Chúng ta sẽ rơi vào trạng thái "vô định" khi bàn về an ninh, bảo mật. Không ai có thể minh chứng an ninh trong hệ thống nào là tuyệt đối và bậc nhất. Tuy nhiên, xét về quan điểm của câu hỏi bạn:
=============
Đa số mọi người chê khái niệm "security by obscurity". Dựa hoàn toàn security vào obscurity là sai lầm, nhưng trên thực tế là nó cũng có tác dụng nhất định. Thử hỏi ở đây có chu' / bac' nao` dám công bố bản đồ nhà mình và vị trí két chứa tiền lên mạng?
=============
thì chúng ta có nên đưa chìa khóa, vàng bạc, của cải mình... phó thác cho một ai đó mà hoàn toàn không hiểu biết họ hay không. Một hệ điều hành "hộp đen" không thể hiểu biết hay một vấn đề "cho bạn hiểu" để tin và phó thác hay bạn sẽ có tính quyết định cho mình.
Và "điều cơ bản" của loài người chính là "sự thống trị!". Chúng ta hiểu rất sâu sắc bản chất của nó, nhưng chúng ta khó lòng kiểm soát được nó. Bạn có thể đặt câu hỏi rằng, điều gì sẽ xãy ra nếu Việt Nam có thể có một hệ thống tối ưu để phòng thủ và nếu chúng ta hiểu được nó thì tương lai con cháu chúng ta sẽ thế nào? Chúng ta hoàn toàn có thể chiếm lĩnh thị trường Lào, Campuchia, Thái Lan,.. các quốc gia kém cõi hơn chúng ta hay chúng ta sẽ thán phục họ vì sự thông minh trong nghệ thuật "thống trị kẻ yếu".
Quan điểm của tôi cho rằng, chúng ta không dislike or like! mà hãy chớp lấy thời cơ để thoát khỏi ách thống trị. Điều cơ bản của giáo dục là sản xuất ra các tài năng và điều cơ bản của các tài năng là biết sáng tạo ra những giá trị cho cuộc sống. Vì thế, opensource chỉ là một trạng thái của thực tế, một cuộc cách mạng lịch sử thế giới chỉ đến một lần duy nhất. Cơ hội là chúng ta sẽ tận dụng nó như thế nào trong việc phát triển kinh tế dựa trên đặc thù Việt Nam.
Nếu chúng ta học, hãy đừng like or dislike (thích hay không thích) mà hãy khám phá những giá trị để bạn có khả năng sáng tạo ra cái mới, cái vượt bậc. Chứng khoán Mỹ dùng LINUX hay Windows điều đó hoàn toàn không quan trọng. Quan trọng nhất là bạn có khả năng xây dựng một thị trường chứng khoán Việt Nam, corebanking Việt Nam sử dụng công nghệ Việt Nam hay không (không phụ thuộc vào tính chất công nghệ mà phụ thuộc vào sự cầu tiến của người Việt)? hay chúng ta phải tiếp tục mua bằng tiền chân chính của người lao động - những con người vất vã, hy sinh ngày đêm cho chính chúng ta có được tri thức để cầu tiến. Chúng ta sẽ hãnh diện hay lấy làm hỗ thẹn vì sự ngu dốt của mình? Vì thế, tôi chúc bạn sẽ trở thành người con ưu tú của xã hội Việt Nam, biết quan tâm và xây dựng kinh tế tốt đẹp hơn. Cụ thể Vay mua - hay vay để phát triển.
Chúc bạn cuối tuần vui vẽ.
