PHẦN MỀM TỰ DO NGUỒN MỞ VÀ VẤN ĐỀ AN TOÀN AN NINH THÔNG TIN

N ộ i dung Tổng quan về phần mềm tự do nguồn mở PMTDNM Xu hướng PMTDNM trên thế giới Vì sao xu hướng PMTDNM trở nên mạnh mẽ PMTDNM và an toàn an ninh thông tin Kết luận... Mô hình ph

Vụ Công nghệ thông tin

Bộ Thông tin và Truyền thông

HỘI THẢO AN NINH BẢO MẬT 2009 – SECURETY WORLD 2009

Hà Nội 24- 03- 2009

an toàn an ninh thông tin

N ộ i dung

Tổng quan về phần mềm tự do nguồn mở (PMTDNM)

Xu hướng PMTDNM trên thế giới

Vì sao xu hướng PMTDNM trở nên mạnh mẽ

PMTDNM và an toàn an ninh thông tin

Kết luận

T ổ ng quan v ề ph ầ n m ề m t ự do ngu ồ n m ở

 Ph ầ n m ề m t ư do ngu ồ n m ở (PMTDNM) là ph ầ n m ề m mà mã ngu ồ n ñượ c

m ở cho t ấ t c ả m ọ i ng ườ i có th ể xem xét, nghiên c ứ u, không b ị ràng bu ộ c vào các công ngh ệ ñộ c quy ề n, và m ọ i ng ườ i ñượ c t ự do sử dụng, sao

chép, ch ỉ nh s ử a, c ả i ti ế n, phân ph ố i mi ễ n phí ho ặ c bán l ạ i

 V ớ i PMTDNM m ọ i ng ườ i ñề u có quy ề n t ự do:

− S ử d ụ ng (ch ạ y) PM v ớ i b ấ t k ỳ m ụ c ñ ích gì;

− Sao chép và phân ph ố i mi ễ n phí ho ặ c bán l ạ i cho b ấ t k ỳ ai

− Truy c ậ p mã ngu ồ n, nghiên c ứ u, xem xét, s ử a ñổ i, nâng c ấ p và phát tri ể n theo nhu c ầ u;

− Phân ph ố i l ạ i b ả n ch ỉ nh s ử a, c ả i ti ế n mã ngu ồ n m ộ t cách t ự do.

− Không ph ả i xin phép và tr ả ti ề n b ả n quy ề n cho nh ữ ng ng ườ i phát tri ể n

tr ướ c ñ ó

Nh ữ ng quy ề n này ñượ c th ể hi ệ n rõ trong gi ấ y phép PMTDNM Có r ấ t

nhi ề u lo ạ i gi ấ y phép PMTDNM khác nhau, nhưng hầ u h ế t ñề u trao các quy ề n t ư do c ơ b ả n cho c ộ ng ñồ ng.

Mô hình phát tri ể n PMTDNM

• Người dùng PMTDNM thường không trả phí bản quyền

• Người dùng PMTDNM thường trả chi phí dịch vụ ñào tạo và hỗ trợ

• Người dùng PMTDNM cũng chịu trách nhiệm phát triển các bản

cải tiến, nâng cấp và thẩm ñịnh các chức năng họ cần; họ có thể hợp tác hoặc thuê người khác làm việc này

Lập trình viên

Lập trình viên cao cấp

Thông báo lỗi

Cải tiến mã nguồn và thẩm ñịnh: người dùng như lập trình viên

Cộng ñồng PMNM

T ổ ng quan v ề ph ầ n m ề m t ự do ngu ồ n m ở

PMTDNM không có ngh ĩ a là mi ễ n phí:

− M ọ i ng ườ i hoàn toàn có quy ề n bán PMTDNM (th ự c t ế có nhi ề u công

ty kinh doanh d ự a vào vi ệ c t ậ p h ợ p, d ị ch ch ươ ng trình và bán

Trái ng ượ c v ớ i PMTDNM, ph ầ n m ề m ngu ồ n ñ óng (PMN ð ) ñượ c kinh

doanh d ự a vào vi ệ c bán b ả n quy ề n c ủ a ph ầ n m ề m, b ả n thân PMN ð là

m ộ t h ộ p ñ en b ị rào ch ắ n, ng ă n c ả n b ở i nh ữ ng quy ñị nh ng ặ t nghèo c ủ a

gi ấ y phép b ả n quy ề n, trong ñ ó ngườ i s ử d ụ ng b ị ràng bu ộ c, gi ớ i h ạ n

quy ề n s ử d ụ ng PM vào 1 s ố m ụ c ñ ích nh ấ t ñị nh, và thườ ng b ị c ấ m không ñượ c truy c ậ p mã ngu ồ n ñể xem xét cách nó v ậ n hành, không ñượ c ch ỉ nh

s ử a hay c ả i ti ế n, và c ấ m sao chép cho ng ườ i khác.

T ổ ng quan v ề ph ầ n m ề m t ự do ngu ồ n m ở

 T ạ i sao l ạ i có nh ữ ng ng ườ i vi ế t ph ầ n m ề m ñể cho không? Câu tr ả l ờ i là vì

h ọ mu ố n ki ế m ti ề n ho ặ c vì s ở thích

 Nhi ề u ng ườ i ki ế m ñượ c ti ề n nh ờ vào PMTDNM mà h ọ vi ế t Nh ữ ng

công ty l ớ n nh ư Red Hat hay MySQL ch ẳ ng h ạ n, h ọ ki ế m ti ề n b ằ ng

cách cho không s ả n ph ẩ m c ủ a h ọ (và bán d ị ch v ụ h ỗ tr ợ s ả n ph ẩ m ñ ó)

Và h ọ nh ậ n ra r ằ ng h ọ ki ế m ñượ c nhi ề u ti ề n h ơ n là n ế u bán s ả n ph ẩ m

ở d ạ ng ph ầ n m ề m b ả n quy ề n

 M ộ t s ố ngườ i ch ỉ mu ố n ph ầ n m ề m c ủ a h ọ ñượ c ph ổ bi ế n r ộ ng rãi

Nhi ề u ng ườ i thích s ố ng trong s ự t ự do H ọ ñ óng góp vào PMTD ñể h ọ

có th ể s ố ng mãi trong t ự do M ộ t s ố ngườ i thì vi ế t PMTD cho vui H ọ thích vi ế t ch ươ ng trình và mu ố n dùng k ỹ năng ñ ó ñể làm chuy ệ n có

ích

 Nh ữ ng ng ườ i ñầ u t ư ñể phát tri ể n PMTDNM không ki ế m ti ề n t ừ vi ệ c bán

gi ấ y phép (b ả n quy ề n), mà h ọ ki ế m ti ề n b ằ ng cách bán d ị ch v ụ h ỗ tr ợ s ả n

ph ẩ m => Kinh doanh PMTDNM là m ộ t mô hình kinh doanh m ớ i, d ự a trên

d ị ch v ụ h ỗ tr ợ , không d ự a trên phí b ả n quy ề n.

PMTDNM ñ ang tr

PMTDNM ñ ang tr ở thành xu h nh xu h ư ư ớ ng trên th ế gi ớ i

PMTDNM không chỉ là lựa chọn của các nc nưước nghèo, các nc nưước phát triển nhn nhưư

Anh, ðức, Pháp, Châu Âu, Canada và cả Mỹ cũng lựa chọn sử dụng

PMTDNM trong rất nhiều lĩnh vực

Rất nhiều quốc gia, vùng lãnh thổ tuyên bố ủng hộ PMTDNM: xu hu hưướng tiếp

cận FOSS gia tn FOSS gia tăăng tng từ 45.3% nnăăm m 2007 lên 54% nnăăm m 2008 Cụ thể Pháp

