Nghệ thuật ẩn mình – Kevin D. Mitnick, Robert Vamosi

Ngay cả khi không có hình ảnh 1 pixel hay cửa sổ pop-up trống, hoạt động lướt web của bạn vẫn có thể bị theo dõi bởi các website mà bạn truy cập. Ví dụ, Amazon có thể biết rằng lần gần đây nhất bạn truy cập một website về sức khỏe, vì vậy website Amazon sẽ hiển thị đề xuất cho bạn là các sản phẩm chăm sóc sức khỏe. Có thể Amazon biết thông tin này là do nó đã thực sự nhìn thấy website mà bạn truy cập gần đây nhất trong truy vấn trình duyệt của bạn.

Amazon thực hiện điều này bằng cách sử dụng các referrer bên thứ ba – tức là dữ liệu trong một truy vấn gọi website thông báo cho trang mới biết truy vấn này bắt nguồn từ đâu. Ví dụ, nếu tôi đang đọc một bài viết trên tạp chí Wired và nó chứa một liên kết, khi tôi nhấp vào liên kết đó, website mới sẽ biết rằng trước đó tôi đã ở trên một trang thuộc Wired.com. Bạn có thể thấy hoạt động theo dõi của bên thứ ba này có thể ảnh hưởng đến quyền riêng tư của mình như thế nào chưa?

Để tránh điều này, hãy vào Google.com trước tiên, như thế website mà bạn muốn truy cập sẽ không biết trước đó bạn ở đâu. Tôi không cho rằng referrer bên thứ ba là một vấn đề lớn, trừ khi bạn đang cần che giấu danh tính. Đây là một ví dụ nữa về sự đánh đổi giữa cái tiện lợi (chỉ cần truy cập vào website tiếp theo) và tính ẩn danh (luôn bắt đầu từ Google.com).Plugin NoScript của Firefox là một trong những cơ chế phòng thủ tốt nhất chống lại hoạt động theo dõi của bên thứ ba. Tiện ích bổ sung này ngăn chặn hiệu quả gần như mọi thứ bị coi là có hại cho máy tính và trình duyệt của bạn, cụ thể là Flash và JavaScript. Việc thêm các plugin bảo mật sẽ mang đến cho bạn một trải nghiệm khác khi lướt web của bạn, tuy nhiên, bạn có thể chọn và kích hoạt các tính năng cụ thể hoặc đặt chế độ tin tưởng vĩnh viễn một số website.

Khi bật NoScript, website bạn truy cập sẽ không có quảng cáo và referrer của bên thứ ba. Hệ quả của việc chặn này là trang web trông có phần xấu và tẻ nhạt hơn so với phiên bản không có NoScript. Tuy nhiên, nếu muốn xem một video flash, bạn có thể cho phép hiển thị video đó trong khi vẫn tiếp tục chặn mọi phần tử khác. Hoặc, nếu cảm thấy tin tưởng một website, bạn có thể cho phép – tạm thời hoặc vĩnh viễn – tải tất cả các phần tử trên trang đó; chẳng hạn, bạn có thể đặt cơ chế này với các website ngân hàng.

Chrome cũng có ScriptBlock để ngăn chặn việc sử dụng các tập lệnh trên website. Đây là một tính năng hữu ích đối với trẻ nhỏ, bởi trong lúc vào mạng, có thể chúng truy cập vào một website cho phép hiển thị các nội dung quảng cáo pop-up dành cho người lớn.

Việc chặn các phần tử có khả năng gây hại (và chắc chắn là xâm phạm quyền riêng tư) trên các website sẽ giúp máy tính của bạn không bị nhiễm các phần mềm độc hại tạo quảng cáo. Chẳng hạn, có lẽ bạn từng thấy quảng cáo xuất hiện trên trang chủ Google của mình. Thực ra, trang chủ Google không có quảng cáo nào cả. Nếu bạn thấy chúng, thì có lẽ máy tính và trình duyệt của bạn đã bị tấn công (có thể là mới giây lát trước đó), nên bạn mới thấy quảng cáo của bên thứ ba, và chúng có thể chứa các Trojan horse[60] – chẳng hạn các keylogger[61] ghi lại mọi phím mà bạn gõ, và nhiều phần mềm độc hại khác – nếu bạn nhấn vào. Ngay cả khi quảng cáo không chứa phần mềm độc hại, nhà quảng cáo vẫn được tính doanh thu dựa trên số lần nhấp chuột mà họ nhận được. Càng nhiều người bị lừa nhấp chuột, họ càng kiếm được nhiều tiền hơn.

