VPN có thực sự bảo vệ quyền riêng tư không? Giám đốc an ninh mạng của IBM phân tích rủi ro về niềm tin đằng sau

Khi mạng riêng ảo (VPN) trở thành “công cụ bảo mật” được quảng bá rộng rãi trong thế giới mạng, các chiến dịch truyền thông liên quan xuất hiện khắp nơi từ website, ứng dụng đến quảng cáo YouTube, nhấn mạnh vào việc ẩn danh trực tuyến và bảo vệ dữ liệu cá nhân. Về vấn đề này, Giám đốc công nghệ an ninh IBM Jeff Crume trong video phân tích đã bắt đầu từ các tình huống truyền tải dữ liệu thực tế trên mạng, từng bước phân tích cách hoạt động kỹ thuật của VPN, mô hình tin cậy và hạn chế về quyền riêng tư, giải thích rằng VPN không phải là thuốc tiên, mà là một công cụ “tái phân phối niềm tin”.

Dữ liệu nhạy cảm đi ra mạng công cộng, Wi-Fi độc hại trở thành phương thức tấn công phổ biến

Crume chỉ ra rằng, khi người dùng truyền tải số thẻ tín dụng, thông tin CMND hoặc dữ liệu có giá trị thương mại qua mạng, những nội dung này thực chất được truyền qua “mạng công cộng”, giống như nói to ở nơi công cộng, có thể bị các đối tượng không xác định chặn lại.

Ông đặc biệt nhấn mạnh một trong những phương thức tấn công phổ biến, như ở quán cà phê hoặc khách sạn, kẻ tấn công có thể thiết lập điểm phát Wi-Fi giả mạo tên gần giống với Wi-Fi hợp pháp, dụ người dùng kết nối nhầm. Một khi kết nối thành công, dữ liệu thậm chí còn chưa vào mạng internet thực sự đã bị kẻ tấn công chặn và xem xét đầy đủ.

Nguyên lý cơ bản của VPN: xây dựng kênh mã hóa

Đối với các rủi ro nêu trên, Crume giải thích rằng, chức năng cốt lõi của VPN là thiết lập một kênh truyền tải mã hóa giữa thiết bị của người dùng và nhà cung cấp dịch vụ VPN.

Trong cấu trúc này, tất cả dữ liệu gửi ra ngoài sẽ được mã hóa trước, sau đó gửi đến nhà cung cấp VPN, rồi từ nhà cung cấp VPN giải mã, xác định điểm đến, mã hóa lại và chuyển tiếp đến trang web thực tế. Dữ liệu trả về cũng theo quy trình tương tự.

Do đó, các kẻ nghe trộm bên ngoài, tấn công Wi-Fi công cộng, thậm chí nhà cung cấp dịch vụ mạng (ISP) của người dùng, chỉ có thể thấy có kết nối giữa người dùng và nhà cung cấp VPN, không thể biết nội dung thực tế hoặc điểm đến cuối cùng.

Bản chất của VPN: không phải loại bỏ niềm tin, mà là chuyển giao niềm tin

Crume nhấn mạnh rằng, dù có sử dụng VPN hay không, “niềm tin” cũng không thể bị loại bỏ, chỉ có thể được chuyển giao. Ông phân biệt các đối tượng tin cậy trong các tình huống khác nhau như sau:

Không sử dụng VPN: người dùng phải tin tưởng ISP và tất cả các đối tượng không xác định có thể tiếp xúc với gói dữ liệu trong quá trình truyền tải.

VPN doanh nghiệp: nhân viên kết nối từ xa vào mạng nội bộ của công ty, thực chất là giao phó niềm tin cho nhà tuyển dụng, trọng tâm là an ninh doanh nghiệp, chứ không phải quyền riêng tư cá nhân.

VPN của bên thứ ba: người dùng chuyển giao tất cả niềm tin vốn phân tán trong mạng và ISP cho nhà cung cấp dịch vụ VPN.

Ông thẳng thắn nói rằng, tác dụng thực sự của VPN là biến “bạn phải tin tưởng rất nhiều người” thành “bạn phải hoàn toàn tin tưởng một người hoặc tổ chức duy nhất”.

Các rủi ro thực tế của VPN của bên thứ ba

Jeff Crume chỉ ra rằng, do nhà cung cấp VPN phải giải mã lưu lượng trong quá trình trung gian, nên có thể thấy được hướng kết nối của người dùng, địa chỉ IP, tần suất sử dụng, thậm chí nội dung dữ liệu thực tế. Điều này dẫn đến một số rủi ro không thể bỏ qua:

Mô hình khai thác dữ liệu của VPN miễn phí: nếu người dùng không trả phí, nhà cung cấp có thể kiếm lợi bằng cách thu thập và bán dữ liệu.

Rủi ro về an ninh mạng: ngay cả khi nhà cung cấp không có ý xấu, một khi bị tấn công, dữ liệu của người dùng vẫn có thể bị rò rỉ.

Yêu cầu pháp lý và luật pháp: ở một số quốc gia, nhà cung cấp VPN có thể bị yêu cầu cung cấp hồ sơ người dùng theo pháp luật.

Ông cảnh báo rằng, chìa khóa khi sử dụng VPN của bên thứ ba không nằm ở “có dùng hay không”, mà là “thật sự hiểu rõ mình đang tin tưởng ai”.

Tự xây dựng VPN cũng không thể hoàn toàn tránh khỏi vấn đề niềm tin

Đối với người dùng đặc biệt coi trọng quyền riêng tư, Crume cũng đề cập đến phương pháp “tự xây dựng VPN”, giúp kiểm soát toàn bộ hạ tầng. Tuy nhiên, ông cũng chỉ ra rằng, ngay cả như vậy, người dùng vẫn phải tin tưởng vào phần mềm VPN, dù là mã nguồn mở hay thương mại, đều liên quan đến niềm tin vào mã nguồn và cơ chế cập nhật, không phải không có rủi ro.

(Thông tin công nghệ: Đại sứ quán hòa bình hai bờ biển cho biết Trung Quốc thực ra không cấm vượt tường, chỉ cần dùng VPN là có thể xem mọi thứ)

Bài viết này VPN có thực sự bảo vệ quyền riêng tư? Giám đốc an ninh IBM phân tích các rủi ro về niềm tin phía sau đã xuất hiện trên 链新闻 ABMedia.