Một 'Phần mềm độc hại có đạo đức' có là phép nghịch hợp?

Is'Ethical Malware' an Oxymoron or a Best Practice?

By Katherine Noyes, LinuxInsider

12/07/09 4:00 AM PT

Theo: http://www.linuxinsider.com/story/Is-Ethical-Malware-an-Oxymoron-or-a-Best-Practice-68824.html

Bài được đưa lên Internet ngày:07/12/2009

Lời ngườidịch: Nhân việc có một lập trình viên viết và đưa ra một chương trình phần mềmđộc hại cho Linux để chứng tỏ mình, trên các blog của thế giới phần mềm tự donguồn mở đã nổ ra những tranh luận về cả đề tài này lẫn đề tài về việc nên traoGiải Nobel Hòa bình cho Linus Torvalds hay Ric-hard Stallman. 2 sự việc này là ở2 cực về đạo đức của thế giới FOSS. Những lý luận trong bài là rất đáng đọc.

Liệu có bao giờ những hoàn cảnhnào đó đảm bảo cho việc sử dụng phần mềm độc hại hay không? Câu hỏi đó đã đượctung ra về FOSS trên không gian blog tuần này, sau khi một lập trình viên có ýtốt đã nghi ngờ liệu có là có đạo đức để phơi bày ra những chỗ có thể bị tổnthương mà những người khác có thể sau đó khai thác hay không. Tất cả ở chỗ điềukhiển nó thế nào, Chris Travers gợi ý, người làm việc về dự án LedgerSMB.“Chúng ta sửa trước, rồi chúng ta giải thích làm thế nào chỗ bị tổn thương nàylàm việc được”.

CrystalReports - phát hieenjnhuwngx đổi mới sáng tạo mới nhất.

hãy tải về một bản thử nghiệm tựdo, xem chức năng 'đằng sau sân khấu' trong thời gian thực, và học về buôn bánmáy chủ Crystal Report theo các lựa chọn! Hãy học nhiều hơn nữa.

Mỗi cộng đồng có những người anhhùng của nó, và ở đây trong thế giới của Linux không nghi ngờ gì rằng LinusTorvalds là một trong số họ.

Linus đặc trung nổi bật hơn so vớibình thường trong không gian blog về Linux trong tuần trước, trên thực tế, vàkhông chỉ vì ông đã tung ra phiên bản 2.6.32 của nhân Linux.

Quả thực không phải vì vậy! Thú vịdù một phiên bản mới có thể, một cuộc tranh luận còn lớn hơn về Linux mà cácblog tuần trước là một sự tự nhiên rất khác thường. Một sự tự nhiên dạng củaObama, bạn có thể nói, hoặc một dạng của Al Gore (từng là phó tổng thống Mỹ thờiBill Clinton).

Vâng, đã có cuộc thảo luận nghiêmtúc về khả năng một Giải Nobel Hòa bình cho người Phần Lan yêu thích của chúngta!

'Mộttrong những Nỗ lực Quốc tế Lớn nhất'

Ý tưởng này hình như dấy lêntrong cộng đồng Linux xung quanh vùng Portland, bang Oregon, nơi mà Linus bảnthân ông đang sống.

“Linux là một tong những nỗ lựcquốc tế hợp tác lớn hất từ trước tới nay được thực hiện”, Keith Lofstrom trongmột bức thư xuất bản trên một blog báo chí Ridenbaugh đã viết. “Nó đã truyền cảmhứng cho Ubuntu, cho OLPC và rất nhiều dự án toàn cầu khác”.

“Linux đã chinh phục không giansiêu máy tính, không gian các máy chủ, không gian các máy tính nhúng - bằng cácphương tiện hòa bình!”, Lofstrom tiếp tục. “Linux đã giúp tiếp tục khoa học gencon người, giúp bảo vệ hạ tầng máy tính của thế giới khỏi các cuộc tấn công bằngvirus, và bây giờ là cách cho hàng triệu người học lập trình máy tính và thamgia vào những nỗ lực quốc tế mới”.

