[Question] [RFC] Ý tưởng phòng chống spim |
18/09/2006 10:10:03 (+0700) | #1 | 24087 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Chào mọi người,
Trong topic http://vnhacker.org/hvaonline/posts/list/4002.html tui có đề cập đến một số ý tưởng của tui để giải quyết một cách trọn vẹn vấn đề SPIM (qua đó góp phần hạn chế sự lây lan của AutoIt virus). Bài viết này sẽ trình bày những ý tưởng đó, tui gửi lên đây mong nhận được góp ý của tất cả mọi người.
0. Giới thiệu
Dựa vào kinh nghiệm xây dựng hệ thống anti-spam, tui cho rằng các kĩ thuật anti-spam mà chúng ta đang sử dụng hiện tại như Bayesian filtering, whitelist, blacklist...đều có thể được áp dụng để giải quyết vấn đề anti-spim. Trong bài viết này, tui xin trình bày giải pháp dựa trên ý tưởng http://greylisting.org. Tui cho rằng một mình greylisting không thể giải quyết trọn vẹn vấn đề anti-spim nhưng đây là một ví dụ sinh động về cách áp dụng các giải pháp anti-spam cho vấn đề anti-spim. Tui tin rằng một giải pháp kết hợp các ý tưởng greylisting, whitelist, blacklist và Bayesian filtering sẽ đủ khả năng tiêu diệt hoàn toàn spim.
(5s cho quảng cáo: http://www.innology.com.vn có xây dựng một giải pháp anti-spam áp dụng đầy đủ các kĩ thuật kể trên, tên gọi là http://www.innology.com.vn/products/asas. Tất cả những ý tưởng trình bày trong tài liệu này đều được trích rút ra từ quá trình thiết kế và xây dựng Asas)
1. Yêu cầu chung
Tui có tự đặt ra cho mình các tiêu chí chung sau đây của các giải pháp:
- Mục tiêu của các giải pháp là user không còn nhận spim nữa.
- Phải tiện dụng cho user, tốt nhất là hoàn toàn trong suốt với user.
- Tốc độ phải thoả mãn tiêu chí "instant".
- Cũng tương tự như spam, spim "tiến hoá" theo thời gian, do đó giải pháp đưa ra phải có khả năng tự thích nghi và tự điều chỉnh với các loại spim sẽ xuất hiện trong tương lai.
Tất cả các giải pháp không thoả mãn được ít nhất 2 trong 4 tiêu chí trên đều phải được xem xét lại trước khi hiện thực.
2. Ý tưởng
Tui hi vọng là khi đọc đến phần này, mọi người đã tham khảo sơ qua kĩ thuật http://greylisting.org. Giải pháp của chúng ta là xây dựng một phần mềm (có thể là một standalone software hoặc là một plugin cho Yahoo! Messenger hoặc có thể là cả hai) thực thi cơ chế greylisting trên IM. Phần mềm của chúng ta phải có khả năng làm những việc sau đây:
- Thấy được tất cả các msg gửi đến user đang sử dụng YIM.
- Có khả năng thay đổi hay thậm chí drop các msg đó trước khi nó được gửi đến YIM.
- Có khả năng gửi msg ra ngoài sử dụng tài khoản YIM của user.
Để đơn giản, chúng ta sẽ chỉ xét các msg có chứa đường link. Khi nhận được các msg này, thay vì deny như cách làm của greylisting khi chống spam mail, chúng ta sẽ thực thi cơ chế challenge-response như sau:
- tạm thời lưu msg đó vào database.
- tự động gửi ngược lại cho sender một đoạn challenge code dài 6 kí tự (có thể thay đổi số lượng kí tự). Đoạn challenge code này được gửi như một instant msg thông thường.
- nếu sender gửi lại cho chúng ta đoạn challenge code đó, chúng ta sẽ hiển thị msg đã lưu ở trên ra cho user.
Phần mềm chúng ta có tác dụng bởi lẽ:
- sẽ là rất khó cho virus chôm được challenge code.
- sẽ là rất dễ cho con người thấy được challenge code.
3. Một vài use case
Giả sử chúng ta có 3 user: Alice, Bob và Mallory. Alice muốn gửi một msg đến Bob thông qua YIM, Bob có cài đặt phần mềm của chúng ta còn Mallory thì đã bị nhiễm virus có cơ chế lây lan qua YIM. Bob có trên friend list của cả Alice và Mallory.
3.1. Alice gửi một msg có chứa link đến Bob
- Phần mềm của chúng ta sẽ thực thi cơ chế đã đề cập ở trên.
- Alice thấy challenge code, gửi lại cho Bob (thực chất là gửi cho phần mềm của chúng ta) đoạn code đó.
- Chúng ta sẽ hiển thị msg đó như bình thường cho Bob thấy.
- Bob sẽ không hề biết chuyện gì đã xảy ra trước khi đọc được msg từ Alice.
3.2. Mallory hay là virus trên máy của anh ta gửi một msg có chứa link đến Bob
- Phần mềm của chúng ta sẽ thực thi cơ chế đã đề cập ở trên.
- Virus trên máy của Mallory không thể thấy được challenge code, do đó Bob sẽ không bao giờ nhận được spim gửi bởi con virus này.
- Bob sẽ không hề biết chuyện gì đã xảy ra tương tự như trên.
4. Whitelist và blacklist
Để tăng tính tiện dụng cho user, chúng ta sẽ cho phép họ tự quản lí:
- Whitelist: danh sách các URL mà họ cho phép xuất hiện trong các msg, ví dụ như vnexpress.net, www.tuoitre.com.vn...Khi các đường link trong msg nằm trong whitelist thì chương trình của chúng ta sẽ không thực thi cơ chế challenge-response kể trên mà tự động hiển thị msg cho user.
- Blacklist: danh sách các URL mà họ không cho phép xuất hiện trong các msg, ví dụ như các website chứa virus đã được công bố. Khi một đường link trong msg nằm trong blacklist thì chương trình của chúng ta sẽ không thực thi cơ chế challenge-response kể trên mà tự động drop msg đó.
Ngoài ra nếu có điều kiện, chúng ta cũng sẽ triển khai một global blacklist tương tự như cách làm của các dự án như Spamhaus chẳng hạn.
5. Kết luận
Bài viết này trình bày sơ lược về việc áp dụng kĩ thuật greylisting để phòng chống spim. Để đơn giản, chúng ta chỉ xét đến các msg chứa một hay nhiều đường link. Chúng ta áp dụng cơ chế challenge-response để đảm bảo rằng msg mà chúng ta nhận được là do một con người gửi chứ không phải một chương trình phần mềm. Để tăng tính tiện dụng, chúng ta cũng áp dụng cơ chế whitelist và blacklist thường thấy khi chống spam.
Như đã trình bày ở phần đầu, tui cho rằng một mình kĩ thuật greylisting không thể giải quyết trọn vẹn vấn đề spim. Đây chỉ là một ví dụ sinh động cho việc áp dụng các kĩ thuật chống spam để chống spim.
Hi vọng sẽ nhận được góp ý từ mọi người, cả về ý tưởng lẫn khả năng hiện thực nó,
-m. |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
18/09/2006 10:36:47 (+0700) | #2 | 24098 |
Mr.Ѻºb
Member
|
0 |
|
|
Joined: 17/09/2006 20:03:13
Messages: 12
Offline
|
|
1. Yahoo Messenger có cung cấp plugin để nhận/gửi message hay ko, tui chưa biết, nhưng khả năng này nếu có thì hạn chế, vì việc cung cấp những API như vậy một cách thoải mái sẽ dẫn tới nạn SPIM và ăn cắp những message một cách bất hợp pháp thông qua plugin.
2. Tui giả sử là về mặt kỹ thuật có thể thực hiện được ý tưởng của bạn mrro, có thể dùng Yahoo Plugin để thực thi việc nhận/gửi message.
- Giả sử một người dùng hợp pháp cần gửi và họ phải thông qua cơ chế challeng code, liệu họ có đủ kiên nhẫn để thực hiên challenge hay ko?
- Cơ chế nào đảm bảo virus (ko chỉ là AutoIT) ko đọc được challence code, theo tui biết, hiện nay, yahoo messenger chưa hỗ trợ việc truyền nhận image trong cửa sổ chat(???)
- Giả sử có thể có việc truyền nhận image dùng làm challenge code, lỡ cái image đó khó đọc và
người gửi gõ sai, như thế họ, sẽ phải gửi lại từ đầu rất là phiền phức.
- Điều gì xảy ra khi người gửi muốn gửi một link hay cho một group friend list 200 người, khi đó họ sẽ phải gõ tới 200 cái challenge code?
Nếu dùng standalone soft thì ko phụ thuộc vào API nhưng vẫn còn đó các vấn đề sau cùng
|
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
18/09/2006 10:47:02 (+0700) | #3 | 24102 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Mr.Ѻºb wrote:
1. Yahoo Messenger có cung cấp plugin để nhận/gửi message hay ko, tui chưa biết, nhưng khả năng này nếu có thì hạn chế, vì việc cung cấp những API như vậy một cách thoải mái sẽ dẫn tới nạn SPIM và ăn cắp những message một cách bất hợp pháp thông qua plugin.
Câu trả lời là có. Xin vui lòng tham khảo Yahoo! Messenger Plugin SDK.
2. Tui giả sử là về mặt kỹ thuật có thể thực hiện được ý tưởng của bạn mrro, có thể dùng Yahoo Plugin để thực thi việc nhận/gửi message.
- Giả sử một người dùng hợp pháp cần gửi và họ phải thông qua cơ chế challeng code, liệu họ có đủ kiên nhẫn để thực hiên challenge hay ko?
- Cơ chế nào đảm bảo virus (ko chỉ là AutoIT) ko đọc được challence code, theo tui biết, hiện nay, yahoo messenger chưa hỗ trợ việc truyền nhận image trong cửa sổ chat(???)
- Giả sử có thể có việc truyền nhận image dùng làm challenge code, lỡ cái image đó khó đọc và
người gửi gõ sai, như thế họ, sẽ phải gửi lại từ đầu rất là phiền phức.
- Điều gì xảy ra khi người gửi muốn gửi một link hay cho một group friend list 200 người, khi đó họ sẽ phải gõ tới 200 cái challenge code?
