Bài viết rất hay. Đề nghị anh Thành biên tập và đăng TH & ĐS số Xuân nhé :-)
Quang IFI On 21/01/2011 11:34, Vo Huy Quang wrote: > > Xin được góp vui vài dòng cùng anh em tín đồ Open Source > > Về bảo mật: việc bảo mật kém hay tốt không cốt ở phần mềm mà ở yếu tố > con người và người ta quan tâm đến bảo mật như thế nào, chính sách cho > nó ra sao, quy trình xử lý khi có sự cố,... Phần mềm đóng hay mở... > không có bất kỳ giá trị về mặt bảo mật. > > Có những phần mềm / mạng máy tính rất bảo mật nhưng với kỹ thuật khai > thác của Kevin Mitnick thì ổng không cần tốn hàng tháng để nghiên cứu > kỹ thuật hắc hiếc kiểu viết mã lập trình mà ổng chỉ mất 3 ngày để thu > thập thông tin về tổ chức, policy của họ và luyện cách bóp mũi, giả > giọng là hạ xong một mạng, kể cả khi nó không có kết nối Internet nào > :), ông hack bằng... điện thoại cố định có dây. > > Một khi đã vui mừng / chấp nhận miễn cưỡng sử dụng phần mềm nguồn mở > thì phải hiểu rằng việc giám sát các bản tin (kể cả các trang không > chính thống dạng underground) về bảo mật liên quan đến sản phẩm và > luôn tâm niệm "không nên trông chờ vào một đơn vị cung cấp nào đó" vì > bản chất phần mềm đó mang tính cộng đồng. Do đó, người dùng phải luôn > bật cảnh giác ở mức cao nhất, luôn niệm chú trong đầu là đang có thằng > đứng sau lưng đợi cắt cổ ta, nghe lạnh gáy thì quay lại đá nó ngay. > Vấn đề cũng giống như sống trong khu toàn bọn tội phạm thì đừng đi > trách một công ty bảo vệ nào đó, cũng đừng trách chính quyền mà hãy tự > trang bị cách đối phó, nếu không thể, nên đi nơi khác ở. > > Một ví dụ của mình về tính an toàn của nguồn mở hay nguồn đóng: trước > đây mình sử dụng Blog 360 (không plus) của Yahoo! - cái này không > nguồn mở, nhưng bằng cách nào đó một thằng Thổ Nhĩ Kỳ chụp nguyên > trang blog lại, dùng trình xử lý ảnh xoay ngược 180 độ, sau đó đột > nhập vào blog và dùng ảnh đó làm ảnh nền blog. Kết quả: bạn bè gọi > điện phàn nàn "mày định cho tụi tao trồng chuối để đọc những gì mày > viết àh". Từ đó, mình cảm thấy là việc bảo mật không thể không quan > tâm, không thể là chuyện đùa được nên bắt đầu bắt tay hành động. Đầu > tiên là lên mạng tìm các trang bảo mật uy tín, tham gia vào forum hoặc > đăng ký mailing list của họ, có cả những trang dạng "bên kia chiến > tuyến" như zone-h.org <http://zone-h.org>, defcon... chú trọng các > trang hay công bố lỗ hổng bảo mật liên quan phần mềm mình đang dùng, > và khi sử dụng Windows thì luôn quan tâm các tin về lỗ hổng Windows > (nên chưa từng bị các loại virus, sâu như sality, conficker, w32.xxx > viếng thăm). Kết quả quan tâm bảo mật là có hai vụ ứng phó thành công > với bọn script kiddies: 1. Vụ Joomla! có lỗ hổng XSS cách đây vài năm: > phản ứng ngay trong 15 phút đầu tiên và còn có một alert cười nhạo bọn > này, trong khi đó có ít nhất 500 site ở Việt Nam lơ là bị mất quyền > Admin; 2. Vụ hoang tin WordPress 3.0.4 gần đây. Còn nhiều vụ có lỗ > hổng ở phần mềm Open Source khác nhưng vì phần mềm chạy trên máy không > có nối mạng Internet nên chỉ vá nội bộ để tìm hiểu về bảo mật > > Hiện nay thì mình luôn quan tâm hàng đầu đến các thứ khi ngồi máy > Windows: 1. Adobe Flash Player (chỉ xài khi vào YouTube), 2. Các thứ > Reader; 3. Luôn dùng bàn phím ảo và song hành Keepass; 4. Không có một > phần mềm crack / lậu nào trên máy. > > Như vậy, sau 3 năm từ ngày blog bị treo đầu lộn ngược, mình tự thiết > lập ra chính sách bảo mật riêng và tuân thủ nó, tự phạt bằng hình thức > đánh đòn vào mông và nhịn cà phê 1 ngày