Search

9.8.20

chuyện về bluezone

Phanblogs CHUYỆN VỀ BLUEZONE
1. Anh có thể cho biết cơ chế hoạt động của Bluezone để hỗ trợ người dùng cũng như các cơ quan nhà nước Việt Nam trong việc phòng chống dịch Covid-19?

Thưa chị, Bluezone là một ứng dụng điện thoại giúp phát hiện ai đã tiếp xúc với ai, thông qua sóng Bluetooth Low Energy. Bluezone giúp cơ quan nhà nước Việt Nam thực hiện truy vết tiếp xúc (contact tracing), để phát hiện nguồn lây nhiễm (F0) và những ai có nguy cơ phơi nhiễm (F1, F2, v.v.). Người sử dụng Bluezone sẽ biết được họ từng tiếp xúc với F0 hay F1 nào không.

Trên lý thuyết là như vậy, còn thực tế hiệu quả và độ chính xác như thế nào thì tôi không có đủ thông tin để đánh giá.

2. Sau cập nhật mới nhất, liệu Bluezone còn những lỗ hổng nào mất an toàn cho người dùng không? Quyền riêng tư của người dùng được đảm bảo tới đâu?

Trước khi trả lời câu hỏi này, tôi muốn kể một chút về “duyên nợ" của tôi với Bluezone. Khi Bluezone ra mắt vào khoảng tháng 4/2020, tôi có tìm hiểu cách thức hoạt động và phát hiện một số lỗi bảo mật ảnh hưởng đến sự an toàn và riêng tư của người dùng. Tôi gửi một báo cáo cho nhóm Bluezone và công bố trên blog cá nhân vì tôi nghĩ rằng nhiều người cần biết thông tin đó.

Ban đầu nhóm Bluezone và những người ủng hộ họ tìm nhiều cách để phản biện báo cáo của tôi, trong đó có cả tấn công cá nhân. Tôi học được rằng chỉ ra cái sai, cái ẩu của những lập trình viên quốc doanh là không yêu nước. Sau đó phần vì tôi bận việc, phần vì nói mãi mà họ không chịu sửa nên tôi cũng nản, tôi không còn theo dõi Bluezone nữa. Có vẻ như dự án cũng dừng lại.

Khi dịch bùng nổ trở lại ở Việt Nam, tôi đoán trước sau gì Chính phủ Việt Nam sẽ yêu cầu người dân cài Bluezone, vì Bluezone không chỉ là công nghệ mà còn là sự nghiệp chính trị của nhiều người. Tôi nghe nói người đứng đầu dự án Bluezone sắp lên chức Thứ trưởng Bộ TTTT, nhưng chắc không phải nhờ Bluezone đâu, vì tôi tin Chính phủ Việt Nam có tiêu chuẩn cán bộ rất cao.

Người không hiểu gì về chính trị như tôi -- thú thật với chị mấy nay tôi cũng hơi hoang mang, không biết ở tuổi tôi đi học cờ vua có muộn quá không? -- chỉ còn biết cách đóng góp bằng chuyên môn. Tôi lại mở Bluezone ra xem và như tôi viết trên blog cá nhân, bằng cách phân tích phiên bản Android mới nhất (2.0.4, phát hành ngày 4/8/2020), tôi thấy Bluezone đã sửa chữa những lỗ hổng quan trọng nhất mà tôi đã loan báo hồi tháng 4. Ngoài ra, nhờ nỗ lực thuyết phục của giáo sư Phan Dương Hiệu ở Pháp, Bluezone cũng đã khắc phục một nhược điểm quan trọng khác. Người ta nói phải ở Việt Nam mới đóng góp được cho đất nước, nên sắp tới có lẽ tôi phải tìm cách VPN ngược về Việt Nam rồi mới dám có ý kiến tiếp.

Cách làm hiện tại của Bluezone khá giống với cách làm của Singapore. Máy chủ sẽ thu thập hết lịch sử tiếp xúc (contact history) của F0, F1, F2. Tập trung tất cả dữ liệu ở một chỗ sẽ giúp việc truy vết dễ dàng và hiệu quả hơn, nhưng điều đó cũng có nghĩa là Bluezone, tức nhà nước Việt Nam, sẽ biết được ai đã gặp ai, trong bao lâu, vào lúc nào. Từ thông tin này có thể suy ra được ai quen ai, tức social graph của phần lớn quan chức và dân chúng. Đây là thông tin rất nhạy cảm, vì nó tiết lộ, chẳng hạn như, ai đang cặp bồ với ai. Giữa trưa mà thấy hai số điện thoại liên tục trao đổi “mã số" cả tiếng đồng hồ là có thể đoán được họ chỉ đang nằm ôm nhau cho đỡ rét thôi.

Bluezone sẽ có được social graph của cả nước và người nào nắm được social graph sẽ có nhiều cách kiếm quyền và tiền. Cả đế chế của Facebook được xây dựng dựa trên social graph. Đây là lý do nhiều nước không chọn cách làm này, vì e ngại tập trung quá nhiều thông tin vào một chỗ sẽ dễ dẫn đến lạm quyền. Google và Apple cũng đã xây dựng một công nghệ truy vết cài sẵn trên Android và iOS, nhưng công nghệ này cũng không tiết lộ social graph cho phía máy chủ.

