Microsoft bị kêu về giá thành phần mềm độc hại “ẩn” và Windows 7 sẽ khác?

AreMicrosoft to blame for "hidden" malware costs and willWindows 7 make any difference?

ByRyan Cartwright, 2009-11-07

Theo:http://www.freesoftwaremagazine.com/columns/microsoft_hidden_malware_costs_windows_7

Bàiđược đưa lên Internet ngày: 07/11/2009

Lờingười dịch: Bạn có bao giờ phải tính tổng chi phí sởhữu TCO của các hệ điều hành phần mềm tự do vàWindows chưa? Bài viết này sẽ dạy cho bạn những lý lẽtrong những tranh luận như vậy đấy.

Một vài câu chuyệnđã được giật tít trong năm nay có liên quan tới giáthành khổng lồ mà một vài chính quyền địa phương ởAnh phải chịu khi làm việc với các cuộc tấn công bằngphần mềm độc hại trên các máy tính Windows của họ.Nếu bạn quên chúng, thì Hội đồng Thành phố Manchesterđã bị lây nhiễm duy nhất một USB với sâu Conficker vàđã phải trả giá - hãy tự bạn kết nối lấy – 2.4triệu USD trong đó 1.9 triệu USD chi cho IT, trong đó choángngười là 980,000 USD đã bỏ ra cho chi phí tư vấn bao gồmcả tiền cho Microsoft. Sau đó ít lâu, Hội đồng EalingBorough đã bị đánh với giá khoảng 800,000 USD khi họcũng đã bị đánh bởi chỉ một USB chứa Conficker. Mộtsố người trong ngành công nghiệp này đã viết trênTwitter và Blog điều này như là một “giá thành ẩn củaviệc sử dụng Microsoft Windows”. Trong thảo luậnkế tiếp theo, nhiều người đã chỉ ra rằng giá thànhcao thực sự là vì thiếu chính sách vá và phục hồithảm họa phù hợp tại hội đồng. Thế thì cái gì làđúng? Liệu việc làm việc với các phần mềm độc hạicó là một giá thành ẩn của việc sử dụng Windows haylà vì một chiến lược IT kém cỏi?

Đặtcác lỗ hổng lên trên mạng

Ngay cả hầu hết cácfan hâm mộ mãnh liệt nhất của Windows cũng không thểthực sự viện lý với thực tế rằng hệ điều hành ưathích của họ có một số lượng khổng lồ các phầnmềm độc hại đe dọa chống lại nó hơn bất kỳ hệđiều hành phần mềm tự do nào có. Lý do phổ biến đượcđưa ra cho điều này là tỷ lệ cao các máy tính chạyWindows tạo thành mục tiêu thèm muốn cho những ngườiđứng sau các phần mềm độc hại. Điều này là một lýlẽ hợp lý nhưng nó không thể được nắm lấy như làsự kháng cự duy nhất ở đây. Nếu số lượng cài đặtlà tỷ lệ với số lượng các mối đe dọa, thì vì saochúng ta không thấy ngay cả một sự gia tăng nhỏ nàotrong số lượng các phần mềm độc hại đe dọa chốnglại các hệ điều hành tự do? Sau tất cả số lượngcác máy tính GNU/Linux và *BSD đối mặt với Internet bâygiờ được tính vào khoảng cao hơn đáng kể so với sốlượng của 5 năm về trước. Ngay cả việc cho phép thựctế rằng số phần trăm các máy tính để bàn sử dụngmột hệ điều hành tự do có thể đã không tăng (và tôikhông tin đó là lý do chính đáng bằng bất cứ cách gì),thì số lượng thực sự các máy tính chắc là đã giatăng. Vâng chúng ta không thấy những người viết phầnmềm độc hại hướng vào những người sử dụng các hệđiều hành tự do gia tăng.

Không, bất kỳ phântích nhạy cảm nào cũng sẽ xem xét rằng số lượng caocủa các sản phẩm phần mềm độc hại cho Windows cũngcó thể là lý do từ tính có thể dễbị tổn thương của nó đối với họ. Sau tất cả,nếu bạn đang muốn thâm nhập một căn nhà, bạn muốnchắc chắn chọn một căn với cửa sổ để mở, phảithế không bạn? An ninh cố hữu được xây dwungj trong cáchệ thống dạng Unix được thiết kế dẫn tới nhữngchỗ dễ bị tổn thương có thể khai thác được là íthơn, trước hết là như vậy. Bản chất mở tự nhiêncủa phần mềm tự do cũng có nghĩa là ngay cả những chỗdễ bị tổn thương nhỏ có xu hướng sẽ được vá hoàntoàn nhanh. Thực tế là hệ thống càng có thể bị tổnthương bao nhiêu, thì càng là mục tiêu cám dỗ cho nhữngngười viết phần mềm độc hại bấy nhiêu. Nếu hệthống y hệt đó có một tỷ lệ người sử dụng cao thìcàng tốt hơn nhưng chỉ lý lẽ về số lượng không thôilà không đứng vững được nếu bạn hỏi tôi.

