi tại sao tôi ở Atlanta. Tôi đến đó để điều hành một hội đồng tại một hội nghị an ninh do Hiệp hội An ninh Công nghiệp Mỹ (ASIS) bảo trợ. Sau đó, một đặc vụ FBI thuộc hội đồng trên đứng ra xác nhận lý do cho chuyến đi của tôi.
Mọi chuyện dường như trở nên tồi tệ hơn khi tôi mở máy tính xách tay và đăng nhập để cho họ thấy email xác nhận tôi sẽ tham gia vào hội đồng.
Trình duyệt của tôi được đặt ở chế độ tự động xóa lịch sử khi máy khởi động, vì vậy khi máy bật lên, tôi được nhắc xóa lịch sử. Thấy tôi xác nhận và nhấp vào nút OK, các đặc vụ không giấu nổi sự hoảng hốt. Nhưng sau đó, tôi chỉ nhấn nút nguồn để tắt MacBook, vì vậy ổ đĩa của tôi không thể truy cập được nếu không có cụm mật khẩu PGP.
Tôi không phải giao mật khẩu của mình, trừ khi bị bắt – nhưng tất cả đều trấn an tôi rằng trường hợp này sẽ không xảy ra. Ngay cả khi bị bắt, theo luật pháp Mỹ, tôi cũng không phải giao mật khẩu của mình, nhưng liệu quyền đó có được bảo vệ hay không phụ thuộc vào thái độ sẵn sàng tranh đấu của chúng ta. Và các quốc gia khác nhau có quy định khác nhau về điều này. Ví dụ, ở Anh và Canada, các nhà chức trách có thể buộc bạn phải tiết lộ mật khẩu của mình.
Sau bốn giờ, cả ICE và các nhân viên hải quan đều cho tôi đi. Tuy nhiên, nếu tôi bị một cơ quan như NSA nhắm vào, khả năng cao là họ sẽ tìm hiểu được nội dung trong ổ cứng của tôi. Các cơ quan chính phủ có thể xâm nhập phần mềm trong máy tính hoặc điện thoại di động của bạn, làm hư hại mạng bạn sử dụng để kết nối với Internet, và khai thác nhiều lỗ hổng khác nhau được tìm thấy trong các thiết bị của bạn.
Tôi có thể đi tới các nước có quy định thậm chí còn nghiêm ngặt hơn và không gặp phải các vấn đề như đã gặp ở Mỹ vì ở đây tôi có tiền án tiền sự. Vậy bạn có thể mang dữ liệu nhạy cảm ra nước ngoài bằng cách nào? Và bạn có thể đi tới những quốc gia kém thân thiện như Trung Quốc?
Nếu không muốn ổ cứng có bất kỳ dữ liệu nhạy cảm nào, bạn có các phương án sau:
1. Dọn sạch mọi dữ liệu nhạy cảm trước khi đi và thực hiện sao lưu đầy đủ.
2. Để dữ liệu ở đó nhưng mã hóa bằng một khóa mạnh (nhưng một số quốc gia có thể buộc bạn tiết lộ khóa hoặc mật khẩu). Đừng giữ cụm từ mật khẩu bên người; bạn có thể cung cấp một nửa cụm từ mật khẩu cho một người bạn ở ngoài lãnh thổ Mỹ, người không thể bị buộc phải giao nộp mật khẩu đó.
3. Tải dữ liệu mã hóa lên dịch vụ đám mây, sau đó tải xuống và tải lên khi cần.
4. Sử dụng một sản phẩm miễn phí như VeraCrypt để tạo thư mục file mã hóa ẩn trên ổ cứng. Một lần nữa, nếu một chính phủ nước ngoài tìm thấy thư mục file ẩn, họ có thể buộc bạn phải tiết lộ mật khẩu.
5. Bất cứ khi nào nhập mật khẩu vào thiết bị, hãy dùng áo khoác hoặc thứ quần áo nào đó để ngăn chặn sự giám sát của camera.
6. Niêm phong máy tính xách tay và các thiết bị khác trong FedEx hoặc phong bì Tyvek khác và ký tên vào đó, sau đó đặt nó trong két an toàn của phòng khách sạn. Nếu phong bì bị lục lọi, bạn sẽ nhận ra điều đó. Cũng xin lưu ý rằng két an toàn của khách sạn không thực sự an toàn. Bạn nên cân nhắc việc mua một thiết bị camera đặt bên trong két để chụp ảnh người mở két và gửi ảnh qua di động theo thời gian thực.
7. Tốt nhất là đừng chuốc lấy bất kỳ rủi ro nào. Hãy luôn mang theo thiết bị của bạn mọi lúc và đừng để nó ra khỏi tầm nhìn của bạn.
Theo các tài liệu do Liên đoàn Tự do Dân sự Mỹ lấy được thông qua Đạo luật Tự do Thông tin trong thời gian từ tháng 10 năm 2008 đến tháng 6 năm 2010, hơn 6.500 khách du lịch đến và đi khỏi Mỹ bị kiểm tra thiết bị điện tử ở biên giới. Đây là mức trung bình trong hơn 300 lần kiểm tra thiết bị điện tử ở biên giới mỗi tháng. Và gần một nửa số khách du lịch đó là công dân Mỹ.
Thực tế ít được biết đến: Thiết bị điện tử của tất cả mọi người đều có thể bị kiểm tra mà không cần lệnh của tòa án hay có nghi ngờ hợp lý trong vòng 100 km theo đường chim bay tính từ biên giới Mỹ, trong đó có khả năng bao gồm San Diego. Như vậy, vượt ra khỏi đường biên giới không có nghĩa là bạn đã được an toàn!
Hai cơ quan chịu trách nhiệm chính trong việc kiểm tra khách du lịch và các mặt hàng vào Mỹ là Cục Hải quan và Bảo vệ Biên giới (CBP) và Cục Di Trú và Hải quan (ICE) của Bộ An ninh Nội địa. Trong năm 2008, Bộ An ninh Nội địa đã thông báo rằng họ có thể kiểm tra bất kỳ thiết bị điện tử nào vào Mỹ. Cơ quan này cũng sử dụng Hệ thống Nhắm mục tiêu Tự động (ATS) độc quyền để tạo ra hồ sơ cá nhân tức thời rất chi tiết về bạn bất cứ khi nào bạn di chuyển trong phạm vi quốc tế. Các nhân viên CBP sử dụng file ATS của bạn để quyết định xem có nên thực hiện kiểm tra tăng cường đối với bạn khi bạn quay lại Mỹ hay không.
Chính phủ Mỹ có thể thu giữ thiết bị điện tử, kiểm tra tất cả các file, và giữ nó để xem xét kỹ lưỡng hơn mà không có bằng chứng nào cho thấy bạn làm điều gì sai. Nhân viên CBP có thể kiểm tra thiết bị của bạn, sao chép nội dung trong đó, phục hồi hình ảnh và video.
Vì vậy, tôi đã đối phó như sau.
Để bảo vệ quyền riêng tư của mình và cho khách hàng, tôi mã hóa dữ liệu bí mật trên các máy tính xách tay của mình. Khi ở nước ngoài, tôi truyền các tệp được mã hóa qua Internet để lưu trữ trên các máy chủ bảo mật ở bất cứ đâu trên thế giới. Sau đó, trước khi về Mỹ, tôi tẩy chúng khỏi máy tính, đề phòng trường hợp các quan chức chính phủ muốn kiểm tra hoặc tịch thu thiết bị của mình.
