Hé lộ khả năng đánh chặn vệ tinh của BND

• Nỗ lực minh bạch của cơ quan tình báo liên bang Đức

Quyết định của tòa án cũng như một số báo chí gần đây đã đăng tải những chi tiết thú vị xoay quanh cách mà BND tiến hành thu thập dữ liệu hàng loạt từ các cáp mạng, đặc biệt là điểm trao đổi mạng trung lập DE-CIX.

Khai thác cáp không nhắm mục tiêu của BND

Hoạt động khai thác cáp mạng quy mô lớn đầu tiên của BND đã bắt đầu với Eikonal và đặt dưới sự hợp tác của Đức với NSA nhằm truy cập một số tuyến cáp quang ngay tại trung tâm chuyển mạch Deutsche Telekom ở thành phố Frankfurt. 

Hoạt động Eikonal là một phần của chương trình bảo trợ Rampart-A của NSA, chuyên nhắm thu thập thông tin tình báo từ các mục tiêu ở Nga, Trung Đông và Bắc Phi. Hoạt động Eikonal bắt đầu từ tháng 3-2004 với việc đánh chặn các tin nhắn điện thoại và fax, rồi chuyển chúng đến một thư điện tử (email) và liên lạc VoIP ngay trong năm 2006. 

Tuy nhiên, kết quả này chỉ dẫn đến vài trăm báo cáo mỗi năm (mỗi báo cáo có bao gồm 1 email được can thiệp, tin nhắn fax hoặc cuộc điện thoại). Dĩ nhiên với NSA thì đây là một thất vọng lớn và BND nhận ra rằng không thể tách rời hoàn toàn thông tin liên lạc nội địa và quốc tế. Vì lẽ đó mà hoạt động Eikonal đã chấm dứt vào tháng 6-2008.

Trong khoảng thời gian 2004-2013, BND và NSA cũng hợp tác trong việc can thiệp vệ tinh tại Trạm Bad Aibling (Bavaria, Đức). Thông tin chi tiết về hoạt động Eikonal đã xuất hiện trong các cuộc điều trần của Ủy ban Điều tra Quốc hội Đức từ giữa tháng 3-2014 đến tháng 2-2017. 

Cuộc điều tra này được thiết lập để nhắm vào các hoạt động gián điệp của NSA, nhưng chẳng mấy chốc nó đã chuyển hướng sang tập trung vào Tình báo tín hiệu (SIGINT) của BND.

Những ưu tiên tình báo

Cũng như nhiều cơ quan tình báo khác, BND không chỉ cố gắng ngăn chặn khủng bố mà còn cung cấp cho Chính phủ Đức nhiều thông tin đắt giá nhằm hậu thuẫn cho các chính sách quốc tế của Đức, cũng như phòng ngừa việc phổ biến những loại vũ khí hủy diệt hàng loạt cùng tấn công mạng. Chính phủ Đức dàn xếp những mục tiêu dạng này ngay trong một tài liệu tương tự như Khuôn khổ ưu tiên tình báo quốc gia (NIPF) tại Hoa Kỳ. 

Phiên bản tiếng Đức của tập tài liệu này bao gồm Ưu tiên số 1 cho các đề tài được yêu cầu mức độ phổ cập vừa phải, cho đến Ưu tiên số 4 cho các vấn đề có nhu cầu thông tin thấp. Theo nhu cầu các thông tin này, BND đã xem xét có cần thiết can thiệp các liên lạc mạng hay không.

Một khi BND đã xác định chính xác nơi họ cần truy cập thì Thủ tướng liên bang sẽ ban hành chỉ thị cấp quyền truy cập dựa trên Luật BND. Hiện tại đang có 17 chỉ thị truy cập mạng, 3 trong số chúng là trao đổi mạng ngay trong nội địa Đức; 14 chỉ thị khác là áp dụng cho các mạng vệ tinh. 

Trong thực tế, BND sao chép khoảng 10% dung lượng của mạng mà nó được phép khai thác. Dựa trên các chỉ thị truy cập mạng này mà BND đã trao cho những nhà cung cấp mạng một chỉ thị trích xuất có tác dụng xác định nhiều mạng được quan tâm. Những phần cụ thể của các mạng này hoặc những liên kết truyền dẫn mà BND quan tâm được cụ thể trong những biểu đồ riêng biệt. 

Một khía cạnh đáng quan tâm khác đó là tách các luồng dữ liệu tại DE-CIX. Tháng 10- 2019, DE-CIX đã cung cấp cho Tòa án Hiến pháp một đánh giá nói rằng thực thể này đã xử lý trung bình khoảng 47.500 tỷ kết nối IP/ ngày, và về mặt kỹ thuật, BND có thể sao chép 1.200 tỷ kết nối IP trong số đó, tức chiếm 2,5% tổng lưu lượng.

Tuy vậy, trong quyết định của Tòa án Hiến pháp có nói rằng những cài đặt kỹ thuật của BND tại DE-CIX lại có khả năng thu giữ và xử lý 5% tổng lưu lượng dữ liệu. Chưa rõ có bao nhiêu dữ liệu mà BND thực sự đã trích xuất. 

Thường thì lưu lượng tại các điểm trao đổi mạng sẽ được đo bằng bit/ giây, trong tháng 10-2019, lưu lượng trung bình tại DE-CIX là 5 terabit/ giây (Tb/s). Nếu BND sao chép từ 2,5 đến 5% tổng lưu lượng thì sẽ được đo thành 125 đến 250 gigabit/ giây (Gb/s).

Hệ thống lọc dữ liệu DAFIS

Một khi những luồng dữ liệu quan tâm được sao chép thì BND sẽ đưa chúng đến một hệ thống lọc đa giai đoạn được gọi là Dafis. Giai đoạn đầu tiên của Dafis là xóa tất cả những thông tin liên lạc có liên quan đến công dân Đức. 

Hệ thống lọc này có độ chính xác từ 96%- 98%, nhưng với hơn 1.000 tỷ kết nối/ ngày thì việc loại bỏ 2 đến 4 tỷ kết nối xem ra là một phân bổ không chính xác. Vì lẽ đó mà BND đã tiến hành các thuật toán bổ sung nhằm ngăn ngừa việc thu thập thông tin của người Đức. 

Giai đoạn 2 của Dafis là bằng cách sử dụng các bộ chọn lọc nhằm lọc cả siêu dữ liệu và nội dung. Theo BR và Der Spiegel thì BND đã sử dụng hơn 100.000 bộ chọn lọc với không chỉ số điện thoại và địa chỉ email mà còn cả tên các thành phần hóa học của những loại vũ khí hủy diệt hàng loạt.

Trước khi đưa những bộ chọn này vào hệ thống lọc, BND sẽ kiểm tra xem chúng có tuân thủ luật hay không (nó không được phép can thiệp vào thông tin liên lạc của công dân Đức). 

Ngoài ra không có bộ chọn lọc nào được giao nhiệm vụ giám sát trẻ em dưới 14 tuổi, ngoại trừ chúng bị bắt đi lính hoặc trở thành những kẻ tấn công liều chết. Trong các tài liệu của Chính phủ Đức cũng thừa nhận rằng không có hệ thống lọc nào có thể bảo đảm 100%, như khi công dân Đức sống hoặc làm việc ở Syria và gọi điện thoại bằng số của Syria. Trong cuộc điều tra của Quốc hội Đức, một giai đoạn thứ 3 của hệ thống lọc đã được đề cập đó là nhằm “bảo vệ lợi ích Đức”.

Trong những phiên điều trần, rõ ràng là giai đoạn 3 này đã lọc bỏ các công ty Đức cùng các công ty nước ngoài có liên quan đến sự tham gia của người Đức  cũng như tên các chính trị gia Đức. Hệ thống lọc Dafis được đặt trong một căn phòng có độ bảo mật cao ngay tại điểm trao đổi mạng. 

Cơ chế này giúp tiết kiệm băng thông vì chỉ dữ liệu sau cùng của giai đoạn thứ 3 mới được chuyển trực tiếp đến Trung tâm tình báo tín hiệu của BND đặt ngay trong một trụ sở cũ ở Pullach (bang Bayern, Đức) nơi có một trung tâm dữ liệu mới được xây dựng vào năm 2012. Sau khi áp dụng các bộ chọn lọc, kết quả thu thập không nhắm mục tiêu của BND sẽ chứa khoảng 270.000 mẫu nội dung thông tin liên lạc/ ngày, như e-mail, cuộc gọi thoại và tin nhắn chat…

Cuối cùng, siêu dữ liệu còn lại sau khi Dafis lọc thành công sẽ được lưu lại đầy đủ, để chúng có thể kết hợp với những bộ dữ liệu khác và do máy tính phân tích. Trong khi đó một phương pháp nổi tiếng được sử dụng để phân tích siêu dữ liệu điện thoại là bằng chuỗi liên hệ. Luật BND nói rằng siêu dữ liệu có thể lưu trữ 6 tháng, và cũng có thể chia sẻ với các đối tác nước ngoài hoàn toàn tự động ngay cả khi chúng chưa được đánh giá.

Phán quyết của Tòa án Hiến pháp

Ngay trong cuộc điều tra về mối quan hệ giữa NSA và BND, Chính phủ Đức đã đưa ra một sửa đổi đáng kể của luật nhằm điều chỉnh BND. Việc này có hiệu lực vào ngày 31-12-2016, chỉ nửa năm trước khi kết thúc báo cáo của ủy ban điều tra được công bố.

Tháng 1-2018, 7 nhà báo nước ngoài đã đệ đơn kiện lên Tòa án Hiến pháp liên bang (FCC). Họ lập luận rằng việc luật cho phép BND thu thập bừa bãi thông tin liên lạc của các nhà báo nước ngoài đã đe dọa an nguy của các nguồn tin đáng tin cậy của họ, đặc biệt là khi những dữ liệu dạng này được chia sẻ với các cục tình báo và an ninh của những quốc gia có các quyền tự do báo chí và tự do dân sự đang bị đe dọa. Sau 2 phiên điều trần vào các ngày 14 và 15-1-2018, ngày 19-5-2020, Tòa án Hiến pháp liên bang đã đưa ra quyết định.

Để phù hợp với hiến pháp, Tòa án Hiến pháp liên bang cho rằng việc thu thập chí ít phải có những điều kiện sau: Tách biệt với thông tin liên lạc của công dân Đức, và phải xóa ngay khi vừa nhận diện; Phải giới hạn lượng dữ liệu được thu thập; Phải xác định các mục tiêu thu thập; Các nỗ lực thu thập phải phù hợp với quy định; Phải có yêu cầu bổ sung để can thiệp dữ liệu cá nhân; Hạn chế lưu trữ siêu dữ liệu; Khuôn khổ xử lý và phân tích dữ liệu; Các biện pháp bảo vệ quyền tiếp cận thông tin của các luật sư và nhà báo; Bảo vệ lõi của đời sống cá nhân; Xóa dữ liệu bắt buộc và có trách nhiệm.

Tòa án cũng quyết định rằng người Đức phải được bảo vệ khi họ giao tiếp trong tư cách đại diện của một công ty hoặc tổ chức nước ngoài; Chính phủ Đức đến ngày 31-12-2021 phải thay đổi Luật BND nhằm phù hợp với hiến pháp.