Thứ Năm, 29 tháng 11, 2012

Báo cáo về an ninh không gian mạng của Mỹ chỉ tay tố cáo Trung Quốc - Phần 2 và hết


US cybersecurity report points accusing finger at China
Báo cáo thường niên cho Quốc hội nói Trung Quốc là mối đe dọa lớn nhất cho an ninh không gian mạng của Mỹ, nói ra vài chi tiết ai có thể đang làm gián điệp không gian mạng (KGM)
An annual report to Congress says China is the biggest threat to US cybersecurity, spelling out in some detail who might be doing the cyberspying.
By Mark Clayton, Staff writer / November 14, 2012
Bài được đưa lên Internet ngày: 14/11/2012
Lời người dịch: Trích đoạn: “16% các cuộc tấn công Internet trên toàn thế giới bắt nguồn từ Trung Quốc - làm cho nó trở thành kẻ tấn công hàng đầu thế giới... Quả thực, báo cáo của quốc hội nói gián điệp KGM của Trung Quốc cũng đã làm đau đầu Nhật và một số nước châu Âu, một phần thúc vào họ để nhảy vào cuộc chạy đua vũ trang các vũ khí KGM mà báo cáo nói “làm mất ổn định””. Không rõ với Việt Nam thì thế nào nhỉ?
Trích một nghiên cứu của Akamai Technologies, báo cáo của quốc hội gợi ý rằng 16% các cuộc tấn công Internet trên toàn thế giới bắt nguồn từ Trung Quốc - làm cho nó trở thành kẻ tấn công hàng đầu thế giới. Một nghiên cứu được trích dẫn hác, từ một nhà cung cấp dịch vụ có tên là CloudFlare, lưu ý rằng các cuộc tấn công Internet toàn cầu đã suy giảm hơn một nửa vào ngày 01/10/2011 - ngày quốc khánh của Trung Quốc.
Các quan chức sứ quán Trung Quốc tại Washington thường xuyên từ chối trách nhiệm về gián điệp KGM đối với các mục tiêu Mỹ.
“Chiến lược quốc gia của Trung Quốc để có được công nghệ bất hợp pháp từ các công ty phương Tây gây bất lợi cho chính sự phát triển của mình”, James Lewis, một chuyên gia về an ninh KGM tại Trung tâm Nghiên cứu Chiến lược và Quốc tế đã viết trong một bài gần đây trên tạp chí Foreign Affairs (các công việc với nước ngoài). “Các kế hoạch kinh tế của Bắc Kinh nhiều thập kỷ đã nhấn mạnh tới nhu cầu xây dụng các nền công nghiệp công nghệ cao mạnh và giảm sự phụ thuộc vào các nhà sản xuất nước ngoài. Việc ăn cắp công nghệ của phương Tây là một cái chống trụ giữ cho Trung Quốc không chuyển lên được 'chuỗi giá trị' và không trở thành một quốc gia của những người sáng tạo được”.
Citing a study by Akamai Technologies, the congressional report suggests that 16 percent of Internet attacks worldwide originate in China – making it the world’s top offender. Another cited study, by a service provider named CloudFlare, notes that global Internet attacks declined by more than half on Oct. 1, 2011 – China’s national holiday.
Chinese embassy officials in Washington routinely deny responsibility for cyberespionage against US targets.
"China's rapid development and prosperity are attributed to its sound national development strategy and the Chinese people's hard work, as well as China's ever enhanced economic and trade cooperation with other countries that benefits all," a spokesman for the Chinese Embassy wrote in an e-mail responding to a government report last year on cyberspying. "Willfully making unwarranted accusations against China is irresponsible, and we are against such demonization efforts as firmly as our opposition to any forms of unlawful cyberspace activities."
Curiously, cybertheft could hurt China’s economic and military prospects in the long run, some suggest.
"China’s national strategy to acquire technology illicitly from Western companies handicaps its own development," James Lewis, a cybersecurity expert at the Center for Strategic and International Studies wrote in a recent issue of Foreign Affairs magazine. "Beijing’s economic plans have for decades emphasized the need to build indigenous high-tech industries and reduce dependence on foreign producers. Pilfering Western technology is a crutch that keeps China from moving up the ‘value chain’ and becoming a nation of innovators."
Mỹ đang làm việc để phát triển một câu trả lời cho mối đe dọa nó thấy tại Trung Quốc. Trong năm 2010, Chỉ huy KGM Mỹ đã hoạt động đầy đủ trong Bộ Quốc phòng. Ngoài ra, Nhà Trắng được cho là đã đưa ra một tài liệu chính sách bí mật hôm thứ tư phác họa những hành động mà quân đội Mỹ có thể tiến hành chống lại các cuộc tấn công KGM.
Trong một thế giới nơi mà đường ranh giới giữa gián điệp KGM và một cuộc tấn công KGM vào một mạng máy tính có thể vượt quá giới hạn, thì các điểm chỉ thị cho các mối nguy hiểm của một cuộc chiến tranh KGM đang leo thang. Quả thực, báo cáo của quốc hội nói gián điệp KGM của Trung Quốc cũng đã làm đau đầu Nhật và một số nước châu Âu, một phần thúc vào họ để nhảy vào cuộc chạy đua vũ trang các vũ khí KGM mà báo cáo nói “làm mất ổn định”.
“Chúng tôi tất cả sẽ tiếp tục xây dựng các lực lượng quân sự của chúng tôi trong khi cùng lúc làm cho tất cả những mối bán đe dọa đó cho nhau”, John Bumgarner, giám đốc của đơn vị nghiên cứu về những hậu quả KGM của Mỹ, một nhóm nghiên cứu chiến lược về an ninh phi lợi nhuận đang cố vấn cho chính phủ và giới công nghiệp, nói. “CHúng tôi tất cả là các đối tác kinh tế, nhưng chúng tôi tất cả trong đường hướng gián điệp KGM này, nơi mà mọi người thường nhảy vào để ăn cắp những kế hoạch máy bay chiến đấu mới nhất và tốt nhất. Cùng lúc, nó có thể vượt quá giới hạn và trở thành một hành động của chiến tranh. Trong thế giới KGM, giới hạn đó là một đường rất mờ. Đó là con đường mà chúng tôi cần phải thoát ra”.
The US is working to develop a response to the threat it sees in China. In 2010, US Cyber Command became fully operational within the Defense Department. Beyond that, the White House reportedly issued on Wednesday a secret policy document that outlines what actions the US military can take against cyberattacks.
In a world where the line between cyberespionage and a cyberattack on a computer network can be exceedingly fine, the directive points to the dangers of an escalating cyberwar. Indeed, the congressional report says China's cyberespionage has also alienated Japan and some European countries, in part spurring them to embark on a cyberweapons race the report calls "destabilizing."
"We're all continuing to build our military forces while at the same time making all these semi-threats to each others," says John Bumgarner, research director for the US Cyber Consequences Unit, a nonprofit security think tank that advises government and industry. "We're all economic partners, but we're all on this cyberespionage path where people are routinely breaking in to steal the latest and greatest fighter plane plans. At some point, it may cross the line and become an act of war. In the cyber world, that line is a very blurred line. It's a path we need to get off."
Dịch: Lê Trung Nghĩa

Báo cáo về an ninh không gian mạng của Mỹ chỉ tay tố cáo Trung Quốc - Phần 1


US cybersecurity report points accusing finger at China
Báo cáo thường niên cho Quốc hội nói Trung Quốc là mối đe dọa lớn nhất cho an ninh không gian mạng của Mỹ, nói ra vài chi tiết ai có thể đang làm gián điệp không gian mạng (KGM).
An annual report to Congress says China is the biggest threat to US cybersecurity, spelling out in some detail who might be doing the cyberspying.
By Mark Clayton, Staff writer / November 14, 2012
Bài được đưa lên Internet ngày: 14/11/2012
Lời người dịch: Lại một báo cáo thường niên nữa cho Quốc hội Mỹ về khả năng chiến tranh KGM của Trung Quốc. Tuy nhiên, nó có thể là bài học cho Việt Nam. Trích đoạn: “Các tin tặc Trung Quốc từ lâu được cho là ít phức tạp hơn so với các tin tặc Nga. Nhưng có những dấu hiệu rằng điều đó đang thay đổi. Vào tháng 1, một cuộc tấn công có cơ sở ở Trung Quốc đã nhằm vào hệ thống “chứng thực an ninh” của tiêu chuẩn Thẻ Truy cập Chung của Bộ Quốc phòng, một trong những hệ thống an ninh nhất của Lầu 5 góc. Hơn nữa, các tin tặc Trung Quốc được cho là đã sử dụng các ổ USB và các đĩa CD để thâm nhập các máy tính thuộc về Chỉ huy Hải quân Phương Đông của Ấn Độ, nó đã không có kết nối nào tới Internet. Việc thâm nhập các hệ thống vũ khí, bao gồm cả các tên lửa, tàu sân bay, thuyền và các hệ thống mặt đất là một trọng tâm của Trung Quốc, các quan chức quân sự Mỹ đã chứng thực năm nay.”
Một lượng lớn các cuộc gián điệp không gian mạng (KGM) của Trung Quốc chống lại Mỹ, cùng với sự phức tạp đang gia tăng, “làm cho Trung Quốc trở thành tác nhân đe dọa nhất trong KGM”, một báo cáo mới của chính phủ kết luận được được ra hôm thứ tư.
Trong khi vẫn còn chưa biết ai tại Trung Quốc, đặc biệt, đang chọc ngoáy, những thành tích kỹ thuật đang giúp những người theo dõi lần theo “các chiến dịch” gián điệp KGM ngược về quốc gia này. Trong số những thủ phạm, theo báo cáo thường niên cho Quốc hội của Ủy ban Giám sát An ninh và Kinh tế Mỹ - Trung:
  • “Đội quân chiến tranh KGM” không chính thức bao gồm các nhân viên với các công việc kỹ thuật cao hàng ngày tập trung vào các giao tiếp quân sự, chiến tranh điện tử và các tác chiến mạng máy tính.
  • 3 bộ dịch vụ an ninh và tình báo.
  • Các tin tặc yêu nước tiến hành gián điệp vượt ra khỏi sự ưu tiến của những người dân tộc chủ nghĩa.
  • Các tin tặc tội phạm tiến hành gián điệp công nghiệp vì các khách hàng là tư nhân, nhà nước quản lý hoặc chính phủ.
  • Các công ty lớn và các hãng viễn thông lớn.
Bạn biết bao nhiêu về an ninh không gian mạng? Hãy trả lời bài kiểm tra của chúng tôi.
“Các khả năng KGM của Trung Quốc đưa ra cho Bắc Kinh một công cụ ngày càng quan trọng để đạt được các mục tiêu quốc gia”, báo cáo của quốc hội nói. “Trong một chiến lược nặng về gián điệp KGM, một tập hợp đa dạng các tin tặc Trung Quốc sử dụng thông tin ăn cắp được để tiến bộ trong các mục tiêu chính trị, kinh tế và an ninh”.
The sheer volume of Chinese cyberespionage directed against the United States, together with its increasing sophistication, "make China the most threatening actor in cyberspace," concludes a new government report released Wednesday.
While it is still unknown who in China, specifically, is doing the hacking, technical gains are helping trackers trace cyberespionage "campaigns" back to the country. Among the culprits, according to the annual report to Congress of the US-China Economic and Security Review Commission:
  • Informal "cyber warfare militia" composed of workers with high-tech day jobs that focus on military communications, electronic warfare, and computer network operations.
  • Three intelligence and security service ministries.
  • Patriotic hackers conducting espionage out of nationalist fervor.
  • Criminal hackers conducting industrial espionage for private, state-owned, or government clients.
  • Big IT companies and telecommunications firms.
"China’s cyber capabilities provide Beijing with an increasingly potent tool to achieve national objectives," the congressional report states. "In a strategic framework that leans heavily on cyber espionage, a diverse set of Chinese hackers use pilfered information to advance political, economic, and security objectives."
Báo cáo trích dẫn chiếc phản lực chiến đấu mới ăn cắp được J-20 như một ví dụ. Các hình chụp chiệc J-20 chỉ ra những sự tương tự với chiệc F-22 của Lockheed Martin. Các ảnh chụp đã rà soát lại “các mối quan ngại rằng các dạng gián điệp con người, KGM hoặc khác có thể đã đóng một vai trò trong sự phát triển của J-20”, báo cáo nói.
Báo cáo cũng lưu ý rằng các ví dụ về “hoạt động KGM độc hại của Trung Quốc” trong năm 2012, bao gồm các cuộc tấn công thành công vào các mạng của NASA và đánh phishing các thư điện tử nhằm vào Văn phòng Quân sự của Nhà Trắng, nơi hỗ trợ trong các giao tiếp truyền thông và đi lại của tổng thống.
Các tin tặc Trung Quốc từ lâu được cho là ít phức tạp hơn so với các tin tặc Nga. Nhưng có những dấu hiệu rằng điều đó đang thay đổi. Vào tháng 1, một cuộc tấn công có cơ sở ở Trung Quốc đã nhằm vào hệ thống “chứng thực an ninh” của tiêu chuẩn Thẻ Truy cập Chung của Bộ Quốc phòng, một trong những hệ thống an ninh nhất của Lầu 5 góc. Hơn nữa, các tin tặc Trung Quốc được cho là đã sử dụng các ổ USB và các đĩa CD để thâm nhập các máy tính thuộc về Chỉ huy Hải quân Phương Đông của Ấn Độ, nó đã không có kết nối nào tới Internet. Việc thâm nhập các hệ thống vũ khí, bao gồm cả các tên lửa, tàu sân bay, thuyền và các hệ thống mặt đất là một trọng tâm của Trung Quốc, các quan chức quân sự Mỹ đã chứng thực năm nay.
The report cites China’s new J-20 stealth fighter jet as an example. Photos of the J-20 show similarities with the Lockheed Martin F-22. The photos revived “concerns that human, cyber, or other forms of espionage may have played a role in the J-20’s development,” the report says.
The report also notes other examples of “malicious Chinese cyber activity” in 2012, including successful attacks on NASA networks and spear phishing e-mails targeting the White House Military Office, which assists in presidential communications and travel.
Chinese hackers have long appeared less sophisticated than those in Russia. But there are signs that is changing. In January, a China-based attack targeted the "secure authentication" system of the Defense Department's Common Access Card standard, one of the Pentagon's most secure systems.
Moreover, Chinese hackers reportedly used thumb drives and compact discs to infiltrate computers belonging to India's Eastern Naval Command, which had no connection to the Internet. Infiltrating weapons systems, including missiles, aircraft, ships, and ground systems is a Chinese focus, US military officials testified this year.
Dịch: Lê Trung Nghĩa

Thứ Tư, 28 tháng 11, 2012

Phần mềm độc hại Narilam sửa cơ sở dữ liệu - một công cụ phá hoại các tập đoàn


Database-Modifying Malware Narilam a Corporate Sabotage Tool
Nov 26, 2012 9:58 AM EST, By Fahmida Y. Rashid
Bài được đưa lên Internet ngày: 26/11/2012
Narilam
Lời người dịch: Trích đoạn: “Narilam rất giống các sâu mạng khác, khi nó sao chép được bản thân vào các máy bị lây nhiễm, bổ sung thêm các khóa đăng ký, và nhân giống bản thân mình qua các ổ tháo lắp được và các chia sẻ mạng... Một khi các cơ sở dữ liệu bị nhắm đính được tìm ra, Narilam tìm kiếm các đối tượng và các bảng đặc thù và hoặc là xóa các bảng hoặc thay thế các khoản bằng các giá trị ngẫu nhiên. Phần mềm độc hại này “dường như được lập trình đặc biệt để gây hại cho các dữ liệu nằm bên trong cơ sở dữ liệu bị nhắm đích”... các tác giả của phần mềm độc hại đó luôn có thể sửa đổi các ví dụ đang tồn tại để tấn công các mục tiêu mới. Trong thực tế, Kaspersky Lab đã phát hiện vài biến thể khác với cùng chức năng và phương pháp nhân bản. Các tập đoàn càn chắc chắn họ duy trì các bản sao thường xuyên của các cơ sở dữ liệu và các hệ thống sống còn khác để tự bảo vệ họ khỏi dạng các tấn công này”. Xem thêm: Symantec cảnh báo phần mềm độc hại nhằm vào các cơ sở dữ liệu SQL.
Các nhà nghiên cứu đã phát hiện ra một phần mềm độc hại mới sửa đổi các cơ sở dữ liệu của các tập đòng nhằm vào các hệ thống ở Trung Đôgn, nhưng ví dụ dường như là một dạng phá hoại các tập đoàn hơn là một vũ khí không gian mạng ở phạm vi của Stuxnet.
Phần mềm độc hại này, được phát hiện vào ngày 15/11 và được Symantec đặt tên là W32.Narilam, dường như nhằm vào và sửa đổi các cơ sở dữ liệu của các tập đoàn tại Trung Đông, Shunichi Imano, một nhà nghiên cứu về an ninh của Symantecs, đã viết trên blog Symantec Connect. Nhìn thoáng qua, Narilam rất giống các sâu mạng khác, khi nó sao chép được bản thân vào các máy bị lây nhiễm, bổ sung thêm các khóa đăng ký, và nhân giống bản thân mình qua các ổ tháo lắp được và các chia sẻ mạng.
Narilam là “không bình thường” vì nó có thể cập nhất cơ sở dữ liệu Microsoft SQL qua giao thức Liên kết Đối tượng và Cơ sở dữ liệu Nhúng - OLEDB (Object Linking and Embedding Database), Imano nói. Sâu này đặc biệt nhằm vào các cơ sở dữ liệu SQL với 3 tiên phân biệt, alim, maliran và shahd. Một khi các cơ sở dữ liệu bị nhắm đính được tìm ra, Narilam tìm kiếm các đối tượng và các bảng đặc thù và hoặc là xóa các bảng hoặc thay thế các khoản bằng các giá trị ngẫu nhiên, Imano nói.
Phần mềm độc hại này “dường như được lập trình đặc biệt để gây hại cho các dữ liệu nằm bên trong cơ sở dữ liệu bị nhắm đích”, Imano viết.
Researchers have uncovered a new malware that modified corporate databases targeting Middle East systems, but the sample appears to be a form of corporate sabotage rather than a cyber-weapon on the scale of Stuxnet.
The malware, discovered Nov. 15 and dubbed W32.Narilam by Symantec, appears to be targeting and modifying corporate databases in the Middle East, Shunichi Imano, a Symantec security researcher, wrote on the Symantec Connect blog. At first glance, Narilam is very similar to other network worms, as it copies itself onto infected machines, adds registry keys, and propagates itself through removable drives and network shares.
Narilam is "unusual" because it can update Microsoft SQL databases over the Object Linking and Embedding Database (OLEDB) protocol, Imano said. The worm specifically targets SQL databases with three distinct names, alim, maliran, and shahd. Once the targeted databases are found, Narilam looks for specific objects and tables and either deletes the tables or replaces items with random values, Imano said.
The malware "appears to be programmed specifically to damage the data held within the targeted database," Imano wrote
How Big a Threat Is It?
Mối đe dọa lớn cỡ nào?
Đống các lây nhiễm tới nay đã được tìm thấy tại Trung Đông, đặc biệt tại Iran và Afghanistan, dù các lây nhiễm đã được báo cáo có cả tại Mỹ và Anh. Phần mềm độc hại này từng được tạo ra trong các năm 2009-2010, theo Đội Phân tích và Nghiên cứu Toàn cầu của Kaspersky Lab. Trong khi “khoảng 80 vụ” đã được ghi nhận trong vòng 2 năm qua, thì thực tế là chỉ 6 vụ lây nhiễm đã được báo cáo trong tháng trước, gợi ý phần mềm độc hại “có lẽ hầu như tuyệt chủng”, các nhà nghiên cứu đã viết trên SecureList.
Gauss và Flame cũng từng được phát hiện đầu năm nay nhằm vào các hệ thống tại Trung Đông. Tuy nhiên, Narilam dường như không có bất kỳ khả năng ăn cắp thông tin nào. Kaspersky Lab đã không thấy bất kỳ “sự liên kết rõ ràng nào” giữa Narilam và Duqu, Stuxnet, Flame và Gauss. Narilam đã được phát triển bằng việc sử dụng Boralnd C++ Builder 6, trong khi những con khác đã sử dụng các phiên bản khác nhau của Microsoft Visual C, theo tin trên blog.
Đội Ứng cứu Khẩn cấp Máy tính của Iran (Iran CERT) cũng đã cảnh báo đối với việc so sánh Narilam với Stuxnet, Duqu và Flame trong một tuyên bố, nói Narilam từng không phải là “một mối đe dọa lớn, cũng không là một mẩu phức tạp của phần mềm độc hại máy tính”. Nó từng trước đó được tìm thấy trong năm 2010, và dường như có khả năng làm hỏng chỉ cơ sở dữ liệu được đưa vào trong một phần mềm kế toán doanh nghiệp nhỏ được một công ty không tên tuổi của Iran phát triển, CERT nói.
“Bản chất tự nhiên đơn giản của phần mềm độc hại trông rất giống một sự thử gây hại cho uy tín của công ty phần mềm trong các khách hàng của họ”, Iran CERT nói.
Narilam không là “mối đe dọa cho những người sử dụng thông thường”, theo tuyên bố của CERT, nhưng các khách hàng của gói phần mềm đặc biệt đó nên có các bản sao lưu cơ sở dữ liệu của họ và quét các hệ thống của họ với các sản phẩm chống virus được cập nhật.
The bulk of the infections thus far have been found in the Middle East, particularly Iran and Afghanistan, although infections have been reported in the United States and the United Kingdom. The malware appeared to have been created between 2009 and 2010, according to Kaspersky Lab's Global Research and Analysis Team. While "about 80 incidents" have been recorded over the past two years, the fact that just six infections were reported in the past month suggests the malware is "probably almost extinct," the researchers wrote on SecureList.
Gauss and Flame also were discovered earlier this year targeting systems in the Middle East. However, Narilam does not appear to have any information-stealing capabilities. Kaspersky Lab did not find any "obvious connection" between Narilam and Duqu, Stuxnet, Flame, and Gauss. Narilam was developed using Borland C++ Builder 6, while the others used various versions of Microsoft Visual C, according to the post.
Iran's Computer Emergency Response Team also warned against comparing Narilam with Stuxnet, Duqu, and Flame in a statement, claiming Narilam was not "a major threat, nor a sophisticated piece of computer malware." It was previously detected in 2010, and appears able to corrupt only the database included in a small business accounting software developed by an unnamed Iranian company, CERT said.
"The simple nature of the malware looks more like a try to harm the software company reputation among their customers," Iran-CERT said.
Narilam is "not a threat for general users," according to the CERT statement, but customers of that particular software package should make backups of their database and scan their systems with updated antivirus products.
Corporate Sabotage Tool
Công cụ phá hoại các tập đoàn
Kaspersky Lab đã phát hiện một cảnh báo từ một công ty Iran tên là "TarrahSystem" kêu Narilam từng nhằm vào phần mềm của họ. Dường như là Maliran (Các ứng dụng Tài chính và Công nghiệp được tích hợp), Amin (phần mềm ngân hàng và vay nợ), và Shahd (phần mềm thương mại/tài chính tích hợp) tất cả là các sản phẩm của TarrahSystem.
Trong các cơ sở dữ liệu được nhắm đích, Narilam tìm các bảng và các đối tưowngj với các tên có liên quan tới tài chính như BankCheck, A_Sellers, và buyername. Các từ của Vịnh Persian như Pasandaz, (tiết kiệm), Hesabjari (tài khoản hiện hành) R_DetailFactoreForosh (forosh means sale), End_Hesab (hesab means account) và Vamghest (trả vay nợ) cũng nằm trong danh sách các khoản mục mà Narilam biết được.
Phần mềm độc hại đã sửa các đối tượng sau: Asnad.SanadNo (sanad có nghĩa là tài liệu), Asnad.LastNo, Asnad.FirstNo, và Pasandaz.Code, refcheck.amount, và buyername.Buyername. Narilam cũng xóa các bảng sau: A_Sellers, person, và Kalamast.
“Trừ phi có các bản sao lưu phù hợp, còn thì cơ sở dữ liệu bị lây nhiễm sẽ khó mà phục hồi được”, Imano của Symantec đã cảnh báo.
Thậm chí nếu ví dụ về phần mềm độc hại đặc biệt này không là mối đe dọa chính, thì thực tế vẫn là các tác giả của phần mềm độc hại đó luôn có thể sửa đổi các ví dụ đang tồn tại để tấn công các mục tiêu mới. Trong thực tế, Kaspersky Lab đã phát hiện vài biến thể khác với cùng chức năng và phương pháp nhân bản. Các tập đoàn càn chắc chắn họ duy trì các bản sao thường xuyên của các cơ sở dữ liệu và các hệ thống sống còn khác để tự bảo vệ họ khỏi dạng các tấn công này.
Kaspersky Lab uncovered an alert from an Iranian company named "TarrahSystem" claiming Narilam was targeting their software. It appears Maliran (Integrated Financial and Industrial Applications), Amin (Banking and Loans Software), and Shahd (Integrated Financial/Commercial Software) are all TarrahSystem products.
Within the targeted databases, Narilam looks for tables and objects with financial-related names such as BankCheck, A_Sellers, and buyername. Persian words such as Pasandaz, (savings), Hesabjari (current account) R_DetailFactoreForosh (forosh means sale), End_Hesab (hesab means account) and Vamghest (installment loans) are also on the list of terms Narilam recognizes.
The malware modified the following objects: Asnad.SanadNo (sanad means document), Asnad.LastNo, Asnad.FirstNo, and Pasandaz.Code, refcheck.amount, and buyername.Buyername. Narilam also deletes the following tables: A_Sellers, person, and Kalamast.
"Unless appropriate backups are in place, the affected database will be difficult to restore," Symantec's Imano warned.
Even if this particular malware sample winds up not being a major threat, the fact remains that malware authors can always modify existing samples to attack new targets. In fact, Kaspersky Lab uncovered several other variants with the same functionality and method of replication. Corporations need to make sure they maintain regular backups of databases and other critical systems in order to protect themselves from these kind of attacks.
Dịch: Lê Trung Nghĩa