Tẩy dữ liệu khác với xóa dữ liệu. Xóa dữ liệu chỉ thay đổi mục nhập bản ghi khởi động chính cho một file (chỉ mục được sử dụng để tìm các phần của file trên ổ cứng); các file (hoặc một số phần của nó) vẫn còn trên ổ cứng cho đến khi dữ liệu mới được ghi trên phần đó của ổ cứng. Đây là cách các chuyên gia pháp y số có thể tái tạo dữ liệu đã bị xóa.
Ngược lại, tẩy là ghi đè dữ liệu trong file một cách an toàn bằng dữ liệu ngẫu nhiên. Trên ổ cứng, việc tẩy rất khó khăn, vì vậy tôi mang theo một chiếc máy tính xách tay có ổ cứng thông thường và tẩy ít nhất 35 lần. Phần mềm băm file thực hiện điều này bằng cách ghi đè dữ liệu ngẫu nhiên hàng trăm lần trong mỗi lần ghi đè một file đã xóa, khiến cho việc phục hồi dữ liệu đó trở nên khó khăn đối với bất cứ ai.
Tôi thường tạo một bản sao lưu hình ảnh đầy đủ các thiết bị của mình vào một ổ cứng gắn ngoài và mã hóa nó. Sau đó, tôi sẽ gửi ổ đĩa dự phòng về Mỹ. Cho đến khi đồng nghiệp xác nhận đã nhận được ổ cứng trong tình trạng đọc được, tôi mới thực hiện tẩy dữ liệu ở máy của mình. Sau đó, tôi sẽ tẩy sạch tất cả các file cá nhân và file khách một cách an toàn. Tôi không định dạng toàn bộ ổ đĩa và sẽ để nguyên hệ điều hành. Bằng cách đó, nếu tôi bị lục soát, việc khôi phục lại các file từ xa sẽ dễ dàng hơn mà không cần phải cài đặt lại toàn bộ hệ điều hành.
Kể từ sự cố ở Atlanta, tôi đã thay đổi giao thức của mình một chút. Tôi để một “bản sao” cập nhật của tất cả các máy tính du lịch của mình ở chỗ một đồng nghiệp. Sau đó, nếu cần, anh này chỉ việc gửi các hệ thống nhân bản cho tôi ở bất cứ đâu tại Mỹ.
iPhone là một vấn đề khác. Nếu bạn kết nối iPhone với máy tính xách tay của bạn để sạc, và bạn nhấp vào nút “Trust” (Tin tưởng) khi thiết bị hiển thị câu hỏi “Trust This Computer” (Tin tưởng máy tính này), một chứng chỉ theo cặp sẽ được lưu trữ trên máy tính, cho phép máy tính truy cập toàn bộ nội dung của iPhone mà không cần phải biết mật khẩu. Chứng chỉ theo cặp sẽ được sử dụng bất cứ khi nào chiếc iPhone trên được kết nối với máy tính đó.
Ví dụ, nếu bạn cắm iPhone vào máy tính của người khác và chọn “tin tưởng” nó, một mối quan hệ đáng tin cậy sẽ được thiết lập giữa máy tính và thiết bị iOS này, cho phép máy tính truy cập ảnh, video, tin nhắn SMS, nhật ký cuộc gọi, tin nhắn WhatsApp, và hầu hết những thứ khác mà không cần mật khẩu. Thậm chí đáng ngại hơn, người đó chỉ cần tạo bản sao lưu iTunes cho toàn bộ điện thoại của bạn, trừ khi trước đó bạn đã đặt mật khẩu cho các bản sao lưu iTunes mã hóa (đây là một ý tưởng hay). Nếu bạn không đặt mật khẩu, kẻ tấn công có thể đặt mật khẩu cho bạn và dễ dàng sao lưu thiết bị di động của bạn vào máy tính của hắn mà bạn không biết.
Điều đó có nghĩa là nếu cơ quan thực thi pháp luật muốn xem những gì có trên chiếc iPhone được bảo vệ bằng mật khẩu của bạn, họ có thể thực hiện việc này dễ dàng bằng cách kết nối nó với máy tính xách tay của bạn, vì nó có nhiều khả năng có chứng chỉ theo cặp hợp lệ với điện thoại đó. Quy tắc là: không bao giờ “Tin tưởng máy tính này” trừ khi đó là hệ thống cá nhân của bạn. Điều gì sẽ xảy ra nếu bạn muốn thu hồi toàn bộ các chứng chỉ theo cặp trên các thiết bị Apple? Tin vui là bạn có thể đặt lại chứng chỉ theo cặp. Nếu cần chia sẻ file và bạn đang sử dụng một sản phẩm Apple, hãy dùng AirDrop. Và nếu bạn cần sạc điện thoại, hãy sử dụng cáp sét cắm vào hệ thống của bạn hoặc ổ cắm điện, chứ không phải vào máy tính của người khác. Hoặc bạn có thể mua bao cao su USB trên syncstop.com để có thể yên tâm cắm vào bất kỳ bộ sạc USB hoặc máy tính nào.
Nếu như trong quá trình di chuyển, bạn chỉ mang theo iPhone chứ không có máy tính thì sao?
Tôi đã bật chế độ Touch ID trên iPhone để nó nhận dạng vân tay của tôi. Tôi chỉ cần khởi động lại iPhone trước khi đến gần trạm kiểm soát nhập cư ở bất kỳ quốc gia nào. Và khi bật thiết bị lên, tôi cố tình không nhập mật khẩu. Mặc dù tôi đã bật Touch ID, nhưng tính năng đó được tắt theo mặc định cho đến khi tôi nhập mật khẩu lần đầu tiên. Các tòa án ở Mỹ nêu rõ rằng các cơ quan thực thi pháp luật không được phép yêu cầu bạn cung cấp mật khẩu. Theo truyền thống, ở Mỹ, bạn không bị ép phải đưa ra bằng chứng chứng thực; tuy nhiên, bạn có thể bị buộc phải giao nộp khóa vật lý của một két an toàn. Như vậy, tòa án có thể buộc bạn phải cung cấp vân tay để mở khóa thiết bị. Giải pháp đơn giản: khởi động lại điện thoại. Bằng cách đó, vân tay của bạn sẽ không được kích hoạt và bạn sẽ không phải giao mật khẩu.
Tuy nhiên, ở Canada, đó là luật; nếu là công dân Canada, bạn phải cung cấp mật khẩu khi được yêu cầu. Điều này xảy ra với Alain Philippon, một người ở Sainte-Anne-des-Plaines, Quebec. Khi từ Puerto Plata, Cộng hòa Dominica trở về, anh từ chối cung cấp cho các nhà chức trách biên giới ở Nova Scotia mật khẩu của điện thoại di động. Anh bị buộc tội theo mục 153.1 (b) của Đạo luật Hải quan Canada vì cản trở hoặc ngăn cản các nhà chức trách biên giới thực hiện vai trò của họ. Hình phạt nếu bạn bị kết tội là 1.000 đô-la, với mức phạt tối đa là 25.000 đô-la và khả năng bị tù một năm.
Đích thân tôi đã được trải nghiệm về luật mật khẩu của Canada. Năm 2015, tôi thuê một dịch vụ xe hơi như Uber để đi từ Chicago đến Toronto, và khi ngang qua biên giới từ Michigan vào Canada, chúng tôi bị gửi đến một địa điểm kiểm tra phụ. Có lẽ đó là vì lái xe là người Trung Đông chỉ có một chiếc thẻ xanh. Ngay sau khi đến địa điểm kia, chúng tôi bị kiểm tra hệt như trong phim tình báo.
