HỘI THẢO AN NINH BẢO MẬT 2009 – SECURETY WORLD 2009
Hà Nội 24- 03- 2009

Phần mềm tự do nguồn mở và vấn ñề
an toàn an ninh thông tin

Vụ Công nghệ thông tin
Bộ Thông tin và Truyền thông


Nội dung
Tổng quan về phần mềm tự do nguồn mở (PMTDNM)
Xu hướng PMTDNM trên thế giới
Vì sao xu hướng PMTDNM trở nên mạnh mẽ
PMTDNM và an toàn an ninh thông tin
Kết luận


Tổng quan về phần mềm tự do nguồn mở
Phần mềm tư do nguồn mở (PMTDNM) là phần mềm mà mã nguồn ñược
mở cho tất cả mọi người có thể xem xét, nghiên cứu, không bị ràng buộc
vào các công nghệ ñộc quyền, và mọi người ñược tự do sử dụng, sao
chép, chỉnh sửa, cải tiến, phân phối miễn phí hoặc bán lại.
Với PMTDNM mọi người ñều có quyền tự do:
− Sử dụng (chạy) PM với bất kỳ mục ñích gì;
− Sao chép và phân phối miễn phí hoặc bán lại cho bất kỳ ai
− Truy cập mã nguồn, nghiên cứu, xem xét, sửa ñổi, nâng cấp và phát
triển theo nhu cầu;
− Phân phối lại bản chỉnh sửa, cải tiến mã nguồn một cách tự do.
− Không phải xin phép và trả tiền bản quyền cho những người phát triển
trước ñó

Những quyền này ñược thể hiện rõ trong giấy phép PMTDNM. Có rất
nhiều loại giấy phép PMTDNM khác nhau, nhưng hầu hết ñều trao các
quyền tư do cơ bản cho cộng ñồng.


Mô hình phát triển PMTDNM
Cộng ñồng
PMNM
Lập trình viên
Lập trình viên
cao cấp

Mã
ng

Cải tiến mã nguồn và thẩm ñịnh: người dùng
như lập trình viên

Thông báo lỗi

Lưu giữ

uồn

→

Phân phối
Người dùng

• Người dùng PMTDNM thường không trả phí bản quyền

• Người dùng PMTDNM thường trả chi phí dịch vụ ñào tạo và hỗ trợ
• Người dùng PMTDNM cũng chịu trách nhiệm phát triển các bản
cải tiến, nâng cấp và thẩm ñịnh các chức năng họ cần; họ có thể hợp tác
hoặc thuê người khác làm việc này.


Tổng quan về phần mềm tự do nguồn mở
PMTDNM không có nghĩa là miễn phí:
− Mọi người hoàn toàn có quyền bán PMTDNM (thực tế có nhiều công
ty kinh doanh dựa vào việc tập hợp, dịch chương trình và bán
PMTDNM)
− Tuy nhiên, vì những quyền tự do nêu trên, người dùng lúc nào cũng dễ
dàng có ñược PMTDNM bằng cách tải về từ Internet hay coppy của
người khác một cách hợp pháp => ít người muốn bỏ nhiều tiền ñể
mua PMTDNM. Do vậy, hầu hết PMTDNM thường ñược miễn phí bản
quyền.
Trái ngược với PMTDNM, phần mềm nguồn ñóng (PMNð) ñược kinh
doanh dựa vào việc bán bản quyền của phần mềm, bản thân PMNð là
một hộp ñen bị rào chắn, ngăn cản bởi những quy ñịnh ngặt nghèo của
giấy phép bản quyền, trong ñó người sử dụng bị ràng buộc, giới hạn
quyền sử dụng PM vào 1 số mục ñích nhất ñịnh, và thường bị cấm không
ñược truy cập mã nguồn ñể xem xét cách nó vận hành, không ñược chỉnh
sửa hay cải tiến, và cấm sao chép cho người khác.


