Thứ Hai, 31 tháng 8, 2015

Bruce Schneier: "Chúng ta đang ở trong những năm sớm của chạy đua vũ trang không gian mạng"


Bruce Schneier: "We're in Early Years of a Cyber Arms Race"
By Neil McAllister, The Register, August 19, 2015
Bài được đưa lên Internet ngày: 19/08/2015


Cao thủ về an toàn Bruce Schneier nói có dạng chiến tranh lạnh bây giờ đang được tiến hành trong không gian mạng, chỉ có sự lo lắng là chúng ta không luôn biết được ai từng chống lại ai mà thôi.

Schneier đã xuất hiện trên màn hình qua Google Hangouts ở LinuxCon/CloudOpen/ContainerCon trong hội nghị ở Seatle hôm thứ ba để cảnh báo những người tham dự rằng bức tranh an toàn hiện đại đang ngày càng trở nên phức tạp và nguy hiểm.

“Chúng ta biết, trong Internet ngày nay, rằng những kẻ tấn công có ưu thế, Schneier nói. “kẻ địch có kỹ năng, được cấp vốn đủ, có động lực sẽ tham gia vào. Và chúng ta phải chỉ ra làm thế nào làm việc được với điều đó”.

Sử dụng ví dụ về cuộc tấn công đánh què trên trực tuyến chống lại Sony Pictures, Schneier nói từng rõ ràng rằng nhiều cuộc tấn công mới đó là công việc của các nhà nước quốc gia được cấp vốn tốt.

“Nhiều người trong chúng ta, kể cả tôi, từng nghi ngờ vài tháng trước. Bây giờ dường như rõ ràng là đó là Bắc Triều Tiên, thật đáng ngạc nhiên”, ông nói.

Những những gì đáng lo ngại về nhiều cuộc tấn công mới đó, ông nói thêm, là chúng có thể lả khó để bắt được khi chúng không tới ở dạng mà các chuyên gia an toàn thường kỳ vọng.

“Mục tiêu [cuộc đột nhập vào Sony] từng không phải là hạ tầng sống còn”, Schneier nói. “Tôi nghĩ nếu bạn đưa ra một danh sách những gì chúng ta nghĩ từng là các mục tiêu nước ngoài, thì một công ty là phim sẽ không phải là top 100. Vâng dường như là cuộc tấn công phá hủy đầu tiên của một nhà nước quốc gia chống lại nước Mỹ từng là chống lại một công ty làm phim”.

Điều có vấn đề, ông nói, là trong khi chúng ta làm khá tốt trong việc làm cho các cuộc tấn công không gian mạng có động cơ tài chính ít có lợi hơn cho những kẻ tấn công, thì chúng ta lại ít được trang bị tốt hơn để làm việc với các cuộc tấn công có động lực chính trị hoặc lý tưởng. Và điều đó được nhân đôi khi các mục tiêu của các cuộc tấn công không phải là các tài nguyên của chính phủ hoặc các hạ tầng sống còn, mà là “các mục tiêu mềm” như các doanh nghiệp lớn.

Hơn nữa, Schneier nói, thậm chí dù bằng chứng trong vụ Sony dường như trỏ vào Bắc Triều Tiên, thì trong các trường hợp khác có thể là khó khăn đề chỉ ra kẻ tấn công. Trong trường hợp của sâu Stuxnet mà đã đánh què các cơ sở làm giàu hạt nhân của Iran, ví dụ, Iran thậm chí đã không nhận thức được rằng thiệt hại từng là kết quả của một cuộc tấn công cho tới khi các phương tiện truyền thông đã bắt đầu nói về câu chuyện đó.

'Nhiều cuộc tấn công từ các nước phương Tây đi qua Trung Quốc'
“Là dễ dàng để phất cờ sai. Là dễ dàng để giả vờ cuộc tấn công của bạn tới tử đâu đó khác”, Schneier nói. “Lòng tin của tôi là nhiều cuộc tấn công từ các nước phương Tây đi qua Trung Quốc, đơn giản vì mọi người biết nhiều cuộc tấn công đi qua Trung Quốc, và đó là cách tuyệt vời để ẩn dấu bạn đang ở đâu”.

Lo ngại ngang bằng, ông nói, là điều gì trông giống như một cuộc tấn công của một nhà nước quốc gia có thể không thực sự đúng, vì trên Internet, quá nhiều tác nhân tiềm tàng có sự truy cập tới các công cụ, chiến thuật vả kỹ thuật y hệt nhau.

“Tháng 12 năm ngoái, với lưu ý về Sony, chúng ta đã thực sự có các cuộc thảo luận về pháp lý về việc liệu cuộc tấn công đó là kết quả của một quốc gia với một ngân sách quân sự hàng năm 20 triệu USD hay một nhúm các cậu bé trong tầng hầm ở đâu đó”, Schneier nói. “Điều đó thật là cực kỳ khó, rằng chúng ta thực sự không biết ai là kẻ tấn công”.

Tới lượt nó, sự không chắc chắn đó làm khó để biết ai sẽ có trách nhiệm cho việc phòng vệ chống lại các cuộc tấn công như vậy, ông nói. Chắc chắn, Sony phải gánh nhiều chỉ trích vì sự thất bại của các hệ thống an toàn của hãng. Nhưng ở điểm nào chính phủ có thể có liên quan nhỉ?

Nếu một kẻ tấn công là 2 cậu bé trong một tầng hầm, như Schneier nói, thì có khả năng nhất đó là vấn đề của cảnh sát. Nếu, mặt khác, kẻ tấn công là Bắc Triều Tiên, thì quân đội có lẽ có liên quan. Nghi ngờ ít hơn, là những nỗ lực của kẻ tấn công để ngụy trang bản thân họ và ngăn chặn sự quy tội các cuộc tấn công đang gia tăng.

“Không may, chúng ta đang ở vào những năm đầu của một cuộc chạy đua vũ trang không gian mạng. Chúng ta đang thấy nhiều kho vũ khí không gian mạng, cả của Mỹ và các nước phương Tây... của Trung Quốc, Nga và các nước khác. Nhiều tu từ về chiến tranh không gian mạng”, Schneier nói. “Điều làm tôi lo ngại là tất cả chúng ta sẽ đều nằm trong tầm ảnh hưởng”.

Security guru Bruce Schneier says there's a kind of cold war now being waged in cyberspace, only the trouble is we don't always know who we're waging it against.
Schneier appeared onscreen via Google Hangouts at the LinuxCon/CloudOpen/ContainerCon conference in Seattle on Tuesday to warn attendees that the modern security landscape is becoming increasingly complex and dangerous.
"We know, on the internet today, that attackers have the advantage," Schneier said. "A sufficiently funded, skilled, motivated adversary will get in. And we have to figure out how to deal with that."
Using the example of last November's crippling online attack against Sony Pictures, Schneier said it was clear that many of these new attacks were the work of well-funded nation-states.
"Many of us, including myself, were skeptical for several months. By now it does seem obvious that it was North Korea, as amazing as that sounds," he said.
But what's troubling about many of these new attacks, he added, is that they can be hard to spot when they don't come in the form that security experts typically expect.
"The target [in the Sony hack] was not critical infrastructure," Schneier said. "I think if you made a list of what we thought were foreign targets, a movie company wouldn't be in our top 100. Yet it seems that the first destructive attack by a nation-state against the United States was against a movie company."
What makes that problematic, he said, is that while we're getting pretty good at making financially motivated cyberattacks less profitable for the attackers, we're less well equipped to deal with politically or ideologically motivated attacks. And that goes double when the targets of the attacks are not government resources or critical infrastructure but "soft targets" like large businesses.
What's more, Schneier said, even though the evidence in the Sony case appears to point to North Korea, in other cases it can be difficult to pinpoint the attacker. In the case of the Stuxnet worm that crippled Iranian nuclear enrichment facilities, for example, Iran didn't even seem to be aware that the damage was the result of an attack until the media started reporting that story.
'A lot of attacks from the Western countries go through China'
"It's easy to false-flag. It's easy to pretend your attack comes from somewhere else," Schneier said. "My belief is a lot of attacks from the Western countries go through China, simply because everyone knows a lot of attacks go through China, and that's a perfect way to hide where you're from."
Equally troubling, he said, is that what looks like an attack by a nation-state might not actually be one, because on the internet, so many potential actors have access to the same tools, tactics, and techniques.
"Last December, with respect to Sony, we were actually having legitimate discussions about whether the attack was the result of a nation with a $20m annual military budget or a couple of guys in a basement somewhere," Schneier said. "That is extraordinary, that we actually don't know who the attacker is."
In turn, that uncertainty makes it difficult to know who should be responsible for defending against such attacks, he said. Certainly, Sony must shoulder much of the blame for the failure of its security systems. But at what point should the government get involved?
If the attacker is two guys in a basement, as Schneier says, then most likely it's a matter for the police. If, on the other hand, the attacker is North Korea, then the military should probably get involved. Little wonder, then, that hackers' efforts to conceal themselves and prevent attribution of attacks are accelerating.
"Unfortunately, we're in the early years of a cyber arms race. We're seeing a lot of stockpiling cyber weapons, both by the United States and Western countries ... by China, Russia, other countries. A lot of rhetoric about cyberwar," Schneier said. "What concerns me is that we're all going to be in the blast radius."
Dịch: Lê Trung Nghĩa

