Insecurity
By Obscurity
Symantec
có một số câu hỏi rất nghiêm trọng phải trả lời về
sự tôn trọng đối với an ninh các khách hàng của họ
Symantec
has some very serious questions to answer about their respect for
their customers' security.
Published 22:46, 27
January 12
Bài được đưa lên
Internet ngày: 27/01/2012
Lời
người dịch: Những người sử dụng phần mềm truy cập
từ xa pcAnywhere của Symantec chắc sẽ không hiểu vì sao
mà Symantec lại yêu cầu họ phải vô hiệu hóa hoặc bỏ
cài đặt phần mềm trong khi hãng sửa một số lỗi không
được biết. Simon Phipps, người từng có 30 năm trong nghề
phần mềm, người từng là lãnh đạo của Sun
Microsystems, có 3 câu hỏi dành cho Symantec và mong được
trả lời nghiêm túc về cái gọi là: “nguồn đóng mới
an ninh”. Bạn hãy xem để hiểu vì sao khi người ta
nói “nguồn đóng mới an ninh” thì bạn phải hiểu rằng
điều đó chỉ là sự quảng cáo.
Tuần này đã thấy
một thông báo gây ngạc nhiên và sốc của Symantec. Theo
Gregg Keizer của ComputerWorld:
Symantec tuần này
đã thực hiện một bước không bình thường cao độ khi
nói cho những người sủ dụng phần mềm truy cập từ xa
của hãng là pcAnywhere phải vô hiệu hóa hoặc bỏ cài
đặt phần mềm trong khi hãng sửa một số lỗi không
được biết.
Tư vấn này giật
pcAnywhere khỏi dịch vụ đã được nhắc của một rò rỉ
mã nguồn của nó năm 2006 và sự liên can rất nhiều gần
đây của Anonymous,
Tuần trước,
Symantec đã thừa nhận mạng của riêng hãng đã bị đánh
thủng trong năm 2006. Hôm thứ ba, hãng một lần nữa nói
mã nguồn cho một số sản phẩm của hãng, bao gồm cả
pcAnywhere, đã bị đánh cắp khi đó.
Một
lỗ hổng an ninh có thể xảy ra cho bất kỳ ai. Giống như
STD, thật lúng túng và phản ứng tồi tệ về nạn nhân,
nhưng cuối cùng không có khả năng sẽ là chết người.
Nhưng có một số, nhiều câu hỏi sâu hơn cần phải được
trả lời.
Như
một cựu binh 30 năm của nền công nghiệp phần mềm,
người đã từng thấy bên trong một số máy tính những
cục xúc xích phần mềm của các tập đoàn, tôi có 3 câu
hỏi tôi muốn thấy được trả lời một cách trung thực
và rõ ràng về sự rò rỉ mã nguồn của Symantec:
- Vì sao nó đã trải qua 5 năm đối với sự thu nạp và cảnh báo nổi lên từ Symantec? Vì sao nó lại có áp lực từ các cao thủ công nghệ để có được họ sở hữu chúng, chứ không phải là một cam kết trả tiền cho các khách hàng hoặc quan tâm đến uy tín thương hiệu của riêng họ?
- Vì sao họ đã cho phép những khiếm khuyết về an ninh - những khiếm khuyết nghiêm trọng như vậy đối với các khách hàng sẽ được khuyến cáo dừng sử dụng phần mềm của họ - đối với những khiếm khuyết y hệt đã được biết nhưng chưa được sửa trong 5 năm?
- Vì sao chúng phụ thuộc vào sự bí mật của mã nguồn trong các phần mềm thương mại được quảng cáo với một chủ đề “hãy tin chúng tôi, chúng tôi là các chuyên gia”? Bất kỳ cơ chế an ninh thương mại đáng tin cậy nào cũng sẽ dựa vào một thuật toán mạnh, và nó được hiểu một cách rộng rãi rằng một thuật toán mạnh là thuật toán đã được soi xét kỹ một cách công khai và được triển khai công khai. “An ninh bằng sự tù mù” là mất uy tín vì nó là không phù hợp, như phong trào nguồn mở đã chứng minh đầy đủ hơn 1 thập kỷ qua.
Trong kỷ nguyên nguồn mở, ưu thế duy nhất mà các nhà
cung cấp sở hữu độc quyền đã để lại trên những
sự đăng ký thuần túy là giá trị được thêm vào mà
họ đã tuyên bố tới từ việc có “sự kiểm soát hoàn
toàn” mã nguồn đó. Tôi đang chờ câu trả lời nghiêm
túc cho các câu hỏi nghiêm túc đó, Symantec.
This
week saw a surprising and shocking announcement by Symantec.
According
to ComputerWorld's Gregg Keizer:
Symantec
this week took the highly unusual step of telling users of its
pcAnywhere remote access software to disable or uninstall the
software while it fixes an unknown number of bugs.
:
The advice to yank pcAnywhere from service was prompted by a 2006 leak of its source code and the much more recent involvement of Anonymous,
:
The advice to yank pcAnywhere from service was prompted by a 2006 leak of its source code and the much more recent involvement of Anonymous,
:
Last week, Symantec admitted its own network had been breached in 2006. Tuesday, it again said source code for several of its products, including pcAnywhere, had been stolen at that time.
Last week, Symantec admitted its own network had been breached in 2006. Tuesday, it again said source code for several of its products, including pcAnywhere, had been stolen at that time.
A security breach can happen to anyone. Like an STD, it's embarrassing and reflects badly on the victim, but ultimately isn't likely to be fatal. But there are some much, much deeper questions to be answered.
As
a thirty-year veteran of the software industry who has seen the
inside of several corporate software sausage machines, I have three
questions I would like to see answered honestly and clearly about
about Symantec's code leak:
- Why has it taken over five years for this admission and warning to surface from Symantec? Why did it take pressure from technology geeks to get them to own up, rather than a commitment to paying customers or concern for their own brand reputation?
- Why have they allowed security defects - ones so serious customers are recommended to stop using their software - to persist known but unfixed for those same five years?
- Why are they depending on code secrecy in commercial software advertised with a "trust us, we're experts" theme? Any reliable commercial security mechanism will rely on a strong algorithm, and it's widely understood that a strong algorithm is one that has been publicly scrutinized and publicly implemented. "Security by obscurity" is as discredited as it is inappropriate, as the open source movement has amply demonstrated for over a decade.
In
the age of open source, the only advantage the proprietary vendors
had left over pure subscriptions was the extra value that they
claimed comes from having "complete control" of the source
code. I'm looking forward to serious answers to these serious
questions, Symantec.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.