65.4%, Bắc Mỹ 53.5% và ðức 48.6%

Nhật Bản, Hàn Quốc, Trung Quốc c ññã hã hình thành liên minh phát triển

PMTDNM, và Việt Nam cũng ng ññã bã bắt t ññầu tham gia liên minh này (Aseanux)

Câu lạc bộ các Trung tâm PMTDNM Châu Á với sự hỗ trợ của Nhật Bản n ññang ang

hoạt t ññộng mạnh

Ngày càng nhiều tập p ññooàn ICT lớn ủng hộ PMTDNM (Intel, IBM, Motorola,

Sun, Google, Yahoo v.v…)

Nhiều hãng máy tính hàng ng ññầu u ññã cã cài sẵn các ứng dụng PMNM trên máy PCs

ñể bán: Dell, HP, Lenovo, Acer, Toshiba, Asus, OLPC, Classmate PC,

Netbook

Sản phẩm PMTDNM ngày càng hoàn thiện, ña dạng và thân thiện hn hơơnn: Cho máy chủ (hệ ñiều hành và các ứng dụng); Cho hệ quản trị cơ sở dữ liệu; Cho máy tính nh ññể bàn (hệ ñiều hành và các ứng dụng)

Các tài liệu PMTDNM ngày càng nhiều và ñơn giản, dễ hiểu, với nhiều thứ

tiếng

Xu h ư

Xu h ư ớ ng t ng t ă ă ng tr ng tr ư ư ở ng c ủ a th ị trườ ng Linux

PMTDNM t ă ng nhanh trong th

PMTDNM t ă ng nhanh trong th ị trườ ng máy ch ủ m ạ ng

T ă ng tr ư

T ă ng tr ư ở ng th ị trườ ng máy ch ủ m ạ ng

2001

GNU/Linux (28.5%) Window s (24.4 %) Sun (17.7%) BSD (15%) IRIX (5.3%)

2007

M ứ c c ñ ñ ộ hoàn thi ệ n c ủ a PMNM

và s ự ch ấ p nh ậ n c ủ a th ị trườ ng

Phân tích của Forrester về

mức hưởng ứng dùng FOSS trong doanh nghiệp tại Châu

Âu chiếm tỷ lệ: ðức 51%, Anh Quốc 43%, Pháp 42%

và 40% là Bắc Mỹ.

Vì sao xu hướ ng PMTDNM ngày càng m ạ nh m ẽ

T T ă ă ng l ng l ự a ch ọ n cho ng n cho ng ư ư ờ i dùng, ñồ ng th ờ i gi ả m áp l ự c b ả n quy ề n

− Thói quen khi ế n nhi ề u s ả n ph ẩ m PMN m PMN ð ð g g ầ n nh n nh ư ư tr tr ở thành nh ñộ ñ c quy ề n Thúc

ñẩ y PMTDNM cho phép ng p ng ườ ư i dùng có thêm s ự l ự a ch ọ n v ề ph ầ n m ề m

thu ộ c l ẫ n nhau ( ứ ng d ụ ng và h ệ ñiề u hành, các ứ ng d ụ ng liên quan)

− S ự ph ụ thu ộ c x ả y ra trên nhi ề u ph u ph ươ ươ ng di ng di ệ n:

 Thói quen ng i quen ng ư ư ờ i dùng

 Ràng bu ộ c b ở i gi ấ y phép

 Tình hình ho ạ t t ñ ñ ộ ng kinh doanh c ủ a nhà cung c ấ p: N ế u nhà cung c ấ p thay p thay ñ ñ ổ i

SP, công ngh ệ , các ứ ng d ụ ng c ũ ng ph ả i thay i thay ñ ñ ổ i theo; N ế u nhà cung c ấ p phá

s ả n => r ắ c r ố i l ớ n

− PMTDNM cho phép tránh s ự ph ụ thu ộ c:

 T ự do can thi ệ p, s ử a a ñ ñ ổ i, làm ch ủ công ngh ệ , s ả n ph ẩ m

 Ng Ng ư ư ờ i dùng ch ủ ñộ ng l ự a ch ọ n ti ế p t ụ c duy trì PM ho ặ c nâng c ấ p, ch ỉ nh s ử a theo yêu c ầ u

