Khi Mạng riêng ảo (VPN) trở thành lượng lớn trong thế giới trực tuyến, các quảng cáo liên quan xuất hiện tràn lan trên các trang web, ứng dụng và YouTube, ca ngợi khả năng duyệt web nặc danh và bảo vệ dữ liệu cá nhân. Để đáp lại, Jeff Crume, người đứng đầu bộ phận công nghệ an ninh mạng của IBM, đã phân tích VPN trong một video, phân tích từng bước từ các kịch bản mạng thực tế để giải thích hoạt động kỹ thuật, mô hình tin cậy và những hạn chế về quyền riêng tư của chúng. Ông lập luận rằng VPN không phải là thuốc chữa bách bệnh, mà chỉ là một công cụ để "phân phối lại niềm tin".
Dữ liệu nhạy cảm bị lộ trên mạng internet công cộng; Wi-Fi độc hại trở thành phương pháp tấn công phổ biến.
Crume chỉ ra rằng khi người dùng truyền tải số thẻ tín dụng, thông tin nhận dạng hoặc dữ liệu có giá trị thương mại qua internet, nội dung này thực chất được truyền tải qua "internet công cộng", giống như nói to ở nơi công cộng, và có thể bị chặn bởi những cá nhân không xác định.
Ông ấy đặc biệt chỉ trong đó một phương pháp tấn công phổ biến: tại những nơi công cộng như quán cà phê hoặc nhà hàng, kẻ tấn công có thể thiết lập điểm nóng Wi-Fi với tên gần giống hệt các mạng Wi-Fi hợp pháp, dụ người dùng kết nối nhầm. Sau khi kết nối thành công, dữ liệu sẽ bị chặn hoàn toàn và bị kẻ tấn công xem được ngay cả trước khi nó được truyền tải vào mạng internet thực sự.
Nguyên tắc cơ bản của VPN: thiết lập một kênh crypto.
Để giải đáp những rủi ro đã nêu trên, Crume giải thích rằng chức năng cốt lõi của VPN là thiết lập một kênh truyền dẫn crypto giữa thiết bị của người dùng và nhà cung cấp dịch vụ VPN.
Theo kiến trúc này, tất cả dữ liệu gửi đi đều crypto trước khi gửi đến nhà cung cấp VPN. Sau đó, nhà cung cấp VPN sẽ giải mã dữ liệu, xác định đích đến, crypto lại và chuyển tiếp đến trang web thực tế. Dữ liệu phản hồi cũng tuân theo quy trình tương tự.
Do đó, những kẻ nghe lén bên ngoài, những kẻ tấn công mạng Wi-Fi công cộng, và thậm chí cả nhà cung cấp dịch vụ Internet (ISP) của người dùng chỉ có thể thấy rằng có kết nối giữa người dùng và nhà cung cấp VPN, nhưng không thể biết nội dung thực tế hoặc điểm đến cuối cùng.
Bản chất của VPN không phải là xóa bỏ lòng tin, mà là chuyển giao lòng tin.
Crume nhấn mạnh rằng bất kể có sử dụng VPN hay không, "niềm tin" không thể bị xóa bỏ, mà chỉ có thể được chuyển giao. Ông phân biệt các đối tượng của niềm tin trong các tình huống khác nhau như sau:
Nếu không sử dụng VPN : Người dùng phải tin tưởng vào nhà cung cấp dịch vụ Internet (ISP) của mình và tất cả các thực thể không xác định có thể tiếp xúc với các gói dữ liệu trong quá trình truyền tải mạng.
VPN doanh nghiệp : Nhân viên kết nối từ xa với mạng nội bộ của công ty, về cơ bản là giao phó niềm tin của họ cho nhà tuyển dụng, tập trung vào an ninh doanh nghiệp hơn là quyền riêng tư cá nhân.
VPN của bên thứ ba : Người dùng giao phó sự tin tưởng vốn ban đầu nằm rải rác trên toàn mạng và nhà cung cấp dịch vụ Internet (ISP) cho một nhà cung cấp dịch vụ VPN.
Ông thẳng thắn tuyên bố rằng chức năng thực sự của VPN là chuyển đổi từ "việc trước đây bạn phải tin tưởng nhiều người" thành "việc bây giờ bạn phải hoàn toàn tin tưởng một người hoặc tổ chức cụ thể".
Rủi ro thực sự khi sử dụng VPN của bên thứ ba là gì?
Jeff Crume chỉ ra rằng vì các nhà cung cấp VPN phải giải mã lưu lượng truy cập ở giữa, họ có thể thấy các kết nối của người dùng đi đến đâu, địa chỉ IP của họ, tần suất sử dụng và thậm chí cả nội dung dữ liệu thực tế. Điều này dẫn đến một số rủi ro đáng kể:
Mô hình kiếm tiền của VPN miễn phí : Nếu người dùng không trả phí, các nhà điều hành có thể thu lợi nhuận bằng cách thu thập và bán dữ liệu.
Rủi ro an ninh mạng : Ngay cả khi nhà cung cấp dịch vụ không có ý định xấu, dữ liệu người dùng vẫn có thể bị rò rỉ nếu trang web bị tấn công.
Yêu cầu pháp lý và tư pháp : Tại một số quốc gia, các nhà cung cấp VPN có thể bị pháp luật yêu cầu phải giao nộp hồ sơ người dùng.
Ông cảnh báo rằng chìa khóa để sử dụng VPN của bên thứ ba không phải là việc nó "có hoạt động" hay không, mà là liệu bạn "thực sự hiểu rõ người mà bạn tin tưởng" hay không.
Ngay cả khi tự thiết lập VPN cũng không thể loại bỏ hoàn toàn các vấn đề về lòng tin.
Đối với những người dùng rất coi trọng quyền riêng tư, Crume cũng đề cập đến việc "tự thiết lập VPN", điều này giúp người dùng tự quản lý toàn bộ cơ sở hạ tầng. Tuy nhiên, ông cũng chỉ ra rằng ngay cả như vậy, người dùng vẫn cần phải tin tưởng vào phần mềm VPN. Cho dù đó là giải pháp mã nguồn mở hay thương mại, việc tin tưởng vào mã nguồn và cơ chế cập nhật là điều cần thiết và không tránh khỏi rủi ro.
Bài viết này, "VPN có thực sự bảo vệ được quyền riêng tư? Giám đốc An ninh mạng của IBM phân tích rủi ro về độ tin cậy đằng sau nó," lần đầu tiên xuất hiện trên ABMedia, ABMedia .
