Thứ Ba, 31 tháng 1, 2012

Quỹ Linux: Đóng góp cho các dự án nguồn mở như thế nào


Linux Foundation: How to contribute to open source projects
26 January 2012, 19:25
Bài được đưa lên Internet ngày: 26/01/2012
Lời người dịch: Quỹ Linux vừa xuất bản tài liệu nhan đề: (1) “Ngược lên dòng trên: Tăng cường cho sự phát triển nguồn mở”. Đây là tài liệu thứ 3 trong loạt tài liệu về sự phát triển của Linux và phần mềm nguồn mở. Hai tài liệu còn lại gồm: (2) “Hiểu biết về mô hình phát triển nguồn mở” và (3) “Thiết lập chiến lược phần mềm nguồn mở”. Bạn có thể tải về các bản dịch sang tiếng Việt bằng cách nháy vào các đường liên kết ở trên. Những tài liệu này cho bạn những thông tin hết sức cơ bản và quý báu khi làm việc với các phần mềm và cộng đồng nguồn mở. Nhiều vấn đề khúc mắc từng được nêu và thảo luận trên diễn đàn ICT-VN có thể được giải quyết tận gốc từ những thông tin chỉ dẫn trong các tài liệu trên.
Quỹ Linux đã xuất bản một tài liệu nhan đề “Ngược lên dòng trên: Tăng cường cho sự phát triển nguồn mở”. Trong tài liệu PDF 10 trang này, 2 tác giả giải thích, trong số những thứ khác, vì sao đây là mối quan tâm nhất của mỗi người có liên can khi những cải tiến trong nội bộ cho phần mềm nguồn mở sẽ được đệ trình trở ngược lại cho các tác giả gốc ban đầu của phần mềm đó (ngược lên dòng trên) để đưa vào trong phiên bản tiếp sau. Tài liệu này có thể truy cập được sau khi đăng ký, cũng đề cập tới cách tốt nhất để tham gia vào qui trình này.
Quỹ Linux cũng đã công bố rằng 4Linux, Erlang Solutions và The Linux Professional Institute (LPI) đã tham gia như những thành viên mới. Dựa vào Brazil, 4Linux chuyên tâm trong Linux và phần mềm nguồn mở. Erlang Solutions tập trung vào các sản phẩm và dịch vụ dựa vào ngôn ngữ lập trình Erlang. Viện Linux Chuyên nghiệp là một tổ chức phi lợi nhuận cung cấp các bài thi không phụ thuộc vào nhà cung cấp về chứng chỉ chuyên nghiệp cho các quản trị viên hệ thống Linux các lập trình viên. LPI đã được thành lập vào năm 1999 và nổi tiếng về thường xuyên tổ chức các cuộc thi lấy chứng chỉ tại các hội chợ triển lãm và các sự kiện nguồn mở.
The Linux Foundation has published a paper titled "Upstreaming: Strengthening Open Source Development ". In the ten-page PDF document, the two authors explain, among other things, why it is in the best interest of everyone involved that in-house improvements to open source software be submitted back to the original authors of that software (upstream) for inclusion in the next version. The document, which can be accessed after registering, also touches on how best to go about this process.
The Linux Foundation has also announced that 4Linux, Erlang Solutions and the Linux Professional Institute (LPI) have joined as new members. Based in Brazil, 4Linux specialises in Linux and open source software. Erlang Solutions focuses on products and services based on the Erlang programming language. The Linux Professional Institute is a non-profit organisation providing vendor-independent exams for professional certification for Linux system administrators and programmers. The LPI was established in 1999 and is known for often running certification examinations at trade fairs and open source events.
(ehe)
Dịch tài liệu: Lê Trung Nghĩa

Sách về cột mốc mới: “Sử dụng tốt các giấy phép tự do” của Benjamin Jean


New milestone book: "The good usage of Free Licences" by Benjamin Jean
Submitted by Patrice-Emmanuel SCHMITZ on January 20, 2012
Bài được đưa lên Internet ngày: 20/01/2012
Lời người dịch: Trong thực tế, có hơn 70 giấy phép của FOSS do 2 cơ quan hàng đầu trong thế giới này phê chuẩn là FSF và OSI. Vì thế, làm thế nào để sử dụng tốt các giấy phép đó đối với các lập trình viên nguồn mở là một câu hỏi, khi mà có sự không tương thích giữa các giấy phép đó với nhau. Cuốn sách “Sử dụng tốt các giấy phép tự do” của Benjamin Jean bằng tiếng Pháp có thể là câu trả lời tốt cho câu hỏi trên.
B. Jean, một luật sự FOSS nổi tiếng người Pháp - đồng sáng lập của cộng đồng EOLE (Các sự kiện về Luật của phần mềm tự do và nguồn mở châu Âu) vừa công bố xuất bản phẩm về “Cuốn sách khung” (Framabook) bằng tiếng Pháp tác phẩm của ông “Lựa chọn tự do - Sử dụng tốt các giấy phép tự do”.
Cuốn sách quan trọng này (300 trang) tóm tắt tất cả các khía cạnh của “Phần mềm tự do” - một diễn đạt rất tiện lợi của Pháp về FOSS, vì nó là sự dịch phổ biến, duy nhất cho cả “Free (như sự tự do) trong phần mềm tự do” và “Phần mềm nguồn mở”.
Được xuất bản theo không ít hơn 3 giấy phép tự do (LAL 1.3, GNU FDL 1.3 và CC By-SA 3.0), cuốn sách là - không bình thường về một đóng góp pháp lý ở kích cỡ này - cũng tải về được ở dạng toàn văn và tự do. Tuy nhiên (tất nhiên), chúng tôi khuyến cáo các luật sư và những người tham gia đóng góp có quan tâm mua phiên bản in trên giấy.
Ông Jean nhấn mạnh tới những nỗ lực của Ủy ban châu Âu trong lĩnh vực này (trang 158) duy trì cho châu Âu - coi nguồn mở như một sự phát triển tiềm năng cho nền công nghiệp của riêng mình đối mặt với những người khổng lồ từ Mỹ và châu Á, đã đầu tư vào các dự án chủ chốt mà đã làm việc vì lợi ích của FOSS: Nền tảng chất lượng cho phần mềm nguồn mở), Osor.eu (bây giờ được chuyển sang Joinup.eu) và Giấy phép Công cộng của Ủy ban châu Âu EUPL được đơn vị IDABC - bây giờ là ISA, tạo ra.
Tác giả để chuyên tâm nhiều trang về các giấy phép khác nhau (bao gồm các bình luận về EUPL) và về tính tương thích, đưa ra những cân nhắc hữu dụng về sự cần thiết phải loại bỏ các rào cản pháp lý về tính tương hợp, đặc biệt giữa một loạt các giấy phép Copyleft của FOSS.
Tuy nhiên, tác giả cũng nói lên khó khăn của cơ quan hành chính EC (một “cấu trúc chính trị và nặng nề”, ông nói) để làm thành lựa chọn duy nhất đối với phần mềm FOSS (việc định vị mua sắm hàng ngàn giấy phép văn phòng sở hữu độc quyền mà không có gọi thầu...).
B. Jean, a well known French FOSS lawyer – cofounder of the EOLE community (European Open source and free software Law Events) just announced the publication on “Framabook” (in French) of his work “Option libre - Du bon usage des licences libres”.
This important book (300 pages) summarises all aspects of the « Logiciel Libre » - a very convenient French expression for FOSS, as it is the common, unique translation for both “Free (as freedom) software” and “Open Source Software”.
Published under no less than three free licences (LAL 1.3, GNU FDL 1.3 et CC By-SA 3.0) the book is – unusually for a legal contribution of this size – also downloadable in full text and for free. However (of course), we encourage lawyers and interested stakeholders to buy the paper version.
Mr. Jean highlights the efforts of the European Commission in the field (p. 158) remaining that Europe – which sees on Open Source a potential development for its own industry facing giants from America and Asia, has funded major projects that have worked for the benefit of FOSS: Qualipso (Quality Platform for Open Source Software), Osor.eu (now migrated on Joinup.eu) and the European Union Public Licence (EUPL) produced by the IDABC unit  — now ISA.
The author dedicates many pages on the various licences (including comments on the EUPL) and on their compatibility, providing useful considerations on the necessity to remove legal interoperability barriers, especially between the various copyleft FOSS licences.
However, the author also reports the difficulty of the EC administration (an «heavy and political structure », he says) to make the unique choice of FOSS software (pinpointing the acquisition of thousands proprietary office licences without call for tender...).
Trong những điểm nhất định, (đối với tôi) nó giống như là cuốn sách, mà là toàn cầu với tính chính thống của “Phần mềm tự do”, có thể được bổ sung nhiều thông tin thực tế hơn. Ví dụ khi đưa ra bảng tương thích các giấy phép (trang 290), trả lời cho câu hỏi: “Liệu bạn có thể phân phối một thành phần được nhận theo giấy phép A, theo giấy phép B hay không?”. Rõ ràng và làm tốt, nhưng dường như là hầu hết các câu hỏi thường dùng mà các lập trình viên đang làm ra là khác nhau. Một lập trình viên FOSS có ít sự quan tâm cho việc thay đổi giấy phép FOSS của một thành phần “đứng riêng một mình”. Không bao giờ khuyến cáo. Câu hỏi thường xuyên là “Trong ứng dụng X mới của tôi, nếu tôi kết hợp/liên kết các thành phần được nhận theo các giấy phép khác nhau A và B, ... cộng với mã nguồn của riêng tôi, theo giấy phép nào tôi có thể phân phối toàn bộ ứng dụng? Về điểm này, các giấy phép như MPLve mới (ví dụ) có thể đưa ra một tính tương hợp tốt hơn nhiều so với được phản ánh trong bảng được đề xuất”.
Về điều này, một sự khẳng định rằng “trong trường hợp liên kết tĩnh, khả năng của tác phẩm dẫn xuất là không nghi ngờ gì” có thể đưa ra nhiều chỗ hơn cho những mâu thuẫn (như Lawrence Rosen) và cho những mong đợi cụ thể như một chỗ được triển khai theo các chỉ thị 91/250/EEC và 2001/29/EC về bảo vệ pháp lý của các chương trình máy tính (EUCPD). Một trường hợp hiện đang treo tại Tòa án Pháp lý châu Âu, SAS vs. WPL (C-406/10), và nó có thể rằng quyết định của Tòa án sẽ giúp làm rõ điểm này trong một tương lai gần.
Một đóng góp rất được mong đợi, mà là “sự cộng tác” và vì thế mở cho những cải tiến.
On certain points, it looks (to me) that the book, which is globally in line with the orthodoxy of « Free Software », could be complemented be more practical information. For example when providing the licence compatibility table (p. 290), answering to the question: “Could you distribute a component received under licence A, under licence B?”. This is clear and well done, but it seems that the most frequent question that developers are formulating is different. A FOSS developer has little interest for changing the FOSS licence of a component “taken alone”. It is never to recommend. The frequent question is “In my new application X, if I combine / link components received under various licences A and B, etc. + my own code, under which licence can I distribute the whole application? On this point, licences like the new MPLv2 (for example) would provide a much better interoperability than reflected in the proposed table.
In line of this, the affirmation that « in the case of static linking, the qualification of derivative work makes no doubt” could give more room to contradiction (i.e. Lawrence Rosen) and to specific exceptions like the one implemented by Directives 91/250/EEC and 2001/29/EC on the legal protection of computer programs (EUCPD). A case is currently pending at the European Court of Justice, SAS vs. WPL (C-406/10), and it may be that the Court decision will help to clarify this point in a near future.
A very welcome contribution, which is "collaborative" and therefore open to improvements.
P-E Schmitz
Dịch tài liệu: Lê Trung Nghĩa

Thứ Hai, 30 tháng 1, 2012

CENATIC: phát triển phần mềm trong các cộng đồng của hành chính nhà nước


Cenatic: developing software in communities of public administrations
Submitted by Gijs HILLENIUS on January 18, 2012
Bài được đưa lên Internet ngày: 18/01/2012
Các nền hành chính nhà nước nên, khi xây dựng các ứng dụng của riêng mình, cộng tác trong việc tạo ra các cộng đồng các lập trình viên nguồn mở, Miguel Jaque Barbero, giám đốc điều hành của CENATIC, Trung tâm Năng lực về phần mềm của chính phủ Tây Ban Nha, khuyến cáo.
Public administrations should, when building their own applications, collaborate in creating communities of open source developers, recommends Miguel Jaque Barbero, the managing director of Cenatic, Spain's government competency centre on open source software.
Lời người dịch: Jaque Barbero, giám đốc điều hành của CENATIC, Trung tâm Năng lực về phần mềm của chính phủ Tây Ban Nha, khuyên các cơ quan nhà nước nên xây dựng các cộng đồng nguồn mở bên trong chính phủ, thực hiện 3 bước: (1) Nắm lấy các phần mềm nguồn mở thường là sử dụng lại; (2) Chia sẻ các ứng dụng với các cơ nền hành chính nhà nước khác, và làm cho nó sẵn sàng một cách công khai; (3) Các nền hành chính nhà nước cộng tác trong các ứng dụng. “Đây không phải là phần mềm của tôi. Đây là phần mềm của chúng ta”. Không biết ở Việt Nam thì có làm nổi thứ này không nhỉ, nếu bản chất của hầu hết những người nông dân lúa nước phải đặt ra câu hỏi: “Của tôi đâu?”, chứ không phải là “Của chúng ta đâu?”.
Jaque Barbero muốn các cơ quan hành chính nhà nước tạo ra các cộng đồng của riêng họ để chia sẻ các chi phí phát triển và duy trì. Những cộng đồng như vậy sẽ làm gia tăng tính tương hợp, bằng việc tạo và sử dụng các ứng dụng nguồn mở, Jaque Barbero viện lý. Dạng phần mềm này cho phép phát triển nhanh hơn và phổ biến nhanh hơn. “(Lựa chọn thay thế) mất nhiều năm, bằng việc xây dựng các giao diện hoặc các tiêu chuẩn mới”.
Giám đốc từng là một trong những diễn giả trong một hội thảo về các nền hành chính công và các cộng đồng nguồn mở, đã diễn ra tại Granada, Tây Ban Nha, vào thứ năm tuần trước. Hội thảo này đã được chương trình ISA của Ủy ban châu Âu EC tổ chức, và trùng khớp với Hội nghị Thế giới về Nguồn Mở.
Giám đốc CENATIC nói rằng các cộng đồng được các nền hành chính hình thành nên sẽ khác với những nhóm khác có liên quan tới các lập trình viên nguồn mở. Những cộng đồng này tiến hóa một cách tự nguyện, nhưng các nền hành chính nhà nước có thể tích cực xác định và liên hệ với các tổ chức tương tự mà có thể có quan tâm, xuyên khắp các khu vực và quốc gia. “Các cơ quan hành chính nhà nước nên thực sự lên kế hoạch cho cộng đồng của họ”, ông nói, và tính tới một lộ trình kỹ thuật, tài chính, quảng bá và kiểm soát chất lượng.
Bước đầu tiên của các nền hành chính nhà nước nắm lấy các phần mềm nguồn mở thường là sử dụng lại, theo Jaque Barbero. Tiếp đến là việc chia sẻ các ứng dụng với các cơ nền hành chính nhà nước khác, và làm cho nó sẵn sàng một cách công khai. Cuối cùng, giai đoạn 3 của sự tiến hóa, các nền hành chính nhà nước cộng tác trong các ứng dụng. “Đây không phải là phần mềm của tôi. Đây là phần mềm của chúng ta”.
Jaque Barbero would like public authorities to create their own communities to share the costs of development and maintenance. Such communities will increase interoperability, by making and using open source applications, argues Jaque Barbero. This type of software allow faster development and quicker diffusion. "(The alternative) takes years, by building new interfaces or standards."
The director was one of the speakers in a workshop on public administrations and open source communities, that took place in Granada, Spain, last week Thursday. The workshop was organised by the European Commission's ISA program, and coincided with the Open Source World Conference.
Cenatic's director says that communities formed by public administrations differ from other groups involving open source developers. These communities evolve voluntarily, but public administrations can actively identify and contact similar organisations that could be interested, across regions and countries. "Public authorities should actually plan their community", he said, and take into account a technical roadmap, financing, marketing and quality control.
The first step of public administrations taking up open source software is usually re-use, according to Jaque Barbero. Next comes sharing applications with other public administrations, and making it publicly available. In the final, third stage of this evolution, public administrations collaborate on applications. "It's not my software. It's our software"
Dịch tài liệu: Lê Trung Nghĩa

Cựu quan chức EU: Tham gia các cộng đồng nguồn mở nên là một yêu cầu


Former EU-official: Joining open source communities should be a requirement
Submitted by Gijs HILLENIUS on January 18, 2012
Bài được đưa lên Internet ngày: 18/01/2012
Đối với các nền hành chính nhà nước có sử dụng phần mềm nguồn mở (PMNM)
Khi sử dụng PMNM, các nền hành chính nhà nước nên tham gia vào các cộng đồng nguồn mở có liên quan, hoặc yêu cầu rằng các nhà cung cấp dịch vụ CNTT của họ tham gia vào nhân danh họ, Karel De Vriendt, một quan chức của Ủy ban châu Âu gần đây đã về hưu mà trước đây có liên quan trong các hoạt động và chính sách của Ủy ban có liên quan tới nguồn mở, khuyến cáo.
For public administrations using open source software
When using open source software, public administrations should join the associated open source communities, or require that their IT service providers join on their behalf, recommends Karel De Vriendt, a recently retired European Commission official previously involved in the Commission's policies and activities involving open source software.
Lời người dịch: Cựu quan chức của EU: “Sự khóa trói của các sản phẩm phần mềm và sự khóa trói vào nhà cung cấp ảnh hướng tới tất cả các phần khác của hạ tầng, De Vriendt nói, và rằng tạo ra tất cả các dạng vấn đề pháp lý, và tất cả các dạng vấn đề về sự tự do”. Đối với các hợp đồng phần mềm: “Phải chắc chắn mã nguồn là của bạn, nếu phần mềm được làm đặc biệt cho bạn hoặc được các nhà thầu duy trì”. Thậm chí khi việc sử dụng các gói PMNM được những người khác làm, thì ông thúc giục họ xây dựng các mối quan hệ thực tiễn với các cộng đồng các lập trình viên nguồn mở, chứ không chỉ là những người tiêu dùng, hưởng lợi từ những công việc của những người khác. Sự liên can trong cộng đồng phù hợp có thể là một trong những tiêu chí chính cho việc lựa chọn các nhà cung cấp dịch vụ CNTT khi sự hỗ trợ từ bên ngoài là cần thiết phải giới thiệu, áp dụng hoặc hỗ trợ gói phần mềm đó.
Việc sử dụng nguồn mở không tự động ngụ ý cho tính tương hợp, cũng không phải là một cách đảm bảo để tránh được sự khóa trói, De Vriendt đã cảnh báo vào thứ năm tuần trước trong một cuộc hội thảo về các nền hành chính nhà nước và các cộng đồng nguồn mở, được chương trình ISA (Các giải pháp về Tính tương hợp cho các Nền hành chính Nhà nước tại châu Âu) của Ủy ban châu Âu EC tổ chức. Hội thảo là một phần của Hội nghị Thế giới Nguồn Mở tại Granada, Tây Ban Nha.
Sự khóa trói của các sản phẩm phần mềm và sự khóa trói vào nhà cung cấp ảnh hưởng tới tất cả các phần khác của hạ tầng, De Vriendt nói, và rằng tạo ra tất cả các dạng vấn đề pháp lý, và tất cả các dạng vấn đề về sự tự do.
Nói về phần mềm thuế vụ, đặc biệt được làm để hỗ trợ cho các nhiệm vụ của hành chính nhà nước, De Vriendt cũng viện lý rằng các công dân nên có khả năng kiểm tra nếu, ví dụ, phần mềm được làm cho một cơ quan thuế triển khai đúng pháp lý phù hợp. Phần mềm mà triển khai các thủ tục hành chính và pháp lý nên là minh bạch. “Các công dân nên tự do nghiên cứu được mã nguồn”.
Việc sử dụng các giấy phép nguồn mở là một công cụ tuyệt vời để đạt được các mục tiêu này.
Cựu quan chức của EU cảnh báo các nền hành chính nhà nước phải nghiên cứu các hợp đồng phần mềm của họ một cách cẩn thận. “Phải chắc chắn mã nguồn là của bạn, nếu phần mềm được làm đặc biệt cho bạn hoặc được các nhà thầu duy trì”. Thậm chí khi việc sử dụng các gói PMNM được những người khác làm, thì ông thúc giục họ xây dựng các mối quan hệ thực tiễn với các cộng đồng các lập trình viên nguồn mở, chứ không chỉ là những người tiêu dùng, hưởng lợi từ những công việc của những người khác. Sự liên can trong cộng đồng phù hợp có thể là một trong những tiêu chí chính cho việc lựa chọn các nhà cung cấp dịch vụ CNTT khi sự hỗ trợ từ bên ngoài là cần thiết phải giới thiệu, áp dụng hoặc hỗ trợ gói phần mềm đó.
Using open source does not automatically imply interoperability, nor is it a guaranteed way to avoid lock-in, warned De Vriendt last week Thursday during a workshop on public administrations and open source communities, organised by the European Commission's ISA program (Interoperability Solutions for European Public Administrations). The workshop was part of the Open Source World Conference in Granada, Spain
Software products lock-in and vendor lock-in infects all other parts of the infrastructure, De Vriendt says, and that creates all kinds of legal issues, and all kinds of freedom issues.
Speaking about custom software, specifically made to support public administration tasks, De Vriendt would like to see public administrations much more collaborating, sharing and re-using this type of software: "Paying software companies many times over for the same software or almost the same software, is not a good use of public money."
Public administrations and their IT service providers should said up communities around such software, optimizing the use of public money and facilitating interoperability and standardization. De Vriendt also argues that citizens should be able to check if, for example, the software made for a tax agency correctly implements the relevant legislation. Software that implements legal and administrative procedures should be transparent. "Citizens should be free to study the code."
Using open source licenses is a perfect instrument to achieve these goals.
The former EU-official warned public administrations to study their software contracts carefully. "Make sure the code is yours, if the software is made especially for you or is maintained by contractors." Even when using existing open source software packages made by others, he urged them to build real ties to the communities of open source developers, and not to be mere consumers, benefiting from other people's work. The involvement in the relevant community could be one of the main criteria for selecting IT service providers when external assistance is needed to introduce, adapt or support the package.
Dịch tài liệu: Lê Trung Nghĩa

Chủ Nhật, 29 tháng 1, 2012

Nghiên cứu: Anh, Mỹ mạnh nhất về 'Sức mạnh Không gian mạng'


Study: U.K., U.S. wield most 'Cyber Power'
By Josh Smith, National Journal 01/13/2012
Bài được đưa lên Internet ngày: 13/01/2012
Lời người dịch: Theo nghiên cứu của hãng Booz Allen Hamilton về chỉ số sức mạnh không gian mạng, thì “Tổng thể, 5 quốc gia hàng đầu về sức mạnh KGM, như được đo đếm theo chỉ số này, là Anh, Mỹ, Úc, Đức và Canada - minh họa rằng các quốc gia phát triển ở Phương Tây đang dẫn đầu con đường trong kỷ nguyên số”, trong số 20 quốc gia được khảo sát. Xem chỉ số đó ở đây.
Anh và Mỹ dẫn dẵn các quốc gia đang phát triển khác trong khả năng của họ để chống chọi với các cuộc tấn công không gian mạng (KGM) và phát triển các nền kinh tế số mạnh, theo một nghiên cứu mới của Booz Allen Hamilton và Đơn vị Tình báo Kinh tế.
Anh đứng đầu phần còn lại của nhóm 20 quốc gia, bao gồm cả Mỹ, trong “Chỉ số Sức mạnh KGM”. Liên minh châu Âu EU, được xem là thành viên thứ 20 của G20, không có trong danh sách này.
Chỉ số, đặt Mỹ ở vị trí số 2, xếp hạng các quốc gi về các khung pháp lý và điều chỉnh; các vấn đề kinh tế xã hội; hạ tầng công nghệ; và nền công nghiệp.
Tổng thể, 5 quốc gia hàng đầu về sức mạnh KGM, như được đo đếm theo chỉ số này, là Anh, Mỹ, Úc, Đức và Canada - minh họa rằng các quốc gia phát triển ở Phương Tây đang dẫn đầu con đường trong kỷ nguyên số”, các công ty nói trong một tuyên bố.
Các nền kinh tế chính khác như Nga, Argentina, Indonesia và Ả rập Xê út, không có các kế hoạch về an ninh KGM, cũng không phải là các quốc gia đang phát triển chúng, nghiên cứu nhận thấy.
Chỉ số Sức mạnh KGM xác định các quốc gia hiểu những gì nó tiến hành thực hiện trong kỷ nguyên số... và những quốc gia không thực hiện”, Phó chủ tịch Mike McConnell của Booz Allen nói trong một tuyên bố.
Trong khi nghiên cứu đã kết luận rằng Mỹ “có ngữ cảnh kinh tế và xã hội ủng hộ nhất cho việc thúc đẩy sức mạnh KGM”, thì các quốc gia mạnh khác như Trung Quốc lại thể hiện các mức độ sức mạnh khá khiêm tốn trong các vấn đề về KGM.
The United Kingdom and United States lead other developing countries in their ability to withstand cyberattacks and develop strong digital economies, according to a new study by Booz Allen Hamilton and the Economist Intelligence Unit.
The U.K. tops the rest of the Group of 20 nations, including the U.S., in the "Cyber Power Index." The European Union, considered the 20th member of the G20, was not included.
The index, which put the U.S. in the No. 2 spot, rates the countries on their legal and regulatory frameworks; economic and social issues; technology infrastructure; and industry.
"Overall, the top five countries exhibiting cyber power, as measured by the index--the U.K.; the U.S.; Australia; Germany; and Canada--illustrate that developed Western countries are leading the way into the digital era," the companies said in a statement.
Other major economies such as Russia, Argentina, Indonesia, and Saudi Arabia, do not have cybersecurity plans, nor do they seem to be developing them, the study found.
"The Cyber Power Index identifies those countries that understand what it takes to operate in a digital era...and those that don't," Booz Allen Vice Chairman Mike McConnell said in a statement.
While the study concluded that the U.S. "has the most supportive economic and social context for fostering cyber power," other powerful countries like China exhibit relatively modest levels of strength in cyber issues.
Dịch tài liệu: Lê Trung Nghĩa

Thẻ thông minh của Bộ Quốc phòng Mỹ bị tấn công


US Department of Defense smartcards attacked
16 January 2012, 13:55
Bài được đưa lên Internet ngày: 16/01/2012
Lời người dịch: Nếu sử dụng thẻ thông minh với các số mã cá nhân PIN làm công cụ xác thực an ninh trong hệ điều hành Windows, thì bạn phải cẩn thận. “Theo hãng an ninh Mỹ Alienault, một biến thể trojan đã tồn tại từ tháng 03/2011 đang ăn cắp các số mã cá nhân PINs của các thẻ thông minh được sử dụng trong Bộ Quốc phòng Mỹ. Các thẻ thông minh được sử dụng cho việc lưu nhật ký trong các máy tính hoặc các webisites như một phần của “sự xác thực 2 yếu tố”. Hãng an ninh này đã bổ sung rằng các module của phần mềm độc hại sau đó có thể đọc được các nội dung bộ nhớ của chứng chỉ Windows, nơi mà các chứng thực của một thẻ thông minh được sao chép khi thẻ thông minh được chèn vào trong một đầu đọc. Các nhà nghiên cứu cũng thấy rằng trojan này có chứa mã nguồn để tải một thư viện động ActivIdentity (nhận dạng tích cực). Theo Alienvault, ActivIdentity cung cấp thư viện này cùng với các đầu đọc thẻ thông minh cho các nhà chức trách Mỹ như Bộ Quốc phòng và Bộ An ninh Nội địa... Nghi ngờ rằng những cuộc tấn công này khởi nguồn từ các máy chủ của Trung Quốc.
Theo hãng an ninh Mỹ Alienault, một biến thể trojan đã tồn tại từ tháng 03/2011 đang ăn cắp các số mã cá nhân PINs của các thẻ thông minh được sử dụng trong Bộ Quốc phòng Mỹ. Các thẻ thông minh được sử dụng cho việc lưu nhật ký trong các máy tính hoặc các webisites như một phần của “sự xác thực 2 yếu tố”. Báo cáo nói rằng phần mềm độc hại được cài đặt khi mở một tệp gắn kèm PDF, và rằng những kẻ tấn công khai thác một lỗ hổng ngày số 0 còn chưa được phân loại trong Adobe Reader. Chỗ bị tổn thương này theo yêu cầu có thể là một lỗi trong mã nguồn cho việc xử lý các hình đồ họa trong định dạng Universal 3D (3 chiều vạn năng) được phát hiện vào đầu tháng 12/2011.
Alienvault nói rằng trojan này có chứa một trình đọc bàn phím viết tất cả các đầu vào của bàn phím, và tên của cửa sổ, tới một tệp ở dạng văn bản thô. Hình như, nó cũng trích các nội dung trong bộ nhớ tạm (clipboard) của người sử dụng... Hãng an ninh này đã bổ sung rằng các module của phần mềm độc hại sau đó có thể đọc được các nội dung bộ nhớ của chứng chỉ Windows, nơi mà các chứng thực của một thẻ thông minh được sao chép khi thẻ thông minh được chèn vào trong một đầu đọc.
Các nhà nghiên cứu cũng thấy rằng trojan này có chứa mã nguồn để tải một thư viện động ActivIdentity (nhận dạng tích cực). Theo Alienvault, ActivIdentity cung cấp thư viện này cùng với các đầu đọc thẻ thông minh cho các nhà chức trách Mỹ như Bộ Quốc phòng và Bộ An ninh Nội địa. Tuy nhiên, vì tất cả các thiết bị “Omnikey” này xuất xưởng mà không có một bàn phím nào, nên mức an ninh của chúng là thấp. Trong những môi trường như vậy, PIN cho việc xác thực một thẻ thông minh phải được đưa vào trong bàn phím của máy tính, làm cho nó trở thành một mục tiêu dễ dàng cho trình đọc bàn phím.
Alienvault nói rằng trong khi thẻ thông minh được chèn vào đầu đọc thẻ, thì trojan theo yêu cầu có thể sử dụng một cách bí mật PINs thu hoạch được và các chứng chỉ để đăng nhập vào như một người sử dụng hợp pháp. Nghi ngờ rằng những cuộc tấn công này khởi nguồn từ các máy chủ của Trung Quốc. Hãng an ninh này nói rằng hãng đã xác định được cùng gốc gác khi điều tra một cuộc tấn công tương tự vào tháng 12/2011.
According to US security firm Alienvault, a trojan variant that has existed since March 2011 is stealing the PINs of smartcards that are used by the US Department of Defense. Smartcards are used for logging into computers or web sites as part of "2-factor authentication". The report says that the malware is installed when opening a PDF attachment, and that the attackers exploit an unspecified zero-day hole in Adobe Reader. The vulnerability in question could be the flaw in the code for processing graphics in Universal 3D format that was disclosed in early December 2011.
Alienvault said that the trojan contains a keylogger that writes all keyboard inputs, and the name of the window, to a file in plain text. Apparently, it also extracts the user's clipboard contents. The security firm added that further malware modules can read the contents of the Windows certificate memory, where a smartcard's certificates are copied when the smartcard is inserted into a reader.
The researchers also found that the trojan contains code to load a dynamic ActivIdentity library. According to Alienvault, ActivIdentity supplies this library together with smartcard readers to US authorities such as the Department of Defense and the Department of Homeland Security. However, since all of these "Omnikey" devices ship without a keyboard, their security level is low anyway. In such environments, the PIN for authenticating a smartcard must be entered on the computer keyboard, making it an easy target for keyloggers.
Alienvault says that while the smartcard is inserted in the reader, the trojan in question can secretly use the harvested PINs and certificates to log in as the legitimate user. It is suspected that these attacks originate from servers in China. The security firm said that it has already identified the same origin when investigating a similar attack in December 2011.
(ehe)
Dịch tài liệu: Lê Trung Nghĩa

Thứ Năm, 26 tháng 1, 2012

Nhân Linux vượt qua 15 triệu dòng mã lệnh


Linux kernel exceeds 15 million lines of code
12 January 2012, 14:16
Bài được đưa lên Internet ngày: 12/01/2012
Lời người dịch: Nhân Linux vào tháng 10/2008 có 10 triệu dòng mã lệnh. Còn bây giờ, tháng 01/2012, có 15 triệu dòng mã lệnh với nhân Linux 3.3. 3/4 các dòng lệnh là các trình điều khiển, các hệ thống tệp và mã nguồn cho kiến trúc đặc thù. Nhân Linux được sử dụng cùng một lúc trong nhiều phát tán hệ điều hành GNU/Linux, ví dụ như: Linux 2.6.32, ví dụ, được sử dụng trong Ubuntu 10.04 LTS, Red Hat Enterprise Linux 6 (RHEL6) và Suse Linux Enterprise Server 11 (SLES11).
Phiên bản nhân Linux 3.3 sắp ra đời sẽ lần đầu tiên có hơn 15 triệu dòng mã lệnh nhân - cột mốc này bao gồm cả các bình luận, dòng trống, tài liệu, các scripts và các công cụ cho người sử dụng được đưa vào trong nhân. 3/4 các dòng lệnh là các trình điều khiển, các hệ thống tệp và mã nguồn cho kiến trúc đặc thù. Một phân tích chi tiết các nguồn của nhân có thể thấy trong Kernerl Log hiện hành. Nhân đã đạt tới 10 triệu dòng lệnh vào tháng 10/2008.
Lập trình viên cho nhân Greg Kroah-Hartman đã công bố rằng Linux 3.0, đã được chỉ định như là một nhân ổn định, sẽ được thúc đẩy trở thành tình trạng nhân dài hạn và được hỗ trợ ít nhất trong 2 năm – các lập trình viên thường thì chỉ hỗ trợ nhân hiện hành một thời gian ngắn sau khi tung ra bản tiếp sau của nó. Hỗ trợ cho một phiên bản Linux đặc biệt cũng có thể du di phụ thuộc vào việc nó được sử dụng rộng rãi thế nào. Linux 2.6.32, ví dụ, được sử dụng trong Ubuntu 10.04 LTS, Red Hat Enterprise Linux 6 (RHEL6) và Suse Linux Enterprise Server 11 (SLES11).
Xem thêm:
The upcoming 3.3 release of the Linux kernel will be the first to contain more than 15 million lines of kernel source code – the milestone includes the comments, blank lines, documentation, scripts and userland tools included with the kernel. Three quarters of the lines are drivers, filesystems and architecture-specific code. A detailed analysis of the kernel sources can be found in the current Kernel Log. The kernel hit the 10 million line mark in October 2008.
Kernel developer Greg Kroah-Hartman has announced that Linux 3.0, which had been designated as a stable kernel, will be promoted to long-term kernel status and supported for at least two years – the developers typically only support the current kernel until a short time after the release of its successor. Support for a specific version of Linux can also vary depending on how widely it is used. Linux 2.6.32, for example, is used in Ubuntu 10.04 LTS, Red Hat Enterprise Linux 6 (RHEL6) and SUSE Linux Enterprise Server 11 (SLES11).
See also:
(crve)
Dịch tài liệu: Lê Trung Nghĩa

Phiên bản sửa lỗi LibreOffice 3.4.5 đã được tung ra


Bug fix release LibreOffice 3.4.5 is out
16 January 2012, 16:14
Bài được đưa lên Internet ngày: 16/01/2012
Lời người dịch: Những người sử dụng LibreOffice phiên bản 3.4.5, một rẽ nhánh từ OpenOffice.org có thể yên tâm sử dụng sau khi Quỹ Tài liệu đã sửa hầu như 30 lổi được thấy trong các phiên bản trước, cải tiến toàn bộ tính ổn định của chương trình. “Chúng bao gồm một số vấn đề hỏng hóc và một loạt các vấn đề trong chương trình bảng tính Calc và xử lý văn bản Writer. Một lỗi ngăn chặn những chuyển dịch slide 3D nhất định khỏi làm việc trong trình quản lý trình diễn Impress cũng đã được sửa. Không có các tính năng mới được đưa vào trong cập nhật này; Mọi người sử dụng được khuyến cáo nâng cấp”. Xem: http://wiki.documentfoundation.org/Releases/3.4.5_info_about_fixes
Quỹ Tài liệu đã công bố tung ra phiên bản 3.4.5 của LibreOffice, một cập nhật duy trì cho nhánh 3.4.x cuar bộ phần mềm văn phòng nguồn mở. Phiên bản mới đề cập tới hầu như 30 lỗi được thấy trong phiên bản trước, cải tiến toàn bộ tính ổn định của chương trình.
Chúng bao gồm một số vấn đề hỏng hóc và một loạt các vấn đề trong chương trình bảng tính Calc và xử lý văn bản Writer. Một lỗi ngăn chặn những chuyển dịch slide 3D nhất định khỏi làm việc trong trình quản lý trình diễn Impress cũng đã được sửa. Không có các tính năng mới được đưa vào trong cập nhật này; tất cả những người sử dụng được khuyến cáo nâng cấp.
Một danh sách đầy đủ các sửa lỗi có thể thấy được trong các lưu ký thay đổi 3.4.5.1 và 3.4.5.2 và trên trang wiki của 3.4.5; vào thời điểm bài này được viết, những lưu ý của phiên bản 3.4.5 vẫn còn chưa được xuất bản. LibreOffice 3.4.5 có sẵn để tải về cho Windows, Mac OS X và Linux. Mã nguồn của LibreOffice được cấp phép theo LGPLv3.
Xem thêm:
The Document Foundation has announced the release of version 3.4.5 of LibreOffice, a maintenance update for the 3.4.x branch of the open source office suite. The new version addresses almost 30 bugs found in the previous release, improving the program's overall stability.
These include several crashing problems and a variety of issues in the Calc spreadsheet program and the Writer word processor. A bug that prevented certain 3D slide transitions from working in the Impress presentation manager has also been fixed. No new features have been added in the update; all users are advised to upgrade.
A full list of fixes can be found in the 3.4.5.1 and 3.4.5.2 change logs, and on the 3.4.5 wiki page; at the time of writing, the 3.4.5 release notes have yet to be published. LibreOffice 3.4.5 is available to download for Windows, Mac OS X and Linux. Source code for LibreOffice is licensed under the LGPLv3.
See also:
(crve)
Dịch tài liệu: Lê Trung Nghĩa

Thứ Tư, 25 tháng 1, 2012

Tin tặc nhận trách nhiệm (tạm thời) đánh CBS.com, sau cuộc tấn công Bộ Tư pháp


Hackers claim responsibility for (temporarily) felling CBS.com, after attacking Justice site
From National Journal 01/23/2012
Bài được đưa lên Internet ngày: 23/01/2012
Lời người dịch: Giả định: New Zealand bắt Kim Schmitz, người sáng lập dịch vụ MegaUpload mà đã bị đánh sập hôm qua trong một chiến dịch toàn cầu của các nhà chức trách Mỹ (liệu có phải vì PIPA và SOPA???), và vì thế mở ra cuộc chiến của các tin tặc khét tiếng của nhóm Anonymous đánh vào site của Bộ Tư pháp Mỹ và site của mạng phát thanh và truyền hình của Mỹ CBS.com khiến “CBS.com đã được trình bày với một tệp HTML độc nhất trắng phớ xung quanh ngày Chủ nhật”. Có người đồn rằng site tiếp sau sẽ phải chịu số phận “ăn đòn” sẽ là FOX.
Một nhóm các tin tặc tạm thời đã chùi sạch CBS.com, trong những gì dường như là sự trả đũa tiếp sau vì sự đánh sập của chính phủ vào tuần trước site chia sẻ tệp Megaupload.com.
Vài tài khoản Twitter được kết nối tới Anonymous, một tập thể được tổ chức lỏng lẻo các tin tặc, đã đưa ra thông điệp nhận trách nhiệm về cuộc thâm nhập, một số trong số họ nhắc tới "#OpMegaUpload", nghĩa là ghi tốc ký cho Operation Mega Upload. Ít nhất một người đã gợi ý Fox có thể là mục tiêu tiếp theo.
Nhóm này đã nhận trách nhiệm về sự thâm nhập website của Bộ Tư pháp trước đó trong tuần sau khi các quan chức liên bang đánh sập Megaupload.com.
Trong một khoảng thời gian ngắn, những người viếng thăm CBS.com đã được trình bày với một tệp HTML độc nhất trắng phớ xung quanh ngày Chủ nhật. Site này kể từ đó đã được phục hồi.
A group of hackers temporarily wiped clean CBS.com, in what seemed to be further retaliation for the government shutdown last week of file-sharing site Megaupload.com.
Several Twitter accounts linked to Anonymous, a loosely organized collective of hackers, posted messages claiming responsibility for the hack, some of them mentioning "#OpMegaUpload," shorthand for Operation Mega Upload. At least one suggested Fox would be targeted next.
The group claimed responsibility for hacking the Justice Department's website earlier in the week after federal officials shut down Megaupload.com.
For a short period, visitors to CBS.com were presented with a single blank HTML file around mid-day on Sunday. The site has since been restored.
Dịch tài liệu: Lê Trung Nghĩa

Các chuyên gia an ninh ép các nhà sản xuất hệ thống kiểm soát công nghiệp


Security experts put pressure on industrial control system makers
23 January 2012, 10:36
Bài được đưa lên Internet ngày: 23/01/2012
Lời người dịch: Sau vụ sâu Windows Stuxnet đánh vào chương trình hạt nhân của Iran, các chuyên gia an ninh đã tập trung vào nghiên cứu các chỗ bị tổn thương trong các hệ thống SCADA, và nay một nhóm các chuyên gia của Threat Level của Wired đã công bố hàng loạt chỗ bị tổn thương như vậy mà không cần báo trước cho các hãng có các chương trình SCADA bị tổn thương. “Trường hợp hiện hành có liên quan tới các trình kiểm soát logic có khả năng lập trình được (PLC) của General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics và Schweitzer Engineering. Theo thông tin được đưa ra của nhóm này, những chỗ bị tổn thương bao gồm các cửa hậu, các mật khẩu được lập trình cứng và sự thiếu xác thực khi tải mã nguồn lên. Một số thiết bị như mẫu từ GE, từng có trên thị trường 20 năm qua... Các nhà nghiên cứu nói rằng họ đã không thông báo cho các nhà cung cấp các chỗ bị tổn thương về an ninh mà họ đã phát hiện trước, vì họ muốn tránh dạng y hệt các khó khăn mà Beresford đã trải qua với Siemens vào năm ngoái. Beresford tự thấy bị ép buộc phải hoãn một cuộc nói chuyện về những chỗ bị tổn thương trong các sản phẩm của Siemens sau sự can thiệp của công ty này. Theo Dale Peterson, các nhà sản xuất đã nhận thức được nhiều chỗ bị tổn thương mà bây giờ đã bị phát hiện, nhưng đã đơn giản “chọn để sống chung với” chúng”. Có thể các công ty sản xuất muốn sống chung với các chỗ bị tổn thương, còn khi các khách hàng “ngớ ngẩn” bị ăn đòn vì những chỗ bị tổn thương đó thì các công ty sẽ “chạy làng” chăng??? Các quốc gia như Việt Nam khi muốn xây dựng các nhà máy điện hạt nhân phải thật lưu ý về việc này!
Theo một báo cáo trên blog về mức độ các mối đe dọa (Threat Level) của Wired, một nhóm các nhà cung cấp dịch vụ an ninh đã xuất bản những khai thác đối với những chỗ bị tổn thương về an ninh trong các thành phần được sử dụng trong các hệ thống kiểm soát công nghiệp có thể bị sử dụng để gây tổn thương hoặc phá hủy các hệ thống đó. Còn gây tranh cãi, nhóm này đã không thông báo cho các nhà cung cấp về các lỗ hổng này trước khi thực hiện các công bố, vì thế không cho họ cơ hội để đưa ra cho các khách hàng của họ các bản vá đối với các chỗ bị tổn thương đó.
Nhóm này, bao gồm cả những nhà nghiên cứu an ninh nổi tiếng như Dillon Beresford, Ruben Santamara và Dale Peterson, nói rằng ý định của họ là để chỉ ra các công ty vận hành hạ tầng sống còn cách thật dễ dàng làm sao để thâm nhập được vào các hệ thống của họ. Các nhà nghiên cứu nói rằng họ hy vọng tạo ra được một ý nghĩa gây sốc tương tự đối với cộng đồng SCADA tiếp sau việc tung ra Firesheep (con cừu lửa) vào năm ngoái. Firesheep từng là một trình cài cắm của Firefox có khả năng ăn cắp các cookies thuộc về những người sử dụng khác đang chia sẻ một mạng Wifi và sử dụng chúng để đăng nhập vào các website. Vì mức độ cao của nó về sự thân thiện với người sử dụng, nhiều website được cho là rủi ro đối với việc sử dụng lan truyền rộng rãi đủ cao mà họ cảm thấy buộc phải chuyển từ giao tiếp HTTP không được mã hóa sang HTTPS được mã hóa SSL.
Trường hợp hiện hành có liên quan tới các trình kiểm soát logic có khả năng lập trình được (PLC) của General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics và Schweitzer Engineering. Theo thông tin được đưa ra của nhóm này, những chỗ bị tổn thương bao gồm các cửa hậu, các mật khẩu được lập trình cứng và sự thiếu xác thực khi tải mã nguồn lên. Một số thiết bị như mẫu từ GE, từng có trên thị trường 20 năm qua.
According to a report on Wired's Threat Level blog, a group of security service providers have published exploits for security vulnerabilities in components used in industrial control systems that could be used to compromise or disrupt these systems. Controversially, the group did not inform the vendors of these holes before making the announcement, thus giving them no opportunity to provide their customers with patches for the vulnerabilities.
The group, which includes such well-known security researchers as Dillon Beresford, Ruben Santamarta and Dale Peterson, state that their intention is to show companies operating critical infrastructure just how easy it is to hack their systems. The researchers say that they hope to generate a similar sense of shock to the SCADA community as followed the release of Firesheep last year. Firesheep was a Firefox add-on which was able to steal cookies belonging to other users sharing a Wi-Fi network and use them to log onto web sites. Because of its high level of user friendliness, many web sites considered the risk of widespread use to be sufficiently high that they felt obliged to switch from unencrypted HTTP communication to SSL encrypted HTTPS.
The current case involves programmable logic controllers manufactured by General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics and Schweitzer Engineering. According to information released by the group, the vulnerabilities include backdoors, hard-coded passwords and a lack of authentication when loading code. Some of these devices, such as the model from GE, have been on the market for 20 years.
Các nhà nghiên cứu nói rằng họ đã không thông báo cho các nhà cung cấp các chỗ bị tổn thương về an ninh mà họ đã phát hiện trước, vì họ muốn tránh dạng y hệt các khó khăn mà Beresford đã trải qua với Siemens vào năm ngoái. Beresford tự thấy bị ép buộc phải hoãn một cuộc nói chuyện về những chỗ bị tổn thương trong các sản phẩm của Siemens sau sự can thiệp của công ty này. Theo Dale Peterson, các nhà sản xuất đã nhận thức được nhiều chỗ bị tổn thương mà bây giờ đã bị phát hiện, nhưng đã đơn giản “chọn để sống chung với” chúng.
Nhóm này đã nhận được một số chỉ trích về việc xuất bản các chỗ bị tổn thương. Người đứng đầu của Chương trình An ninh các Hệ thống Kiểm soát của Bộ An ninh Nội địa đã lưu ý rằng, trong khi họ khuyến khích sự phát hiện các chỗ bị tổn thương, thì họ tin tưởng rằng điều này nên diễn ra chỉ khi một giải pháp cho vấn đề đó là có sẵn sàng. Chuyên gia an ninh về SCADA của Đức là Ralph Langner đã nói cho giới truyền thông Mỹ rằng, trong khi ông đã hy vọng về một kết quả tích cực cho sự kiểm thử, thì ông không muốn xuất bản những khai thác theo cách đó.
The researchers said that they had not informed the vendors of the security vulnerabilities they had discovered in advance, as they wanted to avoid the same kind of difficulties Beresford had experienced with Siemens last year. Beresford found himself forced to cancel a talk on vulnerabilities in Siemens products following intervention by the company. According to Dale Peterson, the manufacturers were already aware of many of the vulnerabilities which have now been revealed, but had simply "chosen to live with" them.
The group has received some criticism for publishing the vulnerabilities. The head of the DHS' Control Systems Security Programme noted that, while they promote the disclosure of vulnerabilities, they believe that this should take place only once a solution to the problem is available. German SCADA security specialist Ralph Langner told US media that, while he hoped for a positive outcome to the experiment, he would not have published the exploits in this way.
(crve)
Dịch tài liệu: Lê Trung Nghĩa

Thứ Ba, 24 tháng 1, 2012

Các tin tặc đã điều khiển các máy tính của đường sắt, TSA nói


Hackers manipulated railway computers, TSA memo says
By Aliya Sternstein 01/23/2012
Bài được đưa lên Internet ngày: 23/01/2012
Lenny Ignelzi/AP File
Lời người dịch: Sau cuộc tấn công của sâu Windows Stuxnet vào các nhà máy hạt nhân của Iran, thế giới đã vĩnh viễn không còn được an ninh như trước đó nhất là đối với các hệ thống sống còn của bất kỳ quốc gia nào được nữa. Đã từng có những vụ việc bị nghi ngờ có tấn công không gian mạng vào các lưới điện, các hệ thống cấp thoát nước, và nay là các máy tính trong các hệ thống đường sắt tại Mỹ vào đầu tháng 12/2011 vừa qua. Bạn hãy đọc kỹ bài viết, kết luận có tin hay không nằm trong suy nghĩ của bạn, dù bạn là người dân thường, người làm việc trong các công ty hay trong các cơ quan chính phủ.
Các tin tặc, có thể từ nước ngoài, đã tiến hành tấn công vào các máy tính của một công ty đường sắt ở Tây Bắc và đã phá hỏng các tín hiệu đường sắt trong 2 ngày trong tháng 12, theo một bản ghi nhớ của chính phủ về lắp thêm thiết bị an ninh với được xa hơn với khu vực giao thông trong trường hợp khẩn cấp.
Vào ngày 01/12, dịch vụ đường sắt trên một tuyến đường sắt không được nêu tên “đã bị chậm lại một lúc” và các lịch trình xe lửa đã bị chậm lại khoảng 15 phút sau sự can thiệp đó, được nêu trong toàm tắt của Cơ quan An ninh Giao thông trong cuộc họp ngày 20/12 về sự việc có trên Nextgov. Ngày hôm sau, ngay trước giờ cao điểm, một “sự kiện thứ 2 đã xảy ra” mà đã không ảnh hưởng tới lịch trình, các quan chức của TSA nói. Cơ quan này có trách nhiệm bảo vệ tất cả các hệ thống giao thông của Mỹ, không chỉ các sân bay.
“Các chuyến tàu Amtrak và chở hàng cần phải có ngữ cảnh về đối với các trung tâm kỹ thuật thông tin”, bản ghi nhớ nói. “Các cuộc tấn công không gian mạng từng không phải là mối lo chính cho hầu hết những người vận hành đường sắt” vào lúc này, bổ sung, “kết luận rằng đường sắt đã bị ảnh hưởng vì một cuộc tấn công là rất nghiêm trọng”.
Trong khi chính phủ và các khu vực công nghiệp sống còn đã tiến những bước dài trong việc chia sẻ tình báo về các mối đe dọa, thì ít sự chú ý được nêu cho việc hiểu được những phân tích đó trong thông tin sử dụng được cho mọi người trong các đường ray, những người đang chạy trong các tàu điện ngầm, các đường cao tốc và các hệ thống quá cảnh khác, một số cựu quan chức liên bang nói. Sự với xa hơn của TSA gần đây là độc nhất trong đó các quan chức đã nói các nhà vận hành cách mà những lỗ hổng đã làm ngắt quãng các hoạt động thông thường của đường sắt, Steve Carver, một nhà quản lý an ninh thông tin của Cơ quan Hàng không Liên bang đã nghỉ hưu, bây giờ là một nhà tư vấn công nghiệp hàng không, người đã rà soát lại bản ghi nhớ, nói.
Hackers, possibly from abroad, executed an attack on a Northwest rail company's computers that disrupted railway signals for two days in December, according to a government memo recapping outreach with the transportation sector during the emergency.
On Dec. 1, train service on the unnamed railroad "was slowed for a short while" and rail schedules were delayed about 15 minutes after the interference, stated a Transportation Security Administration summary of a Dec. 20 meeting about the episode obtained by Nextgov. The following day, shortly before rush hour, a "second event occurred" that did not affect schedules, TSA officials added. The agency is responsible for protecting all U.S. transportation systems, not just airports.
"Amtrak and the freight rails needed to have context regarding their information technical centers," the memo stated. "Cyberattacks were not a major concern to most rail operators" at the time, adding, "the conclusion that rail was affect [sic] by a cyberattack is very serious."
While government and critical industry sectors have made strides in sharing threat intelligence, less attention has been paid to translating those analyses into usable information for the people in the trenches, who are running the subways, highways and other transit systems, some former federal officials say. The recent TSA outreach was unique in that officials told operators how the breach interrupted the railway's normal activities, said Steve Carver, a retired Federal Aviation Administration information security manager, now an aviation industry consultant, who reviewed the memo.
“Chương trình TSA là một sự khởi đầu để mang lại, ở mức cao hơn, một sự hiểu biết về tác động quốc gia tới các cuộc tấn công không gian mạng”, Carver nói. Đội Sẵn sàng Khẩn cấp về Máy tính của Mỹ (US CERT) và Cơ quan An ninh Quốc gia của Lầu 5 góc “đã đưa ra thông tin lớn về mối đe dọa đặc biệt này. Họ không nói cách mà nó đã tác động tới những người khác. TSA nói cho bạn cách mà nó đã tác động tới những người khác”.
Tóm tắt của sự việc này đã khen ngợi vài người của TSA vì giải thíc được tình huống được đưa ra theo ngữ cảnh. Khi các nhà điều tra của TSA đã bắt đầu nghi ngờ sự khai thác là một hành động có chủ tâm hơn là một sự cố, thì họ đã hành động theo giả thiết nó có thể đưa ra một sự nguy hiểm rộng lớn hơn cho hệ thống giao thông của Mỹ, theo bản ghi nhớ.
“Một số nguyên nhân có khả năng dẫn tới việc xem xét một cuộc tấn công từ bên ngoài vào”, báo cáo nói. Các nhà điều tra đã phát hiện được 2 địa điểm truy cập Internet, hoặc các địa chỉ IP, đối với những kẻ thâm nhập trái phép hôm 01/12 và 03/12, tài liệu viết, nhưng không nói chúng thuộc về quốc gia nào.
“Thông tin nói các vụ việc là một cuộc tấn công có đích ngắm đã không được gửi đi” cho tới giữa ngày thứ hai, 05/12, theo bản ghi nhớ. Các dữ liệu mà các nhà vận hành đường sắt cần để phổ biến tình hình đã được làm sẵn sàng cho họ, các quan chức viết. Những cảnh báo liệt kê 3 địa chỉ IP đã đi ra tới vài trăm hãng đường sắt và các cơ quan giao thông công cộng, cũng như các đối tác tại Canada.
“Các quá trình được thiết lập ngay cho chính phủ để làm việc với giới công nghiệp trong các giao tiếp truyền thông thời gian thực về một sự kiện không gian mạng được sắp hàng ưu tiên cao”, báo cáo nói.
Những người tham gia cuộc họp hôm 20/12 bao gồm các đại diện từ hãng công nghệ thông tin Indus Corp., Liên đoàn Đường sắt Mỹ, và hãng Boing Co., cũng như các quan chức chính phủ từ TSA, các đơn vị an ninh không gian mạng của Bộ An ninh Nội địa, Bộ Giao thông và Cảnh sát Bờ biển Mỹ.
"This TSA program is a start to bring, at a higher level, an understanding of the national impact to cyberattacks," Carver said. The U.S. Computer Emergency Readiness Team and the Pentagon's National Security Agency "have provided great information on the particular threat. They don't say how it has affected others. TSA tells you how it affected others."
The incident summary praised several TSA personnel for explaining the unfolding situation in context. When TSA investigators began to suspect the exploit was an intentional act rather than a glitch, they acted under the assumption it could present a broader danger to the U.S. transportation system, according to the memo.
"Some of the possible causes lead to consideration of an overseas cyberattack," the write-up stated. Investigators discovered two Internet access locations, or IP addresses, for the intruders on Dec. 1 and a third on Dec. 2, the document noted, but it does not say in which country they were located.
"Information stating the incidents were a targeted attack was not sent out" until midday on Monday, Dec. 5, according to the memo. The data that train operators needed to diffuse the situation was made available to them, officials wrote. Alerts listing the three IP addresses went out to several hundred railroad firms and public transportation agencies, as well as to partners in Canada.
"The processes set in place for government to work with the industry in real-time communications regarding a cyber event aligned superbly," the recap stated.
Participants in the Dec. 20 meeting included representatives from information technology firm Indus Corp., the Association of American Railroads, and Boeing Co., as well as government officials from TSA, the Homeland Security Department's cybersecurity divisions, the Transportation Department, and the U.S. Coast Guard.
Nhưng, vào ngày thứ 2, các quan chức tại Bộ An ninh Nội địa, bộ giám sát TSA, nói sau phân tích sâu bổ sung, dường như là sự thâm nhập đường sắt có thể không phải là một cuộc tấn công có chủ đích. “Hôm 01/12, một cơ quan giao thông của Pacific Northwest đã báo cáo rằng một vụ việc tiềm tàng trong không gian mạng có thể tác động tới dịch vụ đường sắt”, người phát ngôn của DHS Peter Boogaard nói. “Bộ An ninh Nội địa, FBI và các đối tác của liên bang vẫn giữ truyền thông với các đại diện từ cơ quan giao thông đó để hỗ trợ các hoạt động giảm nhẹ của họ và với các quan chức chính quyền địa phương để gửi đi các cảnh báo nhắc nhở cộng đồng giao thông về hoạt động không bình thường như nó đã xảy ra”.
Dựa vào bản ghi nhớ, còn chưa rõ liệu các công ty đường sắt khác có các kinh nghiệm về các vụ việc mạng tương tự hay không. Các công ty thường miễn cưỡng thảo luận về các lỗ thủng máy tính một cách công khai vì sợ làm kinh hãi các khách hàng. Và, đôi khi, các doanh nghiệp không bao giờ dò tìm được các vụ thâm nhập trái phép, họ bổ sung.
Đối với chính phủ để cải thiện sự đáp trả khẩn cấp về không gian mạng, thì “thứ lớn nhất là bắt đầu với các nhân viên truyền thông”, Carver khuyến cáo. “Có các nhu cầu có một người biên dịch có thể đưa thông tin ra khỏi US CERT, nắm lấy nó, trích nó ra, và xác định được nó có nghĩa gì cho các hoạt động”.
Các đại diện công nghiệp đường sắt nói họ không có sự tự do để thảo luận về các nội dung của bản ghi nhớ của chính phủ.
But, on Monday, officials at the Homeland Security Department, which oversees TSA, said following additional in-depth analysis, it appears that the rail infiltration may not have been a targeted attack.
"On December 1, a Pacific Northwest transportation entity reported that a potential cyber incident could affect train service," DHS spokesman Peter Boogaard said. "The Department of Homeland Security, the FBI and our federal partners remained in communication with representatives from the transportation entity in support of their mitigation activities and with state and local government officials to send alerts to notify the transportation community of the anomalous activity as it was occurring."
Based on the memo, it is unclear if other railway companies have experienced similar network incidents. Companies often are reluctant to discuss computer breaches openly for fear of scaring off customers. And, sometimes, businesses never detect the intrusions, they add.
For government to improve cyber emergency response, "the biggest thing is to start with the communications staff," Carver recommends. "There needs to be an interpreter who can take the information coming out of the U.S. CERT, take that, extract that out, and determine what it means for operations."
Rail industry representatives said they were not at liberty to discuss the contents of the government memo.
Dịch tài liệu: Lê Trung Nghĩa

Vũ khí mới của Anonymous


Anonymous's new weapon
20 January 2012, 22:32
Bài được đưa lên Internet ngày: 20/01/2012

Bất kỳ ai đọc thứ này có thể không có chủ tâm tham gia vào một cuộc tấn công DDoS
Anyone reading this may unwittingly be taking part in a DDoS attack
Lời người dịch: Các tin tặc khét tiếng của Anonymous đã tấn công website của Bộ Tư pháp Mỹ bằng phương pháp từ chối dịch vụ phân tán DDoS. Lý do: “Cuộc tấn công này là một phần của #OpMegaupload, được Anonymous tung ra sau cuộc bắt tại New Zealand Kim Schmitz, người sáng lập dịch vụ MegaUpload mà đã bị đánh sập hôm qua trong một chiến dịch toàn cầu của các nhà chức trách”. Tuy nhiên, lần này tinh vi hơn nhiều và bằng cách mà người sử dụng thông thường không hề biết là bản thân bạn đang vô tình tham gia vào cuộc tấn công đó mà chính bạn cũng không hề biết thông qua một đoạn mã JavaScript có đường dẫn hướng vào site bị tấn công. “Trong quá khứ, khi triển khai các cuộc tấn công dạng này thì tập hợp lỏng lẻo các nhà hoạt động xã hội về nguyên tắc đã dựa vào Low Orbit Ion Cannon (LOIC), mà những người sử dụng tham gia trong cuộc tấn công trước hết phải tải về và chạy. Tại một số quốc gia, bao gồm cả Vương quốc Anh và Đức, điều này có thể được giải thích như một trường hợp phá hoại các máy tính và vì thế tạo thành một sự phạm tội. Tuy nhiên, trong trường hợp này, tình huống là ít rõ ràng hơn, khi mà JavaScript được chạy mà không có bất kỳ sự tương tác nào của những người sử dụng và tung ra cuộc tấn công của mình ngay khi người sử dụng mở trang web có chứa nó”.
Các nhà hoạt động xã hội của Anonymous đang sử dụng một trang web bị làm giả đặc biệt để gửi đi vô vàn các yêu cầu tới miền của site justice.gov cho một cuộc tấn công DDoS đã được tung ra vào hôm thứ năm tấn công vào website của Bộ Tư pháp Mỹ. Khi một người sử dụng viếng thăm trang web này, một mẩu ngắn JavaScript làm cho trình duyệt của người sử dụng tạo thác lũ tới máy chủ của bộ này bằng các yêu cầu HTTP. Trang web đang được đặt hosting tại các site bao gồm PasteHTML, nơi mà những người sử dụng có thể đưa lên mã nguồn HTML một cách tùy ý.
Anonymous activists are using a specially crafted web page which sends mass requests to the justice.gov domain for a DDoS attack launched on Thursday on the US Department of Justice web site. When a user visits the web page, a short piece of JavaScript causes the user's browser to flood the government department's server with HTTP requests. The web page is being hosted at sites including PasteHTML, where users can post HTML code anonymously.

