Nym Dispatch: Việc bắt giữ Durov được xem xét lại
Công nghệ bảo mật có đang bị đe dọa không?
Chủ Nhật tuần trước, Pavel Durov, CEO của ứng dụng nhắn tin Telegram, đã bị chính quyền Pháp bắt giữ khi máy bay riêng của ông hạ cánh bên ngoài Paris.
Danh sách cáo buộc cáo buộc Durov “đồng lõa” trong nhiều hoạt động bất hợp pháp: sở hữu và phân phối nội dung khiêu dâm trẻ em và ma túy, gian lận có tổ chức, rửa tiền và “cung cấp dịch vụ mật mã” và “công cụ” mà không có “tuyên bố” “trước” và “được chứng nhận”.
Sau bản án năm nay đối với người đồng sáng lập Tornado Cash, tất nhiên có rất nhiều câu hỏi lớn được đặt ra. Liệu các công nghệ bảo mật có phải chịu các mối đe dọa pháp lý mới không? Các nhà phát triển công nghệ và giám đốc điều hành công ty có phải chịu trách nhiệm về những gì người dùng làm hoặc nói trên nền tảng của họ không?
Và sau đó còn có những câu hỏi khác, ngày càng ít được cân nhắc hơn, đằng sau những mục tiêu mới này: cần phải làm gì để thực sự giải quyết các nguyên nhân cơ bản của việc bóc lột trẻ em, ví dụ, hoặc nạn nghiện ma túy, hoặc sử dụng quá liều đang gia tăng? Việc xâm phạm quyền riêng tư kỹ thuật số của hàng triệu người có thực sự là câu trả lời không?
Vụ bắt giữ Durov chứa đựng một bài học trực tiếp mà những người bảo vệ quyền riêng tư và công nghệ riêng tư cần chú ý: dữ liệu = lỗ hổng, bất kể dữ liệu là gì, đối với cả người dùng bình thường cũng như các công ty.
Trái ngược với những gì nhiều người tin theo sự đồn đoán của giới truyền thông hiện nay về vụ bắt giữ Durov, Telegram không phải là ứng dụng nhắn tin riêng tư. Theo mặc định, nó không được mã hóa đầu cuối, đây là tiêu chuẩn vàng cho giao tiếp an toàn ngày nay. Telegram có rất nhiều ưu điểm, nhưng riêng tư thì không.
Tuy nhiên, vụ bắt giữ Durov và những người khác đang cố tình củng cố ý tưởng rằng sử dụng mật mã trực tuyến là về tội phạm chứ không phải an ninh. Chúng ta cần phải cùng nhau tổ chức để đảm bảo một mạng internet riêng tư cho tương lai.
Hiểu về các cáo buộc chống lại Durov
Để nói rõ hơn, Durov không bị buộc tội phân phối nội dung khiêu dâm trẻ em hoặc ma túy, mà là “đồng lõa” trong các hoạt động này do người dùng Telegram thực hiện. Là giám đốc điều hành của một ứng dụng viễn thông phổ biến, điều này có nghĩa chính xác là gì?
Theo luật pháp Pháp, cũng như ở nhiều quốc gia khác, một bên có thể bị buộc tội đồng lõa trong một tội ác nếu có thể chứng minh rằng họ “biết” về hoạt động tội phạm nhưng không làm gì - hoặc không làm đủ - để ngăn chặn, giảm nhẹ hoặc “điều chỉnh” hoạt động đó (một thuật ngữ mà như Nym Dispatch đã phân tích và bàn luận trước đây, thực chất là cách nói tránh cho hoạt động giám sát cửa sau).
Cốt lõi của vụ việc này là “kiến thức”, hay dữ liệu mà Telegram thực sự biết. Hãy nhớ rằng một nền tảng truyền thông không cần, ngoài mục đích hoạt động, phải có quyền truy cập vào bất kỳ dữ liệu người dùng nào. Về cơ bản, đây là quyết định của công ty.
Vấn đề của Telegram
Không có phương tiện truyền thông xã hội hay nền tảng giao tiếp nào là đơn giản. Ngoài việc là một ứng dụng nhắn tin và trò chuyện được 900 triệu người dùng sử dụng, “ chính sách kiểm duyệt tự do ” của Telegram liên quan đến mọi nội dung trên nền tảng này đã bị chỉ trích. Điều này chắc chắn bao gồm không chỉ các cuộc trò chuyện riêng tư giữa các cá nhân, mà còn cả các cuộc trò chuyện về các chủ đề từ buôn bán ma túy đến khủng bố .
Tuy nhiên, sức hấp dẫn của Telegram chưa bao giờ là về quyền riêng tư thực sự. Người dùng chuyển sang nó vì một lý do khác: một phạm vi có vẻ cởi mở để giao tiếp với người khác về bất kỳ chủ đề nào, có lẽ là dưới ảo tưởng về sự ẩn danh và an ninh, và tất cả các động lực xã hội hỗn loạn đi kèm với nó. Thật không may, điều này xảy ra trên Telegram phần lớn là không có các tiêu chuẩn về quyền riêng tư được mong đợi để đảm bảo quyền tự do ngôn luận thực sự.
“Telegram hoạt động như một nền tảng truyền thông xã hội hỗn loạn thông qua các cuộc trò chuyện nhóm hơn là một ứng dụng nhắn tin”, Jaya Klara Brekke, Giám đốc chiến lược của Nym, lưu ý. “Điều này khiến ứng dụng này là cơ hội chín muồi để các tác nhân độc hại, kẻ lừa đảo và bot khai thác. Đây là vấn đề trên nhiều nền tảng hiện nay. Quyền riêng tư thực sự không chỉ đòi hỏi mã hóa đầu cuối mà còn phải bảo vệ tiếng ồn mạng để cho phép tự do ngôn luận thực sự chứ không chỉ là một đường ống nước thải chứa nội dung khiêu khích được thiết kế để đẩy số lượng tương tác lên cao”.
Số phận của Durov
Cuối cùng, công việc của các công tố viên là chứng minh rằng Durov không chỉ biết về những hoạt động bất hợp pháp này mà công ty còn không can thiệp đáng kể. Vụ án xoay quanh sự kết hợp giữa hoạt động tội phạm đã biết, thái độ vô tư đối với hoạt động này và “từ chối giao tiếp” với các cơ quan chức năng trong “việc thực hiện và điều hành các hoạt động chặn bắt”. Điều này sẽ tương đương với việc cho phép hoạt động tội phạm theo một nghĩa pháp lý tương đối mới.
Không rõ liệu bên công tố Pháp có thành công trong việc chứng minh điều này hay không. Nếu họ làm được, điều này có thể góp phần tạo nên tiền lệ mới khi nói đến việc kiểm soát công nghệ bảo mật và các nền tảng Web3 khác (nhưng sẽ nói thêm về điều này sau). Và vẫn còn bí ẩn liệu quyết định hạ cánh tại Paris của Durov có phải là một phần của trò chơi địa chính trị và pháp lý sâu sắc hơn mà chúng ta vẫn chưa biết hay không.
Nhưng có một điều cần phải làm rõ với cộng đồng bảo mật: Telegram không phải là một ứng dụng truyền thông riêng tư. Hơn nữa, những thử thách và đau khổ hiện tại của Durov là hậu quả trực tiếp của việc không hoặc từ chối biến Telegram thành một nền tảng mà người dùng có quyền riêng tư thực sự theo mặc định. Nếu Telegram là như vậy, Durov có thể sẽ không bị giam giữ.
Quyền riêng tư không phải là sân chơi của Telegram
Là một ứng dụng nhắn tin và trò chuyện, Telegram có những điểm mạnh riêng: giao diện cực kỳ thân thiện với người dùng và các “kênh” mà mọi người có thể giao tiếp “tự do” trên toàn cầu và chia sẻ thông tin trực tiếp. Có thể nó giúp mọi người trên thực địa truyền đạt thông tin về một cuộc chiến liên tục bị tràn ngập thông tin sai lệch, hoặc có thể nó là một cỗ máy tuyên truyền ủng hộ chiến tranh, hoặc cả hai. Các công cụ về bản chất là mơ hồ, cuối cùng được định hình bởi cách chúng được sử dụng.
