Trong thời đại mà mọi thông tin dữ liệu của người dùng được số hóa, trao đổi và truyền tải qua Internet, việc bảo mật dữ liệu người dùng Internet trong kỷ nguyên công nghệ 4.0 nói chung và hoạt động ngân hàng nói riêng là rất cần thiết.
Để đáp ứng được các yêu cầu của doanh nghiệp, tổ chức trong mọi lĩnh vực khi giao dịch trực tuyến trên mạng Internet, The Onion Router “Tor” đã phát hành một lớp bảo mật mới, những thay đổi mới bao gồm các thuật toán mã hóa, quá trình xác thực được cải thiện và một hệ thống thư mục được thiết kế lại. Tor thực hiện giao thức phân tuyến kiểu củ hành (onion routing) thế hệ thứ hai. Hệ thống này sử dụng một hệ thống Proxy ẩn danh, bao gồm hơn bảy nghìn hệ thống relay để che giấu vị trí và cách sử dụng của người dùng, tránh giám sát mạng hoặc phân tích lưu lượng truy cập. Quan trọng nhất là các tên miền onion mới sẽ giữ cho các địa chỉ onion ở chế độ hoàn toàn riêng tư trong thời gian lâu hơn.
Tor là công cụ hoàn hảo và phổ biến để duyệt và tải nội dung nặc danh, khi có hoặc không có mạng riêng ảo (Virtual Private Network - VPN). Nó hoạt động bằng cách tạo ra một mạng lưới mật mã đầy đủ của những người dùng chia sẻ băng thông và địa chỉ IP của họ với nhau và đảm bảo mạng lưới luôn được mã hóa toàn bộ.
Chức năng cơ bản của Tor là giấu dấu vết của người dùng khi ở trên mạng, cho phép duyệt web và tải xuống một cách ẩn danh
1. Khái niệm về trình duyệt Tor
Tor là một phần mềm di động không tích hợp vào Windows, có nghĩa là người sử dụng Tor có thể chạy trình duyệt từ bất cứ nơi nào trên máy tính, ngay cả từ USB. Để sử dụng trình duyệt Tor, người dùng tải trình duyệt Tor về máy hoặc USB và tiến hành cài đặt như các trình duyệt khác (Chrome, Coccoc,...). Người dùng nên thực hiện bước phòng ngừa xác minh danh tính, điều này bảo vệ người dùng tránh nhận được các phiên bản độc hại.
Chức năng cơ bản của Tor là giấu dấu vết của người dùng khi ở trên mạng, cho phép duyệt web và tải xuống một cách ẩn danh. Tuy nhiên, Tor không phải là một mạng riêng ảo hay một trình duyệt có tích hợp dịch vụ VPN. Mặc dù cả Tor và VPN đều cho phép duyệt Internet ẩn danh nhưng đây là những công nghệ hoàn toàn khác nhau.
Người dùng có thể sử dụng giao thức Tor để mã hóa và ẩn danh tất cả lưu lượng truy cập bằng cách cài đặt một máy khách Tor cục bộ hoặc chỉ duyệt web với trình duyệt Tor.
2. Cách thức hoạt động của trình duyệt Tor
Phương thức hoạt động của Tor cũng tương đối đơn giản. Thay vì người dùng sẽ truy cập đến trang web đích trực tiếp, Tor Browser sẽ đưa các yêu cầu kết nối của người dùng qua một mạng lưới máy tính. Tại đây, các máy tính sẽ chịu trách nhiệm trung gian để gửi yêu cầu và trả về kết quả cho người dùng. Từ cách làm như vậy, địa chỉ IP hay những thông tin của người dùng sẽ được giấu kín.
Trình duyệt Tor có thể thay thế cho Chrome, Firefox hoặc các trình duyệt mà người dùng đang sử dụng. Mọi hoạt động trên trình duyệt Tor đều được bảo mật và riêng tư. Tor nén dữ liệu của người dùng vào các gói thông tin được mã hóa trước khi nó được đưa lên mạng. Tor sẽ xóa một phần của gói có chứa các thông tin như nguồn, kích thước, đích đến và thời gian.
Tiếp theo, nó mã hóa phần còn lại của thông tin đi kèm trước khi gửi dữ liệu được mã hóa qua nhiều máy chủ khác nhau hoặc chuyển tiếp một cách ngẫu nhiên để nó không thể theo dõi được.
Mỗi gói sẽ được giải mã và sau đó được mã hóa lại sao cho chỉ còn những dữ liệu để biết được nó đến từ đâu và nó sẽ tiếp tục như thế nào, mà không thể theo dõi những thông tin khác. Nhiều lớp mã hóa Tor sử dụng để đảm bảo ẩn danh nhiều lớp giống như một củ hành, đó cũng chính là nguồn gốc tên gọi của trình duyệt này.
Ngoài ra, trình duyệt này cũng hạn chế những quảng cáo, pop-up hay phần mềm gián điệp nhằm đánh cắp thông tin của người dùng. Khi tắt trình duyệt, mọi thông tin như cache, cookie đều sẽ được xóa.
Ưu điểm của Tor
Trình duyệt Tor che giấu danh tính của bạn bằng cách di chuyển hoạt động trên mạng của bạn thông qua các máy chủ Tor khác nhau. Nó cho phép ẩn danh hoàn toàn và bảo mật khỏi những người muốn theo dõi hoạt động của bạn, như các chính phủ, tin tặc và các nhà quảng cáo.
Tor cũng là một cổng vào web không an toàn (Deep web) hoặc web đen (Dark web). Trên thực tế, Deep web bao gồm phần lớn Internet, Deep web chứa các trang web chưa đăng ký với các công cụ tìm kiếm. Trong khi nhiều trang web trong số đó vô tình không đăng ký thì một số trang lại cố ý không đăng ký vì họ không muốn dễ dàng được tìm thấy. Ví dụ: Silk Road, thị trường buôn bán ma túy trực tuyến đã bị đóng cửa, không thể truy cập được bằng các trình duyệt web thông thường.
Một ví dụ để mô tả Deep web là một tảng băng trôi: Những gì có thể tìm kiếm thông qua các công cụ tìm kiếm tiêu chuẩn chỉ là phần trên của tảng băng, trong khi phần còn lại của Internet hay Deep web là những gì nằm dưới bề mặt của tảng băng đó.
Nhưng Tor không chỉ dành cho các hoạt động bất hợp pháp trên mạng. Nó cũng rất phổ biến với các nhà báo, nhà hoạt động, các nhà hoạt động về quyền con người và những người tố cáo, đặc biệt là những người sống hoặc làm việc ở các quốc gia bị hạn chế về Internet. Tor không chỉ giấu các hoạt động trên Internet, mà còn giúp vượt qua sự kiểm duyệt.
Nhược điểm của Tor
Hạn chế lớn nhất của Tor là hiệu năng của nó. Bởi vì dữ liệu đi qua rất nhiều lớp, nên Tor xử lý chậm, đặc biệt là đối với các file âm thanh và video. Điều này có thể làm cho quá trình streaming (phát trực tuyến) hoặc tải về trở nên khó khăn và là một trong những lý do chính khiến cho việc sử dụng dịch vụ VPN hoặc một trình duyệt có tích hợp VPN có hiệu quả hơn cho hầu hết người dùng.
Thực tế, nhiều người tin rằng, Tor có thể bị tấn công khá dễ dàng vì các nút thoát (lớp cuối cùng trước khi thông tin đến đích) có thể thấy lưu lượng truy cập của người dùng nếu trang web truy cập không sử dụng SSL. Việc sử dụng HTTPS thay vì chỉ sử dụng HTTP có thể thêm một lớp bảo vệ bổ sung, nhưng nó vẫn không phải là giải pháp hiệu quả.
3. Sử dụng trình duyệt Tor cùng với VPN
Tor và VPN có thể được sử dụng kết hợp với nhau, mặc dù mối quan hệ giữa chúng có chút phức tạp. Người dùng có thể truy cập Tor thông qua VPN hoặc VPN thông qua Tor và có một sự khác biệt lớn giữa hai công cụ này.
Bài viết không đi sâu vào các vấn đề kỹ thuật, nhưng điều quan trọng là phải hiểu được ưu và khuyết điểm của từng công cụ trên. Ngoài ra, hãy lưu ý rằng, dù sử dụng thiết bị nào đi chăng nữa, nó vẫn sẽ làm giảm đáng kể hiệu suất của người dùng.