Tài liệu về “Quản lý và bảo mật thông tin doanh nghiệp” cho chương trình đào tạo CIO trong doanh nghiệp vừa và nhỏ


Trong khuôn khổ Chương trình khóa đào tạo “Bồi dưỡng nâng cao năng lực cho lãnh đạo thông tin trong doanh nghiệp” (CIO) do Bộ Thông tin Truyền thông, Phòng Thương mại và Công nghiệp Việt Nam (VCCI) và Ngân hàng Thế giới vừa được tổ chức tại Thành phố Hạ Long, Quảng Ninh từ 25-29/11/2012, một trong những nội dung chính được đề cập tới là “Quản lý và bảo mật thông tin doanh nghiệp” dành cho các đối tượng học viên là các lãnh đạo thông tin (CIO) các doanh nghiệp vừa và nhỏ (SME).
Các học viên được cung cấp một số thông tin cảnh báo về những khả năng mất an toàn an ninh trong các hệ thống thông tin, những nguy cơ về an ninh và pháp lý khi sử dụng các phần mềm không bản quyền, cách thức chuyển đổi sang phần mềm tự do nguồn mở để tránh được các nguy cơ nêu ở trên.
Tài liệu “Quản lý và bảo mật thông tin doanh nghiệp” của chương trình lần này được chuẩn bị ở 2 dạng với các nội dung có một chút khác biệt nhau và có thể tải về theo các địa chỉ:
  1. Tài liệu trình chiếu: http://ubuntuone.com/3OmQOhnAM8f2PvYjbTC2ix
Blogger: Lê Trung Nghĩa

Thứ Ba, 27 tháng 11, 2012

Symantec cảnh báo phần mềm độc hại nhằm vào các cơ sở dữ liệu SQL


Symantec warns of malware targeting SQL databases
By Jeremy Kirk, IDG News Service
Nov 23, 2012 7:50 AM
Bài được đưa lên Internet ngày: 23/11/2012
Lời người dịch: Lại một sâu có khả năng có họ hàng với Stuxnet, đương nhiên và mặc định dành cho nền tảng Windows nữa đã được Symantec phát hiện, và lần này thì còn nguy hiểm hơn vì nó không nhằm vào việc ăn cắp tiền hay dữ liệu, mà nhằm vào việc phá hoại các cơ sở dữ liệu trong hệ quản trị cơ sở dữ liệu Microsoft SQL Server. Vài trích đoạn từ bài viết: “Thú vị là, Narilam chia sẻ một vài sự tương tự với Stuxnet ... Một khi nằm trong một máy, nó tìm kiếm các cơ sở dữ liệu Microsoft SQL. Nó sau đó săn lùng các từ đặc thù trong cơ sở dữ liệu SQL... Phần mềm độc hại này không có bất kỳ chức năng nào để ăn cắp thông tin từ hệ thống bị lây nhiễm và dường như được lập trình chuyên để gây hại cho các dữ liệu nằm bên trong cơ sở dữ liệu bị nhắm đích... Biết rằng các dạng đối tượng mà mối đe dọa này tìm kiếm, nhằm vào các cơ sở dữ liệu dường như có liên quan tới các hệ thống đặt hàng, kế toán hoặc quản lý khách hàng thuộc về các tập đoàn”. Như vậy là sau khi có phần mềm độc hại Gauss, có họ hàng với Stuxnet, Duqu, Flame - những thứ đương nhiên và mặc định cho Windows chuyên để lấy thông tin về các giao dịch ngân hàng, thì nay lại tới Narilam, nhằm vào Microsoft SQL Server. Xem thêm: Kaspersky tìm kiếm trợ giúp để phá trojan Gauss.
Symantecs đã tóm được một mẩu phần mềm độc hại kỳ cục khác dường như nhằm vào Iran và được thiết kết để chọc vào các cơ sở dữ liệu SQL.
Hãng này đã phát hiện ra phần mềm độc hại, gọi là W32.Narilam, hôm 15/11 nhưng vào thứ sáu đã đưa ra ghi chép chi tiết hơn từ Shunichi Imano. Narilam có liên quan tới một “rủi ro thấp” của hãng, nhưng theo một bản đồm đa số các lây nhiễm được tập trung ở Iran, với một ít tại Anh, nội địa Mỹ và bang Alaska.
Thú vị là, Narilam chia sẻ một vài sự tương tự với Stuxnet, phần mềm độc hại đã nhằm vào Iran từng làm đứt đoạn các khả năng tinh chế uranium của nó bằng việc can thiệp vào phần mềm công nghiệp chạy các máy li tâm của nó. Giống như Stuxnet, Narilam cũng là một sâu, lan truyền qua các ổ tháo lắp được và mạng chia sẻ tệp, Imano viết.
Một khi nằm trong một máy, nó tìm kiếm các cơ sở dữ liệu Microsoft SQL. Nó sau đó săn lùng các từ đặc thù trong cơ sở dữ liệu SQL - một số trong đó là vùng Vịnh (Persian), ngôn ngữ chính thức của Iran - và thay thế các khoản trong cơ sở dữ liệu bằng các giá trị ngẫu nhiên hoặc xóa các trường nhất định.
Một số từ bao gồm "hesabjari", có nghĩa là tài khoản hiện hành; "pasandaz," có nghĩa là tiết kiệm, và "asnad," có nghĩa là khế ước (bond) tài chính, Imano viết.
“Phần mềm độc hại này không có bất kỳ chức năng nào để ăn cắp thông tin từ hệ thống bị lây nhiễm và dường như được lập trình chuyên để gây hại cho các dữ liệu nằm bên trong cơ sở dữ liệu bị nhắm đích”, Imano viết. “Biết rằng các dạng đối tượng mà mối đe dọa này tìm kiếm, nhằm vào các cơ sở dữ liệu dường như có liên quan tới các hệ thống đặt hàng, kế toán hoặc quản lý khách hàng thuộc về các tập đoàn”.
Các khách hàng không bị nhắm đích
Các dạng cơ sở dữ liệu được Narilam tìm kiếm có khả năng không được những người sử dụng ở nhà sử dụng. Nhưng Narilam có thể là sự đau đầu cho các công ty mà sử dụng các cơ sở dữ liệu SQL nhưng không có sao lưu.
“Tổ chức bị lây nhiễm sẽ có khả năng phải chịu sự phá hoại đáng kể và thậm chí mất mát tài chính khi khôi phục lại cơ sở dữ liệu”, Imano viết. “Khi phần mềm độc hại này được nhằm vào việc phá hoại cơ sở dữ liệu bị lây nhiễm và không làm một bản sao cơ sở dữ liệu gốc trước hết, thì những gì bị lây nhiễm vì mối đe dọa này sẽ có một con đường dài để phục hồi ở phía trước đối với họ”.
Stuxnet được tin tưởng rộng rãi từng được Mỹ và Israel tạo ra với ý định làm chậm đi chương trình hạt nhân của Iran. Từ khi nó bị phát hiện vào tháng 06/2010, các nhà nghiên cứu đã liên kết nó tới các phần mềm độc hại khác, bao gồm Duqu và Flame, chỉ ra một chiến dịch gián điệp và phá hoại lâu dài đã nhắc nhở về mối quan ngại đối với các xung đột không gian mạng đang leo thang giữa các quốc gia.
Symantec has spotted another odd piece of malware that appears to be targeting Iran and is designed to meddle with SQL databases.
The company discovered the malware, called W32.Narilam, on November 15 but on Friday published a more detailed writeup by Shunichi Imano. Narilam is rated as a "low risk" by the company, but according to a map, the majority of infections are concentrated in Iran, with a few in the U.K., the continental U.S., and the state of Alaska.
Interestingly, Narilam shares some similarities with Stuxnet, the malware targeted at Iran that disrupted its uranium refinement capabilities by interfering with industrial software that ran its centrifuges. Like Stuxnet, Narilam is also a worm, spreading through removable drives and network file shares, Imano wrote.
Once on a machine, it looks for Microsoft SQL databases. It then hunts for specific words in the SQL database—some of which are in Persian, Iran's main language—and replaces items in the database with random values or deletes certain fields.
Some of the words include "hesabjari," which means current account; "pasandaz," which means savings; and "asnad," which means financial bond, Imano wrote.
"The malware does not have any functionality to steal information from the infected system and appears to be programmed specifically to damage the data held within the targeted database," Imano wrote. "Given the types of objects that the threat searches for, the targeted databases seem to be related to ordering, accounting, or customer management systems belonging to corporations."
Consumers not targeted
The types of databases sought by Narilam are unlikely to be employed by home users. But Narilam could be a headache for companies that use SQL databases but do not keep backups.
"The affected organization will likely suffer significant disruption and even financial loss while restoring the database," Imano wrote. "As the malware is aimed at sabotaging the affected database and does not make a copy of the original database first, those affected by this threat will have a long road to recovery ahead of them."
Stuxnet is widely believed to have been created by the U.S. and Israel with the intent of slowing down Iran's nuclear program. Since its discovery in June 2010, researchers have linked it to other malware including Duqu and Flame, indicating a long-running espionage and sabotage campaign that has prompted concern over escalating cyberconflict between nations.
Dịch: Lê Trung Nghĩa

Pháp bị rán: Mỹ được cho là đã thâm nhập văn phòng của Sarkozy bằng Flame


French Fried: US allegedly hacked Sarkozy's office with Flame
L'Express says members of Sarkozy's staff were targeted over Facebook.
by Sean Gallagher - Nov 22 2012, 4:10am ICT
Bài được đưa lên Internet ngày: 22/11/2012
Lời người dịch: Điện Elysee của của cựu tổng thống Pháp Nicolas Sarkozy từng bị sâu Flame (do Mỹ và Israel cùng sản xuất) tấn công hồi tháng 05/2012. “Các tin tặc đã không chỉ xoay xở để đi vào tim của sức mạnh chính trị Pháp”, L'Express nói, “mà chúng đã có khả năng tìm kiếm các máy tính của những cố vấn gần gũi của Nicolas Sarkozy”. “Một khi vào được trong intranet, sâu đó có khả năng làm việc theo cách của nó xuyên khắp mạng, cuối cùng gây lây nhiễm cho các máy tính của một số cố vấn gần gũi nhất của Sarkozy, bao gồm cả Tổng thư ký Xavier Musca. Cuộc tấn công cuối cùng từng bị dò thấy từ cơ quan an ninh máy tính của chính phủ Pháp là ANSSI... Cho tới nay, chính phủ Pháp đã không bình luận gì về các luận điệu đó, và sứ quán Mỹ tại Paris đã đưa ra một sự từ chối mạnh mẽ về sự liên can của Mỹ. Chính phủ Pháp trước đó đã khẳng định rằng Điện này từng là đích ngắm của 2 cuộc tấn công không gian mạng phạm vi rộng hồi tháng 5, nhưng đã không tiết lộ các chi tiết về chúng”. Không biết ở Việt Nam thì những loại sâu này chui được vào những đâu nhỉ, nếu biết rằng vào tháng 11/2011, Việt Nam từng đứng số 1 thế giới vì bị lây nhiễm phần mềm độc hại Enfal với 394/874 hệ thống bị lây nhiễm tại 33 quốc gia trên thế giới, có khả năng chiếm quyền kiểm soát hoàn toàn các hệ thống bị lây nhiễm. Xem thông tin này tại đây.
Tạp chí thông tin của Pháp L'Express đã nói rằng hồi tháng 05 các máy tính tại các văn phòng của tổng thống pháp khi đó là Nicolas Sarkozy đã bị Flame tấn công, phần mềm độc hại được Mỹ và Israel cùng phát triển để thu thập thông tin về chương trình hạt nhân của Iran, và rằng các nhân viên tại Điện Elysee đã chế ngự được cuộc tấn công đó. “Các tin tặc đã không chỉ xoay xở để đi vào tim của sức mạnh chính trị Pháp”, L'Express nói, “mà chúng đã có khả năng tìm kiếm các máy tính của những cố vấn gần gũi của Nicolas Sarkozy”.
Trong khi Sarkozy từng không trực tiếp bị nhằm tới - thì được L'Express cho rằng ông đã không có một máy tính cá nhân PC nào - báo cáo nói rằng “những ghi chép bí mật đã được phục hồi từ các ổ đĩa cứng, và còn cả các kế hoạch chiến lược nữa”. Các nạn nhân của cuộc tấn công được cho là đã bị nhằm đích thông qua Facebook và sau đó “spearphished” từ những kẻ tấn công, những người đã gửi đi một liên kết tới một website đã nhân bản site intranet của Elysee - một site mà đã chộp được các tên và mật khẩu của họ, và đã gây lây nhiễm cho các máy tính của họ với phần mềm độc hại. Các nguồn tin đã nói cho L'Express rằng chữ ký của phần mềm độc hại khớp với của “sâu” Flame.
Một khi vào được trong intranet, sâu đó có khả năng làm việc theo cách của nó xuyên khắp mạng, cuối cùng gây lây nhiễm cho các máy tính của một số cố vấn gần gũi nhất của Sarkozy, bao gồm cả Tổng thư ký Xavier Musca. Cuộc tấn công cuối cùng từng bị dò thấy từ cơ quan an ninh máy tính của chính phủ Pháp là ANSSI (Agence nationale de la sécurité des systèmes d'information); mạng của Điện Elysee đã bị sập vài ngày khi đội của ANSSI đã dọn sạch sâu từ các hệ thống bị lây nhiễm.
Cho tới nay, chính phủ Pháp đã không bình luận gì về các luận điệu đó, và sứ quán Mỹ tại Paris đã đưa ra một sự từ chối mạnh mẽ về sự liên can của Mỹ. Chính phủ Pháp trước đó đã khẳng định rằng Điện này từng là đích ngắm của 2 cuộc tấn công không gian mạng phạm vi rộng hồi tháng 5, nhưng đã không tiết lộ các chi tiết về chúng.
The French news magazine L'Express has reported that in May computers in the offices of France's then-president Nicolas Sarkozy were attacked by Flame, the malware jointly developed by the US and Israel to collect information on the Iranian nuclear program, and that staff at the Elysee Palace covered up the attack. "Hackers have not only managed to get to the heart of French political power," L'Express reported, "but they were able to search the computers of close advisers of Nicolas Sarkozy."
While Sarkozy was not directly targeted—it is reported by L'Express that he did not have a PC—the report claims that "secret notes were recovered from hard drives, and also strategic plans." The victims of the attack were allegedly targeted through Facebook and then "spearphished" by the attackers, who sent a link to a website that replicated the Elysee's intranet site—a site that captured their usernames and passwords, and infected their computers with malware. Sources told L'Express that the malware's signature matched that of the Flame "worm."
Once inside the intranet, the worm was able to work its way across the network, eventually infecting the computers of a number of Sarkozy's closest advisers including his Secretary-General Xavier Musca. The attack was ultimately detected by the French government's computer security agency, the Agence nationale de la sécurité des systèmes d'information (Anssi); the Elysee's network was down for several days as an Anssi team cleared the worm from infected systems.
So far, the French government has not commented on the allegations, and the US embassy in Paris has issued a strong denial of US involvement. The French government had previously confirmed that the Palace was the target of two large-scale cyber-attacks in May, but had not disclosed details of them.
Dịch: Lê Trung Nghĩa

Thứ Hai, 26 tháng 11, 2012

Chính phủ Phần Lan nên làm cho phần mềm sẵn sàng như nguồn mở


'Finnish government should make software available as open source'
Submitted by Gijs HILLENIUS on November 21, 2012
Bài được đưa lên Internet ngày: 21/11/2012
Chính phủ Phần Lan sẽ làm cho tất cả các phần mềm được phát triển cho các cơ quan hành chính nhà nước sẵn sàng như nguồn mở, các đại diện của các doanh nghiệp nguồn mở nước này nói. Trung tâm của Phần Lan về các Giải pháp và Hệ thống Mở đầu tháng này đã đưa ra một bức thư cho Bộ Tài chính. Họ gợi ý Bộ này đưa nguyên tắc này vào trong chiến lược mới về CNTT-TT.
The government of Finland should make all software developed for public administrations available as open source, say representatives of the country's open source businesses. The Finnish Centre for Open Systems and Solutions earlier this month delivered a letter to the Ministry of Finance. They suggest the Minstry includes this principle in its new ICT strategy.
Lời người dịch: Chính phủ Phần Lan sẽ làm cho tất cả các phần mềm được phát triển cho các cơ quan hành chính nhà nước sẵn sàng như nguồn mở, các đại diện của các doanh nghiệp nguồn mở nước này nói. “Khi các tiền của nhà nước được sử dụng để mua công việc phát triển phần mềm, thì hợp đồng đó nên chắc chắn rằng người tiêu dùng sẽ có được đủ sự truy cập rộng rãi tới phần mềm để phát triển được tiếp tục từ các lập trình viên nội bộ hoặc từ một bên thứ 3. (như một vấn đề về nguyên tắc) các phần mềm và các thành phần phần mềm được cấp vốn nhà nước sẽ được xuất bản theo một giấy phép nguồn mở”. Một trong những tác giả của bức thư, Matti Saastamoinen, bình luận: “Giống như đã được quyết định gần đây của Vương quốc Anh, chúng tôi muốn chính phủ sử dụng các tiêu chuẩn mở để đạt được tính tương hợp. Và, giống như Vương quốc Anh, nó sẽ tính tới toàn bộ vòng đời của phần mềm, bao gồm cả các chi phí thoát ra”.
Hiệp hội này viết: “Khi các tiền của nhà nước được sử dụng để mua công việc phát triển phần mềm, thì hợp đồng đó nên chắc chắn rằng người tiêu dùng sẽ có được đủ sự truy cập rộng rãi tới phần mềm để phát triển được tiếp tục từ các lập trình viên nội bộ hoặc từ một bên thứ 3. (như một vấn đề về nguyên tắc) các phần mềm và các thành phần phần mềm được cấp vốn nhà nước sẽ được xuất bản theo một giấy phép nguồn mở”.
Một trong những tác giả của bức thư, Matti Saastamoinen, bình luận: “Giống như đã được quyết định gần đây của Vương quốc Anh, chúng tôi muốn chính phủ sử dụng các tiêu chuẩn mở để đạt được tính tương hợp. Và, giống như Vương quốc Anh, nó sẽ tính tới toàn bộ vòng đời của phần mềm, bao gồm cả các chi phí thoát ra”.
Tổ chức này, đại diện cho 110 nhà cung cấp dịch vụ CNTT nguồn mở, đã cùng đưa ra 3 lý lẽ lên Otakantaa, một diễn đàn trên web do chính phủ quản lsy cho những thảo luận về các chính sách và các chính sách phác thảo.
Chiến lược CNTT-TT mới cho các cơ quan nhà nước từng được làm công khai hôm 17/10 từ Bộ trưởng Hành chính Nhà nước và Chính phủ Địa phương Phần Lan, Henna Virkkunen. Nhóm này khen ngợi Bộ trưởng về các kế hoạch mới. “Việc tính tới 3 lưu ý đó, chúng tôi tin tưởng nó là một phác thảo tốt”.
Nguồn mở không được nhắc tới ở bất kỳ đâu trong chính sách đó. Tuy nhiên, bản phác thảo viết rằng “Tất cả các nhà chức trách của khu vực nhà nước, ở những nơi áp dụng được, sử dụng các giải pháp và các dịch vụ chung đang tồn tại”. Bộ này trong các tuần trước đó còn chưa trả lời cho các câu hỏi liệu điều này cho tham chiếu tới các phần mềm nguồn mở hay không.
The association writes: "When public funds are used to purchase software development work, the contract should make sure that the customer will get sufficiently broad access to the software for further development by internal developers or by a third party. (As a matter of principle,) publicly funded software and software components should be published under an open source license"
One of the authors of the letter, Matti Saastamoinen, comments: "Like was decided recently by the United Kingdom, we want the government to use open standards to achieve interoperability. And, like in the United Kingdom, it should take into account the full software life cycle, including exit costs."
The organisation, representing 110 open source IT service providers, posted the same three argument on Otakantaa, a government-run web forum for the discussion of policies and draft policies.
The new ICT strategy for public administrations was made public on 17 October by the Finnish Minister of Public Administration and Local Government, Henna Virkkunen. The group compliments the Minister on the new plans. "Taking into account these three remarks, we believe it is a good draft."
Open source is not mentioned anywhere in the strategy. However, the draft does write that "All public sector authorities must, where applicable, use existing open solutions and joint services." The ministry in the past weeks did not yet respond to questions if this refers to open source software.
Dịch: Lê Trung Nghĩa

Các cơ quan hành chính Bourgogne góp các tài nguyên CNTT và ưu tiên nguồn mở


Bourgogne administrations pool IT resources and prefer open source
Submitted by Gijs HILLENIUS on November 21, 2012
Bài được đưa lên Internet ngày: 21/11/2012
Số lượng các cơ quan hành chính nhà nước đang gia tăng tại vùng Bourgongne của Pháp ưu tiên sử dụng các giải pháp phần mềm nguồn mở để cung cấp các dịch vụ chính phủ điện tử. “Việc lôi kéo các đầu tư về CNTT cho phép chúng tôi hiện đại hóa chính phủ, cải thiện tính truy cập các dịch vụ và các kết quả của chúng tôi trong tiết kiệm đáng kể”, Louis-François Fléri, giám đốc dự án e-Bourgogne nói.
A growing number of public administrations in the French region of Bourgogne prefer to use open source software solutions to provide electronic government services. "Pooling our IT investments allows us to modernise the government, improve accessibility of our services and results in significant savings", says Louis-François Fléri, director of the e-Bourgogne project.
Ưu tiên cho phần mềm nguồn mở (PMNM) là một trong những nguyên tắc của dự án 9 năm tuổi về chính phủ điện tử (CPĐT), Fléri nói trong một bài trình bày gần đây. Các dịch vụ CNTT của dự án này được nhiều hiệp hội nhà nước và các cơ quan hành chính nhà nước sử dụng, bao gồm hơn 38% tổng số 2046 đô thị trong vùng. Các thành viên trả một phí, phụ thuộc vào kích cỡ của tổ chức nhà nước: “Một đô thị với 100 người sống trả 81 euro mỗi năm và một thành phố với 25.000 dân trả 18.000 euro”.
Việc lôi kéo các tài nguyên của họ làm cho những người tham gia truy cập được tới một dải các dịch vụ. Những ví dụ bao gồm sự dễ dàng chỉnh sửa phần mềm cho việc tạo và quản lý các website, các giải pháp quản lý tài liệu trực tuyến, các dịch vụ mẫu biểu tài liệu điện tử và các ứng dụng sử dụng thông tin bản đồ. Nó thậm chí bao gòm các giải pháp cho phép những người sử dụng trả tiền cho các dịch vụ trực tuyến và cho việc tổ chức các hội nghị video. “Bằng cách làm việc cùng nhau”, Fléri nói, “chúng tôi đảm bảo rằng các dịch vụ của chúng tôi là tương hợp được”.
Trong số các ứng dụng nguồn mở được sử dụng cho dự án e-Bourgogne là cổng web Lutece, hệ quản trị cơ sở dữ liệu MySQL và máy chủ ứng dụng Tomcat Java. Dự án cũng sử dụng Jasper để phân tích và báo cáo và Spiral Connect, một công cụ học tập điện tử.
Giám đốc Fléri của e-Bourgogne đã nói về dự án tại Montpellier hôm 21/09. Ông từng là một trong các diễn giả tại hội nghị kỷ niệm 10 năm của Adullact nền tảng cho các công chức dân sự Pháp làm việc trong phần mềm tự do nguồn mở.
A preference for open source software is one of the principles of the nine-year-old e-government project, Fléri said in a recent presentation. The project's IT services are used by many public associations and public administrations, including over 38 percent of the total of 2046 municipalities in the region. Members pay a fee, depending on the size of the public organisation: "A municipality with a hundred inhabitants pays 81 euro per year and a city with 25,000 inhabitants pays 18,000 euro."
Pooling their resources gives the participants access to a range of services. Examples include easy to tailor software for creating and managing web sites, online document management solutions, electronic document forms services and applications that use geographic information. It even includes solutions to allow users to pay for services online and for organising video-conferences. "By working together", Fléri says, "we ensure that our services are interoperable."
Among the open source applications used for the e-Bourgogne project are the Lutece web portal, the Mysql database management system and the Tomcat Java application server. The project also uses Jasper for analysis and reporting and Spiral Connect, an e-learning tool.
E-Bourgogne director Fléri talked about the project in Montpellier on 21 September. He was one of the speakers at the conference celebrating the 10-year anniversary of Adullact, the platform for French civil servants working on free and open source software.
Dịch: Lê Trung Nghĩa

Chủ Nhật, 25 tháng 11, 2012

Chính phủ Bồ Đào Nha áp dụng ODF như là định dạng tài liệu soạn thảo được duy nhất


Portuguese Government Adopts ODF as Sole Editable Document Format
Monday, November 19 2012 @ 05:26 PM CST
Contributed by: Andy Updegrove
Bài được đưa lên Internet ngày: 19/11/2012
Lời người dịch: Bồ Đào Nha đã chính thức phê chuẩn sử dụng 1 tiêu chuẩn định dạng tài liệu soạn thảo được duy nhất. Đó là định dạng tài liệu mở ODF. “Tuyên bố này là theo một luật được Nghị viện Bồ Đào Nha thông qua hôm 21/06 năm ngoái yêu cầu tuân thủ với các tiêu chuẩn mở (như được xác định trong cùng pháp luật đó) trong mua sắm các hệ thống thông tin của chính phủ và khi trao đổi các tài liệu tại các website chính phủ giao tiếp với các công dân (một bản dịch tiếng Anh không chính thức có ở đây)”.
Theo một thông cáo báo chí được phát hành hôm nay từ Hiệp hội Doanh nghiệp Nguồn Mở Bồ Đào Nha (được làm lại đầy đủ ở cuối của blog http://www.consortiuminfo.org/), chính phủ Bồ Đào Nha đã quyết định áp dụng chỉ một định dạng tài liệu duy nhất dựa vào XML để sử dụng trong chính phủ, và trong mua sắm nhà nước. Và đó không phải là định dạng OOXML.
Thay vào đó, chính phủ Bồ Đào Nha đã lựa chọn ODF, Định dạng Tài liệu Mở, cũng như PDF và một số định dạng và giao thức khác, bao gồm XML, XMPP, IMAP, SMTP, CALDAV và LDAP. Tuyên bố này là theo một luật được Nghị viện Bồ Đào Nha thông qua hôm 21/06 năm ngoái yêu cầu tuân thủ với các tiêu chuẩn mở (như được xác định trong cùng pháp luật đó) trong mua sắm các hệ thống thông tin của chính phủ và khi trao đổi các tài liệu tại các website chính phủ giao tiếp với các công dân (một bản dịch tiếng Anh không chính thức có ở đây).
According to a press release issued today by the Portuguese Open Source Business Association (reproduced in full at the end of this blog entry), the government of Portugal has decided to approve a single editable, XML-based document format for use by government, and in public procurement.  And that format is not OOXML.
Instead, the Portuguese government has opted for ODF, the OpenDocument Format, as well as PDF and a number of other formats and protocols, including XML, XMPP, IMAP, SMTP, CALDAV and LDAP. The announcement is in furtherance of a law passed by the Portuguese Parliament on June 21 of last year requiring compliance with open standards (as defined in the same legislation) in the procurement of government information systems and when exchanging documents at citizen-facing government Web sites (an unofficial English translation is here).
Dịch: Lê Trung Nghĩa

Những người bảo vệ nguồn mở khuyến cáo các nhà chức trách Đức xuất bản mã nguồn


Advocates of open source recommend German authorities to publish code
Submitted by Gijs HILLENIUS on November 08, 2012
Bài được đưa lên Internet ngày: 08/11/2012
Các nhà chức trách liên bang Đức nên tìm các cách thức xuất bản mã nguồn các ứng dụng phần mềm mà họ phát triển hoặc được phát triển cho họ, những người bảo vệ phần mềm tự do nguồn mở từ khắp châu Âu khuyến cáo. Việc làm cho mã nguồn như vậy sẵn sàng như nguồn mở giúp tiết kiệm tiền và các công dân nên được cho phép nghiên cứu, chia sẻ và thúc đẩy các phần mềm như vậy. Nghị viện Đức được thúc giục loại bỏ những hạn chế trong luật ngân sách liên bang.
The German federal authorities should find ways to publish the code of software applications that they develop or that are developed for them, recommend advocates of free and open source from across Europe. Making such code available as open source helps to save money and citizens should be allowed to study, share and improve such software. The German parliament is urged to remove the restrictions in the federal budget law.
Lời người dịch: “Các nhà chức trách liên bang Đức nên tìm các cách thức xuất bản mã nguồn các ứng dụng phần mềm mà họ phát triển hoặc được phát triển cho họ, những người bảo vệ phần mềm tự do nguồn mở từ khắp châu Âu khuyến cáo. Việc làm cho mã nguồn như vậy sẵn sàng như nguồn mở giúp tiết kiệm tiền và các công dân nên được cho phép nghiên cứu, chia sẻ và thúc đẩy các phần mềm như vậy. Nghị viện Đức được thúc giục loại bỏ những hạn chế trong luật ngân sách liên bang... Việc chia sẻ mã nguồn như là nguồn mở làm giảm các chi phí duy trì, Manuel Velardo, giám đốc Cenatic, trung tâm tài nguyên nguồn mở quốc gia Tây Ban Nha, nói. “Những người đóng thuế khắp châu Âu nên có được sự truy cập tới các tài sản phần mềm mà họ cung cấp tài chính”. Việc chia sẻ mã nguồn như nguồn mở sẽ cho phép những người khác đổi mới mã nguồn và nó có thể giúp làm giảm các chi phí duy trì tới 85%. “Thứ tốt nhất họ có thể làm là xuất bản nó với một giấy phép nguồn mở”... Các nền hành chính nhà nước sẽ là tốt hơn khi cung cấp sự truy cập mở tới các dữ liệu, và nên không bỏ phí các tài nguyên trong việc phát triển các ứng dụng sở hữu độc quyền, Roberto Di Cosmo, giáo sư khoa học máy tính tại Đại học Paris Diderot VII, nói. “Vai trò của hành chính nhà nước là để cung cấp sự truy cập không bị xiềng xích đối với các dữ liệu và thủ tục cho tất cả các công dân”.
Những người bảo vệ phần mềm tự do nguồn mở châu Âu đã bình luận về một quyết định của Bộ Tài chính Đức, không làm cho sẵn sàng như nguồn mở mã nguồn của 3 ứng dụng đang là sẵn sàng một cách công khai cho những người sử dụng các điện thoại thông minh và các máy tính bảng.
Karsten Gerloff, chủ tịch của Quỹ Phần mềm Tự do châu Âu, nói: “Các công dân đã trả tiền cho sự phát triển phần mềm này thông qua các khoản thuế của họ. Vì thế các công dân nên có khả năng không chỉ sử dụng các phần mềm này, mà còn nghiên cứu, chia sẻ và cải tiến nó”.
Ông nói các nhà chức trách Đức nên phát hành một cách mặc định mã nguồn phần mềm như vậy. “Điều đó có thể là cách có hiệu quả nhất cho Bộ để chia sẻ chúng với những cơ quan nhà nước khác. Đây là thực tế tiêu chuẩn rồi tại những nước khác”.
Những người đóng thuế
Gerloff đã thúc giục nghị viện châu Âu loại bỏ các hạn chế. “Qui định này rõ ràng không nhận thức được vè phần mềm tự do trong đầu. Khi nói về Phần mềm Tự do, hạn chế này vừa đắt giá vừa không cần thiết. Việc phát hành các chương trình của khu vực nhà nước như là phần mềm tự do là cách tốt nhất để làm cho những sản phẩm được những người đóng thuế là sẵn sàng cho tất cả các công dân và công ty một cách công bằng”.
Việc chia sẻ mã nguồn như là nguồn mở làm giảm các chi phí duy trì, Manuel Velardo, giám đốc Cenatic, trung tâm tài nguyên nguồn mở quốc gia Tây Ban Nha, nói. “Những người đóng thuế khắp châu Âu nên có được sự truy cập tới các tài sản phần mềm mà họ cung cấp tài chính”. Việc chia sẻ mã nguồn như nguồn mở sẽ cho phép những người khác đổi mới mã nguồn và nó có thể giúp làm giảm các chi phí duy trì tới 85%. “Thứ tốt nhất họ có thể làm là xuất bản nó với một giấy phép nguồn mở”.
Các nền hành chính nhà nước sẽ là tốt hơn khi cung cấp sự truy cập mở tới các dữ liệu, và nên không bỏ phí các tài nguyên trong việc phát triển các ứng dụng sở hữu độc quyền, Roberto Di Cosmo, giáo sư khoa học máy tính tại Đại học Paris Diderot VII, nói. “Vai trò của hành chính nhà nước là để cung cấp sự truy cập không bị xiềng xích đối với các dữ liệu và thủ tục cho tất cả các công dân”.
Di Cosmo chỉ ra tiếp cận được nhà chức trách giao thông công cộng thực hiện tại Portland, Oregon. “Nhờ chính sách dữ liệu mở của Trimet, những người đi làm bằng vé tháng vùng Portland bây giờ truy cập được tới 50 ứng dụng, phục vụ cho các như cầu khác nhau, và hỗ trợ một loạt các máy di động đầu cuối, cũng như sự truy cập web truyền thống; và tất cả điều này, với chi phí bằng 0 cho người đóng thuế”.
European advocates of free and open source commented on a decision by the German Finance Ministry, to not make available as open source the code of three applications that are publicly available for users of smart phones and tablet computers.
Karsten Gerloff, president of the Free Software Foundations Europe, said: "Citizens have paid for the development of this software through their taxes. So citizens should be able to not only use this software, but also to study, share and improve it."
He says German authorities should by default release such software code. "That would be the most efficient way for the Ministry to share them with other public bodies. It is already standard practice in other countries."
Taxpayers
Gerloff urged the German parliament to remove the restrictions. ""This rule clearly wasn't conceived with free software in mind. When it comes to Free Software, this restriction is both costly and unnecessary. Releasing public-sector programs as free software is the best way to make these taxpayer-financed products available to all citizens and companies on an equal basis."
Sharing the code as open source reduces maintenance costs, says Manuel Velardo, the director of Cenatic, Spain's national resource centre on open source. "Tax-payers across Europe should get access to the software assets that they finance." Sharing the code as open source will allow others to innovate the code and it can help to reduce maintenance costs by as much as 85 per cent. "The best thing they can do is publish it with an open source licence."
Public administrations are better of providing open access to the data, and should not waste resources on developing proprietary applications, says Roberto Di Cosmo, computer science professor at the Université Paris Diderot VII. "The role of the public administration is to provide unfettered access to public data and procedures for all the citizens."
Di Cosmo points to the approach taken by the public transport authority in Portland, Oregon. "Thanks to Trimet's open data policy, Portland's area commuters have now access to 50 applications, catering to different needs, and supporting a variety of mobile terminals, as well as traditional web access; and all this, at zero cost for the taxpayer."
Dịch: Lê Trung Nghĩa

Thứ Năm, 22 tháng 11, 2012

Khía cạnh pháp lý của OER


Tiếp theo bài kỳ trước, giới thiệu “Những khái niệm cơ bản liên quan tới tài nguyên giáo dục mở” (OER) trên Tin học & Đời sống số tháng 10/2012, bài kỳ này tiếp tục mạch các câu hỏi liên quan tới khía cạnh pháp lý của bản thân OER và những quan tâm có khả năng của những người tham gia sáng tạo OER.
1. LIỆU TÔI CÓ NÊN LO LẮNG VỀ VIỆC 'VỨT BỎ' SỞ HỮU TRÍ TUỆ CỦA TÔI?
[Chưa chắc lý do nằm ở sự lo mất các quyền sở hữu trí tuệ, mà có thể nằm ở sự yếu kém về tri thức chuyên môn và chất lượng của các tư liệu giáo dục và sự sợ hãi của các tác giả khi các tư liệu đó được đưa ra ánh sáng của sự soi xét ngang hàng giữa các đồng nghiệp và học viên của họ một cách rộng rãi].
Một lo lắng chính đối với các nhà giáo dục và các nhà quản lý cao cấp của các viện trường trong giáo dục về khái niệm OER có liên quan tới việc 'vứt bỏ' sở hữu trí tuệ, với sự mất mát tiềm tàng lợi lộc thương mại có thể tới từ đó. Điều này thường được kết hợp với sự băn khoăn có liên quan tới việc những người khác sẽ lợi dụng ưu thế một cách không công bằng về sở hữu trí tuệ, hưởng lợi bằng việc bán nó, ăn cắp nó (như, truyền nó đi như là tác phẩm của riêng họ), hoặc khai thác nó. Những lo lắng đó là hoàn toàn có thể hiểu được.
Trong một số trường hợp, tất nhiên, khi các nhà giáo dục đưa ra mối lo lắng này, thì thực sự nó đánh dấu một mối lo khác - đó là, việc chia sẻ các tư liệu giáo dục của họ sẽ mở tác phẩm của họ ra cho sự soi xét kỹ lưỡng của những người đồng cấp của họ (và những người đồng cấp của họ có thể xem tác phẩm của họ là có chất lượng kém). Liệu có hay không mối lo đó được chứng minh, điều quan trọng phải xác định được động lực thực sự của các mối lo đó của các nhà giáo dục là gì. Khi mối lo đó là sự mất mát cơ hội thương mại, thì điều này đòi hỏi một câu trả lời đặc biệt (liên quan tới những động lực cho việc chia sẻ). Nhưng khi điều này đang ngụy trang cho một mối lo về sự soi xét kỹ lưỡng của các đồng nghiệp và học viên, thì nó cần phải được làm theo cách khác (thường sẽ có liên quan tới một số chính sách hoặc động lực quản lý để vượt qua được sự kháng cự để thay đổi).
Khi ngày càng có nhiều viện trường hơn trên thế giới, ở các mức độ khác nhau, đang đòi hỏi các nhà giáo dục của họ chia sẻ các tư liệu nhiều hơn theo các giấy phép mở, thì các kinh nghiệm rõ ràng thể hiện rằng việc mở sở hữu trí tuệ ra cho soi xét kỹ lưỡng ngang hàng đang có tác động cải thiện chất lượng các tư liệu dạy và học. Điều này xảy ra cả vì các nhà giáo dục có xu hướng đầu tư thời gian vào việc cải thiện các tư liệu của họ trước khi chia sẻ chúng cởi mở và cả vì những ý kiến phản hồi họ nhận được từ sự soi xét kỹ lưỡng của các đồng nghiệp và học viên sẽ giúp cho họ thực hiện những cải tiến tiếp theo.
Trong khi một tỷ lệ phần trăm nhỏ các tư liệu dạy và học có thể - và sẽ tiếp tục - tạo ra doanh số thông qua bán hàng trực tiếp, thì thực tế từng luôn là tỷ lệ phần trăm các tư liệu dạy và học có giá trị thương mại bán lại là tối thiểu; cũng có sự suy giảm tiếp khi ngày càng nhiều hơn tư liệu giáo dục được làm cho tự do truy cập được trên Internet. Nhiều nội dung mà trước đó có khả năng bán được sẽ đánh mất giá trị kinh tế của nó trong khi nơi để bán các nội dung giáo dục chung chung có lẽ sẽ trở thành được chuyên biệt hóa hơn.
Tuy nhiên, nếu tài nguyên thực sự có tiềm năng sẽ được khai thác cho lợi lộc thương mại thông qua bán tài nguyên đó, thì nó sẽ vẫn có khả năng - và được khuyến khích - đối với một nhà giáo dục (hoặc một viện trường) để giữ lại bản quyền dạng tất cả các quyền được lưu giữ đối với tài nguyên đó. Các chính sách về quyền sở hữu trí tuệ (IPR) và bản quyền cho giáo dục cần phải là đủ mềm dẻo để cho phép nhà giáo dục và/hoặc viện trường giữ lại bản quyền dạng tất cả các quyền được giữ lại cho những tài nguyên có giá trị thương mại tiềm tàng đó.
Ngày càng trở nên hiển nhiên rằng, ở phía dạy và học, các viện trường giáo dục từng đã thành công chắc đúng là chủ yếu làm như vậy bằng việc hiểu rằng giá trị giáo dục tiềm tàng thực sự của họ nằm không phải trong bản thân nội dung (mà ngày càng có sẵn với số lượng lớn trên trực tuyến), mà trong khả năng của họ để chỉ dẫn cho các học viên một cách có hiệu quả thông qua các tài nguyên giáo dục với các đường hướng dạy và học được thiết kế tốt, đưa ra được sự hỗ trợ có hiệu quả cho các học viên (bất kể đó là trong các khóa thực hành, các sách hướng dẫn, các buổi phụ đạo cá nhân hay trên trực tuyến), và đưa ra đánh giá tri thức và ý kiến phản hồi có giá trị cho các học viên trong trình bày của họ (cuối cùng dẫn tới một số hình thức công nhận). Dù điều này dường như là phản trực giác, vì thế, khi các mô hình kinh doanh được thay đổi bằng sự hiện diện của công nghệ thông tin và truyền thông (CNTT-TT), ngày càng nhiều viện trường khác sử dụng các tư liệu của họ, thì điều này sẽ càng phục vụ nhiều hơn để xây dựng uy tín của viện trường và vì thế lôi cuốn được các học viên mới.
Đưa ra điều này, điều quan trọng cho những người nắm giữ bản quyền các tư liệu giáo dục xem xét thận trọng những lợi ích thương mại mà họ có thể thấy được trong việc chia sẻ các tư liệu của họ một cách cởi mở. Tất nhiên, những lợi ích ban đầu của việc khai thác OER nên là giáo dục, nhưng vấn đề chia sẻ nội dung cởi mở cũng có thể được xem như một chiến lược để bảo vệ bản thân theo một cách thức thương mại.
Những lợi ích sau có thể sinh ra từ việc chia sẻ nội dung theo một giấy phép mở:
  • Khi các nội dung được số hóa có thể thật dễ dàng được chia sẻ giữa các học viên và viện trường, thì việc chia sẻ nó một cách công khai theo một giấy phép mở là cách an toàn nhất để bảo vệ IPR và bản quyền của tác giả; giấy phép có thể đảm bảo rằng, khi nội dung được chia sẻ, thì nó giữ lại được sự ghi nhận công cho tác giả gốc ban đầu. Việc chia sẻ cởi mở nội dung có thể phát hiện ra sự ăn cắp nhanh chóng hơn, bằng việc làm cho các tư liệu gốc ban đầu đó dễ dàng truy cập hơn. Hơn nữa, việc phát hành các tư liệu theo một giấy phép mở cũng làm giảm động lực đối với những người khác nói dối về nguồn của các tư liệu vì họ có phép để sử dụng chúng.
  • Việc chia sẻ các tư liệu cung cấp các cơ hội cho viện trường đưa ra thị trường các dịch vụ của họ. Các viện trường giáo dục mà thành công về kinh tế trong một môi trường nơi mà nội dung đã và đang được số hóa nhiều và ngày càng dễ dàng để truy cập trên trực tuyến có lẽ đúng đã làm như vậy vì họ hiểu được rằng giá trị giáo dục tiềm tàng thực sự của họ nằm không phải trong bản thân nội dung, mà trong việc đưa ra các dịch vụ có liên quan được các học viên của họ đánh giá. Những thứ đó có thể bao gồm: việc chỉ dẫn có hiệu quả cho các học viên thông qua các tài nguyên giáo dục (thông qua các đường hướng dạy và học được thiết kế tốt); đưa ra sự hỗ trợ có hiệu quả cho các học viên (như các khóa thực hành, các sách hướng dẫn, các buổi phụ đạo cá nhân hoặc trên trực tuyến); và đưa ra sự đánh giá tri thức và ý kiến phản hồi có giá trị cho các học viên về sự trình bày của họ (cuối cùng dẫn tới một số hình thức công nhận). Trong môi trường đó, càng nhiều viện trường khác sử dụng các tư liệu của họ, thì điều này sẽ càng phục vụ nhiều hơn để xây dựng uy tín của viện trường và vì thế lôi cuốn được các học viên mới.
  • Đối với cá nhân các nhà giáo dục, những động lực thương mại phù hợp hơn cho việc chia sẻ nội dung cởi mở có lẽ đúng nhất sẽ tuôn chảy khi các viện trường có các chính sách tưởng thưởng cho các hoạt động như vậy một cách phù hợp. Cho tới nay, nhiều chính sách quốc gia và viện trường và khung ngân sách đã có xu hướng, tệ nhất, là cá nhân hóa sự cộng tác và chia sẻ cởi mở tri thức (bằng việc loại bỏ những luồng doanh thu có khả năng khi tri thức được chia sẻ cởi mở) hoặc, tốt nhất, là phớt lờ nó (như nhiều trường đại học làm bằng việc tưởng thưởng cho xuất bản phẩm nghiên cứu hơn là những theo cách thức khác). Vì thế, đối với hầu hết các nhà giáo dục, động lực nằm trong việc thay đổi các chính sách và các khung ngân sách của viện trường và quốc gia sao cho chúng tưởng thưởng cho sự cộng tác và chia sẻ cởi mở tri thức.
  • Thậm chí nếu các chính sách và các khung ngân sách của các viện trường và quốc gia không tưởng thưởng cho sự cộng tác và chia sẻ cởi mở tri thức, thì vẫn còn có những động lực cho những nhà giáo chia sẻ cởi mở các tài nguyên của họ. Các giấy phép mở tối đa hóa khả năng chia sẻ nội dung đang diễn ra theo một cách thức minh bạch bảo vệ cho các quyền đạo đức của các tác giả của các nội dung. Hơn nữa, những người mà đang tìm cách rung hàng rào, bảo vệ, và ẩn dấu các nội dung và nghiên cứu giáo dục của họ có lẽ đúng là sẽ đặt ra những hạn chế trong chính sự nghiệp giáo dục của chính họ. Họ cũng sẽ ngày càng bị loại trừ khỏi các cơ hội để cải thiện thực tiễn dạy học và tri thức đặc thù theo lĩnh vực của họ qua việc chia sẻ và cộng tác với các mạng của các nhà giáo dục đang gia tăng trên khắp thế giới. Những người chia sẻ các tư liệu cởi mở đã có được rồi các cơ hội đáng kể để xây dựng uy tín của riêng họ thông qua các phương tiện trực tuyến (dù, tất nhiên, với mức độ mà ở đó họ quản lý điều này sẽ vẫn phụ thuộc vào chất lượng của những gì họ đang chia sẻ).
2. OER CÓ THỰC SỰ LÀ TỰ DO?
Vấn đề về quyền tự do và định nghĩa của nó từng được tranh luận rộng rãi khi nói về các giấy phép mở, có khả năng đáng kể nhất trong môi trường phần mềm tự do nguồn mở (PMTDNM). Những định nghĩa của PMTDNM chỉ ra 4 quyền tự do (http://www.gnu.org/philosophy/free-sw.html):
  • Tự do chạy chương trình, vì bất kỳ mục đích gì (tự do 0).
  • Tự do nghiên cứu cách mà chương trình làm việc, và áp dụng nó cho các nhu cầu của bạn (tự do 1).
  • Tự do phân phối lại các bản sao sao cho bạn có thể giúp được người hàng xóm của bạn (tự do 2).
  • Tự do cải tiến chương trình, và phát hành các cải tiến của bạn cho công chúng, sao cho toàn bộ cộng đồng hưởng lợi (tự do 3).
Những cân nhắc tương tự áp dụng khi xem xét các giấy phép cho OER. Tuy nhiên, có chiều đặc thù khác của 'tự do' OER mà đảm bảo cho thảo luận rõ ràng, và đó là lưu ý về chi phí. Nhiều người khởi xướng OER viện lý rằng lợi ích chủ chốt của nội dung mở là vì nó là 'tự do' (như, nó không lấy bất kỳ chi phí nào để tải về - đặt sang bên các chi phí băng thông, tất nhiên - và sử dụng). Điều này là đúng theo nghĩa đen: theo định nghĩa, nội dung mở có thể được chia sẻ với những người khác mà không phải hỏi xin phép và không phải trả các phí giấy phép. Tuy nhiên, những khẳng định đơn giản hóa rằng OER là tự do - và mở rộng ra rằng sử dụng OER sẽ cắt giảm các chi phí phân phối giáo dục - là che đi một số cân nhắc quan trọng về chi phí.
Các viện trường giáo dục mà nghiêm túc về dạy và học sẽ cần đảm bảo rằng việc họ tiêu tốn nhân lực và những chi phí khác có liên quan phản ánh một nỗ lực bền vững để đầu tư trong việc tạo ra các môi trường dạy và học có hiệu quả hơn cho các học viên của họ. Điều này sẽ đòi hỏi sự đầu tư, trong số những điều khác, những thứ sau đây:
  • Phát triển và cải tiến chương trình giảng dạy.
  • Thiết kế khóa học và chương trình liên tục.
  • Lên kế hoạch cho các phiên liên lạc với các học viên.
  • Phát triển và mua sắm các tư liệu dạy và học có chất lượng.
  • Thiết kế các hoạt động đánh giá có hiệu quả.
Nhiều viện trường giáo dục còn chưa tiến hành các đầu tư như vậy theo một cách thức có kế hoạch và có chủ tâm, mà điều đó là một phần cơ bản của chức năng cốt lõi của họ.
Như vậy, cách mà điều này có liên quan tới OER là thế nào? Khi các viện trường giáo dục ra các quyết định chiến lược để gia tăng các mức đầu tư của họ, thì cách có hiệu quả nhất về chi phí để làm điều này là ôm lấy các môi trường cấp phép mở và khai thác OER đang tồn tại.
Vì thế, cam kết với OER ngụ ý đầu tư gia tăng trong việc dạy và học, mà những hứa hẹn để gia tăng hiệu quả và năng suất của các đầu tư đó bằng việc cung cấp các cách thức mới để phát triển các chương trình, các khóa học và tư liệu tốt hơn. Điều quan trọng, điều này ngụ ý một tiếp cận hướng nhu cầu đối với OER, nơi mà lý do cơ bản ban đầu cho việc ôm lấy các môi trường cấp phép mở không phải là để đưa ra một vốn trí tuệ của riêng một viện trường, mà là để lôi cuốn sự giàu có đang gia tăng của OER cởi mở có sẵn để cải thiện chất lượng dạy và học của riêng viện trường đó.
Việc nắm lấy một tiếp cận theo nhu cầu có thể được chứng minh cho những cải tiến chất lượng có thể tuôn chảy từ đó. Hơn nữa, tiếp cận này đối với sự phát triển các tư liệu là có hiệu quả về chi phí. Ưu thế xa hơn là, như một sự rõ ràng của sản phẩm, nó sẽ thường dẫn tới những chỉ dẫn bắt đầu để chia sẻ tỷ lệ phần trăm đang gia tăng các tư liệu giáo dục của riêng họ trên trực tuyến, được phát hành theo một giấy phép mở. Hầu hết các viện trường và các nhà giáo dục theo bản năng đang bồn chồn lo lắng về điều này, nhưng bằng chứng là hiện giờ đang bắt đầu nổi lên những viện trường mà chia sẻ các tư liệu của họ trên trực tuyến đang lôi cuốn được sự quan tâm gia tăng từ các học viên trong việc ghi danh vào các chương trình của họ. Điều này tới lượt nó mang lại những lợi ích thương mại tiềm tàng, vì việc chia sẻ các tư liệu trên trực tuyến làm gia tăng 'tính trực quan' của một viện trường trên Internet, trong khi cũng cung cấp cho các học viên nhiều cơ hội hơn để đầu tư cho chất lượng kinh nghiệm giáo dục mà họ sẽ nhận được ở đó. Khi những học viên tại cả các quốc gia đã phát triển và đang phát triển đang dựa ngày một nhiều vào việc sử dụng Internet để nghiên cứu các lựa chọn giáo dục của họ, thì việc chia sẻ OER có thể tốt khi trở thành công cụ marketing ngày càng quan trọng cho các viện trường.
Quan trọng nhất, việc khai thác OER đòi hỏi các viện trường phải đầu tư – vào sự phát triển chương trình, khóa học và các tư liệu. Các chi phí sẽ bao gồm thời gian của mọi người trong việc phát triển chương trình giảng dạy và các tư liệu, việc tùy biến thích nghi các OER hiện đang có, làm việc với việc cấp phép bản quyền và .v.v. Các chi phí bao gồm các chi phí có liên quan, như hạ tầng CNTT-TT (cho các mục đích chia sẻ nội dung và ghi công các tác giả), băng thông, tổ chức các hội thảo và các cuộc họp về phát triển nội dung, .v.v.
Tuy nhiên, những chi phí đó là một chức năng của việc đầu tư vào các môi trường dạy và học tốt hơn, chứ không phải là một chức năng của việc đầu tư vào OER. Tất cả các chính phủ và các viện trường giáo dục trong tất cả các khu vực giáo dục, bất chấp chế độ phân phối ban đầu của họ, cần phải tiến hành thực hiện các đầu tư đó trên cơ sở liên tục nếu họ là nghiêm túc về việc cải thiện chất lượng dạy và học. Bên trong khung về việc đầu tư vào thiết kế và phát triển các tư liệu, dù, hầu hết tiếp cận có hiệu quả về chi phí là để khai thác OER. Điều này là vì:
  • Nó hạn chế sự cần thiết của nỗ lực đúp bản bằng việc xây dựng trên những gì đã tồn tại ở đâu đó rồi.
  • Nó loại bỏ các chi phí thương thảo và làm sáng tỏ về bản quyền; và
  • Qua thời gian, nó có thể lôi kéo các cộng đồng thực tế mở trong việc cải thiện và đảm bảo chất lượng liên tục.
3. SỬ DỤNG OER CÓ LOẠI TRỪ SỬ DỤNG CÁC NỘI DUNG THƯƠNG MẠI?
Trong khi có khả năng là một điều xứng đáng, nếu khát vọng hơi một chút duy tâm để làm cho tất cả các nội dung giáo dục sẵn sàng miễn phí, thì những quyết định theo nguyên tắc để loại trừ các nội dung thương mại khỏi sự cân nhắc trong các môi trường dạy và học có lẽ là không phù hợp. Một quan điểm như vậy bỏ qua thực tế rằng có nhiều tư liệu giáo dục chất lượng cao có sẵn để mua và rằng, trong những hoàn cảnh nhất định, việc sử dụng chúng có thể có khả năng kham được hơn so với những ý định sản xuất nội dung đó một cách cởi mở. Vì thế, cách có hiệu quả nhất về chi phí để phát triển và mua sắm các tài nguyên để sử dụng trong việc dạy và học là để khai thác tất cả các lựa chọn có sẵn, hơn là việc loại trừ một số về nguyên tắc.
Các nội dung OER và thương mại có thể vì thế được sử dụng cùng nhau trong các khóa học và các chương trình, dù những người phát triển khóa học cần phải thận trọng không tạo ra những xung đột về cấp phép bằng việc tích hợp các tư liệu với các điều kiện cấp phép khác nhau khi thiết kế các tư liệu dạy và học. Điều này vì thế dường như là một thực tiễn đáng giá, tuy nhiên, trong quá trình thiết kế và phát triển các khóa học và chương trình giáo dục, hãy cân nhắc tất cả các khả năng khi phát triển và mua sắm các nội dung. Tất yếu, vì hậu quả của việc số hóa các nội dung và sự tăng trưởng của các nội dung có sẵn cởi mở trên trực tuyến, các mô hình kinh doanh xuất bản giáo dục sẽ dịch chuyển và pha trộn các nội dung mở và các nội dung thương mại sẽ tiếp tục thay đổi.
4. TÔI CÓ THỂ THAY ĐỔI OER BAO NHIÊU CHO CÁC MỤC ĐÍCH CỦA TÔI?
Trong hầu hết các trường hợp, một người sử dụng có phạm vi rộng khổng lồ để áp dụng OER cho phù hợp các nhu cầu theo ngữ cảnh ở những nơi mà giấy phép cho phép sự tùy biến thích nghi đó. Tuy nhiên, nếu giấy phép hạn chế sự tùy biến thích nghi (ví dụ giấy phép Creative Commons với hạn chế 'Không phái sinh'), thì những người khác có thể không sửa đổi được tài nguyên đó theo bất kỳ cách gì. Nó sẽ phải được sử dụng 'như nó có'. Quyền này không thường được giữ lại trong OER.
Đa số lớn OER được xuất bản chào đón những người sử dụng tùy biến thích nghi tài nguyên gốc ban đầu. Những cách thức chung theo đó OER có thể được thay đổi bao gồm những thứ sau:
  • Pha trộn: Một số OER được pha trộn cùng nhau và nội dung bổ sung thêm được đưa vào để cùng tạo ra một tài nguyên mới. Điều này là phổ biến khi những người thiết kế khóa học cần phát triển các tư liệu và tài nguyên để khớp với chương trình giảng dạy hoặc chương trình bản địa địa phương. Một mối quan tâm chung là hiếm khi tìm được OER đang tồn tại mà phù hợp tuyệt vời được 'như nó có'.
  • Tùy biến thích nghi: Điều này xảy ra khi một OER được sử dụng và nhiều sự tùy biến thích nghi được phát triển để phù hợp cho nhiều ngữ cảnh. Có thể sẽ là ngôn ngữ được dịch sang các ngôn ngữ khác mà sự tùy biến thích nghi thường đòi hỏi các trường hợp điển hình / các ví dụ bản địa sẽ được bổ sung thêm vào để làm cho các tư liệu phù hợp cho các học viên trong một ngữ cảnh đặc thù.
  • Trích xuất tài sản: Cũng có khả năng trích xuất chỉ một số tài sản của một tài nguyên hoặc qui trình và sử dụng chúng trong một ngữ cảnh hoàn toàn khác. Điều này là đặc biệt đúng đối với các yếu tố phương tiện như các ảnh chụp, các hình minh họa, và các đồ thị, khi mà những người phát triển thường thiếu các kỹ năng hoặc các tài nguyên để phát triển các phiên bản của riêng họ đối với những công cụ trực quan được sử dụng phổ biến.
TÓM LƯỢC
Bài viết đề cập tới những khía cạnh pháp lý mà các tác giả của các OER thường gặp phải, phân tích những lợi thế và thách thức của OER đối với các tác giả và các cơ sở giáo dục, khẳng định OER vừa không đồng nghĩa với việc loại bỏ các tư liệu giáo dục có tiềm năng thương mại, vừa không đồng nghĩa với việc chỉ nhằm mục đích cắt giảm chi phí đầu tư cho giáo dục, mà là một nỗ lực bền vững để đầu tư vào việc tạo ra các môi trường dạy và học có hiệu quả hơn cho các học viên thông qua việc đầu tư liên tục và có hiệu quả nhằm nâng cao chất lượng các tư liệu giáo dục, vì thế cũng nâng cao được uy tín của việc dạy và học để thu hút được ngày càng nhiều các học viên hơn nữa.
Bài kỳ sau: Cách thức để khai thác OER có chất lượng
Lê Trung Nghĩa
Dựa theo: Chỉ dẫn cơ bản về các Tài nguyên Giáo dục Mở (OER)
Bài đăng trên tạp chí Tin học & Đời sống, số tháng 11/2012, trang 60-63.