8 phần mềm VPN bạn nên tránh xa, đừng cài đặt

Chúng tôi luôn khuyến khích người dùng internet sử dụng VPN. Có rất nhiều lý do để sử dụng VPN, trong đó bao gồm cả việc bảo vệ quyền riêng tư của bạn.

Tuy nhiên, không phải phần mềm VPN nào bạn cũng có thể yên tâm sử dụng. Thực tế, một số phần mềm tệ đến mức bạn tắt nó đi còn tốt hơn là hướng lưu lượng mạng vào máy chủ của những phần mềm đó. Trong bài viết này, chúng tôi sẽ cho bạn biết một số điểm cần lưu ý khi lựa chọn dịch vụ VPN và một số dịch vụ cần tránh sử dụng nếu không muốn "biếu không" quyền riêng tư của mình.

Những đặc điểm nào khiến một dịch vụ VPN trở nên không đáng tin

1. Xuất xứ

Không bao giờ sử dụng phần mềm VPN kết nối đến máy chủ đặt tại một trong năm nước thuộc "Five Eyes" (gồm Mỹ, Anh, Úc, New Zealand, Canada); các nước thuộc "Nine Eyes" (gồm 5 nước trên, thêm Pháp, Na Uy, Đan Mạch, Hà Lan) và tránh cả các nước "Fourteen Eyes" ( gồm 9 nước trên, thêm Bỉ, Ý, Đức, Tây Ban Nha, Thụy Điển).

Chính phủ của những nước trên theo dõi chính công dân của họ và cả công dân của những nước còn lại. Chính phủ các nước này còn trao đổi thông tin thu được với nhau, hay nói cách khác là các nước này cho phép và khuyến khích các hoạt động theo dõi người dân trên mạng theo cách nào đó. Những nước này có thể gây áp lực lên các công ty VPN đặt máy chủ tại quốc gia của họ và tiến hành theo dõi những máy chủ này.

2. Lưu trữ nhật ký hoạt động

Khi kết nối với VPN, tất cả lưu lượng internet của bạn sẽ di chuyển qua máy chủ của dịch vụ VPN. Một số phần mềm sẽ lưu nhật ký hoạt động. Dữ liệu này có thể là địa chỉ IP và ngày giờ truy cập của bạn. Một số còn lưu lại cả những thói quen duyệt web của người dùng, các website đã truy cập, ứng dụng đã sử dụng… Nhật ký hoạt động không tốt cho người dùng vì chúng cho phép truy ngược lại người dùng.

Ngay cả những dịch vụ VPN cam kết "không lưu nhật ký" cũng không thể hoàn toàn tin tưởng được. Họ có thể không lưu lại "nhật ký hoạt động" nhưng có thể sẽ lưu lại những dữ liệu khác. Vậy làm thế nào để biết một dịch vụ VPN là đáng tin cậy? Bạn cần phải đọc kỹ Điều khoản dịch vụ của phần mềm.

3. Điều khoản dịch vụ

Điều khoản dịch vụ của phần mềm VPN thường sẽ liệt kê chính xác những thứ một khách hàng cần: loại hoạt động nào bị cấm, những thông tin nào sẽ được theo dõi, những thông tin nào không… Khi có vấn đề không rõ, bạn nên liên lạc trực tiếp đến bộ phận khách hàng của dịch vụ đó và hỏi rõ chính sách lưu nhật ký của họ như thế nào.

Một số vấn đề bạn cần lưu ý gồm:

- Họ có lưu bất cứ dữ liệu nào liên quan đến kết nối của khách hàng hay không, bao gồm IP, thời gian kết nối; nếu có thì có khả năng những dữ liệu đó sẽ được dùng để truy ngược ra bạn.

- Nếu dịch vụ VPN không có điều khoản khóa tài khoản người dùng, kể cả những tài khoản lạm dụng hệ thống, thì có nghĩa là dịch vụ đó có khả năng thật sự không lưu nhật ký người dùng.

- Nếu dịch vụ VPN có điều khoản cho phép khóa tài khoản người dùng dù không lưu thông tin truy cập mà vẫn có thể xác định một người dùng cụ thể, thì bạn nên tìm hiểu cách thức hoạt động một cách cụ thể. Thường thì bạn sẽ không thể nào nhận được một câu trả lời rõ ràng, điều đó cũng có nghĩa là dịch vụ đó sẽ lưu lại dữ liệu người dùng theo cách nào đó.

4. Thiếu giao thức kết nối OpenVPN

VPN có thể hoạt động bằng nhiều "loại" kết nối khác nhau. L2TP và PPTP là hai loại phổ biến nhất. Tuy nhiên chúng lại có những lỗ hổng lớn khiến quyền riêng tư người dùng có thể bị đe dọa. OpenVPN là giao thức tốt nhất vì giao thức này có mã nguồn mở và cung cấp tính năng mã hóa lưu lượng.

