Nguyễn Đặng Phương, chuyên gia tư vấn bảo mật: Vietkey Linux không thể đảm bảo an toàn thông tin cho Chính phủ !

04/10/2003 10:30 GMT+7

Cả Vietkey Linux lẫn Microsoft Windows đều không thể đảm bảo an toàn thông tin cho chính phủ nếu như những nhà quản trị mạng của chúng ta không có một sự hiểu biết sâu sắc về vấn đề bảo mật.

* Chào ông, có ý kiến cho rằng Vietkey Linux ra đời sẽ đảm bảo an toàn thông tin cho các hệ thống của Chính Phủ, ông nghĩ sao về ý kiến này ?

Bảo mật không phải là một sản phẩm, phần mềm hay phần cứng, mà bạn có thể cài đặt vào hệ thống của mình để rồi nghĩ rằng với sản phẩm đó hệ thống của bạn sẽ an toàn. Bảo mật là một quá trình kết hợp giữa ý thức và khả năng sử dụng hiệu quả sản phẩm bảo mật, ví dụ như bạn không thể làm chủ chiếc xe của mình khi mà bạn không biết lái nó, hoặc bạn biết lái nhưng bạn lại không biết cách bảo trì cũng như vận hành nó theo ý muốn của mình.

Ví dụ trên cũng tương tự như khi ai đó phát biểu "Hệ thống của tôi được bảo vệ rất tốt bởi vì tôi sử dụng (Vietkey) Linux, (Vietkey) Linux được phát triển để làm tốt công tác bảo mật hơn Microsoft Windows". Không đúng, một ý nghĩ hoàn toàn sai lầm ! Yếu tố quyết định không phải sản phẩm bạn sử dụng là gì mà chính là kiến thức của bạn về sản phẩm đó và cách thức bạn sử dụng nó.

Thực tế trong vòng vài tuần lễ vừa qua, các nhà quản trị Linux đã phải rất bận rộn để cập nhật hệ thống của mình khi có khá nhiều lỗi được phát hiện trong các sản phẩm mã nguồn mở. Nguồn từ Netcraft cho biết từ tháng 7/2003 số website trên thế giới sử dụng hệ điều hành Windows 2003 đã tăng 109% đạt 185.000 website, 5% số website này trước đó chạy hệ điều hành Linux.

Tôi không ủng hộ Windows cũng như Linux, quan điểm của tôi là: chúng ta, con người, mới chính là chìa khóa quan trọng nhất trong công tác bảo mật. Mặc dù chính phủ nhiều nước trên thế giới như Trung Quốc, Đức...đã sử dụng mã nguồn mở cho hệ thống của mình và họ cũng đã thu được kết quả rất khả quan. Tại sao ? Bởi vì ở những quốc gia này, mã nguồn mở đã được sử dụng một cách rất hiệu quả bởi những con người thật sự nắm vững mã nguồn mở và có ý thức bảo mật.

Vì thế 1 câu nhận định như là: "Vietkey Linux sẽ thay thế cho Microsoft Windows để đảm báo tính bảo mật (confidentiality), toàn vẹn (integrity), cũng như tính khả dụng (availibility) cho hệ thống thông tin của chính phủ" là hoàn toàn sai và không thực tế.

Tôi đề nghị rằng Việt Nam nên gia nhập cuộc cách mạng mã nguồn mở chỉ khi chúng ta thật sự có một đội ngũ tài năng sẵn sàng học hỏi và thiết kế hệ thống với một ý thức bảo mật, nếu không cũng sẽ là vô ích khi chuyển từ một hệ điều hành này sang một hệ thống khác.

* Được biết từ ngày 9/4/2003, thời điểm Vietkey Linux 3.0 ra đời cho đến nay, nhiều lỗi bảo mật trong các hệ thống Linux đã được phát hiện (và sửa chữa). Ông có thể liệt kê một số lỗi bảo mật ảnh hưởng đến Vietkey Linux 3.0 ?

Như tôi đã nói, trong hai tuần vừa qua, các nhà quản trị Linux chắc hẳn rất bận rộn với việc cập nhật các miếng vá cho hệ thống của mình khi có khá nhiều lổ hổng an ninh nghiêm trọng được phát hiện trong các Linux Distro.

Hiểm họa đến từ những lỗi bảo mật này là rất cao và nếu bạn không "vá" chúng thì kẻ xấu có thể dễ dàng chạy bất kì lệnh nào, kể cả format ổ cứng, trên hệ thống của bạn với quyền root (quyền cao nhất trên Linux) hoặc quyền tương ứng với dịch vụ bị lỗi.

Dưới đây là danh sách những lỗi bảo mật được phát hiện trong các Linux Distro từ 09/04/2003 đến 24/09/2003

Phần mềm Phiên bản bị lỗi

OpenSSH <=3.6.1

MySQL <=4.0.14

Sendmail <=8.12.9

Danh sách trên sẽ rất dài nếu như tôi liệt kê ra tất cả những lổ hổng từ ngày 4/9/2003 chứ không tập trung vào những lỗi có độ nguy hiểm cao và kẻ tấn công có thể thực thi lệnh từ xa trên hệ thống bị lỗi.

Tất cả những nhà sản xuất Linux nổi tiếng như Red Hat, Slackware, Debian,...đều đã phát hành các miếng vá ngay lập tức sau khi các lổ hổng này được gửi lên Bugtraq, và người sử dụng những distro này có thể cập nhật miễn phí.

Bạn sử dụng Vietkey Linux và muốn cập nhật ư ? Đợi khoảng vài tháng nữa khi Vietkey phát hành phiên bản mới của Vietkey Linux, bạn sẽ an toàn. Và tôi dám chắc rằng trong khoảng thời gian chờ đợi này, bạn sẽ thật sự bận rộn khi có hàng tấn lệnh nguy hiểm được chạy trên hệ thống của bạn bởi những người hoàn toàn xa lạ.

Những gì nhóm Vietkey linux đã làm thật là tuyệt vời, họ đã khởi đầu cuộc cách mạng mã nguồn mở tại Việt Nam, và sẽ còn tuyệt diệu hơn nữa nếu như nhóm Vietkey "mở" hơn một tí, cho phép cộng đồng tham khảo mã nguồn của mình. Đã đến lúc trả cái khẩu hiệu "Vì cộng đồng, do cộng đồng, của Vietkey Linux" về đúng với nguyên mẫu của nó, "Vì cộng đồng, do cộng đồng, của cộng đồng".

* Xin cảm ơn ông.

N.T. thực hiện
Bình luận (0)
    Xem thêm bình luận
    Bình luận Xem thêm
    Bình luận (0)
    Xem thêm bình luận