Chẳng có gì bí mật về việc các sản phẩm công nghệ tự ‘thần thánh hóa’ các tính năng để gây ấn tượng với người dùng. Nhưng còn những sản phẩm công nghệ tự ‘bình thường hóa’ các tính năng thì sao? Các dịch vụ VPN rất thường làm việc này vì nhiều dịch vụ tuyên bố rằng họ không lưu giữ nhật ký hoạt động hay có ‘Chính sách Không Lưu giữ Nhật ký’.
Nhưng đây hoàn toàn không phải là sự thật.
‘Không lưu giữ nhật ký’ là cụm từ có nhiều ý nghĩa nhất trong lĩnh vực an ninh mạng, vì ý nghĩa của nó lại tùy thuộc vào định nghĩa về lưu giữ nhật ký của mỗi công ty.
Dưới đây là một phân tích ngắn gọn về quá trình lưu giữ nhật ký.
Các Loại Nhật Ký Hoạt Động
Thực Sự Không Lưu Giữ Nhật Ký
Đúng như tên gọi, một dịch vụ có chính sách không lưu giữ nhật ký là dịch vụ bảo mật nhất mà bạn có thể sử dụng. Dịch vụ này không thu thập bất kỳ dữ liệu nào của bạn trong quá trình sử dụng, vì vậy, bạn sẽ thực sự được ẩn danh. Loại chính sách này là loại hiệu quả nhất vì dữ liệu của bạn hoàn toàn không có khả năng bị bán cho các công ty quảng cáo hay được sử dụng để chống lại bạn trong trường hợp điều tra tội phạm. Một VPN nổi tiếng về việc giữ vững chính sách này trước tòa là Private Internet Access. Công ty này đã nhiều lần từ chối cấp cho FBI quyền truy cập vào nhật ký hoạt động của người dùng vì họ thực sự không hề lưu lại nhật ký này.
Nhật Ký Phiên Làm Việc
Nhật ký phiên làm việc chính là thứ mà hầu hết các VPN nói đến khi họ tuyên bố rằng họ có ‘chính sách không lưu giữ nhật ký’. Nhật ký phiên làm việc là một loại nhật ký tương đối cơ bản dùng để lưu lại các siêu dữ liệu của bạn khi sử dụng VPN. Những siêu dữ liệu thường được thu thập bao gồm các thông số như thời gian sử dụng, lượng băng thông sử dụng và máy chủ VPN sử dụng.
Tuy những nhật ký này đúng là có ghi lại một số thông tin cơ bản nhưng trong phần lớn trường hợp thì chúng khá vô hại. Tuy nhiên, những người dùng hoàn toàn không muốn bị ghi lại dữ liệu vẫn nên tìm một dịch vụ thực sự không lưu giữ nhật ký.
Nhật Ký Hoạt Động
Nhật ký hoạt động rất đáng sợ vì nó có thể ghi lại một lượng dữ liệu rất lớn liên quan đến những việc bạn làm trên mạng khi sử dụng VPN. Nhật ký hoạt động có thể thu thập các thông số như những điều bạn tìm kiếm, những trang web bạn truy cập, những tập tin bạn truy cập/tải xuống và thậm chí là những món hàng bạn mua. Những nhật ký này thực sự rất đáng sợ vì dữ liệu trong đó có thể được công ty VPN bán cho các công ty quảng cáo bên thứ ba, hay được sử dụng để chống lại người dùng trong trường hợp điều tra tội phạm.
Nhật Ký Địa Chỉ IP
Nhật ký địa chỉ IP có hơi đỡ đáng sợ hơn so với nhật ký hoạt động, nhưng vẫn là một tính năng đáng cảnh giác. Nhật ký địa chỉ IP thu thập dữ liệu về vị trí thực của bạn thông qua địa chỉ IP và thường có cả thời gian bạn sử dụng VPN. Do đó, dịch vụ sẽ có được lịch sử địa chỉ IP và thời gian sử dụng của bạn, những thông tin này có thể là đã đủ để nhận dạng được bạn trong một số trường hợp điều tra.