5. Rò rỉ đường truyền

Đôi lúc, kết nối của bạn đến máy chủ của dịch vụ VPN có thể bị rò rỉ thông tin. Ví dụ như khi máy tính của bạn rơi vào trạng thái Sleep nên không thể thiết lập kết nối đến VPN cho đến khi nó hoạt động trở lại, hoặc khi bạn đổi từ sử dụng Wi-fi sang Ethernet, hoặc khi router bị mất điện và bạn phải cắm điện lại.

Kể cả khi bạn đã kết nối thành công đến máy chủ VPN thì một số kết nối của bạn có thể không thông qua VPN. Hiện tượng này được gọi là rò rỉ đường truyền và việc này khiến việc sử dụng VPN trở nên vô nghĩa.

Trong vấn đề này, một số dịch vụ VPN có cách xử lý tốt hơn những dịch vụ khác. Vì vậy, bạn nên kiểm tra đường truyền mạng của mình có bị rò rỉ khi sử dụng VPN không bằng các công cụ như WebRTC Leak Test, IPLeak hay DNS  Leak Test… Bạn hãy truy cập một trong các công cụ trên hai lần, một lần không sử dụng VPN và một lần có sử dụng VPN. Nếu kết nối VPN của bạn tốt thì địa chỉ IP trong hai lần truy cập sẽ phải khác nhau.

6. Hàng miễn phí

Sự nhầm lẫn tai hại nhất mà người dùng thường mắc phải đó là cho rằng dịch vụ VPN miễn phí là đủ tốt rồi. Nhưng hóa ra thì hàng miễn phí thường được "tặng kèm" rất nhiều nguy cơ. Nhà cung cấp dịch vụ phải trả tiền thuê máy chủ và đường truyền. Nếu người dùng không trả tiền, vậy thì họ cần phải tạo ra doanh thu theo cách khác. Mà phổ biến nhất chính là bán thông tin người dùng.

Các bản dùng thử miễn phí của dịch vụ có phí thì không vấn đề gì. Nhưng những bản miễn phí không giới hạn thì không. Vì thế, quả thật là "tiền nào của nấy" và để mua được sự riêng tư thì giá cả không hề rẻ chút nào. Chúng tôi luôn khuyến khích người dùng sử dụng dịch vụ có trả phí.

7. Thiếu phương thức thanh toán ẩn danh

Còn một điều nữa mà bạn cần lưu ý là nếu bạn muốn thêm một lớp bảo vệ để che giấu danh tính, bạn nên chọn dịch vụ VPN có cung cấp tính năng thanh toán ẩn danh. Sử dụng thẻ tín dụng hoặc tài khoản PayPal để thanh toán đều có thể truy ra danh tính của bạn. Thay vào đó, sử dụng tiền ảo, như Bitcoin chẳng hạn, sẽ không để lại dấu vết nào.

Bạn cần tránh sử dụng những dịch vụ VPN nào

Bạn không thể suy đoán một dịch vụ VPN an toàn hay không nếu chỉ dựa trên những thứ mà công ty cam kết và cung cấp. Sự thật sẽ chỉ lộ ra khi những công ty này bị phát hiện hành vi theo dõi hoạt động, lưu nhật ký và bán dữ liệu người dùng…

Nếu bạn xem trọng quyền riêng tư của mình, bạn cần phải tránh sử dụng những dịch vụ sau, đây là những dịch vụ đã bị phát hiện và có chứng cứ về việc vi phạm quyền riêng từ của người dùng theo cách này hay cách khác:

1. Hola

Năm 2015, Hola bị phát hiện biến máy tính của người dùng thành một "trạm cuối" (exit nodes), từ đó cho phép những người dùng khác định tuyến lưu lượng của họ qua những trạm trên. Hola cũng bán băng thông người dùng cho dịch vụ của bên thứ ba. Sự vi phạm này đã ghi tên Hola vào danh sách các dịch vụ KHÔNG BAO GIỜ nên sử dụng.

2. HotSpot Shield

Năm 2017, một nhóm bảo mật đã cáo buộc HotSpot Shield về việc "chặn và chuyển hướng lưu lượng truy cập đến các website của đối tác, bao gồm cả các công ty quảng cáo". Cáo buộc này còn cho rằng HotSpot Shield đã ghi lại thông tin chi tiết kết nối, điều này là đi ngược lại với chính sách bảo mật của chính công ty này. Một báo cáo nghiên cứu vào năm 2016 đã phát hiện HotSpot Shield "tiêm nhiễm mã JavaScript" và "chuyển hướng các lưu lượng thương mại điện tử đén các tên miền của đối tác".

