An ninh và chiếc hộp Linux của mẹ bạn

Phỏng vấn với chuyên gia an ninh Ross Anderson

Interview with security expert Ross Anderson

Theo: http://www.techradar.com/news/computing/pc/security-and-your-mother-s-linux-b...

Bài được đưa lên Internet ngày: 05/01/2009

Lời người dịch: Đọc xong bài này, bạn có thể sẽ thấy cần thiết phải chuyển máy tính của bạn sang Linux hoặc Mac OS X vì những lý do an ninh mà một chuyên gia an ninh thông tin hàng đầu thế giới trình bày.

Là một giáo sư về kỹ thuận an ninh tại Đại học Cambridge, Ross Anderson là một trong những nhà sáng lập về kinh tế an ninh với một kỷ luật hàn lầm.

Ông đã viết những gì Bruce Schneider nói là “cuốn sách tốt nhất về chủ đề này” về kỹ thuật an ninh [xem cuốn sách theo đường liên kết bên dưới], và đưa ra bằng chứng cho Uỷ ban Nội vụ yêu cầu về sự mở rộng thời gian mà cảnh sát có thể tạm bắt giữ. Tiếng tôn xưng của ông là không cần phải bàn.

Có lẽ ấn tượng hơn, dù, ông muốn các nhà cung cấp dịch vụ Internet ISP của bạn gửi cho bạn tiền mỗi lần bạn có được spam.

Tạp chí Linux Format đã có cuộc gặp gỡ và nói chuyện với ông.

Linux Format (LXF): Với tất cả thời gian và tiền bạc chi cho an ninh, vì sao nó lại thường làm không đúng như vậy? Hay những ví dụ mà chúng ta đã đọc được theo các phương tiện truyền thông chỉ là những trường hợp ngoại lệ?

Ross Anderson (RA): Chúng tôi hiểu sự năng động của các lỗi và tính dễ bị tổn thương khá tốt hiện nay từ quan điểm kinh tế. Chúng tôi biết, trước hết, rằng các nhà cung cấp không có động lực thích đáng để xuất ra những phần mềm chất lượng tốt, vì các nhà cung cấp không trả giá cho sự thất bại; còn chúng tôi thì có. Đó là thứ gì đó mà nền công nghiệp ô tô đã cần tới 2 thế hệ để sửa chữa. Nó đã kiện tụng tranh chấp từ 1917 tới khoảng 1965 để thiết lập nên nguyên tắc tại Mỹ rằng nhà sản xuất ô tô có trách nhiệm về những lỗi thiết kế. Trước đó, các nhà sản xuất ô tô chỉ nói: “Vì bạn chạy trong một chiếc ô tô, và bạn bị thương – hãy kiện người lái xe, và để cho anh ta kiện cái người anh ta đã mua chiếc xe đó nếu anh ta nghĩ chiếc xe đó là có khiếm khuyết”. Và cứ như thế, ngược lại với cái chuỗi mắt xích đó. Để phá cái đó, và thiết lập nên trách nhiệm của nhà cung cấp, đã mất cả một đời người sau khi ô tô được chế tạo ra. Sẽ là một nhiệm vụ to lớn y như vậy trong phần mềm.

As the professor of security engineering at Cambridge University, Ross Anderson is one of the founders of security economics as an academic discipline.

He's written what Bruce Schneier says is "the best book on the topic there is" about security engineering [read the book], and given evidence to the Home Affairs Committee inquiry into the extension of time that the police can detain Her Majesty's subject's without trial.

Perhaps more impressively, though, he wants your ISP to send you cash every time you get spam.

Linux Format magazine caught up with him for a chat...

Linux Format: With all the time and money spent on security, why does it go wrong so often? Or is it just that the examples we read about in the media are the exceptional cases?

Ross Anderson: We understand the dynamics of bugs and vulnerabilities fairly well now f-rom an economic point of view. We know, first of all, that the vendors don't have a proper incentive to ship good quality software, because the vendors don't pay the cost of failure; we do. That's something that the car industry took two generations to fix. It took litigation f-rom 1917 to about 1965 to establish the principle in America that the car maker is responsible for design errors. Before that, the car makers just said: "So you got run into by a car, and you got hurt – sue the driver, and let him sue the person he bought the car f-rom if he thinks the car was defective." And so on, back through the chain. Breaking that, and establishing vendor liability, took a whole human lifetime after the car was invented. It's going to be a similarly big task in software.

LXF: Nhưng chắc chắn là sẽ luôn có những lỗi trong phần mềm. Làm thế nào ông xác định được cái gì là đáng kể?

RA: Vâng, vì phần mềm là lớn và phức tạp, sẽ có lỗi; về mặt thống kê sẽ có nhiều lỗi, và bạn có thể đoán trước được bạn sẽ sử dụng bao nhiêu công cụ thống kê. Vì thế bạn sẽ kết thúc việc có một quá trình, như việc thường xuyên vá lỗi, và bạn sau đó có một vài ý tưởng về cách mà tính có thể bị tổn thương sẽ tới trong bất kỳ một tháng nào, và có bao nhiêu lỗi sẽ được sửa trong bất kỳ một tháng nào. Bạn có thể có những con số cho bao nhiêu người bị hack như là kết quả của tính dễ bị tổn thương mà các nhà cung cấp đã không vá lỗi, dù họ có thể làm. Và sau đó tất nhiên sẽ có những trường hợp khác nơi mà ai đó đã phát hiện ra một sự tổn thương mà đã không được báo cáo cho các nhà cung cấp, nêu bạn đã có một sự khai thác là 0 ngày.

Rồi bạn có thể nhìn vào nó từ quan điểm của kinh tế học của những người tiến hành việc vá lỗi. Nếu bạn là một công ty, bao nhiêu nỗ lực bạn sẽ bỏ vào việc áp dụng các miếng vá lỗi một cách nhanh chóng, và đâu là những rủi ro? Sẽ có một loạt những vấn đề kinh tế liên quan trong các quyết định đối với chất lượng phần mềm, dự kiến trước việc vá lỗi, sự chuyên cần về ứng dụng các bản vá, và vân vân.

LXF: Có vẻ như phải đẩy những khiếu kiện lên ccs nhà cung cấp phần mềm hơn là lên các hacker...

RA: Trong địa ngục của tội ác, có một tập hợp các lực lượng kinh tế riêng rẽ mà chúng xác định cái mẫu khai thác sẽ là gì. Ví dụ, đâu là kinh tế của việc kiểm soát một lỗi? Vâng, chúng ta biết rằng khi các máy tính bị kiểm soát, thường thì các tin tặc thực hiện việc khai thác giá trị cao theo cách mà họ có thể – lấy các dữ liệu ngân hàng từ các tệp nhật ký chủ chốt, và dạng như vậy – và sau đó chúng đi xuống chuỗi đồ ăn. Các máy tính bị tổn thương có thể kết thúc bằng việc bị sử dụng để gửi đi spam, và sau đó một khi chúng bị đưa vào sổ đen bởi tất cả các bộ lọc spam, thì chúng sẽ kết thúc bị sử dụng cho các cuộc tấn công từ chối dịch vụ được phân tán.

Sẽ có tất cả các loại địa điểm trong mắt xích đó nơi mà sẽ có những điểm kiểm soát tiềm năng, nơi mà sẽ có những số lượng hợp lý áp lực sẽ không được áp dụng. Hiện nay, nếu tôi có spam hoặc một thư phishing từ một máy tính bị lây nhiễm và tôi báo cáo ngược lại cho ISP, rồi nếu ISP đó là một hãng vừa và nhỏ, thì họ thường sẽ sửa nó một cách khá nhanh chóng. Trong khoảng 1 giờ đồng hồ gì đó, họ sẽ buộc máy tính đó phải bị cách ly trong một sân có tường rào ngăn, từ đó người sử dụng có thể có được phần mềm chống virus, nhưng không nhiều hơn thế. Lý do là nếu bạn là một ISP nhỏ, và một máy tính bắt đầu gửi đi rất nhiều spam, thì nó sẽ gây ảnh hưởng tới những sắp xếp của bạn. Tuy nhiên, nếu bạn là một ISP lớn, bạn sẽ không quan tâm.

LXF: But surely there will always be bugs in software. How do you determine which are significant?

RA: Yes, since software is big and complex, there are bugs; there are statistically many bugs, and you can predict how many you'll get using statistical tools. So you end up having a process, such as regular patching, and you then have some idea of how many vulnerabilities will arrive in any one month, and how many will be fixed in any one month. You can get numbers for how many people get hacked as a result of vulnerabilities that vendors hadn't patched, although they could have. And then of course there's the other cases whe-re somebody has discovered a vulnerability that wasn't reported to the vendors yet, so you've got a zero-day exploit.

Then you can look at it f-rom the point of view of the economics of the people doing the patching. If you're a company, how much effort do you put into applying patches quickly, and what's the risk? There's a whole series of economic equilibria involved in decisions as to software quality, preconceived patching, diligence of application of patches, and so on.

LXF: That seems to put the blame on the software vendors rather than the hackers…

RA: In the criminal underworld, there's a set of separate economic forces that determine what the exploitation pattern will look like. What, for example, are the economics of running a botnet? Well, we know that when machines are captured, typically hackers do such high-value exploits as they can – keyloggers for bank data, and that sort of thing – and then they go down the food chain. Compromised machines may end up being used to send spam, and then once they're blacklisted by all the spam filters, they'll end up being used for distributed denial-of-service attacks.