Những Thỏa Thuận Về Dữ Liệu Và Các Chính Sách Ảnh Hưởng Đến Việc Lưu Giữ Nhật Ký
Các dịch vụ thường không lưu lại nhật ký hoạt động trừ khi họ bị ép buộc bởi một thực thể chính phủ có các chính sách tập trung vào việc theo dõi công dân. Thỏa thuận chính phủ đáng chú ý nhất về vấn đề này là Five, Nine và Fourteen Eyes, các liên minh theo dõi hoạt động của các công dân cư trú tại các quốc gia này. Nếu các cơ quan dữ liệu của một quốc gia không có thẩm quyền theo dõi công dân nước họ thì họ chỉ cần yêu cầu những chính phủ khác thay họ làm điều đó. Dưới đây là phân tích về những thỏa thuận này và các quốc gia thành viên trong thỏa thuận theo dõi/chia sẻ thông tin khổng lồ này.
Thỏa Thuận Five Eyes
Đáng chú ý nhất trong số những thỏa thuận của chính phủ về việc theo dõi công dân là Thỏa thuận Five Eyes giữa Mỹ, Anh, Úc, New Zealand và Canada về việc chia sẻ dữ liệu của công dân mỗi nước. Chính sách này bắt nguồn từ năm 1946 giữa Mỹ và Anh sau Chiến tranh Thế giới thứ II như một phương tiện để theo dõi hoạt động của Liên minh Xô Viết và các đồng minh. Thỏa thuận này hướng đến việc nghe trộm các tín hiệu từ quân đội Xô Viết nhưng qua thời gian đã phát triển thành khả năng theo dõi qua điện thoại, máy vi tính và máy fax của công dân trong nước. Với một mạng lưới thông tin quá rộng, Canada, Úc và New Zealand cũng đã nhanh chóng tham gia thỏa thuận.
Trong thời đại hiện nay, hệ thống theo dõi thông tin này được vận hành bởi một phần mềm gọi là ECHELON, cho phép chính phủ theo dõi cả hoạt động thương mại lẫn tư nhân và thu thập những lượng thông tin cá nhân cực lớn. Những thông tin này sau đó có thể được chia sẻ giữa tất cả các nước thành viên và được sử dụng để theo dõi những cá nhân khả nghi. Phần lớn dữ liệu hiện nay đến từ các cuộc điện thoại, hoạt động trực tuyến, fax và tất cả các thiết bị giao tiếp kỹ thuật số khác. Vì vậy, những người sống tại năm quốc gia thành viên này sẽ bị thu thập lượng dữ liệu rất lớn nếu bị phát hiện có hành vi đáng ngờ. Chính vì lý do này, chính phủ các nước thành viên có quyền yêu cầu các dịch vụ VPN phải cung cấp thông tin hoạt động của người dùng.
Thỏa Thuận Nine Eyes
Những quốc gia khác cũng nhanh chóng tham gia vào thỏa thuận chia sẻ dữ liệu Five Eyes vì nó đã trở thành một công cụ hữu ích về nhiều mặt cho các thành viên ban đầu. Do đó, bốn quốc gia khác đã gia nhập thỏa thuận này, bao gồm Hà Lan, Pháp, Na Uy và Đan Mạch. Tuy trên thực tế thì những thành viên mới đã tham gia thỏa thuận nhưng một số quốc gia như Hà Lan vẫn có luật bảo vệ dữ liệu của riêng họ. Một số chính sách bảo vệ dữ liệu ở Hà Lan bảo vệ rất nghiêm ngặt quyền riêng tư cá nhân, giới hạn những loại thông tin mà VPN có thể lưu giữ.
Thỏa Thuận Fourteen Eyes
Do hiệu quả của các thỏa thuận Five và Nine Eyes, nó đã được mở rộng tiếp tại năm quốc gia khác, bao gồm Tây Ban Nha, Đức, Bỉ, Ý và Thụy Điển. Những quốc gia này cũng trở thành đối tượng chia sẻ dữ liệu, cho phép nhóm các quốc gia này có thể theo dõi một cách hiệu quả công dân các quốc gia khác. Vì vậy, thỏa thuận Fourteen Eyes đã tạo thành một hệ thống gián điệp tối thượng, làm ảnh hưởng đáng kể đến giá trị của những VPN có trụ sở tại các quốc gia đó.
