Không an ninh vì sự tù mù

Symanteccó một số câu hỏi rất nghiêm trọng phải trả lời vềsự tôn trọng đối với an ninh các khách hàng của họ

Symantechas some very serious questions to answer about their respect fortheir customers' security.

Published 22:46, 27January 12

Theo:http://blogs.computerworlduk.com/simon-says/2012/01/insecurity-by-obscurity/index.htm

Bài được đưa lênInternet ngày: 27/01/2012

Lờingười dịch: Những người sử dụng phần mềm truy cậptừ xa pcAnywhe-re của Symantec chắc sẽ không hiểu vì saomà Symantec lại yêu cầu họ phải vô hiệu hóa hoặc bỏcài đặt phần mềm trong khi hãng sửa một số lỗi khôngđược biết. Simon Phipps, người từng có 30 năm trong nghềphần mềm, người từng là lãnh đạo của SunMicrosystems, có 3 câu hỏi dành cho Symantec và mong đượctrả lời nghiêm túc về cái gọi là: “nguồn đóng mớian ninh”. Bạn hãy xem để hiểu vì sao khi người tanói “nguồn đóng mới an ninh” thì bạn phải hiểu rằngđiều đó chỉ là sự quảng cáo.

Tuần này đã thấymột thông báo gây ngạc nhiên và sốc của Symantec. TheoGregg Keizer của ComputerWorld:

Symantec tuần nàyđã thực hiện một bước không bình thường cao độ khinói cho những người sủ dụng phần mềm truy cập từ xacủa hãng là pcAnywhe-re phải vô hiệu hóa hoặc bỏ càiđặt phần mềm trong khi hãng sửa một số lỗi khôngđược biết.

Tư vấn này giậtpcAnywhe-re khỏi dịch vụ đã được nhắc của một rò rỉmã nguồn của nó năm 2006 và sự liên can rất nhiều gầnđây của Anonymous,

Tuần trước,Symantec đã thừa nhận mạng của riêng hãng đã bị đánhthủng trong năm 2006. Hôm thứ ba, hãng một lần nữa nóimã nguồn cho một số sản phẩm của hãng, bao gồm cảpcAnywhe-re, đã bị đánh cắp khi đó.

Mộtlỗ hổng an ninh có thể xảy ra cho bất kỳ ai. Giống nhưSTD, thật lúng túng và phản ứng tồi tệ về nạn nhân,nhưng cuối cùng không có khả năng sẽ là chết người.Nhưng có một số, nhiều câu hỏi sâu hơn cần phải đượctrả lời.

Nhưmột cựu binh 30 năm của nền công nghiệp phần mềm,người đã từng thấy bên trong một số máy tính nhữngcục xúc xích phần mềm của các tập đoàn, tôi có 3 câuhỏi tôi muốn thấy được trả lời một cách trung thựcvà rõ ràng về sự rò rỉ mã nguồn của Symantec:

1. Vì sao nó đã trải qua 5 năm đối với sự thu nạp và cảnh báo nổi lên từ Symantec? Vì sao nó lại có áp lực từ các cao thủ công nghệ để có được họ sở hữu chúng, chứ không phải là một cam kết trả tiền cho các khách hàng hoặc quan tâm đến uy tín thương hiệu của riêng họ?

2. Vì sao họ đã cho phép những khiếm khuyết về an ninh - những khiếm khuyết nghiêm trọng như vậy đối với các khách hàng sẽ được khuyến cáo dừng sử dụng phần mềm của họ - đối với những khiếm khuyết y hệt đã được biết nhưng chưa được sửa trong 5 năm?

3. Vì sao chúng phụ thuộc vào sự bí mật của mã nguồn trong các phần mềm thương mại được quảng cáo với một chủ đề “hãy tin chúng tôi, chúng tôi là các chuyên gia”? Bất kỳ cơ chế an ninh thương mại đáng tin cậy nào cũng sẽ dựa vào một thuật toán mạnh, và nó được hiểu một cách rộng rãi rằng một thuật toán mạnh là thuật toán đã được soi xét kỹ một cách công khai và được triển khai công khai. “An ninh bằng sự tù mù” là mất uy tín vì nó là không phù hợp, như phong trào nguồn mở đã chứng minh đầy đủ hơn 1 thập kỷ qua.

Trong kỷ nguyên nguồn mở, ưu thế duy nhất mà các nhàcung cấp sở hữu độc quyền đã để lại trên nhữngsự đăng ký thuần túy là giá trị được thêm vào màhọ đã tuyên bố tới từ việc có “sự kiểm soát hoàntoàn” mã nguồn đó. Tôi đang chờ câu trả lời nghiêmtúc cho các câu hỏi nghiêm túc đó, Symantec.

Thisweek saw a surprising and shocking announcement by Symantec.Accordingto ComputerWorld's Gregg Keizer:

Symantecthis week took the highly unusual step of telling users of itspcAnywhe-re remote access software to disable or uninstall thesoftware while it fixes an unknown number of bugs.
:
The adviceto yank pcAnywhe-re f-rom service was prompted by a 2006 leak of itssource code and the much more recent involvement of Anonymous,

:
Last week, Symantec admitted itsown network had been breached in 2006. Tuesday, it again saidsource code for several of its products, including pcAnywhe-re, hadbeen stolen at that time.

Asecurity breach can happen to anyone. Like an STD, it's embarrassingand reflects badly on the victim, but ultimately isn't likely to befatal. But there are some much, much deeper questions to be answered.

Asa thirty-year veteran of the software industry who has seen theinside of several corporate software sausage machines, I have threequestions I would like to see answered honestly and clearly aboutabout Symantec's code leak:

1. Why has it taken over five years for this admission and warning to surface f-rom Symantec? Why did it take pressure f-rom technology geeks to get them to own up, rather than a commitment to paying customers or concern for their own brand reputation?

2. Why have they allowed security defects - ones so serious customers are recommended to stop using their software - to persist known but unfixed for those same five years?

3. Why are they depending on code secrecy in commercial software advertised with a "trust us, we're experts" theme? Any reliable commercial security mechanism will rely on a strong algorithm, and it's widely understood that a strong algorithm is one that has been publicly scrutinized and publicly implemented. "Security by obscurity" is as discredited as it is inappropriate, as the open source movement has amply demonstrated for over a decade.

Inthe age of open source, the only advantage the proprietary vendorshad left over pure subscriptions was the extra value that theyclaimed comes f-rom having "complete control" of the sourcecode. I'm looking forward to serious answers to these seriousquestions, Symantec.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com