Nếu dùng standalone soft thì ko phụ thuộc vào API nhưng vẫn còn đó các vấn đề sau cùng
- Nhiệm vụ của chúng ta là bảo vệ người dùng. Khi Bob quyết định sử dụng phần mềm của chúng ta, anh ta đã quyết định rằng tất cả những người muốn gửi link cho anh ta đều phải đi qua cơ chế challenge-response. Chính Bob chứ không ai khác là người đưa ra qui định kiểm soát msg gửi đến mình. Chúng ta chỉ giúp Bob hiện thực hóa qui định đó bằng phần mềm. Nếu như Alice muốn gửi msg đến Bob thì hiển nhiên Alice phải tuân theo các qui định mà Bob đưa ra. Nếu Alice không đủ kiên nhẫn để gửi lại challenge code thì chứng tỏ Bob cũng không cần nhận msg đó.
- Không có gì đảm bảo virus sẽ không chôm được challenge code. Tui chỉ nói là rất khó. Tui mường tượng để chôm được challenge code này, con virus phải làm được một trong những chuyện sau đây:
+ Có khả năng thông hiểu yahoo! messenger protocol để có thể sniff được cái msg ra từ mớ yahoo! messenger packet.
+ Sử dụng WinAPI để capture đoạn text từ cửa sổ chat của user.
Theo tui biết thì hiện tại AutoIt script không có khả năng làm chuyện này. Dĩ nhiên là một chương trình viết bằng một ngôn ngữ lập trình mạnh hơn kiểu như Delphi hoàn toàn có khả năng làm chuyện này, nhưng tui tin rằng:
+ Chẳng ai đủ thông minh viết một chương trình như vậy lại đi viết virus. Nếu có đi chăng nữa thì lượng người này là rất thấp và số lượng virus dạng này là rất ít nên chúng ta có thể an tâm bỏ qua sự hiện diện của chúng.
+ Khi ý tưởng greylisting ra đời, cũng có nhiều ý kiến lo lắng là đến một lúc nào đó, spammer sẽ tuân theo RFC để bypass greylisting. Thực tế cho đến nay, năm 2006, nghĩa là hơn 3 năm kể từ ngày người ta công bố kĩ thuật này, greylisting vẫn rất hiệu quả. http://www.innology.com.vn/products/asas chặn được hơn 90% spam nhờ vào greylisting. Điều này cho thấy chắc chắn lượng virus có khả năng chôm challenge-code sẽ cực hiếm.
- Tui không nghĩ đến chuyện sử dụng cơ chế challenge-response bằng hình ảnh.
- Việc gửi mass msg trên YIM là một hành vi rất thiếu văn hoá, do đó tui hi vọng phần mềm này phần nào sẽ giảm thiểu được hành vi này.
-m
|
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
18/09/2006 13:02:43 (+0700) | #4 | 24113 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
- sẽ là rất khó cho virus chôm được challenge code.
challenge code là 1 string trong cửa sổ Windows hay 1 bitmap vậy ?
Ngoài ra, nếu user kia send 1 phát rồi offline, vậy thì cái message đó sẽ không bao giờ đến với user nhận ?
Với mỗi người phải reply đoạn code 1 lần, chat với 10 người thì trả lời bao nhiêu lần ?
+ Sử dụng WinAPI để capture đoạn text từ cửa sổ chat của user.
Đây chính là giải pháp. Rất đơn giản không khó như mrro nghĩ đâu )
Theo tui biết thì hiện tại AutoIt script không có khả năng làm chuyện này. Dĩ nhiên là một chương trình viết bằng một ngôn ngữ lập trình mạnh hơn kiểu như Delphi hoàn toàn có khả năng làm chuyện này, nhưng tui tin rằng:
+ Chẳng ai đủ thông minh viết một chương trình như vậy lại đi viết virus. Nếu có đi chăng nữa thì lượng người này là rất thấp và số lượng virus dạng này là rất ít nên chúng ta có thể an tâm bỏ qua sự hiện diện của chúng.
vậy thì quay lại vấn đề là, giải pháp của mrro có triệt để hay chưa ? Hay chỉ gây phiền phức không đáng có cho người dùng ? |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
18/09/2006 14:37:43 (+0700) | #5 | 24128 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
challenge code là 1 string trong cửa sổ Windows hay 1 bitmap vậy ?
Challenge code là một string nằm trong cửa sổ Windows.
Ngoài ra, nếu user kia send 1 phát rồi offline, vậy thì cái message đó sẽ không bao giờ đến với user nhận ?
Tất cả các msg đã nhận mà chưa được confirmed đều được lưu vào database, không có chuyện mất msg ở đây.
Với mỗi người phải reply đoạn code 1 lần, chat với 10 người thì trả lời bao nhiêu lần ?
Hì, bồ không đọc kĩ những gì tui viết rồi:
- Chỉ có msg chứa link mới phải đi qua challenge-response.
- Người nhận msg không phải làm gì cả, chỉ có những người nhận mới phải thực hiện thao tác challenge-response. Tui là người nhận msg, tui không muốn nhận msg chứa link tới virus do đó tui yêu cầu tất cả những người gửi msg cho tui phải đi qua thao tác challenge-response mà tui đưa ra. Nếu bồ thật sự muốn gửi link đến cho tui thì việc gửi thêm một challenge-code không phải là điều quá bất tiện.
Đây chính là giải pháp. Rất đơn giản không khó như mrro nghĩ đâu
Chà, có vẻ như ý tưởng này đã phá sản bởi vì tui vừa tham khảo API của AutoIt, nó có hỗ trợ hàm WinGetText để capture text từ một cửa sổ Windows. Tui luôn nghĩ nó không có khả năng làm chuyện này. Sorry mọi người vì sự cẩu thả này.
Như vậy kĩ thuật greylisting mà tui trình bày ở trên không còn có tác dụng. Whitelist và blacklist thì vẫn còn chơi được. Có lẽ đã đến lúc phải nghĩ đến giải pháp cuối cùng là sử dụng Bayesian filtering. Tui sẽ viết kĩ hơn về whitelist, blacklist và Bayesian filtering trong bài viết tới.
-m
PS: cảm ơn bồ LeVuHoang, nếu không thảo luận với bồ về đề tài này thì tui đã cấm đầu cấm cổ implement cái ý tưởng greylisting ở trên mà không tham khảo lại cách làm việc của AutoIt. |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
18/09/2006 15:08:56 (+0700) | #6 | 24131 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Tất cả các msg đã nhận mà chưa được confirmed đều được lưu vào database, không có chuyện mất msg ở đây.
nhưng như vậy còn mang nghĩa instant ? Lỡ khi có 1 tin quan trọng người đó muốn gởi nhưng phải out gấp ?
Ngoài ra, nếu SPIM đặt status cho Yahoo là đường link thì làm thế nào ?
Tui sẽ viết kĩ hơn về whitelist, blacklist và Bayesian filtering trong bài viết tới.
Nếu quay trở lại giải pháp blacklist/whitelist thì số lượng spim link/url sẽ rất lớn và sẽ không detect được hết các URL mới xuất hiện sau này.
Đang chờ mrro trình bày Bayesian filtering |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
18/09/2006 18:18:33 (+0700) | #7 | 24136 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
mrro wrote:
....
Như vậy kĩ thuật greylisting mà tui trình bày ở trên không còn có tác dụng. Whitelist và blacklist thì vẫn còn chơi được. Có lẽ đã đến lúc phải nghĩ đến giải pháp cuối cùng là sử dụng Bayesian filtering. Tui sẽ viết kĩ hơn về whitelist, blacklist và Bayesian filtering trong bài viết tới.
-m
PS: cảm ơn bồ LeVuHoang, nếu không thảo luận với bồ về đề tài này thì tui đã cấm đầu cấm cổ implement cái ý tưởng greylisting ở trên mà không tham khảo lại cách làm việc của AutoIt.
). Ngay từ bên topic Phòng chống các loại SPIM được viết bằng AutoIt anh đã ngờ ngợ mrro dùng ý tường "greylisting" rồi (trademark mờ ) ).
Thật ra ý tưởng "lọc trước, dùng sau" là ý tưởng rất hay nhưng nó có một số hạn chế, nhất là cho những hoạt động gần như "realtime interaction" như instance messaging. Đối với mail, chuyện lọc trước rồi đưa vào thì dễ thở hơn vì không dính vào "realtime factor". Tuy nhiên, những dạng khác như content filtering cho web, cho instance messages, cho teleconference... là chuyện rất đau đầu.
Thân. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
18/09/2006 23:06:13 (+0700) | #8 | 24162 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Tuy nhiên, những dạng khác như content filtering cho web, cho instance messages, cho teleconference... là chuyện rất đau đầu.
>< |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
18/09/2006 23:47:14 (+0700) | #9 | 24169 |
mfeng
Researcher
|
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
|
|
Nói riêng cho vấn đề AutoIt SPIM: Các virus dạng này gửi IM thông qua cách giả lập phím tắt (shortcut keys) của YIM như Alt-M, u... (để đặt status msg). Hàm Send (hàm gửi phím tắt) của AutoIt thực sự bên trong gọi hàm WinAPI là keybd_event.
Để ngăn cản khả năng gửi IM hàng loạt, từ mô tả ở trên sinh ra một ý tưởng là hook API hàm keybd_event. Nếu active window đang là YIM, module hook sẽ ngăn hoạt động của keybd_event, còn lại sẽ cho qua.
Có một vướng mắc trong phương án trên: một số trình gõ tiếng việt (Vietkey, Unikey) sử dụng keybd_event để gửi ký tư. Do vậy nếu block keybd_event, sẽ không gõ tiếng Việt trong YIM được nữa.
|
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
19/09/2006 07:38:40 (+0700) | #10 | 24261 |
Sinarale
Member
|
0 |
|
|
Joined: 21/12/2004 20:19:19
Messages: 9
Offline
|
|
Để ngăn cản khả năng gửi IM hàng loạt, từ mô tả ở trên sinh ra một ý tưởng là hook API hàm keybd_event. Nếu active window đang là YIM, module hook sẽ ngăn hoạt động của keybd_event, còn lại sẽ cho qua.
Thế thì phải xem lại phần mục địch của giải pháp này: user ko nhận SPIM nữa hay user ko gửi SPIM nữa.
Có lẽ đã đến lúc phải nghĩ đến giải pháp cuối cùng là sử dụng Bayesian filtering.
Theo ý kiến của tôi thì dùng Bayesian filtering là hoàn toàn ko khả thi. Bayesian filter là bộ lọc thông minh (có thể học thông qua các mẫu IM thông thường và SPIM). Nhưng mà ai sẽ dạy nó học đây. Đối với spam mail, người dùng có thể dễ dàng phân biệt được email thông thường và spam thì phương pháp này mới phát huy tác dụng.
