Xin được góp vui vài dòng cùng anh em tín đồ Open Source Về bảo mật: việc bảo mật kém hay tốt không cốt ở phần mềm mà ở yếu tố con người và người ta quan tâm đến bảo mật như thế nào, chính sách cho nó ra sao, quy trình xử lý khi có sự cố,... Phần mềm đóng hay mở... không có bất kỳ giá trị về mặt bảo mật.
Có những phần mềm / mạng máy tính rất bảo mật nhưng với kỹ thuật khai thác của Kevin Mitnick thì ổng không cần tốn hàng tháng để nghiên cứu kỹ thuật hắc hiếc kiểu viết mã lập trình mà ổng chỉ mất 3 ngày để thu thập thông tin về tổ chức, policy của họ và luyện cách bóp mũi, giả giọng là hạ xong một mạng, kể cả khi nó không có kết nối Internet nào :), ông hack bằng... điện thoại cố định có dây. Một khi đã vui mừng / chấp nhận miễn cưỡng sử dụng phần mềm nguồn mở thì phải hiểu rằng việc giám sát các bản tin (kể cả các trang không chính thống dạng underground) về bảo mật liên quan đến sản phẩm và luôn tâm niệm "không nên trông chờ vào một đơn vị cung cấp nào đó" vì bản chất phần mềm đó mang tính cộng đồng. Do đó, người dùng phải luôn bật cảnh giác ở mức cao nhất, luôn niệm chú trong đầu là đang có thằng đứng sau lưng đợi cắt cổ ta, nghe lạnh gáy thì quay lại đá nó ngay. Vấn đề cũng giống như sống trong khu toàn bọn tội phạm thì đừng đi trách một công ty bảo vệ nào đó, cũng đừng trách chính quyền mà hãy tự trang bị cách đối phó, nếu không thể, nên đi nơi khác ở. Một ví dụ của mình về tính an toàn của nguồn mở hay nguồn đóng: trước đây mình sử dụng Blog 360 (không plus) của Yahoo! - cái này không nguồn mở, nhưng bằng cách nào đó một thằng Thổ Nhĩ Kỳ chụp nguyên trang blog lại, dùng trình xử lý ảnh xoay ngược 180 độ, sau đó đột nhập vào blog và dùng ảnh đó làm ảnh nền blog. Kết quả: bạn bè gọi điện phàn nàn "mày định cho tụi tao trồng chuối để đọc những gì mày viết àh". Từ đó, mình cảm thấy là việc bảo mật không thể không quan tâm, không thể là chuyện đùa được nên bắt đầu bắt tay hành động. Đầu tiên là lên mạng tìm các trang bảo mật uy tín, tham gia vào forum hoặc đăng ký mailing list của họ, có cả những trang dạng "bên kia chiến tuyến" như zone-h.org, defcon... chú trọng các trang hay công bố lỗ hổng bảo mật liên quan phần mềm mình đang dùng, và khi sử dụng Windows thì luôn quan tâm các tin về lỗ hổng Windows (nên chưa từng bị các loại virus, sâu như sality, conficker, w32.xxx viếng thăm). Kết quả quan tâm bảo mật là có hai vụ ứng phó thành công với bọn script kiddies: 1. Vụ Joomla! có lỗ hổng XSS cách đây vài năm: phản ứng ngay trong 15 phút đầu tiên và còn có một alert cười nhạo bọn này, trong khi đó có ít nhất 500 site ở Việt Nam lơ là bị mất quyền Admin; 2. Vụ hoang tin WordPress 3.0.4 gần đây. Còn nhiều vụ có lỗ hổng ở phần mềm Open Source khác nhưng vì phần mềm chạy trên máy không có nối mạng Internet nên chỉ vá nội bộ để tìm hiểu về bảo mật Hiện nay thì mình luôn quan tâm hàng đầu đến các thứ khi ngồi máy Windows: 1. Adobe Flash Player (chỉ xài khi vào YouTube), 2. Các thứ Reader; 3. Luôn dùng bàn phím ảo và song hành Keepass; 4. Không có một phần mềm crack / lậu nào trên máy. Như vậy, sau 3 năm từ ngày blog bị treo đầu lộn ngược, mình tự thiết lập ra chính sách bảo mật riêng và tuân thủ nó, tự phạt bằng hình thức đánh đòn vào mông và nhịn cà phê 1 ngày khi vi phạm chính sách đó. Kết quả đạt được tuy với mọi người là nhỏ nhưng với mình là rất... đáng khích lệ: không còn sợ virus máy tính (quên đi ghost, install, BSOD...), mỗi buổi sáng giải trí bằng đọc các tin RSS / Group mail về bảo mật liên quan đến các thứ Linux Ubuntu, PHP, Apache, Lighttpd, WordPress, phpBB, Drupal,... nếu có tin liên quan là xem log ngay, phản ứng trước khi quá muộn; ở cty thì dùng Windows 7 ngoài ISA Proxy cty thiết lập, mình cài thêm 1 proxy khác ngay trên máy, và gõ email này từ máy ảo nằm trong máy thật, mọi dữ liệu gửi ra (nếu không qua SSL) đều đóng trong file .RAR có đặt password 13 ký tự,... Giới thiệu phần mềm cho bạn bè dùng thì luôn khuyên họ mua hoặc xài freeware hoặc GPL, ai hỏi về phần mềm lậu thì giới thiệu cho họ Ubuntu & bè đảng :) Cuối cùng có thể kết luận như sau: khi sử dụng phần mềm nguồn mở nghĩa là bạn đang ở trong một căn nhà bằng thuỷ tinh, ai nhìn vào cũng thấy, kể cả việc hai vợ chồng bạn đang... nhưng dĩ nhiên là 2 bạn trùm mềm :) trong sự ấm cúng của hơi thở từ con dê GNU,... Còn nếu bạn sử dụng phần mềm nguồn đóng: bạn đang ở trong một khám Chí Hoà / Hoả Lò, vâng, rất an toàn nhưng đường đến...pháp trường là rất gần và mỗi ngày bạn nên đọc danh ngôn trên lịch bạn phải trông chờ vào những suất cơm bố thí của nhà nước mang tên Microsoft, Oracle,... Lời khuyên cho những ai sợ "ngủ quên" với các cảnh báo về bảo mật: nếu có điều kiện hãy thuê một dịch vụ sms của một cty bảo mật có bản tin liên quan sản phẩm của bạn, mỗi khi có tin liên quan, bạn sẽ nhận sms kịp thời và thực hiện "tiên hạ thủ vi cường". Chúc mọi người cuối tuần thư giãn nhưng không quên cảnh giác về bảo mật. 2011/1/21 Nguyen Vu Hung <[email protected]> > 2011/1/21 Nguyễn Hữu Thành <[email protected]>: > >> 1000 em karaoke tát yêu, mỗi người một cái là cũng chủ chế rồi. > > Tưởng chỉ các lão già hết hơi mới dám nói lớn :-) > Em đính chính: > > 0001 em karaoke uýnh liên tục cho tới chết: DOS > 1000 em karaoke tát yêu mỗi người một cái: DDOS > > Vị dụ về DDOS: > http://en.wikipedia.org/wiki/Denial-of-service_attack#Incidents > > Ở Việt Nam có lẽ báo chí biết nhiều nhất vụ DDOS sử dũng 0day của > flash (x-flash) > để tấn công HVA. # Thông tin mới hơn thì em chưa cập nhật. > > > > -- > Best Regards, > Nguyen Hung Vu [aka: NVH] ( in Vietnamese: Nguyễn Vũ Hưng ) > vuhung16plus{remove}@gmail.dot.com<vuhung16plus%[email protected]>, > YIM: vuhung16 , Skype: vuhung16plus > _______________________________________________ > POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines > _______________________________________________ > HanoiLUG mailing lists: http://lists.hanoilug.org/ > HanoiLUG wiki: http://wiki.hanoilug.org/ > HanoiLUG blog: http://blog.hanoilug.org/ >
_______________________________________________ POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines _______________________________________________ HanoiLUG mailing lists: http://lists.hanoilug.org/ HanoiLUG wiki: http://wiki.hanoilug.org/ HanoiLUG blog: http://blog.hanoilug.org/
