• Thứ Sáu, 17/06/2005 14:24 (GMT+7)

    Để phát triển một phần mềm an toàn?

    Đó là nội dung chính được bàn luận tại hội thảo “Web – Hacking & Security” do tập đoàn Aptech phối hợp với Mạng An Toàn Thông Tin (VSEC) tổ chức sáng 15/6/2005 tại Hà Nội. Theo ban tổ chức, đây sẽ là hoạt động thường xuyên (6 lần/năm) nhằm cung cấp cho các lập trình viên những kiến thức về bảo mật, đồng thời cung cấp cho các chuyên gia an ninh những kiến thức bảo mật chuyên sâu.

    Thói quen “chờ phản hồi”
    Con số thống kê làm giật mình các nhà ứng dụng phần mềm: 90% các cuộc tấn công vào phần mềm (PM) đều dựa trên các lỗi đã được biết trước mà nguyên nhân chủ yếu do quy trình phát triển PM của các doanh nghiệp hiện nay vẫn chưa đảm bảo được khâu rà soát lỗi. Theo ông Nguyễn Tất Đắc, trưởng nhóm PM số 8, công ty PM FPT (Fsoft), các PM hiện nay nhan nhản lỗi và các nhà phát triển PM không có khả năng kiểm tra chúng. Ngay cả đối với PM Windows của Microsoft cũng không là ngoại lệ.

    Một con số thống kê khác cho thấy cứ 1000 dòng code sẽ có từ 1-7,5 lỗi. Tuy nhiên, với một quy trình phát triển PM nghiêm ngặt, con số này có thể giảm xuống còn 0,06. Và do đó, một nhà cung cấp PM uy tín phải nắm được con số này và áng chừng số lỗi có trong PM để kiểm tra cũng như cung cấp cho khách hàng các bản vá lỗi. Đương nhiên, một số lượng lớn các lỗi không phải do bên phát triển tự tìm ra mà thường do khách hàng trong quá trình sử dụng đã nhận thấy và báo lại. Lâu nay, các nhà phát triển PM vẫn có thói quen chờ khách hàng phản ánh về các lỗ hổng và sau đó cung cấp cho khách hàng các bản vá lỗi. Mặc dù vậy, ông Đỗ Ngọc Duy Trác, giám đốc điều hành VSEC cho rằng như thế là quá muộn vì cho đến khi có được bản vá lỗi thì rất có thể hệ thống PM của bạn đã bị tấn công.

    Mối quan tâm của khách hàng
    Bảo mật luôn là vấn đề được các khách hàng quan tâm nhiều nhất khi xem xét một PM. Ông Nguyễn Tất Đắc kể lại câu chuyện thực tế tại Fsoft. Trước khi Petronas (Malayxia) quyết định chọn FSoft làm đối tác triển khai hệ thống PM cho tập đoàn này, câu hỏi duy nhất họ đặt ra cho FSoft là các bạn làm thế nào để đảm bảo PM của các bạn được an toàn ngay từ khâu thiết kế?”. Rõ ràng, tính bảo mật của hệ thống phải được tính đến ngay từ khi bắt tay vào thiết kế hệ thống chứ không phải khâu test (kiểm tra) sau khi đã hoàn thiện và trước khi chuyển giao. Có một thực tế tại một số công ty PM là họ không đủ thời gian dành cho việc test; không sử dụng đủ hoặc không nắm hết các công cụ test và không tuân thủ chặt nguyên lý thiết kế.

    Để khắc phục những thiếu sót trên, ông Đỗ Ngọc Duy Trác đưa ra 4 yêu cầu tối thiểu cho việc đảm bảo tính an toàn khi phát triển PM, đó là: Phải có sự hỗ trợ và chỉ định của cấp quản lý cao nhất; Phải có quy định áp dụng cho tất cả quá trình theo đúng tiêu chuẩn khuyến cáo; Phải có phương pháp phát triển ứng dụng an toàn; Quản lý cấu hình chặt chẽ. Còn tại FSoft cũng đang áp dụng một số biện pháp hành chính khá nghiệm ngặt: Mỗi khi hoàn thiện một PM, cả nhóm sẽ tổng kết lại số lỗi, đưa ra cách khắc phục; trước khi bắt tay vào phát triển PM mới, mỗi lập trình viên phải ký vào bản cam kết không lặp lại lỗi; nếu vi phạm sẽ bị phạt bằng tiền. Mặc dù vậy, đây chỉ là biện pháp khắc phục theo kiểu hành chính. Đứng trên góc độ kỹ thuật, VSEC đã và đang đưa ra nhiều khóa đào tạo về bảo mật, trong đó cung cấp cho các học viên những công cụ để kiểm tra lỗi cũng như các cách phòng thủ hiệu quả. Thông tin chi tiết về các khóa học tại VSEC có thể xem tại địa chỉ http://www.security.com.vn

     

    "Điểm khác biệt giữa các khóa đào tạo về bảo mật ở VSEC và các trung tâm đào tạo khác là VSEC lấy việc tương tác trực tiếp với học viên làm trọng tâm. Thầy và trò giống như những người bạn. Các học viên sẽ được biết các kỹ thuật tấn công của Hacker, kỹ thuật kiểm tra lỗi, kỹ thuật đánh giá mức độ an toàn... VSEC không dùng chứng chỉ làm yếu tố để thu hút người học và việc thi để cấp chứng chỉ ở đây khó hơn rất nhiều. Muốn lấy được chứng chỉ, sau khóa học, người học phải làm một công trình nghiên cứu nhỏ trong lĩnh vực bảo mật, công trình này phải có giá trị thực tế, đóng góp cho cộng đồng. Ngoài ra, phải vượt qua một kỳ thi để lấy điểm" - ông Phùng Anh Tuấn, giám đốc kỹ thuật VSEC cho biết.

    Bằng Linh

    ID: O0506_1