Chủ Nhật, 31 tháng 10, 2010

Thư ngỏ gửi các bạn độc giả nhân dịp Blog có 3,000 tin bài

Các bạn độc giả của Blog thân mến

Nhân kỷ niệm tin bài số 3.000 đã được đăng tải trên blog kể từ khi Blog “Phần mềm tự do nguồn mở cho Việt Nam” được đưa vào hoạt động chính thức ngày 09/06/2007 cho tới nay, xin trân trọng gửi lời cảm ơn tới tất cả các bạn độc giả.

Nhân sự kiện này, để thuận tiện hơn cho các bạn độc giả, tôi muốn liệt kê lại danh sách những tài liệu đã được dịch sang tiếng Việt trong năm 2010 mà các bạn độc giả có thể tải về một cách tự do để tham khảo và sử dụng phù hợp với các mục đích của mình bằng việc nháy vào đường liên kết của từng tài liệu, cả bản dịch sang tiếng Việt cũng như bản gốc bằng tiếng Anh, như sau:

  1. Làm quen với Ubuntu 10.04. Bản gốc tiếng Anh: “Getting Started with Ubuntu 10.04”. Đây là tài liệu hướng dẫn sử dụng phát tán hệ điều hành tự do nguồn mở GNU/Linux Ubuntu phiên bản 10.04 do chính công ty đỡ đầu cho phát tán này là Canonical đã phát hành vào ngày 29/04/2010. Khác với các phiên bản thông thường cứ 6 tháng được đưa ra một lần và chỉ được Canonical hỗ trợ trong vòng 18 tháng, phiên bản Ubuntu 10.04 là phiên bản được hỗ trợ dài hạn LTS (Long Term Support) trong vòng 3 năm và chỉ được Canonical tung ra cứ 2 năm một lần.

  2. Giới thiệu phần mềm tự do (với các phụ lục). Bản gốc tiếng Anh: “Introduction to Free Software”. Đây là tập 1 trong bộ tài liệu 2 tập do Viện Hàn lâm Công nghệ Mở - FTA (Free Technology Academy) phát hành vào năm 2009, được đưa lên Internet vào tháng 01/2010. Đây là tài liệu đang được sử dụng trong chương trình đào tạo “Học tập suốt đời” (Life Long Learning) theo từng module khóa học về phần mềm tự do nguồn mở và chuẩn mở của FTA được tiến hành trực tuyến trên mạng Internet và tại một số trường đại học của Tây Ban Nha, Hà Lan và Nauy, với chứng chỉ cho từng module học của FTA, được cấp cho các đối tượng học viên là các giáo viên và các sinh viên đại học chuyên ngành công nghệ thông tin để họ sau đó đi đào tạo tiếp cho những người sử dụng. Tập 1 của bộ sách này có 2 module là (1) Phần mềm tự do và (2) Các phụ lục. Phiên bản tiếng Việt của tài liệu cũng đã được in thành sách với giấy phép của Nhà Xuất bản Thông tin và Truyền thông và hiện có bán với giá 80.000 VNĐ/1 cuốn tại địa chỉ các nhà sách của Công ty Phát hành sách Phương Nam trên toàn quốc như ở đây.

  3. Chỉ dẫn thực tiễn cho việc sử dụng phần mềm tự do trong khu vực nhà nước. Bản gốc tiếng Anh: “A Practical Guide to Using Free Software in the Public Sector”, phiên bản 1.31, được xuất bản vào tháng 06/2010 của tác giả: Thierry Aimé (DGI – Bộ Ngân sách, các Danh khoản Nhà nước và Dịch vụ Dân sự, cộng hòa Pháp), với sự tham gia của: Philippe Aigrain (Sopinspace), Jean-François Boutier (Bộ Sinh thái học, Phát triển bền vững và Kế hoạch không gian), Frédéric Couchet (April), Elise Debies (DGME – Bộ Ngân sách, các Danh khoản Nhà nước và Dịch vụ Dân sự), François Elie (ADULLACT), Jean-Paul Degorce-Duma (DGSIC – Bộ Quốc phòng), Esther Lanaspa (DGME – Bộ Ngân sách, các Danh khoản Nhà nước và Dịch vụ Dân sự), Sylvie Poussines (DAJ – Bộ Kinh tế, Tài chính và Việc làm), Patrice-Emmanuel Schmitz (OSOR.eu). Tài liệu đưa ra những vấn đề cơ bản nhất khi sử dụng phần mềm tự do nguồn mở trong các cơ quan hành chính nhà nước của các quốc gia thành viên Liên minh châu Âu thông qua 23 câu hỏi đáp thường gặp nhất.

  4. Chỉ dẫn mua sắm của nhà nước về phần mềm nguồn mở. Bản gốc tiếng Anh: “Guideline on public procurement of Open Source Software”, được xuất bản vào tháng 03/2010 của các tác giả Rishab Aiyer Ghosh (ghosh@merit.unu.edu) – Đại học Liên hiệp quốc /MERIT; Ruediger Glott – Đại học Liên hiệp quốc /MERIT; Patrice-Emmanuel Schmitz, Abdelkrim Boujraf – Unisys Bỉ theo Hợp đồng đặc biết số 4 (GPOSS) dựa trên hợp đồng khung công việc ENTR/05/066/IDABC/OSOR, theo Chương trình cung cấp tương hợp được các dịch vụ chính phủ điện tử của châu Âu cho các nền hành chính nhà nước, doanh nghiệp và người dân (IDABC). Tài liệu hướng dẫn chi tiết cách thức mua sắm phần mềm tự do nguồn mở trong các cơ quan hành chính nhà nước các quốc gia thành viên của Liên minh châu Âu sao cho tạo ra được một môi trường cạnh tranh bình đẳng giữa phần mềm sở hữu độc quyền và phần mềm tự do nguồn mở, phù hợp với các pháp luật hiện hành của tất cả các quốc gia thành viên và của cả Liên minh châu Âu.

  5. Chính sách của các chính phủ khác. Bản gốc tiếng Anh: “Policy of Other Governments”. Đây là tài liệu từ trang Không gian làm việc Thí điểm về phần mềm nguồn mở của New Zealand, phát hành vào ngày 25/05/2010. Tài liệu đưa ra chính sách về phần mềm tự do nguồn mở của New Zealand và tóm tắt một loạt các chính sách về phần mềm tự do nguồn mở của một số quốc gia trên thế giới như Hà Lan, Anh, Đan Mạch, Malaysia và Canada. Tài liệu trích dẫn câu nói nổi tiếng của bà Neelie Kros, Ủy viên Hội đồng Cạnh tranh của Liên minh châu Âu: “Khi các lựa chọn thay thế mở sẵn sàng, thì không một công dân hay một công ty nào phải bị ép hoặc khuyến khích sử dụng công nghệ của một công ty cụ thể nào đó để truy cập được tới các thông tin của chính phủ. Không một công dân hay một công ty nào phải bị ép hoặc khuyến khích chọn một công nghệ nào hơn công nghệ nguồn mở, mà chính phủ phải tiến hành lựa chọn đó trước tiên”.

  6. Chỉ dẫn mua sắm của nhà nước về phần mềm nguồn mở. Bản gốc tiếng Anh: “Guideline on public procurement of Open Source Software”. Đây là tài liệu đã được nêu ở mục 4 ở bên trên, nhưng đã được rà soát lại, cập nhật thêm một số nội dung và được xuất bản vào tháng 06/2010.

  7. Khung tương hợp Quốc gia Tây Ban Nha, cũng chính là: Chỉ thị nhà Vua 4/2010, ngày 08/01, qui định Khung Tương hợp Quốc gia trong phạm vi chính phủ điện tử (CPĐT). Bản gốc tiếng Anh: “Spanish National Interoperability Framework, Royal Decree 4/2010, of January 8th, which regulares the National Interoperabiliy Framework within the e-government scope”. Tài liệu đưa ra những chỉ dẫn chi tiết về tính tương hợp, cả về tổ chức - công nghệ - ngữ nghĩa cho việc xây dựng các ứng dụng, dịch vụ chính phủ điện tử tại Tây Ban Nha, phù hợp với những đòi hỏi về tính tương hợp với các ứng dụng, dịch vụ chính phủ điện tử của các quốc gia thành viên khác của Liên minh châu Âu.

  8. Phát triển nhân Linux: Nó nhanh như thế nào, Ai đang làm ra nó, Họ đang làm gì, và Ai đỡ đầu cho nó, Cập nhật tháng 08/2009. Bản gốc tiếng Anh: “Linux Kernel Development: How Fast it is Going, Who is Doing It, What They are Doing, and Who is Sponsoring It, An August 2009 Update”, của Quỹ Linux (Linux Foundation) với các tác giả Greg Kroah-Hartman, phòng thí nghiệm SuSE/công ty Novell Inc.; Jonathan Corbet, LWN.net; Amanda McPherson, Quỹ Linux. Tài liệu đưa ra các thông tin chi tiết liên quan tới việc phát triển nhân Linux từ phiên bản 2.6.11 cho tới phiên bản 2.6.30. Đây là một công việc cộng tác phát triển chưa từng có trong lịch sử phát triển phần mềm trên thế giới từ trước tới nay, chứng minh cho tính ưu việt và vượt trội hơn hẳn so với bất kỳ phần mềm nào được phát triển theo mô hình sở hữu độc quyền.

  9. Các xu thế ứng dụng Linux: Khảo sát những người sử dụng đầu cuối là các doanh nghiệp lớn. Bản gốc tiếng Anh: “Linux Adoption Trends: A Survey of Enterprise End Users”, được Quỹ Linux (Linux Foundation) và Yeoman Technologies hợp tác xuất bản vào tháng 10/2010. Đây là tài liệu khảo sát những người sử dụng Linux đầu cuối của các doanh nghiệp lớn đối với gần 2000 người được hỏi và đã chỉ ra những con số không thể tốt hơn đối với những chuyển đổi để lấy đi thị phần đáng kể của các hệ điều hành Windows và Unix trong các doanh nghiệp hàng đầu thế giới với doanh số hàng năm từ 500 triệu USD trở lên hoặc với 500 nhân viên trở lên, qua đó chỉ ra sự sẵn sàng, đĩnh đạc và chiến thắng tất yếu của GNU/Linux và các phần mềm tự do nguồn mở trong những năm sắp tới.

  10. Bộ phim về lịch sử của phong trào phần mềm tự do nguồn mở, dài 1 giờ 25 phút, có tên là "Revolution OS", với phụ đề tiếng Anh và đã được dịch sang tiếng Việt. Xem thông tin chi tiết để tải về bộ phim cùng các phụ đề ở đây.

Hy vọng những tài liệu đã được dịch sang tiếng Việt ở trên sẽ giúp một phần nhỏ để tham khảo cho việc định hướng chuyển đổi sang phần mềm tự do nguồn mở tại Việt Nam được tự tin hơn, vững chắc hơn, quyết tâm hơn ở cả trong khu vực nhà nước và tư nhân, đặc biệt là trong khu vực giáo dục của Việt Nam để nền công nghiệp công nghệ thông tin của Việt Nam đi theo được với xu thế tất yếu của thế giới và phát triển bền vững; hướng tới giá trị gia tăng cao chứ không chỉ đơn thuần là doanh số; hướng tới tự chủ công nghệ với sự hiểu biết và làm chủ được mã nguồn, chứ không chỉ phó mặc và phụ thuộc vào các nhà sản xuất, các nhà cung cấp nước ngoài; tạo ra nhiều sản phẩm trí tuệ chứ không chỉ “mua đầu chợ, bán cuối chợ”.

Chúc các bạn độc giả mạnh khỏe, hạnh phúc và thành đạt.

Blogger: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Sáu, 29 tháng 10, 2010

Quan chức nói chính phủ bất lực chống lại các chứng chỉ an ninh giả mạo

Official says government is helpless against fake security certifications

By Aliya Sternstein 10/22/2010

Theo: https://mail.google.com/mail/?shva=1#inbox

Bài được đưa lên Internet ngày: 22/10/2010

Lời người dịch: Nước Mỹ đang bất lực trong việc chống lại các chứng chỉ an ninh giả mạo, xuất phát từ các cơ quan chứng thực an ninh CA và các nhà mạng. Một cảnh báo cho tất cả chúng ta.

Một quan chức Hạ viện hôm thứ sáu nói các website an ninh giả mạo đã tạo ra để ăn cắp tiền hoặc các thông tin cá nhân là một hiểm họa mà chính phủ bất lực để kiểm soát.

Bình luận từ Andrew McLaughlin, Phó CIO của Nhà Trắng về chính sách Internet, tới trong một phiên thảo luận về những mối đe dọa đang nổi lên cho thương mại điện tử và các giao dịch trực tuyến khác được tổ chức bởi bộ phận tư duy chiến lược (think tank) của Washington - Quỹ Nước Mỹ Mới. Ngày một gia tăng, tất cả các bên có liên quan trong các giao dịch trực tuyến dựa vào thông tin từ các công ty và các quốc gia với các chính sách Internet mà vượt ra ngoài phạm vi hoạt động pháp lý của chính phủ liên bang. Những người tham gia đưa vào những người sử dụng Internet, các website, như IRS.gov; các nhà cung cấp trình duyệt, như Google Chrome; và các đại lý cấp chứng chỉ, như VeriSign, mà họ khẳng định rằng các website và mọi người trao đổi thông tin là những người mà họ đều là những bên liên quan. Các cơ quan được gọi là xác thực này đôi khi sai hoặc cố tình phê chuẩn cho các webiste độc hại.

Chúng ta đang nhìn vào một vấn đề phạm vi quyền hạn pháp lý đa dạng và đa người tham gia mà đối với nó không có giải pháp nào của chính phủ cả”, McLaughlin, một cựu lãnh đạo của Google, nói. Việc giải quyết tình trạng này phụ thuộc vào các trình duyệt, các cơ quan chứng thực và các website giao dịch như các ngân hàng trực tuyến mà hoạt động tại các quốc gia khác nhau với các qui định khác nhau. Chỗ cho điều ác là lớn khi các cơ quan chứng thực tuân theo các chế độ của chính phủ mà là lầm đường, áp chế, hoặc tham gia vào một cuộc tấn công các hạ tầng Internet nước ngoài, ông nói.

Vì bản chất tự nhiên của phạm vi quyền hạn pháp lý đa dạng và nhiều người tham gia đóng góp của vấn đề, nên chính phủ không thể chốt nó và chính phủ sẽ không chốt được nó”, McLaughlin nói. “Bạn chắc không muốn chính phủ cố trở thành tiền tuyến của bạn. Chúng ta có một lịch sử để vặn những thứ này lại”.

A White House official on Friday said fake secure websites created to steal money or personal information are a danger the government is powerless to control.

The comment from Andrew McLaughlin, White House deputy chief technology officer for Internet policy, came during a panel discussion on emerging threats to e-commerce and other online transactions hosted by Washington think tank the New America Foundation. Increasingly, all parties involved in online dealings rely on information from companies and countries with Internet policies that are beyond the federal government's jurisdiction. The participants include Internet users; websites, such as IRS.gov; browser providers, such as Google's Chrome; and certifying agents, such as VeriSign, which confirm that websites and people exchanging information are who they claim to be. These so-called certificate authorities sometimes erroneously or intentionally approve malicious websites.

"We are looking at a multijurisdictional, multistakeholder problem for which there is no governmental solution," said McLaughlin, a former Google executive. Addressing the situation depends on browsers, certificate authorities and transaction websites such as online banks that operate in different countries with varying regulations. Room for mischief is great when certificate authorities are subject to governmental regimes that are devious, repressive, or participating in an attack on foreign Internet infrastructures, he said.

"Because of the multijurisdictional and multistakeholder nature of the problem, government can't fix it and government shouldn't fix it," McLaughlin said. "You wouldn't want government to try to be your front line. We have a history of screwing things up."

Kỹ sư phần mềm của Google Adam Langley, người đã tham gia vào cuộc thảo luận, nói công ty của ông có thiện chí hơn các nhà sản xuất trình duyệt khác để trở nên tích cực trong việc triển khai các công nghệ mới để ngáng trở những kẻ lừa đảo hoặc các lỗi chứng thực.

Nhưng mọi người thường bỏ qua những cảnh giới của trình duyệt. Langley nói khi một cảnh báo của trình duyệt yêu cầu những người sử dụng một câu hỏi hoặc đưa ra một cảnh báo về việc truy cập một site đáng ngờ, thì họ thường đóng thông điệp đó lại và xử lý để kết thúc các nhiệm vụ của họ hoặc tiến hành các mua sắm của họ.

Các cơ quan xác thực không có cách nào để loại bỏ những kẻ xấu chơi mà họ lại đảm bảo một cách sai lầm và độc hại cho một chứng thực website: “Chúng tôi không nhất thiết có các quy trình và các chính sách hiện diện để cho phép chúng tôi nâng cấp cho các cơ quan chứng thực CA, những cơ quan mà chiếm 10% ở đáy mà chúng tôi có lẽ muốn chặt đầu, và đó là một thách thức”, Scott Rea, một kiến trúc sư cao cấp về phần mềm tại DigiCert, một cơ quan chứng thực, nói. Nhưng ông đã không đồng ý với những người tham gia phiên hội thảo mà nói tình trạng này là cuộc đua về đáy nơi mà Internet là đang nằm trong rủi ro của các cuộc tấn công số đông bởi những kẻ giả mạo.

Trả lời cho thế tiến thoái lưỡng nan đang tồn tại này, như các hệ thống tên miền an ninh mới và các tiêu chuẩn xác thực số mới, theo một số chuyên gia có trong phiên thảo luận.

Chỉ trong một vài năm gần đây vấn đề các chứng thực rởm này đã trở thành một sức ép - và điều đó là vì nghiên cứu trong lĩnh vực này đã gia tăng, khi số lượng những bảo vệ công nghệ [tăng], như Andy Steingruebl, một lãnh đạo về an ninh cho dịch vụ thanh toán trực tuyến PayPal, nói.

Ari Schwartz, nhà tư vấn cao cấp về chính sách Internet tại Viện Quốc gia về Tiêu chuẩn và Công nghệ (NIST), đã hé lộ cho Bộ An ninh Quốc nội gần đây các kịch bản tấn công phỏng theo các cơ quan chứng thực để kiểm thử các chiến lược phòng vệ.

Đã từng có nhiều cuộc nói chuyện về các dạng tấn công này khi những ví dụ thực tế cuộc sống của những gì có thể đi tới sự sai lầm nghiêm trọng nếu không quan tâm tới vầ nếu chúng ta không có các giải pháp cho [chúng]”, Schwartz, người gần đây đã tham gia vào chính quyền của Obama sau khi phục vụ như một lãnh đạo tại một nhóm tư nhân, phi lợi nhuận, Trung tâm về Dân chủ và Công nghệ.

Google software engineer Adam Langley, who participated in the discussion, said his company is more willing than other browser makers to be aggressive in deploying new technologies to thwart imposters or certificate errors.

But people frequently ignore browser safeguards. Langley said when a browser alert asks users a question or offers a warning about accessing a questionable site, they often close the message and proceed to finish their tasks or make their purchases.

Certificate authorities have no way of removing bad players who mistakenly or maliciously guarantee a website's authenticity. "We don't necessarily have the processes or policies in place that allow us to grade the CAs who are in that bottom 10 percent that we maybe want to chop off, so that's a challenge," said Scott Rea, a senior software architect at DigiCert, a certificate authority. But he disagreed with panelists who said the situation is a race to the bottom where the Internet is at risk of massive attacks by imposters.

Answers to the dilemma do exist, such as new secure domain name systems and digital identity standards, according to some experts on the panel.

Only in the last couple of years did the issue of false certificates become pressing -- and that was because research into the area increased, as did the number of technological protections, said Andy Steingruebl, a security manager for the online payment service PayPal.

Ari Schwartz, senior Internet policy adviser at the National Institute of Standards and Technology, disclosed the Homeland Security Department recently simulated certificate authority attack scenarios to test defense strategies.

"There has been a lot of talk about these kinds of attacks as real life examples of what could go terribly wrong if not taken care of and if we don't have solutions for [them]," said Schwartz, who recently joined the Obama administration after serving as an executive at the nonprofit Center for Democracy and Technology, a privacy group.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Wikileaks đưa ra 400.000 tài liệu không phổ biến về chiến tranh Iraq

Wikileaks outs 400,000 classified Iraq War docs

Quân đội Mỹ 'đã phớt lờ tra tấn'

US military 'ignored torture'

By Cade Metz in San Francisco • Get more from this author

Posted in Security, 23rd October 2010 05:29 GMT

Theo: http://www.theregister.co.uk/2010/10/23/wikileaks_releases_four_hundred_thousand_iraq_war_docs/

Bài được đưa lên Internet ngày: 23/10/2010

Lời người dịch: Lần trước là hàng chục ngàn tài liệu có liên quan tới cuộc chiến của MỹAfganistan bị lộ trên Wikileaks, còn lần này là 400.000 tài liệu có liên quan tới cuộc chiến của Mỹ ở Iraq trong khoảng thời gian từ “01/01/2004 tới 31/12/2009 - dù các báo cáo cho 2 tháng không được đưa vào trong vụ rò rỉ này”.

Wikileaks đã tung ra gần 400.000 tài liệu không phổ biến của quân đội Mỹ có liên quan tới chiến tranh Iraq, thách thức những cảnh báo từ chính phủ Mỹ rằng việc hé lộ các tài liệu có thể đặt những người sống vào rủi ro.

Được gắn tên “Nhật ký Chiến tranh Iraq” các tài liệu này đã được đưa lên site whistleblower vào khoảng 21:00 GMT hôm thứ sáu, sau khi chúng đã được đưa ra cho một loạt các tổ chức thông tin trên toàn cầu. Theo tờ The Gardian, các tài liệu này chỉ ra rằng các chỉ huy quân đội Mỹ đã phớt lờ bằng chứng tra tấn của cảnh sát Iraq và các binh lính và rằng hơn 15,000 dân thường đã chết trong những vụ mà đã không được công bố.

Dù các quan chức Mỹ đã nói rằng họ không giữ con số chính thức về những cái chết của thường dân, thì những tài liệu bị rò rỉ cũng chỉ ra 66,081 dân thường đã chết trong tổng số 109.000 người chết vì chiến tranh, theo The Gardian. Tài liệu của Anh cũng nói rằng một đội máy bay trực thăng Apache của Mỹ đã giết chết 2 kẻ nổi loạn ở mặt đất dù những người này đã cố đầu hàng và rằng đội này đã được phát quang để làm thế bởi một cố vấn pháp lý quân đội Mỹ.

Được tin tưởng rằng tài liệu này tới từ cùng một nguồn mà đã rò rỉ khoảng 92.000 tài liệu không phổ biến có liên quan tới chiến tranh ở Afganistan cho Wikileaks vào đầu năm nay. Khoảng 7.700 tài liệu đã được đưa lên site này, gây ra sự chỉ trích gay gắt từ Lầu 5 góc, mà nói rằng sự rò rỉ có thể gây nguy hiểm cho người dân Afghan mà đã cộng tác với quân đội Mỹ.

Wikileaks has released nearly 400,000 classified US military documents involving the Iraq War, defying warnings from the US government that disclosing the documents would put lives at risk.

Dubbed "the Irag War Logs." the documents were posted to the whistleblower site at around 21:00 GMT on Friday, after they were released to various news organizations across the globe. According to the The Guardian, the documents show that US commanders ignored evidence of torture by Iraqi police and soldiers and that more than 15,000 civilians died in incidents that weren't previously reported.

Though US officials have said that they kept no official record of civilian deaths, the leaked documents also show that 66,081 civilian died among a total of 109,000 war fatalities, according to The Guardian. The UK paper also reports that a US Apache helicopter crew killed two insurgents on the ground although the men tried to surrender and that the crew was cleared to do so by a US military legal advisor.

It's believed that the document came from the same source that leaked roughly 92,000 classified documents involving the Afghan war to Wikileaks earlier this year, About 77,00 of tose were posted to the site, drawing strong criticism from the Pentagon, which said that the leak would endanger Afghan civilians who cooperated with the US military.

Bộ trưởng ngoại giao Hillary Clinton đã từ chối bình luận về sự rò rỉ đặc biệt này hôm nay. Nhưng bà nói chính phủ “nên lên án theo những điều khoản rõ ràng nhất việc để lộ bất kỳ thông tin nào của các cá nhân và tổ chức mà đã đặt những mạng sống của các nhân viên dịch vụ và người dân là đối tác của họ vào rủi ro”.

Thư ký báo chí của Bộ Quốc phòng Geof Morrell còn trực tiếp hơn. “Chúng tôi lấy làm tiếc Wikileaks vì việc đưa các cá nhân vi phạm pháp luật, làm lộ các tài liệu không phổ biến và sau đó chia sẻ những thông tin bí mật đó với thế giới, bao gồm cả những kẻ thù của chúng tôi”, ông nói trong một tuyên bố.

“Chúng tôi biết các tổ chức khủng bố đã phân tích các tài liệu bị rò rỉ của Afghan về các thông tin để sử dụng chống lại chúng tôi, và sự rò rỉ này về Iraq là gấp hơn 4 lần về số lượng. Bằng việc để lộ những thông tin nhạy cảm như vậy, Wikileaks tiếp tục đặt rủi ro lên những mạng sống của các quân nhân của chúng tôi, các đối tác liên minh của họ và những người Iraq và Afghan đang làm việc với chúng tôi. Lý do trách nhiệm duy nhất của hành động đối với Wikileaks như điểm này là để trả về những tư liệu bị ăn cắp và xóa chúng khỏi website của họ càng sớm càng tốt”.

Báo cáo về 391.832 hành động đáng kể của quân đội Mỹ đã bị đưa lên Wikileaks ghi lại cuộc chiến từ 01/01/2004 tới 31/12/2009 - dù các báo cáo cho 2 tháng không được đưa vào trong vụ rò rỉ này.

Bạn có thể đọc nhiều hơn từ Al Jazeera ở đây và trên The New York Time ở đây.

US Secretary of State Hillary Clinton declined to comment on today's leak specifically. But she said the government "should condemn in the most clear terms the disclosure of any information by individuals and or organizations which puts the lives of United States and its partners' service members and civilians at risk."

Defense department press secretary Geoff Morrell was more direct. "We deplore WikiLeaks for inducing individuals to break the law, leak classified documents and then cavalierly share that secret information with the world, including our enemies," he said in a statement.

"We know terrorist organizations have been mining the leaked Afghan documents for information to use against us, and this Iraq leak is more than four times as large. By disclosing such sensitive information, WikiLeaks continues to put at risk the lives of our troops, their coalition partners and those Iraqis and Afghans working with us. The only responsible course of action for WikiLeaks at this point is to return the stolen material and expunge it from their Web sites as soon as possible."

The 391,832 US Army Sigacts (Significant Actions) reports outed by Wikileaks document the war from January 1, 2004 to December 31, 2009 – though reports for two months are not included in the leak. You can read more from Al Jazeera here and The New York Times here. ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Năm, 28 tháng 10, 2010

Red Hat CEO: Mô hình bán phần mềm bị vỡ

Red Hat CEO: Software sales model is broken

Jim Whitehurst nói nguồn mở và đám mây thay đổi mọi thứ

Jim Whitehurst says open source and cloud change everything

By Joab Jackson | IDG News Service | Published 09:10, 21 October 10

Theo: http://www.computerworlduk.com/news/open-source/3245084/red-hat-ceo-software-sales-model-is-broken/

Bài được đưa lên Internet ngày: 21/10/2010

Lời người dịch: Theo CEO của Red Hat thì “Mô hình hiện hành bán phần mềm của các doanh nghiệp thương mại bị vỡ. Nó quá đắt, không giải quyết được các nhu cầu của người sử dụng và, tồi tệ hơn cả, nó làm cho các lãnh đạo thông tin CIO ôm trọn tất cả các rủi ro của việc triển khai các hệ thống mới”. Ông tin tưởng rằng nguồn mở và điện toán đám mây dựa vào công nghệ mở sẽ thay đổi được những thứ đó trong tương lai gần vì nó làm lợi cho người sử dụng. Không biết các CIO ở Việt Nam mà đang mua các phần mềm của các nhà cung cấp thương mại bên ngoài có nghĩ thế không?

Mô hình hiện hành bán phần mềm của các doanh nghiệp thương mại bị vỡ. Nó quá đắt, không giải quyết được các nhu cầu của người sử dụng và, tồi tệ hơn cả, nó làm cho các lãnh đạo thông tin CIO ôm trọn tất cả các rủi ro của việc triển khai các hệ thống mới.

Đó là lời buộc tội của Jim Whitehurst, CEO của Red Hat, nói ngày hôm qua (20/10/2010) tại hội nghị về Tương hợp tại New York. “Các mô hình kinh doanh giữa khách hàng và nhà cung cấp về cơ bản đã vỡ”, Jim Whitehurst nói. “Các nhà cung cấp phải gợi ý vào những gì mà khách hàng muốn, và có một sự không khớp đối với những gì mà khách hàng muốn và những gì mà họ có. Việc tạo ra các cuộc chiến tính năng không phải là những gì mà khách hàng đang tìm kiếm”. Tất nhiên, là một lãnh đạo một công ty phần mềm nguồn mở, Jim Whitehurst về bản chất chỉ trích mô hình tiêu chuẩn của việc bán phần mềm, và ông đã nói một cách chỉ trích về mô hình này trong quá khứ. Tuy nhiên, trong bài trình bày của mình tại Interop, ông cũng đã thảo luận cách mà điện toán đám mây có thể đưa ra một sự đổ vỡ từ lẽ thường này, phụ thuộc vào cách mà nó được triển khai.

“Mọi người nói [họ có quan tâm trong] đám mây nhưng những gì họ thực sự kết là những thất vọng với các mô hình kinh doanh IT hiện hành”, Jim Whitehurst nói trong một cuộc phỏng vấn với IDG News Service sau trình diễn.

Jim Whitehurst đã đưa ra cuộc nói chuyện của mình bằng việc hỏi một câu hỏi dường như là đơn giản: “Vì sao chi phí của IT leo thang khi chi phí bên trong để phân phối những dịch vụ đó lại giảm một nửa cứ mỗi 18 tháng?” Chi phí điện toán phải hạ, ôn nói, nhờ việc cải tiến các tốc độ qui trình và các khả năng lưu trữ. Các công cụ phát triển mới và mạnh hơn nhiều và các khung công việc cũng phải làm nhẹ chi phí triển khai. Vâng chi tiêu về IT tiếp tục lên cao khoảng 3% tới 5% một năm.

The current model of selling commercial enterprise software is broken. It is too expensive, doesn't address user needs and, worst of all, it leaves chief information officers holding all the risk of implementing new systems.

That is the charge of Jim Whitehurst, CEO of Red Hat, speaking yesterday (120 October) at the Interop conference in New York. "The business models between customer and vendors are fundamentally broken," said Whitehurst. "Vendors have to guess at what [customers] want, and there is a mismatch of what customers want and what they get. Creating feature wars is not what the customer is looking for."

Of course, being an executive of an open-source software company, Whitehurst would naturally be critical of the standard model of software sales, and he has spoken critically of the model in the past. In his presentation at Interop, however, he also discussed how cloud computing could offer a break from this routine, depending on how it is implemented.

"People say [they are interested in the] cloud but what they are really espousing are frustrations with existing IT business models," Whitehurst said in an interview with IDG News Service after the presentation.

Whitehurst kicked off his talk by asking a seemingly simple question: "Why are costs of IT going up when the underlying costs to deliver those services halves every 18 months?" The cost of computing should come down, he reasoned, thanks to improving processing speeds and storage capacities. New, more powerful development tools and frameworks should also ease the cost of deployment. Yet IT expenditures continue to go up by about 3 percent to 5 percent a year.

Câu trả lời cho câu hỏi của ông là “chính các nhà cung cấp và cách mà chúng ta đang phân phối IT cho các khách hàng của chúng ta”, ông nói.

Jim Whitehurst đã ước tính rằng toàn bộ thị trường IT toàn cầu, không bao gồm truyền thông, là khoảng 1.4 ngàn tỷ USD một năm. Yếu tố trong ước tính này là một nửa tất cả các dự án IT thất bại hoặc bị hạ cấp đáng kể, và rằng chỉ một nửa tất cả các tính năng trong các gói phần mềm thực sự được sử dụng, sau đó nó tuân theo việc “dễ dàng 500 tỷ USD trong số 1.4 ngàn tỷ USD về cơ bản là bị vứt đi mỗi năm”, ông nói.

Jim Whitehurst lấy mục tiêu trong “mô hình bán phần mềm thông thường” cho tình trạng công việc này. Để phát triển phần mềm, một nhà cung cấp có thể bỏ ra vài năm để phỏng vấn các khách hàng, đánh giá những gì họ cần và xây dwungj một tập hợp các chức năng để đáp ứng được các yêu cầu đó. Đối với khách hàng, công việc này chuyển thành chi phí duy trì hàng năm và sự cần thiết phải mua một phiên bản nâng cấp của sản phẩm trong ít năm. Hơn nữa, vì số lượng lớn công việc có liên quan trong việc thay đổi sang gói phần mềm khác, nhà cung cấp có thể làm giá cho những chào mời của mình ở một mức cao một cách nhân tạo. Ông đã lưu ý rằng Red Hat vẫn còn chạy các hệ thống tài chính của Oracle “vì nó có thể là ác mộng nếu chuyển” sang một nền tảng khác.

Và bất chấp qui trình lặp đi lặp lại của nhà cung cấp đối với việc cải tiến phần mềm, “đã không có sự thay đổi nào trong chất lượng sản phẩm được thể hiện trong vòng 30 năm qua”, ông nói.

The answer to his question is that "it's the vendors and how we are delivering [IT] for our customers," he said.

Whitehurst estimated that the total global IT market, not including telecommunications, is about US$1.4 trillion a year. Factor in the rough estimates that half of all IT projects fail or are significantly downgraded, and that only half of all features in software packages are actually used, then it would follow that "easily $500 billion of that $1.4 trillion is fundamentally wasted every year," he said.

Whitehurst took aim at the "typical software sales model" for this state of affairs. To develop software, a vendor may spend years interviewing customers, estimate what they need and build a set of features to meet these demands. For the customer, this work translates into yearly maintenance fees and the necessity of buying an upgraded version of the product every few years. Also, because of the great amount of work involved in changing to another software package, the vendor can price its offerings at an artificially high rate. He noted that Red Hat still runs Oracle's financial systems "because it would be a nightmare to move" to another platform, he said.

"With software, you are renting the ability to use features, and then every few years you have to rebuy the same thing," he said. "The cost to provide and the pricing that has been changed has nothing to do with one another."

And despite the vendor's iterative process of improving software, "there has been no change in product quality demonstrated in the past 30 years," he said.

Về bản chất tự nhiên, trong bài nói chuyện của ông, Whitehurst đã động chạm tới mô hình nguồn mở như là lựa chọn thay thế. “Nguồn mở đại diện cho một sự thay đổi cơ bản cho mô hình này”, ông nói, viện lý rằng nguồn mở, nhờ vào sự tham gia của khách hàng trong sự duy trì mã nguồn, có một mật độ lỗi thấp hơn, cũng như chức năng tính năng hữu dụng hơn. “Với nguồn mở, bạn đang không mua chức năng, bạn đang mua các dịch vụ và sự hỗ trợ”, ông nói.

Whitehurst đã phản ánh thời gian của ông tại Delta Air Lines, nơi mà, trước khi ra nhập Red hat, ông đã làm việc như là giám đốc điều hành COO trong khi hàng không đang phá sản. Khi đó, ông đã yêu cầu tất cả các nhà cung cấp của Delta cho một sự đổ vỡ trong thanh toán, và hầu hết các công ty đã cắt giảm một vài điểm yếu về hàng không gây lo lắng khi đó, ngoại trừ cho các nhà cung cấp IT.

“Chúng ta đánh vào các nhà cung cấp trong mọi lĩnh vực - các nhà sản xuất thân máy bay, cung cấp lương thực thực phẩm của chúng ta - chúng ta cắt bỏ chi phí ở mọi nơi, ngoại trừ IT. Chúng ta khoogn thể cắt tiền của IT. Các mô hình kinh doanh về bản chất tự nhiên đã quá bị vỡ, rằng ngay cả trước ngưỡng cửa của cái chết, chúng ta cũng không thể cắt chi phí IT được”, ông nói.