Còn đối với IM, có quá ít thông tin để có thể xác định được đây có phải SPIM hay ko, bản thân người dùng cũng không phân biệt nổi, nói gì đến cái bộ lọc còn đang há mõm ra chờ mình dạy.
|
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
23/09/2006 11:30:55 (+0700) | #11 | 25198 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Tôi đang tự nghĩ bác Hoàng với bác Thái giờ đang rảnh rang quá, hay là hết nghĩ ra chuyện gì hay hay để làm rồi hay sao ấy nhỉ?
Ngoài cái lợi nho nhỏ trước mắt là website của các bác được người ta vào để...download chương trình, còn lại nhìn tới nhìn lui, nhìn qua nhìn lại tôi chưa thấy người dùng có lợi lộc gì từ chương trình hay ý tưởng của 2 bác cả, đó là chưa kể "lợi thì có lợi nhưng răng không còn" |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
23/09/2006 14:55:24 (+0700) | #12 | 25236 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
nbthanh wrote:
Tôi đang tự nghĩ bác Hoàng với bác Thái giờ đang rảnh rang quá, hay là hết nghĩ ra chuyện gì hay hay để làm rồi hay sao ấy nhỉ?
Ngoài cái lợi nho nhỏ trước mắt là website của các bác được người ta vào để...download chương trình, còn lại nhìn tới nhìn lui, nhìn qua nhìn lại tôi chưa thấy người dùng có lợi lộc gì từ chương trình hay ý tưởng của 2 bác cả, đó là chưa kể "lợi thì có lợi nhưng răng không còn"
Hì, có thể đối với bồ nbthanh thì việc tìm kiếm giải pháp cho spim chẳng có gì hay nhưng đối với tui thì đây là việc làm rất lý thú. Ít nhất nếu tìm ra được một giải pháp hiệu quả thì nó cũng giải quyết được một vấn đề thiết thực mà rất nhiều người đang gặp phải. Trong thời gian rảnh rỗi thay vì làm những chuyện vô bổ thì ngồi suy nghĩ việc phòng chống spim đối với tui là một công việc hấp dẫn. Tui chẳng biết mình có thành công hay không nhưng tui biết mình sẽ học được nhiều điều từ quá trình tìm tòi để sáng tạo ra cái mới. Ngoài ra nếu may mắn thành công, tui sẽ có cơ hội quảng bá cho công ti của mình.
Trong quá trình tìm kiếm giải pháp dĩ nhiên sẽ có những ý tưởng hay sản phẩm không đạt yêu cầu. Đó là chuyện hoàn toàn bình thường, ngay cả Edison vĩ đại đến vậy mà cũng phải mất cả 2000 lần mới chế được bóng đèn điện mà. So sánh việc chống spim với việc tạo ra bóng đèn điện quả là khập khiễng nhưng cả hai việc làm này giống nhau ở điểm là đều giải quyết một vấn đề của xã hội. Hàng chục nghìn máy tính bị nhiễm virus lây lan qua YIM, tui với tư cách là một người làm trong ngành an ninh máy tính, tự nghĩ rằng mình phải có trách nhiệm tìm kiếm giải pháp cho vấn nạn này. Nếu chúng ta, những người có chuyên môn, không giải quyết vấn nạn này thì ai sẽ giải quyết nó?
-m
PS: mấy hôm nay bận quá tui không có thời gian suy nghĩ tiếp về đề tài này. Hi vọng cuối tuần tui sẽ tìm được một giải pháp đẹp nào đó :p. |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
23/09/2006 17:23:40 (+0700) | #13 | 25241 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
23/09/2006 19:11:58 (+0700) | #14 | 25250 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Cái hay không phải là việc đi tìm giải pháp, mà nó nằm ở chỗ "hướng tiếp cận vấn đề" như thế nào. Về khả năng tiếp cận vấn đề, thành thật mà nói thì người VN chúng ta còn thua kém bọn "tây" rất xa.
Người ta thì nhìn vấn đề và giải quyết từ gốc đến ngọn, nhiều khi chỉ cần chặt phần gốc xong là phần ngọn tự nó cũng tiêu tan. Còn chúng ta thì chỉ thấy phần ngọn, chặt cái ngọn, rồi hả hê với nhau, trong khi cái gốc còn nguyên, chỉ cần dăm ba cơn mưa rào là đâu lại vào đấy.
Xét ở mặt vĩ mô, liệu chúng ta đã có ai thử nghĩ: tại sao chỉ có VN mới có mấy cái vấn nạn kiểu như "gaixinh" hay "funni" trong khi ở nước ngoài thì hầu như không có hoặc có rất ít?
Báo chí VN cũng không hề thấy câu hỏi này mà chỉ toàn thấy tung hô những chiến tích (ảo) khi chúng ta chặt được cái phần ngọn và những bài viết mà đọc vào ta có cảm tưởng như những người viết ra mấy con virus đó là những "kỳ tài trong tin học".
Vấn đề cốt lõi nằm ở ý thức của con người!
- Ý thức của người viết chương trình
- Ý thức của người sử dụng
Nếu chúng ta không dập tắt những ý nghĩ "viết được con virus như vậy là anh hùng", "thà làm 1 phút huy hoàng (được ... lên báo?)" thì hết gaixin rồi sẽ đến funni rồi đến thứ khác nữa.
Và nếu người dùng của chúng ta "bạ đâu cũng click", "file nào cũng load chạy thử" thì dù có cài version 100.0 của chương trình bác Hoàng hay áp dụng 10 lần cái hay hơn ý tưởng của bác Thái thì cũng "chết vì ngu" như thường.
Đâu từ 10, 20 năm trước cho tới tận bây giờ, trên báo, đài, TV vẫn có chuyên mục câu chuyện cảnh giác để giúp người dân nâng cao kiến thức (phòng tránh) và ý thức (tố giác bọn tội phạm).
Luật VN đã có qui định người viết virus là tội phạm, phát tán virus là vi phạm pháp luật. Nhưng ngoài những bài viết "ngầm" ca tụng mấy tên script kiddie và tung hô "chiến tích lẫy lừng" của những "anh hùng CNTT" thì tuyệt nhiên không thấy những hành động cụ thể nào để nhằm nâng cao kiến thức và ý thức của người làm tin học cả!
Đi sâu hơn 1 chút về vấn đề kỹ thuật. Với cách giải quyết của bác Thái, "greylisting", "challenge-response" rồi "Bayesian filtering" nghe rất là mĩ miều và hứa hẹn. Nhưng nếu tôi nhớ không lầm thì Edison (và các nhà khoa học vĩ đại khác) đều nghiên cứu và thực nghiệm trước rồi mới công bố kết quả thực nghiệm (tức là họ đi từ gốc cho đến ngọn, và trên thực tế họ vĩ đại cũng vì 1 lẽ đơn giản như vậy) chứ không ai làm ngược lại xây cái nóc nhà rồi lúc lắp xuống mới không thấy cái móng và tường nhà ở đâu để mà lắp. Tôi cũng rất mong bác Thái được như Edison hay 1 phần của Edison. Dù sao cũng là sự nở mày nở mặt của dân VN ta, nhưng trên thực tế thì bác Thái của chúng ta vẫn còn chưa
Người ta có thể đánh giá cao ý tưởng của bạn, nhưng bạn chỉ trở nên có ích cho nhân loại khi ý tưởng của bạn thực hiện được và đem lại lợi ích cho cộng đồng (chứ thế giới có 6 tỉ người thì mỗi ngày chắc cũng có cỡ...1 tỉ ý tường hay ra đời!).
Thay vào những thứ "đao to búa lớn" như "challenge-response" hay "Bayesian filtering" (nghe hay thật đấy, mĩ miều thật đấy nhưng...kết quả áp dụng như thế nào?), ta thử tiếp cận theo 1 hướng khác "bình dân" hơn 1 chút thử coi sao: scan ngay cái link được gởi qua chat.
Đằng nào thì giải pháp của bác Thái cũng thu gọn về việc ngăn user tiếp cận với các link độc hại. Vậy thì thay vì tạo thêm phiền hà cho user qua cái challenge-response, mình chỉ cần scan cái link được gởi đi thì sẽ đơn giản và hiệu quả hơn nhiều, và đây cũng là cách các chương trình scan virus áp dụng.
- Nếu link là 1 site, thì các site "độc hại" đều có 1 dấu hiệu nhận dạng chung là "tự động load và thực thi 1 đoạn mã nguy hại nào đó". Nếu link được gởi qua chat được chương trình của ta nhận dạng ra được thì...a lê hấp, xử sao thì xử.
- Nếu link là 1 file thực thi thì chương trình của ta có thể không làm gì được nhiều, nhưng phần việc còn lại đã có các chương trình anti-virus lo rồi (ta không nên bao đồng mà ôm đồm nhiều quá!). Tuy nhiên, ít ra chương trình của chúng ta có thể send 1 thông điệp tới user (hoặc cả 2 user) chằng hạn như là "file này là file thực thi, nó có thể gây nguy hiểm cho máy tính của bạn, hãy cẩn trọng, v.v...". Như vậy cũng góp phần nâng cao ý thức của user và ít nhiều cũng làm user "suy nghĩ 2 lần" trước khi chạy 1 file từ internet.
Về cách giải quyết của bác Hoàng, các chương trình diệt virus người ta tiếp cận theo hướng: scan ngay cái webpage đang được mở, nếu nó có hành động load hay thực thi 1 đoạn mã độc hại nào đó thì đích thị nó đang tính đường "hại người". Lúc đó thì đâu có cần biết cái file exe mà site kia đang load về là AutoIt, AutoHim hay là AutoHer nữa vì file exe này đã được chặn không cho load về rồi (ít ra cũng tiết kiệm chút bandwidth ).
Còn cách của bác thì file exe đã tới máy rồi mới kiểm tra, vậy nếu máy người ta có cài sẵn 1 chương trình anti-virus rồi thì làm sao chương trình của bác có đất mà "dụng võ"
Còn cái đoạn này tôi đọc mà lần nào cũng phải cười:
Ngoài ra, nếu người dùng hoặc 1 trang muốn ép (0-day exploit) IE chạy một file nào đó. Chương trình sẽ hiện lên 1 bảng confirm xem có cho phép hay không. Nếu không cho phép, chương trình sẽ lập tức deny và hành động execute file đó xem như chưa bao giờ xảy ra.
Không biết bác trình bày chưa đủ ý, hay là cách dùng từ khác lạ? Chứ nếu 1 site nào đó mà "ép" browser "chạy 1 file nào đó" thì cần gì phải confirm nữa!
Mà không biết bác Hoàng có thử qua, nếu file exe được tạo bằng AutoIt đó người ta mã hoá thêm 1 lần (ví dụ dùng các chương trình nén file exe chằng hạn) thì liệu dấu hiệu nhận dạng autoit có còn ở đó để chương trình của bác nhận dạng đúng?
Mà nghĩ đi nghĩ lại tôi cũng chưa hiểu rõ lắm tại sao chúng ta lại phải cần chương trình của bác Hoàng
1. Nếu máy không có chương trình diệt virus hay 1 chương trình bảo vệ nào thì trước sau gì cũng "chết vì thiếu hiểu biết". Nếu cài chương trình của bác Hoàng vào thì có khi còn nguy hiểm thêm vì nó tạo ra 1 sự an toàn "giả tạo" (chính bác Hoàng cũng nói nó chỉ detect được các chương trình AutoIt).
2. Nếu máy có chương trình diệt virus hay các chương trình bảo vệ khác được cập nhật liên tục thì chương trình của bác Hoàng có đất đâu mà dụng võ Mà các chương trình diệt virus còn có cách boả vệ tổng quát hơn, diệt được nhiều virus hơn và cũng cập nhật nhanh hơn nữa.
3. Trong khi chúng ta ngồi đây bàn luận thì:
- NAV, McAfee đã có chức năng "Protect your IM" từ 19...lâu lắc. Các AV và các chương trình bảo vệ khác cũng đã lục đục có. Như vậy chúng ta quay lại vấn đề: "máy không có chương trình AV hay chương trình bảo vệ nào thì...ngu chết ráng chịu á "
- Con AutoIt đầu tiên, không biết nước ngoài hay VN viết, bị các chương trình diệt virus cập nhật và diệt được sau khoảng 2 ngày.
- Các con sau đó được nhận dạng không quá...vài tiếng đồng hồ sau khi nó xuất hiện. Cho tới hôm nay, thì hầu như con virus AutoIt nào của VN cũng đều bị các chương trình diệt virus của nước ngoài nhận dạng tiêu diệt gọn.
- http://www.f-secure.com/v-descs/autoit_x.shtml
- v.v...
Trong khi đó chúng ta còn ngồi nơi đây...phát minh lại cái bánh xe |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
23/09/2006 19:28:51 (+0700) | #15 | 25251 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Nói thêm 1 chút về cái link cuối cùng mà tôi post lên: http://www.f-secure.com/v-descs/autoit_x.shtml
- Ngoài phiên bản AutoIt.X, trong virus database tôi còn nhìn thấy AutoIt.D nữa. Không biết các chương trình diệt virus của bọn Tây đánh tên virus như thế nào, nhưng nếu virus được đánh tên AutoIt, AutoIt.B, AutoIt.C...thì quả thật là con AutoIt đầu tiên đã được phát hiện và diệt từ khá lâu rồi!
- Các cty viết AV được cập nhật và nhận thông tin nhanh chóng về các con AutoIt nói riêng và các con virus lây lan qua đường IM/P2P nói chung là do các công ty có trang bị một hệ thống bảo vệ dạng như thế này (http://www.akonix.com/).
Một hệ thống như thế có thể phân tích và nhận biết được sự bất thường trong tần xuất cũng như nội dung các IM được gởi trong mạng nội bộ, gởi từ bên ngoài vào mạng, hay từ bên trong mạng ra ngoài và từ đó đưa ra những alert thích hợp (tuy nhiên tất cả những feature đó chỉ mới là 1 phần nhỏ trong nhiều chức năng mà 1 hệ thống như vậy có thể làm được).
Các bác thử ngâm cứu sơ qua coi sao. |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
23/09/2006 23:35:12 (+0700) | #16 | 25281 |
|
ChinhVn
Elite Member
|
0 |
|
|
Joined: 07/05/2003 12:06:21
Messages: 80
Offline
|
|
nbthanh nói rất có lý, nhưng việc Thái và Hoàng phát triển chương trình chống spim không phải là không có ý tốt. Chưa nói nhiều về mặt ứng dụng, nhưng về góc độ kỹ thuật thì ý tưởng của mrro, quá trình detect SPIM's signature và hoàn thiện IEprotector của LeVuHoang cũng đáng để bàn luận đấy chứ.
Mặc dù các Antivirus nổi tiếng thế giới như NAV, McAfee đã diệt được những con vr được viết bằng AutoIT nhưng liệu có mấy người thường xuyên update các Anti Vir này. ( có thể nói họ, ngu thì chết ..bệnh tật gì) đối với những người ít tiếp xúc với cntt thì những sản phẩm như IEprotector là một cứu tinh rất cần thiết
|
|
|
|
|
|
[Question] Re: [RFC] Ý tưởng phòng chống spim |
23/09/2006 23:38:55 (+0700) | #17 | 25282 |
Merc
Member
|
0 |
|
|
Joined: 20/07/2004 06:21:59
Messages: 14
Offline
|
|
Về việc này em cũng đồng quan điểm với anh nbthanh. Nếu chỉ đưa ra ở mức ý tưởng, người đọc có thể thấy đó là hay thật đấy, nhưng rồi sau đấy thì chưa thấy ứng dụng của nó vào đâu. Vậy sao anh mrro không relese beta lun, lúc đó cùng nhau so sánh.
Về sản phần IEProtector của anh Hoàng thì em chưa có điều kiện test, nhưng cá nhân em vẫn đang dùng Norton AV 2005, click vào mấy link chứa Autoit với cả IE và Firefox chả get được em nào. Cái lần Gaixinh thì vừa click vô cái Norton nó đã del lun rùi.
Cuối cùng vấn đề an toàn là vẫn thuộc về ý thức cảnh giác của người sử dụng.
|
|
|
|
|
[Question] Re: [RFC] Ý tưởng phòng chống spim |
23/09/2006 23:53:06 (+0700) | #18 | 25284 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Nói một cách công bằng, phần mềm chống AutoIt SPIM của levuhoang ra đời rất đúng lúc và hữu ích cho nhiều người dùng ở VN nói chung. Đây là việc làm thiết thực và có giá trị. Trong khi đó, sáng kiến dùng blacklist / graylist của mrro cũng rất lý thú và có khía cạnh ứng dụng khác. Những sáng kiến này có thể được ứng dụng cho một sản phẩm đa năng nào đó và chắc chắn chúng có vai trò nhất định.
nbthanh có cái nhìn thực dụng hơn và nó có giá trị nếu như nhìn vấn đề ở một hướng nhìn khác. Đặc biệt là vấn đề giáo dục mà nbthanh đưa ra:
Xét ở mặt vĩ mô, liệu chúng ta đã có ai thử nghĩ: tại sao chỉ có VN mới có mấy cái vấn nạn kiểu như "gaixinh" hay "funni" trong khi ở nước ngoài thì hầu như không có hoặc có rất ít?
Báo chí VN cũng không hề thấy câu hỏi này mà chỉ toàn thấy tung hô những chiến tích (ảo) khi chúng ta chặt được cái phần ngọn và những bài viết mà đọc vào ta có cảm tưởng như những người viết ra mấy con virus đó là những "kỳ tài trong tin học".
Vấn đề cốt lõi nằm ở ý thức của con người!
- Ý thức của người viết chương trình
- Ý thức của người sử dụng
Nếu chúng ta không dập tắt những ý nghĩ "viết được con virus như vậy là anh hùng", "thà làm 1 phút huy hoàng (được ... lên báo?)" thì hết gaixin rồi sẽ đến funni rồi đến thứ khác nữa.
Và nếu người dùng của chúng ta "bạ đâu cũng click", "file nào cũng load chạy thử" thì dù có cài version 100.0 của chương trình bác Hoàng hay áp dụng 10 lần cái hay hơn ý tưởng của bác Thái thì cũng "chết vì ngu" như thường.
Đây là một trong những sai lầm căn bản và nghiêm trọng của media. Lẽ ra, báo chí nên có cái nhìn trung tính và xác thực hơn là ngầm tung hê những hành vi phá hoại. Báo chí ở VN được kiểm duyệt khá chặt chẽ nhưng có lẽ chỉ chặt chẽ với những vấn đề thuộc về chính trị và tư tưởng chính trị hơn là đạo đức căn bản, càng không đụng đến những thứ chuyên về kỹ thuật. Báo chí viết về những chuyên đề thường thiếu học thuật và khảo sát nên bị lâm vào cảm tính và đưa ra những thông tin đáng lẽ không nên xuất hiện trên báo chí.
Tôi đọc khá nhiều bài viết trên các tờ báo mạng như Tuổi Trẻ, vnexpress, Thanh Niên..... và thấy có rất nhiều bài viết sai căn bản, thiếu khảo sát, thiếu kiểm nghiệm và tất nhiên là thiếu học thuật một cách trầm trọng. Theo tôi, đây cũng là điều cực kỳ quan trọng và cần được xét lại.
Vài ý kiến. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
24/09/2006 01:47:52 (+0700) | #19 | 25309 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Cái hay không phải là việc đi tìm giải pháp, mà nó nằm ở chỗ "hướng tiếp cận vấn đề" như thế nào. Về khả năng tiếp cận vấn đề, thành thật mà nói thì người VN chúng ta còn thua kém bọn "tây" rất xa.
Người ta thì nhìn vấn đề và giải quyết từ gốc đến ngọn, nhiều khi chỉ cần chặt phần gốc xong là phần ngọn tự nó cũng tiêu tan. Còn chúng ta thì chỉ thấy phần ngọn, chặt cái ngọn, rồi hả hê với nhau, trong khi cái gốc còn nguyên, chỉ cần dăm ba cơn mưa rào là đâu lại vào đấy.
Xét ở mặt vĩ mô, liệu chúng ta đã có ai thử nghĩ: tại sao chỉ có VN mới có mấy cái vấn nạn kiểu như "gaixinh" hay "funni" trong khi ở nước ngoài thì hầu như không có hoặc có rất ít?
Báo chí VN cũng không hề thấy câu hỏi này mà chỉ toàn thấy tung hô những chiến tích (ảo) khi chúng ta chặt được cái phần ngọn và những bài viết mà đọc vào ta có cảm tưởng như những người viết ra mấy con virus đó là những "kỳ tài trong tin học".
Vấn đề cốt lõi nằm ở ý thức của con người!