Tổng quan về phần mềm tự do nguồn mở
Tại sao lại có những người viết phần mềm ñể cho không? Câu trả lời là vì
họ muốn kiếm tiền hoặc vì sở thích.
Nhiều người kiếm ñược tiền nhờ vào PMTDNM mà họ viết. Những
công ty lớn như Red Hat hay MySQL chẳng hạn, họ kiếm tiền bằng

cách cho không sản phẩm của họ (và bán dịch vụ hỗ trợ sản phẩm ñó).
Và họ nhận ra rằng họ kiếm ñược nhiều tiền hơn là nếu bán sản phẩm
ở dạng phần mềm bản quyền
Một số người chỉ muốn phần mềm của họ ñược phổ biến rộng rãi.
Nhiều người thích sống trong sự tự do. Họ ñóng góp vào PMTD ñể họ
có thể sống mãi trong tự do. Một số người thì viết PMTD cho vui. Họ
thích viết chương trình và muốn dùng kỹ năng ñó ñể làm chuyện có
ích.
Những người ñầu tư ñể phát triển PMTDNM không kiếm tiền từ việc bán
giấy phép (bản quyền), mà họ kiếm tiền bằng cách bán dịch vụ hỗ trợ sản
phẩm => Kinh doanh PMTDNM là một mô hình kinh doanh mới, dựa trên
dịch vụ hỗ trợ, không dựa trên phí bản quyền.


PMTDNM ñang trở thành xu hướng trên thế giới
PMTDNM không chỉ là lựa chọn của các nước nghèo, các nước phát triển như
Anh, ðức, Pháp, Châu Âu, Canada và cả Mỹ cũng lựa chọn sử dụng
PMTDNM trong rất nhiều lĩnh vực
Rất nhiều quốc gia, vùng lãnh thổ tuyên bố ủng hộ PMTDNM: xu hướng tiếp
cận FOSS gia tăng từ 45.3% năm 2007 lên 54% năm 2008. Cụ thể Pháp
65.4%, Bắc Mỹ 53.5% và ðức 48.6%.
Nhật Bản, Hàn Quốc, Trung Quốc ñã hình thành liên minh phát triển
PMTDNM, và Việt Nam cũng ñã bắt ñầu tham gia liên minh này (Aseanux)
Câu lạc bộ các Trung tâm PMTDNM Châu Á với sự hỗ trợ của Nhật Bản ñang
hoạt ñộng mạnh
Ngày càng nhiều tập ñoàn ICT lớn ủng hộ PMTDNM (Intel, IBM, Motorola,
Sun, Google, Yahoo v.v…)
Nhiều hãng máy tính hàng ñầu ñã cài sẵn các ứng dụng PMNM trên máy PCs
ñể bán: Dell, HP, Lenovo, Acer, Toshiba, Asus, OLPC, Classmate PC,
Netbook...

Sản phẩm PMTDNM ngày càng hoàn thiện, ña dạng và thân thiện hơn: Cho
máy chủ (hệ ñiều hành và các ứng dụng); Cho hệ quản trị cơ sở dữ liệu; Cho
máy tính ñể bàn (hệ ñiều hành và các ứng dụng)
Các tài liệu PMTDNM ngày càng nhiều và ñơn giản, dễ hiểu, với nhiều thứ
tiếng


Xu hướng tăng trưởng của thị trường Linux


PMTDNM tăng nhanh trong thị trường máy chủ mạng


Tăng trưởng thị trường máy chủ mạng

GNU/Linux
(28.5%)
Window s
(24.4 %)
Sun
(17.7%)
BSD (15%)
IRIX (5.3%)

2007

2001


Mức ñộ hoàn thiện của PMNM

và sự chấp nhận của thị trường

Phân tích của Forrester về
mức hưởng ứng dùng FOSS
trong doanh nghiệp tại Châu
Âu chiếm tỷ lệ: ðức 51%,
Anh Quốc 43%, Pháp 42%
và 40% là Bắc Mỹ.


Vì sao xu hướng PMTDNM ngày càng mạnh mẽ
Tăng lựa chọn cho người dùng, ñồng thời giảm áp lực bản quyền
− Thói quen khiến nhiều sản phẩm PMNð gần như trở thành ñộc quyền. Thúc
ñẩy PMTDNM cho phép người dùng có thêm sự lựa chọn về phần mềm
− Là công cụ hữu hiệu ñể các quốc gia có thể ñàm phán, mặc cả với các tập
ñoàn cung cấp phần mềm lớn

Tránh phụ thuộc nhà cung cấp ñộc quyền
− ðặc thù của phần mềm khác với các sản phẩm truyền thống: tính liên kết - phụ
thuộc lẫn nhau (ứng dụng và hệ ñiều hành, các ứng dụng liên quan)
− Sự phụ thuộc xảy ra trên nhiều phương diện:
Thói quen người dùng
Ràng buộc bởi giấy phép
Tình hình hoạt ñộng kinh doanh của nhà cung cấp: Nếu nhà cung cấp thay ñổi
SP, công nghệ, các ứng dụng cũng phải thay ñổi theo; Nếu nhà cung cấp phá
sản => rắc rối lớn

