Tin Tức Corellium lập luận rằng việc lạm dụng quét CSAM ở Hoa Kỳ được ngăn chặn bởi Tu chính án thứ tư

[Như Quỳnh]

​

Các chính phủ Mỹ lạm dụng việc quét CSAM (Child Sexual Abuse Material) để phát hiện những thứ như phe đối lập chính trị có liên quan đến các chính phủ nước ngoài đang là mối lo ngại và trở thành vấn đề lớn tại Mỹ.

Matt Tait, Giám đốc điều hành của công ty bảo mật Corellium và là cựu nhà phân tích tại GCHQ tương đương NSA của Anh, cho biết Tu chính án thứ tư có nghĩa là điều này không thể xảy ra ở Mỹ…

Nhà mật mã học Matthew Green của Johns Hopkins đã nhấn mạnh tình huống sau về việc thêm tài liệu lạm dụng tình dục không phải trẻ em vào cơ sở dữ liệu:
​

1. Bộ Tư pháp Hoa Kỳ (US DoJ) tiếp cận NCMEC, yêu cầu họ thêm ảnh không phải CSAM vào cơ sở dữ liệu băm.

2. Khi những bức ảnh này kích hoạt người dùng Apple, DoJ sẽ gửi lệnh lưu trữ ID của khách hàng.

Tait nói trong một chủ đề trên Twitter rằng cơ sở dữ liệu được biên soạn bởi Trung tâm Quốc gia về Trẻ em Mất tích & Bị bóc lột (NCMEC), cơ quan này không nói đúng về một cơ quan chính phủ - đó là một cơ quan gần như tự trị, mặc dù chủ yếu được tài trợ bởi DOJ.

Tự trị không có nghĩa là DOJ để NCMEC làm mọi thứ. DOJ có thể cố gắng và buộc cơ quan này thông qua lệnh của toà án hoặc yêu cầu một cách lặng lẽ để cơ quan này làm mọi việc. Nhưng không thể chỉ bắt họ làm mọi việc trực tiếp.

Hãy lần lượt thực hiện những điều đó. Điều gì sẽ xảy ra nếu DOJ hỏi một cách lịch sự? Trong trường hợp này, NCMEC có mọi động cơ để nói “NO”. Việc quét CSAM của các công ty công nghệ ở Mỹ diễn ra một cách tự nguyện. Có nghĩa vụ pháp lý để báo cáo CSAM, nhưng không có nghĩa vụ pháp lý nào để tìm kiếm nó.

Giả sử DOJ yêu cầu NCMEC thêm mã băm cho idk, giả sử như một bức ảnh của một tài liệu đã phân loại và theo giả thuyết NCMEC nói "YES" và Apple áp dụng nó vào thuật toán quét CSAM thông minh của mình. Hãy xem điều gì sẽ xảy ra.

Trong trường hợp này, có lẽ ai đó có ảnh này trên điện thoại của họ và tải nó lên iCloud để nó được quét và kích hoạt một lần nhấn. Đầu tiên, trong giao thức của iS Apple, lần truy cập duy nhất đó là không đủ để xác định rằng người đó có tài liệu, cho đến khi đạt đến ngưỡng được cấu hình sẵn.

Nhưng giả sử yêu cầu là một loạt ảnh hoặc người có ảnh cũng có CSAM hoặc bất cứ điều gì và đã đạt đến ngưỡng. Vậy thì sao?

Vâng, trong trường hợp này, Apple nhận được thông báo và Apple sẽ xem xét các hình ảnh được đề cập. Nhưng đợi đã! Hình ảnh không phải là CSAM. Có nghĩa là sẽ xảy ra hai điều. Thứ nhất: Apple không có nghĩa vụ phải báo cáo nó cho NCMEC. Và thứ hai, Apple hiện biết rằng NCMEC đang hoạt động không trung thực.

Ngay sau khi Apple biết NCMEC hoạt động không trung thực, họ sẽ loại bỏ cơ sở dữ liệu NCMEC. Hãy nhớ rằng: họ có nghĩa vụ pháp lý phải báo cáo CSAM, nhưng không có nghĩa vụ pháp lý phải tìm kiếm nó.

Vì vậy, nhờ DOJ hỏi và NCMEC nói "YES", Apple đã ngừng quét CSAM hoàn toàn, cả NCMEC và DOJ đều không thực sự đạt được thành công. Hơn nữa, NCMEC hiện đã bị hủy hoại: không ai trong ngành công nghệ sẽ sử dụng cơ sở dữ liệu của họ. Vì vậy, câu chuyện ngắn là DOJ không thể hỏi NCMEC một cách lịch sự và đi đến đồng ý.

Tuy nhiên, ông nói, hãy xem điều gì sẽ xảy ra nếu chính phủ buộc NCMEC thêm dấu vân tay vào cơ sở dữ liệu. Theo ông, điều đó sẽ ngăn cản việc truy tố vì nó sẽ mâu thuẫn với Tu chính án thứ tư, vốn bảo vệ chống lại việc khám xét và thu giữ bất hợp pháp.

Khi NCMEC nhận được một lần truy cập CSAM – cái mà họ gọi là “cyper tip” –họ sẽ báo cáo cho cơ quan thực thi pháp luật có liên quan. Cơ quan thực thi pháp luật sau đó thường nhận trát hầu tòa để lưu hồ sơ, và sau đó thực hiện theo cách của họ với lệnh khám xét đầy đủ để tìm bằng chứng chống lại giao dịch cá nhân trong CSAM.

Để đưa người đó vào tù, cuối cùng họ sẽ cần đưa ra bằng chứng và điều đó có nghĩa là họ cần toàn bộ chuỗi bằng chứng phải tuân thủ 4A. Bằng chứng cuối cùng là bắt nguồn từ trát, nguyên nhân có thể xảy ra từ trát đòi hầu tòa, và SO trên, tất cả các cách trở lại ban đầu.

Nhưng tìm kiếm ban đầu có tuân thủ 4A không? Nếu không, toàn bộ chuỗi bằng chứng sẽ rời rạc. Đây là một vấn đề phức tạp, và các tòa án đã vật lộn với nó trong một thời gian dài. Nhưng nhìn chung quan điểm đồng thuận là có, nó tuân thủ 4A, bởi vì tìm kiếm CSAM ban đầu là tự nguyện bởi các công ty công nghệ.

Nhưng nếu NCMEC hoặc Apple * bị buộc * thực hiện tìm kiếm, thì việc tìm kiếm này không phải do công ty công nghệ tự nguyện mà là một "tìm kiếm có tên tuổi". Và bởi vì đó là một tìm kiếm có tên tuổi, nó là một tìm kiếm 4A và yêu cầu một lệnh cụ thể (và không thể xác định cụ thể ở đây).

Vì vậy, mặc dù chính phủ Hoa Kỳ có thể lấy bằng chứng theo cách này, nhưng họ không thể sử dụng nó để truy tố bất kỳ ai.

Tất nhiên, điều đó không có nghĩa là chính phủ không thể sử dụng thông tin theo những cách khác, nhưng khi đó bạn đang ở trong một lỗ hổng hợp pháp hoàn toàn khác.

Alex Stamos của Stanford đã kêu gọi thảo luận nhiều khía cạnh chi tiết hơn về rủi ro của việc lạm dụng quét CSAM và chủ đề này chắc chắn đủ điều kiện.

Như Quỳnh
Theo 9to5mac​