- Ý thức của người viết chương trình
- Ý thức của người sử dụng
Nếu chúng ta không dập tắt những ý nghĩ "viết được con virus như vậy là anh hùng", "thà làm 1 phút huy hoàng (được ... lên báo?)" thì hết gaixin rồi sẽ đến funni rồi đến thứ khác nữa.
Và nếu người dùng của chúng ta "bạ đâu cũng click", "file nào cũng load chạy thử" thì dù có cài version 100.0 của chương trình bác Hoàng hay áp dụng 10 lần cái hay hơn ý tưởng của bác Thái thì cũng "chết vì ngu" như thường.
Đâu từ 10, 20 năm trước cho tới tận bây giờ, trên báo, đài, TV vẫn có chuyên mục câu chuyện cảnh giác để giúp người dân nâng cao kiến thức (phòng tránh) và ý thức (tố giác bọn tội phạm).
Luật VN đã có qui định người viết virus là tội phạm, phát tán virus là vi phạm pháp luật. Nhưng ngoài những bài viết "ngầm" ca tụng mấy tên script kiddie và tung hô "chiến tích lẫy lừng" của những "anh hùng CNTT" thì tuyệt nhiên không thấy những hành động cụ thể nào để nhằm nâng cao kiến thức và ý thức của người làm tin học cả!
Hì những gì bồ nbthanh nói không có gì là mới cả, bản thân tui cũng đã có một http://blog.360.yahoo.com/blog-9hIPHNAlc6d3QoYURIU-?cq=1&p=143 có nội dung tương tự từ cách đây hơn một tháng:
...
Kể cũng lạ thiệt, chắc không nơi nào trên thế giới như ở VN khi mà bọn tội phạm đến một tờ báo online, chứ không phải cơ quan công an, để phân trần, chứ không phải để khai báo về hành vi phạm tội của mình. Haha, Vietnamnet đúng là chuối, đăng cả hình thằng đó lên vậy mà còn viết tắt họ tên. WTF? Cơ quan công an cũng chuối nốt, chẳng thấy động tịnh gì sấc. Cứ cái đà này thì sẽ còn xuất hiện nhiều con virus khác nữa. Viết virus = được lên báo mà, giống như tuyên dương người tốt việc tốt.
...
Hì tui thấy bồ nbthanh rất thích đem chuyện nước ngoài, chuyện Tây để nói về chuyện VN, thành ra cũng mạn phép hỏi bồ là ở nước ngoài chắc nó không có virus đâu phải không? Tại theo cách bác nói thì nó đã giải quyết được tận gốc của vấn đề rồi mà. Châm chọc tí cho vui, tui cho rằng sẽ là rất thiếu thực tế khi nghĩ rằng chỉ cần giáo dục và răn đe là có thể tiêu diệt được tội phạm. Mọi xã hội ở mọi thời đại đều có tội phạm và con người ta luôn cần những công cụ ngăn ngừa bọn tội phạm đó. Đó là về phía tội phạm, về phía user, những ai nghĩ rằng chỉ cần giáo dục, rèn luyện họ là có thể ngăn ngừa được virus thì chắc là chưa bao giờ làm về security cả.
Nói về chuyện Tây thì cũng xin thưa với bồ nbthanh là ở Tây nó chẳng có ba cái con kiểu như "gaixinh" hay "funni" đâu, nó chỉ có botnet với hàng triệu zombie mà thôi. Ngoài ra theo tui được biết thì các chương trình antivirus mà bồ nbthanh có đề cập đều xuất phát từ "Tây" mà ra cả. Nếu họ đã "giải quyết tận gốc" vấn đề thì xin bồ nbthanh giải thích giùm những sự thật ở trên.
Đi sâu hơn 1 chút về vấn đề kỹ thuật. Với cách giải quyết của bác Thái, "greylisting", "challenge-response" rồi "Bayesian filtering" nghe rất là mĩ miều và hứa hẹn. Nhưng nếu tôi nhớ không lầm thì Edison (và các nhà khoa học vĩ đại khác) đều nghiên cứu và thực nghiệm trước rồi mới công bố kết quả thực nghiệm (tức là họ đi từ gốc cho đến ngọn, và trên thực tế họ vĩ đại cũng vì 1 lẽ đơn giản như vậy) chứ không ai làm ngược lại xây cái nóc nhà rồi lúc lắp xuống mới không thấy cái móng và tường nhà ở đâu để mà lắp.
Hì tui gửi ý tưởng lên đây, với 3 chữ đầu tiên là RFC, ý của tui là nhờ mọi người xem xét, đóng góp xem liệu ý tưởng đó có khả thi cả về mặt kĩ thuật lẫn mặt usability hay không. Tui có mặt hạn chế là không đưa ra phiên bản demo trước khi trình bày ý tưởng của mình thành ra tui chưa lường được những khó khăn mà mình sẽ gặp phải trong quá trình triển khai thực tế. Tuy nhiên trong quá trình tranh luận, tui cũng nhận ra được nó không phù hợp về mặt kĩ thuật và có nhiều điểm cần phải bàn về mặt usability. Điều này giúp tui không phải tốn công sức ngồi triển khai một giải pháp đã phá sản ngay từ ở khâu ý tưởng. Tui hoàn toàn đồng ý với bồ nbthanh, lẽ ra chính bản thân tui phải thấy được những khuyết điểm của mình để không làm tốn công sức của những người khác, nhưng bồ cũng biết rồi đó, tui chẳng vĩ đại như Edison để mà có thể tự thấy được hết những lổ hỏng trong suy nghĩ của mình.
Tôi cũng rất mong bác Thái được như Edison hay 1 phần của Edison. Dù sao cũng là sự nở mày nở mặt của dân VN ta, nhưng trên thực tế thì bác Thái của chúng ta vẫn còn chưa
Hì, rất tiếc phải phụ lòng bồ nbthanh bởi lẽ tui chưa bao giờ mơ ước được trở thành Edison của VN cả.
Người ta có thể đánh giá cao ý tưởng của bạn, nhưng bạn chỉ trở nên có ích cho nhân loại khi ý tưởng của bạn thực hiện được và đem lại lợi ích cho cộng đồng (chứ thế giới có 6 tỉ người thì mỗi ngày chắc cũng có cỡ...1 tỉ ý tường hay ra đời!).
HÌ tui không hiểu câu nói này của bồ nbthanh có hàm ý điều gì trong đó, bởi lẽ tui đọc đi đọc lại mãi mà vẫn thấy nó xưa như trái đất và hoàn toàn chẳng ăn nhập gì với đề tài đang bàn luận ở đây.
Thay vào những thứ "đao to búa lớn" như "challenge-response" hay "Bayesian filtering" (nghe hay thật đấy, mĩ miều thật đấy nhưng...kết quả áp dụng như thế nào?), ta thử tiếp cận theo 1 hướng khác "bình dân" hơn 1 chút thử coi sao: scan ngay cái link được gởi qua chat.
Đằng nào thì giải pháp của bác Thái cũng thu gọn về việc ngăn user tiếp cận với các link độc hại. Vậy thì thay vì tạo thêm phiền hà cho user qua cái challenge-response, mình chỉ cần scan cái link được gởi đi thì sẽ đơn giản và hiệu quả hơn nhiều, và đây cũng là cách các chương trình scan virus áp dụng.
- Nếu link là 1 site, thì các site "độc hại" đều có 1 dấu hiệu nhận dạng chung là "tự động load và thực thi 1 đoạn mã nguy hại nào đó". Nếu link được gởi qua chat được chương trình của ta nhận dạng ra được thì...a lê hấp, xử sao thì xử.
- Nếu link là 1 file thực thi thì chương trình của ta có thể không làm gì được nhiều, nhưng phần việc còn lại đã có các chương trình anti-virus lo rồi (ta không nên bao đồng mà ôm đồm nhiều quá!). Tuy nhiên, ít ra chương trình của chúng ta có thể send 1 thông điệp tới user (hoặc cả 2 user) chằng hạn như là "file này là file thực thi, nó có thể gây nguy hiểm cho máy tính của bạn, hãy cẩn trọng, v.v...". Như vậy cũng góp phần nâng cao ý thức của user và ít nhiều cũng làm user "suy nghĩ 2 lần" trước khi chạy 1 file từ internet.
Bồ nbthanh quả là có nghề trong nghệ thuật dẫn dắt câu chuyện, bồ nên đăng kí thi làm MC đi. Từ chỗ cho rằng việc làm của tui là vô ích, và sau khi tui đã giải thích là nó có ích, bồ dẫn dắt qua hàng loạt chuyện khác, bây giờ là đề tài kĩ thuật. Rất tiếc là bồ nbthanh không đọc rõ ý tưởng mà tui trình bày, vấn đề mà tui đang cố giải quyết nên mới lập lại những gì tui đã viết.
Về cái gạch đầu dòng thứ nhất, đó chẳng phải là nội dung của ý tưởng về whitelist và blacklist. Về cái gạch đầu dòng thứ hai, ngay từ bên topic Phòng chống các loại SPIM viết bằng AutoIt, tui cũng đã không tán thành việc tạo ra thêm một chương trình anti-virus kiểu như IEProtector. Cái ý send thông điệp tới user là một kiểu của trường phái "giáo dục user" và tui thì luôn tin rằng "giáo dục user" một mình nó chẳng bao giờ có thể bảo vệ được user. Có hai bài viết của "Tây" rất hay về đề tài này, http://www.schneier.com/blog/archives/2006/08/educating_users.html của Schneier Bruce và http://www.ranum.com/security/computer_security/editorials/dumb/index.html của Marcus Ranum, bồ nbthanh nếu có thời gian thì nên đọc qua:
The real question to ask is not "can we educate our users to be better at security?" it is "why do we need to educate our users at all?" In a sense, this is another special case of "Default Permit" - why are users getting executable attachments at all? Why are users expecting to get E-mails from banks where they don't have accounts? Most of the problems that are addressable through user education are self-correcting over time. As a younger generation of workers moves into the workforce, they will come pre-installed with a healthy skepticism about phishing and social engineering.
Dealing with things like attachments and phishing is another case of "Default Permit" - our favorite dumb idea. After all, if you're letting all of your users get attachments in their E-mail you're "Default Permit"ing anything that gets sent to them. A better idea might be to simply quarantine all attachments as they come into the enterprise, delete all the executables outright, and store the few file types you decide are acceptable on a staging server where users can log in with an SSL-enabled browser (requiring a password will quash a lot of worm propagation mechanisms right away) and pull them down. There are freeware tools like MIMEDefang that can be easily harnessed to strip attachments from incoming E-mails, write them to a per-user directory, and replace the attachment in the E-mail message with a URL to the stripped attachment. Why educate your users how to cope with a problem if you can just drive a stake through the problem's heart?