3. HideMyAss

Năm 2011, FBI đã truy theo dấu vết hoạt động của một tin tặc dẫn đến địa chỉ IP thuộc dịch vụ VPN của HideMyAss. Sau đó, FBI đã có được nhật ký hoạt động của tin tặc từ HideMyAss và sử dụng chúng để bắt giữ, truy tố người này. Dù hành động của tên tin tặc trên là phạm pháp, tuy nhiên qua sự kiện đã lộ ra một việc, đó là HideMyAss lưu trữ nhật ký có thể truy ngược người dùng.

4. Facebook Onavo VPN

Đầu năm 2018, Facebook công bố một tính năng "Bảo vệ" tích hợp trên ứng dụng điện thoại di động, mà thực ra chính là dịch vụ Onavo VPN mà công ty này mua lại từ năm 2013. Bất kể tính năng này có hiệu quả trong việc bảo vệ người dùng ra sao, có một điều bạn cần lưu ý là Onavo sẽ thu thập lưu lượng truy cập trên điện thoại của bạn để "cải thiện sản phẩm và dịch vụ của Facebook, hiểu rõ hơn giá trị người dùng đối với sản phẩm và dịch vụ, và tạo ra những trải nghiệm tốt hơn".

5. Opera Free VPN

Năm 2016, trình duyệt Opera ra mắt tính năng "VPN miễn phí không giới hạn" cho tất cả người dùng. Dù được đặt tên là Opera Free VPN nhưng trên thực tế, đây không hẳn là một dịch vụ VPN. Nó giống với web proxy hơn và Opera có thực hiện việc thu thập dữ liệu người dùng (chưa rõ có hay không việc chia sẻ với bên thứ ba).

6. PureVPN

Năm 2017, FBI đã truy lùng và bắt giữ một người bị cáo buộc là theo dõi trái phép sau khi lấy thông tin hoạt động của tên này từ dịch vụ PureVPN. Dù PureVPN cam kết không ghi nhật ký trong điều khoản dịch vụ của mình, nhưng hóa ra họ vẫn lưu những thông tin khác đủ để truy ra danh tính người dùng khi hợp tác với cơ quan pháp luật.

7. VPNSecure

Không chỉ trụ sở của VPNSecure nằm tại Úc (thuộc Five Eyes), mà báo cáo nghiên cứu năm 2016 cũng phát hiện rằng dịch vụ này làm rò rỉ địa chỉ IP và DNS của người dùng. Thêm vào đó, VPNSecure còn gắn thêm "điểm đầu ra" (egress points) vào máy tính của những người dùng tại Úc, điểm này tương tự với "trạm cuối" đã khiến Hola mất tín nhiệm của người dùng. Báo cáo trên cũng nghi ngờ (nhưng chưa xác nhận) rằng băng thông của người dùng có thể bị sử dụng mà họ không hay biết. Tuy vậy, nếu muốn an toàn thì tốt nhất bạn nên tránh xa dịch vụ này.

8. Zenmate

Năm 2018, một kiểm tra thực hiện bởi vpnMentor phát hiện ra Zenmate (cùng với HotSpot Shield và PureVPN) làm rò rỉ IP của người dùng, điều này khiến danh tính của bạn có thể bị lộ ra ngoài cho dù bạn đã thiết lập kết nối đến máy chủ VPN của Zenmate. Thêm vào đó, việc Zenmate phản ứng lề mề với phát hiện này khiến chúng ta nên lo ngại về cách mà công ty này bảo vệ quyền riêng tư của người dùng.

Cảnh giác với các vụ tấn công mạng

Hai dịch vụ khác mà bạn cũng cần phải đắn đo suy nghĩ trước khi sử dụng là NordVPN và TorGuard. Năm 2019, cả hai dịch vụ này đều bị tin tặc tấn công. Tin tặc có thể đã truy cập được một số thông tin. Mặc dù vậy, không có thông tin đăng nhập bị lộ do không dịch vụ nào lưu trữ nhật ký truy cập và thông tin lưu lượng của người dùng.

Cả hai công ty đều bị tấn công mạng là sự việc không bình thường. Bạn có thể cho rằng các công ty cung cấp dịch vụ VPN sẽ có độ bảo mật cao hơn bình thường. Tuy nhiên, điều thật sự đáng lo ngại là cách mà hai công ty này phản ứng trước vụ tấn công. NordVPN thì không thông báo cho người dùng biết về vụ việc đã xảy ra. Trong khi đó TorGuard thì lại tranh cãi về mức độ nghiêm trọng của vụ tấn công.

Thậm chí có cả thư tống tiền và hai công ty còn đe dọa kiện nhau ra tòa.

Dù trong trường hợp nào thì cũng gây ảnh hưởng không tốt đến sự đánh giá của khách hàng về tính bảo mật của dịch vụ. Tuy nhiên, sự việc này lại khiến hai công ty này trên trở nên "nổi bật" hơn. Dường như cả hay quan tâm đến việc bảo vệ thương hiệu hơn là bảo vệ khách hàng của mình.

Theo  Diễn đàn đầu tư