VPN và tính ẩn danh
Một trong những hiểu nhầm phổ biến về VPN là về tính ẩn danh. Jeremy Campbell, người sáng lập trang DNSleaktest.com nói rằng: Việc các dịch vụ VPN quảng cáo có khả năng giúp khách hàng ẩn danh là không tin cậy. Ông cho biết, việc sử dụng VPN công cộng để ẩn danh là một sai lầm và có thể gây ra rủi ro mất ATTT, dù nó có được cấu hình an toàn đến đâu đi chăng nữa. Bởi bản thân công nghệ này không được thiết kế để đảm bảo tính ẩn danh. Các dịch vụ VPN đòi hỏi người dùng tin vào nó, thuộc tính này không có ở những hệ thống ẩn danh. Ngoài ra, một số dịch vụ VPN lưu lại nhật ký để tuân thủ các quy định về lưu dữ liệu (retention) của các quốc gia. Rất nhiều hệ thống VPN ghi lại các thông tin về thời điểm người dùng kết nối, nơi thực hiện kết nối và thậm chí cả các kết nối mà họ thực hiện. Ngay cả những nhà cung cấp thường ghi lại nhật ký ít hơn cũng lưu lại dữ liệu về địa chỉ IP hay tên người dùng kết nối vào hệ thống, các thông tin định tuyến nội bộ để cân bằng tải hay tối ưu máy chủ. Những thông tin này có thể gây phá vỡ tính ẩn danh khi kết hợp với dữ liệu trên máy tính của người dùng hay nhật ký về kết nối của các máy chủ khác.
Một số tập log chỉ được lưu trong bộ nhớ máy chủ nhưng số khác lại được lưu ra đĩa để tuân thủ quy định của chính phủ các nước. Việc đọc kỹ điều khoản sử dụng dịch vụ có thể giúp người dùng xác định cách quản lý log, những thông tin nào được ghi lại và lưu giữ trong bao lâu, chúng có thể được sử dụng trong những trường hợp nào. Tuy nhiên, việc những điều khoản đó có được tuân thủ đầy đủ hay không thì rất khó xác định. Ví dụ, chính phủ Mỹ đã có thỏa thuận song phương với rất nhiều nước trên thế giới và họ có thể truy ra danh tính của mọi tội phạm, dù những người đó sử dụng VPN của các công ty bên ngoài nước Mỹ.
Do đó, các chuyên gia đều cho rằng, các mạng VPN chịu sự giám sát của các chính phủ. Dù không bác bỏ việc sử dụng VPN, các chuyên gia cho rằng, chỉ nên xem VPN là một công cụ hỗ trợ chứ không nên coi nó là một giải pháp bảo vệ tính riêng tư. Người dùng có thể sử dụng các công cụ như Tor Browser (thường gắn với một dịch vụ VPN có uy tín), vì chúng không chỉ có các tính năng ẩn danh mà còn được chỉnh sửa để gia tăng khả năng bảo vệ tính riêng tư trên web (qua các thiết lập về cookies, Flash và Java plugins). Tuy nhiên, cần lưu ý rằng, Tor và cả Tor Browser cũng không phải là giải pháp đảm bảo an toàn tuyệt đối.
VPN với việc chia sẻ dữ liệu bí mật
Một số nhà cung cấp VPN không cho phép chia sẻ ngang hàng (P2P) và thậm chí tiết lộ tên người dùng cho chủ sở hữu bản quyền khi cần thiết hoặc đưa ra các cảnh báo thay mặt các chủ sở hữu bản quyền và có thể huỷ tài khoản của những người dùng thường xuyên vi phạm. Do đó, người dùng muốn sử dụng VPN cho việc chia sẻ dữ liệu mật qua torrent và streaming cần tìm kiếm những nhà cung cấp không tiết lộ thông tin người dùng khi nhận được yêu cầu bảo vệ bản quyền DMCA (hoặc không lưu giữ nhật ký truy cập). Tuy nhiên, không có cách nào để người dùng có thể kiểm tra những điều khoản của nhà cung cấp VPN có được thực hiện đầy đủ hay không. Họ chỉ có thể đánh giá các nhà cung cấp dựa trên các thông tin của báo chí, phản hồi trên các diễn đàn,…. Ngoài ra, người dùng cũng cần lưu ý đến vấn đề kiểm soát của tư nhân, dưới dạng chặn VPN của các nền tảng khác nhau. Các dịch vụ video như Netflix, Hulu và BBC iPlayer đều dùng phần mềm thương mại của bên thứ ba để chặn truy cập từ các địa chỉ IP bị nghi ngờ sử dụng bởi các VPN ở những mức độ khác nhau.
