Tell
Lenovo: respect user freedom and prevent future Superfishes
by
Zak Rogoff — Published on Feb 20, 2015 03:55 PM
Theo:
https://www.fsf.org/blogs/community/tell-lenovo-respect-user-freedom-and-prevent-future-superfishes
Bài
được đưa lên Internet ngày: 20/02/2015
Lời
người dịch: Nhân việc “Các
chuyên gia về an toàn đã phát hiện một chỗ bị tổn
thương đe dọa cao trong phần mềm được cài đặt sẵn
trên một số máy tính Windows
do Lenovo sản xuất trong tháng 01/2015”,
Quỹ Phần mềm Tự do đã lên tiếng phản đối, trong đó
có đoạn mà rất đáng chú ý sau: “Các
chỗ bị tổn thương về an toàn mức cao gần đây trong
PMTD, như Heartbleed
và POODLE,
đã được tạo ra khi các lập
trình viên có ý định tốt đã mắc các sai lầm mà đã
khó để dò tìm ra. Nhưng điều
đó là khác - Lenovo và Superfish
đã gây ra một lỗ hổng về an toàn khổng lồ vì lợi
ích của động cơ tạo doanh thu cho quảng cáo”.
Đáng tiếc là ở Việt Nam ít người phân biệt được
điều này, hoặc cũng có thể, nhiều người thích xuyên
tạc điều này.
Các
chuyên gia về an toàn đã phát hiện một chỗ bị tổn
thương đe dọa cao trong phần mềm được cài đặt sẵn
trên một số máy tính Windows do Lenovo sản xuất trong
tháng 01/2015. Sự cẩu thả cực kỳ ở phía Lenovo và việc
lập trình vô lương tâm của đối tác phần mềm quảng
cáo Superfish của nó dường như đã gây ra chỗ bị tổn
thương đó.
Điều
cơ bản của vấn đề là một chương trình của Superfish
được thiết kế để tiêm vào các quảng cáo trong trình
duyệt web của người sử dụng. Điều đó đang gia tăng,
mà nó ngày một tệ hơn. Superfish cũng cài đặt một
chứng thực mà chặn giao thông Web và đánh què khả năng
của máy tính sử dụng HTTPS để kiểm tra hợp lệ xác
thực các website. Điều này để lại một cửa hậu cho
những kẻ tấn công sử dụng các phiên bản giả mạo
của các site đáng ra là có an toàn - giống như các
website ngân hàng - để ăn cắp thông tin cá nhân. Bạn có
thể đọc được nhiều hơn về chỗ bị tổn thương này
ở Ars
Technica.
Bất
kể khi nào sử dụng các phần mềm sở hữu độc quyền
như Windows hoặc Superfish, đúng, có thể tin, an toàn có
thể xác minh luôn không đạt được. Vì mã sở hữu độc
quyền không thể thanh tra được một cách công khai, không
có cách gì để kiểm tra hợp lệ an toàn của nó được.
Những người sử dụng phải tin rằng mã đó là an toàn
và các công việc như được quảng cáo. Vì mã sở hữu
độc quyền chỉ có thể được sửa đổi bởi các lập
trình viên mà yêu sách để sở hữu nó, những người sử
dụng bất lực phải chọn cách trong đó các lỗi về an
toàn được sửa. Với các phần mềm sở hữu độc
quyền, an toàn của người sử dụng là đứng sau sự
kiểm soát của lập trình viên.
Các
chỗ bị tổn thương về an toàn mức cao gần đây trong
PMTD, như Heartbleed
và POODLE,
đã được tạo ra khi các lập trình viên có ý định tốt
đã mắc các sai lầm mà đã khó để dò tìm ra. Nhưng
điều đó là khác - Lenovo và Superfish đã gây ra một lỗ
hổng về an toàn khổng lồ vì lợi ích của động cơ
tạo doanh thu cho quảng cáo.
Các
công ty đó đã chỉ ra sự coi thường trắng trợn đối
với lòng tin của công chúng mà họ sẽ phải làm việc
cật lực để khôi phục nó. Lenovo nên làm việc với bên
thứ 3 cam kết vì lợi ích của công chúng - như Quỹ Phần
mềm Tự do - để tạo ra và bán các máy tính xách tay
được chứng thực tôn trọng sự tự do của người sử
dụng và đi với một hệ
điều hành tự do được cài đặt
sẵn. Hãy ra nhập với chúng tôi trong việc kêu gọi vì
sự thay đổi này trên các mạng xã hội (xem khuyến
cáo của chúng tôi về các nền tảng phương tiện xã
hội).
Security
experts have discovered a highly threatening vulnerability in
software preinstalled on some Windows computers manufactured by
Lenovo through January 2015. Extreme negligence on the part of Lenovo
and unscrupulous programming by its adware partner Superfish seem to
have caused the vulnerability.
The
basis of the problem is a program by Superfish that is designed to
interject advertisements into users' Web browsing. That's irritating,
but it gets worse. Superfish also installs a certificate that
intercepts Web traffic and cripples the host computer's ability to
use HTTPS to validate the authenticity of Web sites. This leaves an
open door for attackers to use fake versions of sites that should be
secure -- like bank Web sites -- to steal personal information. You
can read more about the vulnerability at Ars
Technica.
Whenever
you use proprietary software like Windows or Superfish, true,
trustable, verifiable security is always out of reach. Because
proprietary code can't be publicly inspected, there's no way to
validate its security. Users have to trust that the code is safe and
works as advertised. Since proprietary code can only be modified by
the developers who claim to own it, users are powerless to choose the
manner in which security bugs are fixed. With proprietary software,
user security is secondary to developer control.
Recent
high-profile security vulnerabilities in free software, like
Heartbleed
and POODLE,
were created when well-intentioned developers made mistakes that were
difficult to detect. But this is different -- Lenovo and Superfish
caused a massive security breach for the sake of expedience in
generating ad revenue.
These
companies have shown such blatant disregard for the public trust that
they will have to work hard to restore it. Lenovo should work with a
third party committed to the public interest -- like the Free
Software Foundation -- to create and sell laptops that are certified
to respect user freedom and come with a preinstalled free
operating system. Join us in calling for this change on social
media (see our recommendations
for social media platforms).
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.