[60] Trojan horse (ngựa thành Troy): Tên gọi một loại phần mềm độc hại.

[61] Keylogger: Một dạng phần mềm theo dõi mà khi được cài đặt vào một hệ thống, có thể ghi lại mọi hoạt động gõ phím thực hiện trên phần mềm đó.

Tuy hiệu quả, song NoScript và ScriptBlock không thể chặn được mọi thứ. Để có sự bảo vệ hoàn toàn trước các mối đe dọa đến từ trình duyệt, hãy cài đặt Adblock Plus. Vấn đề duy nhất ở đây là Adblock ghi lại mọi thứ: công ty này cũng theo dõi lịch sử lướt web của bạn, dù rằng bạn sử dụng tính năng duyệt web riêng tư. Tuy nhiên, trong trường hợp này, mặt tốt (ngăn chặn các quảng cáo tiềm ẩn nguy hiểm) trội hơn so với mặt xấu (họ biết bạn ở đâu trên mạng).

Một plugin hữu ích khác là Ghostery, dùng được cho cả Chrome và Firefox. Ghostery nhận diện tất cả các chương trình theo dõi lưu lượng web (như DoubleClick và Google AdSense) mà các website sử dụng để theo dõi hoạt động của bạn. Giống như NoScript, Ghostery cho bạn quyền kiểm soát chi tiết đối với từng trình theo dõi mà bạn muốn cho phép hoạt động trên mỗi trang. Website của plugin này viết, “Việc chặn trình theo dõi là để chúng không chạy trong trình duyệt của bạn, nhờ đó kiểm soát được hoạt động theo dõi dữ liệu hành vi của bạn. Hãy nhớ rằng một số trình theo dõi có thể hữu ích, chẳng hạn như các tiện ích nguồn cấp dữ liệu trên mạng xã hội hoặc các trò chơi trên trình duyệt. Việc chặn có thể mang lại những tác động ngoài ý muốn đối với các website mà bạn truy cập.” Có nghĩa là khi cài đặt Ghostery, một số website sẽ không còn hoạt động được. Thật may, bạn có thể chọn tắt plugin này theo từng trang.

Ngoài việc sử dụng plugin để ngăn các website nhận ra mình, bạn cũng có thể tung hỏa mù cho hacker bằng cách sử dụng nhiều địa chỉ email khác nhau dùng cho các mục đích cá nhân. Ví dụ, ở Chương 2, tôi đã hướng dẫn các cách tạo tài khoản email ẩn danh để liên lạc mà không bị phát hiện. Tương tự, đối với hoạt động lướt web đơn giản hằng ngày, bạn cũng nên tạo nhiều tài khoản email – mục đích ở đây không phải để ẩn danh mà nhằm bớt thu hút sự chú ý của các bên thứ ba trên Internet. Việc có nhiều hồ sơ cá nhân trực tuyến sẽ làm giảm bớt tác động đối với quyền riêng tư so với việc chỉ có một địa chỉ có thể nhận dạng được. Nó sẽ gây khó khăn cho bất kỳ ai muốn xây dựng hồ sơ trực tuyến về bạn.

Giả sử bạn muốn mua đồ trên mạng. Hãy tạo một địa chỉ email dành riêng cho việc mua sắm. Đừng dùng địa chỉ nhà mà hãy dùng địa chỉ hòm thư để đăng ký nhận các món đồ bạn mua bằng email này. Ngoài ra, thi thoảng bạn có thể tải thẻ quà tặng để mua hàng.

Bằng cách này, công ty bán sản phẩm cho bạn sẽ chỉ có địa chỉ email không chính thức, địa chỉ nhận không chính thức, và thẻ quà tặng dùng một lần của bạn. Nếu dữ liệu của công ty đó bị xâm phạm, ít nhất kẻ tấn công sẽ không có địa chỉ email thực, địa chỉ nhà thực, hay số thẻ tín dụng của bạn. Cách chặt đứt sợi dây liên hệ với hoạt động mua hàng trực tuyến như thế này là một biện pháp an ninh hữu hiệu.

Bạn cũng nên tạo một địa chỉ email không chính thức khác để dùng cho các mạng xã hội. Có thể lấy đây là địa chỉ email “công khai” để liên lạc với người lạ hoặc người quen sơ. Lợi thế của việc này là, một lần nữa, mọi người sẽ không biết được nhiều thông tin về bạn. Ít nhất là không biết theo cách trực tiếp. Bạn có thể làm thêm động tác bảo vệ nữa là đặt tên người dùng riêng cho từng địa chỉ không chính thức, có thể là một biến thể khác trong tên gọi thực của bạn hay một tên khác hoàn toàn.

Hãy cẩn thận nếu bạn chọn phương án sử dụng biến thể tên thực. Đừng dùng tên đệm – hay nếu bạn thường dùng tên đệm thì đừng dùng họ. Ngay cả một thông tin vô hại như [email protected] cũng có thể tiết lộ rằng bạn có tên đệm và tên đệm đó bắt đầu bằng chữ Q. Đây là một ví dụ về việc cung cấp thông tin cá nhân khi không cần thiết. Hãy nhớ rằng ở đây mục đích của bạn là hòa mình vào môi trường chứ không phải kêu gọi sự chú ý về mình.

Nếu bạn sử dụng một từ hoặc cụm từ không liên quan đến tên mình, hãy làm sao để nó tiết lộ càng ít thông tin về bạn càng tốt. Nếu địa chỉ email của bạn là [email protected], chúng tôi có thể không biết bạn tên gì, nhưng ít nhất chúng tôi biết một sở thích của bạn[62]. Tốt hơn hết, hãy chọn một tên chung chung, như [email protected] [63].

[62] Snow boarder: Nghĩa là người trượt tuyết.

[63] Silver fox: Cáo bạc.

Tất nhiên, bạn cũng nên có một địa chỉ email cá nhân, nhưng hãy chỉ chia sẻ nó với bạn bè thân thiết và gia đình. Nhưng các phương pháp an toàn nhất thường đi kèm với những phần thưởng tốt đẹp: bạn sẽ thấy rằng việc không sử dụng địa chỉ email cá nhân để mua hàng trực tuyến sẽ giúp bạn chặn được hàng tấn thư rác.

Điện thoại di động cũng không miễn nhiễm khỏi sự theo dõi của các công ty. Mùa hè năm 2015, một nhà nghiên cứu tinh mắt đã phát hiện ra rằng hai hãng viễn thông AT&T và Verizon cài thêm mã vào mọi truy vấn website thực hiện qua trình duyệt trên thiết bị di động. Đây không phải là IMSI – số nhận dạng thuê bao di động quốc tế – như tôi đã bàn đến trong Chương 3, mà là một mã nhận dạng duy nhất được gửi kèm với mỗi truy vấn website, gọi là tiêu đề nhận dạng duy nhất (unique identifier header – UIDH). Đây là số sê-ri tạm thời mà nhà quảng cáo có thể dùng để nhận ra bạn trên web. Nhà nghiên cứu trên phát hiện ra điều đó khi ông cài đặt cấu hình điện thoại di động để ghi lại tất cả các lưu lượng web (không nhiều người thực hiện việc này). Sau đó, ông nhận thấy có dữ liệu bổ sung gắn vào khách hàng của Verizon và AT&T.

Vấn đề nằm ở chỗ khách hàng không được thông báo về đoạn mã bổ sung này. Chẳng hạn, những người sử dụng AT&T hoặc Verizon khi tải xuống ứng dụng Firefox dành cho thiết bị di động và dùng plugin để tăng cường sự riêng tư sẽ bị các mã UIDH này theo dõi.

Nhờ các mã UIDH này, Verizon và AT&T có thể thu thập được thông tin về lưu lượng truy cập liên kết với các truy vấn web của bạn và dùng nó để xây dựng hồ sơ về hoạt động trực tuyến qua thiết bị di động của bạn nhằm phục vụ mục đích quảng cáo trong tương lai hoặc đơn giản là bán dữ liệu thô cho các bên khác.