Chủ Nhật, 30 tháng 8, 2015

Chương trình 'Huấn luyện huấn luyện viên nguồn mở' - Khóa 4 - Ngày 3



Các học viên chụp ảnh lưu niệm sau khóa học.


Các bài trình bày trong chương trình 'Huấn luyện huấn luyện viên nguồn mở', khóa 4, ngày cuối cùng, do Trung tâm Nghiên cứu và Phát triển Quốc gia về Công nghệ Mở và trường Đại học Văn Lang, thành phố Hồ Chí Minh, đồng tổ chức đã diễn ra, gồm:




Khóa học có sự tham gia của các giáo viên khoa CNTT trường Đại học Văn Lang, đại diện các doanh nghiệp VFOSSA khu vực phía Nam và đại diện một số thành viên của Hội Tin học Thành phố Hồ Chí Minh.




Lê Trung Nghĩa


Thứ Năm, 27 tháng 8, 2015

Chương trình 'Huấn luyện huấn luyện viên nguồn mở' - Khóa 4 - Ngày 2






Các bài trình bày trong chương trình 'Huấn luyện huấn luyện viên nguồn mở', khóa 4, ngày 2, do Trung tâm Nghiên cứu và Phát triển Quốc gia về Công nghệ Mở và trường Đại học Văn Lang, thành phố Hồ Chí Minh, đồng tổ chức đã diễn ra, gồm:





Khóa học có sự tham gia của các giáo viên khoa CNTT trường Đại học Văn Lang, đại diện các doanh nghiệp VFOSSA khu vực phía Nam và đại diện một số thành viên của Hội Tin học Thành phố Hồ Chí Minh.


Links:


Lê Trung Nghĩa


Thứ Tư, 26 tháng 8, 2015

Chương trình 'Huấn luyện huấn luyện viên nguồn mở' - Khóa 4 - Ngày 1






Các bài trình bày trong chương trình 'Huấn luyện huấn luyện viên nguồn mở', khóa 4, ngày đầu tiên, do Trung tâm Nghiên cứu và Phát triển Quốc gia về Công nghệ Mở và trường Đại học Văn Lang, thành phố Hồ Chí Minh, đồng tổ chức đã diễn ra, gồm:






Khóa học có sự tham gia của các giáo viên khoa CNTT trường Đại học Văn Lang, đại diện các doanh nghiệp VFOSSA khu vực phía Nam và đại diện một số thành viên của Hội Tin học Thành phố Hồ Chí Minh.


Links:


Lê Trung Nghĩa


Thứ Hai, 24 tháng 8, 2015

Chính sách nguồn mở của Ấn Độ 'thúc đẩy đổi mới'


India’s open source policy ‘promotes innovation’
Submitted by Gijs Hillenius on August 14, 2015
Bài được đưa lên Internet ngày: 14/08/2015

Chính sách nguồn mở của Ấn Độ sẽ giúp nước này “thúc đẩy văn hóa đổi mới mà họ cần để phục vụ các công dân của họ hôm nay và trong những năm tới”, Mark Bohannon, Phó Chủ tịch, Chính sách Công Toàn cầu và các Công việc Chính phủ ở Red Hat, một trong những công ty nguồn mở chính trên thế giới, nói. “Sử dụng công nghệ, bao gồm cả phần mềm nguồn mở, đang đi vượt ra khỏi môi trường 'mua sắm một sản phẩm' đơn giản sang 'đầu tư vào đổi mới'”.

“Tôi thấy nhận thức gia tăng giữa không chỉ các chuyên gia CNTT mà còn cả lãnh đạo khu vực nhà nước mà theo cách mua sắm phần mềm cũ phải thay đổi và rằng sự khóa trói không còn chấp nhận được nữa”, Mark Bohannon viết trên Opensource.com, một website được công ty quản lý. “CNTT là ít hơn về việc có sở hữu trí tuệ qua một giấy phép, và nhiều hơn về việc phân phối rộng rãi các công cụ và giá trị gia tăng trên đỉnh của nó. Sự dịch chuyển hệ biến hóa này đã xúc tác cho những người ra quyết định để đi từ việc suy nghĩ về các cửa sổ 'mua sắm' nhỏ sang xem xét nguồn mở từ một quan điểm rộng lớn hơn nhấn mạnh tới những lợi ích lớn hơn của nó về kinh tế, công ăn việc làm, và đổi mới, và trong bản thân chính phủ”.

Chính sách của Ấn Độ phản ánh xu hướng này, ông viện lý. Chính phủ Ấn Độ đã công bố chính sách của mình về nguồn mở vào tháng 3. Nước này muốn chuẩn bị Ấn Độ cho một sự biến đổi dựa vào tri thức thành một xã hộ số được trang bị và một nền kinh tế tri thức. Chính sách đó khuyến khích “áp dụng và sử dụng chính thức PMNM trong các tổ chức chính phủ”.

Các mục tiêu của chính sách đó là:
  • Cung cấp khung chính sách để nhanh chóng và có hiệu quả áp dụng các phần mềm nguồn mở;
  • đảm bảo kiểm soát chiến lược trong các ứng dụng và hệ thống điều hành điện tử từ quan điểm dài hạn.
  • Giảm tổng chi phí sở hữu (TCO) của các dự án.
Một trong những biện pháp trong chính sách đó yêu cầu tất cả các cơ quan hành chính nhà nước phải chỉ đạo tất cả các nhà cung cấp phần mềm cân nhắc các giải pháp nguồn mở cùng với các phần mềm sở hữu độc quyền.