Một nhóm nhân viên hải quan giám sát để bảm đảm rằng chúng tôi đã để mọi hành lý trong xe, bao gồm cả điện thoại di động, và ra khỏi xe người không. Chúng tôi bị tách ra. Một nhân viên đi đến phía ghế tài xế trong chiếc xe và rút điện thoại di động của anh ra khỏi giá. Nhân viên này hỏi mật khẩu rồi kiểm tra chiếc điện thoại.
Trước đó, tôi đã tự nhủ rằng sẽ không bao giờ tiết lộ mật khẩu của mình. Lúc này, tôi phải đứng trước sự lựa chọn giữa việc cung cấp mật khẩu và việc được phép nhập cảnh vào Canada để thực hiện buổi thuyết trình. Vì vậy, tôi quyết định sử dụng một chút kỹ thuật social engineering.
Tôi gọi to nhân viên hải quan đang kiểm tra trên điện thoại của người lái xe. “Này – cô sẽ không tìm trong vali của tôi, đúng không? Nó bị khóa rồi nên cô không thể làm gì được đâu.” Điều này ngay lập tức thu hút sự chú ý của cô ta. Cô ta nói họ có quyền lục soát vali của tôi.
Tôi trả lời, “Tôi khóa rồi, các vị không động vào nó được đâu.”
Hai nhân viên bước ngay đến chỗ tôi và yêu cầu chìa khóa. Tôi vặn vẹo hỏi lý do, và một lần nữa, họ nói họ có quyền kiểm tra mọi thứ. Tôi rút ví ra và đưa cho nhân viên chìa khóa mở vali.
Thế là đủ. Họ hoàn toàn quên mất hai chiếc điện thoại di động và tập trung vào vali của tôi. Nhiệm vụ được hoàn thành thông qua mẹo đánh lạc hướng. Tôi đã được cho đi và, may mắn thay, không bị hỏi mật khẩu điện thoại.
Trong tâm trạng rối bời khi bị lục soát, bạn sẽ rất dễ bị phân tâm. Nhưng đừng để bản thân trở thành nạn nhân của hoàn cảnh. Khi đi qua bất kỳ chốt an ninh nào, hãy làm sao để máy tính xách tay và thiết bị điện tử của bạn là các thiết bị cuối cùng trên băng chuyền tải đồ đạc. Không ai muốn máy tính xách tay của mình nằm ở đầu bên kia trong khi phía trước đang có người chắn đường cả. Ngoài ra, nếu bạn phải bước ra khỏi hàng, hãy mang theo cả máy tính xách tay và thiết bị điện tử.
Những sự bảo vệ quyền riêng tư mà chúng ta có được ở nhà không chắc sẽ áp dụng cho các du khách ở biên giới Mỹ. Đối với giới bác sĩ, luật sư và chuyên gia kinh doanh, hoạt động kiểm tra quá mức ở biên giới có thể làm tổn hại đến sự bảo mật của các thông tin nghề nghiệp nhạy cảm, bao gồm các bí mật thương mại, thông tin liên lạc giữa luật sư với thân chủ và bác sĩ với bệnh nhân, các tài liệu nghiên cứu và chiến lược kinh doanh, trong đó có một số thông tin mà du khách có nghĩa vụ phải bảo vệ đến cùng theo quy định của pháp luật hoặc theo các quy định trong hợp đồng mà họ đã ký.
Đối với phần còn lại trong chúng ta, hoạt động lục soát trên ổ cứng và thiết bị di động có thể tiết lộ email, thông tin sức khỏe, và thậm chí cả hồ sơ tài chính. Nếu gần đây bạn đã đi đến một số quốc gia được coi là không thân thiện với lợi ích của Mỹ, hãy lưu ý rằng điều này có thể khiến hải quan thực hiện các biện pháp kiểm tra tăng cường.
Các chính phủ chuyên chế đưa ra một thách thức khác. Họ có thể một mực yêu cầu phải lục soát cho bằng được các thiết bị điện tử của bạn – đọc email và kiểm tra thư mục tải về của bạn. Ngoài ra, còn có khả năng, đặc biệt là trong trường hợp họ lấy máy tính xách tay của bạn, họ có thể cài đặt phần mềm theo dõi trên đó.
Nhiều công ty cung cấp điện thoại ẩn danh và thuê máy tính cho nhân viên đi công tác nước ngoài. Các thiết bị này sẽ bị vứt bỏ hoặc tẩy sạch khi nhân viên trở về Mỹ. Nhưng đối với hầu hết chúng ta, việc tải các file mã hóa lên đám mây hoặc mua một thiết bị mới rồi vứt đi khi trở về không phải là các lựa chọn thực tế.
Nhìn chung, đừng mang theo các thiết bị điện tử lưu trữ thông tin nhạy cảm trừ khi thực sự cần. Nếu buộc phải làm thế, chỉ mang ở mức tối thiểu nhất. Và nếu cần tới điện thoại di động, hãy cân nhắc việc sử dụng điện thoại ẩn danh. Đặc biệt là khi cước chuyển vùng thoại và dữ liệu quá cao. Tốt hơn là mang theo một chiếc điện thoại ẩn danh đã mở khóa và mua thẻ SIM ở quốc gia bạn đang ghé đến.
Bạn có thể nghĩ rằng việc đi qua cửa hải quan là phần ác mộng nhất trong bất kỳ chuyến đi nào. Nhưng có thể không phải như vậy. Phòng khách sạn của bạn cũng có thể bị lục soát.
Năm 2008, tôi có một số chuyến đi đến Colombia. Vào một trong những chuyến đi dịp cuối năm đó, một vài điều kỳ lạ đã xảy ra trong phòng khách sạn của tôi ở Bogota. Và đây không phải là một khách sạn đáng ngờ, vì nó vốn thường xuyên được các quan chức Colombia ở lại.
Có lẽ đó là vấn đề.
Sau khi cùng bạn gái đi ăn tối về, tôi cắm chìa khóa phòng vào cửa thì khóa hiển thị màu vàng. Không phải màu xanh. Không phải màu đỏ. Màu vàng thường có nghĩa là cửa bị khóa từ bên trong.
Tôi đi xuống quầy lễ tân nhờ họ cấp cho một thẻ chìa khóa mới. Một lần nữa, khóa hiển thị màu vàng. Tôi thử lại lần nữa. Vẫn thế. Sau lần thứ ba, tôi nhờ khách sạn cho người tới giúp. Cánh cửa mở ra.
Bên trong không có gì bất thường. Thực ra lúc đó, tôi đã phấn khởi vì vấn đề hóa ra chỉ là do khóa hỏng. Phải đến khi trở về Mỹ, tôi mới nhận thức được điều gì đã xảy ra.
Trước khi rời Mỹ, tôi gọi cho cô bạn gái cũ Darci Wood, từng là kỹ thuật viên trưởng tại TechTV, nhờ cô ấy đến nhà để thay ổ đĩa cứng trong chiếc máy tính xách tay MacBook Pro. Thời đó, các ổ đĩa cứng MacBook Pro không hề dễ tháo, nhưng cô ấy vẫn làm được. Cô đặt vào đó một ổ đĩa mới mà tôi phải định dạng và cài đặt hệ điều hành OSX.
Vài tuần sau, khi từ Colombia trở về, tôi nhờ Darci đến nhà tôi ở Las Vegas để đổi lại ổ đĩa.
Ngay lập tức, cô ấy nhận thấy có điều gì đó khác thường. Darci nói có người đã siết các vít ổ cứng chặt hơn cô ấy siết. Rõ ràng một người nào đó ở Bogota đã tháo ổ đĩa, có lẽ để tạo ra một bản sao hình ảnh của nó trong lúc tôi không có trong phòng.
Gần đây hơn, chuyện này cũng xảy ra với Stefan Esser, một nhà nghiên cứu nổi tiếng về việc bẻ khóa các sản phẩm iOS. Anh đã đăng tải trên Twitter hình ảnh chiếc ổ đĩa cứng được gắn lại một cách sơ sài.
Ngay cả một ổ đĩa với rất ít dữ liệu cũng có một số dữ liệu trên đó. May thay, tôi đã sử dụng tính năng mã hóa toàn bộ ổ đĩa PGP của Symantec. (Bạn cũng có thể sử dụng WinMagic cho Windows hoặc FileVault 2 cho OSX). Vì vậy, bản sao ổ đĩa cứng của tôi sẽ là vô giá trị trừ khi kẻ trộm có thể lấy được chìa khóa để mở. Chính vì những gì tôi nghĩ đã xảy ra ở Bogota mà giờ đây đi đâu tôi cũng mang theo máy tính xách tay, kể cả lúc ăn tối. Nếu buộc phải để lại, thì tôi không bao giờ để nó ở chế độ ngủ đông mà tắt hẳn đi. Nếu không, kẻ tấn công có thể kết xuất bộ nhớ và lấy khóa mã hóa PGP.
Ở phần đầu sách, tôi đã nói về nhiều biện pháp phòng ngừa mà Edward Snowden đã thực hiện để liên lạc an toàn với Laura Poitras. Tuy nhiên, khi bộ nhớ đệm dữ liệu bí mật của Snowden đã sẵn sàng được phát hành ra công chúng, anh và Poitras cần một nơi để lưu trữ nó. Các hệ điều hành phổ biến nhất – Windows, iOS, Android và thậm chí cả Linux – đều có những lỗ hổng. Tất cả các phần mềm đều có lỗ hổng. Vì vậy, họ cần một hệ điều hành an toàn, một hệ điều hành được mã hóa từ ngày đầu tiên và yêu cầu một chìa khóa để mở khóa nó.
Việc mã hóa ổ cứng hoạt động như sau: khi khởi động máy tính, bạn nhập mật khẩu an toàn hoặc cụm từ mật khẩu như “Chúng tôi không cần giáo dục” (trong bài hát nổi tiếng của Pink Floyd). Sau đó, hệ điều hành khởi động và bạn có thể truy cập file và thực hiện các tác vụ mà không nhận thấy bất kỳ sự chậm trễ nào do trình điều khiển thực hiện các tác vụ mã hóa một cách minh bạch và nhanh chóng. Tuy nhiên, điều này tạo ra khả năng là nếu bạn đứng dậy và rời khỏi thiết bị, dù là trong giây lát, ai đó có thể truy cập các file của bạn (vì chúng được mở khóa). Điều quan trọng cần nhớ là trong khi ổ cứng mã hóa được mở, bạn cần phải thận trọng để giữ cho nó an toàn. Ngay sau khi bạn tắt, khóa mã hóa không còn khả dụng với hệ điều hành: nghĩa là, nó đã gỡ khóa khỏi bộ nhớ để dữ liệu trên ổ đĩa không còn truy cập được.
Tails là một hệ điều hành có thể được khởi động trên bất kỳ máy tính hiện đại nào nhằm tránh để lại các dữ liệu có thể phục hồi trên ổ đĩa cứng, đặc biệt là ổ cứng chống ghi. Tải Tails lên đĩa DVD hoặc ổ USB, sau đó đặt phần mềm BIOS hoặc trình tự khởi động ban đầu EFI (OSX) cho DVD hoặc USB để khởi động phiên bản Tails. Khi bạn khởi động, Tails sẽ khởi động hệ điều hành với một số công cụ bảo mật, bao gồm cả trình duyệt Tor. Các công cụ bảo mật cho phép bạn mã hóa email bằng PGP, mã hóa USB và ổ đĩa cứng, đồng thời bảo mật email bằng OTR.
Nếu bạn muốn mã hóa các file riêng lẻ thay vì toàn bộ ổ cứng của mình, có một số lựa chọn. TrueCrypt, một phương án miễn phí, vẫn tồn tại nhưng không còn được duy trì và không cung cấp mã hóa toàn bộ đĩa. Bởi vì nó không còn được duy trì, các lỗ hổng mới sẽ không được giải quyết. Nếu bạn tiếp tục sử dụng TrueCrypt, hãy lưu ý những rủi ro. Một tùy chọn thay thế cho TrueCrypt 7.1a là VeraCrypt, đó là sự tiếp nối của dự án TrueCrypt.
Cũng có một số chương trình mất phí. Một trong những chương trình nổi bật là Windows BitLocker, thường không được bao gồm trong các phiên bản home của hệ điều hành Windows. Nếu được cài đặt BitLocker, để kích hoạt chương trình này, hãy mở File Explorer, nhấp chuột phải vào ổ C và cuộn xuống tùy chọn “Turn on BitLocker” (Bật BitLocker). BitLocker tận dụng lợi thế của một chip đặc biệt trên bo mạch chủ của bạn được biết đến như một mô-đun nền tảng đáng tin cậy, gọi tắt là TPM. Nó được thiết kế để mở khóa mã hóa chỉ sau khi xác nhận rằng chương trình bộ nạp khởi động của bạn chưa bị sửa đổi. Đây là một sự bảo vệ hoàn hảo chống lại những cuộc tấn công ác ý (tôi sẽ mô tả ngắn gọn về nó ở phần sau). Bạn có thể đặt BitLocker để mở khóa khi bật hoặc chỉ khi có mã PIN hoặc USB đặc biệt mà bạn cung cấp. Các lựa chọn mã PIN hoặc USB an toàn hơn nhiều. Bạn cũng có tùy chọn lưu khóa vào tài khoản Microsoft. Đừng làm điều đó, bởi vì nếu bạn làm như vậy, ít hay nhiều bạn sẽ giao cho Microsoft các chìa khóa của bạn (như bạn sẽ thấy, điều này có thể xảy ra).
Có một số vấn đề với BitLocker. Đầu tiên, nó sử dụng một bộ tạo chuỗi số giả ngẫu nhiên (pseudorandomnumber generator – PRNG) gọi là Dual_EC_DRBG, viết tắt của bộ tạo bit tất định ngẫu nhiên đường cong elíp kép, điều này có thể chứa một cánh cửa hậu cho NSA. Nó cũng thuộc sở hữu tư nhân, nghĩa là bạn chỉ có thể tin vào lời hứa của Microsoft rằng nó hoạt động và nó không có bất kỳ cửa hậu nào cho NSA – điều này sẽ không xảy ra với những phần mềm nguồn mở. Một vấn đề khác với BitLocker là bạn phải chia sẻ khóa với Microsoft trừ khi bạn mua với giá 250 đô-la. Nếu không, cơ quan thực thi pháp luật có thể đòi khóa từ Microsoft.
Bất chấp các hạn chế này, Tổ chức Biên giới Điện tử vẫn khuyên những người tiêu dùng bình thường nên sử dụng BitLocker nếu họ muốn bảo vệ dữ liệu. Tuy nhiên, hãy lưu ý rằng cũng có một cách để bỏ qua BitLocker.
Một phương án thương mại khác là PGP Whole Disk Encryption (mã hóa toàn bộ ổ đĩa) của Symantec. Rất nhiều trường đại học cũng như doanh nghiệp sử dụng sản phẩm này. Tôi cũng từng sử dụng nó. PGP Whole Disk Encryption do Phil Zimmermann tạo ra, đây cũng là người đã tạo PGP cho email. Giống như BitLocker, PGP có thể hỗ trợ chip TPM để cung cấp xác thực bổ sung khi bạn bật máy tính cá nhân của mình. Một bản quyền vĩnh viễn được bán với giá khoảng 200 đô-la.
Ngoài ra còn có WinMagic, một trong số ít phương thức yêu cầu xác thực hai yếu tố thay vì chỉ một mật khẩu. WinMagic cũng không dựa vào mật khẩu chủ. Thay vào đó, các tệp được mã hóa được nhóm lại và mỗi nhóm có một mật khẩu. Điều này có thể khiến cho việc khôi phục mật khẩu trở nên khó hơn, vì vậy nó có thể không phù hợp với mọi người.
Và đối với Apple có FileVault 2. Sau khi cài đặt, bạn có thể kích hoạt FileVault 2 bằng cách mở System Preferences (Tùy chọn Hệ thống), nhấp vào biểu tượng “Security and Privacy” (Bảo mật & Riêng tư) và chuyển sang tab FileVault. Một lần nữa, đừng lưu khóa mã hóa vào tài khoản Apple. Điều này có thể cung cấp cho Apple quyền truy cập vào nó, mà họ theo đó có thể cung cấp cho bên thực thi pháp luật. Thay vào đó, hãy chọn “Create a recovery key and do not use my iCloud account” (Tạo chìa khóa khôi phục và không sử dụng tài khoản iCloud của tôi), sau đó in ra hoặc chép lại chìa khóa 24 ký tự này. Hãy bảo vệ khóa này, vì bất kỳ ai tìm thấy nó đều có thể mở khóa ổ cứng của bạn.
Nếu bạn có iOS 8 hoặc phiên bản mới hơn của hệ điều hành trên iPhone hoặc iPad, nội dung của nó sẽ được mã hóa tự động. Đi một bước xa hơn, Apple đã nói rằng chìa khóa tồn tại trên thiết bị, bên người dùng. Điều đó có nghĩa là chính phủ Mỹ không thể hỏi Apple về chìa khóa: nó là duy nhất cho từng và mọi thiết bị. Giám đốc FBI James Comey tuyên bố rằng rốt cuộc, mã hóa không thể phá vỡ không phải là một điều tốt. Trong một bài phát biểu, ông nói, “Những tên tội phạm tinh vi sẽ tìm đến để dựa vào những phương tiện tránh bị phát hiện. Và câu hỏi của tôi là, sẽ phải trả giá thế nào?” Điều đáng lo ngại ở đây là những thứ xấu xa sẽ bị bưng bít trong sự che chở của mã hóa.
Nỗi lo sợ tương tự đã trì hoãn vụ việc của tôi trong nhiều tháng khi tôi kiệt sức trong tù vào những năm 1990. Nhóm luật sư biện hộ của tôi muốn truy cập vào những phát hiện mà chính phủ dự định sử dụng để chống lại tôi trong phiên tòa. Chính phủ từ chối giao trả bất kỳ file mã hóa nào trừ khi tôi cung cấp khóa giải mã. Tôi đã từ chối. Đến lượt mình, tòa án đã từ chối yêu cầu chính phủ cung cấp thông tin bởi vì tôi không đưa cho họ chìa khóa.
Các thiết bị Android bắt đầu từ phiên bản 3.0 (Honeycomb) cũng có thể được mã hóa. Hầu hết chúng ta chọn không làm như vậy. Từ Android 5.0 (Lollipop), ổ đĩa mã hóa là mặc định trên dòng Nexus của điện thoại Android nhưng là tùy chọn trên điện thoại của các nhà sản xuất khác, chẳng hạn như LG, Samsung, và các hãng khác. Nếu bạn chọn mã hóa điện thoại Android, hãy lưu ý rằng có thể mất tối đa một giờ để làm như vậy và thiết bị của bạn sẽ cần cắm sạc trong quá trình này. Được biết, mã hóa thiết bị di động không gây cản trở đáng kể hiệu suất, nhưng khi đã quyết định mã hóa, bạn không thể hoàn tác nó.
Trong bất kỳ chương trình mã hóa toàn bộ ổ lưu trữ nào, luôn tồn tại khả năng có cửa hậu. Tôi đã từng được một công ty thuê để kiểm tra sản phẩm USB cho phép người dùng lưu trữ các file trong vùng chứa được mã hóa. Trong quá trình phân tích mã, chúng tôi thấy rằng nhà phát triển đã đặt vào một cánh cửa hậu bí mật, chìa khóa để mở khóa hộp chứa mã hóa được chôn giấu ở một vị trí ngẫu nhiên trên ổ USB. Điều đó có nghĩa là bất cứ ai có kiến thức về vị trí của khóa có thể mở khóa dữ liệu được đã mã hóa bởi người dùng.
Tệ hơn nữa, các công ty không phải lúc nào cũng biết phải làm gì với thông tin này. Khi tôi hoàn thành phân tích bảo mật của mình về thiết bị USB được mã hóa, vị CEO của công ty trên đã gọi cho tôi và hỏi liệu ông ấy có nên để cửa hậu tồn tại hay không. Ông lo ngại rằng cơ quan thực thi pháp luật hoặc NSA có thể cần truy cập dữ liệu của người dùng. Thực tế điều ông cần phải hỏi đã nói lên nhiều điều.
Trong báo cáo nghe trộm năm 2014, chính phủ Mỹ cho hay rằng chỉ gặp 25 ổ cứng mã hóa trong tổng số 3.554 thiết bị mà cơ quan thực thi pháp luật đã kiểm tra để tìm bằng chứng. Và họ vẫn có thể giải mã 21/25 ổ đó. Vì vậy, mặc dù việc có mã hóa thường chỉ đủ để tránh một tên trộm thông thường truy cập dữ liệu của bạn, đối với một chính phủ chuyên nghiệp, điều này có thể không đặt ra nhiều thách thức.
Nhiều năm trước, nhà nghiên cứu Joanna Rutkowska đã viết về cuộc tấn công mà cô gọi là “evil mail attack” (cuộc tấn công của người giúp việc tai ác). Giả sử có người để lại trong phòng khách sạn một máy tính xách tay đã tắt, có ổ đĩa cứng được mã hóa bằng mã hóa TrueCrypt hoặc PGP Whole Disk Encryption. (Tôi đã sử dụng PGP Whole Disk Encryption ở Bogota; tôi cũng tắt máy tính.) Kẻ xấu lẻn vào phòng và chèn một chiếc USB chứa bộ nạp khởi động độc hại. Sau đó, máy tính xách tay mục tiêu phải được khởi động từ USB để cài đặt bộ tải khởi động độc hại đánh cắp cụm mật khẩu của người dùng. Bây giờ, cái bẫy đã được đặt ra.
Một người dọn phòng, vốn có thể thường xuyên lui tới phòng khách sạn mà không bị nghi ngờ, sẽ là ứng cử viên tốt nhất để làm điều này – vì vậy là kiểu tấn công trên mới có tên là “người giúp việc tai ác.” Một người giúp việc có thể trở lại hầu như bất kỳ phòng khách sạn nào vào ngày hôm sau và nhập vào một tổ hợp khóa bí mật để trích xuất cụm mật khẩu được lưu trữ bí mật trên đĩa. Bây giờ kẻ tấn công có thể nhập cụm từ mật khẩu và truy cập vào tất cả các file của bạn.
Tôi không biết liệu có ai làm thế với máy tính của mình ở Bogota hay không. Bản thân ổ đĩa cứng đã bị tháo ra và sau đó được thay thế bằng các vít vặn quá chặt. Dù bằng cách nào, may mắn thay, ổ đĩa không chứa thông tin thực sự.
Việc để thiết bị điện tử của bạn vào một két an toàn ở khách sạn thì sao? Nó có tốt hơn là để chúng bên ngoài hoặc giữ chúng trong vali hay không? Có, nhưng không tốt hơn nhiều. Khi tham dự một hội nghị Black Hat gần đây, tôi ở trong khách sạn Four Seasons ở Las Vegas. Tôi đã đặt 4.000 đô-la tiền mặt trong két an toàn với nhiều loại thẻ tín dụng và séc khác nhau. Một vài ngày sau, tôi rời đi và cố mở két an toàn nhưng không thành công. Tôi gọi cho an ninh và họ mở nó ra. Tôi ngay lập tức nhận thấy rằng tập các đồng tiền 100 đô-la đó đã mỏng hơn nhiều. Chỉ còn lại 2.000 đô-la. Vậy 2.000 đô-la khác đã đi đâu? An ninh khách sạn cũng chẳng biết gì. Một người bạn của tôi là chuyên gia kiểm định an ninh vật lý đã thử bẻ khóa két an toàn nhưng không được. Hôm nay, điều này vẫn là một bí ẩn. Trớ trêu thay, két an toàn lại được gọi là an toàn.
G DATA, một công ty chống virus của Đức, phát hiện ra rằng trong các phòng khách sạn nơi nhân viên nghiên cứu của họ ở lại, két an toàn thường được đặt mật khẩu mặc định là 0000. Trong trường hợp như vậy, bất kể bạn chọn mật khẩu cá nhân nào, bất kỳ ai biết mật khẩu mặc định cũng có thể tiếp cận đồ đạc giá trị của bạn bên trong. G DATA nói rằng những trường hợp thế này không được phát hiện hàng loạt, nhưng xảy ra rải rác trong nhiều năm.
Nếu kẻ tấn công không biết mật khẩu mặc định của két an toàn trong phòng khách sạn, hắn có thể thực hiện phương pháp vét cạn. Mặc dù người quản lý khách sạn được tin tưởng giao một thiết bị điện tử khẩn cấp cắm vào cổng USB và mở khóa két an toàn, kẻ trộm hiểu biết có thể chỉ cần tháo tấm trên mặt trước két an toàn và sử dụng thiết bị kỹ thuật số để mở khóa bên dưới. Hoặc hắn có thể ngắt mạch an toàn và thiết lập lại cài đặt ban đầu, sau đó nhập mã mới.
Nếu điều đó không khiến bạn quan tâm, hãy xem xét điều này. G DATA cũng thấy rằng các đầu đọc thẻ tín dụng trên két có thể bị bên thứ ba đọc được để quét trộm dữ liệu thẻ tín dụng và sau đó sử dụng hoặc bán thông tin đó trên Internet.
Ngày nay, các khách sạn sử dụng thẻ quét NFC hoặc thậm chí thẻ băng từ để khóa và mở khóa phòng. Ưu điểm là khách sạn có thể thay đổi các mã truy cập này nhanh chóng và dễ dàng từ quầy lễ tân. Nếu bị mất thẻ, bạn có thể yêu cầu thẻ mới. Một mã đơn giản được gửi cho khóa và ngay lập tức khi bạn đến phòng của mình, thẻ khóa mới sẽ hoạt động. Công cụ MagSpoof của Samy Kamkar có thể được sử dụng để giả mạo các trình tự chính xác và mở khóa một phòng khách sạn bằng cách sử dụng thẻ băng từ. Công cụ này được đã sử dụng trong một tập của chương trình truyền hình Mr. Robot.
Sự hiện diện của dải từ hoặc chip NFC đã làm nảy sinh ý tưởng rằng thông tin cá nhân có thể được lưu trữ trên thẻ khóa của khách sạn. Không phải vậy. Nhưng người ta vẫn rỉ tai nhau truyền thuyết này. Thậm chí còn có một câu chuyện nổi tiếng có nguồn gốc từ Quận San Diego. Giả sử một phó cảnh sát trưởng ở đó đưa ra cảnh báo rằng họ tìm thấy trên chìa khóa của khách sạn thông tin về tên, địa chỉ nhà và thẻ tín dụng của khách. Có lẽ bạn đã nhìn thấy email đó. Nó trông giống như thế này:
Gần đây các chuyên gia thực thi pháp luật Nam California được giao nhiệm vụ phát hiện các mối đe dọa mới đối với các vấn đề bảo mật cá nhân đã phát hiện những loại thông tin nhúng trong các khóa phòng khách sạn vốn đang được toàn ngành này sử dụng.
Mặc dù chìa khóa phòng của các khách sạn là khác nhau, nhưng một chìa khóa thông thường sẽ chứa các thông tin sau:
• Tên khách hàng
• Địa chỉ nhà riêng của khách hàng
• Số phòng khách sạn
• Ngày nhận phòng và ngày trả phòng
• Số thẻ tín dụng của khách hàng và ngày hết hạn!
Khi bạn trả chúng về quầy lễ tân, bất kỳ ai cũng có thể lấy được thông tin cá nhân của bằng cách quét thẻ trong máy quét của khách sạn. Một nhân viên có thể lấy một số ít thẻ về nhà và với một thiết bị quét, anh ta có thể truy cập vào thông tin trên một máy tính xách tay và đi mua sắm bằng tiền của bạn.
Nói một cách đơn giản, khách sạn không xóa các thẻ này cho đến khi một nhân viên phát thẻ cho khách lưu trú tiếp theo. Nó thường được lưu giữ trong một ngăn kéo ở quầy lễ tân với THÔNG TIN CỦA BẠN TRÊN ĐÓ!!!!
Điểm mấu chốt là, hãy giữ thẻ hoặc tiêu hủy chúng! KHÔNG BAO GIỜ bỏ chúng lại và KHÔNG BAO GIỜ trả chúng về quầy lễ tân khi bạn trả phòng. Họ sẽ không bắt bạn đền tiền thẻ đâu.
Người ta tranh cãi nhiều về tính xác thực của email này. Thành thật mà nói, theo tôi, nó có vẻ rất nhảm nhí.
Các thông tin liệt kê ở trên chắc chắn có thể được lưu trữ trên một thẻ chìa khóa, nhưng điều đó có vẻ cực đoan, ngay cả với tôi. Khách sạn sử dụng những gì có thể được coi là một mã thông báo token, một số giữ chỗ, cho mỗi khách. Chỉ với quyền truy cập vào các máy tính phía máy chủ sau thực hiện thanh toán, mã token mới có thể được kết nối với thông tin cá nhân.
Tôi không nghĩ rằng bạn cần phải thu thập và tiêu hủy các thẻ khóa cũ của bạn, nhưng này, bạn có thể muốn làm như vậy vì thế tất cả cũng giống nhau thôi.
Một câu hỏi phổ biến khác liên quan đến việc đi lại và dữ liệu: Có gì trong mã vạch ở dưới cùng trên vé máy bay của bạn? Mã vạch này có thể tiết lộ điều gì, nếu có? Trong thực tế, nó có thể tiết lộ tương đối ít thông tin cá nhân, trừ khi bạn có mã số hành khách thường xuyên.
Bắt đầu từ năm 2005, Hiệp hội Vận tải Hàng không Quốc tế (IATA) đã quyết định sử dụng thẻ lên máy bay có mã vạch vì lý do đơn giản là thẻ từ tốn nhiều chi phí duy trì hơn. Khoản tiết kiệm được ước tính là khoảng 1,5 tỷ đô-la. Hơn nữa, sử dụng mã vạch trên vé máy bay cho phép hành khách tải xuống vé từ Internet và in chúng tại nhà, hoặc thay vào đó họ có thể sử dụng điện thoại di động tại cổng.
Dĩ nhiên, sự thay đổi thủ tục này đòi hỏi một số tiêu chuẩn nhất định. Theo nhà nghiên cứu Shaun Ewing, mã vạch lên máy bay điển hình chứa các thông tin hầu như vô hại như tên hành khách, tên hãng hàng không, số chỗ ngồi, sân bay khởi hành, sân bay đến và số hiệu chuyến bay. Tuy nhiên, phần nhạy cảm nhất của mã vạch là mã số khách hàng bay thường xuyên của bạn. Tất cả các trang web của các hãng hàng không hiện đang bảo vệ tài khoản khách hàng bằng mật khẩu cá nhân. Cung cấp mã số hành khách thường xuyên không giống như việc cung cấp số An sinh Xã hội, nhưng nó vẫn là một mối lo ngại về quyền riêng tư.
Mối lo ngại về quyền riêng tư lớn hơn là thẻ khách hàng thân thiết được cung cấp tại các siêu thị, hiệu thuốc, trạm xăng và các doanh nghiệp khác. Không giống như vé máy bay yêu cầu tên hợp pháp, thẻ khách hàng thân thiết có thể được đăng ký dưới tên giả, địa chỉ và số điện thoại (số giả bạn có thể nhớ), vì vậy thói quen mua hàng của bạn không thể liên kết ngược lại với bạn.
Khi bạn nhận phòng khách sạn và khởi động máy tính, bạn có thể thấy danh sách các mạng Wi-Fi có sẵn, chẳng hạn như “Khách của khách sạn”, “tmobile123”, “iPhone của Kimberley”, “attwifi”, “Android của Steve” và “Điểm phát nóng của Chuck.” Bạn nên kết nối với mạng nào? Tôi hy vọng đến đây bạn đã biết câu trả lời!
Hầu hết Wi-Fi của khách sạn không sử dụng mã hóa nhưng yêu cầu xác thực bằng họ và số phòng của khách. Tất nhiên, có những thủ thuật để đi vòng tránh được hàng rào thanh toán.
Một mẹo để truy cập Internet miễn phí tại bất kỳ khách sạn nào là gọi sang cho bất kỳ phòng nào khác – có thể là phòng đối diện – đóng giả làm nhân viên dọn phòng. Nếu khách sạn sử dụng ID người gọi, bạn chỉ cần sử dụng điện thoại ở sảnh đợi. Hãy thông báo với người nhấc máy là đồ ăn đang trên đường tới. Khi người này nói rằng cô ấy không gọi đồ, hãy nhã nhặn hỏi xin họ của cô này để điều chỉnh lại. Như vậy, bây giờ bạn đã có cả số phòng (bạn gọi tới phòng đó) và họ của khách trong phòng – đó là tất cả những gì cần thiết để xác thực bạn (một khách không trả tiền) như một khách hợp pháp tại khách sạn đó.
Giả sử bạn đang ở tại một khách sạn năm sao có Internet, miễn phí hoặc trả phí. Khi đăng nhập, có lẽ bạn thấy một thông báo cho bạn biết rằng Adobe (hoặc một số nhà sản xuất phần mềm khác) có bản cập nhật có sẵn. Là một cư dân mạng ngoan ngoãn, có thể bạn sẽ tuân lệnh và tải xuống bản cập nhật. Ngoại trừ một việc là mạng của khách sạn vẫn cần được coi là không thân thiện, ngay cả khi nó có mật khẩu. Đây không phải là mạng gia đình của bạn, vì vậy bản cập nhật có thể không phải là thực, và nếu tiếp tục tải xuống, bạn có thể vô tình cài đặt mã độc trên máy tính.
Nếu bạn thường xuyên đi lại, việc xem xét để cập nhật hay không là một quyết định khó khăn. Bạn chỉ có một lựa chọn là xác minh rằng mình đã có bản cập nhật. Vấn đề là, nếu sử dụng Internet của khách sạn để tải xuống bản cập nhật đó, bạn có thể bị chuyển hướng đến một website giả mạo cung cấp bản “cập nhật” độc hại. Nếu có thể, hãy sử dụng thiết bị di động để xác nhận sự tồn tại của bản cập nhật từ website của nhà cung cấp và nếu nó không quan trọng, hãy đợi cho đến khi bạn trở lại trong một môi trường an toàn, chẳng hạn như văn phòng công ty hoặc ở nhà, để tải xuống.
Các nhà nghiên cứu tại Kaspersky Lab, một công ty phần mềm bảo mật, đã phát hiện ra một nhóm hacker tội phạm mà họ gọi là DarkHotel (còn gọi là Tapaoux), những kẻ sử dụng kỹ thuật này. Chúng hoạt động bằng cách xác định lãnh đạo các công ty có thể đang ở tại một khách sạn sang trọng, sau đó dự đoán ngày họ đến bằng cách đặt phần mềm độc hại trên máy chủ của khách sạn. Khi các các vị lãnh đạo này nhận phòng và kết nối với Wi-Fi của khách sạn, phần mềm độc hại được tải xuống và thực thi trên thiết bị của họ. Sau khi hoàn tất quá trình lây nhiễm, phần mềm độc hại sẽ bị xóa khỏi máy chủ. Các nhà nghiên cứu lưu ý rằng hoạt động này đã diễn ra trong gần một thập kỷ.
Mặc dù nó chủ yếu ảnh hưởng đến lãnh đạo ở các khách sạn sang trọng ở châu Á, nhưng nó có thể cũng phổ biến ở nơi khác. Nhìn chung, nhóm DarkHotel thường tiến hành tấn công spear phishing cấp thấp cho các đối tượng hàng loạt, còn những cuộc tấn công ở khách sạn là nhắm đến những mục tiêu cao cấp, chẳng hạn lãnh đạo trong các lĩnh vực năng lượng hạt nhân và quốc phòng.
Một phân tích ban đầu cho rằng DarkHotel xuất phát từ Hàn Quốc. Một keylogger – tức phần mềm độc hại dùng để ghi lại các thao tác gõ phím trên thiết bị mà nó tấn công – dùng trong các cuộc tấn công có chứa các ký tự tiếng Hàn bên trong mã. Và zero-day – lỗ hổng trong phần mềm mà những người muốn vá nó không biết đến – là những lỗi rất tiên tiến mà trước đây chưa được biết tới. Hơn nữa, người ta đã truy ra rằng một tên Hàn Quốc được xác định trong keylogger bắt nguồn từ các keylogger tinh vi khác được người Hàn Quốc sử dụng trước đây.
Tuy nhiên, cần lưu ý rằng điều này là không đủ để xác nhận kết luận trên. Phần mềm có thể được cắt và dán từ nhiều nguồn khác nhau. Ngoài ra, có thể thiết kế để phần mềm được tạo ra ở quốc gia A lại trông có vẻ như đến từ quốc gia B.
Để cài được phần mềm độc hại trên máy tính xách tay, DarkHotel sử dụng các chứng chỉ giả mạo trông có vẻ được phát hành từ chính phủ Malaysia và Deutsche Telekom. Nếu bạn nhớ những nội dung đã nhắc đến trong Chương 5, chứng chỉ được sử dụng để xác minh nguồn gốc của phần mềm hoặc máy chủ Web. Để tiếp tục che giấu kỹ hơn công việc của mình, các hacker đã sắp xếp để phần mềm độc hại nằm im trong tối đa sáu tháng trước khi phát tác. Điều này là để ngăn đội ngũ IT có thể nghi ngờ một truy cập là một vụ lây nhiễm.
Kaspersky chỉ biết đến vụ tấn công này khi một nhóm khách hàng của họ bị lây nhiễm sau lần lưu trú tại một số khách sạn sang trọng ở châu Á. Các nhà nghiên cứu đã chuyển sang một máy chủ Wi-Fi của bên thứ ba chung cho cả hai, và máy chủ Wi-Fi hợp tác với công ty chống virus để tìm hiểu những gì đang xảy ra trên mạng của họ. Mặc dù các file được sử dụng để lây nhiễm cho các khách hàng đã biến mất từ lâu, nhưng bản ghi về việc xóa file còn lại tương ứng với ngày lưu trú của khách.
Cách dễ nhất để tự vệ trước loại tấn công này là kết nối với dịch vụ VPN ngay khi bạn kết nối với Internet tại khách sạn. Dịch vụ VPN tôi sử dụng khá rẻ – chỉ 6 đô-la mỗi tháng. Tuy nhiên, đó không phải là lựa chọn tốt nếu bạn muốn tàng hình vì nó sẽ không cho phép thiết lập ẩn danh.
Nếu bạn muốn ẩn danh, đừng tin tưởng đưa cho nhà cung cấp VPN thông tin thực của bạn. Để làm được điều này, bạn phải thiết lập từ trước một địa chỉ email giả và sử dụng một mạng không dây mở. Khi đã có địa chỉ email giả, hãy sử dụng Tor để thiết lập ví Bitcoin, tìm một máy ATM Bitcoin để nạp tiền cho ví, và sau đó sử dụng một máy trộn để rửa Bitcoin nhằm ngăn người khác truy ngược lại bạn trên blockchain. Quá trình rửa tiền này đòi hỏi phải thiết lập hai ví Bitcoin sử dụng các mạch Tor khác nhau. Ví tiền đầu tiên được sử dụng để gửi Bitcoin cho dịch vụ rửa, và ví thứ hai được thiết lập để nhận Bitcoin sau khi rửa.
Sau khi đã đạt được trạng thái ẩn danh thực sự bằng cách sử dụng Wi-Fi mở nằm ngoài tầm ngắm của các camera cộng với Tor, hãy tìm một dịch vụ VPN chấp nhận thanh toán bằng Bitcoin. Hãy thanh toán bằng Bitcoin đã rửa. Một số nhà cung cấp VPN như WiTopia chặn Tor, vì vậy bạn cần tìm một nhà cung cấp dịch vụ VPN không làm điều đó – tốt nhất là sử dụng nhà cung cấp VPN không lưu lịch sử kết nối.
Trong trường hợp này, chúng ta không “tin tưởng” nhà cung cấp VPN có địa chỉ IP hoặc tên thật của chúng ta. Tuy nhiên, khi sử dụng VPN mới thiết lập, bạn phải cẩn thận không sử dụng bất kỳ dịch vụ nào được kết nối với tên thật của bạn và không kết nối với VPN từ địa chỉ IP có thể được gắn với bạn. Bạn có thể xem xét việc chia sẻ kết nối với một điện thoại dùng một lần ẩn danh, xem tại đây.
Trong trường hợp này, chúng ta không giao cho nhà cung cấp VPN địa chỉ IP hoặc tên thật của mình. Tuy nhiên, khi sử dụng VPN mới thiết lập, bạn phải cẩn thận không sử dụng bất kỳ dịch vụ nào được kết nối với tên thật của bạn và không kết nối với VPN từ địa chỉ IP có thể được gắn với bạn. Bạn có thể cân nhắc việc sử dụng điện thoại ẩn danh.
Tốt nhất bạn nên mua một thiết bị phát sóng di động (nhớ là mua theo cách khó xác định được bạn). Ví dụ, bạn có thể thuê người mua hộ để bạn không xuất hiện trong camera của cửa hàng bán thiết bị. Trong khi đang sử dụng điểm phát sóng ẩn danh, bạn nên tắt bất kỳ thiết bị cá nhân nào sử dụng tín hiệu di động để tránh việc thiết bị cá nhân của bạn đăng ký ở cùng một nơi với thiết bị ẩn danh.
Tóm lại, đây là những gì bạn cần làm để sử dụng Internet một cách riêng tư khi đi lại:
1. Mua thẻ quà tặng trả trước ẩn danh. Ở châu Âu, bạn có thể mua thẻ tín dụng trả trước ẩn danh tại viabuy.com.
2. Sử dụng Wi-Fi mở sau khi thay đổi địa chỉ MAC.
3. Tìm một nhà cung cấp email cho phép đăng ký mà không cần xác thực qua tin nhắn. Hoặc bạn có thể đăng ký số Skype-in bằng cách sử dụng Tor và thẻ quà tặng trả trước. Với Skype-in, bạn có thể nhận cuộc gọi thoại để xác minh danh tính. Hãy đảm bảo bạn không nằm trong tầm quan sát của camera (nghĩa là, không phải trong quán cà phê Starbucks hoặc bất kỳ nơi nào khác có giám sát bằng camera). Sử dụng Tor để che dấu vị trí khi bạn đăng ký dịch vụ email này.
4. Sử dụng địa chỉ email ẩn danh mới để đăng nhập vào một website như paxful.com qua Tor, sau đó đăng ký ví Bitcoin và mua Bitcoin. Thanh toán cho họ bằng thẻ quà tặng trả trước.
5. Thiết lập địa chỉ email ẩn danh thứ hai và ví Bitcoin thứ hai mới sau khi đóng và thiết lập một mạch Tor mới để ngăn chặn bất kỳ liên kết nào với tài khoản email và ví tiền đầu tiên.
6. Sử dụng dịch vụ rửa tiền Bitcoin như bitlaunder.com để khó có thể theo dõi nguồn gốc của đồng tiền. Gửi Bitcoin đã rửa đến ví thứ hai.
7. Đăng ký một dịch vụ VPN loại không ghi lịch sử luồng truy cập hoặc IP các kết nối bằng cách sử dụng Bitcoin được rửa. Bạn có thể tìm hiểu những gì được ghi lại lịch sử bằng cách xem chính sách bảo mật của nhà cung cấp VPN (ví dụ: TorGuard).
8. Thuê người dùng tiền mặt mua thiết bị phát sóng di động ẩn danh.
9. Để truy cập Internet, hãy sử dụng thiết bị phát sóng ẩn danh ở xa nhà, nơi làm việc và các thiết bị di động khác của bạn.
10. Sau khi bật nguồn, hãy kết nối VPN thông qua thiết bị phát sóng di động ẩn danh đó.
11. Sử dụng Tor để duyệt Internet.