VPN không ngăn được quảng cáo và theo dõi người dùng
Mặc dù VPN che giấu địa chỉ IP của người dùng nhưng chúng không hoàn toàn bảo vệ người dùng khỏi quảng cáo và những kẻ theo dõi giấu mặt. Theo Jeremy Campbell, các chuyên gia cảnh báo VPN đem lại sự bảo vệ không đáng kể chống lại các kiểu quảng cáo dựa trên việc theo dõi người dùng vì địa chỉ IP là một dấu hiệu nhận biết yếu. Các hệ thống quảng cáo sử dụng cookie của trình duyệt, các loại supercookie và các kỹ thuật nhận dạng trình duyệt mà VPN lại không che giấu được những thông tin này. Do đó, người dùng nên sử dụng công cụ chặn quảng cáo (như uBlock hay uBlock origin) và chặn theo dõi (như PrivacyBadger hay Disconnect) để tự bảo vệ mình. Ngoài ra, người dùng có thể vô hiệu hoá JavaScript hoặc dùng các công cụ như NoScript for Firefox hay Tor Browser để chống lại các kỹ thuật nhận dạng trình duyệt. Những người dùng có chuyên môn có thể dùng thêm máy ảo hay các trình duyệt được cô lập trong sandbox.
Dùng VPN để bảo vệ thông tin bí mật người dùng nên lựa chọn dịch vụ VPN nào?
Một danh sách các VPN có khoá preshared bị chia sẻ trên mạng bao gồm: GoldenFrog, GFwVPN, VPNReactor, UnblockVPN, IBVPN, Astril, PureVPN, PrivateInternetAccess, TorGuard, IPVanish, NordicVPN, and EarthVPN. Nếu tin tặc biết khoá preshared của mạng VPN người dùng và đồng thời là người kiểm soát điểm truy cập wifi thì có thể trở thành người đứng giữa và giải mã mọi thông tin mà người dùng truy cập. Bên cạnh đó, một số VPN dùng các giao thức PPTP lạc hậu, kém an toàn. Người dùng có thể lựa chọn một số giao thức tốt hơn như IPSec, L2TP/IPSec, IKEv2, và OpenVPN. Trong số đó, IPsec có thể được thiết lập mà không cần cài đặt thêm phần mềm, mặc dù có thể IPsec đã bị NSA hack hay làm yếu có chủ đích. Còn OpenVPN an toàn hơn nhưng lại khó thiết lập và cần cài thêm phần mềm thứ ba. Theo nghiên cứu gần đây của High-Tech Bridge cho thấy 90% các SSL VPN được thử nghiệm dùng cách mã hoá lạc hậu hoặc không an toàn. Trong đó tổng cộng có 77% số VPN dùng giao thức SSLv3 (hay thậm chí là SSLv2), 76% dùng chứng thực không đáng tin cậy và một số lớn dùng khoá có độ dài không đủ để ký số (chữ ký số với thuật toán SHA-1 đã bị cấm sử dụng). Và có tới 10% số VPN vẫn có thể bị lợi dụng khai thác lỗ hổng Heartbleed.
Mặt khác, điểm yếu ít được chú ý nhất chính là khả năng lộ lọt thông tin từ phần mềm VPN client. Ngay cả sau khi người dùng đã kết nối với VPN server thì một vài gói tin được gửi vẫn có thể nằm ngoài kênh VPN. Để khắc phục điều này, một số VPN có các thiết lập để chặn những trao đổi không an toàn, chẳng hạn như khi người dùng truy cập wifi lần đầu hay chuyển từ điểm truy cập wifi này sang điểm truy cập khác. Ngoài ra, một số nhà cung cấp VPN thì cho phép người dùng thiết lập các luật trên tường lửa để tăng tính an toàn. Tháng 6/2015, một nhóm các nhà nghiên cứu của đại học Sapienza (Rome) và đại học Queen Mary (London) đã kiểm tra 14 dịch vụ VPN thương mại phổ biến và phát hiện 10 dịch vụ để lộ thông tin về IP và 13 dịch vụ có thể bị tấn công IPv6 DNS hijacking. Hiện tại vẫn chưa rõ các nhà cung cấp VPN đó đã khắc phục các điểm yếu hay chưa và còn tồn tại điểm yếu nào khác không.
Tóm lại, hiện nay rất khó tìm kiếm một nhà cung cấp VPN đáng tin cậy. Những người dùng có chuyên môn có thể sử dụng phần mềm VPN Streisand (https://github.com/jlund/streisand) trên một nhà cung cấp hosting uy tín.
VPN không vượt qua được sự kiểm soát của các chính phủ
Trong một dự án nghiên cứu quốc tế, Ramon Lobato, chuyên gia nghiên cứu cao cấp tại Đại học Kỹ thuật Swinburne (Australia) và một nhóm các nhà nghiên cứu đã theo dõi và so sánh các xu hướng quốc tế trong việc sử dụng và quản lý VPN. Kết quả thu được rất đáng chú ý, nhất là cách quản lý VPN của chính phủ các nước. Các chính phủ có những cách tiếp cận khác nhau trong việc quản lý VPN. Các nước kiểm soát Internet chặt chẽ có một chiến lược chung là kết hợp quy định cấm với các biện pháp ngăn chặn ở tầng mạng. Ở Trung Quốc, rất nhiều website VPN đã bị dừng hoạt động với lý do phá hoại dịch vụ viễn thông hay cung cấp dịch vụ không đăng ký. Đồng thời những luồng trao đổi VPN bị ngăn cản bằng cách phân tích sâu các gói tin và chặn cổng. Các hệ thống cấm và chặn biện pháp này cũng xuất hiện ở nhiều nước Hồi giáo như Bahrain, Oman, Saudi Arabia và Pakistan. Gần đây, Nga cũng đang xem xét việc áp dụng cách làm này. Ở một số quốc gia khác, các biện pháp kiểm soát kỹ thuật được kết hợp với những phương thức phá hoại. Freedom House cho biết chính phủ Syri đã phát triển các công cụ mã hoá Skype giả và các ứng dụng VPN giả có chứa mã độc. Đáng chú ý hơn là một cách làm mới xuất hiện gần đây ở Iran khi chính phủ nước này đang tự mình tham gia thị trường VPN. Theo nhóm Small Media, chính quyền Iran đã thử nghiệm xây dựng những VPN “chính quy” từ năm 2013. Mạng riêng ảo này liên kết với chính phủ nhưng có thể cho phép mọi người truy cập Facebook hay YouTube một cách dễ dàng.
Một trong những hiểu nhầm phổ biến về VPN là về tính ẩn danh. Jeremy Campbell, người sáng lập trang DNSleaktest.com nói rằng: Việc các dịch vụ VPN quảng cáo có khả năng giúp khách hàng ẩn danh là không tin cậy. Ông cho biết, việc sử dụng VPN công cộng để ẩn danh là một sai lầm và có thể gây ra rủi ro mất ATTT, dù nó có được cấu hình an toàn đến đâu đi chăng nữa. Bởi bản thân công nghệ này không được thiết kế để đảm bảo tính ẩn danh. Các dịch vụ VPN đòi hỏi người dùng tin vào nó, thuộc tính này không có ở những hệ thống ẩn danh. Ngoài ra, một số dịch vụ VPN lưu lại nhật ký để tuân thủ các quy định về lưu dữ liệu (retention) của các quốc gia. Rất nhiều hệ thống VPN ghi lại các thông tin về thời điểm người dùng kết nối, nơi thực hiện kết nối và thậm chí cả các kết nối mà họ thực hiện. Ngay cả những nhà cung cấp thường ghi lại nhật ký ít hơn cũng lưu lại dữ liệu về địa chỉ IP hay tên người dùng kết nối vào hệ thống, các thông tin định tuyến nội bộ để cân bằng tải hay tối ưu máy chủ. Những thông tin này có thể gây phá vỡ tính ẩn danh khi kết hợp với dữ liệu trên máy tính của người dùng hay nhật ký về kết nối của các máy chủ khác.
Một số tập log chỉ được lưu trong bộ nhớ máy chủ nhưng số khác lại được lưu ra đĩa để tuân thủ quy định của chính phủ các nước. Việc đọc kỹ điều khoản sử dụng dịch vụ có thể giúp người dùng xác định cách quản lý log, những thông tin nào được ghi lại và lưu giữ trong bao lâu, chúng có thể được sử dụng trong những trường hợp nào. Tuy nhiên, việc những điều khoản đó có được tuân thủ đầy đủ hay không thì rất khó xác định. Ví dụ, chính phủ Mỹ đã có thỏa thuận song phương với rất nhiều nước trên thế giới và họ có thể truy ra danh tính của mọi tội phạm, dù những người đó sử dụng VPN của các công ty bên ngoài nước Mỹ.