India’s open source policy will help the country to “promote a culture of innovation that they need in order to serve their citizens today and in the years to come”, says Mark Bohannon, Vice President, Global Public Policy and Government Affairs at Red Hat, one of the world’s main open source companies. “The use of technology, including open source software, is moving out of the sphere of simply 'acquiring a product' to 'investing in innovation'.”
“I see a growing awareness among not only the IT experts but also the leadership of the public sector that the old way of acquiring software has to change and that lock-in is no longer acceptable”, Mark Bohannon writes on Opensource.com, a website managed by the company. “IT is less about acquiring intellectual property via a license, and more about widely distributing the tools and adding value on top of it. This paradigm shift has enabled decision-makers to go from thinking of small 'procurement' windows to viewing open source from a broader vantage point that highlights its broad-based benefits to an economy, jobs, and innovation, and in the government itself.”
India’s policy reflects this trend, he argues. The government of India announced its policy on open source in March. The country wants to prepare India for a knowledge based transformation into a digitally empowered society and a knowledge economy. The policy encourages “the formal adoption and use of open source software in government organisations.”
The policy’s objectives include:
  • To provide a policy framework for rapid and effective adoption of open source software;
  • To ensure strategic control in e-Governance applications and systems from a long-term perspective;
  • To reduce the Total Cost of Ownership (TCO) of projects.
One of the measures in the policy requires all public administrations to instruct all software suppliers to consider open source solutions alongside proprietary software.
Dịch: Lê Trung Nghĩa

Chủ Nhật, 23 tháng 8, 2015

Bộ Nội vụ Đức tìm kiếm sự tinh thông nguồn mở


German Interior Ministry seeks open source expertise
Submitted by Gijs Hillenius on August 12, 2015
Bài được đưa lên Internet ngày: 12/08/2015

Bộ trưởng Nội vụ Đức đang tìm kiếm sự trợ giúp với một phần hạ tầng CNTT dựa vào Linux của bộ. Vào tháng 7, Bundesministerium des Innern (BMI) đã xuất bản một yêu cầu thầu, tìm kiếm sự tinh thông trong các máy chủ SUSE Linux Enterprise Server và năng lực trong việc giám sát an toàn CNTT bằng việc sử dụng Nagios.

2 giải pháp nguồn mở nổi tiếng đó là một phần của một hợp đồng khung để tích hợp các giải pháp phần mềm sở hữu độc quyền và dựa vào Linux của BMI. Hợp đồng sẽ được trao trong 2 năm. Nó có thể được mở rộng nhiều nhất là 4 năm.

Thời hạn chót cho việc đệ trình các bản chào là vào ngày 27/08.

Cả 2 giải phpá nguồn mở đó được đưa vào trong Migrationsleitfaden của BMI (phiên bản 4, từ 2012). Migrationsleitfaden là một chỉ dẫn cho các cơ quan hành chính nhà nước sử dụng hoặc cân nhắc các giải pháp nguồn mở. Tài liệu đó mô tả Suse Linux như là “một trong những phát tán Linux hàng đầu được các doanh nghiệp lớn sử dụng”. Nagios là “lựa chọn thay thế nguồn mở phổ biến nhất” cho việc giám sát an toàn CNTT.

Germany’s Minister of the Interior is looking for help with its partly Linux-based IT infrastructure. In July, the Bundesministerium des Innern (BMI) published a request for tender, seeking expertise in SUSE Linux Enterprise Server and prowess in the IT security monitoring using Nagios.
These two well-known open source solutions are part of a framework contract to integrate BMI’s Linux-based and proprietary software solutions. The contract will be awarded for two years. It can be extended to at most four years.
Deadline for submitting offers is on 27 August.
Both open source solutions are included in BMI’s Migrationsleitfaden (version 4, from 2012). The Migrationsleitfaden are a guideline for public administrations using or considering open source solutions. The document describes Suse Linux as “one of the leading Linux distributions used by enterprises”. Nagios is “the most common open source alternative” for IT security monitoring.
Dịch: Lê Trung Nghĩa

Thứ Năm, 20 tháng 8, 2015

Vùng Halland của Thụy Điển mở rộng hệ thống thư viện KOHA


Sweden’s Halland region extends KOHA library system
Submitted by Gijs Hillenius on August 12, 2015
Bài được đưa lên Internet ngày: 12/08/2015

Thư viện vùng Halland ở Thụy Điển đang phát triển các tính năng cho KOHA, hệ thống quản lý thư viện nguồn mở, để đáp ứng các nhu cầu của các thư viện công của Thụy Điển. Thư viện vùng Halland đã chuyển sang sử dụng KOHA vào đầu năm nay.

Vào tháng 3, thư viện vùng đã đề nghị chỗ trống công việc đầu tiên cho lập trình viên KOHA đầu tiên, và vào tháng 5 thư viện đã công bố đã nhận được trợ cấp 1 triệu SEK (khoảng 100.000 euro) từ Thư viện Quốc gia Thụy Điển. “Bây giờ chúng tôi có 3 lập trình viên, và vẫn còn tiền”, người quản lý phát triển KOHA Viktor Sarge đã tweet.

Trợ cấp đó cũng sẽ được sử dụng để thuê các nhà cung cấp dịch vụ CNTT-TT bên ngoài giúp phát triển KOHA. Thư viện vùng đang làm viẹc cùng với Thư viện Hoàng gia và Thư viện Đại học Stockholm.

Thư viện vùng đang giữ một blog chi tiết hóa tiến trình của nó hướng tới KOHA. Vào tháng 4, nó đã báo cáo về những nỗ lực chuyển đổi. Có một cung học tập cho hệ thống mới, nhưng đối với sự chuyển đổi thực sự, thư viện đã có khả năng sử dụng lại các script chuyển đổi, cũng được làm cho sẵn sàng như nguồn mở.

Hôm 17/09, Viktor Sarge sẽ nói chuyện về sử dụng KOHA ở thư viện vùng Halland. Sự trình bày đó làm một phần của Autumn Meeting of Kivos (Cuộc gặp Kivos mùa Thu), một mạng các thành phố của Thụy Điển thúc đẩy sử dụng PMTDNM và các tiêu chuẩn mở.

The Regionbibliotek Halland (Halland regional library) in the eponymous region in Sweden is developing features for KOHA, the open source library management system, to meet the needs of Sweden’s public libraries. Halland’s regional library switched to using KOHA earlier this year.
In March the regional library posted a first job vacancy for a first HOHA developer, and in May the library announced it had received a grant of SEK one million (about EUR 100,000) from the National Library of Sweden. “Now we have three developers, and still have money left over”, tweeted KOHA Development Manager Viktor Sarge.
The grant will also be used to hire external ICT service suppliers to help with the KOHA development. The Regionbibliotek is working together with the Royal Library and Stockholm’s University Library.
The Regionbibliotek is keeping a blog detailing its progress towards KOHA. In April, it reported on the migration efforts. There is a learning-curve for the new system, but for the actual migration, the library was able to reuse migration scripts, also made available as open source.
On 17 September, Viktor Sarge will be talking about the use of KOHA at Halland’s regional library. That presentation is part of the Autumn Meeting of Kivos, a network of Swedish municipalities promoting the use of free and open source software and open standards.
Dịch: Lê Trung Nghĩa

Thứ Tư, 19 tháng 8, 2015

Adullact chia sẻ giải pháp truy cập các dịch vụ e-ID của Pháp


Adullact shares solution to access France’s e-ID services
Submitted by Gijs Hillenius on August 11, 2015
Bài được đưa lên Internet ngày: 11/08/2015

Adullact, nền tảng cho các nhân viên dân sự Pháp làm việc về phần mềm tự do (PMTD), vào tháng 6 đã đưa ra i-CLEFS, một giải pháp xây dựng hệ thống mã điện tử e-ID của Pháp để giúp các thành phố chào các dịch vụ CPĐT.

Giải pháp i-CLEFS đã được trình bày ở một hackathon cho nền tảng e-ID của Pháp, có đầu đề là France Connect. Phần mềm của Adullact đã thắng giải 5 trong cuộc thi cũng thấy các dự án của Bộ Giáo dục, Bộ Tư pháp và Phòng Thuế của nước này (DGFiP).

Phần mềm i-CLEF có ý định được các cơ quan hành chính thành phố của Pháp sử dụng. Bằng việc đưa vào một ít các dòng HTML trong website của chúng, một tỉnh có thể cung cấp sự truy cập của công dân tới các dịch vụ CPĐT của France Connect.

Một ví dụ có thể là thư viện đa phương tiện làng xã, Adullact giải thích, nơi mà sự đăng ký đòi hỏi chứng minh địa chỉ, hoặc một tài liệu hành chính từ một số dịch vụ chính phủ và một tài liệu cuối cùng có liên quan tới một Bộ. “Sử dụng nền tảng của chúng tôi, thủ thư có thể sẽ chọn trước ở dạng tất cả các tài liệu được yêu cầu”.