Nhưng mặc dù tuyên bố từ lâu là “ứng dụng nhắn tin an toàn”, Telegram không thực sự là ứng dụng nhắn tin riêng tư thực sự. Lý do đơn giản là ứng dụng này không sử dụng mã hóa đầu cuối (e2e) làm mặc định.
Nếu không được mã hóa e2e, ứng dụng đó không phải là riêng tư
Hầu hết các ứng dụng và dịch vụ web đều sử dụng một hình thức mã hóa nào đó, nhưng trừ khi kết nối giữa hai máy khách được mã hóa trực tiếp thì kết nối đó không thực sự riêng tư.
Mã hóa e2e đảm bảo rằng chỉ bạn và người nhận dự định của bạn có khóa để giải mã nội dung bạn nói, làm hoặc chia sẻ cùng nhau. Bất kỳ điều gì khác có khả năng cho phép bên thứ ba, như chính người vận hành ứng dụng, truy cập vào thông tin liên lạc của bạn hoặc chia sẻ chúng với người khác, bao gồm cả việc yêu cầu các cơ quan chức năng vì nhiều động cơ chính trị hoặc pháp lý.
Không nên quên rằng việc tuân thủ một số yêu cầu giám sát kỹ thuật số, trong trường hợp chế độ độc tài hoặc sự can thiệp quá mức của chính phủ, rất có thể dẫn đến vi phạm vô lý quyền công dân của cá nhân. Vì lý do này, mã hóa e2e nên được bảo vệ như là yêu cầu mặc định cho tất cả các giao tiếp an toàn và riêng tư.
Để bảo vệ mình, Telegram cung cấp chế độ mã hóa e2e, mà họ gọi một cách bí ẩn là “ trò chuyện bí mật ”. Tuy nhiên, đây không phải là tính năng mặc định của tất cả các giao tiếp thông qua nền tảng này. Nó phải được bật thủ công cho mỗi cuộc trò chuyện, nghĩa là tất cả các giao tiếp khác đều sử dụng một hình thức mã hóa độc lập và “bất thường” khó có thể phân tích về mặt bảo mật.
Một sự tương phản chính với Telegram là Signal, đảm bảo mã hóa e2e cho mọi giao tiếp trên nền tảng của họ. Thậm chí nhiều ứng dụng thương mại hơn như WhatsApp (sử dụng giao thức Signal) và Facebook Messenger cũng đã làm theo với mã hóa e2e, giúp thiết lập một tiêu chuẩn mới trong giao tiếp kỹ thuật số riêng tư.
Nhưng Telegram vẫn chưa có trong danh sách này và chúng ta nên tự hỏi tại sao lại như vậy trước khi tôn vinh Durov lên vị trí người bảo vệ truyền thông riêng tư.
e2e đã là chuẩn mực quản lý
Mật mã không phải là tội phạm. Ngược lại, mã hóa e2e hiện là nền tảng của truyền thông trực tuyến riêng tư.
Sử dụng mã hóa e2e mạnh hoàn toàn phù hợp với Quy định bảo vệ dữ liệu chung (GDPR), trong đó Pháp là thành viên tuân thủ. Ở châu Âu, GDPR đã bảo vệ đúng đắn tầm quan trọng về mặt xã hội của mã hóa như là “cách tốt nhất để bảo vệ dữ liệu trong quá trình truyền tải và là một cách để bảo vệ dữ liệu cá nhân được lưu trữ”. Chỉ thị NIS 2 cũng củng cố thêm nhu cầu về mã hóa e2e:
“Để bảo vệ an ninh cho các dịch vụ và mạng lưới truyền thông điện tử, việc sử dụng mã hóa, đặc biệt là mã hóa đầu cuối , cần được thúc đẩy và nếu cần thiết, phải bắt buộc đối với các nhà cung cấp.”
Ngoài việc đảm bảo các cuộc trò chuyện cá nhân của người dùng được an toàn khỏi sự can thiệp và giám sát từ bên ngoài, mã hóa e2e còn đảm bảo rằng các nhà phát triển ứng dụng không biết hoặc không truy cập vào nội dung giao tiếp của người dùng.
Mã hóa e2e do đó cung cấp tính trung lập cần thiết cho các nhà phát triển và vận hành ứng dụng. Đây là giải pháp đôi bên cùng có lợi cho công nghệ bảo mật và người dùng. Như vụ bắt giữ Durov chứng minh, việc biết và lưu giữ dữ liệu người dùng khiến công ty dễ bị truy tố đồng thời khiến tất cả người dùng trở nên ít riêng tư hơn.
Đây không phải là về việc bảo vệ các tỷ phú khỏi bị truy tố hình sự. Điều này làm là bình thường hóa các tương tác kỹ thuật số của chúng ta để khi những người bình thường nói chuyện với nhau qua ứng dụng nhắn tin, họ có thể làm như vậy khi biết rằng hàng trăm công ty, cơ quan và chính phủ không nghe lén họ.
Durov đang trong tầm ngắm?
Telegram không chỉ không tuân thủ tiêu chuẩn công nghiệp về mã hóa e2e: mà còn khiến chính Durov, với tư cách là người đứng đầu công ty, có thể bị truy tố. Điều này hiện đang diễn ra sau các vụ truy tố tương tự trong không gian Web3, với Tornado Cash và các công ty khác. Theo nghĩa thực tế, bất kỳ kiến thức nào về nội dung giao tiếp trên các nền tảng đều có nghĩa là có thể đồng lõa, bất kể có được biện minh hợp pháp hay không.
Mã hóa e2e cho công nghệ bảo mật là giải pháp dễ dàng và tuân thủ đầy đủ các quy định để bảo vệ dữ liệu. Cũng giống như công nghệ mixnet để bảo vệ siêu dữ liệu. Các công nghệ này cho phép giảm thiểu dữ liệu trong thực tế. Càng nhiều dữ liệu mà một công ty khăng khăng thu thập cho mục đích thương mại và chính trị, thì công ty đó càng dễ bị tổn thương và quyền riêng tư của người dùng càng tệ hơn.
Durov hiện là một ví dụ điển hình: có thể là người bảo vệ quyền tự do ngôn luận, nhưng không phải là nhà vô địch về quyền riêng tư kỹ thuật số. Hãy ngừng tìm kiếm những người tử vì đạo và hiệp sĩ trong bộ áo giáp sáng chói và đầu tư vào công nghệ không kiến thức và giảm thiểu dữ liệu, biến quyền riêng tư thành mặc định công nghệ, không phải là lời hứa hay chiêu trò truyền thông.
Siêu dữ liệu là mục tiêu thực sự
Mã hóa e2e mạnh mẽ nên là một điều bắt buộc đối với mọi giao tiếp trực tuyến, bảo vệ những người dễ bị tổn thương khỏi việc lập hồ sơ và nhắm mục tiêu. Telegram đã không bảo vệ được người dùng của mình, và thực sự là chính họ với tư cách là nhà cung cấp dịch vụ kỹ thuật số, về điểm cơ bản này. Nhưng như Nym đã nêu ở nơi khác, ngay cả mã hóa e2e cũng không đủ để bảo mật giao tiếp của người dùng ngày nay.
Siêu dữ liệu vẫn là mục tiêu chính của giám sát dữ liệu. Trong tay các hệ thống thu thập dữ liệu hàng loạt và phân tích AI, điều này có thể tiết lộ nhiều hơn về chúng ta so với nội dung của bất kỳ tập hợp tin nhắn nào. Và không giống như nội dung được mã hóa, có rất ít hoặc không có biện pháp bảo vệ và quy định pháp lý nào đối với siêu dữ liệu.