Dẫu vậy tôi nghĩ giải pháp của Bluezone phù hợp với tình hình văn hóa, xã hội ở Việt Nam. Dân ai cũng muốn dịch qua cho nhanh để còn quay lại cuộc sống bình thường, có hi sinh một chút riêng tư và mất một chút thông tin cá nhân cũng ít ai phàn nàn. Người dân nói chung là tin tưởng Chính phủ, Chính phủ kêu cài Bluezone là cả chục triệu người cài liền. Vấn đề chỉ là Bluezone sẽ bảo vệ dữ liệu ra sao và làm sao để đảm bảo không bị lạm quyền. Hiện giờ Bluezone chưa có cung cấp thông tin gì về chuyện này. Chính phủ và Bluezone cũng cần phải cam kết sẽ xóa hết dữ liệu một khi dịch bệnh đã qua.

3. Thưa anh, tại sao cần có sự đảm bảo của CP và nhóm phát triển về việc chỉ sử dụng data vào mục đích chống dịch? Ai sẽ giám sát cam kết này?

Vì dân nghe lời kêu gọi của Chính phủ cài đặt Bluezone là để chống dịch và chỉ chống dịch mà thôi. Thỏa thuận giữa hai bên rất đơn giản: dân cung cấp dữ liệu cho Chính phủ để cùng Chính phủ đẩy lùi dịch bệnh. Nếu Chính phủ hay nhóm phát triển Bluezone sử dụng dữ liệu cho việc khác tức là đã đi ngược lại với thỏa thuận đó.

Thụy Sĩ cũng có một ứng dụng giống như Bluezone tên là SwissCovid. Mặc dù SwissCovid không lưu dữ liệu tập trung trên máy chủ, tức là an toàn hơn Bluezone, nhưng để tăng sức thuyết phục dân chúng, Chính phủ Thụy Sĩ đã ban hành một đạo luật ghi rõ cách thức hoạt động của SwissCovid và cam kết ứng dụng sẽ được vô hiệu hóa ngay khi không còn cần đến nữa. Tức là họ luật hóa thỏa thuận giữa hai phía và thực hiện giám sát bằng luật.

Việt Nam không có luật về Bluezone, nhưng Chính phủ có thể ban hành nghị định ghi rõ dữ liệu Bluezone chỉ dùng để chống dịch, sẽ được xóa trong bao nhiêu ngày kể từ khi Việt Nam tuyên bố hết dịch, rồi thuê hoặc chỉ định một cơ quan giám sát độc lập. Dân càng tin tưởng thì Chính phủ phải càng minh bạch, có vậy mới bền lâu được.
chuyện về bluezone
chuyện về bluezone


4. Liệu có khả năng tin tặc đột nhập vào hệ thống dữ liệu của Bluezone không? Nếu có thì có thể dẫn đến hậu quả nào?

Như đã nói ở trên, ai đột nhập vào hệ thống dữ liệu của Bluezone sẽ có được social graph của cả nước. Ngoài ra, họ còn có thể phá hoại bằng cách biến một người bất kỳ thành F0, F1 hay F2. Tức là họ có thể khiến nhiều người bị cách ly và khiến các cơ quan y tế phải tốn công sức kiểm tra những người không bị bệnh.

Hiện giờ có rất ít thông tin về cách Bluezone thiết kế và bảo vệ hệ thống dữ liệu, nên tôi không thể đánh giá chính xác được. Dựa vào chất lượng của những gì mà Bluezone đã công bố, tôi nghĩ Chính phủ Việt Nam phải hết sức thận trọng và nên thuê một bên thứ ba đánh giá độc lập cách làm của nhóm Bluezone.

5. Khi cài và sử dụng Bluezone, người dùng cần lưu ý điều gì?

Trước tiên, lịch sử tiếp xúc và social graph của mỗi người nhiều khả năng sẽ được máy chủ Bluezone thu thập và lưu trữ lâu dài. Nên điều chỉnh lịch ôm nhau cho phù hợp.

Bluezone có hỏi số điện thoại khi đăng ký. Kỳ thực không nhập số điện thoại không ảnh hưởng gì mấy đến hoạt động của ứng dụng, nhưng giúp người dùng phần nào trở nên ẩn danh trên hệ thống của Bluezone. Nếu là tôi, tôi sẽ không nhập số điện thoại cho đến khi nào được xác định là F0.

Cuối cùng, Bluezone kỳ thực không phải là khẩu trang. Khẩu trang có tác dụng phòng chống và hầu như không có tác dụng phụ. Bluezone không giúp chống lây nhiễm virus, mà chỉ giúp phát hiện có ở gần ai bị bệnh hay không. Mỗi người vẫn nên đeo khẩu trang và thực hiện giãn cách xã hội.

Xin chân thành cảm ơn Uncle Sundar đã tài trợ chương trình ăn cơm Mỹ mà tối ngày lo cho Việt Nam

Nguồn Mr Thái kỹ sư bảo mật và mã hóa tại Google: https://vnhacker.blogspot.com/2020/08/cap-nhat-ve-bluezone.html
Ps: Một số trang đã cắt xén thông tin, trích dẫn không đầy đủ về mặt kỹ thuật của mr Thái nhằm chống phá nỗ lực diệt covid của VN.








Không có nhận xét nào:

Đăng nhận xét

Vui lòng viết Tiếng Việt. Có dấu.
Nhận xét luôn luôn được kiểm tra trước khi xuất bản. :). Vì vậy bạn đừng cố SPAM
Cảm ơn bạn