Kết nối tới các bộ khác nhau của chính phủ được nền tảng dịch vụ web của Adullact quản lý.

Pháp có hơn 36.000 thành phố, thị trấn và làng xã, Adullact giải thích trong một tuyên bố. “Ngân sách là eo hẹp và CNTT không nhất thiết là ưu tiên”, Adullact viết. “Tuy nhiên, các cộng đồng muốn chào kết nối số tới các công dân bạn bè của họ. Chúng tôi muốn đơn giản hóa nhiệm vụ của họ, và xúc tác cho họ tích hợp France Connect”.

Phần mềm i-CLEF được làm cho sẵn sàng theo giấy phép AGPL.

Adullact, the platform for French civil servants working on free software, in June unveiled i-CLEFS, a solution that builds on France’s e-ID to help municipalities offer eGovernment services.
The i-CLEFS solution was presented at a hackathon for France’s e-ID platform, titled France Connect. Adullact’s software won fifth prize in a competition that also saw projects by the Ministry of Education, the Ministry of Justice and the country’s Tax Department (DGFiP).
The i-CLEF software is intended to be used by France’s municipal administrations. By including a few lines of HTML in their website, a municipality can provide citizen’s access to France Connect’s eGovernment services.
An example would be the village multimedia library, Adullact explains, where a subscription requires a proof of address, or an administrative document from the some government service and a final document involving a Ministry. “Using our platform, the librarian can will pre-select in one form all required documents.”
The connection to the various government departments is managed by Adullact’s web service platform.
France has more than 36,000 cities, towns and village administrations, Adullact explains in its statement. “Budgets are tight and IT does not necessarily take priority”, Adullact writes. ”However, the communities want to offer digital connection to their fellow citizens. We want to simplify their task, and enable them to integrate France Connect.”
The i-CLEF software is made available under the GNU Affero General Public License (AGPL).
Dịch: Lê Trung Nghĩa

Thứ Ba, 18 tháng 8, 2015

Vấn đề quỷ lùn bằng sáng chế không phải là mới


The patent troll problem is not a new one
Posted 12 Aug 2015 by David Perry
Bài được đưa lên Internet ngày: 12/08/2015

Vấn đề quỷ lùn bằng sáng chế không phải là mới. Vào năm 1879, một nhà sáng chế có tên là George B. Selden đã đệ trình một bằng sáng chế về cỗ xe ngựa 4 bánh không có ngựa mà ông ta gọi là “Máy trên Đường” (“Road Engine”).

Ông ta đã làm chậm sự tiếp tục bằng sáng chế của mình 16 năm để gia tăng cuộc sống có hiệu quả của nó (khi đó, các bằng sáng chế sẽ hết hạn sau 17 năm kể từ khi phát hành, còn bây giờ là 20 năm kể từ khi đệ trình hồ sơ xin cấp). Điều này ngụ ý khi đó là bằng sáng chế của ông ta đã phát hành, bất kể chưa bao giò phát triển được một mẫu làm việc, Selden từng có khả năng yêu sách bằng sáng chế trong các giấy phép ô tô và trích tiền từ nền công nghiệp ô tô đang bắt đầu nảy nở.

Và vấn đề quỷ lùn bằng sáng chế rõ ràng không mới cho các độc giả của Opensource.com. chúng tôi đã xuất bản các bài viết hỏi về liệu bằng sáng chế có thúc đẩy đổi mới, có khai thác được vai trò lạm dụng bằng sáng chế phần mềm trong tranh luận về cải cách bằng sáng chế hay không, và lưu ý tới những nỗ lực từ các bang khác nhau (bao gồm cả Bắc Carolina) để đấu tranh chống các quỷ lùn bằng sáng chế.

Nhưng, gần đây hơn, dường như là vấn đề các quỷ lùn bằng sáng chế đã nắm bắt được sự chú ý của khán thính phòng lớn hơn. 4 năm trước, NPR đã tạo ra một câu chuyện về Cuộc sống Người Mỹ Này gọi là “Khi các Bằng sáng chế Tấn công!”. Và, 4 tháng trước, John Oliver đã bỏ ra nhiều thời gian của ông vào Tối nay của Tuần Trước (Last Week Tonight), để nâng cao nhận thức về các quỷ lùn bằng sáng chế. “Hầu hết các công ty đó không sản xuất ra gì cả - họ chỉ rung lắc bất kỳ ai đang làm, cái gọi họ là các quỷ lùn là một sự lạc lối nhỏ - ít nhất các quỷ lùn cũng thực sự làm thứ gì đó, họ kiểm soát sự truy cập các cây cầu cho các con dê và yêu cầu những điều khó hiểu đáng buồn cười”, ông đã giải thích. “Các quỷ lùn bằng sáng chế chỉ đe dọa kiện và bú mọi người, và hãy tin tôi đi, chúng làm cho các vụ kiện nhiều thêm lên”.

Bây giờ, tờ Economist đã quyết định rằng, một lần và cho tất cả, đã lới lúc phải sửa các bằng sáng chế. Bài báo bắt đầu bằng việc cự tuyệt giả thuyết rằng các bằng sáng chế thúc đẩy đổi mới, và nói rằng, vì các quỷ lùn bằng sáng chế, hệ thống bằng sáng chế là một mạng bòn rút.

Các bằng sáng chế được cho là làm lan truyền tri thức, bằng việc bắt những người nắm giữ đưa ra sáng tạo của họ cho tất cả mọi người cùng thấy; họ thường không làm được thế, vì các luật sư về bằng sáng chế là các chuyên gia về sự mù mờ. Thay vào đó, hệ thống đó đã tạo ra một hệ sinh thái ký sinh các quỷ lùn và những người nắm giữ bằng sáng chế phòng vệ, những người có mục đích khóa sự đổi mới, hoặc ít nhất đứng chặn giữa đường trừ hi họ có thể cướp được một phần lợi lộc.

Nó tiếp tục đưa ra vài đề xuất cải cách mà cơ bẩn hơn so với những đề xuất hiện đang được tranh luận ở Quốc hội:

Một mục tiêu nên là đánh cho tan tác các quỷ lùn và những kẻ muốn khóa trói. Các nghiên cứu đã thấy rằng 40%-90% các bằng sáng chế chưa bao giờ được khai thác hoặc được những người chủ của chúng cấp phép ra ngoài. Các bằng sáng chế nên đi với một qui định thô thiển “sử dụng nó hoặc đánh mất nó”, sao cho chúng hết hạn nếu sáng tạo đó không mang được vào thị trường. Các bằng sáng chế cũng nên là dễ dàng hơn để thách thức mà không có phí tổn của một vụ kiện ở tòa án với chi phí cao ngất. Gánh nặng của sự chứng minh để lật đổ một bằng sáng chế ở tòa án nên được hạ thấp xuống.

Các bằng sáng chế nên thưởng cho những ai làm việc cật lực trong những ý tưởng lớn, tươi mới, thay vì những người mà đệ trình công việc giấy tờ một cách khác thường. Yêu cầu về những ý tưởng là “không rõ ràng” phải được tăng cường.

Các bằng sáng chế cũng không dài quá lâu. Sự bảo vệ 20 năm có thể có nghĩa trong công nghiệp dược phẩm, vì thử nghiệm một món thuốc và mang nó vào thị trường có thể mất một thập kỷ. Nhưng trong các nền công nghiệp như công nghệ thông tin, thì thời gian từ sóng não tới dây chuyền sản xuất, hoặc dòng mã lệnh, là ngắn hơn nhiều. Khi các bằng sáng chế tụt hậu với nhịp độ đổi mới, các hãng kết thúc với những sự độc quyền trong các khối nhà của một nền công nghiệp.

