Trả lời phỏng vấn BBC Việt Ngữ về Bluezone

(Một phần phỏng vấn được BBC đăng ở đây)

1. Anh có thể cho biết cơ chế hoạt động của Bluezone để hỗ trợ người dùng cũng như các cơ quan nhà nước Việt Nam trong việc phòng chống dịch Covid-19?

Thưa chị, Bluezone là một ứng dụng điện thoại giúp phát hiện ai đã tiếp xúc với ai, thông qua sóng Bluetooth Low Energy. Bluezone giúp cơ quan nhà nước Việt Nam thực hiện truy vết tiếp xúc (contact tracing), để phát hiện nguồn lây nhiễm (F0) và những ai có nguy cơ phơi nhiễm (F1, F2, v.v.). Người sử dụng Bluezone sẽ biết được họ từng tiếp xúc với F0 hay F1 nào không.

Trên lý thuyết là như vậy, còn thực tế hiệu quả và độ chính xác như thế nào thì tôi không có đủ thông tin để đánh giá.

2. Sau cập nhật mới nhất, liệu Bluezone còn những lỗ hổng nào mất an toàn cho người dùng không? Quyền riêng tư của người dùng được đảm bảo tới đâu?

Trước khi trả lời câu hỏi này, tôi muốn kể một chút về “duyên nợ" của tôi với Bluezone. Khi Bluezone ra mắt vào khoảng tháng 4/2020, tôi có tìm hiểu cách thức hoạt động và phát hiện một số lỗi bảo mật ảnh hưởng đến sự an toàn và riêng tư của người dùng. Tôi gửi một báo cáo cho nhóm Bluezone và công bố trên blog cá nhân vì tôi nghĩ rằng nhiều người cần biết thông tin đó.

Ban đầu nhóm Bluezone và những người ủng hộ họ tìm nhiều cách để phản biện báo cáo của tôi, trong đó có cả tấn công cá nhân. Tôi học được rằng chỉ ra cái sai, cái ẩu của những lập trình viên quốc doanh là không yêu nước. Sau đó phần vì tôi bận việc, phần vì nói mãi mà họ không chịu sửa nên tôi cũng nản, tôi không còn theo dõi Bluezone nữa. Có vẻ như dự án cũng dừng lại.

Khi dịch bùng nổ trở lại ở Việt Nam, tôi đoán trước sau gì Chính phủ Việt Nam sẽ yêu cầu người dân cài Bluezone. Người không hiểu gì về chính trị như tôi -- thú thật với chị mấy nay tôi cũng hơi hoang mang, không biết ở tuổi tôi đi học cờ vua có muộn quá không? -- chỉ còn biết cách đóng góp bằng chuyên môn. Tôi lại mở Bluezone ra xem và như tôi viết trên blog cá nhân, bằng cách phân tích phiên bản Android mới nhất (2.0.4, phát hành ngày 4/8/2020), tôi thấy Bluezone đã sửa chữa những lỗ hổng quan trọng nhất mà tôi đã loan báo hồi tháng 4. Ngoài ra, nhờ nỗ lực thuyết phục của giáo sư Phan Dương Hiệu ở Pháp, Bluezone cũng đã khắc phục một nhược điểm quan trọng khác. Người ta nói phải ở Việt Nam mới đóng góp được cho đất nước, nên sắp tới có lẽ tôi phải tìm cách VPN ngược về Việt Nam rồi mới dám có ý kiến tiếp.

Cách làm hiện tại của Bluezone khá giống với cách làm của Singapore. Máy chủ sẽ thu thập hết lịch sử tiếp xúc (contact history) của F0, F1, F2. Tập trung tất cả dữ liệu ở một chỗ sẽ giúp việc truy vết dễ dàng và hiệu quả hơn, nhưng điều đó cũng có nghĩa là Bluezone, tức nhà nước Việt Nam, sẽ biết được ai đã gặp ai, trong bao lâu, vào lúc nào. Từ thông tin này có thể suy ra được ai quen ai, tức social graph của phần lớn quan chức và dân chúng. Đây là thông tin rất nhạy cảm, vì nó tiết lộ, chẳng hạn như, ai đang cặp bồ với ai. Giữa trưa mà thấy hai số điện thoại liên tục trao đổi “mã số" cả tiếng đồng hồ là có thể đoán được họ chỉ đang nằm ôm nhau cho đỡ rét thôi.

Bluezone sẽ có được social graph của cả nước và người nào nắm được social graph sẽ có nhiều cách kiếm quyền và tiền. Cả đế chế của Facebook được xây dựng dựa trên social graph. Đây là lý do nhiều nước không chọn cách làm này, vì e ngại tập trung quá nhiều thông tin vào một chỗ sẽ dễ dẫn đến lạm quyền. Google và Apple cũng đã xây dựng một công nghệ truy vết cài sẵn trên Android và iOS, nhưng công nghệ này cũng không tiết lộ social graph cho phía máy chủ.

Dẫu vậy tôi nghĩ giải pháp của Bluezone phù hợp với tình hình văn hóa, xã hội ở Việt Nam. Dân ai cũng muốn dịch qua cho nhanh để còn quay lại cuộc sống bình thường, có hi sinh một chút riêng tư và mất một chút thông tin cá nhân cũng ít ai phàn nàn. Người dân nói chung là tin tưởng Chính phủ, Chính phủ kêu cài Bluezone là cả chục triệu người cài liền. Vấn đề chỉ là Bluezone sẽ bảo vệ dữ liệu ra sao và làm sao để đảm bảo không bị lạm quyền. Hiện giờ Bluezone chưa có cung cấp thông tin gì về chuyện này. Chính phủ và Bluezone cũng cần phải cam kết sẽ xóa hết dữ liệu một khi dịch bệnh đã qua.

3. Thưa anh, tại sao cần có sự đảm bảo của CP và nhóm phát triển về việc chỉ sử dụng data vào mục đích chống dịch? Ai sẽ giám sát cam kết này?

Vì dân nghe lời kêu gọi của Chính phủ cài đặt Bluezone là để chống dịch và chỉ chống dịch mà thôi. Thỏa thuận giữa hai bên rất đơn giản: dân cung cấp dữ liệu cho Chính phủ để cùng Chính phủ đẩy lùi dịch bệnh. Nếu Chính phủ hay nhóm phát triển Bluezone sử dụng dữ liệu cho việc khác tức là đã đi ngược lại với thỏa thuận đó.

Thụy Sĩ cũng có một ứng dụng giống như Bluezone tên là SwissCovid. Mặc dù SwissCovid không lưu dữ liệu tập trung trên máy chủ, tức là an toàn hơn Bluezone, nhưng để tăng sức thuyết phục dân chúng, Chính phủ Thụy Sĩ đã ban hành một đạo luật ghi rõ cách thức hoạt động của SwissCovid và cam kết ứng dụng sẽ được vô hiệu hóa ngay khi không còn cần đến nữa. Tức là họ luật hóa thỏa thuận giữa hai phía và thực hiện giám sát bằng luật.

Việt Nam không có luật về Bluezone, nhưng Chính phủ có thể ban hành nghị định ghi rõ dữ liệu Bluezone chỉ dùng để chống dịch, sẽ được xóa trong bao nhiêu ngày kể từ khi Việt Nam tuyên bố hết dịch, rồi thuê hoặc chỉ định một cơ quan giám sát độc lập. Dân càng tin tưởng thì Chính phủ phải càng minh bạch, có vậy mới bền lâu được.

4. Liệu có khả năng tin tặc đột nhập vào hệ thống dữ liệu của Bluezone không? Nếu có thì có thể dẫn đến hậu quả nào?

Như đã nói ở trên, ai đột nhập vào hệ thống dữ liệu của Bluezone sẽ có được social graph của cả nước tất cả người dùng Bluezone. Ngoài ra, họ còn có thể phá hoại bằng cách biến một người bất kỳ thành F0, F1 hay F2. Tức là họ có thể khiến nhiều người bị cách ly và khiến các cơ quan y tế phải tốn công sức kiểm tra những người không bị bệnh.