Do đó, các chuyên gia đều cho rằng, các mạng VPN chịu sự giám sát của các chính phủ. Dù không bác bỏ việc sử dụng VPN, các chuyên gia cho rằng, chỉ nên xem VPN là một công cụ hỗ trợ chứ không nên coi nó là một giải pháp bảo vệ tính riêng tư. Người dùng có thể sử dụng các công cụ như Tor Browser (thường gắn với một dịch vụ VPN có uy tín), vì chúng không chỉ có các tính năng ẩn danh mà còn được chỉnh sửa để gia tăng khả năng bảo vệ tính riêng tư trên web (qua các thiết lập về cookies, Flash và Java plugins). Tuy nhiên, cần lưu ý rằng, Tor và cả Tor Browser cũng không phải là giải pháp đảm bảo an toàn tuyệt đối.
VPN với việc chia sẻ dữ liệu bí mật
Một số nhà cung cấp VPN không cho phép chia sẻ ngang hàng (P2P) và thậm chí tiết lộ tên người dùng cho chủ sở hữu bản quyền khi cần thiết hoặc đưa ra các cảnh báo thay mặt các chủ sở hữu bản quyền và có thể huỷ tài khoản của những người dùng thường xuyên vi phạm. Do đó, người dùng muốn sử dụng VPN cho việc chia sẻ dữ liệu mật qua torrent và streaming cần tìm kiếm những nhà cung cấp không tiết lộ thông tin người dùng khi nhận được yêu cầu bảo vệ bản quyền DMCA (hoặc không lưu giữ nhật ký truy cập). Tuy nhiên, không có cách nào để người dùng có thể kiểm tra những điều khoản của nhà cung cấp VPN có được thực hiện đầy đủ hay không. Họ chỉ có thể đánh giá các nhà cung cấp dựa trên các thông tin của báo chí, phản hồi trên các diễn đàn,…. Ngoài ra, người dùng cũng cần lưu ý đến vấn đề kiểm soát của tư nhân, dưới dạng chặn VPN của các nền tảng khác nhau. Các dịch vụ video như Netflix, Hulu và BBC iPlayer đều dùng phần mềm thương mại của bên thứ ba để chặn truy cập từ các địa chỉ IP bị nghi ngờ sử dụng bởi các VPN ở những mức độ khác nhau.
VPN không ngăn được quảng cáo và theo dõi người dùng
Mặc dù VPN che giấu địa chỉ IP của người dùng nhưng chúng không hoàn toàn bảo vệ người dùng khỏi quảng cáo và những kẻ theo dõi giấu mặt. Theo Jeremy Campbell, các chuyên gia cảnh báo VPN đem lại sự bảo vệ không đáng kể chống lại các kiểu quảng cáo dựa trên việc theo dõi người dùng vì địa chỉ IP là một dấu hiệu nhận biết yếu. Các hệ thống quảng cáo sử dụng cookie của trình duyệt, các loại supercookie và các kỹ thuật nhận dạng trình duyệt mà VPN lại không che giấu được những thông tin này. Do đó, người dùng nên sử dụng công cụ chặn quảng cáo (như uBlock hay uBlock origin) và chặn theo dõi (như PrivacyBadger hay Disconnect) để tự bảo vệ mình. Ngoài ra, người dùng có thể vô hiệu hoá JavaScript hoặc dùng các công cụ như NoScript for Firefox hay Tor Browser để chống lại các kỹ thuật nhận dạng trình duyệt. Những người dùng có chuyên môn có thể dùng thêm máy ảo hay các trình duyệt được cô lập trong sandbox.
Dùng VPN để bảo vệ thông tin bí mật người dùng nên lựa chọn dịch vụ VPN nào?