Cả Tor và VPN đều làm chậm tốc độ internet và sự kết hợp của cả hai công cụ này thậm chí còn làm cho vấn đề càng trở nên nghiêm trọng hơn.
Truy cập Tor thông qua VPN
Truy cập Tor thông qua VPN được thực hiện thông qua quy trình: máy tính của người dùng > VPN> Tor> Internet.
Lợi ích của việc này là nhà cung cấp dịch vụ mạng sẽ không biết rằng người dùng đang sử dụng trình duyệt Tor, mặc dù họ vẫn có thể biết rằng người dùng đang sử dụng VPN. Ngoài ra, nút mạng truy cập của trình duyệt Tor sẽ không thấy được địa chỉ IP của người dùng, đây là lớp bảo mật được thêm vào.
Nhược điểm của thiết lập này là VPN của người dùng sẽ biết địa chỉ IP thật và người dùng sẽ không được bảo vệ khỏi các nút mạng thoát độc hại của trình duyệt Tor.
Một số nhà cung cấp VPN (chẳng hạn như NordVPN, Privatoria và TorVPN) cung cấp cấu hình truy cập Tor thông qua VPN. Đây là điều tốt bởi không có nơi nào an toàn hơn việc sử dụng trình duyệt Tor, nơi mà mã hóa Tor được thực hiện từ đầu đến cuối.
Truy cập VPN thông qua Tor
Truy cập VPN thông qua Tor được thực hiện thông qua quy trình: máy tính > VPN> Tor> VPN> Internet.
Truy cập VPN thông qua Tor an toàn hơn một cách đáng kể và cho phép người dùng ẩn danh gần như hoàn toàn.
Điều đó cho thấy, nó đòi hỏi người sử dụng phải cấu hình VPN để làm việc với trình duyệt Tor và chỉ có hai dịch vụ cho phép bạn thực hiện nó đó là: AirVPN và BolehVPN.
Nếu không quan tâm đến hạn chế về nhà cung cấp dịch vụ VPN có thể sử dụng, thì việc truy cập VPN thông qua Tor sẽ là lựa chọn tốt hơn.
Thứ nhất, nhà cung cấp dịch vụ VPN không có cách nào biết được địa chỉ IP thực của người dùng, nhưng họ sẽ thấy được địa chỉ IP của nút mạng thoát của trình duyệt Tor. Có nghĩa là nhà cung cấp dịch vụ VPN thực sự không có cách nào xác định được người dùng, ngay cả khi họ có được lịch sử truy cập.
Thứ hai, bảo vệ khỏi các nút thoát độc hại của Tor, vì dữ liệu của người dùng đã được mã hóa bởi VPN. Điều này cũng có tác dụng bỏ qua việc chặn các nút mạng thoát của trình duyệt Tor (chẳng hạn như kiểm duyệt) mà thiết lập truy cập Tor thông qua VPN không thể làm được.
Tất cả những điều này cho thấy, nếu không muốn gặp rắc rối khi truy cập VPN thông qua Tor, thì luôn có thể truy cập Tor thông qua VPN bằng cách chạy trình duyệt Tor sau khi kết nối VPN đã được thiết lập.
4. Kết hợp trình duyệt Tor với Proxy
Khi trình duyệt đã được cài đặt, nó sẽ tạo một thư mục có tên là “Tor Browser” ở nơi người dùng đã chọn. Bên trong thư mục này, sẽ thấy tệp “Start Tor Browser”. Khi bấm vào tệp này, người dùng sẽ thấy một tùy chọn để kết nối trực tiếp với mạng Tor hoặc để cấu hình các thiết lập Proxy trước tiên. Nếu đang sử dụng phương pháp truy cập thông qua Tor sử dụng Proxy (hoặc nếu kết nối với mạng được theo dõi, kiểm duyệt hoặc giới hạn dưới bất kỳ hình thức nào), người dùng sẽ cần phải cấu hình thủ công bằng cách sử dụng tùy chọn thứ hai.
Trong mọi trường hợp, khi đang sử dụng trình duyệt Tor, hãy chắc chắn rằng đã kết nối bằng cách truy cập công cụ kiểm tra địa chỉ IP. Nếu đó không phải là IP thực sự, người dùng có thể tiếp tục truy cập.
5. Tăng cường mức độ bảo mật
Chỉ truy cập các trang web có HTTPS chứ không phải là HTTP. Mặc dù trình duyệt Tor mã hóa tất cả lưu lượng truy cập trong mạng Tor, nhưng nó không mã hóa lưu lượng truy cập bên ngoài mạng này, điều đó khiến người dùng dễ gặp rủi ro khi lưu lượng truy cập đến các nút mạng truy thoát, vì dữ liệu khi đó không còn được mã hóa nữa. Đó là lý do tại sao người dùng phải luôn sử dụng mã hóa toàn diện như SSL hoặc TLS, cũng như các trang web sử dụng HTTPS.
Không sử dụng lưu lượng truy cập P2P trên trình duyệt Tor. Tor không được xây dựng để chia sẻ file theo mô hình peer-to-peer và có thể thực sự bị chặn bởi nhiều nút thoát. Sử dụng lưu lượng P2P trên trình duyệt Tor ảnh hưởng đến khả năng ẩn danh trực tuyến của người dùng bởi các máy khách BitTorrent gửi địa chỉ IP của người dùng đến các trình theo dõi BitTorrent và những công cụ khác.
Luôn xóa các cookie - nên sử dụng một tiện ích mở rộng, chẳng hạn như Self-Destructing Cookies để tự động xóa cookie.
Không sử dụng e-mail thực sự - đây là một điều hiển nhiên nhưng cũng coi như một lời nhắc nhở. Việc sử dụng email thực sự khi sử dụng trình duyệt Tor cũng giống như việc “đi đến một nơi công cộng trong ngày hội hóa trang mặt nạ, nhưng lại đeo thẻ ghi tên trên trang phục”.
Không sử dụng Google - Google nổi tiếng trong việc thu thập thông tin về thói quen duyệt web và dữ liệu tìm kiếm của người dùng để giúp tăng doanh thu quảng cáo. Thay vào đó, người dùng có thể sử dụng các công cụ tìm kiếm như DuckDuckGo.
6. Đánh giá tổng quan về trình duyệt Tor
Sự riêng tư cá nhân đã trở nên ngày càng khó nắm bắt vì nhiều yếu tố như quy định của các tổ chức, doanh nghiệp hay nhà cung cấp ứng dụng, tin tặc và thậm chí cả Google đã đưa ra những công nghệ tiên tiến hơn để hack và theo dõi người dùng. Mặc dù vẫn có những thiếu sót và lỗ hổng nhưng trình duyệt Tor vẫn là một công cụ tuyệt vời đảm bảo sự an toàn từ phía người dùng để có thể ẩn danh tốt hơn trên mạng. Tuy nhiên, sự trợ giúp đó cũng chỉ dừng lại ở một mức độ nhất định.
Tor là một phần mềm mã nguồn mở, là công cụ giúp người ở những nơi bị ngăn chặn thông tin có thể vượt tường lửa để tiếp cận với những luồng thông tin tự do và khách quan hơn ở bên ngoài. Bản chất của Tor là tự động và liên tục thay đổi proxy để bảo mật dữ liệu.
Tor là phần mềm máy tính có chức năng xóa dấu vết, ẩn địa chỉ IP xuất xứ của máy truy cập Internet khi gửi hay nhận thông tin qua mạng Internet. Các thông tin trao đổi qua Tor được mã hóa và truyền qua nhiều máy chủ trung gian khác nhau. Nếu một máy trung gian Tor bị truy cập trộm, kẻ trộm cũng không thể đọc được các thông tin của người sử dụng do các thông tin đã được mã hóa. Ngoài công dụng trên, Tor là một trong ứng dụng có thể dùng trong Deep web. Tor đang trong giai đoạn được nhiều người tin dùng nhất khi lướt Deep web hay không công khai bất kỳ thông tin cá nhân nào của người dùng.
Tài liệu tham khảo:
1. https://www.ecpat.org/;
2. https://techroute.vn/;
3. https://kaspersky.proguide.vn/.
ThS. Trần Quốc Việt - Trường Đại học Tài nguyên và Môi trường Hà Nội
https://tapchinganhang.gov.vn
