Canada Bill C-22: Khi mấy pháp sư chóp bu bắt nhà mạng làm "mật vụ" bằng tiền túi

Chào anh em, dạo này anh em code khỏe không? Chuyện là mấy pháp sư bên Canada vừa đẻ ra một cái dự luật mới nghe sặc mùi "Big Brother". Đang yên đang lành, các sếp bự tung ra quả Bill C-22, ép các ISP và công ty viễn thông phải lưu trữ toàn bộ metadata của người dùng. Chuẩn bị xách balo lên và mua VPN thôi các đồng đạo.

Tóm tắt vụ úp sọt mang tên Bill C-22

Tóm gọn lại cho anh em lười đọc tài liệu chính phủ thì thế này: Chính phủ Canada muốn các nhà mạng phải ghi log và giữ lại toàn bộ siêu dữ liệu (metadata) của dân đen. Metadata ở đây đ*o phải là nội dung anh em chat sẽ bị đọc trộm (tạm thời thì chưa), mà nó là các thông tin kiểu: ông gửi tin nhắn cho ai, lúc mấy giờ, xài IP nào, call video thời lượng bao lâu.

Lý do muôn thuở được mấy sếp đưa ra là gì? "Bảo vệ an ninh quốc gia", chống tội phạm mạng. Bài này quen quá rồi. Nhưng ngặt một nỗi, đạo luật này ép các công ty tech phải tự bỏ tiền túi ra xây dựng hạ tầng để lưu trữ cái đống rác data khổng lồ này. Chưa hết, còn phải tạo sẵn "backdoor" để các anh cảnh sát có thể chọc vào húp data bất cứ lúc nào, mà trong nhiều trường hợp còn chả cần lệnh khám xét đàng hoàng.

Cứ tưởng tượng anh em đang maintain một con app mượt mà, tự dưng có ông can gõ đầu bắt cài thêm cái script spy user cắn RAM tung chảo, lại còn phải tự bỏ tiền túi thuê máy chủ để lưu đống log đó. Ảo ma chưa? Tiền đâu ra thì chắc chắn là chém vào phí dịch vụ của user rồi.

Giang cư mận Reddit đang tế sống dự luật này thế nào?

Dù bài gốc trên Hacker News hiện tại đ*o có comment nào nổi bật (chắc do anh em còn bận đi trốn hoặc bị khóa mõm), nhưng nhìn cái score 400+ point lù lù ra đấy thì đủ biết dân tech đang sục sôi cỡ nào. Đảo một vòng qua các diễn đàn, đa số anh em đang chia thành mấy phe:

• Phe Dev & SysAdmin (Khóc thét): Lưu toàn bộ metadata của hàng chục triệu user mỗi ngày á? Tiền server ai chịu? Cái này là cố tình bắt các doanh nghiệp tech gánh còng lưng chi phí giám sát của nhà nước.
• Phe Privacy (Tuyệt vọng): Mấy lão này tuyên bố đây là cú tát thẳng mặt vào quyền riêng tư. Đừng tưởng chỉ lưu metadata là an toàn. Nhìn vào cái cục data đó, AI nó phân tích ra ngay một ông dev hay thức 2h sáng truy cập web "phim tài liệu Nhật Bản" hay lén gửi mail cho headhunter công ty đối thủ.
• Phe Troll (Mỉa mai): "Chào mừng đến với Trại súc vật phiên bản 4.0". Có anh em còn xui nhau mua VPN trả bằng crypto để xài cho nó ẩn danh hoàn toàn, trốn khỏi sự nhòm ngó của các thế lực thù địch.

Coding4Food chốt hạ: Code sao cho khỏi đi tù?

Đứng ở góc độ mấy anh em thợ gõ, cái drama này nhắc nhở mình vài thứ cốt lõi để giữ cần câu cơm.

Thứ nhất, data là tài sản nhưng cũng là quả bom nổ chậm. Gom càng nhiều thì lúc có chuyện (leak, hack, bị chính phủ gõ đầu đòi data) thì team Dev và Ops là những thằng đầu tiên ăn hành sấp mặt.

Thứ hai, thời buổi này làm app thì ráng mà học cách tích hợp mã hóa đầu cuối (E2EE) và minimize data logging. Cái đ*o gì không thực sự cần thiết cho logic của app thì đừng có log lại làm gì cho nặng database. Chốt lại, làm dev bây giờ không chỉ cần biết code rẹt rẹt, mà còn phải hiểu luật để bảo vệ mình và bảo vệ chính user của mình khỏi những trò ma giáo này.

---

Nguồn hóng hớt: Hacker News