Sáu ý tưởng dại dột trong bảo mật máy tinh

http://www.ranum.com/security/computer_security/editorials/dumb/


1.      Default Permit - Giấy phép mặc định.
Default Permit là một chính sách, trong đó nó cho phép chạy những gì mà nó không cấm, trong những hoạt động mà người quản trị đặt ra. Nhà quản lý mạng sẽ ra quyết định tắt đi một số dịch vụ mà họ nghi ngờ là có thể bị tấn công bằng con đường đó. Điều này dẫn đến một cuộc chạy đua giữa hacker và nhà quản lý mạng. Do nhà quản lý mạng luôn phải đi trước những gì hacker biết và lường trước được những phương cách mà hacker có thể tấn công, điều này là không thể. Một điều dở của Default permit là sự yếu ớt trước sự tấn công bằng trojan, virus và worm, vì những chương trình này có khả năng tấn công từ bên trong hệ thống, sau khi nó đã vào được hệ thống bằng một lỗ hổng nào đó mà hacker tìm thấy. Một cuộc đua bất tận giữa hacker và nhà quản lý mạng.
2.      Enumerating Badness - Liệt kê những thứ có hại
Vào những ngày đầu của bảo mật máy tính, có rất ít lỗ hổng có trên hệ thống, hoặc người ta biết chỉ có khoảng 15 lỗ hổng, nên việc áp dụng default permit có thể dễ dàng áp dụng và tỏ ra hiệu quả, từ đó người ta xuất hiện một thói quen là liệt kê những thứ có thể gây hại cho hệ thống.
Nhưng với thời gian hiện tại, những thứ có hại, những phần mểm mang mã độc chiếm lợi thế so với những thứ ngăn chặn chúng. Ví dụ với một gói cập nhật virus của một chương trình anti virus bất kỳ, chỉ có thể chứa khoảng 75000 mẫu mà người ta nhận biết dược, trong đó có thề có hơn số lượng đó virus, malware được sinh ra.

3.      Penetrate và Patch – Xâm nhập và vá

Nội dung của ý tưởng là bạn sẽ tìm ra các lỗ hổng bảo mật trong hệ thống của mình và sửa nó lại để tránh sự tấn công của các hacker.Tác giả cho rằng ý tưởng này sai ở chỗ nó không làm tối ưu hệ thống của bạn từ lúc xây dựng mà sửa đổi trong quá trình sử dụng bằng cách thử lỗi và sửa.

“Penetrate và Patch” có thể thấy ở nhiều nơi,và nó vẫn là 1 xu hướng hiện nay,công bố lỗ hổng và cập nhật bản vá.Tác giả cho rằng các nhà sản xuất cần phải tối ưu sản phẩm của mình thay vì đưa ra ứng dụng mà vẫn tồn tại những lỗ hổng trong nó. Điều này sẽ hạn chế việc bị tấn công bởi lẽ các lỗ hổng có thể được các tin tặc khai thác trước khi có người tìm thấy và báo lại cho nhà sản xuất.

4.      Hacking is cool -Việc hack là tốt
Bằng cách nào để bạn hạn chế bị tấn công.Tìm cách phân tán dữ liệu quan trọng của mình ở nhiều nơi,theo học các khóa về cách thức tấn công của hacker  để giúp phòng tránh các hacker.
Tác giả cho rằng đó là một điều sai lầm,bởi lẽ các hacker có rất nhiều cách và phương thức để tấn công vào một hệ thống.Vì vậy người quản trị tự đặt mình vào một cuộc chạy đua thời gian với hacker về vấn đề này.Người quản trị mạng phải hiểu được hết các cách thức tấn công của hacker để rồi đưa ra biện pháp phòng chống.
Ý tưởng này cũng như ý tưởng ở trên. Đều nhằm mục đích tìm các lỗ hổng trong hệ thống của mình bằng cách đặt vị trí của mình là hacker.
5.      Educating Users – Giáo dục những người sử dụng
Ý tưởng “Penetrate và Patch” có thể áp dụng cho con người.Như chúng ta đã biết,việc tấn công hệ thống dựa vào những lỗi do người dung thường dễ dàng hơn rất nhiều.
Tuy nhiên chúng ta không thể thay đổi người dung,không thể biết hết người dung mắc phải sai lầm khi nào để có thể chỉ dẫn họ sửa đổi.
Tác giả cho rằng thay vì giáo dục để sửa đổi các lỗi của người dung,hãy dạy họ tự ý thức bảo vệ mình.Lúc đó họ sẽ suy xét các việc mình làm và tự thấy việc mình làm có thể có những tác hại như thế nào.
6.      Action is better than inaction – Hành động là tốt hơn không hành động
“Thật dễ dàng để không làm một hành động ngu ngốc hơn là làm một hành động thong minh”
Tác giả cho rằng bạn không nên làm một điều gì đó mà bạn không chắc chắn.Cũng như những ý tưởng ở trên,mọi người có xu hướng “thử -> sửa” hơn là cố gắng để tạo ra những sản phẩm hoàn thiện.Tác giả thì cho rằng bạn có thể không làm gì nếu bạn không chắc chắn. Điều này có thể tránh cho bạn những sai lầm,cũng như thiệt hại có thể có.
SHARE

Milan Tomic

Hi. I’m Designer of Blog Magic. I’m CEO/Founder of ThemeXpose. I’m Creative Art Director, Web Designer, UI/UX Designer, Interaction Designer, Industrial Designer, Web Developer, Business Enthusiast, StartUp Enthusiast, Speaker, Writer and Photographer. Inspired to make things looks better.

  • Image
  • Image
  • Image
  • Image
  • Image
    Blogger Comment
    Facebook Comment

0 comments:

Post a Comment