khi vi phạm chính sách đó. Kết > quả đạt được tuy với mọi người là nhỏ nhưng với mình là rất... đáng > khích lệ: không còn sợ virus máy tính (quên đi ghost, install, > BSOD...), mỗi buổi sáng giải trí bằng đọc các tin RSS / Group mail về > bảo mật liên quan đến các thứ Linux Ubuntu, PHP, Apache, Lighttpd, > WordPress, phpBB, Drupal,... nếu có tin liên quan là xem log ngay, > phản ứng trước khi quá muộn; ở cty thì dùng Windows 7 ngoài ISA Proxy > cty thiết lập, mình cài thêm 1 proxy khác ngay trên máy, và gõ email > này từ máy ảo nằm trong máy thật, mọi dữ liệu gửi ra (nếu không qua > SSL) đều đóng trong file .RAR có đặt password 13 ký tự,... Giới thiệu > phần mềm cho bạn bè dùng thì luôn khuyên họ mua hoặc xài freeware hoặc > GPL, ai hỏi về phần mềm lậu thì giới thiệu cho họ Ubuntu & bè đảng :) > > Cuối cùng có thể kết luận như sau: khi sử dụng phần mềm nguồn mở nghĩa > là bạn đang ở trong một căn nhà bằng thuỷ tinh, ai nhìn vào cũng thấy, > kể cả việc hai vợ chồng bạn đang... nhưng dĩ nhiên là 2 bạn trùm mềm > :) trong sự ấm cúng của hơi thở từ con dê GNU,... Còn nếu bạn sử dụng > phần mềm nguồn đóng: bạn đang ở trong một khám Chí Hoà / Hoả Lò, vâng, > rất an toàn nhưng đường đến...pháp trường là rất gần và mỗi ngày bạn > nên đọc danh ngôn trên lịch bạn phải trông chờ vào những suất cơm bố > thí của nhà nước mang tên Microsoft, Oracle,... > > Lời khuyên cho những ai sợ "ngủ quên" với các cảnh báo về bảo mật: nếu > có điều kiện hãy thuê một dịch vụ sms của một cty bảo mật có bản tin > liên quan sản phẩm của bạn, mỗi khi có tin liên quan, bạn sẽ nhận sms > kịp thời và thực hiện "tiên hạ thủ vi cường". > > Chúc mọi người cuối tuần thư giãn nhưng không quên cảnh giác về bảo mật. > > 2011/1/21 Nguyen Vu Hung <vuhung16p...@gmail.com > <mailto:vuhung16p...@gmail.com>> > > 2011/1/21 Nguyễn Hữu Thành <huuthanh...@gmail.com > <mailto:huuthanh...@gmail.com>>: > >> 1000 em karaoke tát yêu, mỗi người một cái là cũng chủ chế rồi. > > Tưởng chỉ các lão già hết hơi mới dám nói lớn :-) > Em đính chính: > > 0001 em karaoke uýnh liên tục cho tới chết: DOS > 1000 em karaoke tát yêu mỗi người một cái: DDOS > > Vị dụ về DDOS: > http://en.wikipedia.org/wiki/Denial-of-service_attack#Incidents > > Ở Việt Nam có lẽ báo chí biết nhiều nhất vụ DDOS sử dũng 0day của > flash (x-flash) > để tấn công HVA. # Thông tin mới hơn thì em chưa cập nhật. > > > > -- > Best Regards, > Nguyen Hung Vu [aka: NVH] ( in Vietnamese: Nguyễn Vũ Hưng ) > vuhung16plus{remove}@gmail.dot.com > <mailto:vuhung16plus%7bremove...@gmail.dot.com> , YIM: vuhung16 , > Skype: vuhung16plus > _______________________________________________ > POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines > _______________________________________________ > HanoiLUG mailing lists: http://lists.hanoilug.org/ > HanoiLUG wiki: http://wiki.hanoilug.org/ > HanoiLUG blog: http://blog.hanoilug.org/ > > > > _______________________________________________ > POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines > _______________________________________________ > HanoiLUG mailing lists: http://lists.hanoilug.org/ > HanoiLUG wiki: http://wiki.hanoilug.org/ > HanoiLUG blog: http://blog.hanoilug.org/
_______________________________________________ POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines _______________________________________________ HanoiLUG mailing lists: http://lists.hanoilug.org/ HanoiLUG wiki: http://wiki.hanoilug.org/ HanoiLUG blog: http://blog.hanoilug.org/