Acouple of stories have hit the headlines this year concerning thehuge cost that some UK Local Governments incurred when dealing withmalware attack on their Windows machines. If you missed them,Manchester City Council had asingle USB infected with the infamous Confickerworm and it cost them — brace yourself — £1.5m($2.4m) of which £1.2m(US$1.9m) was spent on IT, of which a staggering £600,000 (US$980k)went on consultancy fees including money to Microsoft. A while later,Ealing Borough Council were hit with a costof £500000 (aboutUS$ 800k) when they were also hit by a single USB stick containingconficker. Some in the industry tweeted and blogged this as being a“hiddencost of using Microsoft Windows”.In the ensuing discussion, many pointed out that the high cost wasreally due to the lack of a proper patching and disaster recoverypolicy at the council. So which is right? Is dealing with malware ahidden cost of using Windows or of a poor IT strategy?

Puttingthe holes in the ‘net

Eventhe most ardent Windows fan can’t really argue with the fact thattheir favourite OS has a significantly greater number of malwarethreats against it than any free software OS will have. The popularreason given for this is the high proportion of Windows boxes makesfor a tempting target for the people behind the malware. This is areasonable argument but it cannot be taken as the only defence here.If the number of installs is proportional to the number of threats,why have we not seen even a small increase in the number of malwarethreats against free OS? After all the number of Internet-facingGNU/Linux and *BSD machines around now measures considerably higherthan the number for say five years ago. Even allowing for the factthat the percentage of desktop machines using a free OS may not haveincreased (and I don’t believe that’s a valid argument anyway),the actual numberof machines is likely to have increased. Yet we do not see malwarewriters increasingly targetting free OS users.

No,any sensible analysis will also consider that the high number ofmalware products for Windows may also result f-rom it’svulnerability to them.After all, if you are looking to break into a house, you’d surelychoose the one with the open window, wouldn’t you? The inherentsecurity built into the way Unix-style systems are designed leads tofewer exploitable vulnerabilities in the first place. The open natureof free software also means that even small vulnerabilities tend tobe spotted and patched quite quickly. The fact is that the morevulnerable the system, the more tempting a target it makes formalware writers. If that same system has a high proportion of usersthen so much the better but the numbers argument alone doesn’tstand up if you ask me.

Đóngcác cửa sổ

Đượctranh luận rằng - đặc biệt trong trường hợp của Hộiđồng Thành phố Manchester - một chính sách và quá trìnhvá kém cỏi là lý do thực tế đằng sau giá thành làmviệc với các phần mềm độc hại. Hội đồng Ealing đã(trong tháng 09/2009) vẫn còn “lên kế hoạch để nângcấp lên Windows XP”. Lấy sự tương tự về động thổngôi nhà của tôi, lý lẽ này giống như việc nói rằngđể cửa sổ nhà bạn mở là yêu cầu về sự lo lắngvậy. Thường thì tôi đồng ý nhưng có 2 vấn đề ởđây. Đầu tiên là việc bạn (chủ ngôi nhà) đã khôngđể cửa sổ mở. Thay vì người xây nhà đã lắp đặtcác cửa sổ theo cách mà chúng có thể bị mở một cáchdễ dàng từ bên ngoài và tệ hơn nữa: các bức tườngvà cửa ra vào là chính xác y như vậy! Hãy cho phép tôichuyển những điều tương tự nhưng nếu bạn thườngxuyên găm các ngón tay của bạn vào các lỗ cắm trong conđập, thì bạn cuối cùng sẽ làm bay mất những ngón tayđó. Vấn đề thứ 2 là ý tưởng rằng việc áp dụngmiếng vá thế nào đó sẽ đảm bảo an ninh cho hệ thốngWindows của bạn. Nó đã không làm được vậy. Nó chỉsửa được lỗ hổng đó trong ngôi nhà của bạn. Kẻthâm nhập ngôi nhà bây giờ sẽ chỉ cố tìm ngôi nhàkhác và bạn nhảy vào cuộc chơi với hy vọng cái cửasổ bị phá được vá bởi người xây nhà trước kẻđột nhập vào nhà và rằng người xây nhà lưu ý bạnvà cung cấp miếng vá đúng lúc.