There are all sorts of places in the chain whe-re there are potential control points, whe-re reasonable amounts of pressure haven't been applied. At present, if I get spam or a phishing email f-rom an infected machine and I report it back to the ISP, then if the ISP is a small to medium sized firm, they'll usually fix it fairly quickly. Within a matter of an hour or so, they'll have that machine isolated into a walled garden, f-rom which the user can get hold of anti-virus software, but not much else. The reason for this is that if you're a small ISP, and a machine starts sending a lot of spam, it screws up your peering arrangements. However, if you are a big ISP, you don't care.

LXF: Vì không ai sẽ khoá toàn bộ Hotmail, hoặc bất kể thứ gì như vậy phải không?

RA: Hotmail không tệ như hế, nhưng bạn có thể nghĩ về một trong 2 nhà cung cấp dịch vụ ISP lớn của nước Anh, rằng tôi sẽ không nêu tên vì những lý do phỉ báng. Nếu bạn gửi thử để lạm dụng một trong những công ty dot com này, không ai sẽ đọc nó. Bạn có lẽ cũng sẽ khiếu nại tới bản thân người gây ra spam đó, vì tất cả những gì nó sẽ làm.

Vì thế đề xuất rằng chúng ta có [Anderson gần đây đã hoàn tất báo cáo cho Mạng châu Âu và Cơ quan An ninh Thông tin], rằng nếu bạn khiếu nại lạm dụng ai đó hoặc các công ty dot com khác, và hơn 3 giờ đồng hồ sau đó, bạn sẽ có nhiều phish và spam hơn từ đúng chiếc máy tính bị lây nhiễm đó, rồi bạn phải có một quyền pháp lý để khiếu nại €10 từ họ. Không cần phải chứng minh sự hiểm độc, không cần phải chứng minh tác hại thực tế, chỉ là “đây hoá đơn đây này”. Một lược đồ tương tự thường được chọn cho các chuyến bay trễ, hoãn và đặt trước quá nhiều trong các hãng hàng không giá rẻ ở châu Âu, vì bây giờ bạn có €250 của [các hãng hàng không] EasyJet hoặc Ryanair sẽ vứt bạn ra khỏi chuyến bay tới Barcelona. Bạn không phải sản xuất cả đống biên lai, báo giá khách sạn và thuê ô tô và tranh luận về trò xấp ngửa, bạn chỉ cần gửi cho họ biên lai. Nếu họ không thanh toán, bạn sẽ tới toà án tỉnh, và nếu họ vẫn không thanh toán, bạn hãy tới toà án cấp cao hơn và sẽ thu được – hãy tin tôi đi, tôi đã từng làm thế rồi!

Một khi bạn có thể làm như vậy đối với ISP của bạn, họ tất cả sẽ bỗng nhiên thấy rằng vì quyền lợi tốt nhất của họ để hành động như các ISP vừa và nhỏ làm. Bộ đồ mà bạn cần để làm tường lửa cho các máy tính chỉ đáng vài trăm, và nó không là gì đối với một ISP lớn. Đây chính là vấn đề của họ thực hiện những nỗ lực, và phải có động lực.

LXF: Với nhiều sản phẩm tiêu dùng, như các bộ định tuyến không dây, sẽ không có động lực như thế – họ sẽ để mặc kệ cho người sử dụng đầu cuối tự vá các thiết bị của họ, hoặc đưa ra các thiết bị mới khác...

RA: Thực tế thế đó! Mẹ tôi sẽ làm như thế thì phải?

LXF: Because nobody's going to block the whole of Hotmail, or whatever it is?

RA: Hotmail isn't that bad, but you could think of one or two of the big British ISPs, that I won't name for libel reasons. If you send mail to abuse@ one of these companies dot com, nobody will read it. You might as well complain to the spammer himself, for all the good it will do.

So the proposal that we have [Anderson recently completed a report for the European Network and Information Security Agency], is that if you complain to abuse@ somebody or other dot com, and more than three hours after that, you get more phish or spam f-rom the same infected machine, then you should have a legal right to claim €10 f-rom them. No need to prove malice, no need to prove actual damage, just "here's the bill". A similar scheme has largely sorted out late flights, cancellations and overbookings among cheap airlines in Europe, because now you get €250 EasyJet or Ryanair bump you off the flight to Barcelona. You don't have to produce a whole bundle of hotel bills and car rental vouchers and argue the toss, you just send them the bill. If they don't pay, you go to the county court, and if they still don't pay, you get the bailiffs to go and collect – believe me, I've done it!