Những Vụ Việc Gần Đây Về Lưu Giữ Nhật Ký
Tuy rất nhiều công ty tuyên bố rằng họ có chính sách không lưu giữ nhật ký nhưng chỉ có rất ít trong số đó thực sự làm được điều này. Đây chính là điều đã xảy ra với PureVPN, một VPN có trụ sở tại Hồng Kông gần đây đã giao nộp dữ liệu của một người dùng cho FBI.
PureVPN đã được yêu cầu phải hỗ trợ FBI trong một vụ theo dõi, trong đó, một khách hàng của PureVPN được cho là đã sử dụng dịch vụ này để thực hiện các hành vi quấy rối và tội phạm công nghệ cao. Theo yêu cầu, PureVPN đã cung cấp thông tin về thời gian và vị trí đăng nhập cho FBI, cho biết nghi phạm đã đăng nhập vào dịch vụ này ở đâu và vào thời gian nào. Những nhật ký phiên làm việc này đã hỗ trợ FBI trong việc đàn áp nghi phạm, nhưng lại đặt sự chú ý lên PureVPN vì dịch vụ này tuyên bố rằng họ không hề lưu giữ nhật ký.
Sau khi điều tra kỹ hơn, người ta thấy rõ là chính sách quyền riêng tư của PureVPN có những tuyên bố mâu thuẫn, cho phép dịch vụ này lưu giữ nhật ký phiên làm việc của người dùng.
Tuy vụ việc của PureVPN là đáng chú ý nhất nhưng chắc chắn đây không phải là trường hợp duy nhất mà VPN giao nộp dữ liệu người dùng cho chính quyền. Trường hợp này và nhiều trường hợp khác nữa là minh chứng rõ ràng về việc các chính sách ‘không lưu giữ nhật ký’ khác nhau nhiều đến mức nào.
Cách Bảo Vệ Bản Thân
Đọc Những Dòng Chữ Nhỏ
Tuy nhiều công ty có thể tuyên bố rằng họ không hề lưu giữ nhật ký nhưng các điều khoản và điều kiện lại có thể nói điều hoàn toàn khác. Hãy đọc kỹ các điều khoản và điều kiện của mọi dịch vụ để đảm bảo rằng thông tin của bạn sẽ không bị thu thập cho mục đích nghiên cứu.
Tránh Các Quốc Gia Fourteen Eyes
Nhìn chung, các VPN đến từ những quốc gia thành viên liên minh Fourteen Eyes thường mang lại quyền riêng tư kém hơn do chính sách lưu giữ dữ liệu nghiêm ngặt. Tuy nhiên, trên thực tế, một số VPN tại những quốc gia này lại không tuân theo những quy tắc này và từ chối việc lưu giữ nhật ký của người dùng vì họ cho rằng quyền được riêng tư truy cập thông tin của người dùng quan trọng hơn các chính sách. Ngoài ra, một số quốc gia cũng có luật bảo vệ quyền riêng tư công dân rất nghiêm ngặt, khiến các VPN không biết họ có phải lưu giữ dữ liệu của người dùng hay không.
Sử Dụng VPN Với Tor
Sử dụng VPN với Tor (bộ định tuyến củ hành) có thể mang lại mức độ riêng tư cực cao nếu biết dùng đúng cách, giúp dữ liệu của bạn gần như không thể bị theo dõi ngay tại những quốc gia nghiêm ngặt nhất. Tuy nhiên, nếu sử dụng VPN với Tor không đúng cách thì hoạt động trực tuyến của bạn có thể bị theo dõi qua các trạm cuối của Tor, khiến bạn thậm chí còn kém an toàn hơn khi chưa sử dụng.
Kết Luận
Tóm lại thì mức độ riêng tư mà bạn muốn đạt được sẽ giúp xác định được dịch vụ VPN phù hợp với bạn. Hãy tìm hiểu kỹ trước khi đăng ký thuê bao VPN và đảm bảo rằng dịch vụ mà bạn sử dụng chính là dịch vụ phù hợp nhất với bạn.