Côngbằng mà nói phần 2 áp dụng được cho mọi hệ điềuhành, không chiri cho Widows nhưng sự thực là việc vớimột hệ điều hành tự do, không chỉ người xây nhà(hoặc các nhân viên của anh ta) mà họ đang tìm kiếm cáccửa sổ có thể bị tổn thương, mà điều này cho bấtkỳ chủ nhà nào khác. Còn tốt hơn những người mànhững chủ nhà khác chỉ không thể vá sự yếu kém mà -nếu họ có các kỹ năng - cung cấp một sự sửa lỗi.

Closingthe windows

Ithas been argued that — particularly in the case of Manchester CityCouncil — a weak patching policy and process is the real reasonbehind the cost of dealing with malware. Ealing Council were (inSeptember 2009)still “planning to upgrade to Windows XP”. Taking myhouse-breaking analogy, this argument is like saying that leavingyour window open is asking for trouble. Generally I agree but thereare two issues here. The first is that you (the house owner) did notleave the window open. Rather the house builder installed the windowsin such a way that they could be opened easily f-rom the outside andworse: the walls and door are exactly the same! Permit me to switchanalogies but if you are constantly plugging your fingers in to plugholes in the dam, you will eventually run out of fingers. The secondissue is the idea that the applying the patch somehow secures yourWindows system. It doesn’t. It just fixes that hole in your house.The house-breaker will now just try to find another one and you enterthe game of hoping the broken window is spotted by the builder beforethe house-breaker and that the builder notifies you and supplies apatch in time.

Tobe fair the second part there applies to any OS, not just Windows butthe truth is that with a free OS, it’s not just the builder (or hisemployees) who are looking for vulnerable windows, it’s every otherhouse-owner. Better still those other house-owners can not only spotthe weakness but - if they have the skills - provide a fix.

Cácdạng tấn công

Cólẽ hợp lý để viện lý rằng dạng tấn công thườngthấy của phần mềm độc hại tập trung vào các dữliệu hơn là vào sự truy cập hệ thống. Tất cả cáctài khoản ngân hàng và những nhận dạng đáng yêu nàylà lý do đằng sau sự phổ dụng của các cuộc tấn côngbằng phishing. Chúng được đi kèm bởi các thư điện tửcó sâu mà biến các máy tính bị lây nhiễm thành các máysống dở chết dở mà chúng gửi đi nhiều hơn các thưđiện tử cám dỗ người sử dụng đăng nhập vào mộtphiên bản giả mạo ngân hàng của họ. Thư điện tửphishing không chỉ đặc biệt tập trung vào những ngườisử dụng Windows, tôi có rất nhiều về chúng (tất cảbị chộp bởi các bộ lọc spam là phần mềm tự do củatôi tất nhiên rồi) và tôi chắc bạn cũng thế. Nhưngnhững con sâu này được tập trung vào các máy tínhWindows, chủ yếu vì những lý do mà tôi đã đưa ra ởtrên. Trong khi Microsoft đã nói rằng Windows 7 là Windows anninh nhất, thì họ cũng nói rằng mỗi lẫn và vâng sốlượng các phần mềm độc hại đe dọa chống lạiWindows tiếp tục gia tăng. Những lý do thông thường đểgác chống lại những mối đe dọa này là để vá, cácphần mềm diệt virus và các tường lửa của người sửdụng và hãy giáo dục người sử dụng của bạn. Nghe cóvẻ là một chính sách nhạy cảm nhưng liệu điều đócũng là vì nó đã trở nên quá là vấn đề thực tế(ít nhất là trong thế giới Windows) mà chúng ta chấp nhậnnó như là thứ bình thường chăng? Hãy hỏi những phầnmềm chống virus nào phải sử dụng trên một danh sáchthư của Windows và bạn chắc là sẽ bắt đầu một cuộcchiến nóng bỏng về cái gì là tốt nhất. Hãy hỏi câuhỏi y như vậy trên một danh sách thư của GNU/Linux vàbạn có lẽ sẽ có hầu hết mọi người nói cho bạn hãyđừng lo lắng.

Việcgiáo dục người sử dụng trong phần mềm - sử dụng làmột ý tưởng tốt. Việc giáo dục họ về những mốinguy hiểm của thư điện tử phishing cũng là ý tưởngtốt. Việc giáo dục họ không mở một tệp đính kèm từmột nguồn mà họ nghĩ họ có thể tin tưởng là hoàntoàn chống lại trực giác. Những sâu bọ tới như cáctệp đính kèm trong các thư điện tử đôi khi “đượcgửi” từ một địa chỉ thư điện tử mà bạn sẽnhận ra được.