Một danh sách các VPN có khoá preshared bị chia sẻ trên mạng bao gồm: GoldenFrog, GFwVPN, VPNReactor, UnblockVPN, IBVPN, Astril, PureVPN, PrivateInternetAccess, TorGuard, IPVanish, NordicVPN, and EarthVPN. Nếu tin tặc biết khoá preshared của mạng VPN người dùng và đồng thời là người kiểm soát điểm truy cập wifi thì có thể trở thành người đứng giữa và giải mã mọi thông tin mà người dùng truy cập. Bên cạnh đó, một số VPN dùng các giao thức PPTP lạc hậu, kém an toàn. Người dùng có thể lựa chọn một số giao thức tốt hơn như IPSec, L2TP/IPSec, IKEv2, và OpenVPN. Trong số đó, IPsec có thể được thiết lập mà không cần cài đặt thêm phần mềm, mặc dù có thể IPsec đã bị NSA hack hay làm yếu có chủ đích. Còn OpenVPN an toàn hơn nhưng lại khó thiết lập và cần cài thêm phần mềm thứ ba. Theo nghiên cứu gần đây của High-Tech Bridge cho thấy 90% các SSL VPN được thử nghiệm dùng cách mã hoá lạc hậu hoặc không an toàn. Trong đó tổng cộng có 77% số VPN dùng giao thức SSLv3 (hay thậm chí là SSLv2), 76% dùng chứng thực không đáng tin cậy và một số lớn dùng khoá có độ dài không đủ để ký số (chữ ký số với thuật toán SHA-1 đã bị cấm sử dụng). Và có tới 10% số VPN vẫn có thể bị lợi dụng khai thác lỗ hổng Heartbleed.
Mặt khác, điểm yếu ít được chú ý nhất chính là khả năng lộ lọt thông tin từ phần mềm VPN client. Ngay cả sau khi người dùng đã kết nối với VPN server thì một vài gói tin được gửi vẫn có thể nằm ngoài kênh VPN. Để khắc phục điều này, một số VPN có các thiết lập để chặn những trao đổi không an toàn, chẳng hạn như khi người dùng truy cập wifi lần đầu hay chuyển từ điểm truy cập wifi này sang điểm truy cập khác. Ngoài ra, một số nhà cung cấp VPN thì cho phép người dùng thiết lập các luật trên tường lửa để tăng tính an toàn. Tháng 6/2015, một nhóm các nhà nghiên cứu của đại học Sapienza (Rome) và đại học Queen Mary (London) đã kiểm tra 14 dịch vụ VPN thương mại phổ biến và phát hiện 10 dịch vụ để lộ thông tin về IP và 13 dịch vụ có thể bị tấn công IPv6 DNS hijacking. Hiện tại vẫn chưa rõ các nhà cung cấp VPN đó đã khắc phục các điểm yếu hay chưa và còn tồn tại điểm yếu nào khác không.
Tóm lại, hiện nay rất khó tìm kiếm một nhà cung cấp VPN đáng tin cậy. Những người dùng có chuyên môn có thể sử dụng phần mềm VPN Streisand (https://github.com/jlund/streisand) trên một nhà cung cấp hosting uy tín.
VPN không vượt qua được sự kiểm soát của các chính phủ
Trong một dự án nghiên cứu quốc tế, Ramon Lobato, chuyên gia nghiên cứu cao cấp tại Đại học Kỹ thuật Swinburne (Australia) và một nhóm các nhà nghiên cứu đã theo dõi và so sánh các xu hướng quốc tế trong việc sử dụng và quản lý VPN. Kết quả thu được rất đáng chú ý, nhất là cách quản lý VPN của chính phủ các nước. Các chính phủ có những cách tiếp cận khác nhau trong việc quản lý VPN. Các nước kiểm soát Internet chặt chẽ có một chiến lược chung là kết hợp quy định cấm với các biện pháp ngăn chặn ở tầng mạng. Ở Trung Quốc, rất nhiều website VPN đã bị dừng hoạt động với lý do phá hoại dịch vụ viễn thông hay cung cấp dịch vụ không đăng ký. Đồng thời những luồng trao đổi VPN bị ngăn cản bằng cách phân tích sâu các gói tin và chặn cổng. Các hệ thống cấm và chặn biện pháp này cũng xuất hiện ở nhiều nước Hồi giáo như Bahrain, Oman, Saudi Arabia và Pakistan. Gần đây, Nga cũng đang xem xét việc áp dụng cách làm này. Ở một số quốc gia khác, các biện pháp kiểm soát kỹ thuật được kết hợp với những phương thức phá hoại. Freedom House cho biết chính phủ Syri đã phát triển các công cụ mã hoá Skype giả và các ứng dụng VPN giả có chứa mã độc. Đáng chú ý hơn là một cách làm mới xuất hiện gần đây ở Iran khi chính phủ nước này đang tự mình tham gia thị trường VPN. Theo nhóm Small Media, chính quyền Iran đã thử nghiệm xây dựng những VPN “chính quy” từ năm 2013. Mạng riêng ảo này liên kết với chính phủ nhưng có thể cho phép mọi người truy cập Facebook hay YouTube một cách dễ dàng.