Docircumstances EVER warrant the use of malware? That question was bandied aboutthe FOSS blogosphere this week, after a well-meaning developer wondered whetherit would be ethical to expose vulnerabilities that others might then exploit.It's all in how it's handled, suggested Chris Travers, who works on theLedgerSMB project. "We fix first, then we explain how the vulnerabilityworks."

CrystalReports - Discover the Latest Innovations.

Downloada free trial, view real-time 'behind the scenes' functionality, and learn aboutnew Crystal Reports Server trade in options! Learn more.

Everycommunity has its heroes, and here in the world of Linux there's no doubt thatLinus Torvalds is one of them.

Linusfeatured more prominently than usual in the Linux blogosphere over the pastweek, in fact, and not just because he released version 2.6.32 of the Linuxkernel.

Noindeed! Exciting though a new release may be, an even bigger discussion on theLinux blogs last week was of a very different nature. An Obama-ish nature, youmight say, or an Al Gore-ish one.

Yes,there was serious discussion of the possibility of a Nobel Peace Prize for ourfavorite Finn!

'Oneof the Largest International Efforts'

Theidea apparently arose in the Linux community surrounding Portland, Ore., whe-reLinus himself resides.

"Linuxis one of the largest cooperative international efforts ever undertaken,"wrote Keith Lofstrom in a letter published on a Ridenbaugh Press blog. "Itinspired Ubuntu, One Laptop Per Child, and many other global projects.

"Linuxconquered the supercomputer space, the server space, the embedded computerspace -- by peaceful means!" Lofstrom went on. "Linux helped sequencethe human genome, helps protect the world computer infrastructure f-rom viralattack, and is now the pathway for millions to learn computer programming andparticipate in new international efforts."

Linuxhay Stallman?

Hơn 20 bình luận đã chúc mừng gợiý ở đó trước khi nó được nhấc lên Slashdot, gây ra một sự tán loạn nhỏ của khoảng500 cái nữa.

Linus “có thể chắc chắn xứng đánghơn về một Giải Nobel Hòa bình [hơn là] một nhóm những người đã nhận mới đay màhọ nghĩ tới...”, cayenne8 đã viết trên Slashdot, ví dụ. “Ông ta thực sự đã đặtthứ gì đó có thể sờ mó được cùng với, và đã nhìn thấy trước được nó nhiều năm,đối nghịch lại một số người được đề cử gần đây trước khi ông ta còn đã làm xongbất kỳ thứ gì”.

Một trong những cánh tay khác,“Toàn bộ phong trào này trong đó Linux đã nở rộ là bởi sự sáng tạo và sáng kiếnrộng lớn của Stallman”, MightyMartian đã lưu ý. “Ngay cả dù ông ta có hơi điênrồ và có thể là một sự châm chọc chính, nếu ai đó xứng đáng, thì đó làStallman”.

'Vâng!'

Những ý nghĩ tương tự có thể đượcnghe giữa những tiếng om sòm tại quán bar của các blogger ưu thích Linux Girl(cô gái Linux), Punchy Penguin.

“Linus nên có một Giải thưởngNobel ư? Đúng thế” blogger yagu trên Slashdot hồ hởi. “Linus đã tạo ra thứ gìđó mà động chạm và ảnh hưởng tới mọi người trong giới công nghệ và, hoàn toànđúng, vượt cả ra ngoài nữa”.

“Linus đã có một khiếu nghiệp vụvà thực dụng về 'dự án' Linux, và không có TLC của ông ta thì tôi thấy nó khómà nghĩ quá nhiều người khác có thể đã hoàn thành được thứ y như vậy với ảnh hưởngkhổng lồ như vậy”, yagu đã nói cho LinuxInsider.

Linusor Stallman?

Morethan 20 comments greeted the suggestion there before it was picked up onSlashdot, causing a small stampede of some 500 or so more.

Linus"would definitely be more deserving of a Nobel Peace Prize [than] a coupleof the last recipients that come to mind....," wrote cayenne8 on Slashdot,for example. "He actually has put something tangible together, andoverseen it for years, as opposed to someone nominated recently before he hadeven done anything."

Onthe other hand, "the whole movement in which Linux blossomed was by andlarge Stallman's creation and initiative," noted MightyMartian. "Eventhough he's a bit loopy and can be a major prick, if anyone deserves it, it'sStallman."

'Yes!'