Ngườisử dụng nháy vào chúng vì các xã hội của chúng ta dạychúng ta làm thế. Một bức thư đóng si gửi tới bạn,với địa chỉ ngân hàng của bạn trên mặt sau, thả vàothảm chùi chân của bạn. Bạn sẽ làm gì? Bạn sẽ gọiđiện. Một thư điện tử tới nói “xin hãy đọc lưu ývề an ninh gắn kèm” và những ví dụ khác. Việc quảngcáo cho Windows nói cho chúng ta nó dễ dàng làm sao để sửdụng những thứ như các khóa USB, làm cho cuộc sống dễdàng hơn (hình như vậy). Vângmột trong những phản ứng của Hội đồng Thành phốManchester đối với cơn ác mộng về an ninh Windows của họđã từng là cấm người sử dụng không được sử dụngchúng. Quả thực các cổng USB đã bị làm liệt trên tấtcả các máy tính để bàn. Tôi đã có thể nghe thấy mọingười gật đầu đồng ý và phần của tôi góp vàonhưng khi bạn tới được cái điểm nơi mà nền tảngđược lựa chọn của bạn ép bạn phải ra lệnh chongười sử dụng làm những thứ theo một cách chống lạitrực giác, thì bạn cần thay đổi nền tảng của bạn.Đâu là ưu điểm của một hệ thống mà nó nói sẽ traocho bạn một “cách kết nối tốt hơn để kinh doanh”nếu nó cũng cung cấp một cách kết nối tốt hơn đểtấn công bạn?

Typesof attack

Itcould be reasonably argued that the prevalent type of malware attackfocuses on data rather than system access. All those lovely bankaccounts and identities are the reason behind the popularity ofphishing attacks. These are accompanied by worm-ridden e-mails whichturn infected machines into zombies that send out more e-mailstempting users to log into a fake version of their bank. Phishinge-mails are not specifically targetted at Windows users, I get lotsof them (all caught by my free software spam filters of course) and Iam sure you do too. But the worms are targetted at Windows machines,mostly for the reasons I’ve given above. While Microsoft have saidthat Windows 7 is the most secure Windows yet, they do say that everytime and yet the number of malware threats against Windows continuesto increase. The usual arguments to guard against these threats areto patch, user anti-virus software and firewalls and educate yourusers. Sounds like a sensible policy but is that also because it’sbecome so matter-of-fact (in the Windows world at least) that weaccept it as normal? Ask what anti-virus software to use on a Windowsmailing list and you’ll likely start a flame-war over which isbest. Ask the same question on a GNU/Linux list and you’ll likelyhave most people tell you not to bother.

Educatingusers in software =et - usage is a good idea. Educating them on thedangers of phishing e-mails is also a good idea. Educatingthem not to open an attachment f-rom a source they thought they couldtrust is entirely counter-intuitive.Worms come as attachments in e-mails sometimes “sent” f-rom ane-mail address you’ll recognise. Users click them because oursocieties teach us to do so. A sealed letter addressed to you, withyour bank’s address on the back, d-rops onto your doormat. What doyou do? You open it. Your telephone rings and your caller ID systemtells you it’s your bank, what do you do? You take the call. Ane-mail arrives saying “please read the attached security notice”and the “f-rom” address is your bank’s. What do you do? Ignoreit. As I said, counter-intuitive and there are other examples.Advertising for Windows tells us how easy it is to use things likeUSB keys, making life easier (apparently). Yet one of Manchester CityCouncil’s reactions to their Windows security nightmare was to banusers f-rom using them. Indeed USB ports have been disabled on all thedesktops. Already I can hear people nodding in agreement and part ofme concurs but when you get to the point whe-re your chosen platformforces you to instruct users to do things in an entirelycounter-intuitive way, you need to change your platform. Whe-re’sthe advantage of a system which claims to give you a “betterconnected way to do business” if it also provides a betterconnected way to attack you?

Tổngchi phí sở hữu TCO

Trongquá khứ tôi đã tranh luận chống lại việc mang giáthành vào lý lẽ của phần mềm theo tự do. Điều đóchủ yếu vì nó làm chệch hướng khỏi lợi ích chínhcủa phần mềm tự do - sự tự do. Tuy nhiên lý lẽ đượcthường xuyên sử dụng chống lại phần mềm tự do vàđổ đồng TCO trong số những người lan truyền sự sợhãi, không chắc chắn và nghi ngờ (FUD). Lý lẽ về “giáthành ẩn của phần mềm độc hại” này rơi tốt vàogiữa TCO. Nếu hệ điều hành đượcchọn của bạn có nghĩa là bạn phải mua và cài đặtcác phần mềm chống virus lên các máy trạm và các máychủ, hãy thuê thêm nữa các nhân viên để vá và duy trìnó và hãy trả tiền thông qua mũi để thuê những ngườiđến sửa một vấn đề nào đó đã gây ra bởi nhữngchỗ bị tổn thương trong hệ điều hành này rồi thìnhững thứ này phải được bổ sung vào TCO. Mộtlý lẽ về TCO chống lại phần mềm tự do thường làcác quản trị viên hệ thống của phần mềm tự do giánhiều hơn và một lý do khác là việc phần mềm tự dokhó duy trì. Lý do thứ 2, như tôi đã mô tả trước đó,là một sự bất lực và lý do đầu bị thổi bay khỏimặt nước nếu sử dụng Windows đồngnghĩa với việc bạn cần các nhân viên được đào tạotốt hơn (và đắt giá hơn) để duy trì nó một cách phùhợp. Nếu Windows là dễ dàng sử dụng và duy trì, và làan ninh như thế, thì vì sao chúng ta lại cần các phầnmềm chống virus?

Nói về sự lựa chọnphần mềm của bạn, một chính sách vá kém cỏi là mộtý tưởng rất tồi nếu bạn đánh giá cao tính toàn vẹncủa hệ thống. Nhưng nếu bạn đi tranh luận cho trườnghợp của bạn về TCO, thì Microsoft, sau đó sẽ không cốlẩn tránh nói về những giá thành bổ sung cho việc duytrì, vá và làm sạch một hệ thống dựa trên Windows.

Tôi chắc chắn rằngnhiều người sẽ nghĩ rằng Windows 7 là để giảm ảnhhưởng của phần mềm độc hại có trên các hệ thốngcủa bạn. Tôi hy vọng họ là đúng - chỉ nếu vì lợiích của hàng triệu người sử dụng Windows mà họ phảithanh toán hóa đơn khi các hệ thống có thể bị tổnthương của họ bị lộ ra. Kinh nghiệm nói cho tôi rằng“Windows an ninh nhất” vẫn còn chưa là đầu đề đểtrở thành sự tự hào.

Mộtthứ cuối cùng. Khi thông tin về Conficker giật tít, thìthế giới Windows đã đi trong sự báo động (vâng một sốtrong số họ đã). Đối với một số người mà thôngtin này đã không lọc được ngay lập tức, thì nó đãlà một bài học đắt giá chờ để xảy ra. Thế giớiphần mềm tự do có lẽ đã lưu ý tới nó (trong trườnghợp một số người được hỏi) và sau đó đã tiếptục với các công việc của họ.

TCO

Inthe past I’ve argued against bringing cost into the pro-freesoftware argument. That’s largely because it detracts f-rom the mainbenefit of free software - freedom. However the argument isfrequently used againstfree software and acronyms like TCO abound among the FUD spreaders.This “hidden cost of malware” argument falls well within the TCO.If your chosen OS means you have to buy and install anti-virussoftware on clients and servers, hire more staff to patch andmaintain it and pay through the nose to hire people to fix a problemcaused by vulnerabilities in the OS then those things should be addedto the TCO. One TCO argument against free software is usually thatfree software sys-admins cost more and another is that free softwareis harder to maintain. The second one, asI have described before, is a complete crock and the first isblown out of the water if using Windows means you need better trained(and more expensive) staff to maintain it properly. If Windows is soeasy to use and maintain, and is so secure, why do we needanti-virus software?

Regardlessof your software choice, a poor patching policy is a very bad idea ifyou value system integrity. But if you going to argue your case onTCO, Microsoft, don’t then try to dodge talk of the additionalcosts for maintaining, patching and clearing a Windows-based system.

Iam sure that many people will be thinking that Windows 7 is about toreduce the impact malware has on their systems. I hope they’reright - if only for the sake of the millions Windows users who haveto foot the bill when their vulnerable systems ae exposed. Experiencetells me that “the most secure Windows yet” is still not a titleto be proud of though.

Onefinal thing. When news of Conficker hit the headlines, the Windowsworld went on alert (well some of them did). For those whom the newsdidn’t filter down to immediately, it was an expensive lessonwaiting to happen. The free software world would have probably notedit (in case someone asked) and then got on with their jobs.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com