Thứ Hai, 20 tháng 2, 2012

Không an ninh vì sự tù mù


Insecurity By Obscurity
Symantec có một số câu hỏi rất nghiêm trọng phải trả lời về sự tôn trọng đối với an ninh các khách hàng của họ
Symantec has some very serious questions to answer about their respect for their customers' security.
Published 22:46, 27 January 12
Bài được đưa lên Internet ngày: 27/01/2012
Lời người dịch: Những người sử dụng phần mềm truy cập từ xa pcAnywhere của Symantec chắc sẽ không hiểu vì sao mà Symantec lại yêu cầu họ phải vô hiệu hóa hoặc bỏ cài đặt phần mềm trong khi hãng sửa một số lỗi không được biết. Simon Phipps, người từng có 30 năm trong nghề phần mềm, người từng là lãnh đạo của Sun Microsystems, có 3 câu hỏi dành cho Symantec và mong được trả lời nghiêm túc về cái gọi là: “nguồn đóng mới an ninh”. Bạn hãy xem để hiểu vì sao khi người ta nói “nguồn đóng mới an ninh” thì bạn phải hiểu rằng điều đó chỉ là sự quảng cáo.
Tuần này đã thấy một thông báo gây ngạc nhiên và sốc của Symantec. Theo Gregg Keizer của ComputerWorld:
Symantec tuần này đã thực hiện một bước không bình thường cao độ khi nói cho những người sủ dụng phần mềm truy cập từ xa của hãng là pcAnywhere phải vô hiệu hóa hoặc bỏ cài đặt phần mềm trong khi hãng sửa một số lỗi không được biết.
Tư vấn này giật pcAnywhere khỏi dịch vụ đã được nhắc của một rò rỉ mã nguồn của nó năm 2006 và sự liên can rất nhiều gần đây của Anonymous,
Tuần trước, Symantec đã thừa nhận mạng của riêng hãng đã bị đánh thủng trong năm 2006. Hôm thứ ba, hãng một lần nữa nói mã nguồn cho một số sản phẩm của hãng, bao gồm cả pcAnywhere, đã bị đánh cắp khi đó.
Một lỗ hổng an ninh có thể xảy ra cho bất kỳ ai. Giống như STD, thật lúng túng và phản ứng tồi tệ về nạn nhân, nhưng cuối cùng không có khả năng sẽ là chết người. Nhưng có một số, nhiều câu hỏi sâu hơn cần phải được trả lời.
Như một cựu binh 30 năm của nền công nghiệp phần mềm, người đã từng thấy bên trong một số máy tính những cục xúc xích phần mềm của các tập đoàn, tôi có 3 câu hỏi tôi muốn thấy được trả lời một cách trung thực và rõ ràng về sự rò rỉ mã nguồn của Symantec:
  1. Vì sao nó đã trải qua 5 năm đối với sự thu nạp và cảnh báo nổi lên từ Symantec? Vì sao nó lại có áp lực từ các cao thủ công nghệ để có được họ sở hữu chúng, chứ không phải là một cam kết trả tiền cho các khách hàng hoặc quan tâm đến uy tín thương hiệu của riêng họ?
  2. Vì sao họ đã cho phép những khiếm khuyết về an ninh - những khiếm khuyết nghiêm trọng như vậy đối với các khách hàng sẽ được khuyến cáo dừng sử dụng phần mềm của họ - đối với những khiếm khuyết y hệt đã được biết nhưng chưa được sửa trong 5 năm?
  3. Vì sao chúng phụ thuộc vào sự bí mật của mã nguồn trong các phần mềm thương mại được quảng cáo với một chủ đề “hãy tin chúng tôi, chúng tôi là các chuyên gia”? Bất kỳ cơ chế an ninh thương mại đáng tin cậy nào cũng sẽ dựa vào một thuật toán mạnh, và nó được hiểu một cách rộng rãi rằng một thuật toán mạnh là thuật toán đã được soi xét kỹ một cách công khai và được triển khai công khai. “An ninh bằng sự tù mù” là mất uy tín vì nó là không phù hợp, như phong trào nguồn mở đã chứng minh đầy đủ hơn 1 thập kỷ qua.
Trong kỷ nguyên nguồn mở, ưu thế duy nhất mà các nhà cung cấp sở hữu độc quyền đã để lại trên những sự đăng ký thuần túy là giá trị được thêm vào mà họ đã tuyên bố tới từ việc có “sự kiểm soát hoàn toàn” mã nguồn đó. Tôi đang chờ câu trả lời nghiêm túc cho các câu hỏi nghiêm túc đó, Symantec.
This week saw a surprising and shocking announcement by Symantec. According to ComputerWorld's Gregg Keizer:
Symantec this week took the highly unusual step of telling users of its pcAnywhere remote access software to disable or uninstall the software while it fixes an unknown number of bugs.
:
The advice to yank pcAnywhere from service was prompted by a 2006 leak of its source code and the much more recent involvement of Anonymous,
:
Last week, Symantec admitted its own network had been breached in 2006. Tuesday, it again said source code for several of its products, including pcAnywhere, had been stolen at that time.

A security breach can happen to anyone. Like an STD, it's embarrassing and reflects badly on the victim, but ultimately isn't likely to be fatal. But there are some much, much deeper questions to be answered.
As a thirty-year veteran of the software industry who has seen the inside of several corporate software sausage machines, I have three questions I would like to see answered honestly and clearly about about Symantec's code leak:
  1. Why has it taken over five years for this admission and warning to surface from Symantec? Why did it take pressure from technology geeks to get them to own up, rather than a commitment to paying customers or concern for their own brand reputation?
  2. Why have they allowed security defects - ones so serious customers are recommended to stop using their software - to persist known but unfixed for those same five years?
  3. Why are they depending on code secrecy in commercial software advertised with a "trust us, we're experts" theme? Any reliable commercial security mechanism will rely on a strong algorithm, and it's widely understood that a strong algorithm is one that has been publicly scrutinized and publicly implemented. "Security by obscurity" is as discredited as it is inappropriate, as the open source movement has amply demonstrated for over a decade.
In the age of open source, the only advantage the proprietary vendors had left over pure subscriptions was the extra value that they claimed comes from having "complete control" of the source code. I'm looking forward to serious answers to these serious questions, Symantec.
Dịch tài liệu: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.