Thứ Hai, 21 tháng 12, 2009

“Đóng” hay “mở” an ninh hơn

Những tranh luận về việc các hệ thống thông tin dựa trên (các) hệ điều hành/ứng dụng nguồn đóng hay (các) hệ điều hành/ứng dụng nguồn mở là an ninh hơn có lẽ là còn lâu, nếu không nói là sẽ không bao giờ có được hồi kết.

Những lý lẽ được đưa ra từ mỗi bên, dù là theo “mở” hay “đóng” nghe ra đều có vẻ có lý. Bên “đóng” thì cho rằng phải đóng thì mới đảm bảo an ninh, bí mật, những kẻ xấu mới không biết và không thể tấn công, chứ cứ “mở” thì kẻ xấu sẽ biết được hết mọi thứ và vì vậy sẽ gài mã độc vào trong các mã nguồn, đó là chưa kể tới những khiếm khuyết liên quan tới các yếu tố chuyên sâu về tổ chức, về qui trình phát triển an ninh hay công nghệ khác, ví dụ như thiếu sự kiểm soát đầu vào của mã nguồn hay logic ứng dụng hay bị lỗi. Còn bên “mở” thì cho rằng phải mở thì mới đảm bảo được an ninh, vì bất kỳ khiếm khuyết nào trong mã nguồn cũng sẽ bị hàng triệu con mắt soi mói của những người khác nhanh chóng tìm ra và khắc phục, còn những yếu tố chuyên sâu khác mà bên nguồn mở có, thì bên nguồn đóng cũng không chắc là khá hơn, ví dụ như kiến trúc được thiết kế của hệ điều hành nguồn đóng ngay từ đầu đã là không phân chia theo các thành phần và không phù hợp cho môi trường mạng như hiện nay, nên cho dù có vặn vẹo chỉnh sửa thế nào đi nữa thì cũng là vô ích về phương diện đảm bảo an ninh khi làm việc trong môi trường mạng toàn cầu như bây giờ. Hơn nữa, những thứ “đóng” thì chẳng ai còn có thể phát hiện được gì, kể cả trong trường hợp người tạo ra nó có để lại lỗi, các lỗ hổng an ninh hay vì bất kỳ lý do gì, không cập nhật và sửa lỗi thì người sử dụng sẽ “lĩnh đủ” và họ muôn đời sẽ phải phụ thuộc vào nhà cung cấp cái thứ “đóng” bí mật đó.

Nghe thì có vẻ đều có lý, nhưng còn đúng hay sai thì chắc đó không phải là thứ mà thậm chí cả hầu hết các chuyên gia công nghệ thông tin có thể tham gia tranh luận sâu được, chứ đừng nói gì tới một người sử dụng bình thường. Nhưng có một cách khác để biết thực sự “đóng” hay “mở” an ninh hơn là qua việc sử dụng các thệ thống thông tin trong các môi trường mang tính sống còn như vũ trụ, quân đội, tình báo, … và đặc biệt nhất là trong các hệ thống thông tin phục vụ kinh doanh tài chính chứng khoán và ngân hàng.

Xu thế các hệ thống thông tin của các thị trường chứng khoán chuyển sang GNU/Linux

Một điều chắc chắn là chính các hệ thống thông tin của thị trường chứng khoán là nơi kiểm nghiệm giải pháp công nghệ nào, “đóng” hay “mở”, là ưu việt hơn. Đơn giản là vì ở đó, người sử dụng - các nhà đầu tư chứng khoán - những người kiếm tiền với những đòi hỏi về tốc độ nhanh nhất, an ninh và độ tin cậy cao nhất có thể được. Dưới đây là một vài thông tin mà người sử dụng máy tính thông thường dễ dàng cảm nhận được.

Từ năm 2007, thị trường chứng khoán số 1 thế giới là New York (NYSE) đã đầu tư mạnh mẽ vào các hệ thống nguồn mở dựa trên GNU/Linux để thay thế cho các hệ thống dựa trên Unix.

Cũng như vậy, trong năm 2007, thị trường chứng khoán đứng hàng thứ 2 thế giới là Tokyo, cũng đã quyết định sử dụng GNU/Linux làm nền tảng cho hệ thống thông tin của mình.

Thị trường chứng khoán được cho là đứng thứ 3 thế giới là Luân Đôn trong năm 2009 cũng vừa quyết định từ bỏ hệ thống thông tin “đóng” dựa vào hệ điều hành Windows và công nghệ .NET để chuyển sang GNU/Linux, với dự kiến quá trình chuyển đổi sẽ được thực hiện xong hoàn toàn trong vòng 18 tháng tới.

Ngoài các thị trường chứng khoán hàng đầu kể trên, trong tổng số 161 thị trường chứng khoán trên thế giới, có lẽ trong đó có tính tới thị trường chứng khoán của Việt Nam, thì hàng loạt các thị trường chứng khoán hàng đầu khác cũng đã và đang sử dụng các hệ thống thông tin chạy trên các hệ điều hành phần mềm tự do nguồn mở GNU/Linux như Eurex (Thị trường chứng khoán châu Âu), Xetra (Đức), Ailen, Thượng Hải... và làn sóng chuyển đổi sang các hệ thống GNU/Linux vẫn đang tiếp diễn.

Vì sao lại có sự chuyển dịch của các thị trường chứng khoán sang các hệ thống chạy GNU/Linux?

Câu trả lời nằm ở chỗ, rằng các phần mềm chứng khoán dựa trên nền tảng của hệ điều hành tự do nguồn mở GNU/Linux có thể dễ dàng thực hiện được 1 triệu giao dịch buôn bán trong vòng 1 giây đồng hồ, nên những yêu cầu về số lượng hiện được cho là khổng lồ các giao dịch buôn bán của thị trường chứng khoán New York cũng trở nên nhỏ bé so với khả năng mà một hệ thống dựa trên GNU/Linux có thể đáp ứng được.

Nếu như với hệ thống cũ dựa trên Windows/.NET của thị trường chứng khoán Luân Đôn (LSE) có tốc độ giao dịch lớn nhất về lý thuyết có thể đạt được là 2,7 mili giây, thì hệ thống mới chạy trên GNU/Linux đạt được là 0,4 mili giây, nghĩa là nhanh hơn gần gấp 7 lần. Trong khi về hiệu quả kinh tế, nếu như hệ thống cũ có chi phí hàng năm là 65 triệu USD, thì hệ thống mới chỉ có giá là 30 triệu USD và các chuyên gia dự kiến rằng việc chuyển sang GNU/Linux sẽ tiết kiệm được giá thành hàng năm ít nhất là 14.7 triệu USD từ 2011-2012. Hơn nữa, công nghệ mới này là nhẹ hơn, lanh lẹ hơn, dễ dàng hơn nhiều trong việc cài đặt và cũng sẽ cho phép đưa ra các phiên bản cập nhật nhanh hơn, theo ý kiến của các chuyên gia.

Còn về an ninh và độ tin cậy thì sao? Nếu như các thị trường chứng khoán sử dụng các hệ thống dựa trên GNU/Linux không hề có báo cáo nào về những sự cố kỹ thuật đáng tiếc xảy ra, thì LSE vào tháng 9/2008 đã từng gặp sự cố kỹ thuật và bị sập trong thời gian 7 giờ đồng hồ, gây thiệt hại lớn cho các nhà đầu tư chứng khoán, các công ty niêm yết và bản thân thị trường chứng khoán này.

Môi trường kinh doanh ngân hàng trực tuyến ô nhiễm nặng

Theo hãng máy tính chuyên về an ninh McAfee, chỉ riêng trong năm 2008, số lượng các cuộc tấn công sử dụng các phần mềm độc hại để thâm nhập hoặc gây hại cho các hệ thống thông tin, máy tính đã tăng 500% và tương đương với tổng cộng tất cả các cuộc tấn công của 5 năm trước đó cộng lại. Trong số các cuộc tấn công đó, thì có tới 80% có động lực về tài chính, khi những kẻ tấn công có chủ đích sử dụng các thông tin và dữ liệu cá nhân của người sử dụng để ăn cắp tiền trong các tài khoản của họ tại các ngân hàng, trong khi 20% các cuộc tấn công còn lại là vì các lý do khác có liên quan tới các vấn đề như tôn giáo, gián điệp thông tin hoặc khủng bố chính trị.

Theo một báo cáo của IBM thì chỉ trong nửa đầu năm 2009, số lượng các liên kết tới các trang web độc hại đã tăng hơn 500% và chúng đã lan tới cả những site rất đáng tin cậy như các máy tìm kiếm, tạp chí trực tuyến và các site thông tin dòng chính thống của các chính phủ, chứ không chỉ nằm trong các site như đánh bạc hay khiêu dâm nữa. Nổi bật nhất là virus trojan có tên là CLAMPI, một loại virus chỉ dành riêng cho các máy tính chạy Windows, với các biến thể của nó như Ligats hoặc Ilomo - đã từng có từ năm 2005, nhưng phiên bản mới của nó có khả năng lây nhiễm nhanh hơn, chiếm tới 55% tất cả các phần mềm độc hại mới trong nửa đầu năm 2009. Điều đặc biệt là CLAMPI tập trung vào các hệ thống ngân hàng trực tuyến và gây ra hàng loạt các vụ ăn cắp tiền đối với rất nhiều khách hàng là các cá nhân, doanh nghiệp, các trường học tại Mỹ, Anh và có thể cả ở những quốc gia khác nữa.

Một chuyên gia chuyên điều tra bọn tội phạm có tổ chức từng ăn cắp hàng triệu USD từ các doanh nghiệp vừa và nhỏ trên không gian mạng đã giải thích trong một bài viết trên tờ Bưu điện Washington rằng thực tế tất cả các phần mềm độc hại ăn cắp dữ liệu hiện có ngày nay được xây dựng để tấn công các hệ thống Windows, và chúng đơn giản là không thể chạy được trên các máy tính không phải là Windows. Hơn nữa, phần mềm độc hại dựa trên Windows được sử dụng trong mỗi cuộc tấn công trực tuyến gần đây chống lại các doanh nghiệp lại quá tinh vi phức tạp nên chúng làm cho các ngân hàng cực kỳ khó khăn trong việc phân biệt đâu là các giao dịch được thực hiện bởi các khách hàng của họ và đâu là các hoạt động của bọn tin tặc mà chúng đã tấn công các máy tính cá nhân của các khách hàng.

Một sự việc thú vị khác là đương kim giám đốc của Cục Tình báo Liên bang Mỹ FBI cũng là nạn nhân của bọn tin tặc khi bọn chúng, thông qua phising (một cách gây lây nhiễm phần mềm độc hại qua việc nháy vào một đường liên kết không an toàn trong thư điện tử hoặc thông điệp tức thì – chat), đã mưu toan thu thập các thông tin cá nhân nhằm mục đích ăn cắp tiền trong tài khoản của ông và gia đình ông, cho dù ông đã sử dụng các dịch vụ như thế này từ 10 năm nay.

Biện pháp ngăn chặn hữu hiệu

Vị chuyên gia của tờ Bưu điện Washington vừa được nêu ở phần trên khuyến cáo người sử dụng đừng có dùng Microsoft Windows khi truy cập tài khoản ngân hàng trực tuyến của họ.

Trung tâm Chia sẻ và Phân tích Thông tin các Dịch vụ Tài chính, một diễn đàn về an ninh của lĩnh vực tài chính trực tuyến, một nhóm các nhà công nghiệp được hỗ trợ bởi một số ngân hàng lớn nhất thế giới, thì khuyến cáo những người sử dụng hãy triển khai tất cả các hoạt động ngân hàng trực tuyến từ một máy tính đứng riêng rẽ, được tăng cường, và hãy khóa các máy tính để từ đó việc duyệt thư điện tử và Web là không thể thực hiện được.

