HỘI THẢO AN NINH BẢO MẬT 2009 – SECURETY WORLD 2009 Hà Nội 24- 03- 2009 Phần mềm tự nguồn mở vấn ñề an toàn an ninh thông tin Vụ Công nghệ thông tin Bộ Thông tin Truyền thông Nội dung Tổng quan phần mềm tự nguồn mở (PMTDNM) Xu hướng PMTDNM giới Vì xu hướng PMTDNM trở nên mạnh mẽ PMTDNM an toàn an ninh thông tin Kết luận Tổng quan phần mềm tự nguồn mở Phần mềm tư nguồn mở (PMTDNM) phần mềm mà mã nguồn ñược mở cho tất người xem xét, nghiên cứu, không bị ràng buộc vào công nghệ ñộc quyền, người ñược tự sử dụng, chép, chỉnh sửa, cải tiến, phân phối miễn phí bán lại Với PMTDNM người ñều có quyền tự do: − Sử dụng (chạy) PM với mục ñích gì; − Sao chép phân phối miễn phí bán lại cho − Truy cập mã nguồn, nghiên cứu, xem xét, sửa ñổi, nâng cấp phát triển theo nhu cầu; − Phân phối lại chỉnh sửa, cải tiến mã nguồn cách tự − Không phải xin phép trả tiền quyền cho người phát triển trước ñó Những quyền ñược thể rõ giấy phép PMTDNM Có nhiều loại giấy phép PMTDNM khác nhau, hầu hết ñều trao quyền tư cho cộng ñồng Mô hình phát triển PMTDNM Cộng ñồng PMNM Lập trình viên Lập trình viên cao cấp Mã ng Cải tiến mã nguồn thẩm ñịnh: người dùng lập trình viên Thông báo lỗi Lưu giữ uồn → Phân phối Người dùng • Người dùng PMTDNM thường không trả phí quyền • Người dùng PMTDNM thường trả chi phí dịch vụ ñào tạo hỗ trợ • Người dùng PMTDNM chịu trách nhiệm phát triển cải tiến, nâng cấp thẩm ñịnh chức họ cần; họ hợp tác thuê người khác làm việc Tổng quan phần mềm tự nguồn mở PMTDNM nghĩa miễn phí: − Mọi người hoàn toàn có quyền bán PMTDNM (thực tế có nhiều công ty kinh doanh dựa vào việc tập hợp, dịch chương trình bán PMTDNM) − Tuy nhiên, quyền tự nêu trên, người dùng lúc dễ dàng có ñược PMTDNM cách tải từ Internet hay coppy người khác cách hợp pháp => người muốn bỏ nhiều tiền ñể mua PMTDNM Do vậy, hầu hết PMTDNM thường ñược miễn phí quyền Trái ngược với PMTDNM, phần mềm nguồn ñóng (PMNð) ñược kinh doanh dựa vào việc bán quyền phần mềm, thân PMNð hộp ñen bị rào chắn, ngăn cản quy ñịnh ngặt nghèo giấy phép quyền, ñó người sử dụng bị ràng buộc, giới hạn quyền sử dụng PM vào số mục ñích ñịnh, thường bị cấm không ñược truy cập mã nguồn ñể xem xét cách vận hành, không ñược chỉnh sửa hay cải tiến, cấm chép cho người khác Tổng quan phần mềm tự nguồn mở Tại lại có người viết phần mềm ñể cho không? Câu trả lời họ muốn kiếm tiền sở thích Nhiều người kiếm ñược tiền nhờ vào PMTDNM mà họ viết Những công ty lớn Red Hat hay MySQL chẳng hạn, họ kiếm tiền cách cho không sản phẩm họ (và bán dịch vụ hỗ trợ sản phẩm ñó) Và họ nhận họ kiếm ñược nhiều tiền bán sản phẩm dạng phần mềm quyền Một số người muốn phần mềm họ ñược phổ biến rộng rãi Nhiều người thích sống tự Họ ñóng góp vào PMTD ñể họ sống tự Một số người viết PMTD cho vui Họ thích viết chương trình muốn dùng kỹ ñó ñể làm chuyện có ích Những người ñầu tư ñể phát triển PMTDNM không kiếm tiền từ việc bán giấy phép (bản quyền), mà họ kiếm tiền cách bán dịch vụ hỗ trợ sản phẩm => Kinh doanh PMTDNM mô hình kinh doanh mới, dựa dịch vụ hỗ trợ, không dựa phí quyền PMTDNM ñang trở thành xu hướng giới PMTDNM không lựa chọn nước nghèo, nước phát triển Anh, ðức, Pháp, Châu