Security in a Box hoạt động như thế nào?
Mục lục
...Đang tải mục lục...Security in a Box hoạt động như thế nào?
Security in a Box là nguồn tài liệu miễn phí và sử dụng mã nguồn mở được lưu trữ trên Gitlab.com.
Security in a Box được cập nhật liên tục dựa trên ý kiến đóng góp của Nhóm Bảo mật Kỹ thuật số của Front Line Defenders cũng như ý kiến từ các chuyên gia bên ngoài. Tất cả các cập nhật và thay đổi đều được điều phối bởi Biên tập viên Bảo mật Kỹ thuật số của Front Line Defenders.
Tất cả nội dung trong Security in a Box đều được lựa chọn chính xác dựa trên các tiêu chí sau.
Chúng tôi phát triển các chiến lược bảo vệ như thế nào
Security in a Box là nguồn tài liệu bao gồm nhiều chiến lược bảo mật kỹ thuật số. Khi đọc nội dung trên trang web này, bạn sẽ tìm thấy các đề xuất về cách tạo và quản lý mật khẩu mạnh cũng như cách bảo vệ tài khoản, thông tin liên lạc, thiết bị, kết nối Internet và thông tin nhạy cảm của bạn.
Tất cả các chiến lược này chủ yếu tập trung vào việc bảo vệ tài sản kỹ thuật số nhưng chúng cũng được phát triển một cách toàn diện: ngay cả khi chúng tôi chỉ muốn giúp bạn bảo mật kỹ thuật số thì chúng tôi vẫn hiểu rằng việc bảo vệ luôn trải rộng trên các lĩnh vực khác nhau, bao gồm cả bối cảnh pháp lý và tâm lý xã hội cũng như nhu cầu ở cấp độ vật lý. Để biết thêm thông tin về ý nghĩa của phương pháp bảo vệ này, chúng tôi khuyên bạn nên đọc về phương pháp tiếp cận toàn diện trong Cẩm nang Bảo mật Toàn diện.
Mục đích chủ yếu của Security in a Box là nhằm giúp đỡ cộng đồng gồm những người bảo vệ nhân quyền trên toàn thế giới mà công việc của họ khiến họ gặp nguy hiểm. Nhìn chung, chúng tôi mục đích chính của nguồn tài liệu này là giúp đỡ không chỉ những người bảo vệ nhân quyền mà còn cả những người dùng khác có nguy cơ bị tấn công kỹ thuật số, chẳng hạn như các nhà hoạt động, nhà báo và các thành viên của các tổ chức xã hội dân sự, cũng như phụ nữ và những người thuộc cộng đồng LGBTQIA+ có nguy cơ bị tấn công kỹ thuật số và bạo lực mạng dựa trên giới tính.
Phần trọng tâm trong phương pháp tiếp cận của chúng tôi là cho phép người dùng đánh giá những rủi ro mà họ gặp phải và xác định nhu cầu của chính họ. Chúng tôi mong muốn những người bảo vệ nhân quyền, gia đình và cộng đồng của họ cũng như những độc giả khác của SiaB sẽ không gặp tổn hại gì. Chúng tôi cũng nhận thấy rằng việc lắng nghe bằng sự đồng cảm với những người bảo vệ nhân quyền và những người dùng khác có nguy cơ bị bạo lực kỹ thuật số cũng như hiểu rõ hoàn cảnh họ đang gặp phải là chìa khóa để cung cấp phương pháp hỗ trợ hiệu quả. Vì vậy, các chiến lược mô tả trong SiaB được phát triển với cách tiếp cận nhằm trao quyền cho độc giả và dựa trên nhu cầu cũng như mục tiêu thực tế của người dùng, phù hợp với Tầm nhìn, Sứ mệnh & Giá trị cốt lõi của Front Line Defenders.
Chúng tôi lựa chọn các công cụ và dịch vụ như thế nào
Phần mềm rất phức tạp và không phải tất cả phần mềm đều có tính bảo mật và riêng tư giống nhau. Hiệu quả của các công cụ và dịch vụ khác nhau phụ thuộc vào quốc gia bạn đang sinh sống, luật pháp của đất nước đó và những trở ngại bạn phải đối mặt.
Chúng tôi xem xét một số yếu tố khi chọn đề xuất các công cụ và dịch vụ trong Security in a Box và mỗi yếu tố đều quan trọng. Vì các khu vực khác nhau có các yêu cầu pháp lý khác nhau về mặt công nghệ và phải đối mặt với các mối đe dọa khác nhau nên rất khó để xếp hạng tầm quan trọng của từng yếu tố trên toàn thế giới.
Dưới đây là những câu được coi là quan trọng nhất mà chúng tôi tự hỏi khi xem xét nên đề xuất công cụ và dịch vụ nào. Bạn cũng có thể sử dụng các tiêu chí này khi bạn cần đánh giá mức độ an toàn tương đối của các công cụ mà chúng tôi không liệt kê trong Security in a Box.
Những người phát triển công cụ hoặc vận hành dịch vụ này có đáng tin cậy không?
- Lịch sử phát triển và quyền sở hữu công cụ hoặc dịch vụ này là gì? SiaB được tạo ra bởi các nhà hoạt động hay một công ty? Nhóm này có công khai danh tính không và nguồn gốc xuất thân của nhóm là gì?
- Sứ mệnh và mô hình kinh doanh của công ty phát triển hoặc điều hành công cụ hoặc dịch vụ này là gì?
- Khả năng bảo mật của những công cụ hoặc dịch vụ này có gặp trở ngại gì không? Ví dụ, dữ liệu có bị đánh cắp hay chính quyền có yêu cầu truy cập dữ liệu không? Bên cung cấp dịch vụ hoặc nhà phát triển công cụ đã phản ứng như thế nào trước những cuộc tấn công đó? Họ đã công khai giải quyết vấn đề hay cố gắng che đậy chúng?
Công cụ này có mã hóa dữ liệu không? Nếu có thì công cụ này sử dụng loại công nghệ mã hóa nào?
- Công cụ này có mã hoá đường truyền giữa người dùng và những người họ đang liên lạc (hay còn gọi là mã hoá đầu cuối) khiến cho nhà cung cấp dịch vụ mạng không thể truy cập vào dữ liệu của họ không?
- Khi không có mã hóa đầu cuối, chúng tôi ưu tiên các công cụ mã hóa dữ liệu giữa thiết bị của người dùng với cơ sở hạ tầng dịch vụ (được gọi là mã hóa tới máy chủ). Trong những trường hợp như vậy, chúng tôi luôn nhắc nhở độc giả rằng nếu dữ liệu của họ không được mã hóa ở máy chủ, thì họ phải sử dụng những dịch vụ đáng tin cậy bởi những người quản lý dịch vụ có khả năng truy cập miễn phí vào thông tin họ đã lưu trữ ở đó.
- Các cài đặt mặc định có bảo vệ quyền riêng tư và bảo mật của người dùng không?
- Nếu không sử dụng mã hóa đầu cuối, công nghệ này có cho phép người dùng lưu trữ dịch vụ trong cơ sở hạ tầng của riêng họ để họ có thể kiểm soát ai có thể truy cập dữ liệu của mình không?
Có thể kiểm tra mã nguồn không?
- Nói cách khác, công cụ này có phải là công cụ mã nguồn mở không?
- Công cụ hoặc dịch vụ này đã được kiểm định bởi các chuyên gia bảo mật độc lập với dự án phát triển phần mềm hoặc công ty cung cấp dịch vụ chưa?
- Lần kiểm định cuối cùng là lúc nào? Việc kiểm định có được tiến hành đều đặn không?
- Các cuộc kiểm định đã bao gồm toàn bộ công cụ và dịch vụ chưa, hay chỉ kiểm định một phần? Nếu đó là một dịch vụ, cơ sở hạ tầng máy chủ đã được kiểm định chưa hay chỉ kiểm định mỗi giao diện người dùng?
- Các chuyên gia độc lập nói gì về công cụ hay dịch vụ này?
Công nghệ này đã phát triển toàn diện chưa?
- Công nghệ này đã vận hành được bao lâu? Nó có hoạt động ổn định qua thời gian không?
- Công cụ này có nhiều nhà phát triển đang xây dựng nó không?
- Có bao nhiêu người thường xuyên sử dụng công cụ này?
Máy chủ được đặt ở đâu?
- Đây có lẽ là một câu hỏi khó trả lời bởi ngày càng có nhiều dịch vụ điện toán đám mây, nhưng các nhà phát triển và nhà cung cấp dịch vụ đáng tin cậy thường có xu hướng công khai thông tin này trên trang web của họ hoặc cung cấp thông tin đó thông qua các bên trung gian đáng tin cậy.
- Ngoài ra, việc đưa ra kết luận từ thông tin này có thể gây khó khăn cho chúng tôi vì các máy chủ có thể được đặt ở một quốc gia an toàn với những người bảo vệ nhân quyền và các thành viên thuộc tổ chức xã hội dân sự ở một số bang nhưng có thể không an toàn ở những bang khác.
- Nhìn chung, chúng tôi luôn tự hỏi liệu các máy chủ có được đặt ở một quốc gia mà nhà cung cấp phải tuân thủ yêu cầu vô pháp của chính quyền và liệu quốc gia đó có thực thi nhân quyền và bảo vệ người tiêu dùng hay không. Tóm lại, câu hỏi đặt ra là: liệu chính quyền ở các quốc gia phi dân chủ có quyền hợp pháp để thu thập dữ liệu hoặc truy cập thông tin hoặc dập tắt các dịch vụ này khi máy chủ được đặt ở đây không?
Công cụ này yêu cầu người dùng cung cấp những thông tin cá nhân nào? Chủ sở hữu hoặc bên vận hành có những quyền truy cập nào?
- Công cụ hoặc dịch vụ có yêu cầu người dùng cung cấp số điện thoại, email, biệt danh hoặc thông tin nhận dạng cá nhân khác của họ không?
- Những công cụ hay dịch vụ này có yêu cầu cài đặt ứng dụng/chương trình chuyên dụng có thể theo dõi người dùng không?
- Chính sách bảo mật của họ gồm những điều khoản nào? Họ có bảo vệ quyền riêng tư của người dùng và tuân thủ luật về quyền riêng tư như Quy định Bảo vệ Dữ liệu chung của EU không?
- Máy chủ lưu trữ những gì? Các điều khoản và điều kiện của công ty có cho phép chủ sở hữu truy cập thông tin của người dùng không? Và vì mục đích gì?
- Ứng dụng/chương trình này sẽ có quyền truy cập vào những gì trên thiết bị: danh bạ, vị trí, micro, máy ảnh, v.v.? Những quyền truy cập này có thể bị vô hiệu hóa không hay ứng dụng/chương trình sẽ ngừng hoạt động trong trường hợp như vậy?
Chi phí sử dụng công cụ/dịch vụ là bao nhiêu? Nó có hợp lý không?
- Khi xem xét một dịch vụ hoặc công cụ, chúng tôi cũng quan tâm đến chi phí của nó. Công cụ hoặc dịch vụ này có giá cả phải chăng không? Mô hình kinh doanh của nhà phát triển hoặc nhà cung cấp là gì?
- Ngoài khoản thanh toán trước, chúng tôi cũng xem xét chi phí lưu trữ, cước phí hằng tháng/năm, chi phí đào tạo để sử dụng và quản lý công cụ hoặc dịch vụ, chi phí khi cần hỗ trợ kỹ thuật và/hoặc thiết bị bổ sung, v.v.
- Nếu công cụ hoặc dịch vụ được cung cấp miễn phí, chúng ta nên tự hỏi vì sao. Ai sẽ trả tiền cho dự án nếu công cụ/dịch vụ không tính phí người dùng? Nó miễn phí vì nó dựa trên công tác tình nguyện hay vì nó được chính phủ hoặc công ty khác tài trợ, hay nó thực sự kiếm tiền bằng cách bán dữ liệu của người dùng cho bên thứ ba?
Công cụ/dịch vụ này có dùng được trên nhiều hệ điều hành và thiết bị không?
- Công cụ hoặc dịch vụ có thể được sử dụng trên cả máy tính và thiết bị di động không? Nó chỉ khả dụng trên các hệ điều hành có bản quyền như macOS và iOS hay trên cả Linux? Nếu nó không khả dụng trên tất cả các hệ điều hành, liệu có giải pháp thay thế đáng tin cậy nào cho các thiết bị khác mà công cụ/dịch vụ này không thể sử dụng được không?
Nó có thân thiện với người dùng không? Nó có ích với những người có thể gặp nguy hiểm không?
- Dịch vụ này có dễ sử dụng an toàn không, hay rất phức tạp? Nhà phát triển/cung cấp có cải thiện công cụ để nó dễ sử dụng hơn không?
- Những nhà hoạt động nhân quyền và những người có thể gặp nguy hiểm sẽ tiếp tục sử dụng công cụ hoặc dịch vụ này hay họ có xu hướng từ bỏ nó?
- Giao diện người dùng có trực quan không? Hoặc nhà phát triển có phát hành tài liệu giải thích rõ ràng cách sử dụng công cụ hoặc dịch vụ không?
Công cụ/dịch vụ này có được dịch sang các ngôn ngữ khác nhau không?
- Công cụ hay dịch vụ này đã được dịch sang bao nhiêu ngôn ngữ?
- Các phiên bản địa phương hoá có liên tục được cập nhật không?
- Chất lượng ngôn ngữ của công cụ/dịch vụ như thế nào?
- Công cụ/dịch vụ này có cung cấp tài liệu bằng nhiều ngôn ngữ khác nhau để người dùng hiểu cách sử dụng nó an toàn không?