Once you can do that to your ISP, they will all of a sudden find that it's in their best interests to act as the small to medium ISPs do. The kit that you need to firewall machines only costs a couple of hundred grand, and that's nothing to a big ISP. It's just a matter of them making the effort, and having the incentive.

LXF: With a lot of consumer products, like wireless routers, there's no incentive like that – it's pretty much left to the end user to patch these devices, or flash them with new firmware...

RA: Get real! Is my mum going to do that?

LXF: OK, thế các bước nào một người dân thường phải làm để cải thiện an ninh dữ liệu của họ?

RA: Hãy mua một máy Linux hoặc Mac. Tôi đã mua cho vợ mình một máy Mac, lần trước máy Windows đã đầy ắp với những phần mềm gián điệp.

LXF: Thế ông không nghĩ những vấn đề với Windows có thể được giải quyết hay sao?

RA: Những người khốn khổ ở Redmond đang làm những gì họ có thể, nhưng họ đã có một núi khổng lồ mã nguồn cũ để làm. Dù họ đang bắt đầu làm một vài thứ bán nhạy cảm với Vista, trong việc không bắt những người sử dụng chạy như ở root mọi lúc nữa, thì điều này làm gián đoạn quá nhiều ứng dụng mà khó có thể kéo lại được. Bạn hãy chấm dứt cái tình trạng không nơi nương tựa của các nhà học giả này đi, nhờ đó mọi người sẽ được dạy để nháy khỏi các hộp thoại gây bực mình này mà chúng nói: “Liệu bạn có thực sự muốn bỏ qua điều này hay không? Liệu bạn có thực sự muốn triệt bỏ an ninh của bạn hay không? Liệu bạn có thực sự muốn chạy như ở root hay không?” blah, blah, blah. Họ phải, phải thực hiện công việc của họ. Đó là một vấn đề cơ bản của toàn bộ kiến trúc [phần mềm].

Từ quan điểm của một người sử dụng mà sẽ chỉ sử dụng máy tính cá nhân cho việc duyệt web, xử lý văn bản và một hoặc hai tác vụ đơn giản như vậy, thì giải pháp tốt nhất là chuyển sang một nền tảng thay thế khác. Cơ hội lớn, mà một vài phát tán Linux hiên nay rõ ràng đang giành lấy, là để tạo ra các máy tính cá nhân Linux và các máy tính xách tay Linux mà chúng chỉ làm việc, chúng không cần bất kỳ ai biết một tệp Tar là gì, hãy để lại một mình cách để biên dịch các thứ.

LXF: OK then, what steps should an ordinary citizen take to improve their data security?

RA: Buy a Linux box or a Mac. I bought my wife a Mac, last time the Windows box got filled up with loads of spyware.

LXF: So you just don't think the problems with Windows can be solved?

RA: The poor boys at Redmond are doing what they can, but they've got an enormous mountain of legacy codebase to deal with. Although they are beginning to do some semi-sensible things with Vista, in terms of not having users run as root all the time any more, this breaks so many applications that it's hard to get much traction. You end up with this learned helplessness phenomenon, whe-reby people are trained to keep clicking away these annoying dialog boxes that say: "Do you really want to override this? Do you really want to dismantle your security? Do you really want to run as root?" blah, blah, blah. They have to, to get their work done. That's a fundamental problem of the whole [software] architecture.

F-rom the point of view of a user who's only going to use the PC for web browsing, word processing and one or two other simple tasks like that, the best solution is to move to an al-ternative platform. The big opportunity, which some Linux distributions are now obviously seizing, is to produce Linux PCs and Linux laptops that just work, which don't need anyone to know what a Tar file is, let alone how to compile stuff.

-------------------------------------------------------------------------------------------------------

Lần đầu được xuất bản trên Linux Format, số 114

Bây giờ hãy đọc Làm thế nào để bắt được những kẻ thâm nhập hệ thống Linux

Hãy đăng ký để có thông tin của TechRadar hàng tuần một cách tự do.

Có các thông tin kỹ thuật được phân phối trực tiếp tới hộp thư của bạn. Hãy đăng ký để nhận được các thông tn của TechRadar một cách tự do và ở lại trên đỉnh của các câu chuyện và các phiên bản sản phẩm lớn nhất trong tuần. Hãy đăng ký tại http://www.techradar.com/register

Được viết bởi Linux Format

First published in Linux Format, Issue 114

Now read How to catch Linux system intruders

Sign up for the free weekly TechRadar newsletter

Get tech news delivered straight to your inbox. Register for the free TechRadar newsletter and stay on top of the week's biggest stories and product releases. Sign up at http://www.techradar.com/register

By Linux Format

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com