Cisco và Michael Lynn, bạn về phe ai?
Ngô Quang Hưng | 30 tháng 07, 2005 | 
Bản để in
Michael Lynn là nhân viên cũ của công ty Internet Security Systems. Tại hội nghị bảo mật mũ đen (black hat security conference) ở Las Vegas thứ tư vừa qua, Michael trình bày một phương thức tấn công các routers của Cisco chạy hệ điều hành Internetwork (IOS). Bài báo cáo của anh có tên gọi: “Cisco IOS Security Architecture”. Lỗi chính của IOS vẫn là một lỗi tràn bộ đệm kinh điển (cả stack lẫn heap). Nếu bọn phá phách dùng phương pháp này thì có thể nói không ngoa là đa phần Internet sẽ chết ngoẻo củ tỏi.
Cisco tìm cách kiện ngay Michael, và cuối cùng Michael và hội nghị này đồng ý không phát tán rộng rãi bài trình bày của Michael và bỏ nó ra khỏi proceedings của hội nghị. Trong thời gian đó, dĩ nhiên Cisco sẽ cố hết sức lấp lỗ hổng này càng nhanh càng tốt.
Bạn đứng về phía ai? Một nhà nghiên cứu bảo mật có quyền trình bày các tìm kiếm của mình nếu kết quả này có thể gây tác hại nghiêm trọng cho Internet (hay cái gì khác) hay không? Phổ biến các expoits là một trong những phương thức tốt nhất làm cho các phần mềm có tính bảo mật cao hơn. Hầu hết các phần mềm mã nguồn mở đều chữa bugs theo cách này. Nghiên cứu khoa học luôn dựa trên sự chia xẻ thông tin. Vụ này làm tôi liên tưởng đến PKC và những ngày đầu của PKC.
1 câu hỏi rất khó trả lời. Ta phải trả lời theo tình hay theo lý?
Mà dù theo tình hay theo lý thì nó vẫn là sự nhập nhằng.
Bài viết này làm anh Hưng nhớ đến “PKC và rắc rối hóa chương trình”, còn tôi lại nhớ đến “Oái ăm Microsoft”.
Đúng như anh nói trong bài đó, mọi chương trình antivirus lớn nhỏ đều nhằm giải quyết các lỗi bảo mật của Microsoft. Đáng lẽ Microsoft phải khắc phục các lỗi đó triệt để và phải có biện pháp phòng chống. Chẳng hạn tích hợp chức năng anti-virus, anti-spy, anti-adware… vào hệ điều hành. Thật buồn cười, Microsoft lại cho ra thêm 1 phần mềm để đắp vá các lỗi phần mềm của chính mình.
Phải chăng Cisco cũng (muốn) như thế? Nhưng theo 1 cách khác, là khởi kiện người phát hiện ra lỗi sản phẩm của mình.
Theo tôi, việc phát hiện ra lỗi bảo mật và công bố nó sẽ khác với việc tạo ra virus và phát tán nó.
Vậy thì thay vì tố cáo và kiện tụng, các công ty phải có 1 chế độ ưu đãi cho người tìm ra lỗi và nhanh chóng khắc phục nó.
Nhưng xét theo khía cạnh an toàn thông tin, tôi nghĩ ngay người phát hiện lỗi cũng phải có tinh thần của buggers. Xác định được phạm vi ảnh hưởng của lỗi và thông báo với công ty có sản phẩm lỗi.
Cũng nhân nói về các bugs và lỗi tràn bộ đệm, mức độ bảo mật ở các công ty, cơ quan ở Việt Nam và ngay cả cá nhân người sử dụng chưa được quan tâm, thậm chí rất bàng quan và chủ quan do dù đã có cảnh báo. Điều này khiến cho tôi muốn thành lập 1 công ty chỉ chuyên về cảnh báo các lỗi phần mềm và cách bảo vệ thông tin.
Hiện nay, mức độ sành điệu của người Việt cũng rất cao. Laptop mọi lúc mọi nơi. Đa phần để trình diễn, chơi game và đọc tin tức. Âu đó cũng là 1 cách giải trí trong giờ nghỉ trưa hoặc ra ngòai uống café. Và chỉ cần vài chương trình bé xíu là có thể kiểm soát được 90% lượng máy tính có mặt tại khu vực đó. Lỗi này thuộc về ai?
Viết bởi Khanh Quan
Tin thêm về vụ Cisco và Michael Lynn:
1. Tạp chí Wired Phỏng vấn Michael Lynn
2. Bình luận của Schneier trong blog của anh.
3. Các hackers ủng hộ Michael Lynn
Viết bởi Ngô Quang Hưng
Michael Lynn Black Hat presentation
Viết bởi Anonymous