Thứ Tư, 30 tháng 6, 2010

Microsoft bị đánh bởi cú đấm tính 'vi phạm' bằng sáng chế của Salesforce

Microsoft hit with Salesforce patent 'violation' counter punch

Windows 7, Hotmail, SkyDrive, .NET...

By Gavin Clarke in San Francisco • Get more from this author

Posted in Software, 26th June 2010 03:34 GMT

Theo: http://www.theregister.co.uk/2010/06/26/salesforce_patent_action_microsoft_cloud/

Bài được đưa lên Internet ngày: 26/06/2010

Lời người dịch: Microsoft và Salesforce đang kiện nhau vi phạm các bằng sáng chế của nhau. Microsoft kiện Salesforce vi phạm 9 bằng sáng chế của hãng, còn ngược lại, Salesforce kiện Microsoft vi phạm 5 bằng sáng chế của hãng. Tất cả chúng đều liên quan tới các dịch vụ máy tính đám mây Azure của Microsoft và giải pháp đám mây của Salesforce. Salesforce còn yêu cầu toà phạt gấp 3 lần mức bình thường vì kêu Microsoft hoàn toàn cố ý vi phạm. Hồ sơ có thể đọc ở đây. Đáng lưu ý là CEO của Salesforce đã gọi Microsoft là một thực thể chuyên buôn bằng sáng chế và ví Microsoft như một “kẻ sát nhân đường phố”.

Salesforce.com đã tấn công lại Microsoft, kêu nhiều phần của đám mây của Redmond và Windows 7 vi phạm quyền sở hữu trí tuệ của hãng.

Microsoft đã xéo lên 5 bằng sáng chế của Salesforce, hãng này nói, với Windows Server AppFabric cho việc cài đặt và cung cấp các ứng dụng trên Azure; Windows Live Services bao gồm cả lưu trữ của Hotmail và SkyDrive; .NET; Windows 7; Server 2008 R2; và các công nghệ và sản phẩm của SharePoint.

Trong một hồ sơ của toà án Mỹ, Salesforce kêu Microsoft hoàn toàn có chủ ý vi phạm các bằng sáng chế của hãng bằng việc kết hợp chúng vào các dịch vụ trực tuyến và các sản phẩm của mình. Các bằng sáng chế này có cả bộ nhớ cache đa mức động, một phương pháp để cung cấp các dịch vụ, máy chủ cache các đối tượng Java cho các cơ sở dữ liệu, việc chia sẻ báo cáo và các công việc lỗi, và giao tiếp với một website.

Salesforce không chỉ yêu cầu rằng Microsoft buộc phải thanh toán gấp 3 lần những thiệt hại thông thường vì hãng hoàn toàn có chủ ý vi phạm các bằng sáng chế. Salesforce cũng muốn một lệnh huấn thị mà nó dừng Microsoft khỏi việc sử dụng các bằng sáng chế. Bạn có thể đọc được hồ sơ này ở đây.

Horacio gutierrez, phó chủ tịch tập đoàn và phó tổng tư vấn về sở hữu trí tuệ và cấp phép của Microsoft, nói trong một tuyên bố rằng Microsoft đang xem xét lại hồ sơ của Salesforce, nhưng tin chắc và có thể ép nhanh hơn với khiếu kiện ban đầu của hãng.

Hành động của Salesforce là một câu trả lời có tính toán đối với Microsoft, sau khi người khổng lồ phần mềm này đã đệ trình một vụ kiện kêu dịch vụ của Salesforce đã vi phạm 9 bằng sáng chế của Microsoft.

Sự trả miếng đưa ra sau khi giám đốc điều hành Marc Benioff của Salesforce ngay lập tức đáp trả, trong đó ông đã gọi Microsoft là một thực thể chuyên buôn bằng sáng chế và ví hãng này như một “kẻ sát nhân đường phố”.

Salesforce.com has fired back at Microsoft, claiming parts of Redmond's cloud and Windows 7 violate its intellectual property.

Microsoft has trampled five Salesforce patents, the company claimed, with the Windows Server AppFabric for installing and provisioning apps on Azure; Windows Live Services including Hotmail and SkyDrive storage; .NET; Windows 7; Server 2008 R2; and SharePoint products and technologies.

In a US court filing, Salesforce claims Microsoft willfully violated the company's patents by incorporating them into its online services and products. The patents cover dynamic multi-level cache, a method for provisioning services, Java object cache server for databases, error reporting and work sharing, and communication with a web site.

Salesforce is not just asking that Microsoft be forced to pay three times the normal damages because it willfully infringed the patents. Salesforce also wants an injunction that stops Microsoft from using the patents. You can read the filing here.

Horacio Gutierrez, corporate vice president and deputy general counsel for intellectual property and licensing at Microsoft, said in a statement that Microsoft is reviewing the Salesforce filing, but remained confident and would press ahead with its original complaint.

Salesforce's action is a counter response to Microsoft, after the software giant filed a legal action claiming Salesforce's service violated nine Microsoft patents.

The legal retort follows Salesforce chief executive Marc Benioff's immediate response, in which he branded Microsoft a patent troll and likening it to an "alley thug".

Hành động này có nghĩa là Microsoft sẽ một lần nữa đối mặt với kẻ thù chống độc quyền của hãng Davie Boies, người đứng đầu vụ kiện của chính phủ Mỹ chống lại người khổng lồ phần mềm này vào cuối những năm 1990 và đầu những năm 2000. Công ty của Boies, Boies, Schiller và Flexner, đã tiếp tục đại diện cho người cùng khổ của cộng đồng SCO Group, kêu IBM đã phân phối bất hợp pháp sở hữu trí tuệ mà hãng kêu là hãng đã sở hữu với Unix và một phần của Linux.

Trong một biểu hiện sớm rằng vụ kiện này không diễn ra tốt lành - và rằng điều này có thể sẽ là trường kỳ - hãng của Bois đồng ý đồng ý các chi phí pháp lý và chấp nhận 1 triệu USD tiền mặt và 400,000 USD trong cổ phiếu của SCO vào năm 2004. Bây giờ thì cái cổ phiếu đó hầu như vô giá trị với giá 0.04 USD mỗi cổ phiếu. Bois, trong khi đó, đã thừa nhận vào năm ngoái rằng ông đã mất quá nhiều tiền đánh nhau trong vụ kiện rằng ông “sắp trắng tay” trong SCO.

Hy vọng, Microsoft chống lại Salesforce không lôi quá lâu - cho tất cả những ai quan tâm.

The action means Microsoft will again face its antitrust foe Davie Boies, who lead the US government's case against the software giant in the late 1990s and early 2000s. Boies' company, Boies, Schiller and Flexner, went on to represent community pariah SCO Group, claiming IBM had illegally distributed intellectual property it claimed it owned with Unix as part of Linux.

In an early sign that the case was not going well – and that this would be a long haul – Bois' firm agreed to cap their legal fees and accept $1m in cash and 400,000 in SCO stock in 2004. That stock is now virtually worthless at $0.04 a share. Bois, meanwhile, is admitted last year that he lost so much money fighting the case that he's "way in to the red" on SCO.

Hopefully, Microsoft versus Salesforce doesn't drag on so long – for all concerned.®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Liệu Quỹ CodePlex có tự giải phóng được mình khỏi Microsoft?

Can the CodePlex Foundation Free itself from Microsoft?

June 23, 2010

Posted by: Glyn Moody

Theo: http://www.computerworlduk.com/toolbox/open-source/blogs/index.cfm?entryid=3036&blogid=14

Bài được đưa lên Internet ngày: 23/06/2010

Lời người dịch: Cho tới bây giờ, sau gần 1 năm Quỹ CodePlex mà Microsoft hy vọng sẽ là nơi “khuyến khích sự trao đổi mã nguồn và sự hiểu biết giữa các công ty phần mềm và các cộng đồng nguồn mở” vẫn chưa trở thành hiện thực, vì thế giới nguồn mở còn không tin vào một mô hình một Quỹ nguồn mở như CodePlex, nơi mà cả Ban Giám đốc và Ban Tư vấn đều là người của Microsoft, sử dụng tiền của Microsoft và trên thực tế chỉ chấp nhận các dự án “nguồn mở” chỉ chạy trong một môi trường duy nhất Windows của Microsoft. Thế giới nguồn mở hy vọng vào một sự thay đổi cơ bản, sự giải phóng của chính Quỹ khỏi Microsoft, để có thể chấp nhận nó thực sự là một Quỹ nguồn mở. Bài viết còn chỉ ra cho chúng ta thấy một người từng làm việc cho Microsoft 5 năm, có xuất thân từ thế giới Unix, đã chỉ ra cho các lãnh đạo hàng đầu của Microsoft từ năm 2003 rằng: Microsoft không thể cạnh tranh được với nguồn mở, vì nguồn mở không phải là một sản phẩm!.

Một trong những phần thú vị nhất trong câu chuyện của phần mềm tự do là những tác động của Microsoft đối với nó. Ban đầu, hãng này chỉ đơn giản đã cố bỏ qua nó, nhưng khi nó trở nên rõ ràng rằng phần mềm tự do đã không ra đi, và rằng nhiều công ty hơn đã chuyển sang nó, thì Microsoft đã bị buộc phải quan tâm tới nó nghiêm túc hơn.

Một trong những người mà biết nhiều hơn về câu chuyện này so với hầu hết những người khác là Stephen Walli. Ông không chỉ tới từ một nền tảng Unix sâu sắc, mà còn đã làm việc tại Microsoft được 5 năm. Như một phần của nó, ông đã trình bày cho những người cầm đầu Microsoft để cố gắng làm cho họ hiểu thứ nguồn mở điên khùng này là gì – và vì sao Microsoft phải quan tâm.

Các nhà sử học tương lai chắc chắn không nghi ngờ gì sẽ biết ơn rằng Walli đã không chỉ đã giữ lại một trong những slide của ông từ thời gian này (tháng 03/2003, chính xác là như vậy), mà còn làm cho nó sẵn sàng trên blog của ông cho bất kỳ ai sẽ phải ngạc nhiên vì nó – nó thực sự phải được coi để tin tưởng chỉ cho việc thiết kế (mà nội dung cũng tốt nữa).

Đây là những gì ông viết trên blog:

One of the most fascinating strands in the free software story has been Microsoft's interactions with it. To begin with, the company simply tried to dismiss it, but when it became clear that free software was not going away, and that more companies were switching to it, Microsoft was forced to take it more seriously.

One of the people who knows more about this story than most is Stephen Walli. He not only comes from a deep Unix background, but worked at Microsoft for five years. As part of that, he made presentations to top Microsofties trying to get them to understand what this crazy open source stuff was about – and why Microsoft should care.

Future historians will doubtless be grateful that Walli has not only preserved one of his slides from this time (June 2003, to be precise), but made it available on his blog for everyone to be amazed by - it really has to be seen to be believed for the design alone (but the content's good too).

Here's what he writes on the accompanying post:

Gần đây tôi đã thấy một slide mà tôi đã sử dụng 6 năm trước để giải thích về phần mềm nguồn mở trong một ngữ cảnh kinh doanh cho Jim Allchin khi tôi còn làm việc cho Microsoft và Jim còn là Phó chủ tịch điều hành của toàn bộ Windows. Công việc của tôi từng là để phát triển một mô cam kết nguồn mở, làm việc trong một đội gọi là Quản lý Nghiệp vụ Nền tảng, mà nó đã báo cáo trực tiếp cho Jim. Jason Matusow từng có trách nhiệm đối với việc chỉ dẫn cho chương trình nghị sự Mã nguồn Chia sẻ, ban đầu làm việc trong đội marketing Windows và sau đó như một người trung gian trong PBM. Bản thân cuộc họp này có lẽ là vào tháng 06/2003 (ngay sau khi có trát đe dọa của Sun chống lại Windows). Tôi đã cố gắng đưa ra những chiến thuật theo những kinh nghiệm sản phẩm mà Microsoft đã hiểu tốt và với những ví dụ của hãng đã rút ra từ những tập đoàn lớn nhiều tỷ USD khác, nghĩa là trong khi những ví dụ về các công ty nguồn mở sáng láng của chúng ta có thể là Red Hat, MySQL, và Jboss, thì họ đã là những ví dụ vô nghĩa đối với Microsoft dựa trên kích cỡ doanh số. Slide đã làm tốt. Jim đã hiểu vì sao Microsoft cần phải áp dụng những trải nghiệm nguồn mở của riêng mình, và cách mà chúng tôi có thể bắt đầu.

I recently found a slide I used six years ago to explain open source software in a business context to Jim Allchin back when I worked for Microsoft and Jim was executive VP of all Windows. My job was to develop an open source engagement model, working in a team called Platform Business Management, which reported directly to Jim. Jason Matusow was responsible for driving the Shared Source agenda, initially working in the Windows marketing team and later as an immediate peer in PBM. The meeting itself would have been sometime in June 2003 (so shortly after Sun's threatened injunction against Windows). I tried to ground the tactics in product practices Microsoft already well understood and with company examples pulled from other large multi-billion dollar corporations, i.e. while our shining open source company examples might have been Red Hat, MySQL, and JBoss, they were meaningless examples to Microsoft based on revenue size. The slide worked. Jim understood why Microsoft needed to adopt its own open source practices, and how we might start.

Tất nhiên, Mã nguồn Chia sẻ từng lalf một trong những cố gắng không có tiếng tăm nhất của Microsoft để làm vẩn đục nước của nguồn mở, bằng việc đi với thứ gì đó mà có vẻ như là ang áng hệt như vậy, nhưng trên thực tế thì nó hoàn toàn – và có chủ ý – không phải là như vậy.

Site CodePlex có khá nhiều điểm tích cực trong quan điểm của nó đối với nguồn mở, ban đầu đã được tung ra tại Luân Đôn hầu như là chính xác 4 năm về trước:

Hôm nay tại Hội nghị các Doanh nghiệp Nguồn mở tại Luân Đôn, Tập đoàn Microsoft, đã hé lộ CodePlex, một cổng phát triển phần mềm hợp tác trực tuyến mà cũng là một tác nhân cho việc chia sẻ mã nguồn. Microsoft CodePlex đã mang về hơn 30 nỗ lực phát triển hợp tác, bao gồm các dự án phần mềm nguồn mở mà chúng phản ánh tinh thần xây dựng cộng đồng mở của Sáng kiến Mã nguồn Chia sẻ của Microsoft.

Như có thể được thấy từ đây, CodePlex từng có nghĩa như là nhà cho cả Mã nguồn Chia sẻ và nguồn mở – mặc dù thông cáo báo chí đã làm cho nó nghe cứ như là cái sau (nguồn mở) chỉ là một sự phản chiếu yếu ớt của các trước (Mã nguồn Chia sẻ).

Không ngạc nhiên, CodePlex đã hứng chịu nhiều nghi kỵ – và sự nhạo báng. Nó từng là một cố gắng khá om sòm để nhảy lên toa tàu nguồn mở, dưới dạng mà phải được kiểm soát một cách chặt chẽ bởi Microsoft, mà đã cho phép nó đặt sự giải thichcs của riêng hãng lên những gì có nghĩa là nguồn mở (bằng cả việc đưa vào các giấy phép mà chưa từng có trong danh sách của OSI, ví dụ thế). Và cũng không ngạc nhiên, rằng thế giới nguồn mở cuối cùng đã khá phớt lờ CodePlex. Tôi phải thừa nhận rằng tôi cũng có lỗi về tội lỗi này, và rằng thật không may, vì thứ gì đó đang xảy ra ở đó mà nó là rất thú vị.

Shared Source was, of course, one of the most inglorious attempts of Microsoft to muddy the open source waters, by coming up with something that looked and sounded vaguely the same, but which in fact completely – and intentionally - missed the point.

Slightly more positive in terms of its attitude to open source was the CodePlex site, formally launched in London almost exactly four years ago:

Today at the Open Source Business Conference in London, Microsoft Corp. unveiled CodePlex, an online collaborative software development portal that is also a vehicle for sharing source code. Microsoft CodePlex is already home to more than 30 collaborative development efforts, including open source software projects that reflect the open community-building spirit of Microsoft’s Shared Source Initiative.

As can be seen from this, CodePlex was meant to be a home for both Shared Source and open source – although the press release made it sound as if the latter were simply a pale reflection of the former.

Not surprisingly, CodePlex has been subject to much suspicion – and derision. It was a pretty blatant attempt to jump on the open source bandwagon, in a form that was strictly controlled by Microsoft, which allowed it to place its own interpretation on what open source meant (by including licences that weren't on the OSI list, for example). And so no surprise, either, that the open source world has pretty much ignored CodePlex as a result. I must confess that I am guilty of this sin too, and that is unfortunate, because something is happening there that is potentially very interesting.

Đây là công bố chủ chốt từ tháng 09 năm ngoái:

Quỹ CodePlex, một quỹ phi lợi nhuận được hình thành với nhiệm vụ về tạo điều kiện cho sự trao đổi mã nguồn và sự hiểu biết giữa các công ty phần mềm và các cộng đồng nguồn mở, đã được ra đời hôm nay, ngày 10/09/2009.

Hợp thành như một tổ chức phi lợi nhuận theo 501.c6, Quỹ CodePlex đã được tạo ra như một diễn đàn trong đó các cộng đồng nguồn mở và cộng đồng phát triển phần mềm có thể đi cùng nhau với mục tiêu chia sẻ sự tham gia ngày một gia tăng trong các dự án của cộng đồng nguồn mở. Quỹ CodePlex sẽ bổ sung thêm những quỹ và tổ chức nguồn mở đang tồn tại, đưa ra một diễn đàn trong đó những kinh nghiệm và sự hiểu biết được chia sẻ tốt nhất có thể được thiết lập bởi một nhóm rộng rãi những người tham gia, cả các công ty phần mềm và các cộng đồng nguồn mở. Vốn ban đầu cho Quỹ tới từ Tập đoàn Microsoft.

Câu cuối đó đã làm cho tôi nghĩ rằng đây chỉ là một bài dán lại nhãn, với sức mạnh thực sự vẫn nằm chắc chắn với Microsoft. Và tôi không phải là người duy nhất có nghi ngờ này. Đây là Andy Updegrove trong một bài viết rất hoàn hảo đã lướt qua rất nhiều vấn đề:

Có nhiều trò chơi mà bạn có thể chơi khi thiết lập cơ cấu cho một tổ chức để làm cho nó xem như là mở, nhưng vẫn chắc chắn rằng những người sáng lập sẽ có sự kiểm soát rất nhiều về lâu dài. Có lẽ đơn giản là Microsoft đã thuê một hãng để giúp cấu trúc cho CodePlex đi vượt qua mạn tàu để cố gắng bảo vệ khách hàng của hãng. Nhưng dù bằng cách nào, thì những tài liệu của CodePlex cũng vẫn chỉ thiết lập theo cái cách mà Ban Giám đốc của Quỹ này sẽ không có trách nhiệm đối với bất kỳ ai mà họ tham gia vào trong CodePlex. Như họ đang tồn tại ngày hôm nay, họ cũng sẽ đảm bảo rằng Microsoft sẽ có quyền phủ quyết trong nhiều năm nữa ngay cả nếu họ chỉ có một ghế trong ban lãnh đạo, và một người bạn trong một ghế khác.

Here's the key announcement from September last year:

The CodePlex Foundation, a non-profit foundation formed with the mission of enabling the exchange of code and understanding among software companies and open source communities, launched today, September 10, 2009.

Incorporated as a 501.c6 non-profit, the CodePlex Foundation was created as a forum in which open source communities and the software development community can come together with the shared goal of increasing participation in open source community projects. The CodePlex Foundation will complement existing open source foundations and organizations, providing a forum in which best practices and shared understanding can be established by a broad group of participants, both software companies and open source communities. Initial funding for the Foundation comes from Microsoft Corporation.

That last sentence made me think that this was just a rebranding exercise, with the real power still residing firmly with Microsoft. And I wasn't the only one to have my doubts. Here's Andy Updegrove in a very thorough post that goes through the many problems:

There are a lot of games you can play when structuring an organization to make it look open, but still be sure that the founders will have a lot of control for a long time. It may simply be that Microsoft hired a firm to help it structure CodePlex that went overboard on trying to protect its client. But either way, the CodePlex documents have been set up in such a way that the Foundation’s Board of Directors will have no accountability to anyone who participates in CodePlex. As they exist today, they will also ensure that Microsoft will have ongoing veto power for many years to come even if they have only one board seat, and a friend in another.

Ngắn gọn, tôi nghĩ rằng những vật chất tại site CodePlex tạo ra những lo lắng pháp lý, cả về mặt pháp lý và từ một quan điểm nhận thức chung. Nếu Microsoft thực sự muốn CodePlex thu hút nhiều hơn các đối tác doanh nghiệp của nó như những người tham gia, thì tôi nghĩ rằng nó cần phải quay lại việc thiết kế ban lãnh đạo và tiến hành một số thay đổi mạnh mẽ. Hy vọng điều này chỉ là một sự sảy chân, và họ sẽ là mở cho những gợi ý chỉ để làm điều đó.

Để tìm ra nhiều hơn một chút về những gì Quỹ CodePlex đang làm hiện nay, tôi đã gặp Stephen Walli hôm qua, người mà bây giờ là Giám đốc Kỹ thuật – và *không* được Microsoft thuê, như ông đã nhấn mạnh với tôi. Ông cho là mọi thứ đang thay đổi, và rằng Quỹ CodePlex mới là một con thú rất khác với cái cũ (mà nó thực sự vẫn tồn tại như “website chứa các dự án nguồn mở của Microsoft” - và vẫn còn chấp nhận những giấy phép không được OSI phê chuẩn).

Quỹ CodePlex đang tìm kiếm những nhà tài trợ mới sao cho đây không chỉ là tiền của Microsoft đang chi trả cho các hóa đơn. Quan trọng hơn, tôi nghĩ, thực tế là thật hạnh phúc để chấp nhận các dự án từ bất kỳ công ty nào – bao gồm cả những đối thủ cạnh tranh của Microsoft, Walli nhấn mạnh – chạy trân bất kỳ nền tảng nào. Walli thấy một nhu cầu thực tế về một nơi mà các công ty có thể đặt vào các dự án nguồn mở của họ. Vì sự nhấn mạnh này, ông đặt chỗ lớn cho việc để các vấn đề độc quyền sở hữu trí tuệ được phân loại – nhằm, ông nói, tuân theo mô hình Eclipse về chỉ định hơn là mô hình cấp phép Apache.

In short, I think that the materials at the CodePlex site give a lot of cause for legitimate concern, both legally and from a public perception point of view. If Microsoft really wants CodePlex to attract more than its business partners as participants, I think that it needs to go back to the drawing board and make some drastic changes. Hopefully this is just a stumble, and they will be open to suggestions to do just that.

To find out a little more about what the CodePlex Foundation is doing these days, I met up yesterday with Stephen Walli, who is now its Technical Director – and *not* employed by Microsoft, as he emphasised to me. He is adament that things are changing, and that the new CodePlex Foundation is a very different beast from the old one (which actually still exists as “Microsoft's open source project hosting web site” - and still accepts non-OSI approved licences.)

The CodePlex Foundation is seeking new sponsors so that it's not just Microsoft's money that is paying the bills. More significant, I think, is the fact that it is happy to accept projects from any company – including competitors of Microsoft, Walli emphasises – running on any platform. Walli sees a real need for a place where companies can place their open source projects. Because of this emphasis, he places great store on getting the intellectual monopoly issues sorted out – aiming, he says, to follow the Eclipse model of assignment rather than the Apache one of licensing.

Tôi nghĩ điều này có thể là rất thú vị. Bất kể là thứ gì tương tự rõ ràng, thì các quỹ phần mềm tự do hiện hành – Mozilla, Apache, Eclipse – phục vụ những nhu cầu khác nhau, nên có lẽ sẽ có một chỗ cho thứ gì đó mà Walli đang gợi ý. 2 vấn đề sống còn là việc cấp vốn và quản lý. Nếu những nhà tài trợ mới không thể tìm ra được, thì Quỹ CodePlex sẽ vẫn còn phụ thuộc vào Microsoft, và nó sẽ làm xói mòn uy tín của nó hoàn toàn. Tương tự, điều quan trọng là các vấn đề mà Updegrove phát hiện sẽ không được trả lời: ví dụ, ngay cả hôm nay cả Ban Giám đốc và Ban Tư vấn đều là những người của Microsoft. Một lần nữa, cộng đồng nguồn mở sẽ không bao giờ nắm lấy quỹ mới này một cách nghiêm túc cho tới khi điều đó được sửa, với một nhóm cần bằng giữa các cá nhân từ một dãy rộng lớn các cử tri phần mềm.

Vẫn còn đó, đối với tất cả những thách thức này, không nghi ngờ gì rằng Quỹ CodePlex mới là một sự cải tiến thực tế trên hình hài của CodePlex trước đó. Ai biết được, nó có thể còn đưa ra một diễn đàn cho Microsoft cuối cùng cam kết đầy đủ và công bằng với nguồn mở – sau tất cả, nó đã được tung ra với mục đích đã được công bố về “khuyến khích sự trao đổi mã nguồn và sự hiểu biết giữa các công ty phần mềm và các cộng đồng nguồn mở”. Hãy hy vọng điều đó xảy ra.

I think this could be very interesting. Whatever the obvious similarities, the current free software foundations – Mozilla, Apache, Eclipse – serve rather different needs, so there's probably a place for something along the lines that Walli is suggesting. The two crucial issues are funding and governance.

If new sponsors can't be found, the CodePlex Foundation will remain dependent on Microsoft, and that will undermine its credibility completely. Similarly, it's important that issues raised by Updegrove are answered: for example, even today both the Board of Directors and the Advisory Board are packed with Microsoft people. Again, the open source community will never take the new foundation seriously until that's remedied, with a balanced group of individuals drawn from a wide range of software constituencies.

Still, for all these challenges, there's no doubt that the new CodePlex Foundation is a real improvement on the previous CodePlex incarnation. Who knows, it might even offer a forum for Microsoft finally to engage fully and fairly with open source – after all, it was launched with the stated aim of “enabling the exchange of code and understanding among software companies and open source communities.” Let's hope that happens.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Ba, 29 tháng 6, 2010

Membase, một cơ sở dữ liệu nguồn mở NoSQL mới, đã được tung ra

Membase, a new open source NoSQL database, launched

23 June 2010, 17:22

Theo: http://www.h-online.com/open/news/item/Membase-a-new-open-source-NoSQL-database-launched-1028216.html

Bài được đưa lên Internet ngày: 23/06/2010

Lời người dịch: Để tăng tốc độ truy cập, xử lý và số lượng người cao cùng truy cập một lúc trên Internet, một nhóm công ty đã phát minh ra cơ sở dữ liệu NoSQL, có tên là Membase. Có lẽ là từ ghép để nói lên đây là cơ sở dữ liệu nằm trong bộ nhớ.

US Web infrastructure start-up NorthScale, social gaming company Zynga and South Korean search and gaming specialist NHN, have launched Membase, a new open source NoSQL database. Membase is designed for demanding web applications and is based on memcached, the in-memory caching system. Membase adds disk based persistence to memcached, along with hierarchical storage management, data replication and secure multi-tenancy support. NorthScale, founded by the leaders of the memcached project, has announced that a beta version of it's commercial enterprise version Membase Server is also available, joining their existing commercial Memcached Server offering.

NorthScale say that they wanted to create an easy-to-manage, fast and simple, elastic data management solution which offered low latency, high throughput and dynamic reconfiguration of clusters. The open source project has its own membase.org site where developers will find information on how to obtain the source or binary versions of the code to membase 1.6.0 beta 1 and instructions on how to get started. Membase components are licensed under an Apache 2.0 licence, apart from memcached itself which remains under the BSD licence.

(djwm)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Linux năng lượng thấp: wattOS R2

Low power Linux: wattOS R2

24 June 2010, 17:09

Theo: http://www.h-online.com/open/news/item/Low-power-Linux-wattOS-R2-1028570.html

Bài được đưa lên Internet ngày: 24/06/2010

Các lập trình viên của wattOS đã công bố tung ra cập nhật cho phát tán Linux nhẹ của họ. WattOS, như tên của nó gợi lên, tập trung vào sử dụng ít năng lượng và có một dung lượng nhỏ – cho phép nó chạy trên các phần cứng cũ hơn và yếu hơn. Để làm cho phát tán này nhẹ, giao diện người sử dụng dựa trên các môi trường đồ họa Openbox và LXDE.

Lần tung ra mới nhất của wattOS dựa trên Ubuntu 10.04 LTS “Lucid Lynx” và đặc trưng cho vài công cụ quản lý năng lượng tiên tiến để giúp người sử dụng tiêu thụ ít năng lượng cho “những nhu cầu điện toán hàng ngày của họ”. Theo các lập trình viên, cập nhật mới nhất có sự khởi động nhanh hơn nhiều và thời gian và toàn bộ phản ứng cài đặt được cải thiện. Những thay đổi khác bao gồm việc thay thế trình chơi nhạc Exaile bằng Rhythmbox và bổ sung ứng dụng quản lý ảnh cá nhân F-Spot.

Chi tiết hơn về phiên bản này có thể thấy trong ghi chép phiên bản và các màn hình được cung cấp, wattOS R2 có sẵn để tải về như một tệp ảnh ISO cho các hệ thống x86 từ site của dự án. Một phiên bản PPC cho các máy Mac dựa trên G4 và G5 vẫn còn đang được phát triển.

The wattOS developers have announced the release of update to their lightweight Linux distribution. WattOS, as its name suggests, is focused on low power usage and having a small footprint – allowing it to run on older, less powerful hardware. To keep the distribution lightweight, its user interface is based on the Openbox and LXDE desktop environments.

The latest release of wattOS is based on Ubuntu 10.04 LTS "Lucid Lynx" and features several advanced power management tools to help users consume less energy for their "daily computing needs". According to the developers, the latest update has a much faster boot and install time and overall responsiveness is improved. Other changes include replacing the Exaile music player with Rhythmbox and the addition of the F-Spot personal photo management application

More details about the release can be found in the release notes and screenshots are provided. wattOS R2 is available to download as an ISO image file for x86 systems from the project's site. A PPC version for G4 and G5-based Mac systems is still in development.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Hai, 28 tháng 6, 2010

Phần mềm độc hại: sự đáng tin cậy được chứng nhận

Malware: certified trustworthy

22 June 2010, 16:34

Theo: http://www.h-online.com/security/news/item/Malware-certified-trustworthy-1027066.html

Bài được đưa lên Internet ngày: 22/06/2010

Lời người dịch: Theo nhà cung cấp phần mềm chống virus F-Secure, “số lượng các ví dụ phần mềm độc hại được ký số cho Windows đang gia tăng – và ngày càng nhiều chương trình phần mềm đe dọa cũng đưa vào một chữ ký số hợp lệ. Các tác giả của virus sử dụng phương pháp này để vượt qua được một loạt những rào cản trong các hệ thống Windows và chặn các cảnh báo như những thứ được bất khi một chương trình định cài đặt một kiểm soát ActiveX trong Internet Explorer, hoặc trước khi cài đặt một trình điều khiển. Danh sách của F-Secure về các chương trình tiềm tàng không mong muốn chứa gần 400,000 ví dụ được ký số. Về các phần mềm độc hại, danh sách này vẫn còn bao gồm hầu như 24,000 ví dụ” và kiểu giả mạo chữ ký để đưa phần mềm độc hại vào sẽ trở nên nguy hiểm hơn với Windows 7, “vì phiên bản này dựa nặng hơn vào Authenticode hơn là so với các phiên bản trước của Windows. Trong trường hợp này, các nhà cung cấp chống virus sẽ cần làm việc trong sự hợp tác gần gũi với Cơ quan Xác thực CA để đảm bảo rằng các chứng chỉ bị tổn thương và bị sử dụng sai (và cả các khóa) có thể bị cô lập nhanh nhất có thể”. Người sử dụng Windows 7 nên thận trọng đối với những thứ này.

Authenticode được sử dựng cho việc ký và kiểm tra các phần mềm theo Windows và có nghĩa là để kiểm tra gốc của phần mềm. Người sử dụng có xu huonwgs tin tưởng vào các phần mềm được ký số. Các phần mềm mà không có chữ ký số sẽ tắt bật một hội thoại mà sẽ chắc chắn hỏi người sử dụng khẳng định trước khi xử lý tiếp với sự cài đặt. Trong các phiên bản 64 bit của Windows 7 và Vista, việc cài đặt một trình điều khiển không được ký là không thể hoàn toàn, ngay cả nếu một người sử dụng muốn cho nó qua.

F-Secure nói rằng các tác giả virus sử dụng thành công một loạt các mẹo để giành được các chữ ký số hoặc chứng chỉ hợp lệ cho các chương trình của họ. Phương pháp tin cậy được nhất là làm trò để một Cơ quan Chứng thực CA đưa ra một mã ký chứng chỉ. Dường như là điều này đã trở nên dễ như việc giành được một chứng chỉ SSL hợp lệ cho máy chủ – một địa chỉ thư điện tử hợp lệ là đủ. Những giả mạo và bọn tội phạm trên Internet cũng sử dụng những dịch vụ như vậy như Digital River, mà nó ký các phần mềm cho các khách hàng của họ.

Các tác giả của virus cũng có thể sử dụng không đúng các chứng chỉ bị ăn cắp hoặc các khóa cá nhân để ký cho các phần mềm của riêng họ. Một loạt các phiên bản của Adrenalin, Ursnif và các họ ZeuS của các botnet được cho là chứa các chức năng cho việc đọc các dữ liệu phù hợp từ các máy tính cá nhân bị lây nhiễm của các lập trình viên. Tuy nhiên, cho tới nay F-Secure đã chưa tìm thấy bất kỳ phần mềm độc hại nào mà thực sự sử dụng một khóa bị ăn cắp trong cơ sở dữ liệu các phần mềm độc hại của hãng.

According to anti-virus vendor F-Secure, the number of digitally signed malware samples for Windows is increasing - and more and more scareware programs also include a valid digital signature. Virus authors use this method to overcome various hurdles on Windows systems and suppress alerts such as those triggered when a program attempts to install an ActiveX control in Internet Explorer, or before installing a driver. F-Secure's list of potentially undesirable programs contains almost 400,000 digitally signed samples. In terms of malware, the list still includes almost 24,000 samples.

Authenticode is used for signing and checking software under Windows and is meant to verify the origin of software. Users tend to trust digitally signed software. Software without a digital signature triggers a dialogue that explicitly asks the user for confirmation before proceeding with the installation. In the 64-bit versions of Windows 7 and Vista, installing an unsigned driver isn't possible at all, even if a user were to wave it through.

F-Secure say that virus authors successfully use various tricks to obtain valid digital signatures or certificates for their programs. The most reliable method is to trick a Certificate Authority into issuing a code signing certificate. It seems that this has become just as easy as obtaining a valid SSL server certificate – a valid email address is sufficient. Internet frauds and criminals also use such services as Digital River, which sign software for their customers.

Virus authors can also misuse stolen certificates or private keys to sign their own software. Various versions of the Adrenalin, Ursnif and ZeuS families of botnets are said to contain functions for reading the relevant data from developers' infected PCs. However, so far F-Secure has not found any malware that actually uses a stolen key in its malware database.

Những gì được xem là đang xảy ra ngày một thường xuyên hơn là việc một trojan lây nhiễm các tệp trong một hệ thống của các lập trình viên, và rằng toàn bộ gói phần mềm của lập trình viên chứa trojan đó sau đó được ký và được triển khai. Rất thường xuyên, các lập trình viên tạo ra virus cũng ký các ví dụ của họ bằng các khóa và chứng chỉ mà họ đã tự ký cho mình, sử dụng những thông tin giả về người phát hành hoặc người sở hữu để đánh lạc hướng các chương trình và người sử dụng.

F-Secure đánh giá rằng vấn đề này, cho tới nay, chưa đạt tới mức sống còn vì các tác giả virus còn chưa bắt đầu khai thác phương pháp này trên một diện rộng. Tuy nhiên, điều này có thể làm thay đổi bằng sự phổ biến rộng rãi Windows 7, vì phiên bản này dựa nặng hơn vào Authenticode hơn là so với các phiên bản trước của Windows. Trong trường hợp này, các nhà cung cấp chống virus sẽ cần làm việc trong sự hợp tác gần gũi với Cơ quan Xác thực CA để đảm bảo rằng các chứng chỉ bị tổn thương và bị sử dụng sai (và cả các khóa) có thể bị cô lập nhanh nhất có thể.

What does seem to happen more and more often is that a trojan infects files on a developer's system, and that the developer's entire software package including the trojan is subsequently signed and deployed. Very often, virus programmers also sign their samples with keys and certificates they have signed themselves, using bogus information about the issuer or owner to mislead programs and users.

F-secure estimates that the problem has, so far, not reached critical proportions because virus authors have not yet begun to exploit this method on a large scale. However, this could change with the widespread dissemination of Windows 7, because this version relies even more heavily on Authenticode than previous versions of Windows. In this case, anti-virus vendors will need to work in close cooperation with the Certificate Authorities to ensure that compromised and misused certificates (and keys) can be blocked as quickly as possible.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Cảnh sát Úc muốn bắt buộc phần mềm diệt virus và tường lửa

Aussie pols want compulsory AV software and firewalls

By Jane Fae OzimekGet more from this author

Posted in Government, 22nd June 2010 11:11 GMT

Theo: http://www.theregister.co.uk/2010/06/22/aus_cybercrime_report/

Bài được đưa lên Internet ngày: 22/06/2010

Lời người dịch: Khi mà những mối đe dọa về an ninh không gian mạng ngày một gia tăng, một số quốc gia gặp khó khi phải cân nhắc giữa quyền tự do riêng tư cá nhân và những bộ lọc những thứ được cho là rác rưởi trên Internet, mà Úc cũng là một trong các quốc gia như vậy.

Chính phủ Úc tiếp tục vật lộn với vấn đề về cách tốt nhất để bảo vệ quốc gia khỏi sự dơ bẩn của Internet, Ủy ban về Truyền thông Hạ viện đã vừa mới vận động hành lang một yếu tố mới chủ yếu trong tranh cãi về một báo cáo tổng hợp về tội phạm không gian mạng.

Báo cáo này, đầu đề là Các tin tặc, Bọn lừa đảo và các Botnet: Việc vật lộn với vấn đề tội phạm không gian giam – là một tài liệu 260 trang, được xuất bản tuần này và được biên dịch theo sự lãnh đạo của bà nghị sĩ quốc hội Belinda Neal. Ngay ở đầu, bà Neal viết rằng “Những mối quan tâm và nhu cầu của người tiêu dùng và các doanh nghiệp nói chúng sẽ gia tăng trong Chiến lược An ninh Không gian mạng Quốc gia”.

Một số bước mà có thể được thực hiện ngay lập tức bao gồm một điểm điều phối quốc gia để xem xét chiến lược này một các tổng thể, một trung tâm báo cáo về tội phạm không gian mạng quốc gia, điều phối tốt hơn và đào tạo các cơ quan tăng cường pháp luật và chia sẻ thông tin nhà nước – tư nhân về một dải rộng lớn các dạng tội phạm không gian mạng.

Những kết luận này đã dựa trên bằng chứng mà Ủy ban đã nghe, đối với tác động mà người tiêu dùng của Úc (và các doanh nghiệp) đã bị nhắm tới bởi bọn tội phạm không gian mạng chưa từng có từ trước tới nay, với giá thành tổng cộng đố với các doanh nghiệp của Úc cao tới 649 triệu USD một năm.

Ủy ban này cũng được nói rằng việc gia tăng tốc độ Internet có lẽ làm cho tình hình còn tồi tệ hơn.

Báo cáo cũng đưa ra một loạt 34 khuyến cáo trải từ những nhận xét – Bộ Truyền thông Úc nên đưa ra ccs vấn đề một cách rộng rãi hơn và hỗ trợ phát triển việc đào tạo xóa mù về IT rộng rãi cho cộng đồng bao gồm vấn đề an ninh không gian mạng – để làm giảm nỗi sợ hãi.

As the Australian Government continues to grapple with the issue of how best to protect the nation from internet nastiness, the House of Representatives Standing Committee on Communications has just lobbed a major new element into the debate in the form of a mega-report on cyber-crime.

The report - entitled Hackers, Fraudsters and Botnets: Tackling the Problem of Cyber Crime (pdf) - is a 260-page opus, published this week and compiled under the chairmanship of Ms Belinda Neal MP. In the foreword, Ms Neal writes that "the interests and needs of consumers and business [should] generally be elevated in the national Cyber Security Strategy".

Some of the steps that can be taken immediately include a national coordination point to oversee this broader strategy, a national cyber-crime reporting centre, better coordination and training for law enforcement agencies and public-private information sharing on a wider range of cyber-crime types.

These conclusions were based on evidence that the Committee heard, to the effect that Australian consumers (and businesses) were being targeted by cyber criminals as never before, with a total cost to Australian business as high as $649m a year

The committee were also told that increasing internet speeds were likely to make the situation worse.

The report also came up with a series of some 34 recommendations that ranged from the banal - the Australian Communications Department should publicise the issues more widely and support the development of community-wide IT literacy training that includes cyber security – to the slightly more scary.

Cái sau bao gồm những bổn phận mới đối với cả các nhà cung cấp dịch vụ Internet ISP lẫn những người sử dụng đầu cuối phải giữ cho mạng tự do khỏi virus. Vì thế, báo cáo khuyến cáo rằng người sử dụng đầu cuối phải được yêu cầu “cài đặt phần mềm chống virus và các tường lửa trước khi kết nối Internet được kích hoạt”. Họ nên sau đó làm tốt nhất để giữ an ninh được cập nhật và “tiến hành các bước thích hợp để dàn xếp lại các máy tính của họ khi được thông báo về sự tổn hại của phần mềm độc hại bị nghi ngờ”.

Các ISP có thể buộc phải cung cấp khuyến cáo về an ninh, thông báo cho người sử dụng khi địa chỉ IP của họ bị phát hiện có liên quan tới máy tính bị lây nhiễm, và có ngay chính sách về “những giới hạn truy cập được phân cấp” - với sự ngắt kết nối như là hình phạt cuối cùng.

Cũng là thông tin tồi, đối với các tin tặc. Ủy ban này muốn các cơ quan tăng cường pháp luật “nhằm vào nền kinh tế ngầm đối với các công cụ IT độc hại và các thông tin tài chính cá nhân”, cũng như sự ngắt các botnet và kết tội “những kẻ quấy nhiễu”.

Đối với những ai đã có liên quan tới các xu hướng Orwellian trong chính sách của Úc về Intetnet, thì sẽ có nhiều thứ để gây ra báo động hơn. Cơ quan Truyền thông và Phương tiện của Úc sẽ được yêu càu gia tăng (sau đó!) “sự truy cập của mình tới các dữ liệu mạng vì mục đích dò tìm các máy tính bị tổn thương vì các phần mềm độc hại”.

Điều này nên đưa vào xem xét kỹ lưỡng về cách gia tăng sự truy cập dữ liệu mạng được giữ bởi các công ty an ninh IT toàn cầu, những quan tâm về điều chỉnh pháp lý và sự riêng tư sẽ được mong đợi”.

Nói cách khác, số lượng các dữ liệu nhạy cảm nghiêm trọng sẽ được giữ bởi chính phủ đang gia tăng đột ngột – và chính phủ (ít nhất dưới dạng của ủy ban này) không bị thuyết phục hoàn toàn liệu những người sử dụng đầu cuối có cần bất kỳ sự bảo vệ pháp lý nào về sự gia tăng này hay không.

The latter include new obligations on both ISPs and end-users to keep the net free from viruses. So, the report recommends that end-users be required to "install anti-virus software and firewalls before the Internet connection is activated". They should then do their best to keep security up to date and "take reasonable steps to remediate their computer(s) when notified of suspected malware compromise".

ISPs would be obliged to provide security advice, inform users when their IP address has been flagged as linked to infected machine, and put in place a policy of "graduated access restrictions" – with disconnection as the ultimate sanction.

Bad news, too, for hackers. The committee wants law enforcement agencies to "target the underground economy in malicious IT tools and personal financial information", as well as disrupt botnets and prosecute "botherders".

For those already concerned about Orwellian tendencies in Australia’s policy on the internet, there is yet more stuff to cause alarm. The Australian Communications and Media Authority will be asked to increase (further!) "its access to network data for the purpose of detecting malware compromised computers".

"This should include active consideration of how to increase access to network data held by global IT security companies and, in consultation with relevant departments, whether legal protections to address commercial, regulatory and privacy concerns are desirable."

In other words, the amount of seriously sensitive data to be held by government is going to increase dramatically – and government (at least in the shape of this committee) is not entirely convinced whether end-users need any legal protection in respect of this increase.

Về chiều ngược lại, hình như sẽ có sự thúc đẩy cho những phản đối đặc biệt chống lại sự cài đặt các chương trình phần mềm không được phép, đặc biệt những phần mềm mà “theo dõi, thu thập, và làm lộ các thông tin về người sử dụng đầu cuối” và việc mua sắm Internet và hoạt động duyệt Internet”.

Đối với những người còn bối rối bởi sự châm biếm đối với tất cả những thứ này – sự tập trung vào việc bảo vệ người sử dụng khỏi các tin tặc hư hỏng “ngoài đó”, được đi với sự tự mãn về tôn trọng vai trò của nhà nước – một cái nhìn thoáng qua vào danh sách bằng chứng là tất cả những gì cần thiết. Doanh nghiệp lớn (bao gồm các nhà cung cấp an ninh như McAfee và Symantec), các luật sư, các bộ của chính phủ và cảnh sát ở đó: có là những người sử dụng đầu cuối hay không.

Như một bài tập về việc ra quyết định từ trên xuống, báo cáo này là ví dụ: tuy nhiên, nếu bà Neal đang tìm kiếm sự chấp nhận rộng rãi hơn trong cộng đồng thì bà đang tìm cách để cảnh sát, báo cáo có thể đã làm tốt hơn để giăng lưới ra rộng hơn nhiều.

Ghi chú cuối trang

Trong khi tranh luận công khai về việc liệu có hay không Bộ trưởng Truyền thông Stephen Conroy sẽ có khả năng mang tới pháp lý để hỗ trợ dự án tường lửa to lớn của ông trước kỳ bầu cử tiếp sau, thì một độc giả viết gợi ý thực sự không có vấn đề gì ở đây cả. Chính phủ đã chỉ mua những cây số cuối cùng của nước Úc từ Telstra và như một phần của vụ làm ăn yêu cầu Telstra “cho về hưu” cái thòng lọng bằng đồng đang tồn tại của họ. Đúng lúc, vì thế, tất cả các ISP sẽ không có sự lựa chọn nào ngoài phải chuyển sang kết nối của Conroy – trong đó điểm pháp lý để áp đặt một bộ lọc sẽ không thực sự là cần thiết.

On the positive side, there is likely to be a push for specific protections against the unauthorised installation of software programs, particularly those that "monitor, collect, and disclose information about end users’ Internet purchasing and Internet browsing activity".

For those puzzled by the irony of it all – the focus on protecting the consumer from nasty hackers "out there", coupled with complacency in respect of the role of the state – a short glance at the witness list is all that is needed. Big business (including security providers such as McAfee and Symantec), lawyers, government departments and police are there: the end-user is not.

As an exercise in top-down policy-making, this report is exemplary: if, however, Ms Neal is looking for wider acceptance amongst the community she is seeking to police, the report might have done better to trawl a lot wider. ®

Footnote

While public debate on whether or not Communications Minister Stephen Conroy will be able to bring in legislation to support his great firewall project before the next election, a reader writes to suggest it really doesn't matter. The government just bought the AU last mile from Telstra and as part of the deal requires Telstra to "retire" their existing copper loop. In time, therefore, all ISPs will have no choice but to migrate to the Conroy-connector - at which point legislation to impose a filter will not really be needed.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Chủ Nhật, 27 tháng 6, 2010

Nhà Trắng lên kế hoạch cho chiến lược về nhận diện tốt hơn trong không gian mạng

White House plans strategy for better cyber authentication

Obama administration to release draft of National Strategy for Trusted Identities in Cyberspace

By Ben Bain, Jun 22, 2010

Theo: http://gcn.com/articles/2010/06/22/web-schmidt-cyber-identities-strategy.aspx

Bài được đưa lên Internet ngày: 22/06/2010

Lời người dịch: Mùa thu này, nước Mỹ dự kiến sẽ có được sự phê chuẩn của Tổng thống Obama cho tài liệu về chiến lược mới cho việc nhận diện tốt hơn trong không gian mạng. Còn trong tháng này, bản phác thảo của chiến lược này sẽ được đưa ra trưng cầu dân ý.

Chính quyền Obama lên kế hoạch đưa ra cuối tuần này một dự thảo chiến lược quốc gia mới cho việc cải thiện các khả năng nhận dạng và xác thực mọi người, các tổ chức và hạ tầng trong không gian mạng, quan chức hàng đầu về không gian mạng của Nhà Trắng nói hôm nay.

Tài liệu Chiến lược Quốc gia về Nhận dạng Tin cậy trong Không gian mạng đưa ra những mục tiêu và đối tượng để cho phép đối với các luật, chính sách và chương trình cải thiện tính tin cậy được của xác thực số trong không gian mạng, Howard Schmidt, người điều phối về không gian mạng của Nhà Trắng, nói. Schmidt nói tài liệu này, bây giờ là phiên bản 2, có thể được tung ra vào 25/06 cho công chúng bình luận.

Schmidt, nói trong Hội nghị về Chính phủ của Symantec được tổ chức tại Wasshington, nói rằng chiến lược này đã được kêu gọi cho sự rà soát lại của chính quyền Obama về chính sách không gian mạng mà đã được hoàn tất năm ngoái. Chiến lược này xây dựng trên công việc mà chính phủ đã làm về quản lý nhận dạng theo chỉ thị số 12 của Tổng thống về An ninh Quốc nội. Ông cũng nói nó nhận thức được nhu cầu phải giáo dục người sử dụng đối với các hệ thống máy tính.

Chiến lược này không thể tồn tại trong sự tách biệt và nó sẽ có sự cam kết về an ninh, ông bổ sung. “Chúng ta không thể làm điều này một cách tách biệt, chúng ta phải làm việc cùng nhau để thiết kế hệ thống này”, Schmidt đã nói và nhấn mạnh nhu cầu đối với chính phủ và giới công nghiệp hợp tác trong nỗ lực này.

The Obama administration plans to release late this week a draft of a new national strategy for improving capabilities to identify and authenticate people, organizations and infrastructure in cyberspace, the White House’s top cyber official said today.

The National Strategy for Trusted Identities in Cyberspace document lays out goals and objectives to allow for laws, policies and programs to improve the trustworthiness of digital identities in cyberspace, said Howard Schmidt, the White House’s cyber coordinator. Schmidt said the document, now in its second version, would be released June 25 for public comment.

Schmidt, speaking during at the Symantec Government Symposium held in Washington, said that the strategy was called for by the Obama administration’s review of cyber policy that was completed last year. The strategy builds on work the government has done in identity management under Homeland Security Presidential Directive-12. He also said it recognizes the need to educate users of computer systems.

The strategy cannot exist in isolation and it’s going to take a commitment to security, he added. “We can’t do this in isolation, we’ve got to work together to design this system,” Schmidt said emphasizing the need for government and industry to collaborate on the effort.

Schmidt nói việc cải thiện nhận dạng trong không gian mạng sẽ liên quan tới làm việc với giới công nghiệp để thiết kế một hệ sinh thái cho nhận dạng trong không gian mạng, xây dựng nó, và sau đó quản lý nó. Ông nói các quan chức biết trước chiến lược sẽ dẫn tới:

  • Các giải pháp nhận dạng được cải thiện và việc trộm nhận dạng trực tuyến được giảm thiểu

  • Kinh nghiệm trực tuyến toàn bộ tốt hơn

  • Đổi mới sáng tạo trực tuyến và

  • Giá thành hạ

Schmidt nói các giải pháp nhận diện cho không gian mạng cần phải là:

  • An ninh và mong muốn

  • Tương hợp được và tổ chức được

  • Cải thiện tính riêng tư và sự tình nguyện và

  • Hiệu quả về giá thành và dễ dàng sử dụng.

Chính quyền sẽ sử dụng các công nghệ Web 2.0 để tập hợp các phản hồi từ mọi người về bản dự thảo chiến lược, Schmidt nói. Sau quá trình này, Tổng thống Barack Obama sẽ xem xét lại chiến lược và đưa ra quyết định cuối cùng về nó.

Khi chúng ta chuẩn bị cái này chúng ta muốn chắc chắn rằng chúng ta có mọi quan điểm có thể trong việc lôi kéo điều này cùng nhau”, Schmidt nói, bổ sung thêm rằng mục tiêu là có được chữ ký của Obama cho tài liệu này vào mùa thu này.

Schmidt said improving identification in cyberspace will involve working with industry to design an ecosystem for identities in cyberspace, build it, and then manage it. He said officials anticipate the strategy will lead to:

  • Improved identity solutions and reduced online identity theft

  • Better overall online experience

  • Online innovation and

  • Reduced costs.

Schmidt said identity solutions for cyberspace need to be:

  • Secure and desirable

  • Interoperable and federated

  • Privacy-enhancing and voluntary and

  • Cost-effective and easy to use.

The administration will use Web 2.0 technologies to gather feedback from people on the draft strategy, Schmidt said. After that process, President Barack Obama will review the strategy and make a final decision on it.

As we prepare this we want to make sure that we have every view point possible in pulling this together,” Schmidt said, adding that the goal is to have Obama sign the document this fall.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Hàng tỷ USD chờ cho nghiên cứu về an ninh không gian mạng

Billions expected for cybersecurity research

ODNI and White House are looking for innovative approaches to thwarting hackers

By Kathleen Hickey, Jun 22, 2010

Theo: http://gcn.com/articles/2010/06/22/billions-for-cybersecurity-research.aspx

Bài được đưa lên Internet ngày: 22/06/2010

Lời người dịch: Tại Mỹ hiện nay, việc nghiên cứu đổi mới sáng tạo về an ninh không gian mạng đang được chú trọng đặc biệt. Ngân sách chi cho việc này là nhiều tỷ USD. Không biết ở ta thì như thế nào nhỉ?

Khi chính quyền Obama và Quốc hội đề xuất hàng loạt biện pháp để cải thiện an ninh quốc gia, thì Văn phòng Giám đốc Tính báo Liên bang đang lên kế hoạch bỏ ra “nhiều tỷ USD” vào nghiên cứu an ninh không gian mạng.

Dawn Meyerriecks, phó chủ tich của tình báo quốc gia về mua sắm và công nghệ, nói tại một hội nghị về an ninh không gian mạng gần đây được tài trợ bởi tờ Defense Daily rằng văn phòng của bà, cùng với Văn phòng Khoa học và Công nghệ của Nhà Trắng, sẽ tài trợ nghiên cứu “đổi mới sáng tạo” tập trung vào 3 lĩnh vực, tờ Bưu điện Wasshington đã nói:

  • Nhiều mức an ninh cho các tổ chức chính phủ và phi chính phủ.

  • Các hệ thống an ninh mà chúng thay đổi thường xuyên để tạo ra “những mục tiêu động” đối với các tin tặc.

  • Các phương pháp để huy động các cá nhân cải thiện các kinh nghiệm về an ninh không gian mạng của họ.

Chúng ta không phải cố định bất kỳ ý tưởng nào về những gì các câu trả lời này sẽ có”, Meyerriecks nói. “Chúng ta đang tìm kiếm đối tác truyền thống và phi truyền thống trong việc tạo nguồn. Bạn biết đấy, có một số bài học tốt từ giới công nghiệp mà chúng ta cần đưa ra phía trước. Chúng ta đang tìm kiếm ý tưởng. Nó là mở”.

Meyerriecks nói bà biết trước sáng kiến này sẽ được trình ra vào năm tài chính 2013, mặc dù nó có thể bắt đầu một năm trước đó.

Tuyên bố này là một dấu hiệu khác rằng an ninh không gian mạng đang có được sự chú ý đặc biệt.

Ngay sau bài phát biểu của Meyerriecks, Văn phòng Kiểm toán Chính phủ (GAO) đã đưa ra một báo cáo nhấn mạnh nhu cầu đối với những biện pháp bổ sung để giải quyết an ninh không gian mạng.

As the Obama administration and Congress propose various measures to improve the nation’s cybersecurity, the Office of the Director of National Intelligence is planning to spend “multiple billions of dollars” on cybersecurity research.

Dawn Meyerriecks, deputy director of national intelligence for acquisition and technology, said at a recent cybersecurity summit sponsored by Defense Daily that her office, together with the White House Office of Science and Technology, will be sponsoring “innovative” research addressing three areas, the Washington Post reported:

  • Multiple security levels for government and non-government organizations.

  • Security systems that change constantly to create “moving targets” for hackers.

  • Methods to motivate individuals to improve their cybersecurity practices.

We don’t have any fixed ideas about what the answers are,” Meyerriecks said. “We’re looking for traditional and nontraditional partnering in sourcing. You know, there are some good lessons from industry that we need to bring forward. We are looking for ideas. It is open.”

Meyerriecks said she anticipates the initiative to be put into place in fiscal 2013, although it could begin a year earlier.

The announcement was another sign that cybersecurity is getting serious attention.

Soon after Meyerriecks’ speech, the Government Accountability Office issued a report highlighting the need for additional measures to address cybersecurity.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Năm, 24 tháng 6, 2010

Đối với các nhà thầu, việc chào các dịch vụ đám mây là một công việc rủi ro

For contractors, offering federal cloud services is a risky business

By Jill R. Aitoro 06/21/2010

Theo: http://www.nextgov.com/nextgov/ng_20100621_6997.php

Bài được đưa lên Internet ngày: 21/06/2010

Lời người dịch: Tại Mỹ, các nhà cung cấp dịch vụ điện toán đám mây cho liêng bang phải rất thận trọng vì tình trạng thiếu chính sách, thiếu chuẩn và phải tính tới những rủi ro như mất dữ liệu hoặc dữ liệu không sẵn sàng khi cần... Còn ở Việt Nam, những chính sách về điện toán đám mây có gì chưa nhỉ? Giả sử dữ liệu của khách hàng bị mất thì ai có trách nhiệm giải quyết, bồi thường nhỉ? Nhà cung cấp? Công ty bảo hiểm hay … chính người sử dụng nhỉ?

Các công ty chào các dịch vụ đám mây cho các cơ quan chính phủ sẽ phải giải quyết các yêu cầu về sự duy trì, có lẽ làm khó cho các doanh nghiệp nhỏ bán các dịch vụ của họ, theo một báo cáo mới được một hãng luật đưa ra.

Các nhà thầu đối mặt với những rủi ro pháp lý khi hỗ trợ các cơ quan liên bang trong việc triển khai điện toán đám mây, thực tế việc mua sắm các dịch vụ điện toán mà chúng sẽ được lưu trữ và duy trì bởi các nhà cung cấp là bên thứ 3, theo sách trắng được hãng luật Reed Smith đưa ra.

Bạn phải chấp nhận một số điều khoản và điều kiện của liên bang, và chúng là duy nhất và khác biệt với những gì trong các hợp đồng thương mại”, Lorraine Mullings Compos, một đối stacs với Reed Smith và đồng tác giả của sách trắng.

An ninh là một lĩnh vực trong đó những rủi ro là cao đối với các nhà thầu, vì các nhà cung cấp dịch vụ đám mây phải đáp ứng được những mong đợi bổ sung và đảm bảo những ứng dụng của họ tuân thủ với Lật về Quản lý An ninh Thông tin Liên (FISMA) bang năm 2002, mà nó đòi hỏi một quá trình chứng nhận và kiểm tra.

Đám mây không phải là duy nhất, nhưng … các yêu cầu của FISMAlàm cho tệ hơn nhiều”, Gunnar Hellekson, chiến lược gia về công nghệ cho đội làm việc với khu vực nhà nước của Red Hat, nói. “Tôi có thể cung cấp một dịch vụ duy nhất, [nhưng]... tôi đã phải sản sinh ra 92 mẩu tài liệu khác nhau”.

Một sáng kiến của chính phủ được phát triển để giải quyết vấn đề an ninh là Chương trình Quản lý Xác thực và Rủi ro Liên bang (FedRAMP), mà nó đưa ra các dịch vụ xác thực các hệ thống trong đám mây đáp ứng được những chỉ dẫn của FISMA, bao gồm cả việc giám sát mạng liên tục. Chương trình này dựa trên các qui trình quản lý rủi ro được xác định bởi Viện Quốc gia Tiêu chuẩn và Công nghệ trong Xuất bản phẩm đặc biệt 800-37.

Companies offering cloud services to government agencies will have to address federal security and data retention requirements, possibly making it difficult for small businesses to sell their services, according to a new report released by a law firm.

Contractors face legal risks when assisting federal agencies in implementing cloud computing, the practice of purchasing computing services that are stored and maintained by third-party providers, according to a white paper released by the law firm Reed Smith.

"You have to accept certain federal terms and conditions, and they're unique and different from those in commercial contracts," said Lorraine Mullings Campos, a partner with Reed Smith and co-author of the white paper.

Security is one area in which the risks are higher for contractors, because cloud services providers must meet additional expectations and ensure their applications comply with the 2002 Federal Information Security Management Act, which requires a lengthy certification and accreditation process.

"The cloud isn't unique, but . . . the requirements of FISMA [make it] much worse," said Gunnar Hellekson, chief technology strategist for Red Hat's public sector team. "I can provide a single service, [but] . . . I'd have to produce 92 separate pieces of documentation."

A government initiative being developed to address the security issue is the Federal Risk and Authorization Management Program (FedRAMP), which offers services to certify information systems in the cloud meet FISMA guidelines, including continuous network monitoring. The program is based on risk management processes defined by the National Institute of Standards and Technology in Special Publication 800-37.

Hellekson cũng chỉ ra Giao thức Tự động Nội dung An ninh, mà các nhà cung cấp có thể sử dụng để thử nghiệm các mạng và công cụ máy tính về sự tuân thủ với Cấu hình Cơ bản Máy tính để bàn của Liên bang, mà nó đòi hỏi các cơ quan phải tiêu chuẩn hóa các hệ điều hành và các thiết lập trình duyệt để tránh các lỗ hổng.

Các chuẩn của liên bang thực sự có thể đi trước bằng việc tạo ra một không gian an toàn cho thị trường để phát triển, Hellekson nói.

Trong đám mây, mọi thứ cũ sẽ mới lại một lần nữa”, ông nói. “Chúng tôi đã có những thảo luận tương tự về an ninh khi các cơ quan ban đầu đã xem xét các ứng dụng thuê ngoài làm”, mà đã được quản lý bởi các nhà cung cấp dịch vụ trên các máy chủ của họ. “Thiếu sự thúc đẩy của chính sách, sẽ có đủ các rủi ro trong triển khai đám mây mà mọi người có thể sẽ sợ phải tiến hành”.

Cản trở khác là những mong đợi của các cơ quan về tính sẵn sàng của dữ liệu, theo báo cáo này.

Nếu dữ liệu bị mất hoặc không sẵn sàng, sẽ có rất ít sự trông cậy mà một khách hàng thương mại có thể tiến hành chống lại nhà cung cấp đám mây”, Stephanie Giese, một đồng tác giả của sách trắng có liên quan tới Reed Smith nói. “Nhưng đối với chính phủ, đặc biệt nếu là điều quan trọng tới an ninh quốc gia, thì phải có sự truy cập 24 giờ đối với các dữ liệu”.

Những mong đợi sẽ được viết một cách đặc thù trong các thỏa thuận mức dịch vụ ngặt nghèo hơn. “Sự hiểu biết đầy đủ những mong đợi giữa các bên là sống còn không chỉ vì những ảnh hưởng pháp lý đối với nhà thầu mà còn những ảnh hưởng tới bản thân các cơ quan về uy tín của riêng họ”, Steven Kousen, phó hủ tịch về kỹ thuật và các dịch vụ điện toán đám mây của Liêng bang tại Unisys, nói. “Tất cả những yêu cầu phải được xây dựng trong hợp đồng từ đầu, sao cho nhà thầu hoặc nhà cung cấp hoặc nhà tích hợp hệ thống có thể hiểu liệu họ có đủ tư cách để đáp ứng được không”.

Mặc dù các nhà thầu cho chính phủ là lớn, nhiều người trong số họ đã bắt đầu chào các dịch vụ đám mây, được trang bị tốt để đáp ứng các đòi hỏi của các khách hàng liên bang, thì sự tung ra website trực tuyến mặt tiền Apps.gov, nơi mà các cơ quan có thể mua các dịch vụ IT đám mây, và tuyên bố của các nhà thầu liên bang chào các dịch vụ có thể hướng nhiều tay chơi hơn cạnh tranh đối với những cơ hội của liên bang.

Vì đây là cơ hội thị trường mới, bạn có nhiều tay chơi đã được sinh ra trong ý tưởng rằng họ có thể đáp ứng được mô hình kinh doanh này”, Kousen nói. “Nhưng họ không luôn luôn có được những điều cơ bản của thị trường. Họ cần sự trợ giúp, nếu không họ sẽ gặp rắc rối”.

Hellekson also pointed to the Security Content Automation Protocol, which vendors can use to test computer networks and tools for compliance with the Federal Desktop Core Configuration, which requires agencies to standardize operating systems and browser settings to prevent breaches.

These federal standards actually could advance by creating a safe space for the market to develop, Hellekson said.

"In cloud, everything old is new again," he added. "We had similar discussions about security when agencies first considered outsourcing applications," which were hosted by service providers on their computer servers. "In the absence of policy pushes, there is enough risk in cloud deployments that people might be afraid to do it."

Another obstacle is agencies' expectations of data availability, according to the report.

"If data is lost or not available, there's little recourse the commercial customer can take against the cloud provider," said Stephanie Giese, an associate at Reed Smith and co-author of the white paper. "But for government, particularly if it's important to national security, there must be 24-hour access to data."

Expectations typically will be written into stricter service-level agreements. "Full understanding of the expectations between parties is crucial not only because of legal implications for the contractor but also implications to the agency themselves in terms of their own reputations," said Steven Kousen, vice president of federal engineering and cloud computing services with Unisys. "All requirements have to be built in to the contract from the beginning, so the contractor or vendor or system integrator can understand whether they're even qualified to respond."

Although large government contractors, many of whom have started offering cloud services, are well-equipped to manage the demands of federal customers, the launch of the online storefront website Apps.gov, where agencies can purchase cloud-based IT services, and the announcement of federal contracts offering cloud services could drive more niche players to compete for federal opportunities.

"Because of this new marketplace opportunity, you have a lot of niche players that were born based on the idea that they can meet this business model," Kousen said. "But they don't always have the market background. They need help, or else they'll get into trouble."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com