Vấn đề các quỷ lùn bằng sáng chế không là mới hay nhỏ. Nó đang lấy đi các ý tưởng lớn và hành động hợp tác rộng rãi để giải quyết. chúng ta nên chào đón các ý tưởng và đầu vào từ càng nhiều nguồn có thể càng tốt, thậm chí - hoặc có lẽ đặc biệt - các ý tưởng là mới và không rõ ràng.

The patent troll problem is not a new one. In 1879, an inventor by the name of George B. Selden filed a patent on a horseless four-wheeled carriage, which he called the "Road Engine."
He delayed prosecution of his patent for 16 years in order to increase its effective life (then, patents expired 17 years from issuance, as opposed to 20 years from filing, as they do now). This meant by the time his patent issued, despite never developing a working prototype, Selden was able to claim a patent on the automobile and extract licenses from the budding automobile industry.
And the patent troll problem is obviously not new to the readers of Opensource.com. We have published posts questioning whether patent promote innovation, exploring the role of the abuse of software patents in the debate over patent reform, and noting efforts from various states (including North Carolina) to fight patent trolls.
But, more recently, it seems that the problem of patent trolls has captured the attention of a broader audience. Four years ago, NPR produced an episode of This American Life called "When Patents Attack!" And, four months ago, John Oliver devoted the bulk of his time on Last Week Tonight, to raising awareness about patent trolls. "Most of these companies don't produce anything—they just shake down anyone who does, so calling them trolls is a little misleading—at least trolls actually do something, they control bridge access for goats and ask fun riddles," he explained. " Patent trolls just threaten to sue the living s*** out of people, and believe me, those lawsuits add up."
Now, The Economist has decided that, once and for all, it is Time to fix patents. The article begins by rebutting the presumption that patents spur innovation, and claims that, because of patent trolls, the patent system is a net drain:

Patents are supposed to spread knowledge, by obliging holders to lay out their innovation for all to see; they often fail, because patent-lawyers are masters of obfuscation. Instead, the system has created a parasitic ecology of trolls and defensive patent-holders, who aim to block innovation, or at least to stand in its way unless they can grab a share of the spoils.
It goes on to propose some reform proposals that are more radical than those currently being debated in Congress:
One aim should be to rout the trolls and the blockers. Studies have found that 40-90% of patents are never exploited or licensed out by their owners. Patents should come with a blunt “use it or lose it” rule, so that they expire if the invention is not brought to market. Patents should also be easier to challenge without the expense of a full-blown court case. The burden of proof for overturning a patent in court should be lowered.
Patents should reward those who work hard on big, fresh ideas, rather than those who file the paperwork on a tiddler. The requirement for ideas to be "non-obvious" must be strengthened.
Patents also last too long. Protection for 20 years might make sense in the pharmaceutical industry, because to test a drug and bring it to market can take more than a decade. But in industries like information technology, the time from brain wave to production line, or line of code, is much shorter. When patents lag behind the pace of innovation, firms end up with monopolies on the building-blocks of an industry.
The problem of patent trolls is not new or small. It is going to take bold ideas and broad collective action to solve it. We should welcome ideas and input from as many sources as possible, even—or perhaps especially—those that are novel and non-obvious.
Dịch: Lê Trung Nghĩa

Thứ Hai, 17 tháng 8, 2015

Tuyên bố của Quỹ Phần mềm Tự do về Windows 10


The FSF's statement on Windows 10
by Free Software Foundation — Published on Jul 29, 2015 05:10 PM
Bài được đưa lên Internet ngày: 29/07/2015

BOSTON, Massachusetts, Mỹ - Thứ năm, ngày 30/07/2015 -- Quỹ Phần mềm Tự do thúc giục mọi người từ chối Windows 10 và tham gia vào thế giới phần mềm tự do. Giống như tất cả các phần mềm sở hữu độc quyền khác, Windows 10 đặt những người sử dụng nó dưới ngón tay của người sở hữu nó. Phần mềm tự do giống như hệ điều hành GNU/Linux ứng xử với người sử dụng ngang bằng nhau và trao cho họ sự kiểm soát đối với cuộc sống số của họ.

Microsoft sử dụng các luật tàn bạo để ngăn chặn bất kỳ ai khỏi bật mui xe trong Windows và nghiên cứu mã nguồn mà nằm bên dưới nó. Vì điều này, hầu hết hệ thống máy tính rộng khắp thế giới hoàn toàn nằm ngoài sự kiểm soát của người sử dụng. Điều này đặt Microsoft vào vị thế áp đảo đối với người tiêu dùng, nó lợi dụng ưu thế đó để ứng xử với họ như là một sản phẩm. Trên thực tế, Microsoft đã công bố rằng, với Windows 10, hãng sẽ bắt đầu ép những người sử dụng trả tiền thấp hơn phải kiểm thử các bản cập nhật mới ít an toàn hơn trước khi trao cho những người sử dụng trả tiền cao hơn sự lựa chọn liệu có hay không áp dụng chúng.

Sự soi xét công khai gia tăng đã ép Microsoft phải điều chỉnh quảng cáo của hãng tập trung vào làm thế nào đảm bảo an toàn cho nó và làm thế nào nó bảo vệ được tính riêng tư. Nhưng ai thực hiện sự an toàn và bảo vệ đó chứ? Chắc chắn không phải là người sử dụng. Vì Windows 10 không phải là phần mềm tự do, những người sử dụng và các chuyên gia an toàn độc lập không thể truy cập được mã nguồn, nên họ bị ép phải lấy từ ngữ của Microsoft rằng các máy tính của họ các an toàn và các dữ liệu của họ là đang được sử dụng một cách có trách nhiệm. Và dường như khó đảm bảo tin tưởng vào một công ty mà được nêu đã trao cho NSA thông tin an toàn đặc biệt một cách lén lút mà nó có thể sử dụng để phá trong các máy tính Windows.

Các công ty quảng cáo chắc chắn đang liếm mép của họ đối với chính sách mới về tính riêng tư của Windows 10, nó đòi quyền ưu tiên bán hầu hết bất kỳ thông tin nào nó muốn về người sử dụng, thậm chí việc tạo ra một ID quảng cáo duy nhất cho từng người sử dụng để làm ngọt vụ việc.

Ngược lại, phần mềm dự do như hệ điều hành GNU/Linux được các cộng đồng những người chuyên nghiệp và tình nguyện phát triển một cách minh bạch, tự do chia sẻ công việc của họ với nhau và với thế giới. Những người sử dụng có ảnh hưởng có ý nghĩa đối với quy trình phát triển phần mềm và sự lựa chọn hoàn toàn đối với mã gì họ chạy. Điều này ngụ ý phần mềm thường đối xử với họ với sự tôn trọng. Thậm chí nếu một lập trình viên phần mềm tự do lấy một trang từ sách của Microsoft và bắt đầu lạm dụng người sử dụng của nó, thì nó sẽ không có cách nào để giữ cho họ bị khóa trói được - khi điều này xảy ra, các chuyên gia độc lập sẽ sao chép mã nguồn, loại bỏ các bit tấn công đó và giúp mọi người chuyển sang phiên bản tôn trọng người sử dụng.

Vì đây là sự an toàn cơ bản và sự phỉ báng trong tính riêng tư, Windows là một cửa sổ mở trong bạn. Vì nó khóa trói người sử dụng và các chuyên gia độc lập nằm ngoài quy trình phát triển, cũng là một cánh cửa bị khóa đối với máy tính của bạn, và chỉ có Microsoft mới có chìa khóa. Nếu bạn đang cân nhắc thay thế hệ điều hành của bạn với Windows 10, thì chúng tôi hy vọng bạn thay vào đó sẽ chuyển sang GNU/Linux. Hãy ra nhập hàng ngàn những người khác và đảm bảo hãy thử GNU/Linux ngay hôm nay.

