Thứ Tư, 16 tháng 12, 2009

Một 'Phần mềm độc hại có đạo đức' có là phép nghịch hợp hoặc trải nghiệm tốt nhất?

Is 'Ethical Malware' an Oxymoron or a Best Practice?

By Katherine Noyes, LinuxInsider

12/07/09 4:00 AM PT

Theo: http://www.linuxinsider.com/story/Is-Ethical-Malware-an-Oxymoron-or-a-Best-Practice-68824.html

Bài được đưa lên Internet ngày: 07/12/2009

Lời người dịch: Nhân việc có một lập trình viên viết và đưa ra một chương trình phần mềm độc hại cho Linux để chứng tỏ mình, trên các blog của thế giới phần mềm tự do nguồn mở đã nổ ra những tranh luận về cả đề tài này lẫn đề tài về việc nên trao Giải Nobel Hòa bình cho Linus Torvalds hay Richard Stallman. 2 sự việc này là ở 2 cực về đạo đức của thế giới FOSS. Những lý luận trong bài là rất đáng đọc.

Liệu có bao giờ những hoàn cảnh nào đó đảm bảo cho việc sử dụng phần mềm độc hại hay không? Câu hỏi đó đã được tung ra về FOSS trên không gian blog tuần này, sau khi một lập trình viên có ý tốt đã nghi ngờ liệu có là có đạo đức để phơi bày ra những chỗ có thể bị tổn thương mà những người khác có thể sau đó khai thác hay không. Tất cả ở chỗ điều khiển nó thế nào, Chris Travers gợi ý, người làm việc về dự án LedgerSMB. “Chúng ta sửa trước, rồi chúng ta giải thích làm thế nào chỗ bị tổn thương này làm việc được”.

Crystal Reports - phát hiện những đổi mới sáng tạo mới nhất.

hãy tải về một bản thử nghiệm tự do, xem chức năng 'đằng sau sân khấu' trong thời gian thực, và học về buôn bán máy chủ Crystal Report theo các lựa chọn! Hãy học nhiều hơn nữa.

Mỗi cộng đồng có những người anh hùng của nó, và ở đây trong thế giới của Linux không nghi ngờ gì rằng Linus Torvalds là một trong số họ.

Linus đặc trung nổi bật hơn so với bình thường trong không gian blog về Linux trong tuần trước, trên thực tế, và không chỉ vì ông đã tung ra phiên bản 2.6.32 của nhân Linux.

Quả thực không phải vì vậy! Thú vị dù một phiên bản mới có thể, một cuộc tranh luận còn lớn hơn về Linux mà các blog tuần trước là một sự tự nhiên rất khác thường. Một sự tự nhiên dạng của Obama, bạn có thể nói, hoặc một dạng của Al Gore (từng là phó tổng thống Mỹ thời Bill Clinton).

Vâng, đã có cuộc thảo luận nghiêm túc về khả năng một Giải Nobel Hòa bình cho người Phần Lan yêu thích của chúng ta!

'Một trong những Nỗ lực Quốc tế Lớn nhất'

Ý tưởng này hình như dấy lên trong cộng đồng Linux xung quanh vùng Portland, bang Oregon, nơi mà Linus bản thân ông đang sống.

“Linux là một tong những nỗ lực quốc tế hợp tác lớn hất từ trước tới nay được thực hiện”, Keith Lofstrom trong một bức thư xuất bản trên một blog báo chí Ridenbaugh đã viết. “Nó đã truyền cảm hứng cho Ubuntu, cho OLPC và rất nhiều dự án toàn cầu khác”.

“Linux đã chinh phục không gian siêu máy tính, không gian các máy chủ, không gian các máy tính nhúng - bằng các phương tiện hòa bình!”, Lofstrom tiếp tục. “Linux đã giúp tiếp tục khoa học gen con người, giúp bảo vệ hạ tầng máy tính của thế giới khỏi các cuộc tấn công bằng virus, và bây giờ là cách cho hàng triệu người học lập trình máy tính và tham gia vào những nỗ lực quốc tế mới”.

Do circumstances EVER warrant the use of malware? That question was bandied about the FOSS blogosphere this week, after a well-meaning developer wondered whether it would be ethical to expose vulnerabilities that others might then exploit. It's all in how it's handled, suggested Chris Travers, who works on the LedgerSMB project. "We fix first, then we explain how the vulnerability works."

Crystal Reports - Discover the Latest Innovations.

Download a free trial, view real-time 'behind the scenes' functionality, and learn about new Crystal Reports Server trade in options! Learn more.

Every community has its heroes, and here in the world of Linux there's no doubt that Linus Torvalds is one of them.

Linus featured more prominently than usual in the Linux blogosphere over the past week, in fact, and not just because he released version 2.6.32 of the Linux kernel.

No indeed! Exciting though a new release may be, an even bigger discussion on the Linux blogs last week was of a very different nature. An Obama-ish nature, you might say, or an Al Gore-ish one.

Yes, there was serious discussion of the possibility of a Nobel Peace Prize for our favorite Finn!

'One of the Largest International Efforts'

The idea apparently arose in the Linux community surrounding Portland, Ore., where Linus himself resides.

"Linux is one of the largest cooperative international efforts ever undertaken," wrote Keith Lofstrom in a letter published on a Ridenbaugh Press blog. "It inspired Ubuntu, One Laptop Per Child, and many other global projects.

"Linux conquered the supercomputer space, the server space, the embedded computer space -- by peaceful means!" Lofstrom went on. "Linux helped sequence the human genome, helps protect the world computer infrastructure from viral attack, and is now the pathway for millions to learn computer programming and participate in new international efforts."

Linux hay Stallman?

Hơn 20 bình luận đã chúc mừng gợi ý ở đó trước khi nó được nhấc lên Slashdot, gây ra một sự tán loạn nhỏ của khoảng 500 cái nữa.

Linus “có thể chắc chắn xứng đáng hơn về một Giải Nobel Hòa bình [hơn là] một nhóm những người đã nhận mới đay mà họ nghĩ tới...”, cayenne8 đã viết trên Slashdot, ví dụ. “Ông ta thực sự đã đặt thứ gì đó có thể sờ mó được cùng với, và đã nhìn thấy trước được nó nhiều năm, đối nghịch lại một số người được đề cử gần đây trước khi ông ta còn đã làm xong bất kỳ thứ gì”.

Một trong những cánh tay khác, “Toàn bộ phong trào này trong đó Linux đã nở rộ là bởi sự sáng tạo và sáng kiến rộng lớn của Stallman”, MightyMartian đã lưu ý. “Ngay cả dù ông ta có hơi điên rồ và có thể là một sự châm chọc chính, nếu ai đó xứng đáng, thì đó là Stallman”.

'Vâng!'

Những ý nghĩ tương tự có thể được nghe giữa những tiếng om sòm tại quán bar của các blogger ưu thích Linux Girl (cô gái Linux), Punchy Penguin.

“Linus nên có một Giải thưởng Nobel ư? Đúng thế” blogger yagu trên Slashdot hồ hởi. “Linus đã tạo ra thứ gì đó mà động chạm và ảnh hưởng tới mọi người trong giới công nghệ và, hoàn toàn đúng, vượt cả ra ngoài nữa”.

“Linus đã có một khiếu nghiệp vụ và thực dụng về 'dự án' Linux, và không có TLC của ông ta thì tôi thấy nó khó mà nghĩ quá nhiều người khác có thể đã hoàn thành được thứ y như vậy với ảnh hưởng khổng lồ như vậy”, yagu đã nói cho LinuxInsider.

Linus or Stallman?

More than 20 comments greeted the suggestion there before it was picked up on Slashdot, causing a small stampede of some 500 or so more.

Linus "would definitely be more deserving of a Nobel Peace Prize [than] a couple of the last recipients that come to mind....," wrote cayenne8 on Slashdot, for example. "He actually has put something tangible together, and overseen it for years, as opposed to someone nominated recently before he had even done anything."

On the other hand, "the whole movement in which Linux blossomed was by and large Stallman's creation and initiative," noted MightyMartian. "Even though he's a bit loopy and can be a major prick, if anyone deserves it, it's Stallman."

'Yes!'

Similar thoughts could be heard amid the din at Linux Girl's favorite blogo-bar, the Punchy Penguin.

"Should Linus get a Nobel Prize? Yes!" enthused Slashdot blogger yagu. "Linus created something that touches and affects everyone in technology and, implicitly, beyond.

"Linus has had a business and pragmatic sense about the Linux 'project,' and without his TLC I find it difficult to think too many others would have accomplished the same thing with the same dramatic impact," yagu told LinuxInsider.

'Không phải Giải thưởng đó'

Mặt khác: “Tha lỗi cho tôi khi tôi nói, cái gì vậy?” blogger hairyfeet trên Slashdot nói. “Tôi luôn nghĩ giải thưởng hòa bình phải tới những ai mà họ thực sự đã chịu đựng và đã đấu tranh để làm cho thế giới này là chỗ tốt hơn, như những nhà văn mà họ đã liều mạng cho Soviet Gulag để nói ra về các quyền con người, hoặc làm những công việc cực nhọc trong những khu ổ chuột như Mẹ Teresa”.

“Linux là dễ chịu, nhưng thôi mà, hãy nghiêm túc ở đây đi”, hairyfeet bổ sung. “Liều mạng với tù tội hoặc làm việc trong các khu ổ chuột đầy dẫy bệnh tật đối nghịch với việc viết phần mềm ư? Nếu bạn muốn trao cho Linus một giải thưởng, tôi hoàn toàn đồng ý. Chỉ không phải là giải thưởng ĐÓ, được không?”

Còn đối với khả năng của Stallman ư?

“Quả táo và quả cam”, yagu bổ sung. “Những đóng góp của Stallman chạng vạng và gây kinh hãi. Thuật ngoại giao của Stallman không - đôi khi nó cũng là về một con người dễ chịu”.

Một lựa chọn chia sẻ ư?

Rồi một lần nữa: “Tôi nghĩ nó có thể vừa thú vị hơn và vừa chính xác hơn để thấy Linus và Richard Stallman chia sẻ một giải thưởng”, blogger Barbara Hudson trên Slashdot đã nói với LinuxInsider.

“Không có GPL và chuỗi công cụ của GNU, Linux liệu có thể là trong một miền khác hoàn toàn ngay bây giờ, đặc biệt là về những đóng góp mã nguồn được hỗ trợ từ các doanh nghiệp cho nhân”, bà giải thích.

“Lựa chọn ảnh kết quả có thể chỉ là một sự tưởng thưởng thêm”, Hudson bổ sung.

'Not THAT Award'

On the other hand: "Excuse me while I say, what?" countered Slashdot blogger hairyfeet. "I always thought the peace prize should go to those that really suffered and struggled to make the world a better place, like the writers that risked the Soviet Gulag to speak out on human rights, or toiled in the slums like Mother Teresa.

"Linux is nice, but come on, let's get serious here," hairyfeet added. "Risking prison or working in disease-ridden slums vs. writing software? If you want to give Linus an award, I'm all for it. Just not THAT award, okay?"

As for the Stallman possibility?

"Apples and oranges," yagu asserted. "Stallman's contributions stagger and awe. Stallman's diplomacy does not -- sometimes it's also about being a nice guy."

A Shared Option?

Then again: "I think it would be both more interesting and more accurate to see Linus and Richard Stallman share a prize," Slashdot blogger Barbara Hudson told LinuxInsider.

"Without the GPL and the gnu toolchain, Linux would probably be in a very different space right now, especially with respect to the corporate-sponsored code contributions to the kernel," she explained.

"The resulting photo op would just be a bonus :-)," Hudson added.

'Một gói phần mềm độc hại'

Có lẽ ở những gì có thể được xem xét theo đầu ngược lại của phổ từ những suy nghĩ về Giải Nobel Hòa bình là cuộc tranh luận nóng khác mà nó lan truyền tới vài blog trong tuần trước.

Một thứ đó, đối nghịch, đã tập trung vào phần mềm độc hại và đạo đức.

“Tôi đã chán với sự đồng thuận chung rằng Linux là quá an ninh và không có phần mềm độc hại”, buchner.johannes đã viết trong một câu hỏi cho Ask Slashdot. “Sau một tuần làm việc, tôi đã hoàn thành một gói phần mềm độc hại cho Unix/Linux. Toàn bộ mục đích của điều này là để giúp những hacker mũ trắng chỉ ra rằng một hệ thống Linux có thể bị biến thành một máy trạm của botnet đơn giản chỉ bằng việc tải về BOINC và gắn nó vào một tài khoản người sử dụng để giúp cho các dự án khoa học”.

'Đưa thứ gì đó vào thực sự ma quỷ'

Phần mềm độc hại không khai thác bất kỳ lỗ hổng an ninh nào, Buchner đã lưu ý - “chỉ làm lỏng các cấu hình an ninh và không lưu tâm tới sự hoạt động của những bản tải về được kiểm tra tính đúng đắn”.

Tuy thế mà, “bây giờ tôi không chắc về liệu nó có là OK về đạo đức để đưa ra bộ công cụ này không, mà nó, bằng việc đưa tải của BOINC và đặt vào thứ gì đó thực sự ma quỷ, có thể sẽ biến thành phần mềm độc hại của Linux đích thực”, anh ta viết.

Chấp nhận được một cách đạo đức để tung ra một phần mềm màu xám như vậy ư? Đó là chủ đề tiếp theo có trong tay, không chỉ trên Slashdot, mà còn trên Lxer, trên eWeek Europe và nhiều chỗ nữa.

'Hãy mang nó lên'

“Ê. Hãy mang nó lên!” d0nk3y viết trên LXer, ví dụ. “Càng phơi ra các tốt. Bất kỳ lỗ hổng nào sẽ được bịt lại. Chấm hết câu chuyện. Và Linux lại vẫn là an ninh nhất”.

Tương tự: “Chỉ hãy tưởng tượng có bao nhiêu câu chuyện có thể có nếu nó là những thông tin mỗi lần một 'lập trình viên' nào đó đã quyết định để viết phần mềm độc hại cho Windows”, đã rung chuông trên bigg. “Linux phải là an ninh nếu điều này đáng là một câu chuyện”.

Quả thực đáng giá, trong đánh giá của Linux Girl. Cô ta đã quay lại quán bar để rõ hơn - liệu phần mềm độc hại có thể là có đạo đức chăng?

'A Package of Malware'

At what perhaps might be considered the opposite end of the spectrum from thoughts of Nobel Peace Prizes was another hot discussion that spread to several blogs last week.

This one, by contrast, focused on malware and ethics.

"I was fed up with the general consensus that Linux is oh-so-secure and has no malware," wrote buchner.johannes in a question for Ask Slashdot. "After a week of work, I finished a package of malware for Unix/Linux. Its whole purpose is to help white-hat hackers point out that a Linux system can be turned into a botnet client by simply downloading BOINC and attaching it to a user account to help scientific projects."

'Putting In Something Really Evil'

The malware does not exploit any security holes, Buchner noted -- "only loose security configurations and mindless execution of unverified downloads."

Nevertheless, "now I am unsure of whether it is ethically OK to release this toolkit, which, by ripping out the BOINC payload and putting in something really evil, could be turned into proper Linux malware," he wrote.

Is it ethically acceptable to release such grayware? That was the next topic at hand, not just on Slashdot but on LXer, on eWeek Europe and beyond.

'Bring It On!'

"Yeah -- pfft. Bring it on!" wrote d0nk3y on LXer, for example. "The more exposure the better. Any holes will be fixed. End of story. And linux remains more secure."

Similarly: "Just imagine how many stories there would be if it were news everytime a 'developer' decided to write malware for Windows," chimed in bigg. "Linux must be secure if this is worthy of a story."

Worthy indeed, in Linux Girl's estimation. She headed back to the bar for some more insight -- can malware be ethical?

'Cái vòng Đạo đức của Bạn bị Gãy'

“Tôi tin tưởng rằng nêu bạn phải đưa ra câu hỏi, thì cái vòng đạo đức của bạn đã bị gãy rồi”, Hudson nói. “Khi bạn từng làm trong công việc này đủ lâu, bạn sẽ phải nhận được phần của bạn vì những đề nghị thâm nhập vào các máy tính hoặc viết các chương trình mà chúng có thể vượt qua một đường ranh giới”.

Muốn trình bày một sự không an ninh của hệ thống “không là một lời xin lỗi, bất kể thừ gì hơn là việc đi dạo trong nhà không khóa của tôi mà không được mời”, Hudson nói.

Trên thực tế, Morris Worm (sâu Morris) “cũng đã dự kiến không gây hại”, bà đã chỉ ra. “Kết quả cuối cùng đã là một hồ sơ tội phạm, một án phạt 10,000 USD, 3 năm tù có thể, và 400 giờ dịch vụ cộng đồng”.

Luôn có cách tốt hơn “mà nó là có đạo đức một cách không cần phải bàn cãi, và sẽ không trao cho bạn những cánh tay vô giá trị từ những cái xích tay”, Hudson kết luận.

'Phần mềm độc hai không bao giờ có đạo đức'

“Phần mềm độc hại không bao giờ có đạo đức”, blogger Robert Pogson đồng ý. “Một máy tính cá nhân của một người là pháo đài của người đó, và không ai được lén lút ấn phần mềm vào nó mà không có lời mời”.

Về lịch sử, “tất cả các dạng ma quỷ từng được thực hiện nhân danh việc sửa thứ gì đó: The Holocaust (hủy diệt hàng loạt), The Crusades (thập tự chinh), The Inquisition (tòa án dị giáo)”, Pogson đã nói với LinuxInsider. “Vì sao chúng ta có thể không học được từ những lỗi lầm của chúng ta nhỉ?”

“Hãy sửa các lỗi trong phần mềm của chúng ta và phần mềm độc hại sẽ biến mất”, ông nói. “Chúng ta có thể bắt đầu bằng việc hạn chế những hệ điều hành khác, mà chúng có một chính sách mở cửa cho các phần mềm độc hại”.

'Thứ không như thế'

Tương tự, “không có thứ gì như phần mềm độc hại có đạo đức cả”, hairyfeet tranh luận. “Ngay cả gợi ý đây là giống như ai đó nói có một STD 'dễ chịu' vì phần mềm độc hại KHÔNG có đạo đức, và kể cả những hacker mũ đen hoặc bọn trẻ con viết script cũng không làm”.

Nếu phần mềm như vậy là “được đưa ra trong thế giới hoang dã, thì nó SẼ bị tóm bởi những cái mũ đen, những đưa trẻ viết script, và bấy kỳ ai khác nữa mà muốn ấn vào một tải trả tiền của Linux cho các website bị lây nhiễm bởi phần mềm độc hại của họ”, ông bổ sung.

Mặt khác, việc thử nghiệm với một khai thác được biết “là một việc tốt và phải là trải nghiệm tiêu chuẩn”, Chris Travers, một blogger trên Slashdot mà làm việc trong dự án LedgerSMB, đã nói cho LinuxInsider.

'Your Ethical Compass Is Broken'

"I believe that if you have to ask the question, your ethical compass is already broken," Hudson asserted. "When you've been in this business long enough, you'll have received your share of offers to break into computers or write programs that would cross a line."

Wanting to demonstrate a system's insecurity "is not an excuse, any more than walking into my unlocked home without being invited would be," Hudson added.

In fact, the Morris Worm "was also not supposed to be harmful," she pointed out. "The end result was a criminal record, a (US)$10k fine, 3 years probation, and 400 hours community service."

There's always a better way "that is unquestionably ethical, and won't give you chaffed wrists from the handcuffs," Hudson concluded.

'Malware Is Never Ethical'

"Malware is never ethical," blogger Robert Pogson agreed. "A man's PC is his castle, and no one should sneak software into it without invitation."

Historically, "all kinds of evil have been done in the name of fixing things: The Holocaust, The Crusades, The Inquisition," Pogson told LinuxInsider. "Why can we not learn from our mistakes?

"Fix the bugs in our software and malware will be gone," he said. "We can start with eliminating that other OS, which has an open-door policy for malware."

'No Such Thing'

Similarly, "there is no such thing as ethical malware," hairyfeet concurred. "To even suggest it is like saying someone has a 'nice' STD, because malware does NOT have ethics, and neither do the black hats or the script kiddies."

If such software is "released into the wild, it WILL be picked up by black hats, script kiddies, and anybody else that wants to add a Linux payload to their malware-infected Web sites," he added.

On the other hand, testing with a known exploit "is a good thing and should be standard practice," Chris Travers, a Slashdot blogger who works on the LedgerSMB project, told LinuxInsider.

Sửa lỗi trước, Công bố sau

Tất nhiên, nó phải được quản lý tốt. “Trong dự án LedgerSMB, chúng tôi có một chính sách về việc đưa ra đầy đủ thông tin về tất cả các vấn đề về an ninh (đủ để khai thác chúng) sau các sửa lỗi được sẵn sàng”, ông giải thích. Nói cách khác, “chúng tôi sửa lỗi trước, rồi thì chúng tôi giải thích làm thế nào chỗ bị tổn thương đó làm việc”.

Giải pháp phù hợp “là bắt đầu bằng việc nói với các nhà cung cấp và để họ biết làm thế nào những nhu cầu này sẽ được sửa”, ông đã khuyến cáo. “Sau một khoảng thời gian đáng kể, phần mềm độc hại có thể được đưa ra và một tuyên bố công khai sẽ được thực hiện”.

Có một số lý do phải đưa ra đầy đủ sự phát hiện, ông bổ sung.

Đặc biệt, “một số máy quét an ninh mạng được sửa đổi để đưa vào nhưng chỗ bị tổn thương này, cho phép những quản trị hệ thống biết liệu các hệ thống của họ có bị tổn thương hay không”, Travers lưu ý. “Những công việc này tốt hơn nếu thông tin phù hợp được cung cấp một cách công khai”.

'Lựa chọn sẽ là an toàn'

Hơn nữa, việc mở đầy đủ “đưa ra sức ép vừa phải cho những người phải sửa các vấn đề này”, ông bổ sung. “Với các vấn đề về an ninh, một người phải giả thiết là nếu những người tốt biết về vấn đề này, thì những kẻ xấu cũng biết”.

Trên thực tế, “đã có phần mềm độc hại cho Linux mà bạn có thể tự cài đặt hoặc nhờ cài đặt cho bạn nếu bạn để cổng SSH mở cho Net mà không có các mật khẩu an ninh”, nhà tư vấn ở Montreal và là blogger trên Slashdot Gerhard Mack đã nói với LinuxInsider.

“Những gì chúng ta không phải làm việc với là các trang web dẫn dắt việc tải về mà chúng cài đặt các bộ rootkit”, ông nói. “Ưu điểm của Linux” là bạn có lựa chọn để an toàn.

Fix First, Announce Later

Of course, it has to be handled well. "On the LedgerSMB project, we have a policy of releasing full information on all security problems (enough to exploit them) after fixes are available," he explained. In other words, "we fix first, then we explain how the vulnerability works."

The proper solution "is to start by addressing the vendors and letting them know how this needs to be fixed," he recommended. "After a reasonable amount of time, the malware could be released and a public announcement made."

There are several reasons to provide full disclosure, he added.

Specifically, "some network security scanners are modified to include these vulnerabilities, allowing system administrators to know if their systems are vulnerable," Travers noted. "This works better if the proper information is provided publicly."

'The Option to Be Safe'

In addition, full disclosure "provides reasonable pressure for folks to fix the problems," he added. "With security problems, one has to assume that if the good guys know of a problem, so do the bad guys."

In fact, "there already is malware for Linux that you can install yourself or have installed for you if you leave ssh ports open to the Net without secure passwords," Montreal consultant and Slashdot blogger Gerhard Mack told LinuxInsider.

"What we don't have to deal with are Web pages doing driveby downloads that install rootkits," he said. "The advantage of Linux "is that you have the option to be safe."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.