Similarthoughts could be heard amid the din at Linux Girl's favorite blogo-bar, thePunchy Penguin.

"ShouldLinus get a Nobel Prize? Yes!" enthused Slashdot blogger yagu. "Linuscre-ated something that touches and affects everyone in technology and,implicitly, beyond.

"Linushas had a business and pragmatic sense about the Linux 'project,' and withouthis TLC I find it difficult to think too many others would have accomplishedthe same thing with the same dramatic impact," yagu told LinuxInsider.

'Khôngphải Giải thưởng đó'

Mặt khác: “Tha lỗi cho tôi khitôi nói, cái gì vậy?” blogger hairyfeet trên Slashdot nói. “Tôi luôn nghĩ giảithưởng hòa bình phải tới những ai mà họ thực sự đã chịu đựng và đã đấu tranh đểlàm cho thế giới này là chỗ tốt hơn, như những nhà văn mà họ đã liều mạng choSoviet Gulag để nói ra về các quyền con người, hoặc làm những công việc cực nhọctrong những khu ổ chuột như Mẹ Teresa”.

“Linux là dễ chịu, nhưng thôi mà,hãy nghiêm túc ở đây đi”, hairyfeet bổ sung. “Liều mạng với tù tội hoặc làm việctrong các khu ổ chuột đầy dẫy bệnh tật đối nghịch với việc viết phần mềm ư? Nếubạn muốn trao cho Linus một giải thưởng, tôi hoàn toàn đồng ý. Chỉ không phảilà giải thưởng ĐÓ, được không?”

Còn đối với khả năng của Stallmanư?

“Quả táo và quả cam”, yagu bổsung. “Những đóng góp của Stallman chạng vạng và gây kinh hãi. Thuật ngoại giaocủa Stallman không - đôi khi nó cũng là về một con người dễ chịu”.

Một lựa chọn chia sẻ ư?

Rồi một lần nữa: “Tôi nghĩ nó cóthể vừa thú vị hơn và vừa chính xác hơn để thấy Linus và Ric-hard Stallman chiasẻ một giải thưởng”, blogger Barbara Hudson trên Slashdot đã nói vớiLinuxInsider.

“Không có GPL và chuỗi công cụ củaGNU, Linux liệu có thể là trong một miền khác hoàn toàn ngay bây giờ, đặc biệtlà về những đóng góp mã nguồn được hỗ trợ từ các doanh nghiệp cho nhân”, bà giảithích.

“Lựa chọn ảnh kết quả có thể chỉlà một sự tưởng thưởng thêm”, Hudson bổ sung.

'NotTHAT Award'

Onthe other hand: "Excuse me while I say, what?" countered Slashdotblogger hairyfeet. "I always thought the peace prize should go to thosethat really suffered and struggled to make the world a better place, like thewriters that risked the Soviet Gulag to speak out on human rights, or toiled inthe slums like Mother Teresa.

"Linuxis nice, but come on, let's get serious here," hairyfeet added."Risking prison or working in disease-ridden slums vs. writing software?If you want to give Linus an award, I'm all for it. Just not THAT award,okay?"

Asfor the Stallman possibility?

"Applesand oranges," yagu asserted. "Stallman's contributions stagger andawe. Stallman's diplomacy does not -- sometimes it's also about being a niceguy."

AShared Option?

Thenagain: "I think it would be both more interesting and more accurate to seeLinus and Ric-hard Stallman share a prize," Slashdot blogger Barbara Hudsontold LinuxInsider.

"Withoutthe GPL and the gnu toolchain, Linux would probably be in a very differentspace right now, especially with respect to the corporate-sponsored codecontributions to the kernel," she explained.

"Theresulting photo op would just be a bonus :-)," Hudson added.

'Mộtgói phần mềm độc hại'

Có lẽ ở những gì có thể được xemxét theo đầu ngược lại của phổ từ những suy nghĩ về Giải Nobel Hòa bình là cuộctranh luận nóng khác mà nó lan truyền tới vài blog trong tuần trước.

Một thứ đó, đối nghịch, đã tậptrung vào phần mềm độc hại và đạo đức.

“Tôi đã chán với sự đồng thuậnchung rằng Linux là quá an ninh và không có phần mềm độc hại”, buchner.johannesđã viết trong một câu hỏi cho Ask Slashdot. “Sau một tuần làm việc, tôi đã hoànthành một gói phần mềm độc hại cho Unix/Linux. Toàn bộ mục đích của điều này làđể giúp những hacker mũ trắng chỉ ra rằng một hệ thống Linux có thể bị biếnthành một máy trạm của botnet đơn giản chỉ bằng việc tải về BOINC và gắn nó vàomột tài khoản người sử dụng để giúp cho các dự án khoa học”.

'Đưa thứgì đó vào thực sự ma quỷ'

Phần mềm độc hại không khai thácbất kỳ lỗ hổng an ninh nào, Buchner đã lưu ý - “chỉ làm lỏng các cấu hình anninh và không lưu tâm tới sự hoạt động của những bản tải về được kiểm tra tínhđúng đắn”.

Tuy thế mà, “bây giờ tôi không chắcvề liệu nó có là OK về đạo đức để đưa ra bộ công cụ này không, mà nó, bằng việcđưa tải của BOINC và đặt vào thứ gì đó thực sự ma quỷ, có thể sẽ biến thành phầnmềm độc hại của Linux đích thực”, anh ta viết.

Chấp nhận được một cách đạo đức đểtung ra một phần mềm màu xám như vậy ư? Đó là chủ đề tiếp theo có trong tay,không chỉ trên Slashdot, mà còn trên Lxer, trên eWeek Europe và nhiều chỗ nữa.

'Hãymang nó lên'

“Ê. Hãy mang nó lên!” d0nk3y viếttrên LXer, ví dụ. “Càng phơi ra các tốt. Bất kỳ lỗ hổng nào sẽ được bịt lại. Chấmhết câu chuyện. Và Linux lại vẫn là an ninh nhất”.

Tương tự: “Chỉ hãy tưởng tượng cóbao nhiêu câu chuyện có thể có nếu nó là những thông tin mỗi lần một 'lập trìnhviên' nào đó đã quyết định để viết phần mềm độc hại cho Windows”, đã rungchuông trên bigg. “Linux phải là an ninh nếu điều này đáng là một câu chuyện”.

Quả thực đáng giá, trong đánh giácủa Linux Girl. Cô ta đã quay lại quán bar để rõ hơn - liệu phần mềm độc hại cóthể là có đạo đức chăng?

'APackage of Malware'

Atwhat perhaps might be considered the opposite end of the spectrum f-rom thoughtsof Nobel Peace Prizes was another hot discussion that spread to several blogslast week.

Thisone, by contrast, focused on malware and ethics.

"Iwas fed up with the general consensus that Linux is oh-so-secure and has nomalware," wrote buchner.johannes in a question for Ask Slashdot."After a week of work, I finished a package of malware for Unix/Linux. Itswhole purpose is to help white-hat hackers point out that a Linux system can beturned into a botnet client by simply downloading BOINC and attaching it to auser account to help scientific projects."

'PuttingIn Something Really Evil'

Themalware does not exploit any security holes, Buchner noted -- "only loosesecurity configurations and mindless execution of unverified downloads."

Nevertheless,"now I am unsure of whether it is ethically OK to release this toolkit,which, by ripping out the BOINC payload and putting in something really evil,could be turned into proper Linux malware," he wrote.

Isit ethically acceptable to release such grayware? That was the next topic athand, not just on Slashdot but on LXer, on eWeek Europe and beyond.

'BringIt On!'

"Yeah-- pfft. Bring it on!" wrote d0nk3y on LXer, for example. "The moreexposure the better. Any holes will be fixed. End of story. And linux remainsmore secure."

Similarly:"Just imagine how many stories there would be if it were news everytime a'developer' decided to write malware for Windows," chimed in bigg."Linux must be secure if this is worthy of a story."

Worthyindeed, in Linux Girl's estimation. She headed back to the bar for some moreinsight -- can malware be ethical?