Hiền Nguyễn
----- Original Message -----
From: "Nghĩa Lê Trung"
To: "Anh Nguyen"
Cc: "Thai Ta"
Subject: Re: [ict-vn] Gio thi security cua .NET khong con gi phai ban nua :)
2010/9/24 Anh Nguyen <[email protected]>Cảm ơn chú Nghĩa vì email và dẫn chứng.Cháu không muốn bàn về chuyện nguồn mở và nguồn đóng cái nào quan trọng hơn hay cao đẹp hơn, mà chỉ muốn bàn về khía cạnh security, vì đó là chuyên ngành của cháu.Cháu đọc các bài viết chú gửi thì thấy rằng nguyên nhân chính của việc dùng Linux trong những trường hợp đó là khả năng sửa đổi platform theo ý mình, một số sửa đổi hướng tới security, một số hướng tới tính năng real time, performance. Lấy ví dụ bộ quốc phòng Mỹ đã implement SELinux, nhằm xây dựng cơ chế quản lý Mandatory Acess Control. Chắc chắn các hệ thống chứng khoán cũng sử dụng một phiên bản đặc biệt của Linux chứ không phải phiên bản dành cho người dùng thông thường.Các thị trường chứng khoán sử dụng Red Hat Enterprise Linux. Bạn có thể hỏi kỹ hơn về nó với một người nữa cũng trong mailing list này, ở iway, vì đó là đại sứ của Red Hat tại Việt Nam"Our needs are unique, so the freedom to adapt or change the software is important, but only in minor ways. What is essential is that the software we are using is well supported, and it is.""... the ability to gain victory by changing and adapting according to the opponent is called genius." Free software provides us new ways to adapt, remix, and change our software capabilities in ways that traditional software models have not. That agility can be essential in the face of determined and adaptive adversaries."Flexibility là điểm mạnh của Linux và nguồn mở, cái này chắc chắn không ai cãi được. Tuy nhiên về security thì fudamentally không có lý do gì open source more secure hơn closed source cả. Nhất là khi đa số người dùng bình thường sẽ prefer usability và không có ý muốn / không biết cách thay đổi hệ điều hành của mình.Lấy gì đảm bảo là một module nhất định trong hệ thông open source sẽ có nhiều người theo dõi / quan tâm hơn close source? Điều gì xảy ra nếu các tác giả chính đang đi nghỉ mát hoặc bận kiếm tiền nuôi vợ con khi module bị phát hiện có lỗi?Cộng đồng Linux, như ví dụ với nhân LInux, không chỉ dựa vào 1 người, điều mà có thể bạn sẽ thấy khi liên quan tới phần mềm nguồn đóng. Vì thế khi người này bận vợ con, thì người khác sẽ làm, thậm chí người phát hiện là chính bạn.
Trong ví dụ về nhân Linux, bạn sẽ thấy có tới gần 25% những người đóng góp là không xác định được từ đâu cả.
Tôi hỏi bạn câu này: Giả sử ai đó cho là phải dựa vào một công ty nào đó thì an ninh mới tốt. Câu hỏi sẽ là: Liệu một quốc gia có dựa vào 1 công ty đó được không? Nếu nó chết thì sao? Bạn có thể lại sẽ hỏi, ví dụ, to như MS thì chết sao được? Câu trả lời là trong cuộc khủng hoảng vừa rồi, những hãng ngân hàng lớn nhất thế giới còn có thể chết đấy. Liệu nếu cái công ty mà 2/3 các hệ thống mạng của các chính phủ trên thế giới dựa vào mà chết thì thế nào nhỉ???
Một ví dụ nữa, nếu bạn dựa vào 1 phần mềm an ninh đóng của một công ty nào đó. Giả sử khi có chiến tranh, nước đánh nhau với nước của bạn mua được phần mềm của công ty "bảo đảm" an ninh cho hệ thống thông tin của chính phủ của bạn, thì làm thế nào???
Hy vọng bạn sẽ tìm ra câu trả lời. Còn đối với cá nhân tôi, nếu không làm chủ được công nghệ, mà là mở mới có cơ hội cho Việt Nam làm chủ được công nghệ, thì trong cuộc chiến tranh không gian mạng sắp tới, nếu nó thực sự xảy ra, thì nước nào không làm chủ được sẽ phải thua, chỉ đơn giản thế thôi.
Đa số mọi người chê khái niệm "security by obscurity". Dựa hoàn toàn security vào obscurity là sai lầm, nhưng trên thực tế là nó cũng có tác dụng nhất định. Thử hỏi ở đây có chu' / bac' nao` dám công bố bản đồ nhà mình và vị trí két chứa tiền lên mạng?Câu chuyện của nhà bạn và nhà tôi với câu chuyện an ninh mạng, an ninh phần mềm, an ninh hệ thống CNTT là không giống nhau, mà mấu chốt nó nằm ở mã nguồn do con người viết ra.-M.A
2010/9/22 Nghĩa Lê Trung <[email protected]>Chào bạn Ánh Nguyễn và cả nhà2010/9/23 Anh Nguyen <[email protected]>Khong co y kien gi khi cac bac' dislike MS, chi co y kien la nen doi ten topic thanh "MS is evil !" cho dung thuc te. Vi mot loat cac loi cua Flash va Acrobat Reader anh huong >95% nguoi dung internet khong thay ai nhac den: http://www.theregister.co.uk/2010/09/13/adobe_flash_0day_vuln/Vi cac bac co noi den security: cac he thong phuc tap co security vulnerability la dieu de hieu, va loi nao cung tro nen ngo ngan mot khi da duoc phat hien.Nhung Java and Linux cung co khong it lo hong:http://secunia.com/advisories/product/12878/: Sun Java 6.x: 142 Vulnerabilitieshttp://secunia.com/advisories/product/2719/ - Linux kernel 2.6: 452 VulnerabilitiesNhung con so tren khong co nghia la san pham cua MS an toan hon, nhung ket luan san pham cua MS kem hon han phan mem mo la qua' voi vang neu khong muon noi la chu quan duy y chi. Security la van de khong don gian, ban than nhung nha thiet ke Internet, computer scientists hang dau the gioi, cung da mac loi dan den hau qua DDOS, fake IP, spam email tran lan nhu ngay nay.The point: if we are to considered ourselves as scientists / technologists, we should look at the matter with a view as fair as possible, with numbers / measurements to support our view.Lý thuyết chung thì phần mềm đóng hay mở đều có lỗi. Vấn đề nằm ở chỗ khi là mở, thì tốc độ vá lỗi sẽ nhanh hơn nhiều và không bị phụ thuộc vào ý chí của người tạo ra phần mềm như đối với các phần mềm đóng.
Trong thực tế, có một cách đánh giá có thể là đơn giản hơn về an ninh khi nhìn vào những lĩnh vực trọng yếu như thị trường chứng khoán, quân đội, an ninh quốc phòng xem họ dùng cái gì, ta có thể đánh giá được cái gì có an ninh hơn, bởi chính những nơi đó là những nơi tập trung nhiều nhà khoa học nhất và là những nơi cần đáp ứng về an ninh nhiều nhất.
Bằng cách này, ta sẽ đưa ra câu hỏi về an ninh dạng như sau:
Vì sao các hệ thống thông tin của các thị trường chứng khoán lớn nhất thế giới như New York, Tokyo, London và nhiều thị trường chứng khoán khác lại sử dụng các hệ thống dựa trên GNU/Linux mà không sử dụng các hệ thống khác???
Và một loạt bài như ở đây hay ở đây ???
Chúc các bác một ngày làm việc hiệu quả
nghialt
-M.A
2010/9/22 Thai Ta <[email protected]>Sâu về kỹ thuật một chút thì quả thật là anh giai M$ làm việc này khá
hệ thống từ rất lâu rồi:
Năm 1996 khi mới ra trường em cũng háo hức công nghệ lắm nên lò mò học
hỏi để làm Java applet chạy trên IE2, Nescape và làm cả Java app
server chạy qua Jview trên NT3, NT4. Nói chung là thời gian đầu chạy
khá mượt mà, em cũng làm đường nhiều thứ hay sau rồi nâng cấp lên IE3
thì toàn bộ các applet của mình bắt đầu có sự xô lệch giao diện nên cố
công sử lại. Khi lên IE4 thì xịt hẳn, lệch lung tung hết cả thì nhận
được thông tin về ActiveX. Thế là hết cách nên đành phải theo.
Gần đây tình cờ mò lại được mấy cái applet cũ thì giật mình thấy nó
chạy ngon lành (bản chạy cho IE2) trên Chrome trong khi mình đã quên
ActiveX từ năm 2000 rồi.
Tiếc là không còn ngồi lập trình nữa.
Kể ra thì phục cả hai anh :)
2010/9/22 Nguyễn Hiền <[email protected]>:
> ---------> Kính thư các anh chị,
>
> Đây là một lỗ hỏng hết sức nghiêm trọng và rất ngớ ngẫn của Microsoft. Lỗ
> hỏng này chứng minh rằng kiến trúc của .NET hết sức quan ngại và tương lai
> các hệ thống bảo mật Microsoft trên nền tảng .NET sẽ tác động xấu.
>
> .NET là nền tảng xây dựng trên ý tưởng "Java" và Microsoft từ đó đưa ra các
> ứng dụng của mình trên nền tảng này. Điều quan trọng của Microsoft là họ
> luôn nâng cấp sản phẩm theo chiều "loại cũ đổi lấy mới" và chiêu thức này
> đang làm cho IE càng ngày càng khó khăn. Mục tiêu này càng làm trầm trọng
> hơn về vấn đề an ninh các kiến trúc Microsoft như là mối thảm họa TITANIC
> khi một công ty không tuân thủ "chiêu thức cũ đổi mới" của Microsoft (thiếu
> tiền mua phần cứng và phần mềm mới của Microsoft).
>
> Những lỗ hổng Microsoft vá đều tuân theo chiều "loại dần các sản phẩm già
> nua của Microsoft" đang làm các đại gia lớn (Ngân Hàng, Chứng Khoán, ...)
> suy nghĩ đến các ứng dụng ổn định khác (LINUX.). Việc ép buộc "theo hay
> chết" của Microsoft đã gây những tác động xấu lên vấn đề an ninh hiện nay.
>
> Theo một cách nghĩ thô thiển rằng, bản vá .NET 4.0 sẽ không áp dụng cho các
> ứng dụng hiện đang nằm trong "trào lưu < 4.0" ==> 80% các ứng dụng sẽ chết
> vì "thiếu hiểu biết" - nghĩa là không chịu mua sản phẩm mới nhất của
> Microsoft hiện nay. Vì thế, xu hướng "cống nộp cho Microsoft" để họ có "khả
> năng nghiên cứu bảo vệ nhân loại" là xu thế vĩnh viễn cho những ai trót dại
> yêu mến nàng công chúa xin đẹp nhưng thiếu hẳn IQ này.
>
> Chúc các anh chị tư vấn các chiến lược "tư do công nghệ" và "không bị phụ
> thuộc" để sớm có những Việt Nam công nghệ trong tương lai gần.
>
> Hiền Nguyễn
>
> iNet Solutions
>
>
> ----- Original Message -----
> From: "Truong Anh. Tuan"
> To: [email protected], "Hanoi Linux Users Group"
> Cc: "Le Trung Nghia"
> Subject: [ict-vn] Gio thi security cua .NET khong con gi phai ban nua :)
>
>
> http://blog.iwayvietnam.com/tuanta/2010/09/22/loi-bao-mat-nghiem-trong-cua-dot-net/
>
> Kind regards,
> Tuan
>
>
> # Ghi chu: [email protected] la mailing-list gom cac nha
> nghien cuu, giang day, trien khai va quan ly CNTT-TT tu cac Truong,
> Vien, Cong ty va Co quan - To chuc Chinh phu va phi Chinh phu;
> # Xin chi gui nhung trao doi huu ich chung cho cong dong ICT-VN;
> # Website cac ICT-Events 2008 tai VN: www.coltech.vnu.vn/ict-vn
>
---------
# Ghi chu: [email protected] la mailing-list gom cac nha
nghien cuu, giang day, trien khai va quan ly CNTT-TT tu cac Truong,
Vien, Cong ty va Co quan - To chuc Chinh phu va phi Chinh phu;
# Xin chi gui nhung trao doi huu ich chung cho cong dong ICT-VN;
# Website cac ICT-Events 2008 tai VN: www.coltech.vnu.vn/ict-vn
_______________________________________________ POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines _______________________________________________ HanoiLUG mailing lists: http://lists.hanoilug.org/ HanoiLUG wiki: http://wiki.hanoilug.org/ HanoiLUG blog: http://blog.hanoilug.org/
