Thứ Năm, 26 tháng 2, 2015

'Funky Citizens' liên quan tới người nộp thuế trong việc kiểm tra ngân sách thành phố


'Funky Citizens' involves taxpayers in checking municipal budget
Submitted by Adrian Offerman on February 25, 2015
Bài được đưa lên Internet ngày: 25/02/2015
Funky Citizens (các công dân nhát gan), một sáng kiến dân sự của Rumani để xây dựng các công cụ bảo vệ trực tuyến hướng dữ liệu, dựa vào nghiên cứu, đang mời mọc những người đi theo mình tham gia vào việc phân tích ngân sách thành phố Cluj-Napoca. Động thái này đã bật lên sau vài lỗi đã được tìm thấy trong ngân sách sơ bộ năm 2015. Theo Funky Citizens, chính quyền thành phố đã phản ứng cởi mở và nhanh chóng khi đối diện với các lỗi đó.

Funky Citizens đã bắt đầu bằng 4 sinh viên tốt nghiệp đại học nhiệt tình về luật, khoa học chính trị và kinh tế. Các sinh viên tốt nghiệp đó đang đấu tranh với những gì họ thấy như một sự thiếu trách nhiệm giải trình trong quản lý tiền công ở Rumani. Website đó cung cấp cho các công dân sự thấu hiểu trong cách mà tiền công được chi tiêu và đưa ra các công cụ để tham gia trong việc ra các quyết định về ngân sách ở mức quốc gia và địa phương.

Sự tham gia
Tổ chức này hầu hết được biết vì cổng của nó banipierduti.ro - tàu đô đốc (flagship), như họ gọi nó - nhằm vào sự tham gia của những người đóng thuế trong các quy trình ra quyết định có liên quan tới chi tiêu công. Gần đây, họ đã khởi xướng cổng factual.ro, nơi mà các tuyên bố được các quan chức chính phủ thực hiện được kiểm tra sự việc.

Các hoạt động khác có liên quan tới lĩnh vực cải cách tốt điều hành và pháp luật bao gồm: cơ chế thành viên của nền tảng xã hội dân sự giám sát Chiến lược Chống tham nhũng Quốc gia; cơ chế thành viên của liên minh 10 tổ chức phi chính phủ (NGO) tham gia trong quá trình rà soát lại hiến pháp; sự tham gia liên tục nhân danh xã hội dân sự trong các hoạt động để triển khai Đối tác Chính phủ Mở - OGP (Open Government Partnership) ở Rumani; và bảo vệ để triển khai UNCAC ở Rumani.

Funky Citizens, a Romanian civic initiative to build research-based, data-driven online advocacy tools, is inviting its followers to participate in analysing the municipal budget of Cluj-Napoca. This move was triggered after several errors were found in the 2015 draft budget. According to Funky Citizens, the municipal government reacted openly and quickly when confronted with these errors.
Funky Citizens was started by four passionate university graduates in law, political science and economics. These graduates are fighting what they see as a lack of accountability in the management of public money in Romania. The website provides citizens with insight into how public money is spent and offers tools to participate in making budgetary decisions at national and local level.
Participation
The organisation is most known for its banipierduti.ro portal — their flagship, as they call it — which aims at engaging taxpayers in decision-making processes related to public spending. Recently, they launched the factual.ro portal, where statements made by government officials are fact-checked.
Other activities related to the area of good governance and justice reform include: membership of the civil society platform monitoring the National Anticorruption Strategy; membership of a coalition of 10 NGOs engaged in the process of revising the constitution; constant participation on behalf of civil society in activities for the implementation of the Open Government Partnership (OGP) in Romania; and advocacy for the implementation of the UNCAC in Romania.
Dịch: Lê Trung Nghĩa

Thứ Tư, 25 tháng 2, 2015

Vì sao truy cập mở là vấn đề


Why open access matters
Posted 20 Feb 2015 by Opensource.com
Bài được đưa lên Internet ngày: 20/02/2015

Hãy tưởng tượng một thế giới nơi mà các nhà khoa học và các nhà sáng tạo đã không có sự truy cập tới sự hoàn thành của các thế hệ trước chúng ta. Cái bánh xe có thể, hoàn toàn đúng nghĩa, cần phải được ai đó sáng chế lại mà đi với và muốn tiến lên phía trước.

Việc gọi điều này là một thời kỳ đen tối có thể không quá xá. “Đứng trên vai những người khổng lồ” đã trở thành một câu thần chú tiêu chuẩn của các nhà khoa học từ hàng trăm năm trước cho tới nay. Có khả năng truy cập các nghiên cứu và tác phẩm uyên thâm của những người khác là một phần sống còn cho việc tiên tiến sự hiểu biết của loài người và thế giới xung quanh chúng ta. Chìa khóa cho điều này trong kỷ nguyên hiện đại là truy cập mở. “Truy cập mở tham chiếu tới thực tiễn của việc làm cho nghiên cứu và văn học uyên thâm được rà soát lại ngang hàng có sẵn một cách tự do trên trực tuyến cho bất kỳ ai có quan tâm trong việc đọc nó”.

Để học được nhiều hơn về truy cập mở, chúng tôi hân hạnh trình bày một tài nguyên truy cập mở, điều giúp trả lời bất kỳ câu hỏi nền tảng nào xung quanh truy cập mở và chia sẻ sự uyên thâm.

  • Truy cập mở là gì?
  • Nguồn gốc của truy cập mở là gì?
  • Vì sao truy cập mở là vấn đề?
  • Ai hưởng lợi từ truy cập mở?
  • Tôi có thể làm gì để khuyến khích truy cập mở?
  • Ở đâu tôi có thể học được nhiều hơn về truy cập mở?
Vì thế hãy kiểm tra đàu ra đối với các tài nguyên truy cập mở, học một chút nhiều hơn về truy cập mở, và nếu bạn có câu hỏi, hãy cho chúng tôi biết ở đây trong các bình luận!
Imagine a world where scientists and inventors had no access to the accomplishments of the generations which came before us. The wheel would, quite literally, need to be reinvented by everyone who came along and wanted to move forward.
Calling this a dark age would be no exaggeration. "Standing on the shoulders of giants" has become a standard mantra of scientists for now hundreds of years. Being able to access the research and scholarly works of others is a critical part to advancing our understanding of humanity and the world around us. Key to this in the modern age is open access. "Open access refers to the practice of making peer-reviewed scholarly research and literature freely available online to anyone interested in reading it."
To learn more about open access, we're proud to present a new open access resource, which helps to answer many of the fundamental questions around open access and scholarly sharing.
What is open access?
What are the origins of open access?
Why does open access matter?
Who benefits from open access?
What can I do to encourage open access?
Where can I learn more about open access?

So check out our new open access resource, learn a little bit more about open access, and if you've got question, let us know here in the comments!
Dịch: Lê Trung Nghĩa

Thứ Ba, 24 tháng 2, 2015

Vùng Brussels tích hợp các dịch vụ CNTT-TT


Brussels region to integrate ICT services
Submitted by Gijs Hillenius on February 18, 2015
Bài được đưa lên Internet ngày: 18/02/2015
Vùng Brussels - thủ đô của Bỉ đang làm việc trong một Kiến trúc Hướng Dịch vụ (Service-Oriented Architecture) để cho phép nhiều phòng và tổ chức của nó trao đổi thông tin và tích hợp các dịch vụ CNTT-TT. Mùa hè năm ngoái, nghị viện vùng này đã để Trung tâm Thông tin Vùng Brussels - BRIC (Brussels Regional Informatics Centre) có trách nhiệm của “nhà tích hợp các dịch vụ vùng”.

BRIC có mục tiêu có các trao đổi đầu tiên và chạy vào cuối năm nay.

Quyết định của nghị viện vùng Brussels khẳng định vai trò dịch vụ CNTT-TT trung ương của BRIC. BRIC hành động như một người trung gian dịch vụ CNTT-TT giữa các công dân, các nhà chức trách vùng, các cơ sở giáo dục và các bệnh viện.

“Chúng ta đang làm việc trong cả tổ chức quản lý và các công cụ CNTT-TT mà cho phép chúng ta triển khai các nhiệm vụ đó”, một người phát ngồn cho BRIC nói. Đội này đang đưa ra cách thức tốt nhất để quản lý và điều hành các kết nối giữa các cơ quan hành chính nhà nước và các công dân và các dịch vụ tích hợp. BRIC đã quyết định rằng cái gọi là Kiến trúc Hướng Dịch vụ - SOA (Service-Oriented Architecture) và enterprise service bus (ESB) là giải pháp CNTT-TT tốt nhất cho nhiều nhiệm vụ trao đổi.

“Có nhiều yêu cầu kỹ thuật và trách nhiệm pháp lý để xây dựng”, người phát ngôn nói. Trong pha đầu, BRIC nhằm cung cấp sự truy cập tới các dịch vụ đang tồn tại càng nhiều có thể càng tốt, bao gồm các dịch vụ được Ngân hàng An sinh Xã hội Crossroads của Bỉ (Belgium’s Crossroads Bank for Social Security) và CNTT-TT Liên bang của nước này (Fedict) chào và tổ chức dịch vụ. “Chúng tôi nhằm chào kênh hoàn chỉnh đầu tiên vào cuối năm nay”. Trong pha tiếp sau, các dịch vụ web mới sẽ được phát triển để kết nối với cái gọi là 'các nguồn xác thực của vùng' tới ESB.

Nền tảng SOA là dựa vào các giải pháp nguồn mở đang tồn tại, được triển khai với sự trợ giúp của
các nhà tư vấn CNTT-TT có hợp đồng. BRIC sẽ đặt chỗ cho giải pháp trong trung tâm dữ liệu của riêng nó.
Belgium’s Brussels-Capital Region is working on a Service-Oriented Architecture to allow its many departments and organisations to exchange information and integrate their ICT services. Last summer, the region’s parliament made the Brussels Regional Informatics Centre (BRIC) responsible for the “regional services integrator”.
BRIC aims to have the first exchanges up and running at the end of this year.
The decision by the Brussels region parliament affirms BRIC’s central ICT service role. BRIC acts as an ICT service intermediary between citizens, regional authorities, administrations and agencies, municipal institutions, local administrations and authorities, educational institutions and hospitals.
“We are working on both the management organisation and the ICT tools that allow us to carry out these tasks”, a spokesperson for BRIC says. The team is figuring out the best way to manage and govern the connections between public administrations and citizens and the integrated services. BRIC decided that the so-called Service-Oriented Architecture (SOA) and enterprise service bus (ESB) are the best ICT solution for the many exchange tasks.
“There are many technical requirements and legal obligations to build in”, the spokesperson says. In the first phase, BRIC aims to provide access to existing services as much as possible, including those offered by Belgium’s Crossroads Bank for Social Security and the country’s Federal ICT service organisation Fedict. “We aim to offer the first complete channel at the end of this year.” In the next phase, new web services will be developed to connected so-called ‘regional authentic sources’ to the ESB.
The SOA platform is based on existing open source solutions, implemented with the help of contracted ICT consultants. BRIC will host the solution in its own data centre.
Dịch: Lê Trung Nghĩa

Thứ Hai, 23 tháng 2, 2015

Nói cho Lenovo: hãy tôn trọng quyền tự do của người sử dụng và ngăn chặn Superfish trong tương lai



Tell Lenovo: respect user freedom and prevent future Superfishes
by Zak Rogoff — Published on Feb 20, 2015 03:55 PM
Bài được đưa lên Internet ngày: 20/02/2015
Lời người dịch: Nhân việc “Các chuyên gia về an toàn đã phát hiện một chỗ bị tổn thương đe dọa cao trong phần mềm được cài đặt sẵn trên một số máy tính Windows do Lenovo sản xuất trong tháng 01/2015”, Quỹ Phần mềm Tự do đã lên tiếng phản đối, trong đó có đoạn mà rất đáng chú ý sau: “Các chỗ bị tổn thương về an toàn mức cao gần đây trong PMTD, như HeartbleedPOODLE, đã được tạo ra khi các lập trình viên có ý định tốt đã mắc các sai lầm mà đã khó để dò tìm ra. Nhưng điều đó là khác - Lenovo và Superfish đã gây ra một lỗ hổng về an toàn khổng lồ vì lợi ích của động cơ tạo doanh thu cho quảng cáo”. Đáng tiếc là ở Việt Nam ít người phân biệt được điều này, hoặc cũng có thể, nhiều người thích xuyên tạc điều này.

Các chuyên gia về an toàn đã phát hiện một chỗ bị tổn thương đe dọa cao trong phần mềm được cài đặt sẵn trên một số máy tính Windows do Lenovo sản xuất trong tháng 01/2015. Sự cẩu thả cực kỳ ở phía Lenovo và việc lập trình vô lương tâm của đối tác phần mềm quảng cáo Superfish của nó dường như đã gây ra chỗ bị tổn thương đó.

Điều cơ bản của vấn đề là một chương trình của Superfish được thiết kế để tiêm vào các quảng cáo trong trình duyệt web của người sử dụng. Điều đó đang gia tăng, mà nó ngày một tệ hơn. Superfish cũng cài đặt một chứng thực mà chặn giao thông Web và đánh què khả năng của máy tính sử dụng HTTPS để kiểm tra hợp lệ xác thực các website. Điều này để lại một cửa hậu cho những kẻ tấn công sử dụng các phiên bản giả mạo của các site đáng ra là có an toàn - giống như các website ngân hàng - để ăn cắp thông tin cá nhân. Bạn có thể đọc được nhiều hơn về chỗ bị tổn thương này ở Ars Technica.

Bất kể khi nào sử dụng các phần mềm sở hữu độc quyền như Windows hoặc Superfish, đúng, có thể tin, an toàn có thể xác minh luôn không đạt được. Vì mã sở hữu độc quyền không thể thanh tra được một cách công khai, không có cách gì để kiểm tra hợp lệ an toàn của nó được. Những người sử dụng phải tin rằng mã đó là an toàn và các công việc như được quảng cáo. Vì mã sở hữu độc quyền chỉ có thể được sửa đổi bởi các lập trình viên mà yêu sách để sở hữu nó, những người sử dụng bất lực phải chọn cách trong đó các lỗi về an toàn được sửa. Với các phần mềm sở hữu độc quyền, an toàn của người sử dụng là đứng sau sự kiểm soát của lập trình viên.

Các chỗ bị tổn thương về an toàn mức cao gần đây trong PMTD, như HeartbleedPOODLE, đã được tạo ra khi các lập trình viên có ý định tốt đã mắc các sai lầm mà đã khó để dò tìm ra. Nhưng điều đó là khác - Lenovo và Superfish đã gây ra một lỗ hổng về an toàn khổng lồ vì lợi ích của động cơ tạo doanh thu cho quảng cáo.

Các công ty đó đã chỉ ra sự coi thường trắng trợn đối với lòng tin của công chúng mà họ sẽ phải làm việc cật lực để khôi phục nó. Lenovo nên làm việc với bên thứ 3 cam kết vì lợi ích của công chúng - như Quỹ Phần mềm Tự do - để tạo ra và bán các máy tính xách tay được chứng thực tôn trọng sự tự do của người sử dụng và đi với một hệ điều hành tự do được cài đặt sẵn. Hãy ra nhập với chúng tôi trong việc kêu gọi vì sự thay đổi này trên các mạng xã hội (xem khuyến cáo của chúng tôi về các nền tảng phương tiện xã hội).

Security experts have discovered a highly threatening vulnerability in software preinstalled on some Windows computers manufactured by Lenovo through January 2015. Extreme negligence on the part of Lenovo and unscrupulous programming by its adware partner Superfish seem to have caused the vulnerability.
The basis of the problem is a program by Superfish that is designed to interject advertisements into users' Web browsing. That's irritating, but it gets worse. Superfish also installs a certificate that intercepts Web traffic and cripples the host computer's ability to use HTTPS to validate the authenticity of Web sites. This leaves an open door for attackers to use fake versions of sites that should be secure -- like bank Web sites -- to steal personal information. You can read more about the vulnerability at Ars Technica.
Whenever you use proprietary software like Windows or Superfish, true, trustable, verifiable security is always out of reach. Because proprietary code can't be publicly inspected, there's no way to validate its security. Users have to trust that the code is safe and works as advertised. Since proprietary code can only be modified by the developers who claim to own it, users are powerless to choose the manner in which security bugs are fixed. With proprietary software, user security is secondary to developer control.
Recent high-profile security vulnerabilities in free software, like Heartbleed and POODLE, were created when well-intentioned developers made mistakes that were difficult to detect. But this is different -- Lenovo and Superfish caused a massive security breach for the sake of expedience in generating ad revenue.
These companies have shown such blatant disregard for the public trust that they will have to work hard to restore it. Lenovo should work with a third party committed to the public interest -- like the Free Software Foundation -- to create and sell laptops that are certified to respect user freedom and come with a preinstalled free operating system. Join us in calling for this change on social media (see our recommendations for social media platforms).
Dịch: Lê Trung Nghĩa

Thứ Tư, 18 tháng 2, 2015

Các khía cạnh pháp lý của xã hội thông tin - bản dịch sang tiếng Việt





Là tài liệu đào tạo cho những người đi huấn luyện (training trainers) về phần mềm tự do (PMTD) của các tác giả: Malcolm Bain, Manuel Gallego, Manuel Martinez ribas, Judit Rius thuộc Viện hàn lâm Công nghệ Mở - FTA (Free Technology Academy) của châu Âu trong các khóa học trực tuyến của FTA và của các Đại học thành viên của FTA gồm: (1) Đại học Mở Catalunya - Tây Ban Nha; (2) Đại học Mở - Hà Lan và (3) Đại học Agder – Nauy.


Là tài liệu được xuất bản theo khung của bằng Thạc sỹ Quốc tế về PMTD của Đại học Mở Catalunya - Tây Ban Nha. Bản dịch sang tiếng Anh của tài liệu gốc ban đầu được cấp vốn với sự trợ giúp từ Chương trình Học tập Suốt đời (Lifelong Learning Programme) của Ủy ban châu Âu (EC).


Nội dung của tài liệu này có lẽ là cần thiết cho nhiều đối tượng khác nhau, bao gồm:


  1. Các giảng viên dạy về phần mềm nói chung, PMTDNM nói riêng tại các trường đại học.
  2. Lãnh đạo các công ty có công việc kinh doanh liên quan tới PMTDNM nói riêng, các công ty phần mềm nói chung bao gồm cả các công ty khởi nghiệp. Bạn sẽ hiểu rõ được cơ sở pháp lý - hệ thống giấy phép của PMTDNM và các triết lý đằng sau nó. Nó chính là nền tảng pháp lý của sự bùng nổ các ứng dụng và các công ty đi theo thế giới PMTDNM mà bạn đang thấy hiện nay và những năm sắp tới.
  3. Những người làm chính sách về phần mềm nói chung, PMTDNM nói riêng, và rộng hơn, cho những người có mong muốn xây dựng một xã hội thông tin ở Việt Nam.
  4. Có khả năng sử dụng tốt cho các nhà hoạch định chiến lược cho các công ty ở các ngành khác, không phải CNTT-TT nhưng muốn áp dụng các nguyên lý phát triển của thế giới nguồn mở cho công ty của mình.


Bản dịch sang tiếng Việt của tài liệu có 314 trang, có thể tải về theo địa chỉ:


Hà Nội, ngày 19/02/2015 (Mồng 1 Tết Ất Mùi, 2015)
Blogger: Lê Trung Nghĩa


Tin vui đêm 30 Tết




Slide Share tổng kết đúng vào tối 30 Tết Âm lịch Ất Mùi, 2015. Vui phết.
Bản gốc:
http://www.slideshare.net/top-stats/lnghia/6PQJAg?utm_source=YIR_top5&utm_medium=ssemail&utm_campaign=YIRhttp://www.slideshare.net/top-stats/lnghia/6PQJAg?utm_source=YIR_top5&utm_medium=ssemail&utm_campaign=YIR


Blogger: Lê Trung Nghĩa
letrungnghia.foss@gmail.com

Thứ Năm, 12 tháng 2, 2015

Bản vá ngày thứ Ba, tháng 2/2015


Patch Tuesday February 2015
Posted by wkandek in The Laws of Vulnerabilities on Feb 10, 2015 11:19:00 AM
Bài được đưa lên Internet ngày: 10/02/2015


Lời người dịch: Trích đoạn về Bản vá ngày thứ Ba tháng 02/2015 của Microsoft: Bản tin quan trọng nhất của Microsoft, sau khi cài đặt APSB14-04 của Adobe là MS15-009, là sửa cho Internet Explorer (IE). Tất cả các phiên bản IE đều bị ảnh hưởng và bản vá chứa các miếng vá cho 41 chỗ bị tổn thương, một con số rất cao, nhưng đừng quên rằng tháng trước đã không có phát hành nào cho IE, điều giải thích con số tăng cao này”. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Bản vá ngày thứ Ba tháng 02/2015 tới sau một tháng hoàn toàn náo loạn đối với các chuyên gia an toàn thông tin. Không thật nhiều đối với Microsoft, nhưng Adobe đã và đang giữ chúng ta bận rộn với nhiều chỗ bị tổn thương ngày số 0 (0-day) được mở ra đối với phần mềm Flash của họ. Tất cả các vấn đề được biết đã rất nhanh chóng được Adobe giải quyết (APSB15-02, 0304), điển hình xoay quanh một sửa lỗi ít hơn một tuần. Hơn nữa, điều đáng lo để thấy số lượng vấn đề mà các tội phạm không gian mạng có khả năng tìm thấy trong phần mềm mà chúng ta tất cả đều đã cài đặt và sử dụng cho cuộc sống hàng ngày của chúng ta.

Bản thân Microsoft đã đưa lên 9 bản tin tháng này, 4 bản tin sửa các chỗ bị tổn thương dạng thực thi mã ở xa (RCE), và 5 bản tin được xếp hạng quan trọng giải quyết một số chỗ bị tổn thương cục bộ như leo thang quyền ưu tiên và để lộ thông tin.

Bản tin quan trọng nhất của Microsoft, sau khi cài đặt APSB14-04 của Adobe là MS15-009, là sửa cho Internet Explorer (IE). Tất cả các phiên bản IE đều bị ảnh hưởng và bản vá chứa các miếng vá cho 41 chỗ bị tổn thương, một con số rất cao, nhưng đừng quên rằng tháng trước đã không có phát hành nào cho IE, điều giải thích con số tăng cao này. Trong khi một trong những chỗ bị tổn thương đang được sử dụng trong hoang dại, thì nó không phải dạng RCE, mà “chỉ ” là một sự Mở ra Thông tin mà những kẻ tấn công đang sử dụng trong sự kết hợp với các chỗ bị tổn thương khác để giành được sự kiểm soát đối với các máy bị ngắm đích.

Tiếp tục với danh sách của chúng ta là MS15-012, nó giải quyết 3 chỗ bị tổn thương, bao gồm cả một tổn thương dạng RCE mà có thể bị sử dụng để giành lấy sự kiểm soát đối với máy tính của người sử dụng. Một kẻ tấn công có thể lừa người sử dụng mở một tài liệu được định dạng đặc biệt, thường được trợ giúp qua sử dụng kỹ thuật xã hội, nghĩa là gửi một thư điện tử với một gắn kèm gây chú ý. Vì dạng tấn công này là rất thường xuyên nên chúng ta tin tưởng bảng tin này sẽ là cao trong danh sách của bạn.

MS15-010 là một bản tin sống còn cho hệ điều hành Windows giải quyết 6 chỗ bị tổn thương mà hiện diện trong tất cả các phiên bản của hệ điều hành này bắt đầu từ Server 2003 qua Windows 8.1 và Server 2008 R2. Một trong các chỗ bị tổn thương, CVE-2015-0010 đã từng được mở ra công khai qua Dự án Zero từ Google vì giai đoạn cấm vận 90 ngày đã hết, nhưng Microsoft chỉ ra rằng họ không nhận thức được về bất kỳ cố gắng khai thác nào.

MS15-011 là một chỗ bị tổn thương thú vị trong cơ chế Chính sách Nhóm của Microsoft. Lỗi đó cung cấp thực thi mã ở xa. Kẻ tấn côgn phải lừa một người sử dụng để kết nối tới máy trạm của họ với miền độc hại của kẻ tấn công, điều đặt kẻ tấn công dứt khoát vào địa hạt của doanh nghiệp, với kể tấn công kiểm soát miền kiểm soát hoặc có khả năng chụp như miền kiểm soát. Đủ thú vị Microsoft đang không giải quyết chỗ bị tổn thương trong Windows Server 2003, mà nêu rằng sửa lỗi đó có thể quá tràn lan không đảm bảo cho 2003 tiếp tục hoạt động được. Một lý do nữa để rời khỏi nền tảng Server 2003 càng sớm càng tốt, bổ sung thêm vào sự kết thúc vòng đời của nền tảng này vào tháng 07 năm nay.

Các bản tin còn lại giải quyết các vấn đề cục bộ trong Office (MS15-013) với một vấn đề của ASLR, Chính sách Nhóm (MS15-014), Windows (MS15-015 và MS15-016) và Trình quản lý Máy Ảo trong Server 2012 (MS15-017). Có một chút thông tin hơn về MS15-016 trong bài viết trên blog của Michal Zalewski, nơi mà ông chi tiết hóa rằng nó đã được thấy qua chương trình afl-fuzz của ông, một công cụ của cảnh sát mà ông đã mài giũa khoảng vào năm ngoái, afl-fuzz thấy vài lỗi đáng ngạc nhiên, nhưng trong trường hợp này ông chỉ chỉ ra Microsoft đã giải quyết vấn đề hoàn toàn nhanh trong chính xác 60 ngày từ khi mở để vá.
Toàn bộ khá bình thường Bản vá ngày thứ Ba từ Microsoft, với một Bản vá lớn hơn bình thường cho Internet Explorer.
February Patch Tuesday 2015 comes after a quite turbulent month for information security professionals. Not so much Microsoft, but Adobe has been keeping us busy with multiple disclosed 0-day vulnerabilities their Flash software. All of the known issues have been very quickly addressed by Adobe (APSB15-02, 03 and 04), typically turning around a fix in less than a week. Still, it is worrisome to see the amount of problems that cyber criminals are able to find in software that we all have installed and use in our daily lives.
Microsoft itself posted nine bulletins this month, four that fix remote code execution (RCE) type vulnerabilities, and five that are rated important addressing a number of of local vulnerabilities such as elevation of privilege and information disclosures.
The most important Microsoft bulletin, after installing Adobe’s APSB14-04 is MS15-009, is the fix for Internet Explorer (IE). All versions of IE are affected and the patch contains the patches for 41 vulnerabilities, a very high count, but do not forget that last month there was no IE release, which explains this elevated number. While one of the vulnerabilities is being used in the wild, it is not of the RCE type, but “only” an Information Disclosure that attackers are using in conjunction with other vulnerabilities to gain control over the targeted machines.
Next on our list is MS15-012, which addresses three vulnerabilities, including a RCE type that can be used to gain control over the user’s machine. An attacker could trick the user into opening a specially formatted document, frequently aided through the use of social engineering, i.e. sending an email with an attachment that is of interest. Since this type of attack is quite frequent we believe this bulletin should be high on your list.
MS15-010 is a critical bulletin for the Windows Operating system addressing six vulnerabilities that are present in all versions of the operating system starting with Server 2003 through Windows 8.1 and Server 2008 R2. One of the vulnerabilities, CVE-2015-0010 has been disclosed publicly through the Project Zero from Google because its 90-day embargo period expired, but Microsoft indicates that they are unaware of any exploitation attempts.
MS15-011 is an interesting vulnerability in Microsoft Group Policy mechanism. The flaw provides remote code execution. The attacker has to trick a user to connect their client machine to the attacker’s malicious domain, which places the attack squarely into the enterprise realm, with the attacker controlling the domain controller or able to pose as domain controller. Interestingly enough Microsoft is not addressing the vulnerability in Windows Server 2003, but states that the fix would be too invasive to guarantee 2003 continued functioning. One more reason to get off the Server 2003 platform as soon as possible, in addition to the coming end-of-life of the platform in July of this year.
The remaining bulletins address local problems in Office (MS15-013) with an ASLR issue, Group Policy (MS15-014), Windows (MS15-015 and MS15-016) and the Virtual Machine Manager in Server 2012 (MS15-017). There is a bit more information about MS15-016 in the blog post by Michal Zalewski, where he details that it was found through his afl-fuzz program a fuzzing tool that he has been honing for the last year or so. afl-fuzz finds some astonishing bugs, but in this case he is just pointing out the Microsoft addressed the problem quite rapidly in exactly 60 days from disclosure to patch.
Overall a pretty normal Patch Tuesday from Microsoft, with a larger than normal Internet Explorer Patch.
Dịch: Lê Trung Nghĩa

Thứ Tư, 11 tháng 2, 2015

Bản vá ngày thứ Ba tháng 02/2015 của Microsoft: 56 chỗ bị tổn thương được sửa


Microsoft Patch Tuesday for February 2015: 56 vulnerabilities fixed
Talos Group | February 10, 2015 at 10:48 am PST
Bài được đưa lên Internet ngày: 10/02/2015


Lời người dịch: Trích đoạn: “Bản vá ngày thứ Ba tháng 02/2015 của Microsoft đã tới. Vòng của tháng này các bản cập nhật an toàn là lớn với việc Microsoft phát hành 9 bản tin giải quyết 56 chỗ bị tổn thương (CVE). 3 trong số các bản tin được xếp hạng sống còn và giải quyết các chỗ bị tổn thương trong Internet Explorer, Windows, và Group Policy. Còn lại 6 bản tin được xếp hạng là quan trọng và giải quyết các chỗ bị tổn thương trong Office, Windows, Group Policy, và System Center Manager. Các bản tin được xếp hạng sống còn: MS15-009, MS15-010, và MS15-011 được xếp hạng là sống còn”. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Bản vá ngày thứ Ba tháng 02/2015 của Microsoft đã tới. Vòng của tháng này các bản cập nhật an toàn là lớn với việc Microsoft phát hành 9 bản tin giải quyết 56 chỗ bị tổn thương (CVE). 3 trong số các bản tin được xếp hạng sống còn và giải quyết các chỗ bị tổn thương trong Internet Explorer, Windows, và Group Policy. Còn lại 6 bản tin được xếp hạng là quan trọng và giải quyết các chỗ bị tổn thương trong Office, Windows, Group Policy, và System Center Manager.

Các bản tin được xếp hạng sống còn
MS15-009, MS15-010, và MS15-011 được xếp hạng là sống còn.

MS15-009 được ngắm đích nhằm giải quyết nhiều chỗ bị tổn thương trong Internet Explorer, phiên bản từ 6-11. Tổng số, 41 CVE khác nhau đã được giải quyết với đa số lớn chúng là các CVE suwả các chỗ bị tổn thương sử dụng sau tự do mà có thể gây ra sự thực thi mã ở xa. Một vài ASLR bỏ qua, các chỗ bị tổn thương leo thang quyền ưu tiên, và một chỗ bị tổn thương để lộ thông tin liên site cũng đã được giải quyết tháng này. Bổ dụng thêm, bản tin này bao gồm một sửa lõi cho CVE-2014-8967, nó đã được công khai vào tháng 12/2014.

MS15-010 giải quyết 6 CVE trong các Trình điều khiển Chế độ Nhân Windows bao trùm vài dạng chỗ bị tổn thương. 3 chỗ bị tổn thương leo thang quyền ưu tiên (CVE-2015-0003, CVE-2015-0057, CVE-2015-0058), một chỗ bị tổn thương từ chối dịch vụ (CVE-2015-0060), và một lỗi Bỏ qua Tính năng An toàn (CVE-2015-0010, được Dự án Zero của Google đã tiết lộ vào tháng trước), tất cả đã được giải quyết trong bản cập nhật tháng này. CVE-2015-0059 cũng đã được giải quyết và là nghiêm trọng nhất với thực thi mã ở xa có khả năng vì Windows khôgn phân tích cú pháp các phông True Type đúng phù hợp.

MS15-011 giải quyết một chỗ bị tổn thương đơn giản, được báo cáo mật (CVE-2015-0008) trong Chính sách Nhóm (Group Policy) có thể cho phép thực thi mã ở xa. Đẻ chỗ bị tổn thương này khai thác được, một nạn nhân với hệ thống miền được thiết lập cấu hình có thể cần phải kết nối tới một mạng không tin cậy, như một điểm hotspot của WiFi. Như một nút đặc biệt, Windows Server 2003 được xác định có bị tổn thương, nhưng sẽ không được vá vì những hạn chế về kiến trúc hiện hành bên trong hệ điều hành.

Các bản tin được xếp hạng quan trọng
(Phần nội dung này không được dịch)

Microsoft’s Patch Tuesday for February 2015 has arrived. This month’s round of security updates is large with Microsoft releasing 9 bulletins addressing 56 CVEs. 3 of the bulletins are rated critical and address vulnerabilities within Internet Explorer, Windows, and Group Policy. The remaining 6 bulletins are rated important and address vulnerabilities in Office, Windows, Group Policy, and System Center Manager.
Bulletins Rated Critical
MS15-009, MS15-010, and MS15-011 are rated Critical.
MS15-009 is targeted at addressing multiple vulnerabilities within Internet Explorer, versions 6 through 11. In total, 41 different CVEs were addressed with the vast majority of the those CVEs fixing use-after-free vulnerabilities that could result in remote code execution. A couple ASLR bypasses, privilege escalation vulnerabilities, and a cross-site information disclosure vulnerability were also addressed this month. In addition, this bulletin includes a fix for CVE-2014-8967, which was publicly disclosed in December 2014.
MS15-010 addresses 6 CVEs within Windows Kernel Mode Drivers covering several types of vulnerabilities. 3 privilege escalation vulnerabilities (CVE-2015-0003, CVE-2015-0057, CVE-2015-0058), a denial of service vulnerability (CVE-2015-0060), and a Security Feature Bypass flaw (CVE-2015-0010, disclosed by Google’s Project Zero last month), were all addressed in this month’s update. CVE-2015-0059 was also addressed and is the most serious with remote code execution possible due to Windows failing to parse TrueType fonts properly.
MS15-011 addresses a single, privately reported vulnerability (CVE-2015-0008) within Group Policy that could allow remote code execution. In order for this vulnerability to be exploited, a victim with a domain-configured system would need to connect to an untrusted network, such a Wi-Fi hotspot. As a special note, Windows Server 2003 is identified as vulnerable, but will not be patched due to existing architecture limitations within the Operating System.
Bulletins Rated Important
MS15-012, MS15-013, MS15-014, MS15-015, MS15-016, and MS15-017 are rated Important.
MS15-012 addresses 3 privately reported vulnerabilities within Microsoft Office. All 3 vulnerabilities are remote code execution flaws that can potentially be exploited if a user opens a maliciously crafted spreadsheet with Excel (CVE-2015-0063) or a maliciously crafted document with Word (CVE-2015-0064 and CVE-2015-0065).
MS15-013 addresses a single vulnerability within Microsoft Office that was previously disclosed. CVE-2014-6362 is a use-after-free vulnerability resulting in remote code execution if a users opens a maliciously crafted document. The impact of the vulnerability, however, is mitigated if a user enforces the use ASLR.
MS15-014 addresses a single, privately reported vulnerability within Windows Group Policy. CVE-2015-0009 is a possible security-feature bypass vulnerability by way of a man-in-the-middle attack corrupting the Group Policy Security Configuration Engine policy file on a targeted system. This, in turn, forces Windows to revert the Group Policy settings to their default state, which could potentially be less secure.
MS15-015 addresses a single, privately reported vulnerability within Windows that could allow privilege escalation. CVE-2015-0062 is the result of Windows failing to validate and enforce impersonation levels when a process is created. As a special note, this vulnerability is only exploitable in specific scenarios where SeAssignPrimaryTokenPrivilege is not available for normal processes.
MS15-016 addresses a single, privately disclosed vulnerability within the Microsoft Graphic Component. CVE-2015-0061 is a simple information disclosure that could be used to gather information on the stack, potentially allowing an attacker to bypass ASLR.
MS15-017 addresses a single, privately disclosed vulnerability within Microsoft System Center 2012 R2 Virtual Machine Manager. CVE-2015-0012 is a privilege escalation vulnerability that results from Virtual Machine Manager failing to validate a user’s role, allowing an attacker to gain control of all the virtual machines controlled by the VMM server. Note that this vulnerability requires an attacker to have valid Active Directory credentials and for the attacker to be able to login using those credentials. Once an attacker has logged onto the server, they are able to gain control of all the virtual machines controlled by the VMM server.
Dịch: Lê Trung Nghĩa

Thứ Ba, 10 tháng 2, 2015

Tìm khán thính phòng lớn hơn cho công việc sáng tạo của bạn


Find a greater audience for your creative work
Posted 23 Jan 2015 by Don Watkins
Bài được đưa lên Internet ngày: 23/01/2015
Lời người dịch: Tác giả bài viết khuyến cáo rằng, để có được nhiều độc giả hoặc thính giả hơn cho các tác phẩm sáng tạo của bạn, hãy sử dụng giấy phép “Creative Commons CC BY-SA, nó tuyên bố rằng bất kỳ ai cũng có thể sử dụng cuốn sách toàn bộ hoặc một phần, nhưng bất kỳ thay đổi nào đối với nội dung phải được chia sẻ theo giấy phép y hệt”. Những ví dụ thực tế được nêu trong bài cũng chứng minh cho điều nêu trên của tác giả. Xem thêm: Giáo dục mở và tài nguyên, giấy phép tư liệu mở.
Từng có thời không xa lắm khi mà việc xuất bản từng là khó khăn và đắt giá. Nhờ các dịch vụ giống như Lulu.comLulujr.com, điều đó đang thay đổi. Việc cấp phép nguồn mở và Creative Commons cũng đã mở cánh cửa cho các giáo viên và sinh viên để tìm một cách không đắt giá và dễ dàng một khán thính phòng mới và đáng tin cho tác phẩm của họ.

Sách giáo khoa thành công với giấy phép CC BY-SA
Mariana Fossati là giám đốc ở Artica, một trung tâm văn hóa, và bà đã muốn xuất bản một cuốn sách nhưng đã không có tiền để làm thế. Vì thế, bà đã làm cho nó sẵn sàng để tải về bằng việc sử dung giấy phép Creative Commons CC BY-SA, nó tuyên bố rằng bất kỳ ai cũng có thể sử dụng cuốn sách toàn bộ hoặc một phần, nhưng bất kỳ thay đổi nào đối với nội dung phải được chia sẻ theo giấy phép y hệt. Kết quả là làm cho cuốn sách của bàn sẵn sàng theo cách thức này, định dạng cuốn sách điện tử (ebook) của nó đã được tải về hơn 4.000 lần. Cuốn sách điện tử của bà, nó đã được xuất bản ở định dạng PDF, đã được một nhà xuất bản ở Argentina tìm thấy 2 tháng sau và đã được xuất bản lại bằng bản in.

Creative Commons sẽ xây dựng sự thừa nhận tên tuổi
Nhạc công Chris Zabriskie đã chọn cấp phép cho tác phẩm của ông theo CC BY-SA. Ông hiện có 9 album sẵn sàng trên trực tuyến, và tác phẩm của ông đã được Adidas, Cartoon Network, và The Wall Street Journal chia sẻ. Vì được cấp phép theo CC BY-SA, ông đang có tên được thừa nhận với sự tin tưởng âm nhạc của ông.

Nếu bạn là người đang tìm kiếm một khán thính phòng rộng lớn hơn cho tác phẩm hoặc nghệ thuật của bạn, mà bạn có các tài nguyên hạn chế nhưng tiềm tàng không có giới hạn khi bạn chọn để là tác giả một cuốn sách hoặc âm nhạc và hãy chia sẻ tác phẩm của bạn theo một giấy phép CC BY-SA! Để có thêm thông tin và nhiều câu chuyện hơn về các nghệ sỹ có khát khao, hãy viếng thăm website của Team Open.
There was a time not long ago when publishing was difficult and expensive. Thanks to services like Lulu.com and Lulujr.com, that's changing. Open source and Creative Commons licensing has also opened the door for teachers and students to inexpensively and easily find a new and authentic audience for their work.
Textbook success with CC BY-SA license
Mariana Fossati is the Director at Artica, a cultural center, and she wanted to publish a book but had no budget to do so. So, she made it available for download using the Creative Commons CC BY-SA license, which stipulates that anyone may use the book in whole or in part, but that any changes to the content must be shared under the same license. As a result of making her book available in this manner, its ebook format has been downloaded over 4,000 times. Her eBook, which was published in PDF format, was found by an Argentinian publisher two months later and was re-published in print.
Creative Commons to build name recognition
Musician Chris Zabriskie elected to license his work under CC BY-SA. He currently has nine albums available online, and his work has been shared by Adidas, Cartoon Network, and The Wall Street Journal. Because of the CC BY-SA licensing, he’s getting name recognition in the credits for his music.
If you are someone looking for a wider audience for your art or work, you have limited resources but unlimited potential when you choose to author a book or music and share your work under a CC BY-SA license! For more information and more stories of aspiring artists, visit Creative Commons' Team Open website.
Dịch: Lê Trung Nghĩa

Thứ Hai, 9 tháng 2, 2015

Số lượng các lỗi được Microsoft vá đã gia tăng trong 5 năm qua: Tripwire


Number of Flaws Patched by Microsoft Increased in Last 5 Years: Tripwire
By Eduard Kovacs on February 06, 2015
Bài được đưa lên Internet ngày: 06/02/2015


Lời người dịch: Phân tích của hãng an toàn thông tin Tripwire đối với các chỗ bị tổn thương trong các phần mềm của Microsoft đã chỉ ra rằng: “Microsoft đã bắt đầu đóng gói nhiều chỗ bị tổn thương hơn (các CVE) cho mỗi bản tin an toàn”. “Các CVE đại diện cho các chỗ bị tổn thương mà đã được phát hiện, và trong trường hợp của Microsoft (đối với các chỗ bị tổn thương được các bản tin và Bản vá ngày thứ Ba cung cấp), các chỗ bị tổn thương mà đã được sửa”, Lane Thames, kỹ sư phát triển phần mềm ở Tripwire, giải thích. “Vì thế, số lượng các CVE ngày một gia tăng (và các CVE cho từng bản tin) chỉ ra rằng Microsoft đang sửa nhiều hơn và nhiều hơn các khiếm khuyết/chỗ bị tổn thương theo từng đơn vị thời gian”. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.

Tripwire đã phân tích sự tiến hóa của các bản cập nhật an toàn được Microsoft phát hành trong 5 năm qua. Hãng đã xác định rằng trong khi số lượng các bản tin an toàn đã giảm đi, thì số lượng các chỗ bị tổn thương được sửa với từng bản tin đã tăng lên.

Theo hãng an toàn này, Microsoft đã bắt đầu đóng gói nhiều chỗ bị tổn thương hơn (các CVE) cho mỗi bản tin an toàn.

“Các CVE đại diện cho các chỗ bị tổn thương mà đã được phát hiện, và trong trường hợp của Microsoft (đối với các chỗ bị tổn thương được các bản tin và Bản vá ngày thứ Ba cung cấp), các chỗ bị tổn thương mà đã được sửa”, Lane Thames, kỹ sư phát triển phần mềm ở Tripwire, giải thích. “Vì thế, số lượng các CVE ngày một gia tăng (và các CVE cho từng bản tin) chỉ ra rằng Microsoft đang sửa nhiều hơn và nhiều hơn các khiếm khuyết/chỗ bị tổn thương theo từng đơn vị thời gian”.

Sự gia tăng số lượng các lỗ hổng an toàn được sửa có thể là kết quả của kho mã gia tăng. Đối với các ứng dụng mà vẫn còn được Microsoft hỗ trợ, thì kho mã tiếp tục gia tăng, và khi số lượng các dòng mã tăng, thì toàn bộ tỷ lệ lỗi cũng tăng, Thames nói.

Số lượng các chỗ bị tổn thương có thể cũng gia tăng vì độ chín của phần mềm. Số lượng các nhà nghiên cứu về an toàn gia tăng với các công cụ tiên tiến trong kho vũ khí của họ và sự hiểu biết gia tăng về cách mà các giải pháp của Microsoft kế thừa mã từ giải pháp này tới giải pháp khác dẫn tới nhiều hơn các chỗ bị tổn thương được phát hiện ra.

Mặt khác, Tripwire cảnh báo rằng trong khi các tin tặc mũ trắng nhận diện được nhiều hơn chỗ bị tổn thương, thì có khả năng là điều y hệt áp dụng được cho các tin tặc mũ đen.

Trong vòng 5 năm qua, số lượng các bản tin sống còn được Microsoft phát hành đã giảm đi, đạt tới 28 trong năm 2014 - một kỷ lục thấp mới. Trong khi số lượng các bản tin sống còn đã giảm xuống, thì số lượng các bản tin của Internet Explorer đã tăng lên trong 5 năm qua, Tripwire nói.


Phân tích của hãng chỉ ra rằng gần một nửa các bản tin an toàn được phát hành trong năm 2014 đã đề cập tới các chỗ bị tổn thương mà có thể bị khai thác đối với sự thực thi mã từ ở xa. Như đối với các lỗi thực tế, hơn 3/4 các lỗi được vá vào năm ngoài có thể dẫn tới sự thực thi mã từ ở xa.

Microsoft dường như đã cắt công việc của nó ra khỏi năm nay. Cho tới nay, Google đã phát hiện tổng cổng 3 chỗ bị tổn thương trong Windows trước khi Microsoft có thể sửa được chúng. Hơn nữa, một nhà nghiên cứu đã đưa ra một sự chứng minh khái niệm cho một chỗ bị tổn thương của Internet Explorer nghiêm trọng vào tuần trước. Người khổng lồ phần mềm nói hãng đang làm việc để giải quyết lỗi đó nhưng, theo nhà nghiên cứu này, hãng đã được thông báo về sự hiện diện của nó vào tháng 10.
Tripwire has analyzed the evolution of the security updates released over the past five years by Microsoft. The company determined that while the number of security bulletins has decreased, the number of vulnerabilities fixed with each bulletin has increased.
According to the security firm, Microsoft has started packing more vulnerabilities (CVEs) per security bulletin.
“CVEs represent vulnerabilities that have been discovered, and in Microsoft’s case (for the ones provided by the bulletins and Patch Tuesday), vulnerabilities that have been fixed,” explained Lane Thames, software development engineer at Tripwire. “So, the increasing number of CVEs (and CVEs per bulletin) shows that Microsoft is fixing more and more defects/vulnerabilities per unit time.”
The increase in the number of fixed security holes could be a result of code base growth. For applications that are still supported by Microsoft, the code base continues to grow, and as the number of lines of code increases, so does the overall defect rate, Thames said.
The number of vulnerabilities might also be increasing because of the software’s maturity. An increasing number of security researchers with advanced tools in their arsenal and a growing understanding of how Microsoft’s solutions inherit code from one another leads to more discovered vulnerabilities.
On the other hand, Tripwire warns that while white hat hackers identify more vulnerabilities, it’s likely that the same applies to black hats.
Over the past five years, the number of critical bulletins released by Microsoft has decreased, reaching 28 in 2014 -- a new record low. While the number of critical bulletins has decreased, the number of Internet Explorer bulletins has increased over the last five years, Tripwire said.
The company’s analysis shows that close to half of the security bulletins released in 2014 covered vulnerabilities that could be exploited for remote code execution. As for the actual flaws, over three quarters of the ones patched last year could lead to remote code execution.
Microsoft seems to have its work cut out this year. So far, Google disclosed a total of three Windows vulnerabilities before Microsoft could fix them. Furthermore, a researcher released a proof-of-concept for a serious Internet Explorer vulnerability last week. The software giant says it’s working on addressing the bug but, according to the researcher, the company was informed of its existence in October.
Dịch: Lê Trung Nghĩa