Quỹ Phần mềm Tự do duy trì một danh sách các phát tán GNU/Linux có chứng thực, và có vô số các tài nguyên trực tuyến để bắt đầu làm quen. Nếu bạn muốn thử phần mềm tự do nhưng bạn không thể bị thuyết phục để rời bỏ Windows hoàn toàn, hãy thử các chương trình tự do làm việc được trên Windows. Nếu bạn đang suy nghĩ về việc mua một máy tính mới, hãy kiểm tra các máy tính xách tay bạn chứng thực qua chương trình Tôn trọng Tự do của Bạn (Respects Your Freedom program). Nếu bạn là dạng mà xay dựng máy tính riêng của chúng, hãy sử dụng h-node, cơ sở dữ liệu do cộng đồng duy trì các thành phần máy tính làm việc tốt với phần mềm tự do.

Chúng tôi không thể hy vọng làm phù hợp được với ngân sách quảng cáo khổng lồ của Microsoft, nhưng nếu bạn có trên mạng xã hội (xem các khuyến cáo của chúng tôi về các hệ thống phương tiện xã hội tôn trọng người sử dụng), thì bạn có thể giúp nâng cao nhận thức về sự lạm dụng của Windows và khuyến khích mọi người chuyển, theo các ngôn từ riêng của bạn. Hãy giúp chúng tôi làm tịt hashtag lố bịch của Microsoft #UpgradeYourWorld bằng việc đưa nó vào trong các bài viết của bạn khuyến khích mọi người để biết rõ ràng về Windows.

BOSTON, Massachusetts, USA -- Thursday, July 30, 2015 -- The Free Software Foundation urges everyone to reject Windows 10 and join us in the world of free software. Like all proprietary software, Windows 10 puts those that use it under the thumb of its owner. Free software like the GNU/Linux operating system treats users as equals and gives them control over their digital lives.
Microsoft uses draconian laws to prevent anyone from popping the hood on Windows and studying the source code that underlies it. Because of this, the world's most widespread computer system is completely outside the control of its users. This puts Microsoft in a dominant position over its customers, which it takes advantage of to treat them as a product. In fact, Microsoft announced that, with Windows 10, it will begin forcing lower-paying users to test less-secure new updates before giving higher-paying users the option of whether or not to adopt them.
Increased public scrutiny has forced Microsoft to adjust its advertising to focus on how secure it is and how well it protects privacy. But who does it secure and protect? Certainly not the user. Since Windows 10 is nonfree software, users and independent security experts can't access the source code, so they are forced to take Microsoft's word for it that their computers are safe and their data is being used responsibly. And it hardly seems warranted to trust a company that is reported to give the NSA special security tip-offs that it could use to crack into Windows computers.
Advertising companies are surely licking their chops over Windows 10's new privacy policy, which asserts the privilege to sell almost any information it wants about users, even creating a unique advertising ID for each user to sweeten the deal.
By contrast, free software like the GNU/Linux operating system is developed by professional and volunteer communities working transparently, freely sharing their work with each other and the world. Users have meaningful influence over the software development process and complete choice over what code they run. This means the software usually treats them with respect. Even if a free software developer took a page from Microsoft's book and began abusing its users, it would have no way to keep them locked in -- when this happens, independent experts copy the source code, remove the offending bits and help people switch to the user-respecting version.
Because it is fundamentally insecure and scoffs at privacy, Windows is an open window onto you. Because it locks users and independent experts out of the development process, it is also a locked door to your computer, and only Microsoft has the key. If you are considering replacing your operating system with Windows 10, we hope you switch to GNU/Linux instead. Join thousands of others and pledge to try GNU/Linux today.
The FSF maintains a list of endorsed GNU/Linux distributions, and there are myriad resources online for getting started. If you want to try free software but you can't be persuaded to leave Windows quite yet, try these free programs that work on Windows. If you are thinking about buying a new computer, check out the laptops we certify through our Respects Your Freedom program. If you're the type that builds their own computer, use h-node, the community-maintained database of computer components that work well with free software.
We can't hope to match Microsoft's huge advertising budget, but if you're on social media (see our recommendations for user-respecting social media systems) you can help raise awareness of Windows' abuses and encourage people to switch, in your own words. Help us jam Microsoft's ridiculous #UpgradeYourWorld hashtag by including it in your posts encouraging people to steer clear of Windows.
Dịch: Lê Trung Nghĩa

Chủ Nhật, 16 tháng 8, 2015

Giữ cho hệ thống của bạn an toàn bằng SELinux


Keeping your system secure with SELinux
Posted 12 Aug 2015 by Ben Cotton
Bài được đưa lên Internet ngày: 12/08/2015

Ít điều trong thế giới Linux gợi lên sự phản ứng mạnh như SELinux, một cải tiến an toàn cho Linux. Ở hội nghị LinuxCon, Susan Lauber hy vọng làm nhẹ bớt nhu cầu đó và chỉ cho mọi người ánh sáng. Trong bài nói chuyện của bà, SELinux - tất cả là về các cái nhãn, Lauber sẽ dạy những điều cơ bản về SELinux và mô tả vì sao đây là một thứ phải được chạy trên các máy của bạn.
Trong cuộc phỏng vấn này, bà nói cho chúng tôi nhiều hơn

Làm thế nào bà đã tham gia vào việc cung cấp các khóa huấn luyện về SELinux?
Từ những ngày đầu của tôi về quản trị hệ thống và hỗ trợ các máy tính cá nhân, tôi đã có một sự quan tâm trong các khía cạnh an toàn của điện toán. Tôi từng bắt đầu dạy các hệ điều hành mạng khác nhau nên mối quan tâm đó đã trở nên thậm chí còn mạnh hơn. Tôi thậm chí đã làm luận án thạc sỹ của tôi về nhu cầu kiểm soát truy cập bắt buộc ở mức hệ điều hành. Đó từng là 9 năm về trước! Như một Người chỉ dẫn có chứng chỉ của Red Hat, tôi đã nhảy vào cơ hội học và dạy tất cả các lớp học lần vết an toàn của chúng, bao gồm cả khóa học Quản trị SELinux và Viết Chính sách.

SELinux có uy tín ít màu hồng hơn với nhiều người, bất chấp những lợi ích của nó. Ngoài cuốn sách màu mè ra, SELinux có thể được truyền bá như thế nào?
Nhiều người sợ những gì họ không hiểu. Đưa ra ngày càng nhiều ví dụ về cách mà SELinux được thiết lập cấu hình và cách nó bảo vệ - thậm chí với các thiết lập mặc định sử dụng ngay được - trao cho những người quản trị sự tin cậy nhiều hơn để giữ cho SELinux ở trong chế độ ép buộc. Hơn nữa, có nhiều nhà quản trị có gu tồi tệ với tính sẵn sàng trong những ngày đầu của SELinux. Họ nên thử lại một lần nữa! Ngày nay, chính sách “ngắm đích” được xuất ra làm việc được đối với nhiều người. Không có nhiều nhu cầu về việc viết chính sách phức tạp và nhiều công cụ hỗ trợ với các sửa đổi chính sách đơn giản. Hầu hết những thay đổi có thể thực sự được làm với các công cụ quản trị và thậm chí được quản lý tập trung. Từ phía quản lý an toàn, đáng lưu ý rằng có SELinux ở chế độ ép buộc, thậm chí với chính sách ngắm đích mặc định, đã ngăn chạn được thiệt hại từ một số khai thác. Tôi sẽ có các liên kết tới vài bài viết trên Blog về An toàn của Red Hat chi tiết hóa cách mà SELinux đã làm giảm nhẹ thiệt hại gần đây và các khai thác lỗi ngày số 0 rất phổ biến.

Các lập trình viên có thể làm gì để giúp chắc chắn phần mềm của họ không là lý do SELinux làm cho không chạy được trong máy?
Các lập trình viên phần mềm cần nghĩ về an toàn từ các pha thiết kế sớm. Không có bất kỳ ai sẽ sử dụng phần mềm theo cách nó đã định hoặc đã được tưởng tượng cả. Đi sau sự khuyến cáo về liên nền tảng như việc thẩm tra đầu vào, có xác thực nếu cần, và không là quá mở trong các quyền cho phép của các tệp cũng sẽ giúp trong việc có được ứng dụng của bạn làm việc được với SELinux ở chế độ ép buộc.

Tôi nhớ khi các bộ công cụ khác nhau lần đầu được đưa ra để tạo ra các ứng dụng của Android cho các điện thoại, và những lập trình viên mới có thể đơn giản chọn tất cả các ô để cho phép bất kỳ điều gì họ có lẽ muốn làm cùng lúc trong tương lai. Tôi vẫn còn không nghĩ là trò chơi solitaire của tôi cần có sự truy cập tới danh sách các mối liên hệ của tôi!

Thậm chí các chính sách mặc định của SELinux đang cho phép mọi điều mà có nghĩa. Nếu ứng dụng của tôi đang tạo nội dung web thì tất cả điều tôi cần làm là hãy đảm bảo rằng điều đó làm cho nội dung có được nhãn httpd_sys_content được áp dụng. Mặt khác, nếu ứng dụng của tôi cố đọc và xuất bản các nội dung của tệp trong /etc/sahdow, thì tôi kỳ vọng SELinux sẽ bóp chết yêu cầu đó.
Nếu ứng dụng đó chỉ đọc và ghi vào các tệp nó sở hữu, thì SELinux sẽ cho phép điều đó sẽ là chính sách mặc định, thậm chí nếu ứng dụng đó đang chạy không bị hạn chế. Bây giờ có một số công cụ viết chính sách của SELinux có thể hỗ trợ trong việc tạo chính sách cho ứng dụng của bạn nhưng nó chỉ giôgns như bạn có thể có khả năng sử dụng một module chính sách đang tồn tại với ít, nếu có, những sửa đổi.

Phần ưa thích nào của bà trong việc đóng góp cho các dự án nguồn mở?
Không nghi ngờ gì, đó là cộng đồng. Như một người luôn đi đây đó để huấn luyện, phần lớn cuộc sống xã hội của tôi là ảo và các cộng đồng nguồn mở là mở 24/7. Tôi có thể đóng góp chỉ một chút hoặc đi sâu vào một chủ đề cụ thể. Luôn có thứ gì đó mới để học và khai thác. Các ý tưởng mới đã tới từ khắp nơi trên thế giới và sự đổi mới xảy ra ở tất cả các giờ, cả ngày lẫn đêm. Nếu tôi không có các nơ ron thần kinh cho các nội dung kỹ thuật mới, thì tôi luôn có thể tìm thấy thông tin về rượu táo chát hoặc âm nhạc các vùng từ bất kỳ nền văn hóa nào tôi chọn.

Những phiên LinuxCon nào bà không thể bỏ qua năm nay?
Nếu bạn có bất kỳ mối quan tâm nào trong các kho chứa và an toàn, hãy chọn tất cả các bài nói của Dan Walsh. Ông ta là một người nói chuyện tuyệt vời, tác giả của cuốn sách màu mè tôi tham chiếu tới, và là người của SELinux. Tôi đã nghe cả 2 bài trình bày ở hội nghị thượng đỉnh của Red Hat và chúng là tuyệt vời.

Rikki Endsley đang lặp lại bài nói chuyện Willie Nelson của bà từ OSCON. Tôi đã nghe những điều tuyệt vời và tôi có kế hoạch nắm bắt chúng vào lúc này.

Trọng tâm kỹ thuật hàng đầu của tôi là các bài nói chuyện về bất kỳ điều gì có liên quan tới quản trị an toàn nhưng ngoài ra tôi có quan tâm trong cả Atomic Host, Kubernetes, và Apache Hadoop. Có bài nói chuyện về “Việc đảm bảo an toàn cho Dữ liệu Lớn” mà tôi đang hy vọng nắm bắt và tôi cũng đang ngồi ở Seattle cho ngày đầu của Hội nghị Thượng đỉnh An toàn Linux.

Bài báo này là một phần của Loạt bài Phỏng vấn các Diễn giả cho LinuxCon, CloudOpen, và ContainerCon Bắc Mỹ 2015. LinuxCon Bắc Mỹ là một sự kiện nơi mà “các lập trình viên, các nhà quản trị hệ thống, các kiến trúc sư và tất cả các mức tài năng kỹ thuật tụ tập dưới cái gốc về giáo dục, cộng tác và giải quyết vấn đề cho nền tảng Linux trong tương lai”.

Few things in the Linux world evoke a strong reaction like SELinux, the security enhancement for Linux. At LinuxCon, Susan Lauber hopes to soften that response and show people the light. In her talk, SELinux—it's all about the labels, Lauber will teach SELinux basics and describe why it's a must-run on your systems.
In this interview, she tells us more
How did you get involved in providing SELinux training?
From my early days of PC support and system administration, I had an interest in the security aspects of computing. Once I began teaching various network operating systems that interest became even stronger. I even did my Master's paper on the need for mandatory access controls at an operating system level. That was 9 years ago! As a Red Hat Certified Instructor I jumped on the opportunity to learn and teach all of their security track classes, including the SELinux Administration and Policy Writing course.
SELinux has a less-than-rosy reputation with a lot of people, despite its benefits. Apart from the coloring book, how can SELinux be evangelized?
Many people fear what they do not understand. Giving more and more examples of how SELinux is configured and how it protects—even with default out of box settings—gives more administrators the confidence to keep SELinux in enforcing mode. Additionally, there are a lot of administrators who got a bad taste with the early days of SELinux availability. They should try again! Today, the shipped "targeted" policy works for many people. There is not a lot of need for complex policy writing and plenty of tools for assisting with simple policy modifications. Most changes can actually be made with administration tools and even centrally managed. From the security management side, it is worth noting that having SELinux in enforcing mode, even with the default targeted policy, has prevented damage from a number of exploits. I will have links to several Red Hat Security Blog posts detailing how SELinux mitigated damage in recent and very public zero-day exploits.
What can developers do help make sure their software isn't the reason SELinux gets turned off on a system?
Software developers need to think about security from the early design phases. Not everyone will use software the way it was intended or envisioned. Following cross platform advice such as verifying input, having authentication if necessary, and not being too open in file permissions will also assist in having your application work with SELinux in enforcing mode.
I remember when various toolkits first came out to create Android apps for phones, and new developers would simply check all the boxes to allow for anything they might want to do at some time in the future. I still do not think my solitaire game needs access to my contacts list!
Even default SELinux policies are going to allow things that make sense. If my application is creating web content all I need to do is ensure that that the resulting content has the httpd_sys_content label applied. On the other hand, if my application tries to read and publish the contents of the /etc/shadow file, then I expect SElinux to squash that request.
If the application only reads and writes to files it owns, SELinux should allow that will the default policy, even if the application is running unconfined. There are now a number of SELinux policy writing tools that can assist in creating a policy for your application but it just as likely that you may be able to use an existing policy module with few if any modifications.
What's your favorite part of contributing to open source projects?
Without a doubt, it's the community. As a traveling trainer much of my social life is virtual and open source communities are open 24/7. I can contribute just a little or dive in deep to a specific topic. There is always something new to learn and explore. New ideas come from all over the world and innovation happens at all hours of the day and night. If I don't have the brain cells for new technical content, I can always find information on regional hard ciders or music from any culture I choose.
What are your can't-miss LinuxCon sessions this year?
If you have any interest in containers and security, check out both talks by Dan Walsh. He is a great speaker, the author of the coloring book I reference, and the SELinux man. I heard both presentations at Red Hat summit and they were great.
Rikki Endsley is repeating her Willie Nelson talk from OSCON. I heard great things and I plan to catch that one this time around.
My top technical focus is talks on anything related to security administration but beyond that I have interests in Atomic Host, Kubernetes, and Apache Hadoop. There is a "Securing Big Data at Rest" talk that I am hoping to catch and I am staying in Seattle for the first day of the Linux Security Summit as well.
This article is part of the Speaker Interview Series for LinuxCon, CloudOpen, and ContainerCon North America 2015. LinuxCon North America is an event where "developers, sysadmins, architects and all levels of technical talent gather together under one roof for education, collaboration and problem-solving to further the Linux platform."
Dịch: Lê Trung Nghĩa