'Cáivòng Đạo đức của Bạn bị Gãy'

“Tôi tin tưởng rằng nêu bạn phảiđưa ra câu hỏi, thì cái vòng đạo đức của bạn đã bị gãy rồi”, Hudson nói. “Khi bạntừng làm trong công việc này đủ lâu, bạn sẽ phải nhận được phần của bạn vì nhữngđề nghị thâm nhập vào các máy tính hoặc viết các chương trình mà chúng có thểvượt qua một đường ranh giới”.

Muốn trình bày một sự không anninh của hệ thống “không là một lời xin lỗi, bất kể thừ gì hơn là việc đi dạotrong nhà không khóa của tôi mà không được mời”, Hudson nói.

Trên thực tế, Morris Worm (sâu Morris)“cũng đã dự kiến không gây hại”, bà đã chỉ ra. “Kết quả cuối cùng đã là một hồsơ tội phạm, một án phạt 10,000 USD, 3 năm tù có thể, và 400 giờ dịch vụ cộng đồng”.

Luôn có cách tốt hơn “mà nó là cóđạo đức một cách không cần phải bàn cãi, và sẽ không trao cho bạn những cánhtay vô giá trị từ những cái xích tay”, Hudson kết luận.

'Phần mềmđộc hai không bao giờ có đạo đức'

“Phần mềm độc hại không bao giờcó đạo đức”, blogger Robert Pogson đồng ý. “Một máy tính cá nhân của một ngườilà pháo đài của người đó, và không ai được lén lút ấn phần mềm vào nó mà khôngcó lời mời”.

Về lịch sử, “tất cả các dạng maquỷ từng được thực hiện nhân danh việc sửa thứ gì đó: The Holocaust (hủy diệthàng loạt), The Crusades (thập tự chinh), The Inquisition (tòa án dị giáo)”,Pogson đã nói với LinuxInsider. “Vì sao chúng ta có thể không học được từ nhữnglỗi lầm của chúng ta nhỉ?”

“Hãy sửa các lỗi trong phần mềm củachúng ta và phần mềm độc hại sẽ biến mất”, ông nói. “Chúng ta có thể bắt đầu bằngviệc hạn chế những hệ điều hành khác, mà chúng có một chính sách mở cửa cho cácphần mềm độc hại”.

'Thứkhông như thế'

Tương tự, “không có thứ gì như phầnmềm độc hại có đạo đức cả”, hairyfeet tranh luận. “Ngay cả gợi ý đây là giốngnhư ai đó nói có một STD 'dễ chịu' vì phần mềm độc hại KHÔNG có đạo đức, và kểcả những hacker mũ đen hoặc bọn trẻ con viết script cũng không làm”.

Nếu phần mềm như vậy là “được đưara trong thế giới hoang dã, thì nó SẼ bị tóm bởi những cái mũ đen, những đưa trẻviết script, và bấy kỳ ai khác nữa mà muốn ấn vào một tải trả tiền của Linuxcho các website bị lây nhiễm bởi phần mềm độc hại của họ”, ông bổ sung.

Mặt khác, việc thử nghiệm với mộtkhai thác được biết “là một việc tốt và phải là trải nghiệm tiêu chuẩn”, ChrisTravers, một blogger trên Slashdot mà làm việc trong dự án LedgerSMB, đã nóicho LinuxInsider.

'YourEthical Compass Is Broken'

"Ibelieve that if you have to ask the question, your ethical compass is alreadybroken," Hudson asserted. "When you've been in this business longenough, you'll have received your share of offers to break into computers orwrite programs that would cross a line."

Wantingto demonstrate a system's insecurity "is not an excuse, any more thanwalking into my unlocked home without being invited would be," Hudsonadded.

Infact, the Morris Worm "was also not supposed to be harmful," shepointed out. "The end result was a criminal record, a (US)$10k fine, 3years probation, and 400 hours community service."

There'salways a better way "that is unquestionably ethical, and won't give youchaffed wrists f-rom the handcuffs," Hudson concluded.

'MalwareIs Never Ethical'

"Malwareis never ethical," blogger Robert Pogson agreed. "A man's PC is hiscastle, and no one should sneak software into it without invitation."

Historically,"all kinds of evil have been done in the name of fixing things: TheHolocaust, The Crusades, The Inquisition," Pogson told LinuxInsider."Why can we not learn f-rom our mistakes?

"Fixthe bugs in our software and malware will be gone," he said. "We canstart with eliminating that other OS, which has an open-door policy formalware."

'NoSuch Thing'

Similarly,"there is no such thing as ethical malware," hairyfeet concurred."To even suggest it is like saying someone has a 'nice' STD, becausemalware does NOT have ethics, and neither do the black hats or the scriptkiddies."

Ifsuch software is "released into the wild, it WILL be picked up by blackhats, script kiddies, and anybody else that wants to add a Linux payload totheir malware-infected Web sites," he added.

Onthe other hand, testing with a known exploit "is a good thing and shouldbe standard practice," Chris Travers, a Slashdot blogger who works on theLedgerSMB project, told LinuxInsider.

Sửa lỗitrước, Công bố sau

Tất nhiên, nó phải được quản lý tốt.“Trong dự án LedgerSMB, chúng tôi có một chính sách về việc đưa ra đầy đủ thôngtin về tất cả các vấn đề về an ninh (đủ để khai thác chúng) sau các sửa lỗi đượcsẵn sàng”, ông giải thích. Nói cách khác, “chúng tôi sửa lỗi trước, rồi thìchúng tôi giải thích làm thế nào chỗ bị tổn thương đó làm việc”.

Giải pháp phù hợp “là bắt đầu bằngviệc nói với các nhà cung cấp và để họ biết làm thế nào những nhu cầu này sẽ đượcsửa”, ông đã khuyến cáo. “Sau một khoảng thời gian đáng kể, phần mềm độc hại cóthể được đưa ra và một tuyên bố công khai sẽ được thực hiện”.

Có một số lý do phải đưa ra đầy đủsự phát hiện, ông bổ sung.

Đặc biệt, “một số máy quét anninh mạng được sửa đổi để đưa vào nhưng chỗ bị tổn thương này, cho phép nhữngquản trị hệ thống biết liệu các hệ thống của họ có bị tổn thương hay không”,Travers lưu ý. “Những công việc này tốt hơn nếu thông tin phù hợp được cung cấpmột cách công khai”.

'Lựa chọnsẽ là an toàn'

Hơn nữa, việc mở đầy đủ “đưa ra sứcép vừa phải cho những người phải sửa các vấn đề này”, ông bổ sung. “Với các vấnđề về an ninh, một người phải giả thiết là nếu những người tốt biết về vấn đềnày, thì những kẻ xấu cũng biết”.

Trên thực tế, “đã có phần mềm độchại cho Linux mà bạn có thể tự cài đặt hoặc nhờ cài đặt cho bạn nếu bạn để cổngSSH mở cho Net mà không có các mật khẩu an ninh”, nhà tư vấn ở Montreal và làblogger trên Slashdot Gerhard Mack đã nói với LinuxInsider.

“Những gì chúng ta không phải làmviệc với là các trang web dẫn dắt việc tải về mà chúng cài đặt các bộ rootkit”,ông nói. “Ưu điểm của Linux” là bạn có lựa chọn để an toàn.

FixFirst, Announce Later

Ofcourse, it has to be handled well. "On the LedgerSMB project, we have apolicy of releasing full information on all security problems (enough toexploit them) after fixes are available," he explained. In other words,"we fix first, then we explain how the vulnerability works."

Theproper solution "is to start by addressing the vendors and letting themknow how this needs to be fixed," he recommended. "After a reasonableamount of time, the malware could be released and a public announcementmade."

Thereare several reasons to provide full disclosure, he added.

Specifically,"some network security scanners are modified to include thesevulnerabilities, allowing system administrators to know if their systems arevulnerable," Travers noted. "This works better if the properinformation is provided publicly."

'TheOption to Be Safe'

Inaddition, full disclosure "provides reasonable pressure for folks to fixthe problems," he added. "With security problems, one has to assumethat if the good guys know of a problem, so do the bad guys."

Infact, "there already is malware for Linux that you can install yourself orhave installed for you if you leave ssh ports open to the Net without securepasswords," Montreal consultant and Slashdot blogger Gerhard Mack toldLinuxInsider.

"Whatwe don't have to deal with are Web pages doing driveby downloads that installrootkits," he said. "The advantage of Linux "is that you havethe option to be safe."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com