Hiện giờ có rất ít thông tin về cách Bluezone thiết kế và bảo vệ hệ thống dữ liệu, nên tôi không thể đánh giá chính xác được. Dựa vào chất lượng của những gì mà Bluezone đã công bố, tôi nghĩ Chính phủ Việt Nam phải hết sức thận trọng và nên thuê một bên thứ ba đánh giá độc lập cách làm của nhóm Bluezone.

5. Khi cài và sử dụng Bluezone, người dùng cần lưu ý điều gì?

Trước tiên, lịch sử tiếp xúc và social graph của mỗi người nhiều khả năng sẽ được máy chủ Bluezone thu thập và lưu trữ lâu dài. Nên điều chỉnh lịch ôm nhau cho phù hợp.

Bluezone có hỏi số điện thoại khi đăng ký. Kỳ thực không nhập số điện thoại không ảnh hưởng gì mấy đến hoạt động của ứng dụng, nhưng giúp người dùng phần nào trở nên ẩn danh trên hệ thống của Bluezone. Nếu là tôi, tôi sẽ không nhập số điện thoại cho đến khi nào được xác định là F0.

Cuối cùng, Bluezone kỳ thực không phải là khẩu trang. Khẩu trang có tác dụng phòng chống và hầu như không có tác dụng phụ. Bluezone không giúp chống lây nhiễm virus, mà chỉ giúp phát hiện có ở gần ai bị bệnh hay không. Mỗi người vẫn nên đeo khẩu trang và thực hiện giãn cách xã hội.

Đính chính: Một phiên bản trước đây của bài này tôi viết rằng "Ai đột nhập vào hệ thống dữ liệu của Bluezone sẽ có được social graph (đồ thị tiếp xúc xã hội) của cả nước". Nói "cả nước" là chưa chính xác, vì Bluezone chỉ có dữ liệu của những ai đã cài Bluezone mà thôi. Vì đa số người dân đã và sẽ cài Bluezone, nên thật ra nói "cả nước" cũng là một xấp xỉ tốt. Xin chần thành cảm ơn anh Phan Dương Hiệu đã nhắc chỗ này.

Xin chân thành cảm ơn Uncle Sundar đã tài trợ chương trình ăn cơm Mỹ mà tối ngày lo cho Việt Nam.

Comments

Severus said…
phần graph cần chỉnh rõ là khi nào phát hiện F0 lúc đó mới cần contacts gửi lên server, có nghĩa là trong điều kiện bình thường sẽ không phải lo ngại việc chuyển dữ liệu lên server, chỉ trong trường hợp bắt buộc phải trace từ F0 mới cần đã gặp ai, cái này vì mục đích y tế cộng đồng nên không tính là vi phạm privacy.
Trường hợp biết ai đã gặp ai em cho rằng bên y tế không cần quan tâm họ làm gì, mà chỉ cần quan tâm họ có bị nhiễm hay không, một người trung bình sẽ gặp trên 10 người một ngày kể cả đồng nghiệp thì việc họ làm gì là privacy của họ, không có quyền hỏi về phía y tế như giả sử kẹt xe 1 tiếng cũng quét hết xung quanh vậy.
Thai Duong said…
>phần graph cần chỉnh rõ là khi nào phát hiện F0 lúc đó mới cần contacts gửi lên server, có nghĩa là trong điều kiện bình thường sẽ không phải lo ngại việc chuyển dữ liệu lên server, chỉ trong trường hợp bắt buộc phải trace từ F0 mới cần đã gặp ai, cái này vì mục đích y tế cộng đồng nên không tính là vi phạm privacy.

Theo lý thuyết là vậy, nhưng hiện giờ máy chủ có toàn quyền quyết định lấy dữ liệu bất kỳ lúc nào mà không cần có sự đồng ý của người dùng. Thành ra nói chỉ khi nào trở thành F0 thì mới đưa dữ liệu lên máy chủ không còn chính xác nữa. Dữ liệu có thể sẽ được đưa lên bất kể khi nào máy chủ muốn, kể cả đối với những người có phải là F hay không. Tôi sẽ cung cấp bằng chứng và cách để mọi người reproduce cái này.

