Nghệ thuật ẩn mình – Kevin D. Mitnick, Robert Vamosi

Ví dụ, chắc chắn các nhà cung cấp VPN phải có khả năng khắc phục sự cố trong mạng riêng của mình. Và việc này đòi hỏi họ phải có nhật ký, chẳng hạn nhật ký kết nối để khớp khách hàng với địa chỉ IP ban đầu của họ.

Như vậy, bởi vì ngay cả những nhà cung cấp tốt nhất cũng không thể tin tưởng được, nên chúng ta hãy mua dịch vụ VPN bằng Bitcoin đã được rửa thông qua trình duyệt Tor. Tôi khuyên bạn nên xem lại các điều khoản dịch vụ và chính sách bảo mật của nhà cung cấp VPN và tìm ra nhà cung cấp có vẻ tốt nhất trong nhóm. Bạn sẽ không tìm thấy một sự phù hợp hoàn hảo, chỉ là một sự phù hợp vừa đủ tốt thôi. Hãy nhớ rằng bạn không thể tin tưởng bất kỳ nhà cung cấp nào để duy trì tính ẩn danh. Bạn phải tự mình làm điều đó với hiểu biết rằng chỉ cần một lỗi cũng có thể tiết lộ danh tính thực sự của bạn.

Bây giờ, với một máy tính xách tay riêng chạy Tor hoặc Tails, sử dụng một mạng VPN mua bằng Bitcoin đã được rửa, qua một bộ phát sóng ẩn danh, bạn đã hoàn thành xong phần dễ dàng: thiết lập sự ẩn danh. Điều này sẽ tốn một vài trăm đô-la, có thể là 500, nhưng tất cả các mảnh ghép đã được phân tách ngẫu nhiên để chúng không thể dễ dàng bị kết nối ngược về bạn. Bây giờ đến phần việc khó: duy trì sự ẩn danh đó.

Tất cả các thiết lập và quy trình mà chúng ta vừa trải qua đều có thể bị tiêu hủy trong giây lát nếu bạn sử dụng điểm phát sóng ẩn danh ở nhà hoặc bật điện thoại di động, máy tính bảng, hay bất kỳ thiết bị di động nào khác được liên kết với danh tính thực của bạn tại vị trí thực tế nơi bạn đang sử dụng nhận dạng ẩn danh. Chỉ cần một lần sảy chân, điều tra viên có thể phát hiện ra mối tương quan giữa sự hiện diện của bạn với một vị trí bằng cách phân tích nhật ký của nhà cung cấp dịch vụ di động. Nếu xuất hiện một đường mòn giữa hoạt động truy cập ẩn danh với việc thiết bị di động của bạn đăng ký vào cùng một trạm phát sóng di động, danh tính thực của bạn có thể bị lộ.

Tôi đã đưa ra một số ví dụ về điều này.

Bây giờ, nếu tính ẩn danh của bạn bị xâm phạm và bạn quyết định tham gia vào một hoạt động ẩn danh khác, bạn sẽ phải thực hiện lại quy trình này một lần nữa – xóa và cài đặt lại hệ điều hành trên máy tính xách tay ẩn danh, tạo một bộ tài khoản email và ví Bitcoin ẩn danh khác, và mua một bộ phát sóng ẩn danh khác. Hãy nhớ rằng Edward Snowden và Laura Poitras tuy đều đã có tài khoản email ẩn danh nhưng vẫn thiết lập thêm tài khoản email ẩn danh để họ có thể giao tiếp riêng với nhau. Bạn chỉ nên làm điều này nếu nghi ngờ rằng sự ẩn danh mà bạn thiết lập đã bị xâm phạm. Nếu không, bạn có thể sử dụng trình duyệt Tor (sau khi thiết lập một mạch Tor mới) thông qua bộ phát sóng và VPN ẩn danh để truy cập Internet bằng một nhận dạng khác.

Tất nhiên, bạn là người quyết định nên làm theo bao nhiêu trong số những gợi ý của tôi.

Ngay cả khi bạn làm theo những lời khuyên của tôi, người khác vẫn có thể nhận ra bạn. Bằng cách nào? Bằng cách bạn gõ máy tính.

Rất nhiều nghiên cứu đi sâu tìm hiểu cách mọi người chọn từ khi viết email và bình luận trên mạng xã hội. Qua đó, các nhà nghiên cứu thường có thể xác định được giới tính và sắc tộc, nhưng họ không thể biết các thông tin chi tiết hơn.

Hay là họ có thể?

Trong Thế chiến II, chính phủ Anh đã thành lập một số trạm nghe trên cả nước để chặn bắt các tín hiệu từ quân đội Đức. Kết quả sau đó là Đồng minh giải mã các thông điệp này – tại Trang viên Bletchley, địa điểm đặt trường Mật mã và Tín hiệu Chính phủ, nơi mã Enigma của Đức bị phá vỡ. Ban đầu, những người ở Trang viên Bletchley thực hiện chặn bắt các điện báo của Đức có thể xác định một số đặc điểm độc đáo của người gửi dựa trên khoảng cách giữa các dấu chấm và dấu gạch ngang. Ví dụ, họ có thể biết khi nào phía Đức có nhân viên trực tổng đài mới, họ thậm chí còn đặt tên cho những người này.

Dấu chấm và dấu gạch ngang tiết lộ những người đứng đằng sau chúng bằng cách nào?

Có thể đo được khoảng thời gian giữa các lần gõ bàn phím của người gửi. Phương pháp phân biệt này về sau được gọi là Fist of the Sender (Nắm tay của người gửi). Có thể xác định các tổng đài viên vận hành khóa mã Morse bằng những “nắm tay” rất riêng của họ. Công nghệ điện báo không được thiết kế để thực hiện những việc đó (ai quan tâm đến chuyện ai gửi điện báo, nội dung điện báo có gì chứ!), nhưng trong trường hợp này, đây là một sản phẩm phái sinh thú vị.

Ngày nay, với những tiến bộ trong công nghệ kỹ thuật số, các thiết bị điện tử có thể đo sự khác biệt ở mức nano giây cách gõ bàn phím của mỗi người – không chỉ là thời gian giữ phím mà còn cả tốc độ chuyển sang phím tiếp theo. Nó có thể cho biết sự khác biệt giữa một người bình thường và một người sục sạo tìm kiếm lén lút bên bàn phím. Điều đó, cùng với cách lựa chọn ngôn từ, có thể tiết lộ rất nhiều về một giao tiếp ẩn danh.

Đây là vấn đề nếu bạn gặp phải sự cố khi ẩn danh địa chỉ IP của mình. Các website vẫn có thể nhận ra bạn – không phải vì lý do kỹ thuật mà vì một điều gì đó liên quan đến con người. Đây được gọi là phân tích hành vi.

Giả sử một website ẩn danh trên Tor quyết định theo dõi hồ sơ về hoạt động gõ phím của bạn. Có thể những người đứng đằng sau đó có ý đồ xấu và muốn biết thêm về bạn. Hoặc có thể họ làm việc với cơ quan thực thi pháp luật.

Nhiều tổ chức tài chính đã sử dụng phân tích gõ phím để xác thực sâu hơn chủ tài khoản. Như vậy, dù có người lấy được tên người dùng và mật khẩu của bạn, họ vẫn không thể giả mạo nhịp điệu đánh máy của bạn được. Đó là một lợi ích khi xác thực trực tuyến. Nhưng nếu như bạn không muốn làm thế thì sao?

Bởi vì phân tích tổ hợp phím rất dễ triển khai, các nhà nghiên cứu Per Thorsheim và Paul Moore đã tạo một plugin trêm trình duyệt Chrome có tên là Keyboard Privacy (Bảo mật bàn phím). Plugin lưu trữ các lần nhấn phím cá nhân của bạn và sau đó phát chúng ra theo các khoảng thời gian khác nhau. Mục đích ở đây là để tạo ra sự ngẫu nhiên trong nhịp điệu gõ phím bình thường của bạn để đạt được ẩn danh trực tuyến. Plugin này có thể che giấu thêm các hoạt động Internet ẩn danh của bạn.

Như chúng ta đã thấy, duy trì sự tách biệt giữa cuộc sống thực và cuộc sống ẩn danh trực tuyến là có thể, nhưng nó đòi hỏi sự cảnh giác liên tục. Trong các chương trước, tôi đã nói về một số thất bại ngoạn mục khi đang tàng hình. Đã có những nỗ lực thành công nhưng không lâu bền trong việc tàng hình.

Trong trường hợp của Ross Ulbricht, anh ta không thực sự có kế hoạch thay đổi nhận dạng bản thân một cách cẩn thận, thỉnh thoảng sử dụng địa chỉ email thực thay vì một địa chỉ ẩn danh, đặc biệt khi mới bắt đầu. Thông qua việc sử dụng tìm kiếm nâng cao của Google, một nhà điều tra đã có thể ghép lại đủ thông tin để tiết lộ chủ sở hữu bí ẩn của Silk Road.

Vậy còn Edward Snowden và những người khác quan tâm đến việc bị các cơ quan chính phủ giám sát? Chẳng hạn Snowden có một tài khoản Twitter. Nhiều người quan tâm quyền riêng tư khác cũng vậy – tôi có cách nào khác để thu hút mọi người tham gia vào một cuộc trao đổi sôi nổi trực tuyến chứ? Có một vài khả năng để giải thích cách những người này vẫn còn “vô hình.”

Họ không bị giám sát tích cực. Có lẽ một cơ quan chính phủ biết chính xác mục tiêu của mình nhưng không quan tâm. Trong trường hợp đó, nếu các mục tiêu không vi phạm luật, ai có thể nói chắc rằng họ không mất cảnh giác tại một thời điểm nào đó? Họ có thể tuyên bố chỉ sử dụng Tor cho các email ẩn danh, nhưng biết đâu họ cũng dùng tài khoản đó để mua các sản phẩm của Netflix.

Họ bị giám sát, nhưng không thể bị bắt. Tôi nghĩ rằng điều này rất đúng với trường hợp của Snowden. Có thể anh đã sơ ý để mất sự ẩn danh của mình và hiện tại anh đang bị theo dõi tích cực bất cứ nơi nào anh đi qua, ngoại trừ một việc là anh đang sống ở Nga. Nga không có lý do thực sự nào để bắt giữ và dẫn độ anh trở về Mỹ.

Chắc bạn cũng vừa kịp để ý thấy tôi dùng từ “sơ ý”: Việc sống hai cuộc sống thực sự là rất khó khăn, trừ khi bạn chú ý đến từng chi tiết. Tôi biết. Tôi đã làm thế rồi. Tôi đã lơ là phòng vệ khi sử dụng vị trí cố định để truy cập máy tính thông qua mạng điện thoại di động.