− PMTDNM cho phép tránh sự phụ thuộc:
Tự do can thiệp, sửa ñổi, làm chủ công nghệ, sản phẩm
Người dùng chủ ñộng lựa chọn tiếp tục duy trì PM hoặc nâng cấp, chỉnh sửa

theo yêu cầu
PM, không phải phụ thuộc theo nhà cung cấp sản phẩm


Vì sao xu hướng PMTDNM ngày càng mạnh mẽ
Thúc ñẩy phát triển công nghiệp phần mềm trong nước
− Dùng phần mềm nước ngoài => chi phí bản quyền là trả cho nước ngoài; Dùng PMNM
=> chi phí dịch vụ chủ yếu trả cho doanh nghiệp trong nước
− Các DN có cơ hội phát triển, làm chủ và cung cấp các sản phẩm PMNM ra thị trường

Xu hướng phần mềm như dịch vụ (SaaS)
− Theo dự báo của Gartner: phần mềm hướng dịch vụ (SaaS) sẽ chiếm ít nhất 1/3 thị
trường vào năm 2012; 50% người dùng laptop sẽ chuyển sang dùng các thiết bị thông
minh với các ứng dụng dịch vụ trên WEB.
− SaaS ñược phát triển dựa trên hạ tầng cơ sở cho kiến trúc hướng dịch vụ (SOA) - nền
tảng của ñiện toán ñám mây.
− Dự báo 80% các ứng dụng dịch vụ sẽ dựa vào PMTDNM. Với khả năng sẵn sàng và các
quyền tự do, lựa chọn nguồn mở ñược xem là sự thông minh nhất.

Chuẩn mở
− Các tập ñoàn phần mềm thường ñưa ra các chuẩn riêng của mình => khách hàng phụ
thuộc vào nhà cung cấp
− Chuẩn mở là chuẩn ñã ñược công bố, ñược chấp thuận trên cơ sở một qui trình ra quyết
ñịnh mở, do một tổ chức phi lợi nhuận quản lý
− Chính sách truy cập tự do, không có hạn chế về việc sử dụng chuẩn, giá thành sử dụng
thấp và không có khó khăn khi tiếp cận
− Chuẩn mở tương thích với hầu hết các ñịnh dạng dữ liệu và giao thức mạng, ñem lại lợi
ích tương hợp các hệ thống thông tin, cho phép trao ñổi tốt hơn dữ liệu, thuận lợi trong
nâng cấp, mở rộng



Vì sao xu hướng PMTDNM ngày càng mạnh mẽ

và trên hết, yếu tố quan trọng dẫn ñến xu
hướng PMTDNM ngày càng phổ biến là vì
ðỘ TIN CẬY và
AN TOÀN AN NINH


Các dự án PMTDNM lớn có ñộ tin cậy rất cao
Một số người nghi ngờ PMTDNM ñược phát triển bởi những lập trình viên
nghiệp dư? Và chất lượng sản phẩm thường thấp? Hoàn toàn không phải:
Hầu hết các sản phẩm PMTDNM phổ biến ñược hình thành từ những dự
án ñược ñầu tư quy mô, nhiều dự án ñược chủ trì bởi những tập ñoàn
CNTT hàng ñầu thế giới như IBM, Intel, Sun, Red Hat, Novell …
Quy trình phát triển PMTDNM là công khai và rất rõ ràng, nếu mã phần
mềm của một người nào ñó muốn vào ñược một dự án PMTDNM, nó sẽ
ñược xem xét rất kỹ lưỡng bởi nhiều người, những ñoạn mã nghiệp dư
hay viết cẩu thả sẽ bị loại.
Lập trình viên PMTDNM thường rất gần gũi người dùng, họ hiểu rõ những
nhu cầu của người dùng và lắng nghe những than phiền, góp ý của người
dùng về những phiên bản trước ñó và họ chỉnh sửa, bổ sung, nâng cấp
cho phù hợp => PMTDNM thường tiến hóa rất nhanh, và chất lượng rất
tốt.

Chất lượng và sự an toàn của PMTDNM là nhờ sự tham gia xem xét, rà
soát, thẩm ñịnh của nhiều người trong cộng ñồng (peer review):
Với PMNð, chỉ một số hạn chế những người ñược trả lương xem xét,
ñánh giá, rà soát các lỗi bảo mật,
Trong khi ñó, bằng việc mở mã nguồn, PMTDNM ñược cả cộng ñồng trên

thế giới xem xét, rà soát, dò tìm các lỗi bảo mật có thể có ñể khuyến cáo,
chỉnh sửa


ðộ tin cậy của PMTDNM
Việc vá lỗi của PMTDNM thường khá nhanh:
− Khi một lỗi trên PMTDNM bị phát hiện, người dùng có thể tự sửa chữa,
hoặc nhờ các công ty cung cấp dịch vụ, hoặc nhờ cộng ñồng. Cả cộng
ñồng cùng xúm vào giải quyết, và thường chỉ mất vài giờ ñồng hồ ñể có
bản vá lỗi (và kẻ gian hầu như không kịp khai thác).
− Với PMNð, người dùng hoàn toàn phụ thuộc vào nhà cung cấp, thời gian
vá lỗi có khi ñến nhiều ngày, và nhiều trường hợp kẻ gian ñã kịp truy cập
ñể phá hoại hay ăn cắp trước khi bản vá lỗi ñược phát hành.

Thống kê của Netcraft (2004) trong số 50 máy chủ mạng có thời gian hoạt
ñộng liên tục lâu nhất, phần lớn là BSD, không có máy nào chạy Linux hay
window. Vấn ñề là linux thiết kế bộ ñếm reset sau 497 ngày, còn window
thì không.
Tính ñến 9/2004, thời gian chạy liên tục trung bình của máy chủ mạng
window cho trang web www.microsoft.com là 59 ngày (max là 111 ngày),
so với máy chủ linux cho trang web www.linux.com 348 ngày(cả TB và
max).
Nghiên cứu của Fuzz cho thấy
các ứng dụng PMTDNM có ñộ
tin cậy cao hơn hẳn so với
PMNð [U Wisconsin]


Bí mật mã nguồn liệu có an toàn hơn?
Theo truyền thống về an ninh thì bí mật có nghĩa là an toàn (mọi người

khóa kín nhà, xe ô tô, và các ñồ ñạc quý giá ñể ñảm bảo an toàn). Liệu
ñiều này có ñúng với trường hợp mã nguồn của phần mềm?
Những người theo quan ñiểm mã nguồn ñóng lý luận việc dấu (ñóng) mã
nguồn lại (giữ bí mật mã nguồn) có nghĩa là bạn ñảm bảo phòng chống
ñược các hackers và các ñối thủ, và tức là an toàn hơn. Họ cho rằng với
mã nguồn ñược mở sẵn, những kẻ phá hoại sẽ dễ dàng tìm ra lỗ hổng của
PM và viết các virut hiểm ñộc ñể tấn công hệ thống. ðiều này có thực sự
ñúng?
Thực ra không chỉ kẻ xấu nghiên cứu PM, nhiều người tốt trong cộng ñồng
lập trình viên cũng sẽ xem xét, thẩm ñịnh ñể tìm ra các lỗ hổng và cảnh
báo ñể sửa chữa, và tham gia vá lỗi, do vậy các lỗi PMTDNM thường
ñược sửa rất nhanh trước khi nó bị khai thác => việc mở mã nguồn khiến
phần mềm an toàn hơn chứ không phải kém an toàn
Thống kê cho thấy hệ ñiều hành nhân Linux luôn có tỷ lệ lỗi thấp hơn
1

Proprietary Average (0.55, 0.41)

0.5
0

Reported

Repaired

Linux kernel (0.10, 0.013)


Bí mật mã nguồn liệu có an toàn hơn?
Lý thuyết “Bí mật mã nguồn sẽ an toàn hơn” có thể ñúng trong trường hợp

