[ICTNews] Bắt buộc cơ quan Nhà nước dùng phần mềm nguồn mở

Thím ấy là chỉnh ủy nên ủng hộ tự do dân chủ. Mấy chú theo MS là theo tư bản giãy chết đấy
Cãi bên Voz chưa xong còn đem qua đây nữa

 

Thúc đẩy mấy trường đại học đào tạo sinh viên nghiên cứu và phát triển phần mềm mã nguồn mở trong thời gian ngắn sắp tới, sau đó kết quả có khả quan hay không thì hẵng tính bước tiếp theo. Giờ tự dưng đùng một cái bắt thay hết bằng mã nguồn mở thì đó là thất sách.

Mã nguồn mở được cái lợi lớn lao nhất là chi phí sử dụng gần như không có, hoặc nếu có thì cũng rất ít. Nhưng bù lại cái lợi đó thì biết bao thứ phải nói mà cái đáng nói nhất là bảo mật. Đã mở thì bất kì ai cũng có thể tiếp xúc với nó được, kể cả tụi hacker. Vài người dùng nhỏ lẻ thì nó chẳng thèm để ý tới, giờ nếu như nó phát hiện ra cả bộ máy, cả tập đoàn đều xài mã nguồn mở thì chắc chắn nó sẽ nghiên cứu kỹ cái đó và chuyện tìm ra lỗ hổng chỉ là vấn đề thời gian thôi. Một công ty với vài chục nhân viên văn phòng chẳng biết gì về IT, thêm một anh IT chỉ lo cài win, sửa mấy lỗi nho nhỏ thì khi sự cố xảy ra chắc khỏi đỡ.

 

dùng openoffice và libreoffice cộng thêm thunderbird trong công việc, kết luận chung là như sh!t, lâu lâu nó dính cái crash mất mẹ hết mọi thứ (không recovery được bằng mọi cách). Cơ mà dùng quen rồi nên giờ cũng biết làm thế nào để không bị crash nữa

 

Theo tui biết thì giá cả windows, windows server, sql server, office cho khối giáo dục, chính phủ cực kỳ rẻ, bằng 1/4 so với tư nhân và khối doanh nghiệp có tính chất nước ngoài, nhưng hầu hết khi mua thì kê giá lên bằng 1,5 tới 2 lần so với giá tư nhân và khối doanh nghiệp có tính chất nước ngoài mua

 

: facepalm:

 

Cho lời giải thích

 

Thực ra non-developers cho rằng hackers dựa vào mã nguồn công khai thì sẽ dễ dàng tìm lỗ hổng để phá hơn thì cũng đúng. Nhưng thực tế thì attackers chả bao giờ xem mã nguồn để phá hoại.

Hiểu đơn giản thì, có 2 cái cần thống nhất:
1. Phá bao giờ cũng dễ hơn xây. Viết 1 PM đã tốn nhiều công sức, 1 PM có độ bảo mật tương đối cao còn tốn nhiều công sức hơn. Nhưng attackers chỉ cần tìm thấy 1 điểm yếu duy nhất là dc. Nếu nó dc fix, lại tìm 1 lỗ hổng nhỏ lẻ khác, ko cần phải hiểu hoàn toàn PM, chỉ cần hiểu cách PM đấy dc bảo mật ntn

2. Thông thường có thể nhóm 2 cách tìm lỗ hổng là dynamic và static. "Static" tĩnh là kiểu dùng các decompiler để dịch ngược mã nguồn hoặc dùng machine code(ngôn ngữ assembly). Với open source thì dĩ nhiên ko cần. Cách này rất tốn thời gian và thường chỉ hỗ trợ cho "dynamic" động, là chạy và gửi/nhập dữ liệu xem có xuất hiện lỗi ko. Cách này là cách chính và dễ dàng để tìm ra lỗ hổng bảo mật

Cho nên việc là nguồn đóng hay nguồn mở ko có khác biệt về cách thức tìm lỗ hổng, nhưng nguồn mở lại bảo mật cao hơn nguồn đóng vì luôn được công khai mã nguồn nên lỗi được fix rất nhanh. Những người tìm ra lỗi chính là các developers muốn tái phân phối hoặc làm phiên bản phái sinh, ko phải hackers phá hoại. Điểm yếu duy nhất hiện nay trong vấn đề này là support chủ yếu từ cộng đồng, chưa có 1 dịch vụ riêng cho việc patch hộ

Muốn hiểu rõ thì chỉ cần tự code+compile 1 phần mềm có secure đơn giản, rồi tự hack chính nó sẽ hiểu

 

^
Nếu có 1 thằng nào làm dịch vụ rồi thu tiền thì nó còn được coi là mở ko bro?

 

Tui cũng là dân IT cơ mà. Nói tụi hacker tìm ra lỗi đa phần nhờ kiểm thử đơn vị là đúng rồi, nhưng đã nói ở trên là đây là phần mềm mã nguồn mở, hacker dễ dàng tiếp cận mã nguồn - cũng là một cách để tìm ra lỗi - mà nếu như đó là phần mềm bản quyền thì rất khó mà thực hiện.
So với vấn đề nổi trội nhất là bảo mật thì nó thế. Ngoài ra còn nói tới chuyện mấy giai đoạn trong chu kỳ sống phần mềm như phân tích, thiết kế, kiểm thử, bảo trì,... thì khó lòng mà chỉnh chu như phần mềm có bản quyền được.

 

Mở hay không không liên quan đến phương thức kinh doanh.

 

open source hay ko ko wan trọng, quan trong là nó làm cái patch chọt 1 dòng code vào đó nhiều khi cũng hốt sạch thông tin về cho nó. và Osource theo mình dễ hơn .

 

Thế liên quan đến cái gì ?

 

liên quan đến code ở bên trong cái phần mềm đó, open source thì code ko bị đóng kín, người khác có thể nhìn thấy nó, coi xóa, chỉnh sửa tùy ý :)

 

Nếu vậy phải chửi thằng quản lý ngu vì tội chấp nhận code từ nguồn không đảm bảo mà lại không thèm kiểm tra.

 

uhm mà mình đang nghĩ vd có thằng nào trà trộn vào nó patch 1 phát vào hay đóng vai ai ti ở các cty nhà nước ( cậu biết "ai ti" ở cty nhà nước là sao rồi chứ gì), vào patch từng phòng thì ăn c*t luôn hệ thống

 

Quan điểm của mình thế này:
Thường thì open source muốn xài trong một tổ chức lớn cỡ - 50 người trở lên - thì ít gì tổ chức đó cũng phải có một đội ngũ IT rành hết mọi ngóc ngách về open source thì mới làm chủ được phần mềm đó. Hoặc chí ít cũng là phải lấy từ một tổ chức IT có tiếng trong nước, nghèo nàn hơn nữa thì lấy trực tiếp từ cộng đồng mạng. 2 cái đầu thì Việt Nam mình còn hiếm hoi lắm. Cách cuối cùng thì chỉ phù hợp cho các tổ chức kinh doanh nhỏ lẻ, hoặc nghiên cứu học tập phi lợi nhuận, tổ chức lớn mà lấy về xài thì chỉ có nước ra đi.

 

Mình cũng làm cái website cho ĐTN phường, làm xong họ yêu câu mình giao source với lý do tiện việc chỉnh sửa và update thông tin, mình thấy cũng chả quan trọng với lại làm bằng Joomla nên giao hết. Kết quả là bây giờ kêu mình quản lý cái website đó tiếp . Chưa hết giờ lại còn bảo mình viết 1 cái phần mềm quản lý mới hãi

 

Kịch bản khả thi nhất là như thế này:
(I) Đối phương kéo source về, tự đọc hiểu, tự viết lại source thành một version có chứa mã độc, vẫn đảm bảo khi build xong chương trình sẽ (0)chạy được (1)bình thường trên hệ điều hành bị tấn công và (3)không phá vỡ một cái dependency nào đấy. Cái này khả thi
(II) Đối phương build cho từng kiến trúc của từng máy của cơ quan. Cái này cũng khả thi, mỗi tội mất thời gian
(III) Hoặc đối phương mang chương trình đã build đến từng máy một và cài vào hệ thống thay cho chương trình cũ, hoặc y diff 2 chương trình rồi patch vào chương trình máy cơ quan. Ờ thì cái này trên phần lớn các hệ điều hành mã nguồn mở nghĩa là phải được phân quyền.
Cao nhân nào giàu trí tưởng bở hơn nghĩ xem có kịch bản nào kịch tính hơn không ạ

 

^Sao phải build từng phần mềm làm gì, build hẳn 1 OS có cửa sau, đánh tráo với OS gốc rồi ngồi nhà mà rung đùi thôi

 

mình thì cứ vào 1 phòng ban, cài vào mấy cái nút submit ném cả 1 cục data về email a@bc or upload lên 1 server của mềnh ở ngoài thì tha hồ rao bán thông tin .
mình là mình áp dụng vào cái cục thuế ấy, data xuất - nhập bán hơi bị kinh đấy, bọn hải quan bán hơi chạy nhá.