Naturally, during his talk, Whitehurst touted the open-source model as an alternative. "Open source represents a fundamental change to the model," he said, arguing that open source, thanks to customer participation in the maintenance of the code, has a lower bug density, as well as more useful feature functionality. "With open source, you are not buying functionality. You are buying services and support," he said.

Whitehurst reflected on his time at Delta Air Lines, where, prior to joining Red Hat, he worked as the chief operating officer while the airline was going through bankruptcy. At the time, he was asking all of Delta's suppliers for a break in billing, and most companies cut the then-troubled airline some slack, except for its IT vendors.

"We beat up on vendors in every area -- airframe manufacturers, our catering supply -- we got cost out of everywhere, except IT. We couldn't get money out of IT. The business models were so fundamentally broken, that even at death's door, we couldn't take costs out of IT," he said.

Trong khi các nhà cung cấp đang bán các chức năng, thì các phòng IT ôm rủi ro biến chức năng đó thành thứ gì đó có lợi cho các tổ chức của họ. Phần mềm và phần cứng sẵn sàng được trả tiền trước khi dịch vụ mà họ đang chạy thực sự được đưa ra.

Điều này giải thích vì sao điện toán đám mây là rất quyến rũ đối với CIO, Whitehurst nói. CIO không có quan tâm nhiều vào khả năng để chuyển các tải công việc khỏi các trung tâm dữ liệu bên ngoài khi họ không thanh toán chi phí hệ thống cho tới khi những thứ đó chỉ ra được một số giá trị nghiệp vụ.

Hiện hành, mô hình điện toán đám mây đứng ở ngã tư đường giữa tiếp cận bán hàng phần mềm và một bên dựa vào các tiêu chuẩn mở, Whitehurst viện lý.

“Điện toán đám mây tiến hóa thế nào sẽ xác định nó mạnh tới đâu”, ông nói. Một con đường có thể là “để vào được một đám mây của khu vườn bị rào bằng tường”. Tiếp cận khác có thể giống như sự tiến hoác của Internet, nơi mà một nhóm các tiêu chuaanrmowr chung được phát triển và sự đổi mới sáng tạo của các nhà cung cấp xảy ra bên rìa.

“Điều đó cuối cùng sẽ xác định thành công của điện toán đám mây và cách mà IT sẽ được sử dụng trong thế hệ tiếp theo”, ông nói.

While the vendors are selling functionality, IT departments take on the risk of turning that functionality into something beneficial for their organisations. The software and hardware are already paid for before the service they are running is actually offered.

This is why cloud computing is so appealing to CIOs, Whitehurst said. CIOs are not so much interested in the ability to move workloads off to external data centers as they are in not paying system costs until those show some business value.

Currently, the cloud computing model stands at a crossroads between the software sales approach and one based on open standards, Whitehurst argued.

"How cloud computing evolves will determine how powerful it is," he said. One route would be to "devolve into a walled-garden cloud." The other approach would resemble the evolution of the Internet, where a group of common standards is developed and vendor innovation happens at the edges.

"That will ultimately determine the success of cloud computing and how IT will be used in the next generation," he said.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Lỗ hổng an ninh nghiêm trọng của nhân Linux

Serious Linux Kernel security hole

Steven J. Vaughan-Nichols, Cyber Cynic

October 21, 2010 - 4:28 P.M.

Theo: http://blogs.computerworld.com/17209/serious_linux_kernel_security_hole

Bài được đưa lên Internet ngày: 21/10/2010

Lời người dịch: Lại một ví dụ nữa chứng minh cho việc sửa lỗi nhanh của Linux đối với lỗi RDS mà có thể làm cho người sử dụng không được phép có quyền root đối với các máy chủ Linux.

Linux có những vấn đề an ninh như bất kỳ hệ điều hành nào khác. Hầu hết trong số chúng không lớn. Nhiều vấn dề nghiêm trọng hơn đòi hỏi người sử dụng cục bộ truy cập tới nguyên nhân của bất kỳ vấn đề thực tế nào, và ngoại trừ những người sử dụng máy tính để bàn Linux mà không phải là một mối lo thực sự. Dù vấn đề an ninh mới nhất của Linux với RDS (Reliable Datagram Sockets) là một vấn đề thực sự.

RDS là một sáng tạo của Oracle. Nó được sử dụng cho việc gửi đi nhiều thông điệp từ một socket mạng duy nhất tới nhiều điểm đầu cuối. Vấn đề của RDS là việc bạn có thể sử dụng nó để giữ giao tiếp truyền thông trong nội bộ quá trình (IPC) đi mà không có thời gian timeout khi một hệ thống đang chạy dưới các tải rất lớn. Vì thế, bạn hầu như có thể sẽ sử dụng RDS nếu bạn đang chạy một máy chủ DBMS sống vòn hoặc một ứng dụng trong khi LAMP (Linux, Apache, MySQL PHP/Python/Perl).

VSR Security, công ty mà đã thấy lỗ hổng an ninh này, báo cáo rằng nhân Linux, bắt đầu từ 2.6.30, mà là lần đầu tiên sẽ đưa vào RDS, có thể bị tấn công bởi hầu hết bất kỳ người sử dụng nào theo cách mà có thể cho họ trở thành các siêu người sử dụng, nghĩa là root. Ngắn gọn, một số tới qua kết nối Internet có thể, theo lý thuyết, chiếm quyền kiểm soát một máy chủ Linux. Điều này là không tốt.

Vấn đề cốt lõi là việc “Các chức năng của nhân có trách nhiệm cho việc sao chép các dữ liệu giữa nhân và không gian người sử dụng không chứng minh được rằng một địa chỉ được cung cấp cho người sử dụng thực sự trú ngụ trong phân khúc của người sử dụng, [vì thế] một kẻ tấn công cục bộ có thể đư ra những lời gọi chức năng của socket bị làm giả một cách đặc biệt để viết những giá trị giả vào bộ nhớ của nhân. Bằng việc xúc tác cho khả năng này, có khả năng đối với những người sử dụng không có quyền để có được các quyền ưu tiên tới root”.

Tôi không biết liệu điều đó sẽ có làm được thế hay không, nhưng tôi có khả năng sử dụng mã nguồn khai thác để đánh sập máy chủ SuSE Linux trong phòng thí nghiệm của tôi từ xa. Hãy để tôi tự lặp lại: Không tốt. Những người khác đã nói rằng họ đã có khả năng sử dụng mã nguồn khai thác để mở một root shell trong Ubuntu 10.04

Linux has security problems like any other operating system. Most of them aren't that big a deal though. Many of the more serious ones require local user access to cause any real trouble, and except for Linux desktop users that's not a real concern. The latest Linux security problem with Reliable Datagram Sockets (RDS) though is a real problem.

RDS is an Oracle creation. It's used for sending multiple messages from a single network socket to multiple end-points. The point of RDS is that you can use it to keep inter-process communication (IPC) going without timeouts when a system is running under very heavy loads. Thus, you're most likely to be using RDS if you're running a mission-critical DBMS server or a Linux, Apache, MySQL, PHP/Python/Perl (LAMP) stack application.

VSR Security, the company that found the security hole, reports that Linux kernel, starting from 2.6.30, which was the first to include RDS, could be attacked in by almost any user in a way that would let them become the super-user, aka root. In short, someone coming in over an Internet connection could, in theory, take over a Linux server. This is Not good.

The core problem was that the "kernel functions responsible for copying data between kernel and user space failed to verify that a user-provided address actually resided in the user segment, [thus] a local attacker could issue specially crafted socket function calls to write arbitrary values into kernel memory. By leveraging this capability, it is possible for unprivileged users to escalate privileges to root."

I don't know if it will do that, but I was able to use the exploit code to knock out a SUSE Linux server in my lab remotely. Let me repeat myself: Not good. Others have reported that they've been able to use the exploit code to open up a root shell on Ubuntu 10.04.

Đối với vấn đề đánh vào hệ thống của bạn mà có RDS ở trên đó. Đặc biệt, bạn phải có lựa chọn thiết lập cấu hình nhân CONFIG_RDS được thiết lập. Thông thường thì đó là một lựa chọn trong hầu hết các phát tán hơn là một mặc định. Tất nhiên, nếu bạn thực sự cần RDS, bạn có thể chạy nó trên một máy chủ DBMS hoặc máy chủ Web mang tính sống còn. Đó là chỗ mới nhất mà bạn muốn một cuộc tấn công xảy ra. Điều kiện cần thiết khác cho một kẻ tấn công để có được máy chủ của bạn là sẽ có không hạn chế những người sử dụng có quyền tải lên các module gói mang tính gia đình. Điều đó, tôi tiết phải nói, là mặc định trong nhiều phát tán.

May thay, không giống như một số hệ điều hành khác mà tôi có thể gọi tên, các lỗ hổng an ninh có xu hướng được bịt thực sự nhanh trong Linux. Linus Torvalds đã đưa ra một sửa lỗi. Bạn cũng có thể biên dịch một nhân với sửa lỗi này, mà ít người làm thế ngày nay, hoặc chờ nhà phân phối Linux dòng trên của bạn đưa ra sửa lỗi.

Trong lúc chờ đợi, tôi khuyến cáo nếu bạn chạy một máy chủ Linux, và bạn đang sử dụng RDP, thì bạn đăng nhập vào như root và chạy lệnh sau:

echo "alias net-pf-21 off" > /etc/modprobe.d/disable-rds

Máy chủ của bạn có thể chạy chậm hơn cho tới khi sửa lỗi cuối cùng tới, nhưng trong khi chờ đợi bạn sẽ an toàn và đó mới chính là thứ quan trọng nhất.

For the problem to hit your system you have to have RDS on. Specifically, you have to have the CONFIG_RDS kernel configuration option set. That's usually an option in most distributions rather than a default. Of course, if you really need RDS, you're probably running it on a mission critical DBMS or Web server. That's the last place you want an attack to land. The other necessary condition for an attacker to get at your server is for there to be no restrictions on unprivileged users loading packet family modules. That, I regret to say, is the default on many distributions.

Fortunately, unlike some other operating systems I could name, security holes tend to get fixed really quick in Linux. Linus Torvalds has already issued a fix. You can either compile a new kernel with this fix, which few people do these days, or wait for your up-stream Linux distributor to issue the fix.

In the meantime, I recommend if you're running a Linux server, and you're using RDP, that you log in as root and run the following command:

echo "alias net-pf-21 off" > /etc/modprobe.d/disable-rds

Your server may run slower until the final fix is in, but in the meantime you'll be safe and that's the most important thing.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Tư, 27 tháng 10, 2010

Khóa đào tạo phóng viên báo chí về phần mềm tự do nguồn mở

Vừa qua, Vụ Công nghệ Cao, Bộ Khoa học và Công nghệ, đã phối hợp với Sở Thông tin và Truyền thông tại một số địa phương tổ chức các lớp học về phần mềm tự do nguồn mở (PMTDNM) cho gần 100 phóng viên báo chí chuyên viết về mảng khoa học công nghệ tại Hà Nội ngày 06/10, tại thành phố Đà Nẵng ngày 13/10 và tại thành phố Hồ Chí Minh ngày 27/10/2010.

Tại khóa học, các phóng viên báo chí làm quen với các nội dung về lịch sử, khía cạnh pháp lý, kinh tế... của PMTDNM và vai trò của PMTDNM đối với với hành chính nhà nước, cũng như những thông tin có liên quan tới an ninh không gian mạng trên thế giới và tại Việt Nam cùng với xu thế dịch chuyển sang công nghệ mở (chuẩn mở và phần mềm tự do nguồn mở) trong những năm gần đây.

Tài liệu khóa học, có thể tải về tự do từ Internet, bao gồm:

  1. Giới thiệu phần mềm tự do, tài liệu dành cho các phóng viên báo chí.

  2. Giới thiệu phần mềm tự do, trình bày tóm tắt.

  3. Một số hình ảnh về an ninh không gian mạng.

  4. Một số video clips:

  • Cửa hậu trong vụ GhostNet: dựng lại kịch bản của vụ GhostNet, trong đó Việt Nam xếp thứ 2/103 quốc gia trên thế giới bị tấn công với số lượng 130/1295 tổng số các máy tính bị lây nhiễm trong suốt thời gian 22 tháng, kể từ tháng 05/2007 – 03/2009.

  • ZeuS - Vua của các bộ công cụ xây dựng phần mềm độc hại: dựng lại kịch bản việc mua sắm, xây dựng phần mềm độc hại, xây dựng chức năng cho phần mềm độc hại, cách gây lây nhiễm cho máy bị tấn công và những hậu quả của nó. Tại Việt Nam trong năm 2009 đã có 9 botnet được xây dựng lên từ bộ công cụ này (xem: Một số hình ảnh về an ninh không gian mạng), theo một báo cáo về an ninh trên thế giới.

Blogger: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Hoạt động của trung tâm dữ liệu và sự ảo hóa trong điện toán đám mây (ĐTĐM)

An ninh thông tin trong ĐTĐM phụ thuộc vào (1) Kiến trúc ĐTĐM và 12 lĩnh vực khác như (2) Tính khả chuyển và tính tương hợp. Bài này sẽ đề cập tới (3) Hoạt động của trung tâm dữ liệu và (4) sự ảo hóa.

A. Hoạt động của trung tâm dữ liệu

Số lượng các nhà cung cấp ĐTĐM tiếp tục gia tăng khi mà các dịch vụ nghiệp vụ và công nghệ thông tin tiêu dùng chuyển lên đám mây. Đã có một sự tăng trưởng tương tự trong các trung tâm dữ liệu để khuyến khích đưa ra các dịch vụ ĐTĐM. Các nhà cung cấp đám mây tất cả các dạng và kích cỡ, bao gồm cả những người dẫn đầu nền công nghệ nổi tiếng và hàng ngàn các công ty mới khởi nghiệp và mởi nổi lên, đang tiến hành những đầu tư chủ chốt vào tiếp cận mới đầy hứa hẹn này đối với việc phân phối các dich vụ công nghệ thông tin.

Việc chia sẻ các tài nguyên công nghệ thông tin để tạo ra một mức độ hiệu quả về kinh tế không phải là một khái niệm mới. Tuy nhiên mô hình kinh doanh đám mây làm việc tốt nhất nếu vô số những đầu tư theo truyền thống trong các hoạt động của trung tâm dữ liệu được lan truyền qua một kho lớn hơn các khách hàng. Các kiến trúc của các trung tâm dữ liệu về mặt lịch sử đã từng vượt qua mọi kích cỡ một cách có chủ tâm để vượt qua những tải vào những lúc cao điểm, mà nó có nghĩa là trong những thời điểm thông thường hoặc thấp về yêu cầu, thì các tài nguyên của trung tâm dữ liệu thường là rỗi rãi và được sử dụng dưới mức trong hầu hết những khoảng thời gian dài.

Các nhà cung cấp dịch vụ đám mây, mặt khác, tìm kiếm để tối ưu hóa sử dụng tài nguyên, cả nhân lực và công nghệ, để giành được ưu thế cạnh tranh và tối đa hóa lợi nhuận hoạt động vận hành.

Thách thức cho những người sử dụng các dịch vụ đám mây là cách đánh giá tốt nhất những khả năng của nhà cung cấp để phân phối các dịch vụ phù hợp và có hiệu quả kinh tế, trong khi cùng lúc bảo vệ được dữ liệu và các lợi ích riêng của khách hàng. Đừng giả thiết rằng ưu tiên hàng đầu của nhà cung cấp là có những lợi ích tốt nhất cho với các khách hàng của họ. Với mô hình phân phối dịch vụ của người chuyên chở thông thường, mà dạng của ĐTĐM được xác định, thì nhà cung cấp dịch vụ thường có ít hoặc không có sự truy cập tới hoặc kiểm soát đối với các dữ liệu hoặc hệ thống của các khách hàng vượt ra khỏi mức độ quản lý được nêu trong hợp đồng. Chắc chắn điều này là tiếp cận đúng để theo, nhưng một số kiến trúc đám mây lại có thể có được những quyền tự do với an ninh và tính toàn vẹn dữ liệu của các khách hàng mà khách hàng có thể sẽ không cảm thấy thoải mái nếu khách hàng nhận thức được điều đó.

Người sử dụng phải tự giáo dục cho chính họ về các dịch vụ mà họ đang cân nhắc bằng việc đưa ra những câu hỏi phù hợp và trở nên quen thuộc với các kiến trúc nền tảng và những lĩnh vực tiềm tàng đối với những tổn thương về an ninh.

Khi việc đưa ra một quyết định để chuyển tất cả hoặc một phần các hoạt động công nghệ thông tin lên đám mây, nó trước hết giúp để hiểu làm thế nào một nhà cung cấp đám mây đã triển khai được “5 đặc tính cơ bản của ĐTĐM” theo kiến trúc ĐTĐM (xem ở cuối bài), và cách mà kiến trúc và hạ tầng của công nghệ ảnh hưởng tới khả năng của nó để đáp ứng được các thỏa thuận mức dịch vụ và giải quyết được các lo lắng về an ninh. Kiến trúc công nghệ đặc thù của nhà cung cấp có thể là một sự kết hợp của các sản phẩm công nghệ thông tin và các dịch vụ đám mây khác, như việc tận dụng dịch vụ lưu trữ của nhà cung cấp IaaS.

Kiến trúc và hạ tầng công nghệ của các nhà cung cấp đám mây có thể khác nhau, nhưng sẽ đáp ứng được những yêu cầu về an ninh mà họ tất cả đều phải có khả năng thể hiện sự chia thành ngăn một cách toàn diện của các hệ thống, dữ liệu, mạng, quản lý, dự phòng, và nhân sự. Những kiểm soát chia tách riêng từng lớp của hạ tầng cần phải được tích hợp một cách phù hợp sao cho chúng không can thiệp được cái này vào cái kia. Ví dụ, hãy thanh tra liệu sự chia thành ngăn lưu trữ có thể dễ dàng vượt qua được các công cụ quản lý hoặc quản lý khóa kém hay không.

Cuối cùng, phải hiểu cách mà nhà cung cấp đám mây điều khiển sự năng động và dân chủ hóa tài nguyên để dự toán trước được tốt nhất các mức độ phù hợp về tính sẵn sàng và thực thi của hệ thống thông qua những thay đổi lên xuống thất thường của nghiệp vụ thông thường.