người dùng tự viết phần mềm cho mình (và tất nhiên là phải biết rõ mã nguồn
của mình), và tự khẳng ñịnh ñược ñộ an toàn của mã nguồn phần mềm ñó.
Nhưng trong trường hợp phần mềm do người khác viết (và người dùng không
biết gì về mã nguồn PM ấy), thì việc mã nguồn bị dấu có thể ñem lại rủi ro,
mạo hiểm rất lớn cho người dùng.
“Việc lý luận giữ bí mật mã nguồn sẽ an toàn hơn là hoàn toàn không ñúng”
Luật sư Eric S. Raymond, tác giả cuốn The New Hacker's Dictionary ñã nói.
“Nguồn ñóng không chỉ thực sự không an toàn, mà bản thân nó còn là sự
phản lại khái niệm an toàn”, Raymonds nói, “Người dùng không biết cái gì bên
trong, không thể thẩm ñịnh nó, không thể kiểm tra ñược những giả ñịnh mà
người viết phần mềm ñặt ra, hoặc ñộ trung thực của chính người viết phần
mềm.
PMNð là một hộp ñen, do vậy nếu vì lý do nào ñó có 1 PM gián ñiệp hoặc 1
virut ñược cài vào phần mềm, người dùng sẽ hầu như rất khó ñể phát hiện
ñược.
ðã có trường hợp một phần mềm nguồn ñóng máy chủ mạng nổi tiếng bị tạo
một “cửa sau”, nhưng phải ñến hơn 4 năm sau mới bị phát hiện. Với PMTDNM
nếu có 1 cửa sau như vậy thì chắc chắn sẽ rất sớm bị phát hiện.


Vài số liệu
Số lượng virut, phần mềm ñộc hại ñối với
PMNð cao gấp nhiều lần so với
PMTDNM:
− 60,000 Windows, 40 Macintosh, 5 for
commercial Unix versions, 40 for Linux
Có 40% các ñợt tấn công vào window
ñược xếp vào nhóm rất nguy hiểm, trong
khi chỉ 10% ñợt tấn công vào linux ñược
xếp vào nhóm này. [Nicholas Petreley, Oct

2004]
91% người dùng internet băng rộng (dùng
HðH PMNð) có spyware trên máy tính
của họ [National Cyber Security Alliance,
May 2003]
Phí bảo hiểm chống hacker ñối với
window cao hơn 5-15% so với Unix/Linux
Lỗi
Defaced
Deployed Systems

80
70
60
50

Lổ hỗng
Thời gian vá
Tin cậy
Không tin
cậy

40
30
20
10
0
GNU/LINUX

Window s


PMTDNM có tỷ lệ lỗi và sai sót chỉ
4%-6% trong khi Windows có tỷ lệ từ
43%-100%.
Security Report: Windows vs Linux

PMNð
66% (Windows)
49.6% (Windows)

Deployed websites (by name) 24.81% (IIS)

PMNM
17% (GNU/Linux)
29.6% (GNU/Linux)
66.75% (Apache)


Vài số liệu
Hệ thống PMTDNM có ñiểm số cao hơn về an toàn an
ninh [thống kê của Payne, Information Systems Journal
2002]
Khảo sát 6,344 nhà quản lý phát triển phần mềm vào
tháng 4/2005 [BZ Research]:

Borland InterBase/Firebird Back Door
− user: politically, password: correct
− Hidden for 7 years in proprietary product
− Found after release as OSS in 5 months



Kết luận
Nhận ñịnh sai:”PMTDNM luôn luôn an toàn và ñáng tin cậy hơn”, hoặc “PMNð
luôn luôn an toàn và ñáng tin cậy hơn”
Thực tế: không có loại phần mềm nào luôn luôn tốt hơn, mà phụ thuộc vào
từng sản phẩm cụ thể.
Các PMTDNM phổ biến, ñược phát triển từ các dự án quy mô thường có ñộ
tin cậy và tính an toàn cao hơn so với PMNð cùng loại
PMNð, với mã nguồn bị dấu kín không có nghĩa là an toàn hơn, mà có khi là
ngược lại
PMTDNM cho phép người dùng chủ ñộng thẩm ñịnh, xem xét, ñảm bảo sự an
toàn theo yêu cầu của mình
Các hệ thống thông tin có yêu cầu bảo mật cao như an ninh, quốc phòng, tài
chính, ngân hàng nên sử dụng PMTDNM
Các tổ chức, doanh nghiệp nên có sự ñầu tư, xem xét, chọn lựa sử dụng các
PMTDNM phù hợp
Không ai có thể ñảm bảo ñược sự an toàn, an ninh cho hệ thống thông tin của
bạn nếu bạn không thực sự quan tâm và ñầu tư cho vấn ñề này
PMTDNM ñang trở thành một xu hướng trên thế giới
Nhà nước ta có nhiều cơ chế. chính sách khuyến khích ứng dụng và phát triển
PMTDNM


Cảm ơn quý vị ñã lắng nghe !

Nguyễn Trọng ðường
Phó Vụ trưởng Vụ CNTT
Bộ Thông tin và Truyền thông
18 Nguyễn Du, Hà nội
Tel:


(84) 4 9436 733

Fax:

(84) 4 9436 927

Email: