Truy xuất siêu dữ liệu điện thoại: chiêu cao tay của NSA

• Chương trình gián điệp của NSA nhắm vào các mạng di động
• Google từng quan hệ thân thiết với NSA
• NSA sẽ tiếp tục 'nghe' điện thoại của người dân Mỹ
• Tòa án Mỹ: Chương trình do thám của NSA là bất hợp pháp
• NSA khẳng định chương trình nghe lén đáp ứng tiêu chuẩn riêng tư

Mặc dù luật pháp Mỹ đã có sự thay đổi nhưng về cơ bản thì Cơ quan An ninh Quốc gia Mỹ - NSA vẫn có thể yêu cầu được phép tham khảo siêu dữ liệu (metadata) từ hàng chục ngàn điện thoại cá nhân nếu chúng được kết nối gián tiếp với số điện thoại của nghi phạm khủng bố, theo một phân tích mới vừa được trang Spectrum.ieee.org trích dẫn.

Đây là một trong những nghiên cứu đầu tiên định lượng sự tác động của việc thay đổi chính sách nhằm thu hẹp quyền truy xuất vô hạn của NSA đối với hồ sơ điện thoại cá nhân vốn từng bị tiết lộ lần đầu tiên hồi năm 2013 bởi cựu nhà thầu cho chính cơ quan này là Edward Snowden .

Nhiều năm trước khi vụ Snowden được phơi bày, NSA luôn được quyền truy xuất hợp pháp siêu dữ liệu không chỉ từ điện thoại của các nghi phạm, mà còn từ danh bạ liên lạc của nghi phạm ấy; và từ đầu mối này thì NSA thậm chí có quyền truy xuất tiếp siêu dữ liệu của những số điện thoại xuất hiện trong danh bạ liên lạc của nghi phạm bị điều tra.

Siêu dữ liệu này bao gồm các thông tin về người mà nghi phạm đã gọi qua điện thoại, thời điểm và thời lượng của cuộc gọi.

Ảnh minh họa.

Giờ đây, Luật liên bang của Mỹ cho phép NSA phục hồi siêu dữ liệu từ điện thoại trong vòng "hai bước nhảy" của một nghi phạm, có nghĩa là tối đa có thể lấy siêu dữ liệu của ai đó từng gọi cho người mà đã gọi điện cho nghi phạm trong 18 tháng qua. Trước đó, Mỹ “thoáng” hơn khi cho phép phục hồi siêu dữ liệu đến "ba bước nhảy" trong vòng 5 năm.

Theo phân tích của nhóm các nhà nghiên cứu tại Phòng Thí nghiệm An ninh máy tính thuộc Đại học Stanford, với quy tắc 3-bước-nhảy trong 5 năm thì NSA có thể phục hồi hợp pháp siêu dữ liệu của khoảng 20 triệu điện thoại/1 nghi phạm và "phần lớn dân số của cả nước Mỹ" nếu phân tích tất cả nghi phạm mà cơ quan này đang theo dõi.

Bây giờ, quy tắc "2-bước-nhảy trong 18 tháng” có phần nghiêm ngặt hơn, nhưng vẫn cho phép NSA khôi phục siêu dữ liệu của khoảng 25.000 điện thoại chỉ với 1 lần yêu cầu.

"Tôi nghĩ rằng có thể có một cuộc tranh luận cấp quốc gia về đâu là mức độ hợp pháp cho những hoạt động như vậy," ông Patrick Mutchler, đồng tác giả của phân tích trên và là nghiên cứu sinh tiến sĩ ngành an ninh bảo mật máy tính tại Đại học Stanford nói, "Có sự bù trừ, khi việc bảo vệ tính riêng tư sẽ làm chính phù ngăn chặn các mối đe dọa khó khăn hơn, nhưng điều quan trọng là có dữ liệu chính xác ban hành các chính sách phù hợp với những gì chúng ta nghĩ là đúng".

Các nhà nghiên cứu đã giả định rằng NSA đã loại bỏ các số điện thoại "trung chuyển" mà nhận số cuộc gọi nhiều hơn rất nhiều so với các truy vấn của họ. Những con số này, chẳng hạn như đầu số dùng để gửi mã xác minh mật khẩu Google cho hàng triệu người dùng, không có nhiều giá trị đối với việc theo dõi khủng bố. Nếu NSA đã không loại bỏ các số trung chuyển trong danh sách yêu cầu, cơ quan này có thể đã truy cập vào hồ sơ điện thoại của đa số người Mỹ mà chỉ bắt đầu bằng số điện thoại của một nghi phạm duy nhất theo qui tắc "3 bước nhảy".

Những kết quả càng làm tăng mức quan tâm về chuyện cơ quan này có thể cùng một lúc truy xuất hồ sơ điện thoại của hàng triệu người Mỹ dựa trên một số điện thoại "hạt giống". NSA đã bắt đầu áp dụng qui tắc "3 bước nhảy" suốt 5 năm qua để thu thập các hồ sơ điện thoại dân sự, dựa theo Đạo luật Yêu nước mà Quốc hội Mỹ đã thông qua không lâu sau khi xảy ra sự kiện 9/11.

Khi cựu nhân viên CIA Snowden công khai tầm tiếp xúc của chương trình này vào 2013, các chính trị gia và những người ủng hộ riêng tư đã lên tiếng chỉ trích trên diện rộng.

Trước đây tổng thống Barack Obama đã đề xuất hạn chế quyền truy cập hồ sơ nghi phạm của NSA xuống còn 2 bước nhảy và Quốc hội Mỹ sau đó sửa đổi Đạo luật Yêu nước. Tuy nhiên, Mutchler nói rằng đến giờ vẫn chưa rõ ràng việc thay đổi chính sách này đạt được những gì, xét về lượng người có siêu dữ liệu bị truy xuất hợp pháp theo các quy định mới.

Nghiên cứu dựa trên cơ sở dữ liệu của các mạng xã hội

Trong phân tích của họ được đăng tại website thuộc Viện Hàn lâm khoa học quốc gia Mỹ Mutchler và đồng nghiệp thu thập thông tin nhật ký cuộc gọi và nhắn tin từ 823 tình nguyện viên thông qua một ứng dụng Android. Thời gian trung vị (median) thu thập dữ liệu là 59 ngày. Trong quá trình nghiên cứu, người tham gia đăng nhập tổng cộng 251.788 cuộc gọi và 1,2 triệu tin nhắn văn bản.

Các nhà nghiên cứu sử dụng các bản ghi thống kê này để tính toán bao nhiêu người có thể nằm trong "2 bước nhảy" của người gọi trung bình trong 18 tháng qua của NSA. Họ nhận thấy cơ quan này có khả năng truy cập siêu dữ liệu của 25.000 người dùng theo điều khoản mới. Con số đó thấp hơn rất nhiều so với khoảng 20 triệu người dùng mà siêu dữ liệu có thể bị cơ quan này truy xuất từ một số điện thoại duy nhất dựa trên quy định cũ.

Điều quan trọng cần lưu ý rằng các tình nguyện viên tham gia trong nghiên cứu này không mang tính đại diện; vì thế, các mạng xã hội của họ cũng có khả năng không phản ánh toàn bộ dân số chung. 90% tình nguyện viên là nam, và tuổi trung bình là 33 tuổi. Kể từ khi họ đăng ký cho cuộc nghiên cứu, họ hiểu biết nhiều hơn về công nghệ và có nhiều quan ngại về vấn đề bảo mật hơn so với hầu hết mọi người.

Ngoài việc ước tính số lượng hồ sơ điện thoại trong tầm với của NSA, nhóm cũng muốn xem xét liệu có có thể dễ dàng xác định chủ sở hữu của số điện thoại nặc danh. Khi đối mặt với vấn đề riêng tư, các cơ quan liên bang đôi khi cho rằng siêu dữ liệu họ thu thập không phải là "thông tin có thể dùng để xác định cá nhân."

Tìm kiếm bằng cách thủ công lẫn công cụ tự động trong các cơ sở dữ liệu công khai của Intelius, Yelp và Facebook, nhóm đã cho thấy có thể ghép chính xác đến 82 phần trăm chủ của số điện thoại nặc danh nằm trong tập hợp con các số thu thập từ các tình nguyện viên.

Cuối cùng, nhóm nghiên cứu sử dụng các siêu dữ liệu thu thập được để dự báo hành vi người dùng. Ví dụ, một người sử dụng thường xuyên nhắn tin và gọi một số cụ thể có thể có quan hệ với người kia. Hoặc nếu họ gọi cho 3 công ty gần Idaho Falls, Idaho trong 1 tháng, họ có thể sống ở khu vực Idaho Falls.

Nhóm nghiên cứu dùng thông tin Facebook được tình nguyện viên chia sẻ để bác bỏ hoặc xác nhận đúng sai những giả định này. Thông tin này cho thấy đôi khi có thể để dự đoán chính xác tình trạng quan hệ và vị trí của một người, chỉ dựa vào siêu dữ liệu điện thoại của họ.

Tuy nhiên, các nhà nghiên cứu đã không thể làm như vậy trong mọi trường hợp. Chẳng hạn, đối với một nhóm 241 người đã gọi ít nhất 10 cuộc vào số điện thoại các công ty (mà có thể xác định dễ dàng bằng các thông tin công cộng), Nhóm chỉ dự báo chính xác được hơn một nửa (57%) trong suốt quá trình nghiên cứu.