 PM, không ph ả i ph ụ thu ộ c theo nhà cung c ấ p s ả n ph ẩ m

Vì sao xu hướ ng PMTDNM ngày càng m ạ nh m ẽ

Thúc c ñ ñ ẩ y phát tri ể n công nghi ệ p ph ầ n m ề m trong n m trong n ư ư ớ c

− Dùng ph ầ n m ề m n m nư ư ớ c ngoài => chi phí b ả n quy ề n là tr ả cho nướ c ngoài; Dùng PMNM

=> chi phí d ị ch v ụ ch ủ y ế u tr ả cho doanh nghi ệ p trong nư p trong n ư ớ c

− Các DN có cơ hộ i phát tri ể n, làm ch ủ và cung c ấ p các s ả n ph ẩ m PMNM ra th ị trườ ng

− SaaS ñư SaaS ñư ợ c phát tri ể n d ự a trên h ạ t ầ ng cơ s ng c ơ s ở cho ki ế n trúc h c hư ư ớ ng d ị ch v ụ (SOA) - n ề n

t ả ng c ủ a ñi a ñ i ệ n toán n ñ ñ ám mây.

− D ự báo 80% các ứ ng d ụ ng d ị ch v ụ s ẽ d ự a vào PMTDNM V ớ i kh ả năng sẵ n sàng và các quy ề n t ự do, l ự a ch ọ n ngu ồ n m ở ñượ c xem là s ự thông minh nh ấ t.

Chu ẩ n m ở

− Các t ậ p ño p ñ o àn ph ầ n m ề m thư m th ư ờ ng ñưa ra c ng ñư a ra c ác chu ẩ n riêng c ủ a mình => khách hàng ph ụ

thu ộ c vào nhà cung c ấ p

− Chu ẩ n m ở là chu ẩ n ñã ñư n ñ ã ñư ợ c công b ố , ñượ c ch ấ p thu ậ n trên cơ s n trên c ơ s ở m ộ t qui trình ra quy ế t

ñị nh m ở , do m ộ t t ổ ch ứ c phi l ợ i nhu ậ n qu ả n lý

− Chính sách truy c ậ p t ự do, không có h ạ n ch ế v ề vi ệ c s ử d ụ ng chu ẩ n, giá thành s ử d ụ ng

th ấ p và không có khó khăn khi tiế p c ậ n

− Chu ẩ n m ở tương th ích v ớ i h ầ u h ế t các c ñ ñ ị nh d ạ ng d ữ li ệ u và giao th ứ c m ạ ng, ñem lạ i l ợ i ích t ch tương h ươ ng h ợ p các h ệ th ố ng thông tin, cho phép trao p trao ñ ñ ổ i t ố t hơn d t h ơ n d ữ li ệ u, thu ậ n l ợ i trong nâng c ấ p, m ở r ộ ng

Vì sao xu hướ ng PMTDNM ngày càng m ạ nh m ẽ

và trên hết, yếu tố quan trọng dẫn ñến xu hướng PMTDNM ngày càng phổ biến là vì

ðỘ TIN CẬY và

AN TOÀN AN NINH

Các d ự án PMTDNM l ớ n có ñộ tin c ậ y r ấ t cao

 M ộ t s ố ngườ i nghi ng ờ PMTDNM ñượ c phát tri ể n b ở i nh ữ ng l ậ p trình viên nghi ệ p d ư ? Và ch ấ t l ượ ng s ả n ph ẩ m th ườ ng th ấ p? Hoàn toàn không ph ả i:

ñược xem xét rất kỹ lưỡng bởi nhiều người, những ñoạn mã nghiệp dư

nhu cầu của người dùng và lắng nghe những than phiền, góp ý của người

cho phù hợp => PMTDNM thường tiến hóa rất nhanh, và chất lượng rất tốt

Ch ấ t l ượ ng và s ự an toàn c ủ a PMTDNM là nh ờ s ự tham gia xem xét, rà soát, th ẩ m ñị nh c ủ a nhi ề u ng ườ i trong c ộ ng ñồ ng (peer review):

ñánh giá, rà soát các lỗi bảo mật,

chỉnh sửa

ðộ tin c ậ y c ủ a PMTDNM

Vi ệ c vá l ỗ i c ủ a PMTDNM th a PMTDNM th ư ư ờ ng khá nhanh:

− Khi một lỗi trên PMTDNM bị phát hiện, ngngưười dùng có thể tự sửa chữa,

hoặc nhờ các công ty cung cấp dịch vụ, hoặc nhờ cộng ñng ñồng Cả cộng

ñồng cùng xúm vào giải quyết, và thường chỉ mất vài giờ ñồng hồ ñể có

bản vá lỗi (và kẻ gian hầu như không ku như không kịp khai thác)

vá lỗi có khi ñến nhiều ngày, và nhiều trưu trường hợp kẻ gian ñã kịp truy cập

Th ố ng kê c ủ a Netcraft (2004) trong s ố 50 máy ch ủ m ạ ng có th ờ i gian ho ạ t

ñộ ng liên t ụ c lâu nh ấ t, ph ầ n l ớ n là BSD, không có máy nào ch ạ y Linux hay window V ấ n n ñ ñ ề là linux thi ế t k ế b ộ ñế m reset sau 497 ngày, còn window thì không.

Tính nh ñ ñ ế n 9/2004, th ờ i gian ch ạ y liên t ụ c trung bình c ủ a máy ch ủ m ạ ng

window cho trang web www.microsoft.com là 59 ngày (max là 111 ngày),

so v ớ i máy ch ủ linux cho trang web www.linux.com 348 ngày(c ả TB và

ñượ c các hackers và các c ñ ñ ố i th ủ , và t ứ c là an toàn h n h ơ ơ n n H ọ cho r ằ ng v ớ i

mã ngu ồ n n ñư ñư ợ c m ở s ẵ n, nh ữ ng k ẻ phá ho ạ i s ẽ d ễ dàng tìm ra l ỗ h ổ ng c ủ a

PM và vi ế t các virut hi ể m m ñ ñ ộ c c ñ ñ ể t ấ n công h ệ th ố ng ðiề u này có th ự c s ự

ñ úng?

Th ự c ra không ch ỉ k ẻ x ấ u nghiên c ứ u PM, nhi ề u ng u ng ư ư ờ i t ố t trong c ộ ng ng ñ ñ ồ ng

l ậ p trình viên c ũ ng s ẽ xem xét, th ẩ m m ñ ñ ị nh nh ñ ñ ể t m ra các l ỗ h ổ ng và c ả nh báo o ñ ñ ể s ử a ch ữ a, và tham gia vá l ỗ i, do v ậ y các l ỗ i PMTDNM th i PMTDNM th ư ư ờ ng

ñượ c s ử a r ấ t nhanh tr t nhanh tr ư ư ớ c khi nó b ị khai thác => vi ệ c m ở mã ngu ồ n khi ế n

ph ầ n m ề m an toàn h n h ơ ơ n ch n ch ứ không ph ả i kém an toàn

Th ố ng kê cho th ấ y h ệ ñiề u hành nhân Linux luôn có t ỷ l ệ l ỗ i th ấ p h p h ơ ơ n n

0 0.5 1

Proprietary Average (0.55, 0.41)

Linux kernel (0.10, 0.013)

Bắ m ậ t mã ngu ồ n li ệ u có an toàn h n h ơ ơ n n ?

Lý thuyết ỘBắ mật mã nguồn sẽ an toàn hn hơơnnỢ có thể ựúng trong trng trong trưường hợp

ngư

người dùng tự viết phần mềm cho mình (và tất nhiên là phải biết rõ mã nguồn

của mình), và tự khẳng ng ựựịnh nh ựưựược c ựựộ an toàn của mã nguồn phần mềm m ựựó

Nhưng trong trư

Nhưng trong trường hợp phần mềm do ngm do ngưười khác viết (và người dùng không

biết gì về mã nguồn PM ấy), thì việc mã nguồn bị dấu có thể ựem lại rủi ro,

mạo hiểm rất lớn cho ngn cho ngưười dùng

ỘViệc lý luận giữ bắ mật mã nguồn sẽ an toàn hn hơơn ln là hoàn toàn không n không ựựúngỢ

Luật st sưư Eric S Eric S Raymond, tác giả cuốn The New Hacker's Dictionary s Dictionary ựựã nã nói

ỘNguồn n ựựóng không chỉ thực sự không an toàn, mà bản thân nó còn là sự

phản lại khái niệm an toànỢ, Raymonds nói, ỘNgNgưười dùng không biết cái gì bên trong, không thể thẩm m ựựịnh nó, không thể kiểm tra m tra ựưựược những giả ựịnh mà

ngư

người viết phần mềm m ựựặt ra, hoặc c ựựộ trung thực của chắnh ngnh ngưười viết phần

mềm

PMNPMNđđ l là một hộp p ựựenen, do vậy nếu vì lý do nào o ựựó có 1 PM gián n ựựiiệp hoặc 1virut ựư

virut ựược cài vào phần mềm, ngngưười dùng sẽ hầu nhu nhưư r rất khó ựể phát hiện ựược

đđã cã có trường hợp một phần mềm nguồn n ựựóng máy chủ mạng nổi tiếng bị tạo

một Ộcửa sauỢ, nhhưưng phng phải i ựựến hn hơơn n 4 nnăăm sau mm sau mới bị phát hiện Với PMTDNM

nếu có 1 cửa sau nha sau nhưư v vậy thì chắc chắn sẽ rất sớm bị phát hiện

− 60,000 Windows, 40 Macintosh, 5 for

commercial Unix versions, 40 for Linux

Có 40% các c ññợt tấn công vào window

ñược xếp vào nhóm rất nguy hiểm, trong

khi chỉ 10% ñợt tấn công vào linux o linux ñưñược

xếp vào nhóm này [Nicholas Petreley, Oct

2004]

91% người dùng internet bng internet băăng rng rộng (dùng

HðH PMNð

HðH PMNð) có spyware trên máy tính

L h ỗ ng

Th ờ i gian vá Tin c ậ y Không tin

Defaced

66.75% (Apache) 24.81% (IIS)

Deployed websites (by name)

29.6% (GNU/Linux) 49.6% (Windows)

Deployed Systems

PMNM

Lỗi

Vài s ố li ệ u

Hệ thống PMTDNM có ñiểm số cao hơn về an toàn an ninh [th ố ng kê c ủ a Payne, Information Systems Journal 2002]

Khảo sát 6,344 nhà quản lý phát triển phần mềm vào tháng 4/2005 [BZ Research]:

Borland InterBase/Firebird Back Door

Các hệ thống thông tin có yêu cầu bảo mật cao nht cao nhưư an ninh an ninh, quốc phòng, tài chính, ngân hàng nên sử dụng PMTDNM

Các tổ chức, doanh nghiệp nên có sự ñầu tu tưư, xem xét, chọn lựa sử dụng các PMTDNM phù hợp

Không ai có thể ñảm bảo o ñưñược sự an toàn, an ninh cho hệ thống thông tin của

bạn nếu bạn không thực sự quan tâm và ñầu tu tưư cho v cho vấn n ññề này

PMTDNM PMTDNM ññang trang trở thành một xu ht xu hưướng trên thế giới

Nhà nước ta có nhiều cu cơơ ch chế chính sách khuyến khích ứng dụng và phát triển PMTDNM

C ả m m ơ ơ n quý v n quý v ị ñã lắ ng nghe !

Nguyễn Trọng ðường Phó Vụ trưởng Vụ CNTT

Bộ Thông tin và Truyền thông

18 Nguyễn Du, Hà nội