Vấn đề security ở trên mạng
- Bắt đầu congthanh
- Ngày bắt đầu
Đinh Trọng Thành Trung
(masktuxedo)
Điều hành viên
Hình như bị rò rỉ thông tin trên mạng như thế thì bị gọi là "hack" thay vì crack hay sao ý 
.
Trong môn học an toàn hệ thống máy tính, câu nói " Đạo cao một thước, ma cao một trượng" áp dụng vào rất đúng. Mình thì nghĩ rằng có hai lý do chính:
- Người xây dựng hệ thống luôn bị động, trong khi hacker chủ động. Hơn nữa người bảo vệ hệ thống phải quán xuyến đến rất nhiều mặt, trong khi hacker chỉ cần nhăm nhăm tìm ra một điểm yếu là xong. Điều này giống như chứng minh một điều gì đó là đúng cho một tập hợp thì khó, còn chứng minh điều đó ko đúng thì dễ (chỉ cần chỉ ra một phản ví dụ).
- Hệ thống càng an toàn thì càng không tiện dụng. Đôi khi để tiện dụng người ta đành hi sinh một phần sự an toàn.
Vì thế ko có hệ thống nào thật sự là an toàn cả.
.Trong môn học an toàn hệ thống máy tính, câu nói " Đạo cao một thước, ma cao một trượng" áp dụng vào rất đúng. Mình thì nghĩ rằng có hai lý do chính:
- Người xây dựng hệ thống luôn bị động, trong khi hacker chủ động. Hơn nữa người bảo vệ hệ thống phải quán xuyến đến rất nhiều mặt, trong khi hacker chỉ cần nhăm nhăm tìm ra một điểm yếu là xong. Điều này giống như chứng minh một điều gì đó là đúng cho một tập hợp thì khó, còn chứng minh điều đó ko đúng thì dễ (chỉ cần chỉ ra một phản ví dụ).
- Hệ thống càng an toàn thì càng không tiện dụng. Đôi khi để tiện dụng người ta đành hi sinh một phần sự an toàn.
Vì thế ko có hệ thống nào thật sự là an toàn cả.
Lưu Công Thành đã viết:Bác Tùng nói thế là không phải rồi. Tôi có thể đảm bảo với bác là sẽ không có việc gì xảy ra nếu nhốt tôi với 1 em nữa vào trong phòng qua đểm
Thế thì không phải là điểm yếu nữa mà là điểm rất yếu
đến mạng của FBI còn bị hack, huống hồ mấy cái mạng lẻ tẻ? cái chính là, nó phải là target của hackers không thôi.
Có một cách mà không bị hack: rút phéng máy ra khỏi mạng, nhét vào chung phòng với anh Thành, đảm bảo là không bị hack
Phan Nhật Minh
(phannhatminh)
Thành viên danh dự
Hề hề, theo em nghĩ vấn đề mấu chốt ở đây là các nhà kỹ thuật thiếu tư duy kinh tế hay nói cách khác bị tiêm nhiễm tư duy logic tuyệt đối của các ngành khoa học tự nhiên nhiều quá. Các đồng chí luôn định nghĩa khái niệm an toàn tức là phải có một hệ thống nào đó với cấu trúc an toàn thực sự để có thể trường tồn qua thời gian cùng với các cuộc tấn công của hackers. Trong khi đó lại không công nhận một mệnh đề hiển nhiên là mọi thứ đều depreciate theo thời gian, kể cả vấn đề an toàn. Do vậy một hệ thống được gọi là an toàn không có nghĩa là nó bất khả xâm phạm một cách tuyệt đối mà chỉ đơn thuần là nó đòi hỏi nhiều thời gian và công sức để hack vào hơn là một hệ thống bình thường. Sẽ hoàn toàn không có một solution về mặt kỹ thuật cho vấn đề security nhưng lại tồn tại rất nhiều solution về mặt kinh tế cho issue này. Một trong những solution có thể được phát biểu rất đơn giản là một hệ thống được gọi là an toàn khi chi phí phát triển và xây dựng(Cost of contruction) thấp hơn chi phí phá hoại (Cost of hacking) nhân với một hệ số "khả chấp" (a).
COC <= COH*a
Trong đó tùy vào các loại hình tổ chức mà có thể định ra một hệ số "khả chấp" hợp lý. Em lấy ví dụ như đối với HAO các bác có thể set up a = 2 chả hạn, đối với các banks họ có thể setup a = 0.001 hoặc đối với FBI thì a có thể = 0.000001... etc.
COC thì có thể accouting khá đơn giản.
Vấn đề ở đây là làm sao để có thể accouting được COH và xác định giá trị hợp lý của a.
Phương pháp accouting COH thì có lẽ còn phải bàn nhiều, các bác có suggestion gì không? dưới đây là một phương hướng của em
+ Theo em thì hàm của COH sẽ có dạng I^(1/(B)t) trong đó I là COH tại thời điểm gốc (khi software bắt đầu lưu hành) t là thời gian và B là chỉ số an toàn/tin cậy, trong đó B có thể được xác định bằng cách thống kê tần xuất xuất hiện holes của một software trong 1 khoảng thời gian lưu hành nhất định. Cũng có thể xác định B bằng cách thiết lập một hàm phụ thuộc vào các chỉ số như : Số lượng user, mật độ thừa kế trong code, độ mở của code và tỉ số output/input(khả năng thực thi). I có thể được xác định bằng lấy lương giờ của chú hacker đầu tiên hack được software đó nhân với số giờ an toàn của software đó tính từ lúc phát hành đến lúc bị hack lần đầu tiên.
Giá trị của a sẽ phụ thuộc phần lớn vào tầm quan trọng và mức độ thiệt hại của công ty/tổ chức đó khi hệ thống của họ bị hack, khả năng make money từ hệ thống software. Ngoài ra a còn dao động theo các yếu tố thiên thời địa lợi nhân hòa ví dụ như website của FBI trước vụ 9/11 a có thể ở mức 10^-6 nay có thể lên đến 10^-9. Hoặc HAO cách đây khoảng 3 4 hôm có thể xuống mức 10^-1 nhưng nay lại về 2.
Tóm lại là suy cho cùng internet cũng như các hệ thống e-commerce vẫn àn toàn nói chung vì nó vẫn thỏa mãn COC < COH*a tức là nó vẫn make money cho dù thiệt hại do các vấn đề an ninh là một con số không phải là nhỏ. Các bài báo thường hù dọa chúng ta bằng các con số hàng tỉ do thiệt hại từ các lỗ hổng bảo mật, virus... nhưng lại không đề cập đến các con số thu nhập từ các hoạt động e-commerce gấp khoảng tỉ lần như vậy.
COC <= COH*a
Trong đó tùy vào các loại hình tổ chức mà có thể định ra một hệ số "khả chấp" hợp lý. Em lấy ví dụ như đối với HAO các bác có thể set up a = 2 chả hạn, đối với các banks họ có thể setup a = 0.001 hoặc đối với FBI thì a có thể = 0.000001... etc.
COC thì có thể accouting khá đơn giản.
Vấn đề ở đây là làm sao để có thể accouting được COH và xác định giá trị hợp lý của a.
Phương pháp accouting COH thì có lẽ còn phải bàn nhiều, các bác có suggestion gì không? dưới đây là một phương hướng của em
+ Theo em thì hàm của COH sẽ có dạng I^(1/(B)t) trong đó I là COH tại thời điểm gốc (khi software bắt đầu lưu hành) t là thời gian và B là chỉ số an toàn/tin cậy, trong đó B có thể được xác định bằng cách thống kê tần xuất xuất hiện holes của một software trong 1 khoảng thời gian lưu hành nhất định. Cũng có thể xác định B bằng cách thiết lập một hàm phụ thuộc vào các chỉ số như : Số lượng user, mật độ thừa kế trong code, độ mở của code và tỉ số output/input(khả năng thực thi). I có thể được xác định bằng lấy lương giờ của chú hacker đầu tiên hack được software đó nhân với số giờ an toàn của software đó tính từ lúc phát hành đến lúc bị hack lần đầu tiên.
Giá trị của a sẽ phụ thuộc phần lớn vào tầm quan trọng và mức độ thiệt hại của công ty/tổ chức đó khi hệ thống của họ bị hack, khả năng make money từ hệ thống software. Ngoài ra a còn dao động theo các yếu tố thiên thời địa lợi nhân hòa ví dụ như website của FBI trước vụ 9/11 a có thể ở mức 10^-6 nay có thể lên đến 10^-9. Hoặc HAO cách đây khoảng 3 4 hôm có thể xuống mức 10^-1 nhưng nay lại về 2
. Tóm lại là suy cho cùng internet cũng như các hệ thống e-commerce vẫn àn toàn nói chung vì nó vẫn thỏa mãn COC < COH*a tức là nó vẫn make money cho dù thiệt hại do các vấn đề an ninh là một con số không phải là nhỏ. Các bài báo thường hù dọa chúng ta bằng các con số hàng tỉ do thiệt hại từ các lỗ hổng bảo mật, virus... nhưng lại không đề cập đến các con số thu nhập từ các hoạt động e-commerce gấp khoảng tỉ lần như vậy.
Hoàng Thu Hiền
(Lunar_eclipse)
Điều hành viên
dạo này box tin học vui vẻ hẳn lên , mình là mod có khác .
Hà Đăng Sơn
(hdson)
Active Member
Đề nghị bác T.L.U.Nhi (ờ, không biết tên thật của bác thì nhà em cứ nick của bác mà gọi vậy) cho bà con vài bài viết về hack/crack để mở rộng kiến thức cái
PS. Thế quái nào mà nhà chú Chi từ hôm khai cái nhà bác Nhi này ra --> suốt ngày lo sợ gặp ma, nhìn ai cũng ra bác Nhi. Lạ thật!
PS. Thế quái nào mà nhà chú Chi từ hôm khai cái nhà bác Nhi này ra --> suốt ngày lo sợ gặp ma, nhìn ai cũng ra bác Nhi. Lạ thật!
Nguyen Phi Hao
(MrDungX)
New Member
Phải công nhận tầm quan trọng của Security nhưng em tin là đây là mảng khó nhai và khó mê nhất của IT. Vừa khô vừa cứng lại hại mắt (vì cả ngày phải toét mắt đọc code).
Nhưng ở thời buổi này thì Sec có lẽ là ngành đang lên nhất và cần nhất trên TG và cả ở VN. Học cái này sau ra chắc là béo ra trò (có ai biết gì đâu, bốc phét với boss thế nào chả được) Báo SVVN Tết năm nay còn phải dành 2 trang màu mè để ca ngợi một cậu Hacker 18 tuổi với một bề dày thành tích đáng nể cơ mà (tiếc là rặt chỉ thấy phá hoại vô bổ)
Có ai biết gì về cái TT An ninh mạng do NTQuảng BK là GD không nhở? Nghe tên TT thì rất oai mà không rõ những lúc VNN hay LĐ bị hack họ đang làm gì. Chỉ diệt virus chưa thể gọi là bảo vệ an ninh mạng được..
Nhưng ở thời buổi này thì Sec có lẽ là ngành đang lên nhất và cần nhất trên TG và cả ở VN. Học cái này sau ra chắc là béo ra trò (có ai biết gì đâu, bốc phét với boss thế nào chả được
) Báo SVVN Tết năm nay còn phải dành 2 trang màu mè để ca ngợi một cậu Hacker 18 tuổi với một bề dày thành tích đáng nể cơ mà (tiếc là rặt chỉ thấy phá hoại vô bổ)Có ai biết gì về cái TT An ninh mạng do NTQuảng BK là GD không nhở? Nghe tên TT thì rất oai mà không rõ những lúc VNN hay LĐ bị hack họ đang làm gì. Chỉ diệt virus chưa thể gọi là bảo vệ an ninh mạng được..
Đinh Trọng Thành Trung
(masktuxedo)
Điều hành viên
Vấn đề hacker hiện đang trở nên đau đầu một phần là vì lý do lịch sử. Internet được thiết kế để đảm bảo "luôn truyền gói tin đến nơi cho dù đường truyền tồi đến mấy" (giao thức TCP đảm bảo rằng gói tin được truyền "chắc chắn" sẽ đến nơi (về mặt lý thuyết) ). Tuy nhiên Internet lại ko hề được chuẩn bị để phòng tránh những cuộc tấn công cố ý qua mạng. Nói tóm lại là Internet được thiết kế hoàn toàn ko có phương thức nào để bảo mật hay an toàn cả (TPC/IP hay HTML đều truyền gói tin ko mã hóa). Hiện nay một số nghiên cứu/thí nghiệm về các giao thức mạng an toàn hơn đang được tiến hành, tuy nhiên vẫn chưa đi đến đâu cả.
Nói về hacker thì mình nghĩ có thể chia nhóm này thành hai loại:
- Loại "đầu óc" chỉ chiếm một tỉ lệ rất nhỏ, rất thông minh, nhanh nhạy (tuy rằng tài năng đôi khi ko được dùng đúng chỗ), và là tác giả của các phần mềm crack, hack, worm ... Điều thú vị là dường như phần lớn các hacker loại này chỉ quan tâm đến chuyện làm sao để hack, chứ ko quan tâm mấy đến chuyện dùng các phát minh của mình để hack thật sự.
- Loại chân tay chiếm phần lớn trong giới hacker. Bọn này rất thích phá hoại (có thể là do tò mò, do muốn thể nghiệm nỗi thích thú được thấy người khác bị làm phiền ...), chuyên dùng các sản phẩm do hacker loại trên làm ra để phá hoại. Điều thú vị là bọn này nhiều khi ko hiểu biết gì mấy về các loại công cụ mà mình sử dụng, cho nên cứ dùng đại nhiều tool khác nhau để phá thử, cho đến khi thấy được thì thôi. Phiền một nỗi là các tool như vậy lại quá dễ tìm ở trên net. (Tất nhiên trong các hacker loại "chân tay" cũng có người có thêm được một tí đầu óc, nên họ có thể modify một số loại tool một tí cho thêm màu thêm mè, hoặc gắn vào đó một số "chữ ký" nào đó ...).
Cuối cùng về ý kiến của Phan Nhật Minh thì mình nghĩ như sau:
- Đúng là rất cần một phương pháp để tính toán, đo lường mức độ an toàn của một hề thống, vì hệ thống càng an toàn thì càng phức tạp, và nói chung là càng tốn kém.
- Phương pháp tính toán như vậy (hay là lượng hòa độ an toàn) là chưa có (hay là vẫn còn đang ở mức nghiên cứu).
- Về phương pháp tính của Minh:
+ Cost of construction thì make sense.
+ Cost of hacking thì có nhiều điểm chưa hợp lý: rất khó tình toán được "cost of hacking", bởi vì công cụ hack thì quá nhiều, hơn nữa hacker thường có ưu thế về thời gian, một hệ thống thường bị hack bởi nhiều người, và trong đó có cả yếu tố ngẫu nhiên (thậm chí có người hack thử một vài mạng với cùng một công cụ để xem phá được đâu thì phá), do đó mô hình của Minh có vẻ còn đơn giản quá.
+ Về việc so sánh COC và COH dường như thiếu thiết phục. Theo mình thì nên so sánh COC với một chỉ số về mức độ thiệt hại do bị phá hoại (COD - cost of destruction) (giả thiết là mọi hề thống đều sẽ bị phá hoại). Theo mình cần tính xem tần suất bị phá hoại (thành công) là bao nhiêu (cái này có lẽ sẽ bao gồm cả Cost of hacking ở bên trong), và thiệt hại trung bình cho một lần phá hoại thành công. Ngoài ra còn phải tính đến lợi nhuận của hệ thống nữa, rồi cân đối cả ba chỉ số: lợi nhuận, COC và COD để tìm ra con số tối ưu cho số tiền đầu tư vào security.
(Cách tình của Minh có điểm bất hợp lý ở chỗ là nếu tính ra được một COC để thỏa mãn COC < a. COH, mà COC lại quá lớn, vượt qua cả lợi nhuận mang lại của hệ thống thì sao.
Thôi viết tạm thế đã, đên giờ lên lớp rồi (lớp .... computer security, hì hì hì, ai tò mò thì vào trang Web của lớp này xem thử:
www.cs.colostate.edu/~cs556)
Nói về hacker thì mình nghĩ có thể chia nhóm này thành hai loại:
- Loại "đầu óc" chỉ chiếm một tỉ lệ rất nhỏ, rất thông minh, nhanh nhạy (tuy rằng tài năng đôi khi ko được dùng đúng chỗ), và là tác giả của các phần mềm crack, hack, worm ... Điều thú vị là dường như phần lớn các hacker loại này chỉ quan tâm đến chuyện làm sao để hack, chứ ko quan tâm mấy đến chuyện dùng các phát minh của mình để hack thật sự.
- Loại chân tay chiếm phần lớn trong giới hacker. Bọn này rất thích phá hoại (có thể là do tò mò, do muốn thể nghiệm nỗi thích thú được thấy người khác bị làm phiền ...), chuyên dùng các sản phẩm do hacker loại trên làm ra để phá hoại. Điều thú vị là bọn này nhiều khi ko hiểu biết gì mấy về các loại công cụ mà mình sử dụng, cho nên cứ dùng đại nhiều tool khác nhau để phá thử, cho đến khi thấy được thì thôi. Phiền một nỗi là các tool như vậy lại quá dễ tìm ở trên net. (Tất nhiên trong các hacker loại "chân tay" cũng có người có thêm được một tí đầu óc, nên họ có thể modify một số loại tool một tí cho thêm màu thêm mè, hoặc gắn vào đó một số "chữ ký" nào đó ...).
Cuối cùng về ý kiến của Phan Nhật Minh thì mình nghĩ như sau:
- Đúng là rất cần một phương pháp để tính toán, đo lường mức độ an toàn của một hề thống, vì hệ thống càng an toàn thì càng phức tạp, và nói chung là càng tốn kém.
- Phương pháp tính toán như vậy (hay là lượng hòa độ an toàn) là chưa có (hay là vẫn còn đang ở mức nghiên cứu).
- Về phương pháp tính của Minh:
+ Cost of construction thì make sense.
+ Cost of hacking thì có nhiều điểm chưa hợp lý: rất khó tình toán được "cost of hacking", bởi vì công cụ hack thì quá nhiều, hơn nữa hacker thường có ưu thế về thời gian, một hệ thống thường bị hack bởi nhiều người, và trong đó có cả yếu tố ngẫu nhiên (thậm chí có người hack thử một vài mạng với cùng một công cụ để xem phá được đâu thì phá), do đó mô hình của Minh có vẻ còn đơn giản quá.
+ Về việc so sánh COC và COH dường như thiếu thiết phục. Theo mình thì nên so sánh COC với một chỉ số về mức độ thiệt hại do bị phá hoại (COD - cost of destruction) (giả thiết là mọi hề thống đều sẽ bị phá hoại). Theo mình cần tính xem tần suất bị phá hoại (thành công) là bao nhiêu (cái này có lẽ sẽ bao gồm cả Cost of hacking ở bên trong), và thiệt hại trung bình cho một lần phá hoại thành công. Ngoài ra còn phải tính đến lợi nhuận của hệ thống nữa, rồi cân đối cả ba chỉ số: lợi nhuận, COC và COD để tìm ra con số tối ưu cho số tiền đầu tư vào security.
(Cách tình của Minh có điểm bất hợp lý ở chỗ là nếu tính ra được một COC để thỏa mãn COC < a. COH, mà COC lại quá lớn, vượt qua cả lợi nhuận mang lại của hệ thống thì sao
.Thôi viết tạm thế đã, đên giờ lên lớp rồi (lớp .... computer security, hì hì hì, ai tò mò thì vào trang Web của lớp này xem thử:
www.cs.colostate.edu/~cs556)
Chỉnh sửa lần cuối: