Zing News - Tri thức trực tuyến

M

Tại sao một công ty công nghệ có thể bảo vệ mã nguồn mở trong khi một ngày có biết bao nhiêu là nhân viên truy cập vào

Việc bảo vệ mã nguồn mở cũng chính như việc bảo vệ an ninh quốc gia vậy, mọi thông tin về mã nguồn mở chính là xương sống của công ty, nếu để lộ ra ngoài ắt hẳn sẽ bị những công ty khác biết hết những công nghệ của công ty mình, điều này ảnh hưởng lớn đến việc kinh doanh và danh tiếng của công ty, tuy nhiên ở những công ty công nghệ lớn một ngày có đến hàng trăm lập trình viên truy cập vào nên việc các lập trình có thể dễ dàng đánh cắp là việc dễ dàng. Vậy tại sao họ lại không làm vậy?

Thứ nhất, trong hợp đồng lao động của họ có ghi rõ ràng là mọi hoạt động trong công ty không được để lộ ra ngoài kể cả khi nghỉ làm đi chăng nữa, nếu nhân viên để lộ những thông tin trong công ty cho các đối thủ biết thì hình phạt dành cho những nhân viên này là rất nặng, có thể bị truy cứu trách nhiệm hình sự, vì thế mà mã nguồn mở là một trách nhiệm lớn đối với mỗi lập trình viên.
Tại sao các lập trình viên không ăn cắp mã nguồn mở


Tiếp theo, mã nguồn mở không phải là thông tin mà có thể dùng những lệnh đơn giản như “copy – paste” để có thể đánh cắp, nó đã được cá nhân hóa để chỉ chạy trên một hệ thống nhất định nào đó. Hay nói cách khác, nếu muốn ăn cắp mã nguồn thì chúng ta cần phải ăn cắp thêm hệ thống giải mã, cơ sỡ dữ liệu, các phần cứng liên quan, máy chủ, v.v... Ngoài ra, các hệ thống này đều có 'rào chắn' bảo mật riêng, bất kỳ hoạt động thao tác trên mã nguồn đều được hệ thống ghi lại một cách cẩn trọng.

Ngoài ra ở các công ty công nghệ lớn sẽ trang bị cho nhân viên rất nhiều máy tính riêng và hạn chế tối đa việc để họ mang về nhà, điều này cũng dễ hiểu để tránh trường hợp mất máy tính và bảo mật tài sản của công ty, không chỉ có thế những hệ thống liên quan đến mã nguồn mở được gắn camera an ninh, chỉ những nhân viên có nhiệm vụ của công ty mới được thao tác vào.
Đây là một công việc không phải đơn thuần ai cũng có thể làm được

Từ đó có thể thấy việc đánh cắp mã nguồn mở của công ty không hề là chuyện đơn giản, nó không thể thực hiện bằng một cá nhân mà phải bằng nhiều công đoạn khác nhau và nhiều người cùng thực hiện.

95% MÁY CHỦ HTTPS CÓ KHẢ NĂNG BỊ TẤN CÔNG

Theo báo cáo bảo mật của hãng Netcrafchỉ có 5% máy chủ hiện nay được cài đặt HSTS (HTTP Strict Transport Security), đồng nghĩa với 95% còn lại sẽ đứng trước nguy cơ bị tấn công trong quá trình kết nối giữa server và client. Giới hacker hẳn sẽ rất vui khi biết được thông tin này, vì những phương thức phishing, pharming và man-in-the-middle (MiTM) sẽ giúp họ dễ dàng tấn công người dùng khi họ vô tình truy cập một trang web an toàn qua HTTP.

95% MÁY CHỦ HTTPS CÓ KHẢ NĂNG BỊ TẤN CÔNG

HSTS là một tính năng bảo mật cho phép một website thông báo cho các trình duyệt chỉ nên giao tiếp bằng giao thức HTTPS an toàn thay vì HTTP. Bằng cách thêm một cờ (flag) vào phần header mà một trình duyệt web nhận được khi gửi yêu cầu tới máy chủ, HSTS đảm bảo rằng tất cả kết nối sau đó tới một website được mã hóa bằng giao thức HTTPS và ngăn chặn hacker sử dụng chứng chỉ số không hợp lệ.

Như vậy, 95% website hiện tại không cài đặt HSTS có thể bị tấn công khi người dùng kết nối qua HTTP thay vì HTTPS hoặc website đó hỗ trợ cả hai giao thức. Ngoài ra, những website sử dụng dịch vụ HTTP để chuyển hướng người dùng đến địa chỉ HTTPS tương ứng cũng đứng trước nguy cơ bị khai thác qua phương thức man-in-the-middle.

Đơn giản vì khi người dùng nhập URL không chứa https://, trình duyệt sẽ thực hiện kết nối HTTP không được mã hóa trước khi chuyển tiếp - hacker sẽ khai thác lỗ hổng trong quá trình này.
Máy chủ

Với những website đã được cài đặt HSTS, trình duyệt sẽ chỉ kết nối qua HTTPS - ngay cả khi người dùng không gõ HTTPS khi truy cập URL. Việc cấu hình HSTS cũng khá đơn giản đối với Apache2, Nginx và Lighttpd. Dưới đây là hướng dẫn cài đặt đối với nginx 1.1.19, Lighthttpd 1.4.28, Apache 2.2.22 trên Ubuntu 12.04, Debian 6 & 7 và CentOS 6 

Khắc phục lỗi này

Apache

Thêm đoạn mã sau vào cấu hình trong Virtual Host trên port 443

# Optionally load the headers module:

LoadModule headers_module modules/mod_headers.so

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Cấu hình việc tự chuyển từ HTTP sang HTTPS trong cấu hình Virtual Host trên port 80

[...]

RewriteEngine On

RewriteCond %{HTTPS} off


RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Khởi động lại Apache

Thêm đoạn mã sau vào cấu hình của Lightup

server.modules += ( "mod_setenv" )

$HTTP["scheme"] == "https" {

setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload")

}

Thêm đoạn mã sau vào cấu hình của Nginx(ví dụ /etc/nginx/nginx.conf)

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

Ngày ATTT 2015 khi nào sẽ được tổ chức?

ATTT 2015 là từ viết tắt cho ngày an toàn thông tin Việt Nam lần thứ 8, dự kiến sẽ được tổ chức vào tháng 11 năm nay tại hai thành phố lớn Hà Nội và Hồ Chí Minh

Theo đại diện Ban tổ chức, tại TP.HCM, sự kiện Ngày An toàn thông tin Việt Nam lần thứ 8 do Sở TTTT và Chi hội An toàn Thông tin phía Nam (VNISA phía Nam) cùng phối hợp tổ chức có chủ đề “Xu hướng phá hoại tàn khốc của tấn công mạng hiện đại”. 


Thứ trưởng Bộ TTTT Nguyễn Minh Hồng phát biểu tại Ngày ATTT 2014.

Hội thảo “Ngày An toàn thông tin Việt Nam” cũng là dịp thể hiện sự gắn kết giữa Nhà nước – Xã hội – Doanh nghiệp trong việc tăng cường công tác An toàn thông tin (ATTT), chia sẻ những kiến thức, kinh nghiệm bảo mật tiên tiến nhất.

Ngày ATTT 2015 bắt đầu với cuộc thi “Sinh viên với An toàn thông tin” lần thứ 8 dành cho sinh viên các học viện, trường đại học, cao đẳng trên toàn quốc do VNISA phối hợp cùng Bộ Giáo dục và Đào tạo tổ chức.

Cuộc thi là một phần quan trọng của Ngày ATTT nhằm phát hiện, bồi dưỡng nguồn nhân lực trẻ có chuyên môn giỏi trong lĩnh vực ATTT. Với sự tham gia của 24 trường - viện, cuộc thi sẽ đuợc tổ chức vào ngày 6/11/2015 tại Đại học CNTT - Đại học Quốc gia TP.HCM.

Hội thảo chính “Ngày An toàn thông tin Việt Nam”được tổ chức vào ngày 19/11/2015 tại khách sạn New World, TP.HCM.

Chương trình hội thảo được chia ra làm hai phần chính: 

• Buổi sáng: Báo cáo thực trạng ATTT khu vực phía Nam sẽ do Chi hội ATTT phía Nam trình bày. Tiếp theo là các báo cáo chính về giải pháp ATTT của các nhà cung cấp giải pháp, dịch vụ ATTT hàng đầu thế giới, các vấn đề thời sự ATTT. Sau cùng là giao lưu trao đổi giữa các nhà quản lý Nhà nước và chuyên gia ATTT về tình hình ATTT, định hướng chiến lược ATTT…

• Buổi chiều: Có 3 phiên chuyên đề: (1) ATTT cho IoE, di động và mạng không dây; (2) Mã độc và tấn công có chủ đích (APT), (3) An ninh cho cơ sở hạ tầng công cộng.
Nguồn: Pcwold

>>> Từ khóa liên quan :
  • ngày an toàn thông tin
  • ngày an toàn thông tin việt nam
  • ngày an toàn thông tin 2010
  • toàn thông tin việt nam 2009
  • tin an toàn giao thông
  • an toàn giao thông thông minh
  • an toàn giao thông nghệ an
  • ngày attt 2015