Thứ Năm, 14 tháng 10, 2010

Bạn ít nhất phải có an ninh để lướt trên Internet

You must be at least this secure to ride on the Internet

By Steven J. Vaughan-Nichols | October 6, 2010, 3:50pm PDT

Theo: http://www.zdnet.com/blog/networking/you-must-be-at-least-this-secure-to-ride-on-the-internet/217

Bài được đưa lên Internet ngày: 06/10/2010

Lời người dịch: (1) Phó chủ tịch của Microsoft nói: “Giống hệt như khi một cá nhân không được tiêm phòng đặt sức khỏe của những người khác vào rủi ro, các máy tính mà không được bảo vệ hoặc đã bị tổn thương với một bot sẽ đặt những người khác vào rủi ro và áp đặt một mối đe dọa lớn hơn cho xã hội. Trong thế giới vật lý, các tổ chức y tế quốc tế, quốc gia, và địa phương xác định, theo dõi và kiểm soát sự lan truyền của dịch bệnh mà có thể đưa vào, ở những nơi cần thiết, đảm bảo cho mọi người tránh được sự lây nhiễm từ những người khác. Nói đơn giản, chúng ta cần cải thiện và duy trì sức khỏe của các thiết bị tiêu dùng được kết nối tới Internet để tránh rủi ro lớn hơn cho xã hội. Để hiện thực hóa được tầm nhìn này, có những bước mà có thể được thực hiện từ các chính phủ, nền công nghiệp IT, các nhà cung cấp dịch vụ Internet, những người sử dụng và những người khác để đánh giá sức khỏe của các thiết bị dân dụng trước khi đảm bảo cho chúng truy cập không bị cùm xiềng tới Internet hoặc các tài nguyên sống còn khác”; (2) Báo cáo của G Data chỉ ra rằng: Windows chứa tới 99,4% tất cả các phần mềm độc hại theo G Data: (3) Các hệ thống bảo vệ truy cập mạng: Cho tới khi máy tính đó (bị lây nhiễm phần mềm độc hại) có thể chứng minh được rằng hiện tại nó tự bản thân cư xử cho phải phép, còn không thì họ sẽ bị khóa trong một nhà tù của một mạng LAN ảo nơi mà chỉ những sites mà họ có thể tới là những site giải thích cho họ - theo nhiều điều khoản rất đơn giản - những gì họ cần phải làm để loại trừ vấn đề của họ; (4) Tác giả bài viết đề xuất: Vì thế, thật logic, thứ tốt nhất phải làm có thể là cấm Windows truy cập vào Internet! (5) Còn bạn thì nghĩ thế nào?

Bạn tội Richi Jennings rất thích ý tưởng rằng những người sử dụng với những máy tính cá nhân PC bị lây nhiễm phần mềm độc hại phải bị cắt khỏi Internet. Về điều này, tôi không chỉ nói “Đồng ý”, mà còn là “Tuyệt đối đồng ý”. Và , như anh ta đã chỉ ra, những người khác đang đứng đằng sau ý tưởng giúp làm sạch một chút khỏi spam, phần mềm độc hại, và các cuộc tấn công từ chối dịch vụ (DdoS) mà làm ô uế đường cao tốc Internet.

Comcast, như Jenning đã chỉ ra, sẽ cho phép những người sử dụng bị lây nhiễm phần mềm độc hại biết rằng họ có cái sọt rác trên đĩa cứng của họ, mà không vứt họ ra khỏi mạng. Đáng nguyền rủa.

Phó Chủ tịch về Điện toán Tin cậy của Microsoft, Scott Charney, vừa mới gợi ý, rằng “Giống hệt như khi một cá nhân không được tiêm phòng đặt sức khỏe của những người khác vào rủi ro, các máy tính mà không được bảo vệ hoặc đã bị tổn thương với một bot sẽ đặt những người khác vào rủi ro và áp đặt một mối đe dọa lớn hơn cho xã hội. Trong thế giới vật lý, các tổ chức y tế quốc tế, quốc gia, và địa phương xác định, theo dõi và kiểm soát sự lan truyền của dịch bệnh mà có thể đưa vào, ở những nơi cần thiết, đảm bảo cho mọi người tránh được sự lây nhiễm từ những người khác. Nói đơn giản, chúng ta cần cải thiện và duy trì sức khỏe của các thiết bị tiêu dùng được kết nối tới Internet để tránh rủi ro lớn hơn cho xã hội. Để hiện thực hóa được tầm nhìn này, có những bước mà có thể được thực hiện từ các chính phủ, nền công nghiệp IT, các nhà cung cấp dịch vụ Internet, những người sử dụng và những người khác để đánh giá sức khỏe của các thiết bị dân dụng trước khi đảm bảo cho chúng truy cập không bị cùm xiềng tới Internet hoặc các tài nguyên sống còn khác”.

Nói một cách khác, nếu thiết bị của bạn không được bảo vệ, thì xin lỗi, bạn không thể lên Internet. Tôi thấy điều này hơn cả một điều chớ trêu tới từ một lãnh đạo của Microsoft. Sau tất cả, Windows chứa tới 99,4% tất cả các phần mềm độc hại theo G Data, một công ty an ninh IT của Đức. Điều đó nghe đúng đấy.

My friend Richi Jennings is fond of the idea that users with malware-infected PCs should be cut off from the Internet. To this, I say not just “Yes,” but “Hell yes.” And, as he pointed out, other people are getting behind this idea of helping to clean up the litter of spam, malware, and distributed denial-of-service (DDoS) attacks that junks up the Internet highway.

Comcast, as Jennings pointed out, will be letting imalware-infected users know that they’ve got garbage on their hard disk, but not keeping them off the net. Darn it.

Microsoft’s Corporate VP of Trustworthy Computing, Scott Charney, has just suggested, that “Just as when an individual who is not vaccinated puts others’ health at risk, computers that are not protected or have been compromised with a bot put others at risk and pose a greater threat to society. In the physical world, international, national, and local health organizations identify, track and control the spread of disease which can include, where necessary, quarantining people to avoid the infection of others. Simply put, we need to improve and maintain the health of consumer devices connected to the Internet in order to avoid greater societal risk. To realize this vision, there are steps that can be taken by governments, the IT industry, Internet access providers, users and others to evaluate the health of consumer devices before granting them unfettered access to the Internet or other critical resources.”

In other words, if your device isn’t protected, sorry, you can’t go on the Internet. I find this more than a little ironic coming from a Microsoft executive. After all, Windows is the host for 99.4% of all malware according to G Data, a German IT security company. That’s sounds about right.

Vì thế, thật logic, thứ tốt nhất phải làm có thể là cấm Windows truy cập vào Internet! OK, trong khi tôi có thể ủng hộ ý tưởng này, thì điều đó chưa xảy ra.

Thế chúng ta có thể làm được gì? Vâng, đố với những người tiên phong, các nhà cung cấp dịch vụ mạng ISP có thể bắt đầu đưa vào nội dung trong các Chính sách Sử dụng Chấp nhận được AUP (Acceptable Usage Policies) mà nếu một thiết bị nào đó của người sử dụng có thể được chỉ ra là đang tích cực gửi đi spam, tham gia vào các cuộc tấn công từ chối dịch vụ DdoS, hoặc gây ra một sự thiệt hại, thì các ISP có thể khóa tài khoản đó cho tới khi họ quét phần mềm độc hại đó ra khỏi các máy tính cá nhân của họ.

Và làm thế nào họ làm được điều đó? Họ đã sử dụng sự Kiểm soát Truy cập Mạng NAC (Network Access Control).

Trong các công ty, công nghệ NAC đảm bảo rằng trước khi bất kỳ máy tính nào của người sử dụng đầu cuối hoặc các điểm khác, chỉ được cho phép trên mạng của doanh nghiệp máy tính phải được chứng minh rằng nó tuân thử với các chính sách về an ninh của công ty. Vì thế, bạn có thể khóa những máy tính mà không có được những bản vá mới nhất hoặc cập nhật mới nhất đối với chương trình chống virus của công ty.

Có nhiều tiếp cận NAC đã có sẵn. Một số quan trọng hơn về điều này là Hệ thống Kiểm soát Truy cập An ninh của Cisco, Kết nối Mạng Tin cậy TNC (Trusted Network Connect) của Nhóm Điện toán Tin cậy và Bảo vệ Truy cập Mạng NAP (Network Access Protection) của Microsoft. Cũng có nhiều thứ khác cho bất kỳ công ty hoặc ISP kích cỡ nào.

Cách mà các công ty sử dụng NAC có thể không bao giờ bay được trên Internet, nhưng rồi, chúng ta không thể đòi hỏi những người sử dụng chứng minh rằng các máy tính của họ là an toàn, haowcj an toàn hơn. Chúng ta chỉ có thể sử dụng NAC để khóa các phần cứng mà tự nó đã chỉ ra rằng nó có hại cho Internet. Cho tới khi máy tính đó có thể chứng minh được rằng hiện tại nó tự bản thân cư xử cho phải phép, còn không thì họ sẽ bị khóa trong một nhà tù của một mạng LAN ảo nơi mà chỉ những sites mà họ có thể tới là những site giải thích cho họ - theo nhiều điều khoản rất đơn giản - những gì họ cần phải làm để loại trừ vấn đề của họ.

Tôi không biết gì về bạn, nhưng tôi thích kế hoạch này. Còn bạn thì nghĩ thế nào?

So, logically, the best thing to do would be to ban Windows from the Internet! OK, while I can get behind that idea, that’s not going to happen.

So what can we do? Well, for starters, ISPs could start including language in their Acceptable Usage Policies (AUP) that if a user’s devices can be shown to be actively sending spam, participating in DDoS , or otherwise causing a nuisance, the ISP can lock down their account until they get the malware off their PC.

And how would they do that? They’d use NAC (Network Access Control).

In companes, NAC technology makes sure that before any end user’s computer or any other endpoint, is only allowed on the corporate network the computer must prove that it complies with the company’s security policies. So, you could lock out say PCs that don’t have the latest IT-blessed patches or the latest updates for the corporate anti-virus program.

There are multiple NAC approaches already out there. Some of the more important of these are Cisco’s Secure Access Control System, the Trusted Computing Group’s TNC (Trusted Network Connect PDF Link) and Microsoft’s NAP (Network Access Protection). There are also many others for any size company or ISP.

The way companies use NAC would never fly on the Internet, but then, we wouldn’t be requiring users to prove that their systems are safe, or safer anyway. We’d only be using NAC to lock down hardware that’s already showing itself to be an Internet litterbug. Until the system can prove that it’s now behaving itself, it can stay locked down in in a VLAN (virtual LAN) jail where the only sites they can get to are the ones explaining to them-in very simple terms-what they need to do to get rid of their problem.

I don’t know about you, but I like this plan. What do you think folks?

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.