Hãy nhớ, lý thuyết của ĐTĐM vẫn còn có gì đó vượt khỏi thực tế của nó: nhiều khách hàng giả thiết không đúng về mức độ tự động hóa thực sự có liên quan. Khi mà khả năng của các tài nguyên được cung cấp đạt ngưỡng, thì nhà cung cấp có trách nhiệm đảm bảo rằng các tài nguyên bổ sung sẽ được phân phối một cách trong suốt không hay biết gì đối với người sử dụng.

Những khuyến cáo

Điều cấp thiết là một tổ chức coi việc mua các dịch vụ đám mây, bất kể dạng nào, phải nhận thức đầy đủ và chính xác những dịch vụ nào có trong hợp đồng và những gì là không. Bên dưới là một tóm tắt các thông tin cần thiết để rà soát lại như một phần của qui trình lựa chọn nhà cung cấp, và những câu hỏi bổ sung để giúp định phẩm chất các nhà cung cấp để những yêu cầu của tổ chức và các dịch vụ của các nhà cung cấp của họ là gặp được nhau.

  • Bất chấp việc nhà cung cấp đám mây duy trì chứng chỉ nào, thì điều quan trọng để giành được sự cam kết hoặc sự cho phép để hướng dẫn cho những kiểm toán của khách hàng hoặc bên thứ ba ở bên ngoài.

  • Các khách hàng của đám mây phải hiểu cách mà các nhà cung cấp đám mây triển khai “5 đặc tính cơ bản của ĐTĐM” theo kiến trúc ĐTĐM, và cách mà kiến trúc và hạ tầng của công nghệ đó ảnh hưởng tới khả năng của họ để đáp ứng các thỏa thuận mức dịch vụ.

  • Trong khi các kiến trúc công nghệ của các nhà cung cấp đám mây là khác biệt nhau, thì chúng tất cả đều có khả năng để thể hiện việc chia thành ngăn một cách toàn diện của các hệ thống, các mạng, quản lý, dự trữ và nhân sự.

  • Hiểu cách mà sự dân chủ hóa các tài nguyên xảy ra bên trong các nhà cung cấp đám mây để dự đoán trước được tốt nhất khả năng và sự thực thi của hệ thống trong sự dao động lên xuống về nghiệp vụ của bạn. Nếu khả thi, hãy phát hiện các khách hàng khác của nhà cung cấp đám mây để đánh giá ảnh hưởng mà những lên xuống thất thường về nghiệp vụ của họ có thể có trong kinh nghiệm về khách hàng của bạn với nhà cung cấp đám mây. Tuy nhiên điều này sẽ không thay thế được cho việc đảm bảo các thỏa thuận mức dịch vụ được xác định một cách rõ ràng, có thể đo đếm được, có thể thi hành được, và phù hợp cho các yêu cầu của bạn.

  • Các khách hàng của đám mây phải hiểu các chính sách và thủ tục quản lý bản vá của các nhà cung cấp đám mây và cách mà những thứ này có thể ảnh hưởng tới các môi trường của họ. Sự hiểu biết này phải được phản ánh trong nội dung hợp đồng.

  • Sự cải tiến liên tục là đặc biệt quan trọng trong một môi trường đám mây vì bất kỳ cải tiến nào trong các chính sách, qui trình, thủ tục, hoặc công cụ cho một khách hàng duy nhất có thể là kết quả trong sự cải tiến dịch vụ cho tất cả các khách hàng. Hãy tìm kiếm các nhà cung cấp đám mây với các qui trình cải tiến liên tục theo tiêu chuẩn có sẵn.

  • Hỗ trợ kỹ thuật hoặc bàn dịch vụ thường là một cửa sổ của khách hàng trong các hoạt động của nhà cung cấp. Để đạt được một kinh nghiệm hỗ trợ khách hàng của nhà cung cấp là thống nhất và trơn tru cho những người sử dụng đầu cuối, điều cơ bản phải đảm bảo rằng các qui trình, thủ tục, công cụ và thời gian hỗ trợ là tương thích với của bạn.

  • Như trong lĩnh vực về “An ninh truyền thống, tính liên tục nghiệp vụ và phục hồi thảm họa”, hãy rà soát lại các kế hoạch về tính liên tục nghiệp vụ và phục hồi thảm họa từ quan điểm công nghệ thông tin, và cách mà chúng có liên quan tới mọi người và các qui trình. Một kiến trúc công nghệ của nhà cung cấp đám mây có thể sử dụng các phương pháp mới và chưa được chứng minh đối với sự chịu lỗi, ví dụ thế. Các kế hoạch về tính liên tục nghiệp vụ của riêng khách hàng cũng phải giải quyết được các ảnh hưởng và hạn chế của ĐTĐM.

B. Ảo hóa

Khả năng để cung cấp các dịch vụ đám mây nhiều người thuê sử dụng ở mức hạ tầng, nền tảng hoặc phần mềm thường được chống trụ bởi khả năng cung cấp một số dạng ảo hóa để tạo ra sự mở rộng phạm vi về kinh tế. Tuy nhiên, sử dụng các công nghệ này mang lại một số lo lắng bổ sung thêm về an ninh. Lĩnh vực này nhìn vào các vấn đề an ninh. Trong khi có vài dạng ảo hóa, thì cho tới nay thông dụng nhất là ảo hóa hệ điều hành, và đây là trọng tâm của tài liệu chỉ dẫn này. Nếu công nghệ máy ảo VM (virtual machine) đang được sử dụng trong hạ tầng của các dịch vụ đám mây, thì chúng ta phải quan tâm về sự chia thành vách ngăn và việc làm cứng cáp các hệ thống máy ảo VM.

Các thực tiễn hiện tại có liên quan tới quản lý các hệ điều hành ảo hóa là việc nhiều qui trình cung cấp an – ninh – theo – mặc – định đang thiếu, và phải có sự chú ý đặc biệt vào việc thay thế chúng. Bản thân công nghệ ảo hóa cốt lõi đưa ra những giao diện mới cho các cuộc tấn công trong các thành phần quản lý siêu giám sát và các thành phần khác, nhưng quan trọng hơn là sự ảo hóa có ảnh hưởng nghiêm trọng trong an ninh mạng. Các máy ảo bây giờ giao tiếp đằng sau lưng của phần cứng, hơn là qua mạng. Kết quả là, các kiểm soát an ninh mạng tiêu chuẩn bị mù đối với giao thông này và không thể thực hiện được việc giám sát hoặc việc khóa ngay lập tức. Những kiểm soát này cần phải có một dạng mới để vận hành trong môi trường ảo.

Việc trộn lẫn các dữ liệu trong các dịch vụ và các kho tập trung là mối lo khác. Một cơ sở dữ liệu tập trung khi được cung cấp bởi dịch vụ ĐTĐM, theo lý thuyết, nên cải thiện an ninh qua những dữ liệu được phân tán qua số lượng lớn và sự trộn các điểm đầu cuối. Tuy nhiên điều này cũng là việc tập trung hóa rủi ro, làm gia tăng những hệ lụy của lỗ hổng an ninh.

Mối lo khác là sự trộn lẫn của những sự nhạy cảm và an ninh khác nhau của các máy ảo. Trong các môi trường ĐTĐM, mẫu số chung nhỏ nhất của an ninh sẽ được chia sẻ bởi tất cả những người cùng thuê sử dụng trong môi trường ảo nhiều người thuê sử dụng trừ phi một kiến trúc an ninh mới có thể đạt được mà không “ghi vào” bất kỳ sự phụ thuộc mạng nào cho việc bảo vệ.

Các khuyến cáo

  • Nhận dạng các dạng ảo hóa nào nhà cung cấp đám mây của bạn sử dụng, nếu có.

  • Các hệ điều hành được ảo hóa phải được tăng cường bởi công nghệ an ninh của bên thứ 3 để đưa ra các kiểm soát an ninh được phân tầng và giảm sự phụ thuộc vào chỉ duy nhất nhà cung cấp nền tảng.

  • Hiểu được các kiểm soát an ninh nội bộ nào đang có đối với các máy ảo VM khác với sự cô lập siêu giám sát được xây dựng sẵn – như một sự dò tìm thâm nhập trái phép, chống virus, quét chỗ bị tổn thương, … An ninh theo cấu hình mặc định phải được đảm bảo bằng việc cho phép hoặc vượt qua các giới hạn cơ bản có sẵn của giới công nghiệp.

  • Hiểu được các kiểm soát an ninh bên ngoài nào đang có đối với các máy ảo VM để bảo vệ các giao diện quản trị (dựa trên web, các giao diện lập trình ứng dụng API, …) được trưng ra cho các khách hàng.

  • Kiểm tra tính hợp lệ phả hệ và tính toàn vẹn của bất kỳ ảnh máy ảo VM hoặc mẫu template nào sinh ra từ nhà cung cấp đám mây trước khi sử dụng.

  • Các cơ chế an ninh đặc thù của máy ảo VM được nhúng trong các giao diện lập trình ứng dụng API siêu giám sát phải được sử dụng để cung cấp việc giám sát cốt lõi giao thông đi qua đằng sau lưng các máy ảo, mà sẽ là không rõ đối với những kiểm soát an ninh mạng truyền thống.

  • Sự truy cập và kiểm tra mang tính quản trị của các hệ điều hành được ảo hóa là sống còn, và phải đưa vào xác thực mạnh được tích hợp với quản lý nhận dạng doanh nghiệp, cũng như các công cụ ghi chép bằng chứng giả mạo và giám sát tính toàn vẹn.

  • Thăm dò tính hiệu quả và tính khả thi của việc phân tách riêng các máy ảo VM và việc tạo ra các vùng an ninh theo dạng sử dụng (như máy để bàn, máy chủ), giai đoạn sản xuất (như, phát triển, sản xuất và kiểm thử) và mức độ nhạy cảm của dữ liệu trong các thành phần phần cứng vật lý riêng rẽ như các máy chủ, thiết bị lưu trữ, …

  • Có một cơ chế báo cáo để cung cấp bằng chứng về sự cô lập và đưa ra các cảnh báo nếu có một lỗ hổng về sự cô lập.

  • Nhận biết về các tình huống nhiều người thuê sử dụng với các máy ảo VM của bạn nơi mà các mối quan tâm về điều chỉnh pháp lý có thể đảm bảo cho sự phân tách.

C. 5 đặc tính cơ bản của ĐTĐM

Các dịch vụ đám mây đưa ra 5 đặc tính cơ bản thể hiện mối quan hệ của chúng với, và những khác biệt so với, các tiếp cận điện toán truyền thống:

  • Dịch vụ theo yêu cầu. Một người sử dụng có thể đơn phương cung cấp các khả năng điện toán như thời gian máy chủ và lưu trữ trên mạng khi cần thiết một cách tự động, mà không yêu cầu có sự tương tác với một nhà cung cấp dịch vụ.

  • Truy cập mạng rộng. Các khả năng là sẵn sàng thông qua mạng và được truy cập thông qua các cơ chế tiêu chuẩn mà khuyến khích sử dụng bằng các nền tảng máy trạm mỏng và dày một cách hỗn hợp (như các điện thoại di động, các máy tính xách tay và các thiết bị số cá nhân PDA) cũng như các dịch vụ phần mềm khác theo lối truyền thống hoặc dựa trên đám mây.

  • Gộp tài nguyên. Các tài nguyên điện toán của nhà cung cấp được gộp lại để phục vụ cho nhiều người sử dụng có sử dụng mô hình nhiều người thuê sử dụng, với các tài nguyên ảo và vật lý khác nhau được chỉ định và chỉ định lại theo phương thức động theo yêu cầu của người sử dụng. Có một mức độ độc lập về vị trí trong đó người sử dụng thường không có sự kiểm soát hoặc hiểu biết về vị trí chính xác về các tài nguyên của nhà cung cung cấp, nhưng có thể có khả năng chỉ định vị trí ở mức trừu tượng cao hơn (như, quốc gia, bang, hoặc trung tâm dữ liệu). Những ví dụ về các tài nguyên bao gồm lưu trữ, xử lý, bộ nhớ, băng thông mạng, và các máy ảo. Thậm chí các đám mây riêng có xu hướng gộp các tài nguyên giữa những phần khác nhau của cùng một tổ chức.

  • Tính đàn hồi nhanh. Các khả năng có thể được cung cấp một cách nhanh chóng và đàn hồi – trong một số trường hợp là một cách tự động – để nhanh chóng mở rộng phạm vi ra ngoài; và nhanh chóng đưa ra để nhanh chóng thu hẹp phạm vi lại. Đối với người sử dụng, các khả năng sẵn sàng cho việc cung cấp dường như thường là không giới hạn và có thể được mua theo bất kỳ số lượng nào, bất kỳ lúc nào.

  • Dịch vụ được đo đếm. Các hệ thống đám mây tự động kiểm soát và tối ưu hóa việc sử dụng các tài nguyên bằng việc thúc đẩy một khả năng đo đếm được ở một số mức trừu tượng phù hợp với dạng dịch vụ (như lưu trữ, xử lý, độ rộng băng thông, hoặc các tài khoản người sử dụng tích cực đang hoạt động). Việc sử dụng các tài nguyên có thể được giám sát, kiểm soát, và báo cáo – cung cấp sự minh bạch cho cả nhà cung cấp và người sử dụng dịch vụ.

Nguồn: Chỉ dẫn về an ninh đối với các lĩnh vực sống còn cần chú ý trong điện toán đám mây.

Blogger: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Ba, 26 tháng 10, 2010

Steve Ballmer (cuối cùng) đang đá đít ở Microsoft?

Is Steve Ballmer (finally) kicking ass at Microsoft?

Ozzie, Elop, Bach - nhảy hay đẩy thời gian

Ozzie, Elop, Bach - jump or push time

By Gavin Clarke in San Francisco • Get more from this author

Posted in Microbite, 22nd October 2010 16:21 GMT

Theo: http://www.theregister.co.uk/2010/10/22/microbite_october_2010/

Bài được đưa lên Internet ngày: 22/10/2010

Lời người dịch: Như vậy là sự ra đi của kiến trúc sư trưởng của Microsoft sau 5 năm làm việc - Ray Ozzie, người được thuê về để trám chỗ của Bill Gates, là chuyến ra đi mới nhất của một lãnh đạo cao cấp của Microsoft, tiếp sau sự ra đi của Chủ tịch về thông tin và thiết bị Robbie Bach mùa hè này, và nó là chỉ vài tuần sau khi chủ tịch về Office và các ứng dụng doanh nghiệp Stephen ELop đã rời Microsoft để trở thành lãnh đạo của Nokia. Tác giả đưa ra câu hỏi: “Liệu đây có là những ngày cuối của Microsoft, hay là một cuộc dọn nhà tổng thể của CEO Steve Ballmer?”

Radio Reg - Để mất một chủ tịch kinh doanh có thể được xem như một sự bất hạnh, như để mất 2 cộng với kiến trúc sư trưởng của bạn thì giống như là các con chuột đang nhảy khỏi con tàu.

Hay liệu?

Người đàn ông của tầm nhìn lãnh đạo của Microsoft Ray Ozzie đang nghỉ khỏi Microsoft sau chỉ 5 năm. Ozzie từng là một sự thuê lớn vào năm 2005, và một năm sau, ông đã được đưa lên như là Bill Gates mới. Sự từ chức của ông tiếp sau sự ra đi của Chủ tịch về thông tin và thiết bị Robbie Bach mùa hè này, và nó chỉ vài tuần sau khi chủ tịch về Office và các ứng dụng doanh nghiệp Stephen ELop đã rời Microsoft để trở thành lãnh đạo của Nokia.

Liệu đây có là những ngày cuối của Microsoft, hay là một cuộc dọn nhà tổng thể của CEO Steve Ballmer? Trong xuất bản của MicroBite, tổng biên tập về phần mềm của The Register là Gavin Clarke và blogger Mary-Jo Foley của All - About - Microsoft hỏi ai có thể đã nhảy và ai có thể đã bị đẩy đi.

Hơn nữa: Microsoft và những nhà mạng đã đồng loạt một sự khởi xướng quốc tế tháng này cho Windows Phone 7, nhưng vẫn còn nhiều điều chưa rõ về giá, các tính năng, và kiến trúc. Hơn nữa, vẫn còn chưa rõ khi nào các máy cầm tay được hứa này sẽ thực sự xuất hiện trên các mạng chủ chốt như AT&T và T-Mobile. Liệu có quá ít quá muộn đối với Microsoft về di động và Windows Phone 7 hay không?

Và, cuối cùng: Liệu Microsoft mua Adobe như Phố Uôn và tờ Thời báo New York có như suy nghĩ không, hay sẽ là một đôi chỉ để quấy rầy cái đầu của Steve Job về các máy tính bảng và điện thoại?

Bạn có thể nghe có sử dụng trình chơi Reg media bên dưới, hoặc bằng việc tải về MP3 ở đây hoặc Ogg Vorbis ở đây.

Radio Reg To lose one business president might be regarded as a misfortune, but to lose two plus your chief software architect looks like rats jumping the ship.

Or does it?

Microsoft chief vision man Ray Ozzie is retiring from Microsoft after just five years. Ozzie was a big hire in 2005, and a year later, he was billed as the new Bill Gates. His resignation follows that of information and devices president Robbie Bach this summer, and it comes just weeks after Office and business applications president Stephen Elop exited Microsoft to become Nokia chief.

Is this the last days of Microsoft, or is a radical piece of house cleaning by CEO Steve Ballmer? In this edition of MicroBite, Reg software editor Gavin Clarke and All-About-Microsoft blogger Mary-Jo Foley ask who might have jumped and who could have been pushed.

Also: Microsoft and carriers orchestrated an international launch this month for Windows Phone 7, but there's still so many unknowns on price, features, and architecture. Also, it's still unclear when many of the promised handsets will actually appear on major networks like AT&T and T-Mobile. Is it too little too late for Microsoft on mobile and Windows Phone 7?

And, lastly: Will Microsoft buy Adobe as Wall St and the New York Times seemed to think, or will the pair simply team up to mess with Steve Jobs' head on tablets and phones?

You can listen using the Reg media player below, or by downloading the MP3 here or Ogg Vorbis here.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com