• Editorial Board

Nghi vấn Unseen.is là một phần mềm bảo mật lừa đảo?

Đã cập nhật: 29 Th10 2020

[23/11/2017] Đông Lai

Unseen là một phần mềm được thiết kế bởi Chris Kitze (CEO), Vo Hoang Vinh (CTO) và Simon Thomas (giám đốc Marketing). Domain Unseen.is do Võ Hoàng Vinh làm chủ.


Domain Unseen (tên cũ là Unsene) và Seen.Life do Võ Hoàng Vinh làm chủ


Tham khảo thêm về vụ việc Võ Hoàng Vinh dụ dỗ học viên đầu tư tiền ảo (Link)


Trước đây một số trang diễn đàn như Khai nguyên (hiện giờ đã bị đóng cửa) tại Việt Nam (do chủ trang web Khaitam.org chuyên bán sách Chuyển Pháp Luân lậu là Nguyễn Anh Tú (Linh Trung) làm admin), trang Đại Kỷ Nguyên Việt Nam do Võ Vinh nắm domain và Vũ Trung làm admin và một số trang khác như Tinh hoa cũng đăng rầm rộ các bài quảng bá cho phần mềm Unseen với tính năng bảo mật và do “đồng tu” làm (nhưng không hề nói về tiểu sử lừa đảo của đồng tu đó như thế nào), server đặt bên Iceland v..v




Nếu ai có hiểu biết nhất định về tin học và mạng máy tính thì điều dễ hiểu là các phần mềm mã hóa kiểu này thường là rất ít khi công khai vì nếu công khai kiểu “tôi là chấp tất cả các hacker vào đây, kể cả FBI, CIA v..v” thì nói thẳng ra là đang làm trò lố Marketing mà thôi, mục tiêu của Unseen do Chris Kitze làm CEO ban đầu là để cạnh tranh với Facebook, và bản thân cái trang tin lá cải BeforeItsNews.com (BIN) đó của Chris thì cũng vốn đã từng đăng bài công kích việc kiểm duyệt của Facebook hòng lôi kéo người dùng chuyển sang sử dụng phần mềm Unseen.is và mạng xã hội Seen.is. Hiện nay Chris đã chuyển sang phát triển một mạng xã hội có tên mới là “Seen.life” và có vẻ như đã từ bỏ nguyên tắc chống kiểm duyệt từ ban đầu vì giao diện và điều khoản dịch vụ thì không khác mấy so với Facebook.


Nếu như một số học viên hay đọc các trang báo bằng tiếng Anh thì chắc không lạ gì trang RT.com của Nga vốn từng đăng bài miệt thị Pháp Luân Công và Đạt Lai Lạt Ma, trang này đăng rất nhiều bài thể hiện quan điểm ủng hộ đối với ĐCSTQ, điểm nhấn mạnh ở đây là bản thân Chris Kitze (vốn tự xưng cũng là học viên Pháp Luân Công) lại cung cấp nhiều phỏng vấn độc quyền cho tờ báo này.




Liệu có phải là điều mâu thuẫn hay không khi Chris Kitze là học viên Pháp Luân Công lại đi nhận phỏng vấn cho hãng tin phỉ báng Pháp Luân Công và quảng bá rằng mình bảo vệ quyền riêng tư cho khách hàng sử dụng phần mềm của mình? Hay mục đích cuối cùng của Chris là vì tiền và học viên Pháp Luân Công chỉ là vỏ bọc để che đậy?


Điều đáng nói, là Chris Kitze trước đây đã từng bị kiện bởi một số hành vi lừa tiền của khách hàng. Cụ thể là khi khách hàng mua một số sản phẩm của Intelius như trong thông tin quảng bá của Chris (mua thông tin về một ai đó) thì website yêu cầu họ phải điền thông tin về tài khoản , mã thẻ tín dụng của họ. Khách hàng không biết rằng khi họ thực hiện xong giao dịch thì họ ngầm bị “đính kèm” theo một khoản phí khoảng 19.95$/tháng (cứ tự trừ vào tài khoản tín dụng của người mua sản phẩm hàng tháng mà không thông báo trước cho họ) mà không hề có thông tin gì về khoản phí này từ trước trong quảng cáo.


Vụ việc này đã tạo nên một danh tiếng khá xấu đối với Chris nói chung và Intelius nói riêng, điều này vốn dĩ đã cho thấy bản chất Chris Kitze chỉ là một tên IT gian xảo và chuyên kiếm tiền bất chính. Khi lập ra phần mềm Seen/Unseen, Chris đã bị nhiều người trong giới công nghệ chất vấn về mối liên hệ giữa Intelius và 2 phần mềm mà Chris đang PR nhiệt tình về tính bảo mật Seen/Unseen.is (nhưng không dám công bố mã nguồn cũng như nói rõ về khả năng bảo mật của nó).


Chris Kitze chối bay chối biến về việc Unseen và Seen hoàn toàn tách biệt với cái công ty lừa đảo Intelius trước đó, ở Phương Đông có câu “Giang sơn dễ đổi, bản tính khó dời”, có lẽ hành vi kiếm tiền lừa đảo từ khách hàng trước đó mà nếu không có người đi kiện thì chắc Chris dám thừa nhận rằng Unseen và Seen có mối liên hệ với Intelius.


Lý lẽ mà Chris đưa ra là việc kiện tụng đối với Intelius đó có thể đúng hoặc sai và lập lờ rằng vụ việc đã được giải quyết (tức là đã bồi thường cho khách hàng).

Đó là nói về bản chất của Chris Kitze, người đứng đầu công ty Unseen và Intelius, bây giờ quay lại về phần mềm Unseen thì liệu nó có đúng với khả năng bảo mật mà một vài website trong nước, đặc biệt là Võ Vinh và Trung Vũ tung hô lên hay không, hay thử tìm hiểu:

1. Unseen sử dụng thuật toán mã hóa riêng chứ không dựa vào key


Theo một số tài liệu về mã hóa thì trước đây tính an toàn, bí mật của một thuật toán phụ thuộc vào phương thức làm việc của thuật toán đó. Nếu như tính an toàn của một thuật toán chỉ dựa vào sự bí mật của thuật toán đó thì thuật toán đó là một thuật toán hạn chế (Restricted Algrorithm). Restricted Algrorithm có tầm quan trọng trong lịch sử nhưng không còn phù hợp trong thời đại ngày nay. Giờ đây, nó không còn được mọi người sử dụng do mặt hạn chế của nó: mỗi khi một user rời khỏi một nhóm thì toàn bộ nhóm đó phải chuyển sang sử dụng thuật toán khác hoặc nếu người đó người trong nhóm đó tiết lộ thông tin về thuật toán hay có kẻ phát hiện ra tính bí mật của thuật toán thì coi như thuật toán đó đã bị phá vỡ, tất cả những user còn lại trong nhóm buộc phải thay đổi lại thuật toán dẫn đến mất thời gian và công sức (Nếu bạn nào từng xem về bộ phim Imitation Game do Benedict Cumberbatch đóng thì sẽ hiểu rằng thời chiến tranh thế giới thứ 2 các bên đều sử dụng một thuật toán riêng của mình để mã hóa dữ liệu khi truyền tin, nếu ai đó biết được cách thức sử dụng thuật toán đó thì toàn bộ thông tin bí mật sẽ bị lộ ra hết).


Hệ thống mã hóa hiện nay đã giải quyết vấn đề trên thông qua khóa (Key) là một yếu tố có liên quan nhưng tách rời ra khỏi thuật toán mã hóa. Do các thuật toán hầu như được công khai cho nên tính an toàn của mã hóa giờ đây phụ thuộc vào khoá. Khoá này có thể là bất kì một giá trị chữ hoặc số nào. Phạm vi không gian các giá trị có thể có của khoá được gọi là Keyspace . Hai quá trình mã hoá và giải mã đều dùng đến khoá. Hiện nay, người ta phân loại thuật toán dựa trên số lượng và đặc tính của khoá được sử dụng.

Nói đến mã hoá tức là nói đến việc che dấu thông tin bằng cách sử dụng thuật toán. Che dấu ở đây không phải là làm cho thông tin biến mất mà là cách thức chuyển từ dạng tỏ sang dạng mờ. Một thuật toán là một tập hợp của các câu lệnh mà theo đó chương trình sẽ biết phải làm thế nào để xáo trộn hay phục hồi lại dữ liệu. Chẳng hạn một thuật toán rất đơn giản mã hoá thông điệp cần gửi đi như sau:


Bước 1: Thay thế toàn bộ chữ cái “e” thành số “3”


Bước 2: Thay thế toàn bộ chữ cái “a” thành số “4”


Bước 3: Đảo ngược thông điệp


Trên đây là một ví dụ rất đơn giản mô phỏng cách làm việc của một thuật toán mã hoá. Sau đây là các thuật ngữ cơ bản nhất giúp chúng ta nắm được các khái niệm:

- Sender/Receiver: Người gửi/Người nhận dữ liệu

- Plaintext (Cleartext): Thông tin trước khi được mã hoá. Đây là dữ liệu ban đầu ở dạng rõ

- Ciphertext: Thông tin, dữ liệu đã được mã hoá ở dạng mờ

- Key: Thành phần quan trọng trong việc mã hoá và giải mã

- CryptoGraphic Algorithm: Là các thuật toán được sử dụng trong việc mã hoá hoặc giải mã thông tin

- CryptoSystem: Hệ thống mã hoá bao gồm thuật toán mã hoá, khoá, Plaintext, Ciphertext


Câu hỏi đặt ra là đã ai khi sử dụng phần mềm Unseen được cấp cho bộ khóa (key) để mã hóa thông điệp hay chưa? Không tính đến trường hợp thành viên phải trả phí vì dung lượng email mà Unseen cung cấp chỉ vỏn vẹn 2MB (quá ít), muốn nâng cấp lên thì phải tốn thêm tiền để được “bảo mật hơn”. Khi người dùng truy cập vào tài khoản của Unseen thì không những không thấy được cấp Key để mã hóa mà thậm chí nếu truy cập tại 2 nơi khác nhau thì tài khoản cũng không hề có một thông báo nào để nhắc nhở. Giả như nếu họ lấy được thông tin người dùng và họ cũng đăng nhập, vậy chăng trong lúc một người sử dụng tài khoản đó để trao đổi với ai đó thì chính kẻ lấy cắp được thông tin kia cũng biết và theo dõi được đúng không? Vậy thì bảo mật là bảo mật cái gì đây?


Hơn nữa, các file dữ liệu dưới dạng doc, xls, pdf mà được đính kèm vào các đoạn chat thì có phải đều bị lộ thông tin người dùng đúng không, giả như ai đó bảo bạn phải đăng ký thông tin để đi dự Pháp hội Đài Loan hay Mỹ và bảo bạn phải điền thông tin như hộ chiếu, tên tuổi, nơi sinh sống, số điện thoại vào thì có đúng là rất dễ bị lấy cắp đúng không? Vì người sử dụng đâu có được cấp khóa để mã hóa và đọc dữ liệu, cứ vô và chat như bình thường thì chỉ có thể suy ra là người cung cấp phần mềm này mã hóa dữ liệu và mở khóa dùm cho bạn, vậy thì nó có còn mang tính độc lập riêng tư của người dùng nữa hay không? Và với một người vốn đã từng lừa tiền khách hàng như Chris Kitze và lừa tiền học viên như Võ Hoàng Vinh thì bạn nghĩ có nên tin tưởng cái lời hứa hẹn về tính bảo mật vô tiền khoáng hậu của phần mềm Unseen này hay không?

2. Unseen.is sử dụng mã nguồn đóng


Hiểu một cách đơn giản, mã nguồn mở đóng vai trò quan trọng trong mã hóa dữ liệu bởi vì người sử dụng có thể tái chỉnh sửa và nâng cấp chúng. Nhiều chuyên gia trong ngành mã hóa dữ liệu đã nhận định rằng việc sử dụng mã nguồn mở trong bảo mật công khai là an toàn hơn nhiều so với sử dụng mã nguồn đóng. Nó đúng cho trường hợp với các thuật toán mã hóa, các giao thức bảo mật và mã nguồn bảo mật. Điều này thực tế vốn là đã được thừa nhận từ khoảng cuối thế kỷ 19 trong “các nguyên tắc của Kerchhoffs” được phát biểu như sau:


Một hệ thống mã hóa phải an toàn ngay cả khi tất cả thông tin về hệ thống đó đều đã được công bố ra ngoài. Bí mật duy nhất của hệ thống là một khóa ngắn.”

Thực tế cho thấy tất cả các công nghệ mã hóa “thiết kế sau những cánh cửa đóng” đều bị phá vỡ nhanh chóng ngay khi một ai đó “reverse engineer” và công bố thiết kế của chúng. RC4 (dùng để mã hóa mạng không dây), A5/1 (dùng để mã hóa mạng điện thoại GSM), CSS (dùng để mã hóa đĩa DVD), Crypto-1 (dùng để mã hóa các thẻ thanh toán điện tử)… tất cả đều bị phá vỡ trong một thời gian ngắn, kể từ lúc thuật toán bị “reverse engineer”.


Kỹ nghệ đảo ngược (hay công nghệ đảo ngược, kỹ thuật đảo ngược) (tiếng Anh: reverse engineering) là quá trình tìm ra các nguyên lý kỹ thuật của một phần mềm ứng dụng hay thiết bị cơ khí qua việc phân tích cấu trúc, chức năng và hoạt động của nó.”

Thành ra khi sử dụng mật mã, chúng ta sẽ tuyệt đối tuân thủ nguyên lý Kerckhoff này. Nói cách khác, chúng ta chỉ sử dụng những thuật toán, tiêu chuẩn, hệ thống mã hóa mở. May mắn là đã có sẵn rất nhiều thuật toán, tiêu chuẩn và hệ thống mã hóa mở, chúng ta chỉ việc chọn cái thích hợp mà dùng, không cần phải xây dựng lại từ đầu. Tuyệt đối không sử dụng những tiểu chuẩn, thuật toán, hệ thống đóng! Nói cách khác, tránh tình trạng "security through obscurity".


Mật mã là sân chơi của những ông già bảo thủ, những người luôn đặt ra những điều kiện khó nhất, và rồi cố gắng xây dựng một hệ thống an toàn trong những điều kiện đó. Điều thú vị là họ thành công!


Vậy mà Unseen.is lại sử dụng hệ thống mã nguồn đóng, nó hoàn toàn độc quyền, không rõ ràng, và không có sẵn để xem xét. Thực tế, bạn không biết mã là gì, cách mã hóa được thực hiện, hoặc liệu nó đang làm những gì. Bạn phải tin tưởng rằng nó thực sự là an toàn như Chris Kitze đã nói trong quảng bá rằng đây là sản phẩm đến CIA và FBI cũng không phá nổi???!!. Liệu bạn có đặt niềm tin vào một phần mềm đi ngược lại với xu hướng chung của thế giới trong ngành mã hóa dữ liệu vốn đã có quá nhiều trường hợp bị bẻ mã với mã nguồn đóng? Lại thêm với một vị CEO và CTO từng có tiền án lừa đảo tiền khách hàng và học viên?

3. Tài khoản miễn phí thì tự ngầm hiểu là “không được bảo mật”


Dựa trên phần trả lời hỏi đáp của Chris Kitze về tài khoản thường và tài khoản trả phí thì cụ thể như sau:

The free version provides a modest amount of free encrypted storage and allows sharing of files of up to 50MB. The premium version provides 2GB of encrypted storage, file sharing up to 40GB, group audio/video calling, and premium users can generate and store their own private key.”

Tức là phiên bản miễn phí được cung cấp dạng thức mã hóa miễn phí trong việc lưu trữ và cho phép chia sẻ file tối đa là 50MB. phiên bản nâng cao thì được cung cấp 2 GB mã hóa dữ liệu lưu trữ, chia sẻ file lên đến 40GB bao gồm cả giao tiếp nhóm, gọi thoại và video. Phiên bản nâng cao thì người sử dụng mới có thể được lưu trữ và tự quản lý bộ mã khóa bảo mật riêng.


Như vậy, đồng nghĩa với việc những ai đang sử dụng tài khoản miễn phí thì … hầu như không được mã hóa gì hết bởi khóa là được Unseen cấp nhưng không giao cho người dùng quản lý, đơn giản là nếu không được nắm chìa khóa bảo mật thì dữ liệu có thể bị đánh cắp bất cứ lúc nào, hễ chỉ cần tham gia vào cuộc chat nhóm là nguy cơ đều có thể xảy ra, bởi Unseen nắm chìa khóa nên họ có thể giải mã dữ liệu của bạn tùy thích, và sự bảo mật ở đây chỉ gói gọn bằng 2 chữ “niềm tin” – rõ ràng Unseen nắm và có thể giải mã được thông tin của khách hàng nhưng họ lại trả lời rằng những thông tin đó họ không giải mã nổi – trường hợp này nếu ai không nắm rõ lý thuyết về mã hóa bảo mật thì rất dễ bị họ lừa mà không biết, họ hoàn toàn có thể tự mã hóa và bán thông tin của bạn cho bên thứ 3 mà bạn không hề biết. Chỉ tài khoản nâng cao mới được nắm giữ và tự mình làm chủ khóa bí mật. Mà theo tôi được biết thì đa phần hiện này người dùng Unseen thì đều là tài khoản thường. Thực tế với lỗi dùng mã nguồn đóng thì dù có được cấp khóa bảo mật thì cũng không đảm bảo được tính tin cậy như họ đã quảng bá.


4. Né tránh hoặc trả lời lập lờ các câu hỏi của chuyên gia về tính bảo mật của họ

Ask: Isn’t a web service less secure?
Ans: Our services are developed to provide the highest level of security widely available on the web. We expect to continue improving and developing better solutions to protect your information. v..v.

Hỏi: Đây không phải là một dịch vụ Web kém bảo mật đúng không?
Trả lời: Dịch vụ của chúng tôi được phát triển nhằm cung cấp mức độ bảo mật cao nhất được sử dụng rộng rãi trên nên Web. Chúng tôi mong đợi tiếp tục nâng cao và phát triển các phương thức tốt hơn để bảo vệ thông tin của bạn.

Thay vì đưa ra câu trả lời thẳng thắn. Chris rõ ràng đánh trống lảng vấn đề sang việc nói cho khách hàng biết họ "an toàn" như thế nào, hơn là họ thông báo thành thật với khách hàng về cách mã hoá của trình duyệt có thể bị phá vỡ hay không.

IKE - Internet Key Exchange, là một cơ chế để một bên thứ ba (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp khóa public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Công việc của IKE là thiết lập bảo mật cho phép hai bên gửi dữ liệu một cách an toàn. IKEv1 đã được giới thiệu vào năm 1998 và sau đó được thay thế bởi IKEv2 vào khoảng năm 2005.


Những điểm khác nhau cơ bản của hai phiên bản này như sau:

IKEv2 không sử dụng băng thông nhiều bằng IKEv1.


IKEv2 hỗ trợ EAP, còn IKEv1 thì ngược lại.

IKEv2 hỗ trợ Mobike, còn IKEv1 thì không.

IKEv2 xây dựng NAT Traversal, còn IKEv1 thì không.

IKEv2 có thể phát hiện tunnel còn sống hay không, còn IKEv1 thì không.


Sau khi thấy rằng các máy tính lượng tử phá hủy các hệ mật RSA, DSA và ECDSA, người sử dụng Internet sẽ đi đến suy nghĩ rằng mật mã đã đến hồi cáo chung; sẽ không có hy vọng dùng phương pháp xáo trộn thông tin (kiểu đặt a=2, b=4 v..v để mã hóa rồi lại đặt 2=a, 4=b để giải mã khi nhận và trao đổi thông tin) để làm cho người khác không hiểu được và những kẻ tấn công không làm giả mạo được; việc lưu trữ và truyền đi thông tin một cách an toàn có nghĩa là sử dụng các “lá chắn” vật lý để ngăn chặn những kẻ tấn công khỏi thấy được thông tin- ví dụ, giấu các USB bên trong một va- ly được khóa và xích vào cổ tay một người mang tin tin cậy.

Tuy nhiên, trong tương lai gần sẽ thấy rằng, rất khó có bước phát triển đột ngột từ “các máy tính lượng tử phá hủy RSA, DSA và ECDSA” thành “các máy tính lượng tử tiêu hủy mật mã học”. Hiện tại vẫn còn nhiều lớp các hệ thống mật mã quan trọng vượt qua được các hạn chế của RSA, DSA và ECDSA, ví dụ như:

- Mật mã dựa trên hàm băm (Hash - based cryptography). Ví dụ, hệ chữ ký khóa công khai cây- băm của Merkle (1979), được xây dựng dựa trên ý tưởng chữ ký của Lamport và Diffie.