Âu, Canada Mỹ lựa chọn sử dụng PMTDNM nhiều lĩnh vực Rất nhiều quốc gia, vùng lãnh thổ tuyên bố ủng hộ PMTDNM: xu hướng tiếp cận FOSS gia tăng từ 45.3% năm 2007 lên 54% năm 2008 Cụ thể Pháp 65.4%, Bắc Mỹ 53.5% ðức 48.6% Nhật Bản, Hàn Quốc, Trung Quốc ñã hình thành liên minh phát triển PMTDNM, Việt Nam ñã bắt ñầu tham gia liên minh (Aseanux) Câu lạc Trung tâm PMTDNM Châu Á với hỗ trợ Nhật Bản ñang hoạt ñộng mạnh Ngày nhiều tập ñoàn ICT lớn ủng hộ PMTDNM (Intel, IBM, Motorola, Sun, Google, Yahoo v.v…) Nhiều hãng máy tính hàng ñầu ñã cài sẵn ứng dụng PMNM máy PCs ñể bán: Dell, HP, Lenovo, Acer, Toshiba, Asus, OLPC, Classmate PC, Netbook Sản phẩm PMTDNM ngày hoàn thiện, ña dạng thân thiện hơn: Cho máy chủ (hệ ñiều hành ứng dụng); Cho hệ quản trị sở liệu; Cho máy tính ñể bàn (hệ ñiều hành ứng dụng) Các tài liệu PMTDNM ngày nhiều ñơn giản, dễ hiểu, với nhiều thứ tiếng Xu hướng tăng trưởng thị trường Linux PMTDNM tăng nhanh thị trường máy chủ mạng Tăng trưởng thị trường máy chủ mạng GNU/Linux (28.5%) Window s (24.4 %) Sun (17.7%) BSD (15%) IRIX (5.3%) 2007 2001 Mức ñộ hoàn thiện PMNM chấp nhận thị trường Phân tích Forrester mức hưởng ứng dùng FOSS doanh nghiệp Châu Âu chiếm tỷ lệ: ðức 51%, Anh Quốc 43%, Pháp 42% 40% Bắc Mỹ Vì xu hướng PMTDNM ngày mạnh mẽ Tăng lựa chọn cho người dùng, ñồng thời giảm áp lực quyền − Thói quen khiến nhiều sản phẩm PMNð gần trở thành ñộc quyền Thúc ñẩy PMTDNM cho phép người dùng có thêm lựa chọn phần mềm − Là công cụ hữu hiệu ñể quốc gia ñàm phán, mặc với tập ñoàn cung cấp phần mềm lớn Tránh phụ thuộc nhà cung cấp ñộc quyền − ðặc thù phần mềm khác với sản phẩm truyền thống: tính liên kết - phụ thuộc lẫn (ứng dụng hệ ñiều hành, ứng dụng liên quan) − Sự phụ thuộc xảy nhiều phương diện: Thói quen người dùng Ràng buộc giấy phép Tình hình hoạt ñộng kinh doanh nhà cung cấp: Nếu nhà cung cấp thay ñổi SP, công nghệ, ứng dụng phải thay ñổi theo; Nếu nhà cung cấp phá sản => rắc rối lớn − PMTDNM cho phép tránh phụ thuộc: Tự can thiệp, sửa ñổi, làm chủ công nghệ, sản phẩm Người dùng chủ ñộng lựa chọn tiếp tục trì PM nâng cấp, chỉnh sửa theo yêu cầu PM, phụ thuộc theo nhà cung cấp sản phẩm Vì xu hướng PMTDNM ngày mạnh mẽ Thúc ñẩy phát triển công nghiệp phần mềm nước − Dùng phần mềm nước => chi phí quyền trả cho nước ngoài; Dùng PMNM => chi phí dịch vụ chủ yếu trả cho doanh nghiệp nước − Các DN có hội phát triển, làm chủ cung cấp sản phẩm PMNM thị trường Xu hướng phần mềm dịch vụ (SaaS) − Theo dự báo Gartner: phần mềm hướng dịch vụ (SaaS) chiếm 1/3 thị trường vào năm 2012; 50% người dùng laptop chuyển sang dùng thiết bị thông minh với ứng dụng dịch vụ WEB − SaaS ñược phát triển dựa hạ tầng sở cho kiến trúc hướng dịch vụ (SOA) - tảng ñiện toán ñám mây − Dự báo 80% ứng dụng dịch vụ dựa vào PMTDNM Với khả sẵn sàng quyền tự do, lựa chọn nguồn mở ñược xem thông minh Chuẩn mở − Các tập ñoàn phần mềm thường ñưa chuẩn riêng => khách hàng phụ thuộc vào nhà cung cấp − Chuẩn mở chuẩn ñã ñược công bố, ñược chấp thuận sở qui trình ñịnh mở, tổ chức phi lợi nhuận quản lý − Chính sách truy cập tự do, hạn chế việc sử dụng chuẩn, giá thành sử dụng thấp khó khăn tiếp cận − Chuẩn mở tương