Cũng y như vậy, một thanh tra thuộc một đơn vị thanh tra tội phạm máy tính của cảnh sát bang New South Wales (NSW) của Úc, nhân danh chính quyền bang này, tại một cuộc điều trần công khai diễn ra vào đầu tháng 10/2009 về tội phạm không gian mạng ở Sydney, với sự tham gia của cả các nghị sĩ quốc hội nước này và đại diện của các hãng máy tính như Microsoft và McAfee (hãng chuyên cung cấp các giải pháp an ninh và chống virus), đã đưa ra tuyên bố công khai rằng người tiêu dùng muốn kết nối an toàn tới các dịch vụ ngân hàng trực tuyến trên Internet thì họ phải sử dụng GNU/Linux hoặc Apple iPhone, và cụ thể hơn là phải áp dụng 2 nguyên tắc để tự bảo vệ mình khỏi bọn tội phạm không gian mạng khi thực hiện các dịch vụ ngân hàng trực tuyến. Nguyên tắc đầu tiên là không bao giờ nháy vào các đường siêu liên kết dẫn tới các website ngân hàng và nguyên tắc thứ hai là không sử dụng Microsoft Windows. Viên thanh tra này còn khuyến cáo sử dụng một đĩa khởi động GNU/Linux, ví dụ như, đĩa Live CD Ubuntu hoặc một số phát tán GNU/Linux khác như Puppy chẳng hạn. Bằng cách này, người sử dụng sẽ có được sự khởi động một hệ điều hành sạch sẽ, có khả năng làm việc được chỉ trong bộ nhớ của máy tính và khi máy tính tắt, thì tất cả những gì trong bộ nhớ máy tính cũng sẽ bị xóa sạch. Chính vì vậy, đây là cách an toàn tuyệt vời để làm việc với các dịch vụ ngân hàng trực tuyến. Ông khẳng định rằng nếu người sử dụng tuân thủ theo khuyến cáo này, thì an ninh trong việc thực hiện các dịch vụ ngân hàng trực tuyến sẽ đạt được là 100%.

Một số chuyên gia công nghệ thông tin thì cho rằng việc công bố một cách công khai như vậy được ví như việc phá vỡ sự im lặng đáng sợ bấy lâu nay về vấn đề an ninh của hệ điều hành Windows và khuyến khích các ngân hàng có các dịch vụ ngân hàng trực tuyến hãy bắt đầu cảnh báo cho mọi người bỏ Windows như cảnh sát Úc đã làm vì lợi ích của khách hàng của họ, và suy cho cùng, cũng là vì lợi ích của chính các ngân hàng.

Kết luận

Qua những sự việc ở trên, người sử dụng chắc sẽ có được nhận thức tốt hơn về những gì có liên quan tới việc kinh doanh trực tuyến hiện nay của các hệ thống “đóng” hoặc “mở”, đâu là nơi có thể đáp ứng được tốt nhất cho người sử dụng những điều kiện về tốc độ nhanh nhất, an ninh và độ tin cậy cao nhất, để họ có thể lựa chọn đúng đắn cho bản thân về các hệ thống mà họ mong muốn tham gia sử dụng vì lợi ích của chính bản thân họ, và cả về những công cụ mà họ mong muốn sử dụng hàng ngày ở công sở cũng như ở nhà để tiến hành các công việc của họ một cách có hiệu quả nhất.

Đối với các công ty chứng khoán và các ngân hàng, thì những sự việc này cũng sẽ là những bài học để họ có thể lựa chọn ra được những giải pháp thực sự tốt cho hệ thống công nghệ thông tin phục vụ cho các khách hàng của họ được nhanh nhất, an ninh và độ tin cậy cao nhất, những thứ vừa là mục tiêu và vừa là sự sống còn của chính những doanh nghiệp này.

Hy vọng rằng, sự lựa chọn của đa số họ cũng sẽ hòa vào cái xu thế chung của cả thế giới là chuyển đổi sang các phần mềm tự do nguồn mở như đối với các thị trường chứng khoán và các ngân hàng trực tuyến được nêu trong bài viết này.

Nhìn xa hơn đối với một quốc gia như Việt Nam, thì sự dịch chuyển sang các hệ thống “mở”, suy cho cùng, là để khẳng định được chủ quyền quốc gia đối với hạ tầng các hệ thống thông tin trong kỷ nguyên số, nơi mà vấn đề đảm bảo an ninh không gian mạng là nóng bỏng hiện nay và được coi như việc đảm bảo an ninh cho một dạng đường biên giới mới của quốc gia, mà bất kỳ ai xâm phạm tới nó cũng đều được coi như việc xâm phạm tới chủ quyền của quốc gia vậy.

Trần Lê

PS: Bài được đăng trên tạp chí Tin học và Đời sống số tháng 12/2009, trang 68-70.

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.