Về những từ chữ như "challenge-response" hay "bayesian filtering", tui thấy nó hoàn toàn bình thường đối với ai quan tâm về security. Nên nhớ chúng ta đang ở trong một forum về security để thảo luận về security. Chẳng ai biết được kết quả thực tế khi triển khai các ý tưởng này và tui tin rằng đó là lý do mà tui ngồi ở đây tranh luận với bồ nbthanh và tất cả mọi người. Tất cả hay ít nhất là tui đều mong muốn có một giải pháp gọn đẹp cho một vấn nạn lầy lội.
-m
|
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] Re: [RFC] Ý tưởng phòng chống spim |
24/09/2006 02:55:33 (+0700) | #20 | 25321 |
BuRaTiNoVnO
Elite Member
|
0 |
|
|
Joined: 18/06/2005 11:26:40
Messages: 62
Offline
|
|
Chủ đề có lẽ đang nóng, mà em lại mang dòng máu lạnh, nên xin phép các bác cho em được bon chen )
- Do là đang sinh hoạt trong diễn đàn mà ai cũng có cái Nickname nên theo em các bác nên dùng nó cho phù hợp.
- Đã khá lâu rồi từ trước khi HVA mất DB em mới thấy trở lại một luồng như thế này. Trước đó một luồng khác cũng rất xôm tụ mà em thấy là bài tập của ông thầy Singapore nào đó của bác JTK thì phải (ko nhớ rõ do em cũng bị mất sạch DB loadsite của mình :cry: ). Em thấy còn có rất nhiều người giỏi theo dõi HVA chỉ là Guest, nên những chủ đề như vậy các bác public thì sẽ rất hay (cái này là do em thấy HVA chia theo quyền truy cập, có box kín nên mới nói ) )
- Theo em các ý tưởng mà bác mrro và LeVuHoang đang ấp ủ và qua diễn đàn để thu nhận ý kiến và phát triển là rất hay, nhưng khi ý định như vậy rồi thì các bác nên kiên nhẫn chờ nhận xét của nhiều người trước khi công bố sản phẩm.
- Nói như bác nbthanh cũng không hẳn đúng khi cứ gán trong mình nghĩa xấu của cái từ "người Việt Nam ta" rồi lấy người nước ngoài làm dẫn chứng.
Nhưng phải công nhận thật sự một điều nói chung là tại sao chúng ta chỉ hối tiếc khi đã mất, chỉ phòng thủ khi bị tấn công mà sao trong lúc yên bình chúng ta lại không nghĩ đến. Triết lý của em thì cũng chỉ đến thế, nhưng quan trọng là khi chúng ta bắt đầu dùng chất xám của mình cho cuộc sống "cơm, áo, gạo, tiền" thì hãy luôn đi trước và chủ động trong lĩnh vực của mình.
Mạn phép bon chen ) |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
24/09/2006 03:08:36 (+0700) | #21 | 25326 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Bác Thái nhà ta vẫn chứng nào tật nấy (và có 1 thời gian khá lâu tôi không ghé diễn đàn, không biết bác Thái nhà ta bị dính bệnh "vĩ nhân" từ lúc nào ấy thế nhỉ ).
...và sau khi tui đã giải thích là nó có ích...
Không biết bác Thái quên, hay cố tình quên (hay đây là 1 trong những biểu hiện của "vĩ nhân bệnh")? Giải thích không làm cho 1 sự việc từ "vô ích" tự nhiên trở thành "có ích".
Có ích hay không thì phải để thực tiễn chứng minh. Và thực tế là gì? Thực tế là chính bác Thái cũng đã nhận định những hạn chế của mình.
Vậy không hiểu cái "có ích" của nó nằm ở đâu?
nhưng bồ cũng biết rồi đó, tui chẳng vĩ đại như Edison để mà có thể tự thấy được hết những lổ hỏng trong suy nghĩ của mình.
Nói như thế này thì thật là sỉ nhục Edison (nói riêng) và giới làm khoa học (nói chung) quá!
Tự đánh giá và xem xét lại những lối suy nghĩ, tu duy cũng nhưng những thành quả của mình có được là kỹ năng cơ bản mà bất cứ người làm khoa học nào cũng có. Đâu phải phải cỡ như Edison thì mới làm được. Đem Edison ra để làm "khiên" chỉ là hành động nguỵ biện và chỉ tổ làm Edison thêm xấu hổ
Bản thân tôi chẳng thích lôi "Tây" ra mà so sánh với "Ta" để làm gì, vì như thế chỉ làm mình xấu hổ thêm, nhưng:
- Nếu không nhìn người mà chỉ nhìn mình thì chẳng qua cũng chỉ là "ếch ngồi đáy giếng"
- Nà nếu tôi không lầm thì bác Thái đem Edison vô trước, và nếu tôi nhớ đúng thì Edison là "tây" chứ chẳng phải ta
Không biết bác Thái có đọc cái link mà tôi đưa không (tôi thì link nào của bác tôi cũng đọc hết, toàn link tới các site của expert cả, bỏ qua thì "uổng" lắm ). Trong cái link của tôi đưa ra, ta biết được mấy điều:
- Thứ nhất: các chương trình AV của nước ngoài đã nhận dạng và diệt được các virus AutoIt của Vn từ khá lâu, cái link tôi đưa chẳng phải là tôi đưa ra 1 con virus AutoIt của nước ngoài đã được F-Secure diệt (tôi không được rảnh như vậy ), mà đó chính là con AutoIt của VN đấy. Nó đã được các Av của nước ngoài nhận diện và đặt tên cho tới version AutoIt.X (và tôi cũng nói thêm là còn có con AutoIt.D nữa, cũng VN nốt, vậy thì không biết con AutoIt đầu tiên đã bị diệt từ bao lâu rồi?).
- Thứ hai: cũng chẳng phải các AV nước ngoài "thần sầu" hay "rảnh" đến mức tìm diệt virus VN như vậy. Mà khởi đầu, con AutoIt đó (và các con virus lây lan qua IM, P2P khác) được phát hiện, cô lập, và gởi đến cho các cty AV chỉ trong vòng vai giờ sau khi virus xuất hiện là nhờ một hệ thống bảo vệ tương tự như L7 (của cty Akonix, trong cái link thứ 2 mà tôi đưa ra).
Thế mà bác Thái vẫn còn ngồi đây "mong muốn tìm ra giải pháp", rồi "nhờ mọi người xem xét, đóng góp". Như thế chẳng phải là sáo rỗng lắm sao?
Giải pháp: đã có (giải pháp của Akonix đã nhen nhóm từ 10 năm trước, còn các cty "đại thụ" khác trong làng security thì tôi không biết cụ thể, nhưng tôi tin rằng nó phải còn lão làng hơn thế nữa!)
Xem xét, đóng góp: cũng đã có, tôi còn đưa tới 2 cái link tới một giải pháp to đùng cho các bác tham khảo kia mà! Không biết bác Thái có xem qua giải pháp security của Akonix chưa? Hay là do "nó của bọn Tây nên..."?
Và không hiểu bác Thái có ý gì khi nói "...chắc là chưa bao giờ làm về security cả" nhỉ
"Giáo dục không thôi thì chưa đủ" không có nghĩa là "vậy thì không cần giáo dục nữa", vì rõ ràng "kỹ thuật không thôi thì sẽ không bao giờ được" (vậy hoá ra thì "thôi cần gì kỹ thuật nữa"!).
Schneier và Marcus Ranum phê phán lối giáo dục phiến diện, lối giáo dục lệch lạc chứ họ vẫn đề cao việc nâng cao ý thức của con người. Tôi cũng chỉ nói chúng ta nên chú trọng hơn nữa việc giáo dục về ý thức (cái mà hiện nay chúng ta hoàn toàn chưa có) chứ có câu nào nói "chỉ cần giáo dục là đủ" đâu?
Bỏ qua tôi (vì tôi tự thấy mình chả là gì so với Schneier và Marcus Ranum ), nhưng đọc bài viết của các cao nhân như Schneier và Marcus Ranum mà lại hiểu sai ý, từ hiểu sai ý tới thực hiện sai đường lối thì nguy hại lắm thay, vậy thôi thà đừng đọc
"It is often easier to not do something dumb than it is to do something smart" (Marcus Ranum nói, không phải tôi ).
|
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
24/09/2006 05:09:58 (+0700) | #22 | 25353 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
e hèm... cãi nhau dữ quá
Trong thời gian chờ "giáo dục nhân cách" (chuyện của các nhà giáo dục VN ) hay chờ các AV nước ngoài update db signature. Mình phải tự cứu mình đã
[FireLion] IE Protector không có "chạy theo" version của mấy con AutoIt, lão nbthanh ạ.
Xin được trích dẫn một phần trong FAQ:
[FireLion] IE Protector không phải là một liều thuốc trị bá bệnh, một chương trình hơn tất cả mọi chương trình. Mục tiêu của chương trình là làm sao người dùng có càng nhiều quyền lực với chiếc PC của họ càng tốt, càng ít bị malware càng tốt (thông qua các tools được built-in sẵn trong chương trình), mà trước mắt là nó thực hiện thành công với AutoIt SPIM. Thế là đủ !
http://fire-lion.com/software/IEProtector/ |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
24/09/2006 06:09:13 (+0700) | #23 | 25361 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Bác Thái nhà ta vẫn chứng nào tật nấy (và có 1 thời gian khá lâu tôi không ghé diễn đàn, không biết bác Thái nhà ta bị dính bệnh "vĩ nhân" từ lúc nào ấy thế nhỉ ).
Hì, chắc mới bị thằng nào đó lây.
...và sau khi tui đã giải thích là nó có ích...
Không biết bác Thái quên, hay cố tình quên (hay đây là 1 trong những biểu hiện của "vĩ nhân bệnh")? Giải thích không làm cho 1 sự việc từ "vô ích" tự nhiên trở thành "có ích".
Có ích hay không thì phải để thực tiễn chứng minh. Và thực tế là gì? Thực tế là chính bác Thái cũng đã nhận định những hạn chế của mình.
Vậy không hiểu cái "có ích" của nó nằm ở đâu?
Tui không nói ý tưởng của tui là có ích, tui nói việc nghiên cứu tìm giải pháp cho vấn đề spim là có ích.
nhưng bồ cũng biết rồi đó, tui chẳng vĩ đại như Edison để mà có thể tự thấy được hết những lổ hỏng trong suy nghĩ của mình.