thích với hầu hết ñịnh dạng liệu giao thức mạng, ñem lại lợi ích tương hợp hệ thống thông tin, cho phép trao ñổi tốt liệu, thuận lợi nâng cấp, mở rộng Vì xu hướng PMTDNM ngày mạnh mẽ hết, yếu tố quan trọng dẫn ñến xu hướng PMTDNM ngày phổ biến ðỘ TIN CẬY AN TOÀN AN NINH Các dự án PMTDNM lớn có ñộ tin cậy cao Một số người nghi ngờ PMTDNM ñược phát triển lập trình viên nghiệp dư? Và chất lượng sản phẩm thường thấp? Hoàn toàn không phải: Hầu hết sản phẩm PMTDNM phổ biến ñược hình thành từ dự án ñược ñầu tư quy mô, nhiều dự án ñược chủ trì tập ñoàn CNTT hàng ñầu giới IBM, Intel, Sun, Red Hat, Novell … Quy trình phát triển PMTDNM công khai rõ ràng, mã phần mềm người ñó muốn vào ñược dự án PMTDNM, ñược xem xét kỹ lưỡng nhiều người, ñoạn mã nghiệp dư hay viết cẩu thả bị loại Lập trình viên PMTDNM thường gần gũi người dùng, họ hiểu rõ nhu cầu người dùng lắng nghe than phiền, góp ý người dùng phiên trước ñó họ chỉnh sửa, bổ sung, nâng cấp cho phù hợp => PMTDNM thường tiến hóa nhanh, chất lượng tốt Chất lượng an toàn PMTDNM nhờ tham gia xem xét, rà soát, thẩm ñịnh nhiều người cộng ñồng (peer review): Với PMNð, số hạn chế người ñược trả lương xem xét, ñánh giá, rà soát lỗi bảo mật, Trong ñó, việc mở mã nguồn, PMTDNM ñược cộng ñồng giới xem xét, rà soát, dò tìm lỗi bảo mật có ñể khuyến cáo, chỉnh sửa ðộ tin cậy PMTDNM Việc vá lỗi PMTDNM thường nhanh: − Khi lỗi PMTDNM bị phát hiện, người dùng tự sửa chữa, nhờ công ty cung cấp dịch vụ, nhờ cộng ñồng Cả cộng ñồng xúm vào giải quyết, thường vài ñồng hồ ñể có vá lỗi (và kẻ gian không kịp khai thác) − Với PMNð, người dùng hoàn toàn phụ thuộc vào nhà cung cấp, thời gian vá lỗi có ñến nhiều ngày, nhiều trường hợp kẻ gian ñã kịp truy cập ñể phá hoại hay ăn cắp trước vá lỗi ñược phát hành Thống kê Netcraft (2004) số 50 máy chủ mạng có thời gian hoạt ñộng liên tục lâu nhất, phần lớn BSD, máy chạy Linux hay window Vấn ñề linux thiết kế ñếm reset sau 497 ngày, window không Tính ñến 9/2004, thời gian chạy liên tục trung bình máy chủ mạng window cho trang web www.microsoft.com 59 ngày (max 111 ngày), so với máy chủ linux cho trang web www.linux.com 348 ngày(cả TB max) Nghiên cứu Fuzz cho thấy ứng dụng PMTDNM có ñộ tin cậy cao hẳn so với PMNð [U Wisconsin] Bí mật mã nguồn liệu có an toàn hơn? Theo truyền thống an ninh bí mật có nghĩa an toàn (mọi người khóa kín nhà, xe ô tô, ñồ ñạc quý giá ñể ñảm bảo an toàn) Liệu ñiều có ñúng với trường hợp mã nguồn phần mềm? Những người theo quan ñiểm mã nguồn ñóng lý luận việc dấu (ñóng) mã nguồn lại (giữ bí mật mã nguồn) có nghĩa bạn ñảm bảo phòng chống ñược hackers ñối thủ, tức an toàn Họ cho với mã nguồn ñược mở sẵn, kẻ phá hoại dễ dàng tìm lỗ hổng PM viết virut hiểm ñộc ñể công hệ thống ðiều có thực ñúng? Thực không kẻ xấu nghiên cứu PM, nhiều người tốt cộng ñồng lập trình viên xem xét, thẩm ñịnh ñể tìm lỗ hổng cảnh báo ñể sửa chữa, tham gia vá lỗi, lỗi PMTDNM thường ñược sửa nhanh trước bị khai thác => việc mở mã nguồn khiến phần mềm an toàn an toàn Thống kê cho thấy hệ ñiều hành nhân Linux có tỷ lệ lỗi thấp Proprietary Average (0.55, 0.41) 0.5 Reported Repaired Linux kernel (0.10, 0.013) Bí mật mã nguồn liệu có an toàn hơn? Lý thuyết “Bí mật mã nguồn an toàn hơn” ñúng trường hợp người dùng tự viết phần mềm cho (và tất nhiên phải biết rõ mã nguồn mình), tự khẳng ñịnh ñược ñộ an toàn mã nguồn phần mềm ñó Nhưng trường hợp phần mềm người khác viết (và người dùng mã nguồn PM ấy), việc mã nguồn bị dấu ñem lại rủi ro, mạo hiểm lớn cho người dùng “Việc lý luận giữ bí mật mã nguồn an toàn hoàn toàn không ñúng” Luật sư Eric S Raymond, tác giả The New Hacker's Dictionary ñã nói “Nguồn ñóng không thực không an toàn, mà thân phản lại khái niệm an toàn”, Raymonds nói, “Người dùng bên trong, thẩm ñịnh nó, kiểm tra ñược giả ñịnh mà người viết phần mềm ñặt ra, ñộ trung thực người viết phần mềm PMNð hộp ñen, lý ñó có PM gián ñiệp virut ñược cài vào phần mềm, người dùng khó ñể phát ñược ðã có trường hợp phần mềm nguồn ñóng máy chủ mạng tiếng bị tạo “cửa sau”, phải ñến năm sau bị phát Với PMTDNM có cửa sau chắn sớm bị phát Vài số liệu Số lượng virut, phần mềm ñộc hại ñối với PMNð cao gấp nhiều lần so với PMTDNM: − 60,000 Windows, 40 Macintosh, for commercial Unix versions, 40 for Linux Có 40% ñợt công vào window ñược xếp vào nhóm nguy hiểm, 10% ñợt công vào linux ñược xếp vào nhóm [Nicholas Petreley, Oct 2004] 91% người dùng internet băng rộng (dùng HðH PMNð) có spyware máy tính họ [National Cyber Security Alliance, May 2003] Phí bảo hiểm chống hacker ñối với window cao 5-15% so với Unix/Linux Lỗi Defaced Deployed Systems 80 70 60 50 Lổ hỗng Thời gian vá Tin cậy Không tin cậy 40 30 20 10 GNU/LINUX Window s PMTDNM có tỷ lệ lỗi sai sót 4%-6% Windows có tỷ lệ từ 43%-100% Security Report: Windows vs Linux http://forms.theregister.co.uk PMNð 66% (Windows) 49.6% (Windows) Deployed websites (by name) 24.81% (IIS) PMNM 17% (GNU/Linux) 29.6% (GNU/Linux) 66.75% (Apache) Vài số liệu Hệ thống PMTDNM có ñiểm số cao an toàn an ninh [thống kê Payne, Information Systems Journal 2002] Khảo sát 6,344 nhà quản lý phát triển phần mềm vào tháng 4/2005 [BZ Research]: Borland InterBase/Firebird Back Door − user: politically, password: correct − Hidden for years in proprietary product − Found after release as OSS in months Kết luận Nhận ñịnh sai:”PMTDNM luôn an toàn ñáng tin cậy hơn”, “PMNð luôn an toàn ñáng tin cậy hơn” Thực tế: loại phần mềm luôn tốt hơn, mà phụ thuộc vào sản phẩm cụ thể Các PMTDNM phổ biến, ñược phát triển từ dự án quy mô thường có ñộ tin cậy tính an toàn cao so với PMNð loại PMNð, với mã nguồn bị dấu kín nghĩa an toàn hơn, mà có ngược lại PMTDNM cho phép người dùng chủ ñộng thẩm ñịnh, xem xét, ñảm bảo an toàn theo yêu cầu Các hệ thống thông tin có yêu cầu bảo mật cao an ninh, quốc phòng, tài chính, ngân hàng nên sử dụng PMTDNM Các tổ chức, doanh nghiệp nên có ñầu tư, xem xét, chọn lựa sử dụng PMTDNM phù hợp Không ñảm bảo ñược an toàn, an ninh cho hệ thống thông tin bạn bạn không thực quan tâm ñầu tư cho vấn ñề PMTDNM ñang trở thành xu hướng giới Nhà nước ta có nhiều chế sách khuyến khích ứng dụng phát triển PMTDNM Cảm ơn quý vị ñã lắng nghe ! Nguyễn Trọng ðường Phó Vụ trưởng Vụ CNTT Bộ Thông tin Truyền thông 18 Nguyễn Du, Hà nội Tel: (84) 9436 733 Fax: (84) 9436 927 Email: ntduong@mic.gov.vn