Trả lời của VFOSSA cho các câu hỏi liên quan đến lỗ hổng bảo mật HeartBleed của OpenSSL

Thứ năm - 17/04/2014 16:55
Trong mấy ngày qua, VFOSSA nhận được một số câu hỏi thắc mắc về lỗ hổng bảo mật HeartBleed của OpenSSL, CLB xin trả lời chính thức như sau:
Hỏi :
Lỗ hổng Heartbleed của OpenSSL (version 1.0.1 – 1.0.1f) không xuất hiện ở các phiên bản cũ hơn. Một số ý kiến cho rằng, lỗi xuất hiện là do OpenSSL quá tham lam, nhồi nhét thêm quá nhiều chức năng, thêm vào đó, bản thân cộng đồng OpenSSL cũng không kiểm soát được việc chỉnh sửa mã nguồn dẫn tới có bug như hiện nay. Quan điểm của VFOSSA như thế nào?

Trả lời :
Câu chuyện đưa thêm các tính năng mới vào là theo nhu cầu sử dụng, không thể từ đó mà suy ra "tham". Các dự án phần mềm nguồn mở như OpenSSL vốn dĩ đã có sự tham gia rất tích cực của những "người sử dụng" và họ là những người đưa ra các yêu cầu về những tính năng mới chứ không phải tự thân đội lập trình.

Chuyện một phần mềm có lỗi là chuyện bình thường (dù không ai mong muốn), quan trọng nhất là với phần mềm nguồn mở, việc phát hiện lỗi/nhận lỗi/sửa lỗi luôn được thực hiện một cách nhanh chóng nhất, đầy đủ nhất.

Phương pháp phát triển phần mềm nguồn mở (FOSS model) là phương pháp phát triển phần mềm ưu việt nhất hiện nay, chính nhờ phương pháp này mà câu chuyện phát hiện lỗi/nhận lỗi/sửa lỗi mới được nhanh chóng và minh bạch như hiện tại, và do đó chắc chắn OpenSSL sẽ tiếp tục là lựa chọn hàng đầu cho bảo mật SSL/TLS.

Hỏi :
Trong mấy ngày qua, giới CNTT thế giới đang sôi sục với lỗ hổng Heartbleed và các hãng công nghệ lớn trên thế giới, kể cả các đơn vị làm trong lĩnh vực bảo mật bao gồm cả phần cứng và phần mềm đều bị ảnh hưởng sâu rộng và có những cảnh báo rõ ràng tới người dùng nhằm hạn chế rủi ro, tuy nhiên các đơn vị trong nước gần như không có động tĩnh gì hoặc chỉ tuyên bố « không chịu ảnh hưởng » và hầu như không có cảnh báo nào tới người sử dụng. Quan điểm của VFOSSA về việc này như thế nào ?

Trả lời :
Có thể có 3 trường hợp xảy ra : một là họ không sử dụng phần mềm nguồn mở nên không bị ảnh hưởng thật, hai là các đơn vị đó họ sử dụng mà không biết, trường hợp thứ 3 là họ biết mà không dám thừa nhận. Dù thế nào thì nó cũng phản ánh thực trạng đáng lo ngại của nền công nghệ thông tin nước nhà bởi trong khi thế giới đang vào cuộc mạnh mẽ với phần mềm nguồn mở (cụ thể trong trường hợp này thì chúng ta đã biết những doanh nghiệp hàng đầu đều sử dụng OpenSSL) thì trong nước không sử dụng phần mềm nguồn mở – tức là chúng ta đang đứng ngoài cuộc đua về công nghệ ; hoặc sử dụng mà không biết – tức là chúng ta không làm chủ được về công nghệ ; hoặc biết mà không dám thừa nhận (tức là chúng ta đang nói dối chính mình). Rõ ràng chúng ta đang thể hiện mình một cách xa lạ với dòng chảy công nghệ của thế giới. Điều này không bình thường và không tốt chút nào nhưng nó hoàn toàn dễ hiểu bởi Việt Nam còn quá xa lạ với phần mềm nguồn mở.

Hỏi :
Một số người cho rằng sự cố Heartbleed của OpenSSL thể hiện rằng phần mềm nguồn mở không tốt bằng phần mềm nguồn đóng. Theo quan điểm của VFOSSA, sự cố Heartbleed của OpenSSL thể hiện điều gì ?

Trả lời:
Rõ ràng là sự cố Heartbleed của OpenSSL đã có ảnh hưởng rộng lớn và nghiêm trọng. Tuy nhiên, qua đó nó cũng cho thấy thế giới đang ứng dụng rộng rãi phần mềm nguồn mở như thế nào vào trong lĩnh vực bảo mật - lực lượng cốt yếu đang bảo vệ cho nền tảng công nghệ của khối chính phủ và ngân hàng.

HeartBleed đã chứng minh cho mọi người sự quan trọng của bảo mật thông tin, nhưng trên hết đó là khả năng ứng cứu, tính hệ thống và tự chủ của mình mới là điều tối quan trọng. Các hãng công nghệ như Google là những doanh nghiệp sử dụng phần mềm nguồn mở nhiều nhất đồng thời chính họ cũng tham gia vào quá trình phát triển, phát hiện và sửa lỗi. Họ đã nhanh chóng tự cứu mình và chia sẻ thông tin một cách khách quan, cởi mở. Các đơn vị đứng ngoài cuộc, không tham gia vào quá trình phát triển phần mềm này thì cập nhật thông tin cũng chậm hơn và phản ứng yếu ớt hơn trước sự cố nghiêm trọng này.

Đây cũng là cơ hội để Việt Nam nhận ra rằng: thế giới đang ứng dụng, phát triển khả năng nguồn mở như thế nào. Như vậy, rõ ràng ở quy mô chính phủ và các doanh nghiệp toàn cầu, phần mềm nguồn mở không quan trọng ở sự miễn phí mà chính là ở sự nắm bắt và làm chủ công nghệ mở.

Hỏi :
Vai trò của phần mềm nguồn mở hiện nay như thế nào ? Theo quan điểm của VFOSSA, Việt Nam cần làm gì để tận dụng cơ hội do công nghệ mở tạo ra và sẵn sàng ứng phó nếu xảy ra sự cố tương tự như Heartbleed trong tương lai.

Trả lời:
Phần mềm nguồn mở ngày nay trở thành một phần trọng yếu của công nghệ thông tin và truyền thông. Bằng công nghệ mở, thế giới thực sự là thế giới phẳng. Phần mềm nguồn mở (chứ không phải các giấy phép độc quyền) mới là công cụ nhanh nhất và tốt nhất để xóa bỏ rào cản tiến tới bình đẳng giữa các quốc gia giàu/nghèo trên thế giới. Với phần mềm nguồn mở, Việt Nam có cơ hội được hiểu, được chia sẻ và được làm chủ công nghệ một cách công bằng như các quốc gia khác. Để nắm bắt cơ hội này, chính phủ phải vào cuộc, bộ GD&ĐT phải vào cuộc để mở đường cho cuộc cách mạng dựa trên sức mạnh của công nghệ mở. Chừng nào học sinh, sinh viên Việt Nam còn chưa được dạy và học về phần mềm nguồn mở, chừng đó chúng ta chưa thể tận dụng cơ hội do công nghệ mở tạo ra và sẵn sàng ứng phó nếu xảy ra sự cố tương tự như Heartbleed trong tương lai.

Cuối cùng, là tổ chức đại diện cho cộng đồng phần mềm nguồn mở ở Việt Nam, VFOSSA sẵn sàng tiếp nhận những yêu cầu và trong khả năng của mình sẽ hỗ trợ hết sức các tổ chức, cá nhân về vấn đề này. Thông tin chi tiết xin gửi về bộ phận truyền thông pr@vfossa.vn hoặc liên hệ trưởng ban truyền thông VFOSSA : ông Nguyễn Thế Hùng , email : thehung@vfossa.vn, ĐT : 0904762534.

Tác giả: BCH VFOSSA

 Từ khóa: heartbleed, openssl

Tổng số điểm của bài viết là: 15 trong 3 đánh giá

Xếp hạng: 5 - 3 phiếu bầu
Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Sự kiện
Bài viết của bạn


Hãy đăng ký/đăng nhập để có thể quản lý bài viết của bạn.
Xem thêm hướng dẫn tại đây!
Thống kê truy cập
  • Đang truy cập32
  • Máy chủ tìm kiếm3
  • Khách viếng thăm29
  • Hôm nay4,887
  • Tháng hiện tại336,299
  • Tổng lượt truy cập32,593,542
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây