Thứ Năm, 30 tháng 10, 2014

Giải thưởng CPĐT Undesa cho nước Pháp


Undesa e-Government award for France
Submitted by Gijs Hillenius on October 17, 2014
Bài được đưa lên Internet ngày: 17/10/2014
Xếp hàng đầu của Pháp trong Chỉ số Phát triển CPĐT của Liên hiệp quốc (UN) năm 2014 đã được khen ngợi vào tuần trước từ Phòng Kinh tế và Xã hội của Liên hiệp quốc (Undesa). “Như trong các năm đầu, Khảo sát 2014 chỉ ra rằng châu Âu, dẫn đầu là Pháp, tiếp tục đạt được chỉ số CPĐT cao nhất khu vực”.
Phần thưởng đã được trưng bày như một phần của Diễn đàn CPĐT Toàn cầu của Undesa ở Astana, Kazakhstan, trong các ngày 7-8/10. Được nhận nhân danh chính phủ Pháp là Etalab, đơn vị tác nghiệp dữ liệu mở, được Ban Tổng thư ký thiết lập cho sự Hiện đại hóa Hành chính Nhà nước.
Pháp đã được ca ngợi về các dịch vụ công đổi mới, bao gồm data.gouv.fr - cổng dữ liệu mở liên bộ, vì sự bổ nhiệm của nó một Giám đốc Dữ liệu và vì việc nhấn mạnh sử dụng phần mềm nguồn mở trong khu vực nhà nước, Etalab viết.
Hội nghị Undesa từng có hàng ngàn người tham dự, đại diện cho 79 nước. Đứng đầu sự Đổi mới ở Etalab, Claire-Marie Foulquier Gazagnes đã đưa ra tổng quan chiến lược CPĐT của Pháp. Bà nói rằng cuộc cách mạng số là một thách thức cho các chính phủ, bằng việc thay đổi cách mà các công dân tương tác với hành chính nhà nước, bằng việc tạo ra những lựa chọn thay thế cho sự phân phối các dịch vụ công và bằng việc mở ra các dữ liệu của chính phủ. Etalab đang giúp nước Pháp xây dựng một “Đóng góp Chung”, nơi mà cả chính phủ và đối tác xã hội dân sự sẽ tạo ra một hạ tầng chung. Một ví dụ của điều này là Base d’Adresse Nationale Ouverte - BANO, bà Foulquier-Gazagne nói. Cơ sở dữ liệu này hơn 15 triệu địa chỉ đang được Etalab và cộng đồng OpenStreet Map xây dựng. “Chúng tôi bây giờ có 80% tất cả các địa chỉ của Pháp trong cơ sở dữ liệu, và chúng tôi hy vọng đạt tới 100% vào các tháng tiếp sau”.
Diễn đàn CPĐT Toàn cầu của Undesa là một trong những sáng kiến thúc đẩy CPĐT của UN. Hội nghị thường niên nhấn mạnh vào sự phát triển bền vững, chính phủ mở và xã hội mạng. Những người tổ chức cũng nhằm để các chính phủ trao đổi các ý tưởng và kinh nghiệm.
France's top rank in the 2014 UN E-Government Development Index was commended last week by the United Nations Department of Economic and Social Affairs (Undesa). “As in previous years, the 2014 Survey shows that Europe, led by France, continues to achieve the highest regional e-government index.”
The award was presented as part of Undesa's Global e-Government Forum in Astana, Kazakhstan, on 7 - 8 October. It was received on behalf of the French government by Etalab, the open data task force, set up by the Secretariat General for the Modernization of Public Administration.
France was praised for its innovative public services, including data.gouv.fr - the inter-ministerial open data portal, for its appointment of a Chief Data Officer and for emphasising the use of open source software in the public sector, Etalab writes.
The Undesa conference was attended by about a thousand participants, representing 79 countries. Head of Innovation at Etalab, Claire-Marie Foulquier Gazagnes gave an overview of France’s e-government strategy. She said that the digital revolution is a challenge for governments, by changing the way citizens interact with the public administration, by creating alternatives for the delivery of public services and by opening up government data. Etalab is helping France to build a ‘Contributory Commons’, where both government and civil society partner to create a common infrastructure. An example of this is the Base d’Adresse Nationale Ouverte - BANO, Ms Foulquier-Gazagne said. This database of more than 15 million addresses is being built by Etalab and the Openstreet Map community. “We now have 80 per cent of all the French addresses in the database, and we hope to reach 100 per cent in the next months.”
Undesa's Global e-Government Forum is one of the UN initiatives promoting e-government. The annual conference focusses on sustainable development, open government and network society. The organisers also aim to get countries to exchange ideas and experiences.
Dịch: Lê Trung Nghĩa

Thứ Tư, 29 tháng 10, 2014

An toàn thông tin và xu hướng chuyển sang nguồn mở




Là bài trình bày tại Hội nghị tập huấn bồi dưỡng nâng cao nhận thức về an toàn, an ninh thông tin năm 2014 tại tỉnh Trà Vinh, ngày 29/10/2014.




Blogger: Lê Trung Nghĩa

Thứ Ba, 28 tháng 10, 2014

Hà Lan nhận giải thưởng Undesa cho tiếp cận CPĐT của nó


Netherlands receives Undesa award for its approach to e-government
Submitted by Gijs Hillenius on October 17, 2014
Bài được đưa lên Internet ngày: 17/10/2014
Hà Lan từng được khen ngợi vì tiếp cận của mình về CPĐT từ Phòng Kinh tế và Xã hội của Liên hiệp quốc (Undesa) tại một lễ trao thưởng được tổ chức như một phần của Diễn đàn CPĐT Toàn cầu ở Astana, Kazakhstan, vào các ngày 7-8/10.
Bình luận về tiếp cận của Hà Lan về CPĐT, Janine Jongepier, người đứng đầu đơn vị chính sách CNTT ở Bộ Nội vụ và Quan hệ Vương quốc Hà Lan đã nói rằng các dịch vụ CPĐT mở tạo ra các giá trị kinh tế và công cộng. Chính phủ mở cho phép chia sẻ và trao đổi thông tin với xã hội dân sự, là một cách để chứng minh trách nhiệm giải trình và tính toàn vẹn và đưa ra cơ hội để tăng cường sự phát triển các công nghệ mới để đổi mới các dịch vụ CPĐT, bà nói.
Yếu tố chủ chốt đối với chính phủ mở là việc chia sẻ và sử dụng lại các dữ liệu mở, Jongepier nói. Theo bà, đất nước sẽ có tổng số 6.000 tập hợp dữ liệu mở sẵn sàng vào cuối năm nay, hơn 2 lần số lượng hiện hành (2.500).
Rủi ro lũ lụt
Bà đã giải thích rằng để giúp giải quyết nỗi sợ hãi về sử dụng sai các tập hợp dữ liệu mở và để giảm bớt lo lắng về tính riêng tư, chính phủ đang xây dựng các ứng dụng web xung quanh các tập hợp dữ liệu mở của mình. Các ví dụ bao gồm 'Overstroom ik', một website chỉ các rủi ro lũ lụt, và '10,000 Scholen', một site so sánh tất cả các trường tiểu và trung học.
Chính phủ cũng đang thúc đẩy sử dụng lại các dữ liệu mở của mình. Điều này đưa ra các cơ hội cho các thách thức xã hội, Jongepier nói. Nó có thể dẫn tới các giải pháp đổi mới không ngờ tới, và làm gia tăng tiềm năng cho tăng trưởng kinh tế.
Chính phủ thông minh
Diễn đàn CPĐT Toàn cầu của Undesa là một trong các sáng kiến của UN để thúc đẩy CPĐT. Cuộc gặp mặt quốc tế đó đã được tổ chức năm thứ ba liên tiếp, 2 năm đầu đã diễn ra ở Seoul, Hàn Quốc. Diễn đàn thúc đẩy điều hành thông minh. Nó tập trung vào phát triển bền vững, chính phủ mở và xã hội mạng. Các nhà tổ chức cũng nhắm tới để các quốc gia trao đổi các ý tưởng và kinh nghiệm.
The Netherlands has been commended for its approach to e-government by the United Nations Department of Economic and Social Affairs (Undesa) at an award ceremony held as part of the Global e-Government Forum in Astana, Kazakhstan, on 7 - 8 October.
Commenting on the Dutch approach to e-government, Janine Jongepier, head of the IT policy unit at the Dutch Ministry of Internal Affairs and Kingdom Relations said that open e-government services create economic and public values. Open government allows the sharing and exchange of information with civil society, is one way to prove accountability and integrity and offers the chance to harness new technological developments to innovate e-government services, she said.
The key element to open government is the sharing and reuse of open data, Jongepier said. According to her, the country will have a total of 6000 open data sets available by the end of this year, more than double the current number (2500).
Flood risk
She explained that to help resolve fears about the misuse of open data sets and to allay worries about privacy, the government is building web applications around its open data sets. Examples include 'Overstroom ik', a web site showing flood risks, and '10,000 Scholen', a site that compares all public primary and secondary schools.
The government is also promoting the reuse of its open data. This provides opportunities for societal challenges, Jongepier says. It can lead to unexpected innovative solutions, and increase the potential for economic growth.
Smart governments
Undesa's Global e-Government Forum is one of the UN initiatives to promote e-government. The international meeting was organised for the third consecutive year, the first two having taken place in Seoul, South Korea. The forum promotes smart governance. It focusses on sustainable development, open government and network society. The organisers also aim to get countries exchange ideas and experiences.
Dịch: Lê Trung Nghĩa

Thứ Hai, 27 tháng 10, 2014

Các bó máy Linux ở trung tâm dữ liệu bộ tài chính Đức


Linux clusters in German finance ministry data centre
Submitted by Gijs Hillenius on October 15, 2014
Bài được đưa lên Internet ngày: 15/10/2014
Trung tâm dịch vụ CNTT chia sẻ cho chính phủ liên bang Đức (ZIVIT) đã trao thưởng một hợp đồng hỗ trợ cho phần mềm nguồn mở (PMNM) trị giá 10 triệu euro, nó đã công bố hôm 08/10. Hợp đồng 4 năm CGI, một nhà cung cấp dịch vụ lớn, đã giành được. Hợp đồng là cho việc duy trì và quản lý các cơ sở dữ liệu chạy bó máy Linux tính sẵn sàng cao, các hệ thống sao lưu và các dịch vụ mạng và tệp, được Bộ Tài chính Liên bang sử dụng.
Hợp đồng không đánh tín hiệu về một sự thay đổi chiến lược trong chiến lược CNTT của chính phủ liên bang, người phát ngôn nó cho Zentrum für Informationsverarbeitung und Informationstechnik. “Nền hành chính nhà nước Đức sử dụng các giải pháp dựa vào nguồn mở. Hợp đồng bao gồm các dịch vụ hỗ trợ cho hoạt động kỹ thuật của các hệ thống đó”.
Vào tháng 5, ZIVIT, đã xuất bản một yêu cầu cho một chuyên gia dịch vụ CNTT để duy trì và quản lý bó máy Linux của nó. ZIVIT đang tìm kiếm sự hỗ trợ để tối ưu hóa hiệu năng các máy chủ chạy Suse và Ubuntu Linux, các hệ quản trị cơ sở dữ liệu MySQL, máy chủ web Apache và các máy chủ ứng dụng Apache Tomcat và JBoss Java. Các giải pháp nguồn mở được kết hợp với các giải pháp sở hữu độc quyền, bao gồm cả cho các cơ sở dữ liệu và các kho.
Trung tâm dịch vụ CNTT cũng kỳ vọng vào các khuyến cáo về cách phát triển tiếp trung tâm dữ liệu của mình.
Người vận hành trơn tru
Hợp đồng sẽ đảm bảo vận hành trơn tru của khoảng 80 máy chủ x86 ở trung tâm dữ liệu Berlin, trong đó ZIVIT chạy 40 ứng dụng nghiệp vụ được gần 2.500 nhân viên dân sự sử dụng ở Bộ Tài chính Liên bang.
An ninh của các hệ thống nguồn mở ZIVIT được Nagios quản lý. Quản lý cấu hình được thực hiện bằng việc sử dụng Puppet.
ZIVIT kỳ vọng nhà cung cấp dịch vụ sẽ có kinh nghiệm trong Samba cho các dịch vụ tệp và máy in, máy chủ ủy quyền Squid và máy chủ thư là Postfix.
Nó cũng đang tìm kiếm trong DRDB, phần mềm để quản lý các bó máy Linux, và các giải pháp lưu kho theo bó là Gluster FSCeph.
The shared IT service centre for Germany's federal government (ZIVIT) has awarded a 10 million euro support contract for open source software, it announced on 8 October. The four-year contract was won by CGI, a large ICT service provider. The contract is for maintenance and management of a high availability Linux cluster running databases, file and network services and backups systems, used by the Federal Ministry of Finance.
The contract does not signal a strategic change in the federal government IT strategy, says a spokesperson for the Zentrum für Informationsverarbeitung und Informationstechnik. “The German public administration uses open source based solutions. The contract includes support services for the technical operation of these systems.”
In May, ZIVIT, published a request for an ICT service specialist to help maintain and manage its Linux cluster. ZIVIT is looking for assistance to optimise performance of servers running Suse and Ubuntu Linux, MySQL database systems, the Apache web server and the Apache Tomcat and JBoss Java application servers. The open source solutions are combined with proprietary solutions, including for databases and storage.
The IT service centre also expects recommendations on how to further develop its data centre.
Smooth operator
The contract should ensure the smooth operation of some 80 x86 servers in the Berlin data centre, on which ZIVIT runs 40 business applications that are used by nearly 2500 civil servants at the Federal Ministry of Finance.
The security of ZIVIT’s open source systems are managed by using Nagios. Configuration management is done using Puppet.
ZIVIT expects the service provider to be experienced in Samba for file and print services, proxy server Squid and mail server Postfix. It is also looking for expertise in DRDB, software to manage Linux clusters, and cluster storage solutions Gluster FS and Ceph.
Dịch: Lê Trung Nghĩa

Chủ Nhật, 26 tháng 10, 2014

Khả năng ứng dụng và phát triển phần mềm nguồn mở trong nghiên cứu và giảng dạy tại các cơ sở đào tạo đại học và cao đẳng ở Việt Nam





Là bài trình bày trong NGÀY CÔNG NGHỆ THÔNG TIN (IT-DAY) 2014 với chủ đề “Đồng hành cùng sinh viên” diễn ra tại Đại học Nha Trang, Khánh Hòa ngày 26/10/2014. Cùng ngày, đã diễn ra lễ ra mắt CLB PMTDNM tỉnh Khánh Hòa.



Trước đó, ngày 24/10/2014, tại Đại học Vinh, cũng đã có bài trình bày với tên y hệt diễn ra trong khuôn khổ hội thảo 'Hoạt động thông tin thư viện với vấn đề đổi mới căn bản và toàn diện giáo dục đại học ở Việt Nam'.

Blogger: Lê Trung Nghĩa

Thứ Năm, 23 tháng 10, 2014

Đâu là các lãnh đạo mới của Ủy ban châu Âu bảo vệ nguồn mở


Where new European Commission leaders stand on open source
Posted 14 Oct 2014 by Paul Brownell
Bài được đưa lên Internet ngày: 14/10/2014
Lời người dịch: Ủy ban châu Âu vừa mới thay đổi nhân sự cao cấp của mình. Thế chỗ cho Phó chủ tịch EC về Chương trình nghị sự Số, bà Neelie Kroes, sẽ là 2 người, một là cựu Thủ tướng Estonia Andrus Ansip vào vị trí Phó chủ tịch EC phụ trách về Thị trường Số duy nhất; và Ủy viên hội đồng châu Âu đương nhiệm về Năng lượng Gunther Oettinger (một chính trị gia và luật sư người Đức) đã được nêu tên như là Ủy viên hội đồng cho Kinh tế và Xã hội Số. Về nguồn mở và các tiêu chuẩn mở, có nhiều điều để lạc quan. “Nhiều người ra quyết định ở mức cao - đặc biệt những người không có kinh nghiệm trong CNTT-TT - không được kỳ vọng có một sự nắm bắt vững vàng các vấn đề xung quanh nguồn mở và các tiêu chuẩn mở. Dù vậy, Ansip đã đưa ra cơ sở về các vấn đề đó trong quá trình cuộc điều trần, kêu gọi phần mềm được EC sản xuất sẽ được làm thành nguồn mở. Khi ông ban đầu từng được hỏi về “phần mềm tự do”, ông đã trả lời bằng việc nói về “nguồn mở”. Dù một điểm nhỏ, nó đưa ra chỉ số rằng ông không là mới về vấn đề này”. “Một lần nữa, với khiếm khuyết mà là quá sớm để đưa ra bất kỳ kết luận chính nào, có lý do cho sự lạc quan rằng Ủy ban mới sẽ thiết kế và triển khai các chính sách mà sẽ xúc tác cho sự tăng trưởng tiếp của nguồn mở và các tiêu chuẩn mở”.
Vào lúc viết bài này, Nghị viện châu Âu đang gói lại các cuộc điều trần ở các ủy ban và biểu quyết phê chuẩn hoặc từ chối danh sách đề cử các ủy viên hội đồng và các phó chủ tịch mới của EC sẽ được Chủ tịch EC vừa được bầu Jean Claude Juncker đề xuất. Những người này (1 từ từng trong số 28 quốc gia thành viên của EU), nếu được Nghị viện phê chuẩn, sẽ lãnh đạo và quản lý các hoạt động của các Ban Tổng giám đốc (DG), vận hành như là các phòng hoặc bộ của EC.
Chúng ta biết gì về các lãnh đạo được đề xuất mà sẽ chỉ đạo chính sách CNTT-TT của EC? Và những gì quen thuộc đối với họ - và cách họ có thể tiếp cận thế nào - các vấn đề liên quan tới phần mềm nguồn mở và các tiêu chuẩn mở?
Câu trả lời ngắn gọi là quá sớm để nói về điều đó. Không ủy viên chủ chốt nào với chức trách CNTT-TT mà Juncker đề xuất có hồ sơ theo dõi trong lĩnh vực này. Dù vậy, một sự xem xét lại nền tảng của các lãnh đạo đó và sự thực thi của họ trong các cuộc điều trần của Nghị viện đã xong gần đây đưa ra vài chỉ số rằng có lý do cho sự lạc quan, vâng một nhu cầu cho tiếp cận cộng đồng và giáo dục.
Chủ tịch được bầu Junker đã nêu tên 2 chính trị gia để dẫn dắt CNTT-TT cho Ủy ban mới: cựu Thủ tướng Estonia Andrus Ansip đã được nêu tên như là Phó chủ tịch cho Thị trường Số duy nhất; và Ủy viên hội đồng châu Âu đương nhiệm về Năng lượng Gunther Oettinger (một chính trị gia và luật sư người Đức) đã được nêu tên như là Ủy viên hội đồng cho Kinh tế và Xã hội Số. Ansip, trong vai trò của ông như là Phó chủ tịch, sẽ giám sát các hoạt động của một nhóm các Ủy viên hội đồng (bao gồm cả Oettinger) để phá đi các cát cứ và điều phối tốt hơn toàn bộ hoạt động của Ủy ban. (Lưu ý: quyền được cải thiện của các phó chủ tịch EC là một dàn xếp mới được Junker vừa đặt ra).
Cả Ansip và Oettinger từng ngạc nhiên về các bổ nhiệm được đưa ra mà họ đã thể hiện sự quan tâm trong các lĩnh vực khác và vì thế cả 2 đều không có kinh nghiệm trực tiếp trong công nghiệp CNTT-TT hay chính sách về CNTT-TT. Cả hai, tuy vậy, được thừa nhận là các lãnh đạo có khả năng và nhanh chóng nghiên cứu các lĩnh vực vấn đề mới.
Cặp đôi này được thiết lập để thay thế một lãnh đạo đáng kính về chính sách CNTT-TT. Phó chủ tịch Ủy ban về Chương trình nghị sự số sẽ ra đi, Neelie Kroes, từng là một người bảo vệ rõ ràng việc cạnh tranh toàn cầu để phát triển nền công nghiệp kỹ thuật công nghệ châu Âu. Bà đã, trong một số trường hợp, chống lại các nỗ lực của vài người trong Ủy ban thúc đẩy châu Âu tiến tới một quan điểm bảo hộ nhiều hơn. Bà cũng đã từng là một người đề xướng mạnh mẽ về các tiêu chuẩn mở và sân chơi bình đẳng cho phần mềm nguồn mở.
Andrus Ansip, kinh nghiệm khu vực tư nhân của ông là trong ngân hàng và kinh doanh, đã phục vụ từ năm 2005 tới 2014 như là Thủ tướng Estonia. Nước ông từng được thừa nhận - thậm chí nhiều hơn thế vì sự bổ nhiệm của ông của Ủy ban - vì sự ôm lấy CNTT-TT của nó trong các lĩnh vực rộng lớn trong cuộc sống riêng và công. Ông đã thể hiện hiểu biết của mình về và thoải mái với các vấn đề kỹ thuật công nghệ trong cuộc điều trần của ông ở Nghị viện với sự bổ nhiệm và sự thực thi của ông ở cuộc điều trần, thậm chí đã gọi ông như là “Ủy viên hội đồng thực sự về Internet”, mà vài người đã giải nghĩa như là vừa khen Ansip và vừa quở trách Gunther Oettinger.
Nhiều người ra quyết định ở mức cao - đặc biệt những người không có kinh nghiệm trong CNTT-TT - không được kỳ vọng có một sự nắm bắt vững vàng các vấn đề xung quanh nguồn mở và các tiêu chuẩn mở. Dù vậy, Ansip đã đưa ra cơ sở về các vấn đề đó trong quá trình cuộc điều trần, kêu gọi phần mềm được EC sản xuất sẽ được làm thành nguồn mở. Khi ông ban đầu từng được hỏi về “phần mềm tự do”, ông đã trả lời bằng việc nói về “nguồn mở”. Dù một điểm nhỏ, nó đưa ra chỉ số rằng ông không là mới về vấn đề này.
Như là Ủy viên hội đồng đương nhiệm của châu Âu về Năng lượng, Gunther Oettinger được thừa nhận về việc nằm vài vấn đề khó ở Brussels và khả năng của ông là chủ một lĩnh vực chính sách mới. Trước khi sứ mệnh chính trị của ông lên cao, ông đã làm việc ở một doanh nghiệp tư vấn thuế và kiểm toán và sau đó đã thực hành luật. Ông đã nổi lên trong chính trị khu vực của Đức trước khi được bổ nhiệm là Ủy viên hội đồng người Đức lúc khởi đầu nhiệm kỳ thứ 2 của Barroso vào năm 2010. Ông được cho là đã học được các chi tiết công việc của ông nhanh và có khả năng phục vụ Ủy ban vào lúc mà chính sách năng lược hay gây tranh cãi và phức tạp ngày một gia tăng.
Nỗ lực y hệt được kỳ vọng về ông như là một Ủy viên mới cho Kinh tế và Xã hội Số. Sự thực thi của Oettinger trong cuộc điều trần ở Nghị viện, tuy vậy, từng không được thuận và được thừa nhận tốt như của Ansip. Đối với các báo cáo truyền thông, ông đã làm khá tốt, nhưng không thật tố hoặc việc thảo luận hứng khởi một vài điều rắc rối về chính sách CNTT-TT. Trong một phân tích được tạp chí chính sách và chính trị EU đưa ra, European Voice, “Đối với nhiều nghị sỹ châu Âu - MEP, người sau (Oettinger) là một ứng viên hợp với các doanh nghiệp, với một sự hiểu biết hạn chế về các thách thức về các quyền tự do con người do Internet đặt ra và chỉ quan tâm có giới hạn trong bản thân chủ đề đó. Nếu lúc nào đó họ từng tìm kiếm một sự bổ sung cho Oettinger, thì Ansip là người của những thứ đó”.
Một lần nữa, với khiếm khuyết mà là quá sớm để đưa ra bất kỳ kết luận chính nào, có lý do cho sự lạc quan rằng Ủy ban mới sẽ thiết kế và triển khai các chính sách mà sẽ xúc tác cho sự tăng trưởng tiếp của nguồn mở và các tiêu chuẩn mở. Nhưng, cũng có nhiều điều phải làm về sự tham gtia và giáo dục.
At this writing, the European Parliament is wrapping up committee hearings and votes to approve or reject the proposed slate of new European Commissioners and Vice Presidents put forward in September by European Commission (EC) President-elect Jean Claude Juncker. These men and women (one from each of the 28 countries in the European Union), if approved by the Parliament, will lead and manage the activities of the Directorates General (DGs), which function as the EC's departments or ministries.
What do we know about the proposed leaders who will direct the EC's information and communication technology (ICT) policy? And what familiarity do they have with—and how may they approach—issues concerning open source software and open standards?
The short answer is that it's too early to tell. Neither of the key Commissioners with ICT portfolios named by Juncker have a track record in this space. Nonetheless, a review of the background of these leaders and their performance in the recently completed Parliamentary hearings give some indication that there is reason for optimism, yet a need for outreach and education.
President-Elect Junker has named two politicians to lead on ICT for the new Commission: former Estonian Prime Minister Andrus Ansip has been named as Vice President for Digital Single Market; and incumbent European Commissioner for Energy Gunther Oettinger (a German politician and lawyer) has been named as Commissioner for Digital Economy and Society. Ansip, in his role as Vice President, will oversee the activities of a group of Commissioners (which includes Oettinger) in order to break down silos and better coordinate overall Commission activities. (Note: the enhanced authority of EC vice presidents is a new arrangement put in place by Juncker.)
Both Ansip and Oettinger were surprise appointments given that they had expressed interest in other portfolios and since neither have direct experience in the ICT industry or on ICT policy. Both, however, are recognized as able leaders and quick studies of new issues areas.
This duo is set to replace a well-respected leader on ICT policy. The departing Commission VP for the Digital Agenda, Neelie Kroes, has been an articulate advocate of competing globally to grow the European tech industry. She has, in a number of cases, resisted efforts by some in the Commission to push Europe toward a more protectionist stance. She has also been a strong proponent of open standards and leveling the playing field for open source software.
Andrus Ansip, whose private sector experience is in banking and business, served from 2005 to 2014 as Prime Minister of Estonia. His country has been recognized—even more so since his Commission appointment—for its embrace of ICT in ever widening areas of public and private life. He demonstrated his knowledge of and comfort with tech issues at his Parliamentary hearing on October 7. One influential member of the European Parliament (MEP) who was pleased with his appointment and performance at the hearing, even branded him as "the real ‘Internet Commissioner," which some have interpreted as both a compliment to Ansip and a back-handed rebuke to Gunther Oettinger.
Many policy makers at senior levels—particularly those without experience in ICT—are not expected to have a firm grasp of issues surrounding open source and open standards. Nonetheless, Ansip displayed facility on these issues during his hearing, calling for software produced by the EC to be made open source. When he was initially asked about "free software," he responded by talking about "open source." Although a minor point, it provides indication that he is not new to these issues.
As the incumbent European Commissioner for Energy, Gunther Oettinger is recognized for taking on some tough issues in Brussels and his ability to master a new policy area. Prior to his rise politics, he worked at an accounting and tax consulting business and later practiced law. He rose in regional German politics before being named as the German Commissioner at the beginning of the Barroso Commission's second term in 2010. He is thought to have learned the details of his job quickly and has ably served the Commission at a time of increasingly complicated and controversial energy policy.
The same effort is expected of him as the new Commissioner for Digital Economy and Society. Oettinger's performance at his Parliamentary hearing, however, was not as comfortable and well-received as Ansip's. Per media reports, he came off as well-briefed, but not terribly comfortable or enthusiastic discussing some of the intricacies of ICT policy. In an analysis provided by the EU policy and politics journal, European Voice, "For many MEPs, the latter (Oettinger) is a pro-business candidate, with a limited understanding of the challenges to human liberties posed by the internet and only limited interest in the subject itself. If ever they were looking for a complement to Oettinger, Ansip is their man."
Again, with the caveat that it's too early to draw any major conclusions, there is reason for optimism that the new Commission will design and implement policies that will enable the further growth of open source and open standards. But, there is also much to be done in terms of engagement and education.
Dịch: Lê Trung Nghĩa

Thứ Tư, 22 tháng 10, 2014

Gummersbach hoàn tất chuyển đổi sang nguồn mở

Gummersbach completes switch to open source
Submitted by Gijs Hillenius on October 07, 2014
Bài được đưa lên Internet ngày: 07/10/2014
Thành phố Gummersbach của Đức đã công bố rằng mùa hè này nó đã hoàn tất chuyển đổi sang các PC Linux, cho về hưu một hệ điều hành sở hữu độc quyền tuổi hàng thập kỷ không còn được nhà bán hàng CNTT hỗ trợ nữa. Sự chuyển đổi đã tiết kiệm cho thành phố tổng với 5 chữ số, và Gummersbach kỳ vọng sự giảm nhiều hơn các chi phí CNTT, một sự kết hợp tiết kiệm các giấy phép sở hữu độc quyền và các chi phíe phần cứng thấp hơn.
Việc sử dụng Linux đã làm giảm nhu càu duy trì PC, giải phóng tương đương 1 nhân viên làm việc toàn thời gian (FTE). Phòng CNTT bây giờ thuê 3 người.
Vào tháng 8, thành phố đã gửi đi một tuyên bố cho Pro Linux, một site tin tức Linux của Đức, công bố sự hoàn tất dự án chuyển đổi và chi tiết hóa chính sách PC để bàn hiện hành của nó. Sớm nay, thành phố đã thựchiện tuyên bố y hệt sẵn sàng cho OSOR.
Kinh nghiệm máy để bàn
Chính quyền bây giờ sử dụng 300 máy PC trạm mỏng (thin client PC), với môi trường đồ họa và các ứng dụng đi theo một bó 6 máy chủ SuSE Linux Terminal Server. Môi trường đồ họa là Mate. Các cán bộ của thành phố sử dụng bộ các công cụ sản xuất văn phòng LibreOffice và bộ các công cụ thư điện tử, thông điệp tức thì (chat), lập lịch và cộng tác trực tuyến Open-Xchange.
Vài phòng sử dụng Wollmux, một công cụ nguồn mở cho việc quản lý các mẫu biểu và các mẫu template tài liệu được thành phố Munich của Đức phát triển.
Khóa đầu
Các máy tính để bàn Linux có thể truy cập một số ứng dụng nghiệp vụ mà phụ thuộc vào một hệ điều hành sở hữu độc quyền, bằng việc sử dụng một sự kết hợp các giải pháp ảo hóa máy để bàn sở hữu độc quyền. Gummersback vẫn còn 25 PC chạy một hệ điều hành sở hữu độc quyền, một yêu cầu cho các ứng dụng được bàn Dịch vụ Dân sự sử dụng, và cho các phần mềm thiết kế có máy tính hỗ trợ (CAD) để thành phố sử dụng.
Tất cả các PC để bàn của thành phố được quản lý tập trung từ trung tâm dữ liệu thành phố của vùng ở Siegburg,
Nhìn thấy trước
Thành phố đã bắt đầu chuyển đổi của mình sang các máy trạm mỏng và Linux trong năm 2007, thấy trước nhu cầu thay thế một hệ điều hành máy để bàn và bộ phần mềm văn phòng sở hữu độc quyền lỗi thời.
Gummersach là một thành phố với khoảng 50.000 dân ở bang North Rhine-Westphalia.
The German town of Gummersbach announced that this summer it has completed its switch to Linux PCs, retiring a decade-old proprietary operating system no longer supported by the IT vendor. The migration has saved the town a five-figure sum, and Gummersbach expects a further reduction of IT costs, a combination of savings on proprietary licences and lower hardware costs.
Using Linux has reduced the need for PC maintenance, freeing 1 full-time equivalent employee (FTE). The IT department now employs three persons.
In August, the city sent a statement to Pro Linux, a German Linux news site, announcing the completion of the migration project and detailing its current desktop PC policy. Earlier today, the city made the same statement available to the Open Source Observatory and Repository (OSOR).
Desktop experience
The administration now uses 300 thin client PCs, with desktop and applications retreived a SuSE Linux Terminal Server cluster of six servers. The desktop environment is Mate. The city staffers use the LibreOffice suite of office productivity tools and the Open-Xchange suite of email, instant messaging, calendaring and online collaboration tools.
Some departments use Wollmux, an open source tool for managing forms and document templates developed by the German city of Munich.
Headlock
The Linux desktops can access a number of business application that depend on a proprietary operating system, by using a combination of proprietary desktop virtualisation solutions. Gummersback retains 25 PCs running a proprietary operating system, a requirement for applications used by the Civil Service desk, and for computer aided design software in use by the town.
All of the city's desktop PCs are centrally managed from the region's municipal data centre in Siegburg.
Foresight
The city began its move to thin clients and Linux in 2007, foreseeing the need to replace an out-dated proprietary desktop operating system and office suite.
Gummersach is a city with about 50,000 inhabitants in the state of North Rhine-Westphalia.
Dịch: Lê Trung Nghĩa


Thứ Ba, 21 tháng 10, 2014

EC xuất bản 5 khối xây dựng dịch vụ điện tử


EC publishes five e-service building blocks
Submitted by Gijs Hillenius on October 07, 2014
Bài được đưa lên Internet ngày: 07/10/2014
5 thành phần CNTT cho việc xây dựng các dịch vụ CPĐT có liên quan tới ID, các chữ ký, báo giá, trao đổi dữ liệu và dịch máy bây giờ là sẵn sàng. Các khối xây dựng đã được các nước thành viên phát triển và thí điểm trong vài dự án thí điểm phạm vi rộng.
5 công cụ và dịch vụ sử dụng dụng lại cao độ có ý định xúc tác cho giao tiếp xuyên biên giới. Các thành phần có thể được triển khai hoặc sử dụng như một dịch vụ trong bất kỳ giải pháp CNTT nào.
5 khối xây dựng được Cơ sở Kết nối châu Âu của Ủy ban châu Âu (CEF) xuất bản. Sự phát triển đó được 2 chương trình của EC cùng cấp vốn, Chương trình Hỗ trợ Chính sách CNTT-TT (CIP) và Các Giải pháp Tương hợp cho các nền Hành chính Nhà nước châu Âu (ISA).
Đừng có sáng tạo lại cái bánh xe
Mục tiêu của việc xây dựng các khối đó là để chào các dịch vụ mà có thể được sử dụng lại trong vài khu vực và trong các dịch vụ CNTT phức tạp hơn khác. Sử dụng lại các khối xây dựng đó sẽ xúc tác cho sự cung ứng các dịch vụ công dạng số mới cho các công dân, các doanh nghiệp và các cơ quan hành chính nhà nước theo một cách thức hiệu quả hơn về chi phí. Nó tạo thuận lợi cho các giao dịch xuyên biên giới và cho phép kết nối lẫn nhau các mạng quốc gia. Tham vọng là dần xây dựng một hệ sinh thái tương hợp châu Âu theo đuổi Thị trường Số Duy nhất.
Các khối xây dựng sau đây là có sẵn trong catalog trực tuyến:
eID
Bạn cần xúc tác cho sự truy cập an ninh và xuyên biên giới tới các dịch vụ trực tuyến của bạn ư? khối xây dựng eID có thể giúp bạn triển khai xác thực bằng việc sử dụng các eID quốc gia, tuân thủ với qui định của EU về các dịch vụ tin cậy và ID điện tử (eIDAS).
eSignature
Bạn cần xúc tác cho việc ký điện tử các tài liệu trên cổng của bạn hoặc tự động hóa kiểm tra hợp lệ các chữ ký điện tử ư? khối xây dựng eSignature có thể giúp bạn xúc tác tạo ra và kiểm tra hợp lệ các chữ ký điện tử xuyên khắp châu Âu, tuân thủ các qui định của EU về ID điện tử và các dịch vụ tin cậy (eIDAS).
eInvoicing
Bạn cần xúc tác cho việc báo giá điện tử trong nền hành chính của bạn tuân thủ với Chỉ thị Báo giá điện tử của EU ư? khối xây dựng eInvoicing sẽ cung cấp cho bạn các công cụ và dịch vụ sẽ giúp bạn làm phù hợp với Chỉ thị của châu Âu về báo giá điện tử trong mua sắm nhà nước, 2014/55/EU.
eDelivery
Bạn cần trao đổi các tài liệu hoặc bất kỳ dữ liệu nào với hơn một người nhận mà không cần nhân nỗ lực trong việc thiết lập nhiều kết nối ư? khối xây dựng eDelivery sẽ giúp bạn truy cập một mạng đang tồn tại hoặc thiết lập hạ tầng giao thông số trong miền của bạn.
Dịch tự động
Bạn đang thiết lập một giải pháp đa ngôn ngữ và bạn cần đảm bảo an ninh và tính bí mật các thông tin được dịch ư? Khối xây dựng dịch tự động sẽ giúp bạn triển khai trao đổi thông tin xuyên biên giới trong giải pháp của bạn, nó là an ninh và có thể được cập nhất cho thuật ngữ đặc thù.
Thông tin thêm:
Về CEF:
CEF là công cụ tài chính chung cho các mạng xuyên châu Âu giai đoạn 2014-2020.
Trong giai đoạn này, CEF sẽ giúp hoàn thành thị trường châu Âu duy nhất bằng việc làm cho sẵn sàng 33.24 tỷ euro ở dạng các công cụ mua sắm, trợ cấp và tài chính đổi mới. CEF sẽ cấp vốn cho các dự án có lợi ích chung ở 3 khu vực khác nhau: giao thông, năng lượng và viễn thông.
Chương trình nghị sự Số và Viễn thông của CEF
Trong lĩnh vực viễn thông, CEF neo vào Chiến lược châu Âu 2020 vì sự tăng trưởng thông minh, bền vững và cộng gộp, nó đặt các hạ tầng số ở tuyến đầu với sáng kiến Chương trình nghị sự Số cho châu Âu (DAE).
Các khía cạnh pháp lý
Các chỉ thị về Viễn thông CEF đề xập tới các mục tiêu và ưu tiên cụ thể cũng như các tiêu chí về tính hợp pháp cho việc cấp vốn cho các mạng băng thông rộng và các hạ tầng dịch vụ số. Theo qui định của CEF, Ủy ban phải thích nghi, bằng biện pháp triển khai các hành động, các chương trình làm việc thường niên cho từng lĩnh vực.
Hạ tầng Dịch vụ Số
Hạ tầng Dịch vụ Số (DSI) là khái niệm được sử dụng trong CEF để mô tả các Hệ thống CNTT rộng khắp EU mà hỗ trợ cho sự triển khai các chính sách rộng khắp EU. Các DSI cấu thành 2 lớp riêng rẽ: các Nền tảng Dịch vụ Cốt lõi là các ổ nối trung tâm xúc tác cho sự kết nối liên châu Âu.
Phần này của một DSI được Ủy ba quản lý, triển khai và vận hành. Trong trường hợp này, việc cấp vốn hầu hết được thực hiện ở dạng mua sắm;
Các dịch vụ Chung là liên kết giữa các hạ tầng quốc gia tới các nền tảng dịch vụ cốt lõi.
Phần này của một DSI được các quốc gia thành viên quản lý, triển khai và vận hành. Trong trường hợp này, việc cấp vốn hầu hết được thực hiện ở dạng trợ cấp.
Các DSI khối xây dựng
CEF cấp vốn cho 2 dạng DSI:
  • Các DSI khối xây dựng: các DSI mà chào các dịch vụ có thể được sử dụng lại trong vài khu vực à trong các DSI phức tạp hơn khác.
  • Các DSI đặc thù khu vực: các DSI chào các dịch vụ được liên kết tới một miền hoặc khu vực chính sách đặc thù.
Việc xây dựng các DSI khối sẽ được trao ưu tiên hơn so với các DSI đặc thù lĩnh vực vì chúng cần phải có từ đầu để chống trụ cho các dịch vụ khác.
Five IT components for building e-government services involving ID, signatures, invoices, data exchange and machine translation are now available. The building blocks were developed and piloted by Member States in several large scale pilots.
The five highly reusable tools and services are intended to enable cross-border communication. The components can be implemented or used as a service in any IT solution.
The five building blocks are published by the European Commission's Connecting Europe Facility (CEF). The development was jointly financed by two EC programmes, the ICT Policy Support Programme (CIP) and the Interoperability Solutions for European Public Administrations (ISA) programmes.
Don't reinvent the wheel
The goal of the building blocks is to offer services which can be re-used in several sectors and in other more complex IT services. The reuse of building blocks will enable the provision of new digital public services to citizens, businesses and public administrations in a more cost-effective way. It facilitates cross-border transactions and allows interconnection of national networks. The ambition is to gradually build a European interoperability ecosystem in pursuit of the Digital Single Market.
The following building blocks are available in the online catalogue:
eID
You need to enable secure and cross-border access to your online services? The eID building block can help you implement authentication using national eIDs, complying with the EU regulation for electronic ID and trust services (eIDAS).
eSignature
You need to enable electronic signing of documents in your portal or automate the validation of e-signatures? The eSignature building block can help you enable the creation and verification of electronic signatures across the EU, complying with the EU regulation for electronic ID and trust services (eIDAS).
eInvoicing
You need to enable electronic invoicing in your administration in compliance with the new EU eInvoicing Directve? The eInvoicing building block will provide you with tools and services will help you align with the European Directive on eInvoicing in public procurement, 2014/55/EU.
eDelivery
You need to exchange documents or any data with more than one recipient without multiplying efforts in establishing multiple connections? The eDelivery building block helps you access an existing network or to set up your own digital transport infrastructure in your domain.
Automated Translation
You are setting up a multilingual solution and you need to guarantee the security and confidentiality of the translated information? The Automated translation building block will help you implement cross-border information exchange in your solution, which is secure and can be adapted to specific terminology.
More information:
About CEF:
CEF is the common financing instrument of trans-European networks for the period 2014-2020. During this period, CEF will help to complete the European single market by making available 33.24 billion euro in the form of procurement, grants and innovative financial instruments. CEF will finance projects of common interest in three different sectors: transport, energy and telecommunications.
CEF telecommunications and the Digital Agenda
Within the telecommunications area, CEF is anchored to the Europe 2020 Strategy for smart, sustainable, and inclusive growth, which put digital infrastructures at the forefront with the Digital Agenda for Europe (DAE) initiative.
Legal aspects
The CEF Telecom guidelines cover the specific objectives and priorities as well as eligibility criteria for funding of broadband networks and digital service infrastructures. According to the CEF Regulation, the Commission must adopt, by means of implementing acts, annual work programmes for each sector.
Digital Service Infrastructures
The Digital Service Infrastructure (DSI) is the term used in CEF to describe EU-wide IT Systems that support the implementation of EU-wide policies. DSIs are composed of two distinct layers:
Core Service Platforms are the central hubs which enable trans-European connectivity
This part of a DSI is managed, implemented and operated by the Commission. In this case, funding is mostly done in the form of procurement;
Generic Services are the link between national infrastructures to the core service platforms
This part of a DSI is managed, implemented and operated by the Member States. In this case, funding is mostly done in the form of grants.
Building block DSIs
CEF finances two types of DSIs:
  • Building block DSIs: DSIs that offer services which can be re-used in several sectors and in other more complex DSIs.
  • Sector-specific DSIs: DSIs that offer services linked to a specific policy domain or sector.
Building block DSIs are given priority over sector-specific DSIs since they need to be in place from the outset to underpin the other services.
Dịch: Lê Trung Nghĩa

Thứ Hai, 20 tháng 10, 2014

Xây dựng cộng đồng xung quanh phần mềm tự do nguồn mở




Là bài trình bày trong phiên bế mạc Hội trại An ninh thông tin 2014 vừa diễn ra tại Đà Nẵng trong các ngày 17-19/10/2014.




Link Video: https://www.youtube.com/watch?v=4l7DbSANouA, từ thời điểm 2:00:45
Blogger: Lê Trung Nghĩa
letrungnghia.foss@gmail


Chủ Nhật, 19 tháng 10, 2014

Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp (APT)


Là bài trình bày trong phiên khai mạc Hội trại An ninh thông tin 2014 vừa diễn ra tại Đà Nẵng trong các ngày 17-19/10/2014.




Security Bootcamp 2014 trên Facebook: https://www.facebook.com/infosecbootcamp
Blogger: Lê Trung Nghĩa


Thứ Năm, 16 tháng 10, 2014

Microsoft cập nhật Windows, IE, Office trong Bản vá ngày thứ Ba bận rộn


Microsoft updates Windows, IE, Office in busy Patch Tuesday
Tóm tắt: Tổng số 24 chỗ bị tổn thương, nhiều lỗi nghiêm trọng và ít lỗi đang bị khai thác mạnh, đã được hé lộ và được vá.
Summary: A total of 24 vulnerabilities, many severe and a few being exploited in the wild, have been revealed and patched.
By Larry Seltzer for Zero Day | October 14, 2014 -- 17:47 GMT (01:47 SGT)
Bài được đưa lên Internet ngày: 14/10/2014
Lời người dịch: Bản vá ngày thứ Ba tháng 10/2014 có 8, chứ không phải 9 như trước đó được dự đoán, bản tin an ninh, trong đó có 3 bản tin MS14-056, MS14-057MS14-058 được xếp hạng là sống còn, ảnh hưởng tới Internet Explorer, .NET Framework và Kernel-Mode Driver, một cách tương ứng. Không có bản vá nào cho Windows XP!. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer và Windows. Nguy hiểm: Microsoft làm việc với FBI để phá an ninh Internet Tòa án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư điện tử được lưu trữ trên các máy chủ ở nước ngoài cho các nhà chức trách Mỹ. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Microsoft đã phát hành 8 bản tin an ninh và cập nhật để giải quyết chúng. Tổng cộng 24 chỗ bị tổn thương được giải quyết trong các bản cập nhật đó, 3 trong số đó được xếp hạng là Sống còn.
MS14-056, MS14-058MS14-060 tất cả các chỗ bị tổn thương được sửa đã bị khai thác mạnh thời gian qua. MS14-056 và MS14-058 được Microsoft xếp hạng Sống còn và MS14-060 được xếp hạng Quan trọng. Xem Nhiều chỗ bị tổn thương ngày số 0 tích cực được vá hôm nay để có thêm chi tiết về một vài cuộc tấn công đó.
  • MS14-056: Cập nhật An ninh Cộng dồn cho Internet Explorer (2987107) — 14 trong 24 chỗ bị tổn thương được giải quyết hôm nay là trong bản cập nhật này. Một trong số chúng đã bị khai thác mạnh rồi. Lưu ý là các phiên bản mới hôm nay của IE10 và 11 cũng bao gồm cả phiên bản mới của Adobe Flash Player.
  • MS14-057: Các chỗ bị tổn thương trong .NET Framework có thể cho phép thực thi mã ở xa (3000414) — Bản cập nhật này sửa 3 chỗ bị tổn thương, ít nhất một trong số đó ảnh hưởng tới tất cả các phiên bản được hỗ trợ của .NET và Windows. Lỗi thực thi kiểm soát ở xa nghiêm trọng nhất có thể cho phép thực thi mã nếu một kẻ tấn công gửi một yêu cầu URI giả mạo chứa các ký tự quốc tế tới ứng dụng web của .NET.
Microsoft has released eight security bulletins and updates to address them. A total of 24 vulnerabilities are addressed in these updates, three of which are rated Critical.
MS14-056, MS14-058 and MS14-060 all fix vulnerabilities which have been exploited in the wild for some time. MS14-056 and MS14-058 are rated Critical by Microsoft and MS14-060 gets a lesser Important rating. See Multiple active zero-day vulnerabilities patched today for more details on some of these attacks.
  • MS14-056: Cumulative Security Update for Internet Explorer (2987107) — 14 of the 24 vulnerabilities fixed today are in this update. One of them has already been exploited in the wild. Note that today's new versions of IE 10 and 11 also include a new version of Adobe Flash Player.
  • MS14-057: Vulnerabilities in .NET Framework Could Allow Remote Code Execution (3000414) — This update fixes three vulnerabilities, at least one of which affects all supported versions of .NET and Windows. The most severe is a remote control execution bug that could allow remote code execution if an attacker sends a specially crafted URI request containing international characters to a .NET web application.
  • MS14-058: Vulnerability in Kernel-Mode Driver Could Allow Remote Code Execution (3000061) — This update fixes two vulnerabilities reported by FireEye which could be used to gain privileged access and to execute remote code.
  • MS14-059: Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (2990942) — An attacker who convinced a user to click on a link to a malicious web site could then use that access to exploit other web sites.
  • MS14-060: Vulnerability in Windows OLE Could Allow Remote Code Execution (3000869) — An attacker who convinced a user to open a malicious Office document could gain remote code execution.
  • MS14-061: Vulnerability in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (3000434) — A malicious Word document could be used to compromise the user who opened it.
  • MS14-058: Chỗ bị tổn thương trong Kernel-Mode Driver có thể cho phép thực thi mã ở xa (3000061) — Bản cập nhật này sửa 2 chỗ bị tổn thương được FireEye nêu mà có thể được sử dụng để giành được sự truy cập có quyền ưu tiên và thực thi mã ở xa.
  • MS14-059: Chỗ bị tổn thương trong ASP.NET MVC có thể cho phép bỏ qua tính năng an ninh (2990942) — Một kẻ tấn công đã thuyết phục một người sử dụng nháy vào một liên kết tới một website độc hại có thể sau đó sử dụng sự truy cập đó để khai thác các website khác.
  • MS14-060: Chỗ bị tổn thương trong Windows OLE có thể cho phép thực thi mã ở xa (3000869) — Một kẻ tấn công đã thuyết phục một người sử dụng mở một tài liệu Office độc hại có thể giành được sự thực thi mã ở xa.
  • MS14-061: Chỗ bị tổn thương trong Microsoft Word and Office Web Apps có thể cho phép thực thi mã ở xa (3000434) — Một tài liệu Word độc hại có thể được sử dụng để làm tổn thương người sử dụng mà mở nó.
  • MS14-062: Chỗ bị tổn thương trong Message Queuing Service có thể leo thang quyền ưu tiên (2993254) — Một yêu cầu kiểm soát đầu vào/đầu ra bị làm giả đặc biệt (IOCTL) tới dịch vụ Message Queuing có thể gây ra sự leo tháng quyền ưu tiên.
  • MS14-063: Chỗ bị tổn thương trong FAT32 Disk Partition Driver có thể cho phép leo thang quyền ưu tiên (2998579) — Windows Server 2003, Windows Vista, và Windows Server 2008 có thể bị tổn thương qua sự quản lý không đúng các phân vùng FAT32.
Microsoft cũng đã tiết lộ vài nbản cập nhật không an ninh:
Cuối cùng, có một phiên bản mới của Công cụ Loại bỏ Phần mềm Độc hại Windows (Windows Malicious Software Removal Tool). Như được Microsoft mô tả, phiên bản này đề cập tới nhiều họ phần mềm độc hại mới: Win32/Hikiti, Win32/Mdmbot, Win32/Moudoor, Win32/Plugx, Win32/Sensode, và Win32/Derusbi.
  • MS14-062: Vulnerability in Message Queuing Service Could Allow Elevation of Privilege (2993254) — A specially crafted input/output control (IOCTL) request to the Message Queuing service could cause elevation of privilege.
  • MS14-063: Vulnerability in FAT32 Disk Partition Driver Could Allow Elevation of Privilege (2998579) — Windows Server 2003, Windows Vista, and Windows Server 2008 could be compromised through improper management of FAT32 partitions.
Microsoft has also released several non-security updates:
Finally, there is a new version of the Windows Malicious Software Removal Tool. As described by Microsoft, this version addresses many new families of malware: Win32/Hikiti, Win32/Mdmbot, Win32/Moudoor, Win32/Plugx, Win32/Sensode, and Win32/Derusbi.
Dịch: Lê Trung Nghĩa


Bản vá ngày thứ Ba tháng 10/2014 giải quyết 4 khai thác ngày số 0 đang hoạt động


October 2014 Patch Tuesday addresses four active zero-day exploits
by: Brandan Blevins News Writer, published: 14 Oct 2014
Bài được đưa lên Internet ngày: 14/10/2014
Lời người dịch: Cuối cùng thì trong Bản vá ngày thứ Ba tháng 10/2014, chỉ có 8 chứ không phải 9 bản tin, và có 4 khai thác ngày số 0, đặc biệt trong đó có lỗi ngày số 0 MS14-060, nhưng chỉ được Microsoft xếp hạng là 'Quan trọng' thay vì 'Sống còn'. Không có bản vá nào cho Windows XP!. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer và Windows. Nguy hiểm: Microsoft làm việc với FBI để phá an ninh Internet Tòa án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư điện tử được lưu trữ trên các máy chủ ở nước ngoài cho các nhà chức trách Mỹ. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Một trong các lỗi ngày số 0 được sửa trong Bản vá Ngày thứ Ba tháng 10/2014 đã từng được sử dụng trong các cuộc tấn công chống lại NATO và các tổ chức khác, trong khi FireEye đã phát hiện thêm 2 lỗi ngày số 0 đang được sử dụng trong các cuộc tấn công có chủ đích.
Microsoft hôm nay đã phát hành tổng cộng 8 bản tin an ninh đề cập tới 24 chỗ bị tổn thương độc nhất như một phần của phát hành Bản vá ngày thứ Ba tháng 10/2014, với hầu hết các bản cập nhật đáng chủ ý nhằm vào 4 khai thác ngày số 0 đã được phát hiện gần đây đang phát tác.
Chỗ bị tổn thương ngày số 0 đầu tiên, CVE-2014-4114, được được nhà cung cấp tri thức về các mối đe dọa iSIGHT Partners phát hiện vào tháng 8, đã làm việc với Microsoft trong các tuần tiếp sau để chia sẻ các thông tin kỹ thuật về mối đe dọa đó.
Lỗi đó ảnh hưởng tới tất cả các phiên bản Windows được hỗ trợ cũng như Windows Server 2008 và 2012, xuất phát từ mong muốn của Windows cho phép trình đóng gói OLE tải về và chạy các tệp INF. Những kẻ tấn công đã chiếm đoạt về mặt kỹ thuật để phân phối các tệp PowerPoint tham chiếu tới các tệp INF độc hại, bên ngoài, theo một bài viết trên blog trên website của iSIGHT Partners; Một khi khai thác đó được ngắm đích, chúng giành được khả năng để thực thi mã từ xa trên máy tính của một nạn nhân.
Hãng này nói lỗi từng đang được khai thác tích cực từ đội tin tặc của Nga có tên là 'Sandworm Team' - trước đó đã tham chiếu tới từ hãng F-Secure có trụ sở ở Phần Lan như là Quedach - trong một chiến dịch vào tháng 12/2013 chống lại Liên minh NATO, chính phủ Ukraine và các tổ chức có liên quan khác trong cuộc xung đột quân sự gần đây ở Ukraine.
Bản tin MS14-060 giải quyết lỗi ngày số 0 cao độ, nhưng từng chỉ được Microsoft xếp hạng như một bản cập nhật 'Quan trọng' vì những người sử dụng vẫn phải bị lừa gạt trong việc ở một tệp độc hại. Hơn nữa, Wolfgang Kandek, CTO cho thành phố Redwood, nhà bán hàng Qualys Inc. quản lý chỗ bị tổn thương có trụ sở ở California, đã cảnh báo các nhà quản trị rằng hộ sẽ không phớt lờ việc áp dụng bán vá đó.
“Chỗ bị tổn thương dường như rất thẳng thừng để khai thác”, Kandek nói, “có nghĩa là ngay khi bản vá được phát hành, chúng ta có thể kỳ vọng số lượng các cuộc tấn côgn chống lại chỗ bị tổn thương đó tăng nhanh chóng”.
Bản tin sống còn MS14-058 đã vá 2 chỗ bị tổn thương ngày số 0 nữa, CVE 2014-2014-4148 và CVE-2014-4113, chúng từng được tìm thấy trong tất cả các phiên bản Windows và Windows Server. Nhà bán hàng dò tìm các mối đe dọa cao cấp FireEye lần đầu chộp được các lỗi đó đang bị khai thác mạnh, nhưng các nhà nghiên cứu của hãng đã không đưa ra giải thích rõ hơn trên một bài viết trên blog về các đích ngắm của các cuộc tấn công, chỉ lưu ý rằng các lỗi đó có thể đã tường được sử dụng trong các sự cố từ các tin tặc khác nhau.
CVE-2014-4148 là một chỗ bị tổn thương của phông chữ TrueType của Microsoft (TTF) mà FireEye nói từng được nhúng vào các tài liệu Microsoft Office được phân phối tới các tổ chức nạn nhân. Tệp được nhúng đó được xử lý trong chế độ nhân, nghĩa là một khai thác thành công của lỗi dó đã trao cho những kẻ tấn công sự truy cập chế độ nhân. FireEye nói chỗ bị tổn thương đó từng tương tự như với một lỗi bị khai thác trước đó, CVE-2011-3401, từng được sử dụng như một phần của các cuộc tấn công dựa vào trình duyệt.
CVE-2014-4113 là lỗi ít nghiêm trọng nhất trong số 2 lỗi mà FireEye đã phát hiện vì nó không thể được sử dụng tự mình nó để làm hại một hệ thống. Nếu được khai thác, chỗ bị tổn thương đó có thể được sử dụng như một phần của một cuộc tấn công leo thang quyền ưu tiên cục bộ, những để làm thế, các nhà nghiên cứu của FireEye nói thì một kẻ tấn công có thể trước hết phải có được sự truy cập tới một hệ thống ở xa chạy một hệ điều hành bị tổn thương.
Lỗi cuối cùng trong 4 chỗ bị tổn thương ngày số 0 được nêu tháng này, CVE-2014-4123, là một lỗi leo thang quyền ưu tiên khác dựa vào sự bỏ qua một hộp cát của Internet Explorer. Microsoft nói nhận thức được về các cuộc tấn công có giới hạn sử dụng chỗ bị tổn thương đó - được vá như một phần của bản tin sống còn MS14-056 mà được dập tắc tổng 14 chỗ bị tổn thương trong Internet Explorer - nhưng không có thêm thông tin về các mục tiêu đã được làm cho sẵn sàng.
Bản tin đáng chủ ý khác tháng này, MS14-057, có thể không đặc trưng bằng một sửa lỗi ngày số 0, nhưng nó từng chỉ là một bản cập nhật khác được Microsoft xếp hạng sống còn. Bản tin đó đã giải quyết 3 chỗ bị tổn thương được báo cáo riêng tư trong khung .NET của Microsoft, nghiêm trọng nhất trong số chúng có thể bị bật lên bằng việc gửi đi các yêu cầu URI độc hại tới một ứng dụng .NET cho phép các kẻ tấn công thực thi mã ở xa.
Ross Barret, giám đốc an ninh cao cấp ở Rapid7, nói rằng trong khi chỗ bị tổn thương Sandworm không được iSIGHT phát hiện có thể ảnh hưởng tới tất cả ác phiên bản được hỗ trợ của Windows, thì các nhà quản trị hệ thống và những người sử dụng không nên hoảng loạn vì nó không phải có khả năng bị khai thác ở xa giống như một vài các lỗi được đề cập tới trong các bản tin sống còn tháng này. Thay vào đó, chúng sẽ dựa vào chỉ dẫn của Microsoft khi xác định các chỗ sửa nào phải áp dụng trước tiên.
“Các [bản tin sống còn] đó sẽ là các ưu tiên vá hàng đầu”, Barret nói, “có thể với vấn đề IE đang là rủi ro nhất cho sự khai thác”.
4 bản tin còn lại trong Bản vá ngày thứ Ba tháng 10/2014 tất cả được Microsoft xếp hạng là quan trọng, và đã giải quyết nhiều chỗ bị tổn thương khắp các phiên bản khác nhau của Microsoft Office, Windows, ASP.NET và Windows Server. Lưu ý, số các bản tin được đưa vào trong phát hành cuối cùng từng ít hơn 1 của tổng mà Microsoft ban đầu đã có kế hoạch đưa ra.
“Phiên bản sớm tuần trước đã nhắc tới 9 bản tin, có nghĩa là 1 bản tin đã bị rút đi, giả thiết là do các vấn đề chất lượng hoặc thiếu một sửa lỗi phù hợp”, Tyler Reguly, giám đốc nghiên cứu an ninh ở hãng Tripwire có trụ sở ở Portland, Oregon, nói. “Là tốt để biết vì sao có một sự khác biệt giữa phiên bản sớm và sự bỏ bản vá cuối cùng nhưng tôi đồ là có thứ gì đó chúng ta sẽ không bao giờ biết được”.
One of the zero days fixed in the October 2014 Patch Tuesday had been used in attacks against NATO and others, while FireEye discovered two more being used in targeted attacks.
Microsoft today delivered a total of eight security bulletins addressing 24 unique vulnerabilities as part of its October 2014 Patch Tuesday release, with the most notable updates aimed at four zero-day exploits that were recently discovered in the wild.
The first of the zero-day vulnerabilities, CVE-2014-4114, was discovered in August by threat intelligence vendor iSIGHT Partners, which worked with Microsoft in the following weeks to share technical information on the threat.
The flaw, which affects all supported versions of Windows as well as Windows Server 2008 and 2012, stems from Windows willingness to allow the OLE packager to download and execute INF files. Attackers seized on that technical facet to deliver PowerPoint files that reference external, malicious INF files, according to a blog post on the iSIGHT Partners website; Once the exploit is triggered, they gain the ability to execute code remotely on a victim's machine.
The firm said the flaw was being actively exploited by Russia-based hacker squad 'Sandworm Team' – previously referred to by Finland-based F-Secure as Quedach – in a campaign dating back to at least December 2013 against the NATO Alliance, the Ukrainian government, and other organizations involved in the recent military conflict in Ukraine.
Bulletin MS14-060 resolves the high-profile zero day, but was only rated as an 'Important' update by Microsoft because users must still be tricked into opening a malicious file. Still, Wolfgang Kandek, CTO for Redwood City, California-based vulnerability management vendor Qualys Inc., warned administrators that they shouldn't put off applying the patch.
"The vulnerability seems to be very straightforward to exploit," said Kandek, "which means as soon as the patch is out, we can expect the number of attacks against that vulnerability to go up quickly."
Critical bulletin MS14-058 patched two more zero-day vulnerabilities, CVE 2014-2014-4148 and CVE-2014-4113, that were found in all supported versions of Windows and Windows Server. Advanced threat detection vendor FireEye first spotted the flaws being exploited in the wild, but the company's researchers did not provide further clarification in a blog post on the targets of the attacks, only noting that the flaws may have been used in unrelated incidents by different attackers.
CVE-2014-4148 is a Microsoft TrueType Font (TTF) vulnerability that FireEye said was embedded in Microsoft Office documents delivered to victim organizations. The embedded file is processed in kernel-mode, meaning a successful exploit of the flaw granted attackers kernel-mode access. FireEye said the vulnerability was akin to a previous exploited flaw, CVE-2011-3401, which was used as part of browser-based attacks.
CVE-2014-4113 is the less severe bug of the two FireEye discovered because it cannot be used on its own to compromise a system. If exploited, the vulnerability can be used as part of a local elevation of privilege attack, but to do that, FireEye's researchers said an attacker would first have to gain access to a remote system running a vulnerable operating system.
The final of the four zero-day vulnerabilities reported this month, CVE-2014-4123, is another elevation of privilege flaw that relies on an Internet Explorer sandbox bypass. Microsoft said it is aware of limited attacks using the vulnerability -- patched as part of the critical bulletin MS14-056 that quashed a total of 14 vulnerabilities in Internet Explorer – but no further information on the targets was made available.
The other notable bulletin this month, MS14-057, may not have featured a zero-day fix, but it was the only other update rated as critical by Microsoft. The bulletin resolved three privately reported vulnerabilities in Microsoft's .NET framework, the most severe of which could be triggered by sending malicious URI requests to a .NET application allowing attackers to remotely execute code.
Ross Barret, senior manager of security engineering at Rapid7, said that while the Sandworm vulnerability uncovered by iSIGHT may affect all supported versions of Windows, system administrators and users shouldn't panic because it isn't remotely exploitable like some of the flaws covered in this month's critical bulletins. Instead, they should rely on Microsoft's guidance when determining which fixes to apply first.
"These [critical bulletins] will be the top patching priorities," said Barret, "probably with the IE issue being the most at risk for exploitation."
The remaining four bulletins in the October 2014 Patch Tuesday release were all rated important by Microsoft, and addressed a variety of vulnerabilities across various versions of Microsoft Office, Windows, ASP.NET and Windows Server. Notably, the number of bulletins included in the final release was one short of the total that Microsoft initially planned to deliver.
"Last week’s prerelease mentioned nine bulletins, which means one has been pulled, presumably for quality issues or lack of [an] adequate fix," said Tyler Reguly, manager of security research at Portland, Oregon-based Tripwire. "It'd be nice to know why there's a variance between the prerelease and the final patch drop but I doubt that's something we'll ever learn."
Dịch: Lê Trung Nghĩa