Có thể máy chủ sẽ không bao giờ làm vậy, nhưng câu hỏi là làm sao chúng ta có thể kiểm tra được nếu họ không cam kết và không cung cấp thông tin cách họ làm trên máy chủ?
hhdtuan said…
Mình thấy về cơ sở pháp luật thì đã có Luật An toàn thông tin mạng năm 2015 có thể cover cho case này rồi chứ nhỉ?
Thai Duong said…
Severus: tôi cung cấp bằng chứng ở https://github.com/thaidn/bluezone.
Unknown said…
BBC VN là 1 bè lũ 3 que, thêm tác giả cũng là nhân viên của Google thì rặt 1 đàn 3 que, người dân VN khi đọc bài nên cẩn thận đừng nhẹ dạ cả tin vỉ đám 3 que luôn mưu đồ chống phá Đảng Cộng Sản VN bằng những thứ bịa đặt như chủ đề nhân quyền và riêng tư
tritgamer said…
Cái thằng ngu này, không biết là trình độ, sự nghiệp và địa vị của mày có bằng 1 cọng lông chân của anh Thái ko mà dám ý kiến ý cò gì. Gì mà ba que ba quiếc gì ở đây, lại còn chống Đảng nữa???Wtf mày? Một blog về IT lại có những thành phần vô học, dlv lương tháng 3 củ vào cắn nữa, cố gắng mà làm tốt việc dlv tháng lãnh lương 3 củ của mày nhé :)))
thaind said…
> không biết là trình độ, sự nghiệp và địa vị của mày có bằng 1 cọng lông chân của anh Thái
Xin lỗi nhưng chắc bạn cũng dạng cứt tây thơm hơn cứt ta đúng ko? Lên xiao lone sự nghiệp xong ko hề có 1 cái dẫn chứng gì (cái gì cũng ghi tôi là 1 phần trong team đã làm ra cái abcxyz thì ai chả nói được, đến cái github cá nhân còn chả được cái project nào ra hồn).
Muốn bình xét vấn đề gì thì phải tới từ 2 phía cháu ạ, đừng metay thế. À mà nếu cháu sống ở Canadumb hay Chinada thì chú cũng ko lấy làm ngạc nhiên.
Unknown said…
Em cũng học bách khoa, rất hâm mộ anh, nhưng cái cách anh nhìn nhận vấn đề em thấy hơi sai rồi, mong anh hãy tập trung vào chuyên môn đóng góp tốt cho công ty chủ quản của mình thay vì tìm cách bới móc công nghệ ở Việt Nam.

Đọc blog của anh, em biết anh không có thiện cảm gì với chính phủ Việt Nam và cái cách anh chỉ trích công nghệ thông qua BBC cũng chỉ là cái cớ cho anh bày tỏ quan điểm này. Vì thực tế dự án đó cũng không ảnh hưởng gì đến anh và thú thật em cũng cảm thấy anh không quan tâm gì đến người dùng thực sự ở Việt Nam mà chỉ quan tâm đến luận điểm của anh là chính.

Dự án này nằm dưới sự giám sát của chính phủ và được tư vấn bởi rất nhiều nhân tài khác trong nước, việc chính phủ có thông tin cá nhân của cả Việt Nam này cũng là chuyện bình thường không có gì sai cả.

Em chúc anh sẽ thành công hơn trong công việc và cuộc sống, thật đáng tiếc khi thấy quan điểm của anh lại như thế này.
Thai Duong said…
Unknown: wow, wait, I thought you were at KMA [1]? You gotta tell me how on earth you could manage to drop out of KMA in the north and get accepted to HMCUT in the south. In 4 months, during a fucking pandemic, no way!

[1] https://vnhacker.blogspot.com/2020/04/lo-hong-nghiem-trong-trong-phan-mem.html?showComment=1587890883832#c574328133767636396
Unknown said…
Mong anh đừng hiểu lầm, em chưa từng join hay comment bất cứ thứ gì trên blog của anh trước đây cả, tất nhiên em cũng không phải bạn tự xưng học bên KMA ấy.
Well, that's clever.

And I have to log in to comment to ask the same question: How to transfer to UT from KMA during the pandemic? If it's true.

Kudos to Mr. Thai and Mr. Unknown.

Cảm ơn anh Thái vì đã viết mấy bài vui và hay về bảo mật, CNTT, và Bluezone.