Ngay cả các ứng dụng liên lạc riêng tư như Signal hoặc WhatsApp cũng dễ bị theo dõi siêu dữ liệu.
Harry Halpin , CEO của Nym Technologies, lưu ý rằng: “ Vấn đề là tất cả các ứng dụng trò chuyện này đều làm rò rỉ siêu dữ liệu, thông tin về người đang nói chuyện với ai, ở cấp độ mạng, đây chính là vấn đề mà mạng hỗn hợp Nym đang cố gắng giải quyết”.
Tóm lại, dữ liệu và siêu dữ liệu không được bảo vệ = dễ bị tổn thương, đối với cả người dùng ứng dụng thông thường và nhà phát triển.
Nhưng Telegram có lẽ khiến hàng trăm triệu người dùng trên toàn thế giới rơi vào tình trạng bấp bênh hơn. Không giống như Signal không có doanh thu thương mại, Telegram kiếm được doanh thu đáng kể từ quảng cáo thương mại. Như chúng ta đã biết, việc thu thập, phân tích và chia sẻ siêu dữ liệu của khách hàng là phương tiện chính cho quảng cáo có mục tiêu. Mức độ mà Telegram thu thập, tập trung và sử dụng siêu dữ liệu của khách hàng nên là câu hỏi cần giải quyết.
Mục tiêu vào quyền riêng tư: Điều gì sắp xảy ra
Hãy chờ xem vụ án Durov diễn ra như thế nào. Rất có thể vụ án này sẽ tạo ra một tiền lệ nguy hiểm khi nói đến việc kiểm soát các công nghệ bảo mật thực sự dưới sự bảo trợ của việc chống tội phạm. Bản án năm 2024 tại Hà Lan đối với Alexey Pertsev, người đồng sáng lập Tornado Cash, công cụ ẩn danh tiền điện tử, là một trong những động lực của xu hướng này. Và hy vọng sẽ được ủng hộ.
Khi chiến lược pháp lý và tư pháp mới này phát triển liên quan đến công nghệ Web3, với tư cách là công dân của web, nên cảnh giác trong việc đặt câu hỏi và từ chối sự lựa chọn sai lầm này: quyền riêng tư hoặc thế giới tội phạm. Quyền riêng tư có thể và nên được bảo vệ chống lại sự ép buộc và gây hoang mang dưới danh nghĩa phát triển nhà nước giám sát.
Nhưng những tai ương của Telegram không thể chỉ gói gọn trong các điều khoản về quyền riêng tư, vốn rất thiếu sót. Mặt trận thực sự cho cuộc chiến bảo vệ quyền riêng tư nằm ở nơi khác.
Các ứng dụng truyền thông riêng tư như Signal và VPN, thậm chí cả Telegram, ngày càng bị chặn ở các quốc gia như Nga, Trung Quốc và Venezuela. Xây dựng công nghệ chống kiểm duyệt sẽ rất quan trọng để đảm bảo người dùng trên khắp thế giới có thể truy cập thông tin mà họ cần để chống lại các chế độ áp bức, hoặc chỉ để sống.
Vì vậy, thay vì để các nhà quản lý chống lại các nhà phát triển, trong khi tội phạm thực sự vẫn nhởn nhơ ngoài vòng pháp luật, mục tiêu trước hết là ngăn chặn lỗ hổng kỹ thuật số. Điều này đòi hỏi cả các nhà quản lý và CEO công nghệ phải thay đổi trọng tâm để bắt đầu ưu tiên quyền riêng tư và bảo mật theo thiết kế và theo mặc định.
Thật không may, Telegram đã chậm mất một ngày.
Miễn trừ trách nhiệm: Tất cả nội dung trên kênh đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Người đọc nên tự tiến hành nghiên cứu trước khi đưa ra các quyết định có ảnh hưởng đến bản thân hay doanh nghiệp của mình và sẵn sàng tự chịu trách nhiệm cho những lựa chọn ấy