Nói như thế này thì thật là sỉ nhục Edison (nói riêng) và giới làm khoa học (nói chung) quá!
Tự đánh giá và xem xét lại những lối suy nghĩ, tu duy cũng nhưng những thành quả của mình có được là kỹ năng cơ bản mà bất cứ người làm khoa học nào cũng có. Đâu phải phải cỡ như Edison thì mới làm được. Đem Edison ra để làm "khiên" chỉ là hành động nguỵ biện và chỉ tổ làm Edison thêm xấu hổ
Hì, bản thân tui đã tự tìm thấy chỗ sai trong ý tưởng của mình. Đơn giản tui sai vì tui đã đánh giá quá thấp AutoIt. Tui thừa nhận chuyện đó, không hiểu như thế có phải là sỉ nhục Edison.
Bản thân tôi chẳng thích lôi "Tây" ra mà so sánh với "Ta" để làm gì, vì như thế chỉ làm mình xấu hổ thêm, nhưng:
- Nếu không nhìn người mà chỉ nhìn mình thì chẳng qua cũng chỉ là "ếch ngồi đáy giếng"
- Nà nếu tôi không lầm thì bác Thái đem Edison vô trước, và nếu tôi nhớ đúng thì Edison là "tây" chứ chẳng phải ta
Hì, tui chưa bao giờ phản đối chuyện học hỏi nước ngoài cả, tui nhắc chuyện Tây bởi lẽ bồ nbthanh chính là người đưa ra ví dụ về cách nó giải quyết tận gốc vấn đề.
Không biết bác Thái có đọc cái link mà tôi đưa không (tôi thì link nào của bác tôi cũng đọc hết, toàn link tới các site của expert cả, bỏ qua thì "uổng" lắm ). Trong cái link của tôi đưa ra, ta biết được mấy điều:
- Thứ nhất: các chương trình AV của nước ngoài đã nhận dạng và diệt được các virus AutoIt của Vn từ khá lâu, cái link tôi đưa chẳng phải là tôi đưa ra 1 con virus AutoIt của nước ngoài đã được F-Secure diệt (tôi không được rảnh như vậy ), mà đó chính là con AutoIt của VN đấy. Nó đã được các Av của nước ngoài nhận diện và đặt tên cho tới version AutoIt.X (và tôi cũng nói thêm là còn có con AutoIt.D nữa, cũng VN nốt, vậy thì không biết con AutoIt đầu tiên đã bị diệt từ bao lâu rồi?).
- Thứ hai: cũng chẳng phải các AV nước ngoài "thần sầu" hay "rảnh" đến mức tìm diệt virus VN như vậy. Mà khởi đầu, con AutoIt đó (và các con virus lây lan qua IM, P2P khác) được phát hiện, cô lập, và gởi đến cho các cty AV chỉ trong vòng vai giờ sau khi virus xuất hiện là nhờ một hệ thống bảo vệ tương tự như L7 (của cty Akonix, trong cái link thứ 2 mà tôi đưa ra).
Thế mà bác Thái vẫn còn ngồi đây "mong muốn tìm ra giải pháp", rồi "nhờ mọi người xem xét, đóng góp". Như thế chẳng phải là sáo rỗng lắm sao?
Giải pháp: đã có (giải pháp của Akonix đã nhen nhóm từ 10 năm trước, còn các cty "đại thụ" khác trong làng security thì tôi không biết cụ thể, nhưng tôi tin rằng nó phải còn lão làng hơn thế nữa!)
Xem xét, đóng góp: cũng đã có, tôi còn đưa tới 2 cái link tới một giải pháp to đùng cho các bác tham khảo kia mà! Không biết bác Thái có xem qua giải pháp security của Akonix chưa? Hay là do "nó của bọn Tây nên..."?
Hì, giải pháp đó là dành cho ai? Ai có khả năng mua và sử dụng nó? Và một câu hỏi nữa, liệu giải pháp đó có phải là giải pháp tối ưu? Cứ cho đó là giải pháp tốt, tui vẫn nghĩ rằng việc đi tìm kiếm một giải pháp khác đơn giản, gọn nhẹ hơn vẫn chẳng sáo rỗng ở đâu cả.
Hì bồ nbthanh xin đừng chụp thêm một cái mũ "bài Tây" cho tui, đội cái mũ "vĩ nhân" đã nóng lắm rồi.
Và không hiểu bác Thái có ý gì khi nói "...chắc là chưa bao giờ làm về security cả" nhỉ
Nói vu vơ vậy thôi, ai nhột tự biết.
"Giáo dục không thôi thì chưa đủ" không có nghĩa là "vậy thì không cần giáo dục nữa", vì rõ ràng "kỹ thuật không thôi thì sẽ không bao giờ được" (vậy hoá ra thì "thôi cần gì kỹ thuật nữa"!).
Schneier và Marcus Ranum phê phán lối giáo dục phiến diện, lối giáo dục lệch lạc chứ họ vẫn đề cao việc nâng cao ý thức của con người. Tôi cũng chỉ nói chúng ta nên chú trọng hơn nữa việc giáo dục về ý thức (cái mà hiện nay chúng ta hoàn toàn chưa có) chứ có câu nào nói "chỉ cần giáo dục là đủ" đâu?
Bỏ qua tôi (vì tôi tự thấy mình chả là gì so với Schneier và Marcus Ranum ), nhưng đọc bài viết của các cao nhân như Schneier và Marcus Ranum mà lại hiểu sai ý, từ hiểu sai ý tới thực hiện sai đường lối thì nguy hại lắm thay, vậy thôi thà đừng đọc
"It is often easier to not do something dumb than it is to do something smart" (Marcus Ranum nói, không phải tôi ).
Hì tui nhớ Marcus Ranum có đặt một câu hỏi: The real question to ask is not "can we educate our users to be better at security?" it is "why do we need to educate our users at all?". Cho user thấy spim rồi giáo dục họ là đừng đọc, đừng click vào nó là một kiểu "default permit". Tại sao không chặn ngay từ đầu để họ không thấy được spim, từ đó không thể click vào được các đường link trong đó? Tại sao không sử dụng kĩ thuật để tự động áp user vào khuôn khổ thay vì phải tập trung giáo dục họ để rồi đêm dài lắm mộng? Giáo dục là việc cần thiết nhưng trong những trường hợp mà kĩ thuật vẫn còn có tác dụng, tui vẫn cho rằng nên sử dụng kĩ thuật để áp đặt một cơ chế an toàn cho tất cả mọi người. Bất kì người dùng máy tính nào cũng từng nghe lời khuyên là nên đặt mật khẩu khó đoán nhưng bao nhiêu người thực sự tuân theo lời khuyên này? Tại sao mặc định không ép user phải đặt mật khẩu có 8 chữ thay vì khuyên họ nên đặt mật khẩu dài hơn 6 chữ?
Hì, một điều tui cũng muốn góp ý với bồ nbthanh hay tất cả mọi người ở đây: khi đánh giá bất kì ý tưởng hay sản phẩm nào của bất kì ai, xin vui lòng tập trung vào ý tưởng hay sản phẩm đó, mọi khen chê, chửi bới đều sẽ được chấp nhận. Nhưng xin hãy lịch sự (hoặc ít nhất là tỏ ra lịch sự) đừng attack tác giả của nó.
Tổng kết lại thì tui thấy bồ nbthanh cho rằng tui ngu, rảnh rỗi không có gì làm, mắc bệnh vĩ nhân, ếch ngồi đáy giếng, bài Tây nên mới ngồi nghĩ ra ba cái ý tưởng vớ vẩn này. Tui chẳng biện minh gì cả, chỉ muốn bồ nbthanh hiểu 2 chuyện:
- Việc tìm kiếm giải pháp cho những vấn đề kiểu như spim là một sở thích của tui.
- Nếu như bồ nbthanh cảm thấy việc tìm kiếm giải pháp này là mất thời gian, là lố bịch, là việc làm của những ếch con, thì đừng tham gia. Có mợ thì chợ vẫn đông, không có mợ thì chợ chẳng bỏ không bữa nào.
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
24/09/2006 06:51:59 (+0700) | #24 | 25363 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Không hiểu cái JForum nó bị chạm hay sao mà bài viết của tôi nó nhảy loạn nhỉ
Bản thân tôi rất nể bác LVH vì bác ấy đã bỏ thời gian ra viết chương trình. Nhưng nể là chuyện của nể, góp ý vẫn phải góp ý để bác ấy đừng quá sa đà vào cái vô ích thì vẫn phải góp ý. Đó là nguyên tắc góp ý thằng thằng và thân thành của tôi.
Còn về Mr.Thái thì quả thật là tôi rất thất vọng!
Hì, giải pháp đó là dành cho ai? Ai có khả năng mua và sử dụng nó? Và một câu hỏi nữa, liệu giải pháp đó có phải là giải pháp tối ưu? Cứ cho đó là giải pháp tốt, tui vẫn nghĩ rằng việc đi tìm kiếm một giải pháp khác đơn giản, gọn nhẹ hơn vẫn chẳng sáo rỗng ở đâu cả.
Toàn những câu hỏi thừa thãi và nguỵ biện
Tôi không hiểu những câu hỏi nguy biện đó giúp gì được cho Mr/Thái về phương diện kỹ thuật? ngoài trừ làm dày cái vỏ bọc "sĩ diện" (xin lỗi khi nói thẳng).
Toàn bộ thông tin về sản phẩm của Akonix để có trên website của họ. Không biết Mr.Thái đã đọc qua chưa mà lại hỏi mấy câu hàm hồ như vậy?
- 1/2 sản phầm của Akonix chạy trên Win (cũng dễ hiểu), và theo tôi biết thì đang được port sang Linux (code phần lớn viết bằng Java)
- 1/2 sản phẩm còn lại: Linux-Java-PostgresSQL, toàn đồ open source, (Theo Akonix giới thiệu) plug & play, out-of-the-box, quick & easy installation, low cost.
Không biết như vậy thì Mr.Thái có thể cho biết "đơn giản, và gọn nhẹ hơn" nữa thì nó sẽ như thế nào?
Một điều nữa mà tôi thấy rất ư là lố bịch và buồn cười là hết 1/2 ứng dụng của Akonix có lối triển khai y chang như cái Kiosk Appliance của Mr.Thái (ops, có lẽ phải nói là cái Kiosk Appliance "giống giống" như đường đi của Akonix chứ nhỉ, vì tôi không nghĩ rằng 10 năm trước Mr.Thái đã tạo ra cái Kiosk Appliance đó rồi ). Chắc Mr.Thái vẫn chưa đọc qua site Akonix cho kỹ kỹ 1 chút? Đọc qua 2 site (Akonix & Kiosk Appliance) thì tôi thấy thậm chí mấy câu quảng cáo cũng còn có phần giống nhau nữa kìa
Thậm chí, nếu muốn khăng khăng muốn tìm 1 giải pháp khác tốt hơn (tôi thì rất hoan nghênh tư tưởng nảy, tôi chỉ không chịu nổi cái lối "chỉ thấy nói không"! tư tưởng tốt là 1 chuyện, cách tiếp cận vấn đề thế nào lại là chuyện khác nữa), thì ngay trên site của Akonix, họ đưa lên đó toàn bộ Spec, Architecture, Design, Feature List (cũng không khó giải thích vì các sản phẩm của Akonix build trên nền Open Source rất nhiều, nên họ open lại nhiều thứ cũng không có gì lạ!), rất đáng để tìm hiểu và nghiên cứu, học hỏi. Nhưng...hình như Mr.Thái cũng chưa đọc qua?
Trong khi đó tôi nhận lại được những lời nhận xét rất là "dễ thương" chưa kìa
Vậy thôi, tôi xin kiếu, dân Linux/Open Source mà, thảy source, thảy doc, thảy link lên là hết sức rồi, ai muốn đọc thì đọc, không thì tôi cũng đâu có ép được. |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
24/09/2006 07:21:56 (+0700) | #25 | 25366 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Hì, một người bạn của tui làm cho Akonix, tui đã biết được sản phẩm ngay cái hôm tui nảy ra ý tưởng về việc áp dụng greylisting để chống spim. Tui không thích cách làm của Akonix là bởi vì nó làm theo kiểu appliance, nghĩa là chỉ những user nào ở trong doanh nghiệp có sử dụng Akonix thì mới được nó bảo vệ. Thay vì tập trung vào việc clone Akonix, tui muốn thiết kế một plugin cho Yahoo! Messenger để chống spim, plugin này ai cũng có thể download và cài đặt một cách dễ dàng. Tui muốn home user, hay user ở các tiệm Internet cũng có thể thoát khỏi vấn nạn spim. Rõ ràng đây là hai hướng đi hoàn toàn khác nhau. Không biết nói vậy bồ nbthanh có nhận ra điều gì không? Hì tui cũng không hiểu bồ nbthanh có tham gia làm cái Akonix đó hay không mà cứ recommend nó hoài vậy cà.
Hì, bồ nbthanh rất có tài tung hoả mù. Tui rất khâm phục cái cách bồ chuyển đề tài từ Akonix sang Kiosk Appliance theo cái hướng là K.A. copy cách làm và ý tưởng thực hiện của Akonix. Hì mất đến 10 năm để tạo ra Akonix àh? Tui chỉ mất có 3 tháng để tạo ra Kiosk Appliance và cả http://www.innology.com.vn/products/asas.
Ngoài khả năng tung hoả mù ra, tui phải công nhận là bồ nbthanh có khả năng tranh luận tứ tung rất khá. Từ đầu đến giờ tui thấy được rất nhiều "chiêu thức", từ chụp mũ, tung hoả mù, bày tỏ sự thất vọng, đến chia rẽ, đưa ra sự khác biệt giữa tui và bồ LeVuHoang...Hi vọng sẽ còn được chiêm ngưỡng thêm được nhiều "kĩ thuật" khác nữa của bồ. Hi vọng "chiêu" cuối cùng không phải là "tôi không còn gì để nói nữa".
Hi vọng trong thời gian sớm nhất tui sẽ cho ra mắt plugin thể hiện các ý tưởng mà tui đã từng đề cập ở topic này, lúc đó thực tế sẽ chứng minh là cái nào hiệu quả và dễ sử dụng hơn.
-m
|
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] Re: [RFC] Ý tưởng phòng chống spim |
24/09/2006 07:25:45 (+0700) | #26 | 25367 |
littlefox
HVA Friend
|
Joined: 02/01/2004 08:38:00
Messages: 59
Offline
|
|
Cái cáhc 9dơn giản nhất là viết plugin cho IE. Cái plugin này chỉ cho phép các website cũa Microsft dùng VB script (vì tính năng update windows). Bản chất của mấy con này là dựa vào VBscript để active thì cứ disable VB sciprt là ổn!
To Thái + nbThanh: chuyện nhỏ xíu cãi nhau làm gì vậy?
Edited by LeVuHoang: Thằng fox cuồng z... đừng có mà phát biểu linh tinh bậy bạ :-| |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
24/09/2006 07:31:20 (+0700) | #27 | 25369 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Nhưng nể là chuyện của nể, góp ý vẫn phải góp ý để bác ấy đừng quá sa đà vào cái vô ích thì vẫn phải góp ý. Đó là nguyên tắc góp ý thằng thằng và thân thành của tôi.
vậy lão nbthanh cho [FireLion] IE Protector là vô ích ? Theo ý lão là không nên phát triển nữa ? Hay làm 1 cái vote xem bao nhiêu người đồng ý close dự án [FireLion] IE Protector nhé lão nbthanh
Hi vọng trong thời gian sớm nhất tui sẽ cho ra mắt plugin thể hiện các ý tưởng mà tui đã từng đề cập ở topic này, lúc đó thực tế sẽ chứng minh là cái nào hiệu quả và dễ sử dụng hơn.
nhớ thêm plugin cho MSN Messenger, Trillian... nữa nha lão mrro |
|
|
|
|
[Question] Re: [RFC] Ý tưởng phòng chống spim |
24/09/2006 09:11:57 (+0700) | #28 | 25380 |
|
hieuhoc
Member
|
0 |
|
|
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
|
|
Có lẽ topic này nóng lên thật rồi nhưng em cũng có vài ý kiến thế này các bác ạ,thật sự em thì noob lắm nên không hiểu hết các bác bàn ý tưởng chống spim như thế nào,em chỉ biết đánh giá vấn đề qua thực tế thôi và thực tế đã chứng minh là chương trình IEProtect của bác LeVuHoang đã xuất hiện kịp thời (cũng có thể nói là hơi trễ chút xíu) và giải quyết được vấn nạn(hiện nay không phải hôm qua cũng không phải tương lai) Spim được viết = Autoit (theo em) là triệt để rồi.Vậy các bác có cách nào hay hơn thì cho bọn noob em thấy để còn có cơ sơ để đánh giá chứ,em nghĩ như thế các bác thấy sao ạ,các bác đừng lấy kiến thức ra để sỉ vả em nhá. |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
24/09/2006 11:09:01 (+0700) | #29 | 25394 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Mr.Thái nói tôi tung hoả mù, vậy chứ ai biến "nhen nhóm từ 10 năm trước" thành "mất 10 năm để tạo ra Akonix" nhỉ? Để rồi từ đó so sánh với cái "3 tháng xào nấu lại các solution có sắn". Buồn cười thật
Trước đây 1 đứa bạn của tôi cũng làm đồ án tốt nghiệp về chống spam, thời gian cũng xem xem cỡ khoảng 3 tháng từ lúc ý tưởng cho tới thuật toán rồi cuối cùng là 1 solution hoàn chỉnh. Đồ án của nó đạt kết quả xuất sắc và nó đem cái đó đi mở cty rồi. Rất tiếc sau khi ra trường thì không còn liên lạc với nhau nữa, nhưng theo tôi được biết, trước khi nó mở cty riêng, cũng đã có khá nhiều cty liên hệ để mua lại và triển khai solution của nó.
(một điều thú vụ là qua quá trình thử nghiệm, tôi đã tìm ra và trình bày với nó 1 cách để qua mặt hệ thống bảo vệ của nó - xây dựng trên cơ chế tự học để tự hoản thiện - mà sau đó nó cũng báo lại là đã tìm ra cách khắc phục, nhưng rồi sau đó ra trường mỗi đứa 1 nơi nên tôi cũng không có dịp hỏi xem nó khắc phục kiểu nào, nhưng nếu nó tìm ra được cách khắc phục thì quả là rất độc đáo, vì các hệ thống tự học có điểm yếu chung để attacker có thể khai khác được).
Akonix thì tôi không làm, nhưng theo tôi được biết ở VN chưa có cty nào rớ tới được cái security solution của nó cả. Akonix có out source về VN, nhưng các cty VN chỉ làm các phần "râu ria" bên ngoài mà thôi. Không biết người bạn đó của Mr.Thái làm ở cty nào? Chứ appliance thì là chiến dịch "low cost" của Akonix mà thôi, solution của nó còn hơn thế nhiều.
Giải pháp viết plugin cho Yahoo Messenger cũng đã được nêu ra và submit lên Yahoo lâu rồi, nhưng tới nay chính Yahoo cũng vẫn chưa triển khai. Lý do thì có trời mới biết, nhưng nếu Yahoo vẫn chưa triển khai solution để bảo vệ chính user IM của mình thì ắt hẳn nó phải có lý do của nó.
Tôi cũng chả rảnh để tham gia vào những chuyện vô bổ, nhưng Mr.Thái đưa ngay "người bạn của tui làm cho Akonix" vào ngay câu đầu tiên của bài trả lời. Tôi tò mò không biết người bạn của Mr.Thái là ai? Làm cho cty nào ở VN được Akonix out source về? Hay là làm cho chính Akonix ở US? Tôi tuy không biết nhiều, nhưng cũng có biết sơ sơ về Akonix trong 1 lần tìm kiếm 1 số giải pháp open source về IM. Với các solution của Akonix tôi cũng có hứng thú đôi chút và cũng có tìm kiếm ít nhiều, nên tự nhiên tò mò không biết người bạn mà Mr.Thái nói là ai nhỉ? |
|
|
|
|
[Question] [RFC] Ý tưởng phòng chống spim |
24/09/2006 12:07:47 (+0700) | #30 | 25398 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Hì, bồ nbthanh biết rõ người đó là ai rồi mà còn hỏi lại. "Sào nấu lại solution có sẵn" thì đã sao nhỉ? Chẳng phải mới vừa rồi có ai đó nêu lên một cách tự hào rằng Akonix cũng sử dụng những gì đã có để làm? Hì so sánh Akonix với Asas về hiệu quả của nó thì chưa biết ai hơn ai àh. Nếu bồ nbthanh muốn thử attack cái Asas thì tui sẵn sàng thôi, tui cũng đang thiếu tester. Mà hình như lạc đề nghiêm trọng rồi.
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|