Bạn ít nhất phải có an ninh để lướt trên Internet

Youmust be at least this secure to ride on the Internet

By Steven J.Vaughan-Nichols | October 6, 2010, 3:50pm PDT

Theo:http://www.zdnet.com/blog/networking/you-must-be-at-least-this-secure-to-ride-on-the-internet/217

Bài được đưa lênInternet ngày: 06/10/2010

Lờingười dịch: (1) Phó chủ tịch của Microsoft nói: “Giốnghệt như khi một cá nhân không được tiêm phòng đặtsức khỏe của những người khác vào rủi ro, các máytính mà không được bảo vệ hoặc đã bị tổn thươngvới một bot sẽ đặt những người khác vào rủi ro vàáp đặt một mối đe dọa lớn hơn cho xã hội. Trong thếgiới vật lý, các tổ chức y tế quốc tế, quốc gia, vàđịa phương xác định, theo dõi và kiểm soát sự lantruyền của dịch bệnh mà có thể đưa vào, ở nhữngnơi cần thiết, đảm bảo cho mọi người tránh đượcsự lây nhiễm từ những người khác. Nói đơn giản,chúng ta cần cảithiện và duy trì sức khỏe của các thiết bị tiêu dùngđược kết nối tới Internet để tránh rủi ro lớn hơncho xã hội. Để hiện thực hóađược tầm nhìn này, có những bước mà có thể đượcthực hiện từ các chính phủ, nền công nghiệp IT, cácnhà cung cấp dịch vụ Internet, những người sử dụng vànhững người khác để đánh giá sức khỏe của cácthiết bị dân dụng trước khi đảm bảo cho chúng truycập không bị cùm xiềng tới Internet hoặc các tài nguyênsống còn khác”; (2) Báo cáo của G Data chỉ ra rằng:Windows chứa tới 99,4% tất cả các phần mềm độc hạitheo G Data: (3) Các hệ thống bảo vệ truy cập mạng: Chotới khi máy tính đó (bị lây nhiễm phần mềm độc hại)có thể chứng minh được rằng hiện tại nó tự bảnthân cư xử cho phải phép, còn không thì họ sẽ bị khóatrong một nhà tù của một mạng LAN ảo nơi mà chỉ nhữngsites mà họ có thể tới là những site giải thích cho họ- theo nhiều điều khoản rất đơn giản - những gì họcần phải làm để loại trừ vấn đề của họ; (4) Tácgiả bài viết đề xuất: Vì thế, thật logic, thứ tốtnhất phải làm có thể là cấmWindows truy cập vào Internet! (5) Cònbạn thì nghĩ thế nào?

Bạn tội RichiJennings rất thích ý tưởng rằng những người sử dụngvới những máy tính cá nhân PC bị lây nhiễm phần mềmđộc hại phải bị cắt khỏi Internet. Về điều này,tôi không chỉ nói “Đồng ý”, mà còn là “Tuyệt đốiđồng ý”. Và , như anh ta đã chỉ ra, những người khácđang đứng đằng sau ý tưởng giúp làm sạch một chútkhỏi spam, phần mềm độc hại, và các cuộc tấn côngtừ chối dịch vụ (DdoS) mà làm ô uế đường cao tốcInternet.

Comcast, như Jenning đãchỉ ra, sẽ cho phép những người sử dụng bị lây nhiễmphần mềm độc hại biết rằng họ có cái sọt rác trênđĩa cứng của họ, mà không vứt họ ra khỏi mạng. Đángnguyền rủa.

Phó Chủ tịch vềĐiện toán Tin cậy của Microsoft, Scott C-harney, vừa mớigợi ý, rằng “Giống hệt như khi mộtcá nhân không được tiêm phòng đặt sức khỏe củanhững người khác vào rủi ro, các máy tính mà không đượcbảo vệ hoặc đã bị tổn thương với một bot sẽ đặtnhững người khác vào rủi ro và áp đặt một mối đedọa lớn hơn cho xã hội. Trong thế giới vật lý, các tổchức y tế quốc tế, quốc gia, và địa phương xác định,theo dõi và kiểm soát sự lan truyền của dịch bệnh màcó thể đưa vào, ở những nơi cần thiết, đảm bảocho mọi người tránh được sự lây nhiễm từ nhữngngười khác. Nói đơn giản, chúng ta cần cảithiện và duy trì sức khỏe của các thiết bị tiêu dùngđược kết nối tới Internet để tránh rủi ro lớn hơncho xã hội. Để hiện thực hóađược tầm nhìn này, có những bước mà có thể đượcthực hiện từ các chính phủ, nền công nghiệp IT, cácnhà cung cấp dịch vụ Internet, những người sử dụng vànhững người khác để đánh giá sức khỏe của cácthiết bị dân dụng trước khi đảm bảo cho chúng truycập không bị cùm xiềng tới Internet hoặc các tài nguyênsống còn khác”.

Nói một cách khác,nếu thiết bị của bạn không được bảo vệ, thì xinlỗi, bạn không thể lên Internet. Tôi thấy điều này hơncả một điều chớ trêu tới từ một lãnh đạo củaMicrosoft. Sau tất cả, Windows chứa tới99,4% tất cả các phần mềm độc hại theo G Data,một công ty an ninh IT của Đức. Điều đó nghe đúng đấy.

Myfriend Richi Jennings is fond of the idea that userswith malware-infected PCs should be cut off f-rom the Internet. Tothis, I say not just “Yes,” but “Hell yes.” And, as hepointed out, other people are getting behind this idea of helping toclean up the litter of spam, malware, and distributeddenial-of-service (DDoS) attacks that junks up the Internet highway.

Comcast,as Jennings pointed out, will be lettingimalware-infected users know that they’ve got garbage on theirhard disk, but not keeping them off the net. Darn it.

Microsoft’sCorporate VP of Trustworthy Computing, Scott C-harney, has justsuggested, that “Just as when an individual who is not vaccinatedputs others’ health at risk, computers that are not protected orhave been compromised with a bot put others at risk and pose agreater threat to society. In the physical world, international,national, and local health organizations identify, track and controlthe spread of disease which can include, whe-re necessary,quarantining people to avoid the infection of others. Simply put, weneed to improveand maintain the health of consumer devices connected to the Internetin order to avoid greater societal risk. To realize this vision,there are steps that can be taken by governments, the IT industry,Internet access providers, users and others to evaluate the health ofconsumer devices before granting them unfettered access to theInternet or other critical resources.”

Inother words, if your device isn’t protected, sorry, you can’t goon the Internet. I find this more than a little ironic coming f-rom aMicrosoft executive. After all, Windowsis the host for 99.4% of all malware according to G Data, aGerman IT security company. That’s sounds about right.

Vìthế, thật logic, thứ tốt nhất phải làm có thể là cấmWindows truy cập vào Internet!OK, trong khi tôi có thể ủng hộ ý tưởng này, thì điềuđó chưa xảy ra.

Thế chúng ta có thểlàm được gì? Vâng, đố với những người tiên phong,các nhà cung cấp dịch vụ mạng ISP có thể bắt đầuđưa vào nội dung trong các Chính sách Sử dụng Chấp nhậnđược AUP (Acceptable Usage Policies) mà nếu một thiết bịnào đó của người sử dụng có thể được chỉ ra làđang tích cực gửi đi spam, tham gia vào các cuộc tấncông từ chối dịch vụ DdoS, hoặc gây ra một sự thiệthại, thì các ISP có thể khóa tài khoản đó cho tới khihọ quét phần mềm độc hại đó ra khỏi các máy tínhcá nhân của họ.

Và làm thế nào họlàm được điều đó? Họ đã sử dụng sự Kiểm soátTruy cập Mạng NAC (Network Access Control).

Trong các công ty, côngnghệ NAC đảm bảo rằng trước khi bất kỳ máy tính nàocủa người sử dụng đầu cuối hoặc các điểm khác,chỉ được cho phép trên mạng của doanh nghiệp máy tínhphải được chứng minh rằng nó tuân thử với các chínhsách về an ninh của công ty. Vì thế, bạn có thể khóanhững máy tính mà không có được những bản vá mớinhất hoặc cập nhật mới nhất đối với chương trìnhchống virus của công ty.

Có nhiều tiếp cậnNAC đã có sẵn. Một số quan trọng hơn về điều này làHệ thống Kiểm soát Truy cập An ninh của Cisco, Kết nốiMạng Tin cậy TNC (TrustedNetwork Connect) của Nhóm Điện toán Tin cậy và Bảo vệTruy cập Mạng NAP (NetworkAccess Protection) của Microsoft. Cũng có nhiều thứ kháccho bất kỳ công ty hoặc ISP kích cỡ nào.

Cách mà các công tysử dụng NAC có thể không bao giờ bay được trênInternet, nhưng rồi, chúng ta không thể đòi hỏi nhữngngười sử dụng chứng minh rằng các máy tính của họlà an toàn, haowcj an toàn hơn. Chúng ta chỉ có thể sửdụng NAC để khóa các phần cứng mà tự nó đã chỉ rarằng nó có hại cho Internet. Cho tớikhi máy tính đó có thể chứng minh được rằng hiện tạinó tự bản thân cư xử cho phải phép, còn không thì họsẽ bị khóa trong một nhà tù của một mạng LAN ảo nơimà chỉ những sites mà họ có thể tới là những sitegiải thích cho họ - theo nhiều điều khoản rất đơngiản - những gì họ cần phải làm để loại trừ vấnđề của họ.

Tôi không biết gì vềbạn, nhưng tôi thích kế hoạch này. Còn bạn thì nghĩthế nào?

So,logically, the best thing to do would be to banWindows f-rom the Internet! OK, while I can get behind that idea,that’s not going to happen.

Sowhat can we do? Well, for starters, ISPs could start includinglanguage in their Acceptable Usage Policies (AUP) that if a user’sdevices can be shown to be actively sending spam, participating inDDoS , or otherwise causing a nuisance, the ISP can lock down theiraccount until they get the malware off their PC.

Andhow would they do that? They’d use NAC (Network Access Control).

Incompanes, NAC technology makes sure that before any end user’scomputer or any other endpoint, is only allowed on the corporatenetwork the computer must prove that it complies with the company’ssecurity policies. So, you could lock out say PCs that don’t havethe latest IT-blessed patches or the latest up-dates for the corporateanti-virus program.

Thereare multiple NAC approaches already out there. Some of the moreimportant of these are Cisco’sSecure Access Control System, the TrustedComputing Group’s TNC (Trusted Network Connect PDF Link) andMicrosoft’sNAP (Network Access Protection). There are also many others forany size company or ISP.

Theway companies use NAC would never fly on the Internet, but then, wewouldn’t be requiring users to prove that their systems are safe,or safer anyway. We’d only be using NAC to lock down hardwarethat’s already showing itself to be an Internet litterbug. Untilthe system can prove that it’s now behaving itself, it can staylocked down in in a VLAN (virtual LAN) jail whe-re the only sites theycan get to are the ones explaining to them-in very simple terms-whatthey need to do to get rid of their problem.

Idon’t know about you, but I like this plan. What do you thinkfolks?

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com