Thứ Năm, 13 tháng 8, 2015

Những kẻ tấn công tích cực khai thác lỗi Windows sử dụng các đầu USB để gây lây nhiễm cho các PC


Attackers actively exploit Windows bug that uses USB sticks to infect PCs
Trong sự khai thác hoang dại làm gợi nhớ lại những điều được sử dụng để mở xích cho sâu Stuxnet.
In-the-wild exploit is reminiscent of those used to unleash Stuxnet worm.
by Dan Goodin - Aug 12, 2015 12:00pm WIB
Bài được đưa lên Internet ngày: 12/08/2015


Những kẻ tấn công đang tích cực khai thác chỗ bị tổn thương trong tất cả các phiên bản Windows được hỗ trợ mà cho phép chúng thực thị mã độc khi các đích thiết lập USB đặt bẫy trong các máy tính của họ, Microsoft đã cảnh báo hôm thứ Ba trong một bản tin định kỳ thường xuyên vá lỗi đó.

Trong bản tin ngày thứ Ba, các quan chức Microsoft đã viết:
Một chỗ bị tổn thương khi leo tháng quyền ưu tiên khi thành phần Mount Manager xử lý không đúng các liên kết biểu tượng. Một kẻ tấn công khai thác thành công chỗ bị tổn thương này có thể viết một tệp nhị phân độc hại vào đĩa và thực thi nó.

Để khai thác chỗ bị tổn thương đó, một kẻ tấn công có thể chèn một thiết bị USB độc hại vào một hệ thống đích. Bản cập nhật an toàn giải quyết chỗ bị tổn thương này bằng việc loại bỏ mã bị tổn thương khỏi thành phần đó.

Microsoft đã nhận được thông tin về chỗ bị tổn thương này qua sự mở ra chỗ bị tổn thương được phối hợp. Khi bản tin an toàn này đã được đưa ra, Microsoft có lý do để tin tưởng rằng chỗ bị tổn thương này đã được sử dụng trong các cuộc tấn công có chủ đích chống lại các khách hàng.

Chỗ bị tổn thương làm gợi nhớ lại về một lỗi sống còn bị nhóm tin tặc có liên quan tới NSA và có tên là Equation Group khai thác khoảng năm 2008 và sau này những kẻ tạo ra sâu máy tính Stuxnet mà đã phá hỏng chương trình hạt nhân của Iran, khai thác. Chỗ bị tổn thương đó nằm trong các hàm xử lý các tệp .LNK mà Windows sử dụng để hiển thị các biểu tượng khi một đầu USB được cắm vào - đã cho phép những kẻ tấn công thả ra một sâu máy tính mạnh lan truyền từ máy tính này sang máy tính khác mỗi lần chúng tương tác với ổ đĩa độc hại.

Khi Microsoft và chỗ bị tổn thương .LNK vào năm 2010 với MS10-046, các quan chức của hãng đã phân loại chỗ bị tổn thương đó như là “sống còn”, xếp hạng nghiêm trọng cao nhất của hãng. Sự phân loại dường như phù hợp, cân nhắc tới sự thành công các khai thác .LNK trong số lượng lớn các máy tính bị ảnh hưởng. Vì các lý do còn chưa rõ, chỗ bị tổn thương của ngày thứ Ba đã được xếp hạng là “quan trọng”, xếp hạng nghiêm trọng cao thứ 2 của Microsoft.

Cập nhật: Như nhà nghiên cứu Martijn Grooten của Virus Bulletin đã chỉ ra, chỗ bị tổn thương .LNK đã bị khai thác từ ở xa, cho phép nó lây nhiễm hàng triệu người. Ngược lại, lỗ được vá ngày thứ Ba dường như yêu cầu một đầu USB, một yêu cầu mà có thể hạn chế nhiều tới mức độ của cuộc tấn công. Đó có khả năng là lý do cho việc xếp hạng nghiêm trọng thấp hơn đó.

Bổ sung thêm vào việc sửa lỗi, Microsoft cũng đang phát hành phần mềm cho phép các máy tính được vá ghi lưu ký để khai thác lỗi đó. Điều đó sẽ làm dễ dàng hơn cho mọi người biết liệu họ có phải là đích của những kẻ tấn công hay không.

Một cách riêng rẽ, một từ cảnh báo: cài đặt các gói ngôn ngữ của Windows sẽ đòi hỏi bản vá ngày thứ Ba được cài đặt lại. Một cách tương ứng, trước khi chạy bản cập nhật, những người sử dụng nên chắc chắn họ cài đặt bất kỳ gói ngồn ngữ nào họ nghĩ họ cần trong tương lai.

Sự sửa lỗi cho chỗ bị tổn thương USB từng là một trong số 14 bản tin các bản vá mà Microsoft đã xuất bản hôm thứ ba như là một phần của vòng cập nhật hàng tháng của hãng. Microsoft thường nhận diện theo tên người hoặc nhóm báo cáo các chỗ bị tổn thương được sửa. Tuy nhiên, trong trường hợp này, hãng đã không làm tỉ mỉ ngoài việc nói thông báo đi “qua sự mở ra chỗ bị tổn thương được phối hợp”.

Attackers are actively exploiting a vulnerability in all supported versions of Windows that allows them to execute malicious code when targets mount a booby-trapped USB on their computers, Microsoft warned Tuesday in a regularly scheduled bulletin that patches the flaw.
In Tuesday's bulletin, Microsoft officials wrote:
An elevation of privilege vulnerability exists when the Mount Manager component improperly processes symbolic links. An attacker who successfully exploited this vulnerability could write a malicious binary to disk and execute it.
To exploit the vulnerability, an attacker would have insert a malicious USB device into a target system. The security update addresses this vulnerability by removing the vulnerable code from the component.
Microsoft received information about this vulnerability through coordinated vulnerability disclosure. When this security bulletin was issued, Microsoft has reason to believe that this vulnerability has been used in targeted attacks against customers.
The vulnerability is reminiscent of a critical flaw exploited around 2008 by an NSA-tied hacking group dubbed Equation Group and later by the creators of the Stuxnet computer worm that disrupted Iran's nuclear program. The vulnerability—which resided in functions that process so-called .LNK files Windows uses to display icons when a USB stick is plugged in—allowed the attackers to unleash a powerful computer worm that spread from computer to computer each time they interacted with a malicious drive.
When Microsoft patched the .LNK vulnerability in 2010 with MS10-046, company officials classified the vulnerability as "critical," the company's highest severity rating. The classification seemed appropriate, considering the success of the .LNK exploits in infecting large numbers of air-gapped computers. For reasons that aren't clear, Tuesday's vulnerability has been rated "important," Microsoft's second-highest severity rating.
Update: As Virus Bulletin researcher Martijn Grooten pointed out, the .LNK vulnerability was remotely exploitable, allowing it to infect millions of people. By contrast, the bug patched Tuesday appears to require a USB stick, a requirement that would greatly limit the scale of attacks. That's the likely reason for the lower severity rating.
In addition to fixing the bug, Microsoft is also releasing software that allows patched computers to log attempts to exploit the bug. That will make it easier for people to know if they were targeted by attackers.
Separately, a word of caution: the installation of Windows language packs will require Tuesday's patch to be reinstalled. Accordingly, before running the update, users should make sure they install any language packs they expect to need in the future.
The fix for the USB vulnerability was one of 14 patch bulletins Microsoft published on Tuesday as part of its monthly update cycle. Microsoft typically identifies by name the person or group reporting the vulnerabilities that get fixed. In this case, however, the company didn't elaborate beyond saying notification came "through coordinated vulnerability disclosure."
Dịch: Lê Trung Nghĩa