Nếu một người sử dụng đi theo liên kết này, thì trình duyệt của họ sẽ cố gắng thiết lập hàng ngàn kết nối tới máy chủ của Bộ Tư pháp Mỹ.
Trong quá khứ, khi triển khai các cuộc tấn công dạng này thì tập hợp lỏng lẻo các nhà hoạt động xã hội về nguyên tắc đã dựa vào Low Orbit Ion Cannon (LOIC), mà những người sử dụng tham gia trong cuộc tấn công trước hết phải tải về và chạy. Tại một số quốc gia, bao gồm cả Vương quốc Anh và Đức, điều này có thể được giải thích như một trường hợp phá hoại các máy tính và vì thế tạo thành một sự phạm tội. Tuy nhiên, trong trường hợp này, tình huống là ít rõ ràng hơn, khi mà JavaScript được chạy mà không có bất kỳ sự tương tác nào của những người sử dụng và tung ra cuộc tấn công của mình ngay khi người sử dụng mở trang web có chứa nó.
Những người sử dụng không có cách gì để biết trước những gì sẽ xảy ra khi họ viếng thăm trang này. Những người có cảm tình với Anonymous đã và đang cần mẫn siêng năng phổ biến các liên kết tới trang web này thông qua Twitter, thường xuyên sử dụng bất kỳ một số lượng các dịch vụ rút ngắn đường liên kết để làm mờ URL thực sự. Để tối đa hóa số lượng các hit (các yêu cầu truy cập tới trang web), những người sử dụng Twitter trong nhiều trường hợp được dụ dỗ viếng thăm trang web đó theo những sự giả bộ không đúng. Cuộc tấn công này là một phần của #OpMegaupload, được Anonymous tung ra sau cuộc bắt tại New Zealand Kim Schmitz, người sáng lập dịch vụ MegaUpload mà đã bị đánh sập hôm qua trong một chiến dịch toàn cầu của các nhà chức trách. Tối hôm qua, website của Bộ Tư pháp Mỹ quả thực đã phi trực tuyến trong một khoảng thời gian, nhưng mọi thứ bây giờ dường như đã được lắng dịu, với website hiện có khả năng truy cập được một cách tự do.
If a user follows the link, their browser will attempt to establish thousands of connections to the US Department of Justice server.
In the past, when carrying out attacks of this kind the loose collection of activists has principally relied on the Low Orbit Ion Cannon (LOIC), which users participating in the attack must first download and run. In some countries, including the UK and Germany, this can be construed as a case of computer sabotage and therefore constitutes a criminal offence. In this case, however, the situation is less clear, as the JavaScript is executed without any user interaction and launches its attack as soon as the user opens the web page containing it.
Users have no way of knowing beforehand what will happen when they visit the page. Anonymous sympathisers have been diligently disseminating links to the web page via Twitter, frequently using any of a number of link shortening services to obscure the actual URL. In order to maximum the number of hits, Twitter users are in many cases being enticed to visit the page under false pretences.
The attack is part of #OpMegaupload, launched by Anonymous following the arrest in New Zealand of Kim Schmitz, founder of the MegaUpload service which was shut down yesterday in a worldwide operation by the authorities. Last night, the Department of Justice web site was indeed offline for some periods, but things now appear to have quietened down, with the web site currently freely accessible.
(djwm)
Dịch tài liệu: Lê Trung Nghĩa

Thứ Hai, 23 tháng 1, 2012

PIPA và SOPA vi phạm các nguyên tắc tự do ngôn luận và đổi mới của Nhà Trắng


How PIPA and SOPA Violate White House Principles Supporting Free Speech and Innovation
January 16, 2012 | By Trevor Timm
Bài được đưa lên Internet ngày: 16/01/2012
Lời người dịch: Các dự luật của Luật Bảo vệ Thông tin Cá nhân PIPA (Personal Information Protection Act) và Luật Chấm dứt Ăn cắp Trực tuyến SOPA (Stop Online Piracy Act) đang được dự thảo, gây ra nhiều mâu thuẫn, thậm chí nhiều điều đi ngược lại các nguyên tắc cơ bản về tự do ngôn luận của nước Mỹ, có khả năng đẩy nhiều người sử dụng Internet ngây thơ vô tội trở thành những tội phạm. Bản chất của nó hầu như xuất phát từ cuộc chiến bản quyền. Một lần nữa, những kẻ bảo vệ cho PIPA/SOPA muốn thông qua vấn đề bản quyền để trừng phạt bất kỳ ai vi phạm, thậm chí cho dù điều đó có gây hại cho bất kỳ điều gì, kể cả vi phạm những quyền cơ bản của con người. Có thông tin cho rằng, các dự luật này đã bị cả thượng viện và hạ viện Mỹ đình hoãn thông qua, sau vô số các phản đối có tính toàn cầu.
Vào cuối tuần, chính quyền Obama đã đưa ra một tuyên bố thay đổi cuộc chơi của các dự luật trong danh sách đen, nói chính quyền có thể phản đối PIPA và SOPA như được viết, và vẽ lên một đường quan trọng trên cát bằng việc nhấn mạnh rằng chính quyền “sẽ không hỗ trợ” bất kỳ dự luật nào “làm giảm sự tự do ngôn luận, gia tăng rủi ro cho an ninh không gian mạng, hoặc làm xói mòn Internet toàn cầu năng động và đổi mới sáng tạo”.
Vâng, cuộc chiến còn lâu mới kết thúc. Thậm chí dù tờ New York Time đã nói rằng tuyên bố của Nhà Trắng “tất cả ngoại trừ sẽ giết chết các phiên bản hiện hành của luật đó”, thì Thượng viện vẫn còn sẵn sàng đưa PIPA lên bàn vào tuần sau, và chúng ta có thể mong đợi những người khởi xướng SOPA tại Hạ viện cố gắng làm sống lại dự luật này - trừ phi họ có được thông điệp rằng những sáng kiến đó phải dừng, ngay bây giờ. Vì thế hãy nhìn một chút vào những điều khoản nguy hiểm của các dự luật trong danh sách đen có thể vi phạm các nguyên tắc của chính Nhà Trắng bằng việc gây hại cho tự do ngôn luận, an ninh Internet, và đổi mới sáng tạo trực tuyến:
Điều khoản Chống lại sự Gian lận
Bổ sung vào việc đi sau các website được cho là có liên quan trực tiếp trong vi phạm bản quyền, một đề xuất trong SOPA sẽ cho phép chính phủ nhằm vào các site cung cấp một cách đơn giản các thông tin có thể giúp cho những người sử dụng có được các cơ chế kiểm duyệt dự luật. Một điều khoản như vậy có thể không chỉ dấy lên sự thận trọng vi hiến trước đó chống lại phát ngôn được bảo vệ, mà còn có thể gây tổn hại nghiêm trọng tới đổi mới sáng tạo trực tuyến. Và đối nghịch với các yêu sách của những người ủng hộ SOPA, điều khoản này - ít nhất những gì được đề xuất cho tới nay - áp dụng cho tất cả các webiste, thậm chí ở cả Mỹ.
Over the weekend, the Obama administration issued a potentially game-changing statement on the blacklist bills, saying it would oppose PIPA and SOPA as written, and drew an important line in the sand by emphasizing that it “will not support” any bill “that reduces freedom of expression, increases cybersecurity risk, or undermines the dynamic, innovative global Internet."
Yet, the fight is still far from over. Even though the New York Times reported that the White House statement "all but kill[s] current versions of the legislation," the Senate is still poised to bring PIPA to the floor next week, and we can expect SOPA proponents in the House to try to revive the legislation—unless they get the message that these initiatives must stop, now.  So let’s take a look at the dangerous provisions in the blacklist bills that would violate the White House’s own principles by damaging free speech, Internet security, and online innovation:
The Anti-Circumvention Provision
In addition to going after websites allegedly directly involved in copyright infringement, a proposal in SOPA will allow the government to target sites that simply provide information that could help users get around the bills’ censorship mechanisms. Such a provision would not only amount to an unconstitutional prior restraint against protected speech, but would severely damage online innovation. And contrary to claims by SOPA’s supporters, this provision—at least what’s been proposed so far—applies to all websites, even those in the U.S. 
Như chuyên gia chỉnh sửa đầu tiên Marvin Ammori chỉ ra, “Ngôn ngữ là khá mập mờ, nhưng dường như tất cả các công ty đó phải giám sát các site của họ vì chống giả mạo sao cho họ không tuân thủ các hành động của tòa án 'bắt họ' tiếp tục cung cấp 'sản phẩm hoặc dịch vụ như vậy'”. Điều đó có nghĩa là các site phương tiện xã hội như Facebook hoặc YouTube - về cơ bản bất kỳ site nào với nội dung do người sử dụng tạo ra - có thể phải cảnh sát các site của chính họ, ép tới các chi phí trách nhiệm khổng lồ lên vô số các công ty Internet. Điều này chính xác vì sao các nhà đầu tư rủi ro tư bản đã nói hàng loạt họ sẽ không đầu tư vào các công ty khởi nghiệp trực tuyến nếu PIPA và SOPA được thông qua. Các Website có thể bị ép phải khóa bất kỳ thứ gì từ một bài viết của người sử dụng đối với các bổ sung (add-ons) như DeSopa, vào một danh sách đơn giản các địa chỉ IP của các site đã bị khóa.
Có lẽ còn tệ hơn, EFF đã chi tiết hóa cách mà điều khoản này cũng có thể làm hại tới cộng đồng phần mềm nguồn mở. Bất kỳ ai mà viết hoặc phân phối Mạng Riêng Ảo, ủy quyền, riêng tư hoặc từ Bộ Ngoại giao để tạo ra phần mềm để giúp các nhà hoạt động dân chủ có được các cơ chế kiểm duyệt trực tuyến của các chế độ độc tài. Chớ trêu, SOPA có thể không chỉ tạo nên những thực tiễn y hệt như các chế độ đó, mà còn có thể về cơ bản cấm các công cụ mà các nhà hoạt động xã hội sử dụng đối với sự kiểm duyệt giả tạo tại các quốc gia như Iran và Trung Quốc.
As First Amendment expert Marvin Ammori points out, “The language is pretty vague, but it appears all these companies must monitor their sites for anti-circumvention so they are not subject to court actions ‘enjoining’ them from continuing to provide ‘such product or service.’” That means social media sites like Facebook or YouTube—bascailly any site with user generated content—would have to police their own sites, forcing huge liability costs onto countless Internet companies. This is exactly why venture capitalists have said en masse they won’t invest in online startups if PIPA and SOPA pass. Websites would be forced to block anything from a user post about browser add-ons like DeSopa, to a simple list of IP addresses of already-blocked sites.
Perhaps worse, EFF has detailed how this provision would also decimate the open source software community. Anyone who writes or distributes Virtual Private Network, proxy, privacy or anonymization software would be negatively affected. This includes organizations that are funded by the State Department to create circumvention software to help democratic activists get around authoritarian regimes’ online censorship mechanisms. Ironically, SOPA would not only institute the same practices as these regimes, but would essentially outlaw the tools used by activists to circumvent censorship in countries like Iran and China as well.
The “Vigilante” Provision
Điều khoản “Vigilante”
Một điều khoản nguy hiểm khác trong PIPA và SOPA đã không nhận được nhiều sự chú ý là điều khoản “vigilante”, mà có thể trao sự miễn dịch rộng rãi cho tất cả các nhà cung cấp dịch vụ nếu họ lạm dụng việc khóa những người sử dụng ngây thơ hoặc khóa các site một cách tự nguyện mà không có sự giám sát nào của pháp luật. Tiêu chuẩn cho sự miễn dịch thấp tới kinh ngạc và tiềm tàng cho sự lạm dụng. Những kẻ trung gian chỉ cần hành động “theo thiện ý” và dự vào quyết định của họ “về bằng chứng tin cậy được” để nhận được sự miễn dịch.
Như chúng ta đã lưu ý nhiều tháng trước, điều khoản này có thể cho phép MPAA và RIAA tạo ra những danh sách đen theo nghĩa đen các site mà họ muốn kiểm duyệt. Những kẻ trung gian sẽ thấy bản thân họ dưới áp lực phải hành động để tránh các lệnh của tòa án, tạo ra một phương tiện cho các tập đoàn kiểm duyệt các site - thậm chí các site tại Mỹ - mà không có bất kỳ sự giám sát nào của pháp luật. Và như tờ Public Knowledge đã chỉ ra, điều khoản này không chỉ có thể được sử dụng cho những yêu sách bản quyền giả mạo sẽ được bảo vệ bởi sự sử dụng công bằng, mà các tập đoàn lớn có thể lạm dụng nó để đóng dấu đuổi các đối thủ cạnh tranh đang nổi lên và đi vào lề các luật chống độc quyền:
Ví dụ, một nhà cung cấp dịch vụ Internet có thể khóa các yêu cầu DNS đối với một website đưa ra video trực tuyến được hoàn tất với các bản chào truyền hình cáp của mình, dựa vào “bằng chứng tin cậy” mà site đó từng, theo sự đánh giá của riêng mình, thúc đẩy sử dụng của mình vì sự vi phạm... Trong khi sự chỉnh sửa đòi hỏi rằng hành động đó sẽ được thực hiện theo thiện chí, thì site bị khóa bây giờ mang gánh nặng phải chứng minh hoặc sự vô tội của mình hoặc ý xấu của người tố cáo mình để được mở khóa.
Another dangerous provision in PIPA and SOPA that hasn’t received a lot of attention is the “vigilante” provision, which would grant broad immunity to all service providers if they overblock innocent users or block sites voluntarily with no judicial oversight at all. The standard for immunity is incredibly low and the potential for abuse is off the charts. Intermediaries only need to act “in good faith” and base their decision “on credible evidence” to receive immunity.
As we noted months ago, this provision would allow the MPAA and RIAA to create literal blacklists of sites they want censored. Intermediaries will find themselves under pressure to act to avoid court orders, creating a vehicle for corporations to censor sites—even those in the U.S.—without any legal oversight. And as Public Knowledge has pointed out, not only can this provision be used for bogus copyright claims that are protected by fair use, but large corporations can take advantage of it to stamp out emerging competitors and skirt anti-trust laws:
For instance, an Internet service provider could block DNS requests for a website offering online video that competed with its cable television offerings, based upon “credible evidence” that the site was, in its own estimation, promoting its use for infringement....While the amendment requires that the action be taken in good faith, the blocked site now bears the burden of proving either its innocence or the bad faith of its accuser in order to be unblocked.
Corporate Right of Action
Quyền hành động của tập đoàn
PIPA và SOPA cũng vẫn còn cho phép những người nắm giữ bản quyền có một lệnh tòa không bị chống đối để cắt các website nước ngoài khỏi những người quảng cáo và những người xử lý thanh toán. Như chúng tôi đã nhấn mạnh liên tục, những người nắm giữ bản quyền đã có thể loại bỏ các tư liệu vi phạm khỏi web theo thủ tục lưu ý và đánh sập DMCA. Không may, chúng ta đã thấy rằng quyền lực đã bị lạm dụng một lần nữa. Những người khởi xướng PIPA và SOPA muốn trao cho những người nắm giữ các quyền thậm chí còn nhiều quyền lực hơn, cho phép họ về cơ bản đánh sập toàn bộ các site thay vì loại bỏ nội dung vi phạm cụ thể nào đó.
Trong khi điều khoản này chỉ tác động tới các site nước ngoài, thì nó vẫn tác động tới các quyền tự do ngôn luận của dân Mỹ. Như Marvin Ammori đã giải thích, “trường hợp còn trong trứng nước của Lamont với Postmaster làm rõ rằng những người Mỹ có quyền Điều chỉnh Trước tiên để đọc và nghe phát biểu của nước ngoài, thậm chí nếu những người nước ngoài thiếu một quyền phát biểu của Điều chỉnh Trước tiên”. Nếu lịch sử là chỉ dẫn bất kỳ - và chúng ta sợ điều đó - chúng ta sẽ thấy những yêu sách chỉ có vẻ bề ngoài cho sự bán buôn đánh sập ngôn luận hợp pháp và được bảo vệ.
PIPA and SOPA also still allow copyright holders to get an unopposed court order to cut off foreign websites from payment processors and advertisers. As we have continually highlighted, copyright holders already can remove infringing material from the web under the DMCA notice-and-takedown procedure. Unfortunately, we’ve seen that power abused time and again. Yet the proponents of PIPA and SOPA want to give rightsholders even more power, allowing them to essentially shut down full sites instead of removing the specific infringing content.
While this provision only affects foreign sites, it still affects Americans' free speech rights. As Marvin Ammori explained, "The seminal case of Lamont v. Postmaster makes it clear that Americans have the First Amendment right to read and listen to foreign speech, even if the foreigners lack a First Amendment speech right." If history is any guide—and we’re afraid it is—we will see specious claims to wholesale take downs of legitimate and protected speech.
Expanded Attorney General Powers
Sức mạnh chung của Tổng Chưởng lý được mở rộng
PIPA và SOPA cũng có thể trao ủy quyền mới cho Tổng Chưởng lý để khóa các dịch vụ tên miền, một điều khoản từng hoàn toàn bị chỉ trích từ cả các chuyên gia an ninh Internet và các học giả của Điều chỉnh Trước tiên. Thậm chí các tác giả dự luật trong các danh sách đen bây giờ cũng công khai đoán trước về điều khoản đáng sợ đó. Nhưng ngay cả khi không có nó, thì phần này cũng vẫn có thể ép nhiều kẻ trung gian trở thành cảnh sát Internet bằng việc đặt ra trách nhiệm tuân thủ kiểm duyệt trong các kẻ trung gian, những người thường là các bên thứ ba ngây thơ.
Tổng Chưởng lý cũng có thể được trang bị để loại bỏ khỏi các danh cách các website từ các máy tìm kiếm, mà, như Chủ tịch Eric Schmidt của Google đã lưu ý, có thể vẫn “tội phạm hóa việc liên kết và cấu trúc cơ bản của bản thân Internet”. Điều y hệt áp dụng cho các nhà quảng cáo và các nhà xử lý thanh toán.
Đó chỉ là vài điều khoản quá xá trong PIPA và SOPA mà có thể đột ngột làm thay đổi cách thức chúng ta sử dụng Internet (theo hướng tệ hơn), và bắt phạt hàng triệu người sử dụng ngây thơ thậm chí không bao giờ nghĩ về sự vi phạm bản quyền. Như đồng sáng lập Alexis Ohanian của Reddit đã giải thích, PIPA và SOPA là “tương đương về sự căm giận và cố gắng hành động chống lại Ford chỉ vì Mustang đã được sử dụng trong một vụ cướp ngân hàng”. Những dự luật này phải được dừng lại nếu chúng ta muốn bảo vệ tự do ngôn luận và đổi mới sáng tạo trên web.
Hãy hàng động ngay bây giờ và nói cho các đại diện của Quốc hội bạn chống lại các dự luật trong các danh sách đen.
PIPA and SOPA would also give the Attorney General new authority to block domain name services, a provision that has been universally criticized by both Internet security experts and First Amendment scholars. Even the blacklist bills’ authors are now publicly second-guessing that scary provision. But even without it, this section would still force many intermediaries to become the Internet police by putting the responsibility of censorship enforcement on those intermediaries, who are usually innocent third parties.
The Attorney General would also be empowered to de-list websites from search engines, which, as Google Chairman Eric Schmidt noted, would still "criminalize linking and the fundamental structure of the Internet itself."  The same applies to payment processors and advertisers.
These are just some of the egregious provisions in PIPA and SOPA that would drastically change the way we use the Internet (for the worse), and punish millions of innocent users who have never even thought about copyright infringement. As Reddit co-founder Alexis Ohanian explained, PIPA and SOPA are “the equivalent of being angry and trying to take action against Ford just because a Mustang was used in a bank robbery.” These bills must be stopped if we want to protect free speech and innovation on the web. 
Please take action now and tell your Congressional representatives you oppose the blacklist bills.
Dịch tài liệu: Lê Trung Nghĩa