banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: mrro  XML
Profile for mrro Messages posted by mrro [ number of posts not being displayed on this page: 1 ]
 
Ai nghi ngờ về tính xác thực của các email mà tôi gửi lên đây thì mời xem attachment nhé.

--m
@chinhtruc: tôi vừa mới sửa lại cái post mới nhất để làm rõ hơn một số điểm. Tôi nghĩ thế này, bất kể quyền lợi mong muốn của tác giả là thế nào, nếu trong license, tác giả không cho anh làm X, mà anh vẫn làm X, nghĩa là anh đã vi phạm bản quyền của tác giả.

Điều số 4 của giấy phép WinRAR quy định:

WinRAR's license wrote:

The RAR/WinRAR unregistered trial version may be freely distributed, with exceptions noted below, provided the distribution package is not modified in any way.

a. No person or company may distribute separate parts of the package with the exception of the UnRAR components, without written permission of the copyright owner.

b. The RAR/WinRAR unregistered trial version may not be distributed inside of any other software package without written permission of the copyright owner.

c. Hacks/cracks, keys or key generators may not be included on the same distribution.
 


Nghĩa là một người chỉ được RAR/WinRAR cấp cho quyền sao chép và phân phối lại RAR/WinRAR nếu và chỉ nếu họ không phạm phải các điều 4a, 4b và 4c.

Nếu anh là một người sử dụng bình thường, anh có quyền chép trọn bộ package WinRAR cho bất kỳ ai khác mà không vi phạm bất kỳ điều khoản nào trong license của WinRAR.

Nhưng, như đã phân tích ở đầu topic, hành động táchnhúng rar.exe vào BKAV Pro lần lượt vi phạm 4a và 4b, do đó BKIS không hề được RAR/WinRAR cấp quyền sao chép và phân phối lại.

Nghĩa là BKIS đã vi phạm các quy định trong giấy phép sử dụng WinRAR mà BKIS được cấp, bất kể người dùng cuối có trực tiếp sử dụng hay biết đến sự tồn tại của rar.exe hay không, và bất kể quyền lợi mong muốn của đám WinRAR là thế nào.

Tôi nghĩ những suy diễn của bồ về tại sao tác giả WinRAR quy định thế này, quy định thế kia là không có giá trị, bởi lẽ bồ chẳng phải là tác giả WinRAR. Quy định của họ là như vậy, bồ không làm theo, nghĩa là bồ phạm luật. Chấm hết.

--m
Hôm nay rất vui là cuối cùng cũng có một tờ báo lên tiếng về việc này, và BKIS đã không còn im lặng nữa. Đây có thể coi là một kết quả khả quan ban đầu để khích lệ tinh thần của những anh em đã đưa vụ này ra ánh sáng.

Những gì cần nói thì một số bồ đã nói rồi, tôi chỉ muốn nhấn mạnh thế này: có lẽ bác Quảng và một vài người khác đang thảo luận trong topic này như chinhtruc không phân biệt được hai khái niệm copyright và license.

Copyright (ở VN dịch là bản quyền, tôi thấy cách dịch này không rõ lắm) là quyền của tác giả, quyền của người tạo ra sản phẩm, chữ *copy* có thể hiểu nôm na là quyền được sao chép, quyền được phân phối lại.

Tôi thấy nhiều người hay nói, "tôi xài Windows có bản quyền", "tôi xài phần mềm X có bản quyền"...phát biểu như thế là hoàn toàn huề vốn, bởi lẽ bất kỳ thứ sản phẩm nào được tạo ra trên thế giới đều có bản quyền (trừ những sản phẩm thuộc dạng public domain), nghĩa là có một ai đó giữ quyền tác giả của chúng.

Lẽ ra các phát biểu trên phải là: "tôi xài Windows có giấy phép sử dụng hợp lệ" hay "tôi có giấy phép sử dụng hợp lệ để xài phần mềm X".

Giấy phép sử dụng (dịch từ tiếng Anh là license, cách dịch này ổn) là những quy định (thường có giá trị như một hợp đồng dân sự), giữa người bán (thường là người giữ bản quyền) và người mua, nhằm điều chỉnh hành vi của người mua, cho phép họ làm một số việc, và không cho phép họ làm một số việc.

Đối với lĩnh vực phần mềm, có một số license như GPL, BSD, Mozilla, Apache, MIT (xem thêm trên http://www.opensource.org) cho phép người sử dụng có được cái quyền *cao cấp nhất* của quyền tác giả, là sao chép và phân phối lại. Nhưng tuyệt đại đa số license phần mềm không hề cấp cho người sử dụng quyền sao chép và phân phối lại này.

Trở lại vấn đề của WinRAR, bác Quãng và BKIS đóng vai trò là người sử dụng, quyền của họ được quy định trong license giữa họ và WinRAR, và như đã nói ở trên, họ không hề được cấp quyền sao chép và phân phối lại WinRAR mà không có sự đồng ý bằng văn bản (written permission) của WinRAR.

Điều số 4 của giấy phép WinRAR quy định:


The RAR/WinRAR unregistered trial version may be freely distributed, with exceptions noted below, provided the distribution package is not modified in any way.

a. No person or company may distribute separate parts of the package with the exception of the UnRAR components, without written permission of the copyright owner.

b. The RAR/WinRAR unregistered trial version may not be distributed inside of any other software package without written permission of the copyright owner.

c. Hacks/cracks, keys or key generators may not be included on the same distribution.
 


Nghĩa là một người chỉ được RAR/WinRAR cấp cho quyền sao chép và phân phối lại RAR/WinRAR nếu và chỉ nếu họ không phạm phải các điều 4a, 4b và 4c.

Như đã phân tích ở đầu topic, hành động tách và nhúng rar.exe vào BKAV Pro vi phạm 4a và 4b, do đó BKIS không hề được RAR/WinRAR cấp quyền sao chép và phân phối lại. Nghĩa là BKIS đã vi phạm các quy định trong giấy phép sử dụng WinRAR mà BKIS được cấp, bất kể người dùng cuối có trực tiếp sử dụng hay biết đến sự tồn tại của rar.exe hay không.

(tôi có chỉnh sửa vài chỗ cho nó rõ ý hơn)

--m

PS: cách đây không lâu, tôi có start một cái project nho nhỏ về vấn đề bản quyền này. Mục tiêu là trả lời cho các thắc mắc của mọi người về bản quyền và luật sở hữu trí tuệ ở VN. Tuy vậy có quá ít câu hỏi được hỏi, nên tôi cũng quên bẵng đi, hôm nay mới nhớ lại. Nếu ai muốn đặt thêm các câu hỏi khác về vấn đề này, có thể hỏi tôi trực tiếp trên này, hoặc ở link này http://vnhacker.blogspot.com/2008/03/cac-cau-hoi-thuong-gap-ve-ban-quyen.html.

lamer wrote:

Tranh luận với bọn Việt Nam ta 1 lúc thì sẽ thấy sự soi mói bơi móc trong câu chữ mà chẳng liên quan gì tới vấn đề.
 


Vậy thì cái này sẽ là lamer's law.

Anyway, chắc anh lamer có nhiều chứng cứ lắm mà chưa muốn trưng ra phải không? smilie

--m

vlx84 wrote:

Trong thư của Gil mà mrro trích dẫn có câu "It is really a shame that a commercial software that is written by students and lecturers ignore licenses, and especially open source licenses... " <----, nếu như mrro chỉ mail để thôn báo BKAV vi phạm bản quyền, sao Gil lại trả lời câu này, sao lại có STUDENTS ở đây. Nếu mrro trả lời "Gil đã đọc phần help của BKAV:Người đã sáng lập, phát triển và gắn bó với Bkav suốt từ khi còn là sinh viên năm thứ 3 là Nguyễn Tử Quảng, Giám đốc Trung tâm An ninh mạng và là Giảng viên Khoa Công nghệ Thông tin Trường Đại học Bách Khoa Hà Nội." thì quả nhiên Gil không rành tiếng Việt rồi.
 


Haha thú thật là tôi cũng rất ngạc nhiên tại sao Gil này nói không biết tiếng Việt nhưng lại ghi ra cái câu đó. Tôi đồ là chắc trên website của BKIS có ghi. Giờ có nguoi_my_tram_lang xác nhận rồi kìa.

Mà thôi bồ àh, cái này thì có liên quan gì đến nội dung đang tranh luận ở đây? Nếu bồ thắc mắc tại sao mấy cái nick khác bị locked hay warned thì đây chính là lý do.

Ngoài ra nếu chỉ nhìn topic này như là nơi để "dập BKIS" thì tôi nghĩ bồ đã bỏ sót rất nhiều thứ. Bản thân tôi, và tôi tin là có nhiều người khác ở đây, học được rất nhiều từ những bài phân tích trong topic này.

--m

boom_jt wrote:

1 chút ý kiến nữa là boom thấy mrro hơi "quá miệng" 1 chút rồi. Boom để ý vì bác ý nói hình như thuộc dạng nhiều nhất trong thread này Khi nói về các mối quan hệ *under the table*, mrro vin vào điều gì để nói vậy? Hay chỉ là những suy đoán - cho phép boom được dùng từ "hàm hồ" -do các bác ở trên dùng ? Boom thấy cách suy luận nói chuyên của mrro khá khoa học, chỉ có thể 1 chút hơi mang tính quy kết chăng. Đôi chút góp ý, gửi tới bác, cùng mọi người cứ bình tĩnh ta thoải mái bàn luận
 


Cái đoạn mà bồ đề cập nó chẳng qua là một đoạn *tán dóc* với nhau, sau khi những chuyện này đã xảy ra, nó chẳng quan trọng gì và cũng chẳng ăn nhập gì nhiều với cái đề tài đang được tranh luận ở đây.

--m

trangxanh wrote:

Tôi nghĩ nếu bàn về đạo đức nghề nghiệp thì bản thân mrro đáng lẽ cũng nên thực hiện vụ này cho nó chuyên nghiệp. Chính mrro là người hăng hái đi "điều tra" nhất. Nhưng theo tôi, cách làm chuyên nghiệp là ngay từ khi anh TQN có các phân tích kỹ thuật, thì chúng ta nên gửi thư hoặc điện thoại hỏi trực tiếp bkis, thông báo và đề nghị họ giải thích, thay vì chúng ta đã đi làm những chuyện như đã làm.
 


Tôi nghĩ không việc gì tôi phải thông báo cho họ, bởi lẽ họ cũng là người Việt, cũng sẽ biết những tin tức này, nếu họ muốn giải thích, thì đã giải thích hoặc đã làm một việc gì đó từ lâu rồi.

Tôi thông báo cho diStorm và WinRAR vì họ là người nước ngoài, không hiểu tiếng Việt, nếu không báo cho họ biết, thì họ sẽ không bao giờ biết.

Hì mà tôi thấy buồn cười, tự nhiên tự vì tôi thông báo cho diStorm với WinRAR nên tôi cũng phải thông báo cho BKIS àh? Thông báo cho ai là quyền của tôi mà. Nếu bồ muốn thông báo cho BKIS, sao bồ không làm nhỉ?

Tôi không cần biết việc không thông báo cho BKIS có chuyên nghiệp hay không chuyên nghiệp, nói thật tôi không quan tâm. Nghề của tôi không phải là đi thông báo, hỏi ý kiến người khác về những vấn đề xảy ra trên Internet. Tôi chỉ làm việc đó, khi tôi thấy nó phù hợp với những chuẩn mực đạo đức mà tôi vẫn theo đuổi.

trangxanh wrote:

Bản thân mrro cung cấp thông tin mrro đã trao đổi với Gil và Gerhard, nhưng hình như không đầy đủ? mrro vẫn đang còn giữ gì mà không nói? sao mấy bài trả lời mrro ám chỉ là còn gì chưa nói? hay là có điều gì không ổn về những cái mail trao đổi à?
 


Tôi đã nói từ đầu, bồ có quyền không tin vào những gì tôi đã liệt kê ra. Và tôi cũng có quyền không nói những điều tôi không/chưa muốn nói.

Nếu bồ cần thêm thông tin, bồ có thể tự viết email cho đám WinRAR và diStorm để hỏi. Thậm chí bồ có thể hỏi họ xem tôi có viết gì sai không, tôi sẽ cảm ơn bồ nếu bồ làm việc đó.

Dẫu vậy, tôi có uy tín của tôi, và tôi tin là những ai đã biết tôi từ trước tới nay, họ đã có sự lựa chọn là tin hay không tin những điều tôi nói.

trangxanh wrote:

Tôi cho rằng anh em mình làm kỹ thuật nhiều & vững, nhưng kinh nghiệm xã hội, đối xử thì có lẽ chưa đầy đủ và thể hiện bản lĩnh.
 


Hì, thôi bồ àh, đừng có kiểu quy kết về con người như thế, nghe chán lắm. Tranh luận một cách có văn hóa là tập trung vào nội dung tranh luận, chứ đừng chĩa mũi dùi về những người đang tranh luận (tôi đôi khi cũng không làm được việc này, nhưng vẫn phải tự nhắc nhở như thế).

--m
@K4i: tôi hiểu sai ý bồ, thành ra mỗi người nói một chuyện.
Tổng kết lại thì tôi có hai ý:

1. Câu hỏi "BKVA Pro có vi phạm bản quyền?", nếu chỉ xét đến phần diStorm64, thì sẽ rất khó trả lời theo luật pháp. Thật tế trước giờ trên thế giới, theo tôi biết, vẫn chưa có vụ án nào xét xử vi phạm license của BSD code.

Có một vụ đình đám hồi tháng 9 năm ngoái, về việc một tay programmer lấy BSD code, chỉnh sửa tí, rồi re-license lại thành GPL. Tôi vẫn chưa có thời gian đọc lại vụ đó, nên vẫn chưa biết người ta đã giải quyết thế nào.

Tôi đồng ý với bồ về nhận xét, do bản thân cái license BSD nó không rõ ràng, nên những luận cứ để chứng minh BKIS vi phạm license của diStorm64 là không thuyết phục lắm.

2. Trước giờ đối với cộng đồng, những hành động của BKIS sẽ bị lên án. Luật lệ bất thành văn là sử dụng BSD code, anh phải credit cho tác giả ở documentation hay ở help/about. Tôi rất thích câu nói của bồ rainsg1, làm tốt việc đơn giản này coi như là bước khởi đầu tốt trên con đường nhận thức văn minh.

Đối với mỗi cá nhân trong cộng đồng, đối với tác giả diStorm64, dẫu có thể BKIS không phạm luật, nhưng họ đã không rõ ràng, không minh bạch, hay như hacnho nói, không sòng phẳng.

Chợt nhớ hai câu Kiều:

Trăm năm bia đá cũng mòn
Ngàn năm bia miệng vẫn còn trơ trơ

--m
@rainsg1: có hai điều tôi nghĩ cần làm rõ:

1. Tôi có đặt ra câu hỏi đại loại như "tại sao BKIS không tận dụng cơ hội này để thay đổi hình ảnh của họ trong cộng đồng?". Thật tế không phải là tôi không hiểu tại sao bọn BKIS im lặng, mà tôi chỉ thấy tiếc cho họ, đã bỏ lỡ một cơ hội PR ngon lành. Như tôi đã nói, có lẽ với các mối quan hệ *under the table*, họ (nghĩ rằng) vẫn có thể sống khỏe.

2. Không cần bọn WinRAR *khuyến khích* thì tôi nghĩ vẫn sẽ có nhiều người lên tiếng về việc này. Đơn giản vì đây là việc đúng cần phải làm.

--m

K4i wrote:

tôi đồng ý với bồ rằng khi chúng ta tham gia vào một cộng đồng thì hãy tuân theo văn hóa của cộng đồng để ít nhất là được tôn trọng trong cộng đồng ấy. Nhưng khi chúng ta động đến luật, đến kiện tụng và tòa án, đến giấy phép và bản quyền thì người ta chỉ cần quan tâm đến chứng cứ và lý lẽ mà thôi :-P, chứ chả ai quan tâm đến cộng đồng và sự tôn trọng ở đây cả. Giấy trắng mực đen ghi rõ ràng như vậy, người ta hoàn toàn có thể lật lại mọi thứ. Cộng đồng có thể không tôn trọng ông (thậm chí là khinh bỉ) nhưng nếu chiếu theo luật ông đúng thì tức là ông chả làm sao cả.

Tôi nghĩ rằng, khi chúng ta động chạm đến danh dự của một tổ chức / nhãn hiệu nào đó (ở đây là BKAV) thì những gì chúng ta nói, những gì chúng ta qui kết phải có bằng chứng và lý lẽ một cách rõ ràng chứ không thể lập luận dựa trên những thứ mập mờ được. Ăn không nói có hoặc tát nước theo mưa thực sự là điều đáng bị lên án.
 


Bồ chú ý là tôi có nói, muốn biết đúng hay sai, thì phải ra tòa mới mà biết được. Nếu bàn đến chuyện official, thì chỉ có tòa án mới có quyền tuyên bố BKIS có vi phạm bản quyền hay không. Mà thật tế, có ai ở đây muốn phải ra tòa kiện tụng với BKIS đâu?

Chuyện mập mờ hay không mập mờ cũng vậy, chỉ có tòa án mới có thể xác định những chứng cứ đưa ra là có đủ thuyết phục để mà rút ra một kết luận nào đó hay không.

Ngay từ đầu tôi đã nói, và cũng đã lập lại nhiều lần, toàn bộ việc này chủ yếu liên quan đến vấn đề đạo đức nghề nghiệp, đến sự tôn trọng dành cho các luật lệ khi tham gia vào sân chơi chung của cộng đồng mà thôi.

Đối với cộng đồng, đối với HVAOnline, tôi nghĩ những điều mà anh TQN và mọi người phân tích đã là quá đủ để mỗi người rút ra một kết luận cho riêng mình.

Nếu bồ vẫn nghĩ rằng những lập luận, những chứng cứ, những thông tin trình bày ở đây là vẫn chưa đủ thuyết phục, thì đó là chuyện của bồ, bồ có quyền nghi ngờ, bồ có quyền đặt sự tin tưởng vào BKIS, điều đó chẳng ảnh hưởng đến ai cả.

Còn nếu bồ hay nhiều người khác mong muốn hơn nữa, kiểu như phải chứng minh được bằng luật pháp là BKIS có tội, thì tôi nghĩ bồ đã chọn nhầm chỗ để mà yêu cầu rồi.

--m
@k4i: tôi tưởng là đã giải thích cho bồ rõ trong post trước rồi chứ?

Như thế này, cứ giả sử như giả thuyết của bồ là đúng, thì việc làm của BKIS cũng khác với trường hợp winsock.h:

* winsock.h ứng với cái clause thứ nhất của BSD license, nghĩa là Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. Đám MS đã làm việc này trong chính file winsock.h rồi.

* việc sử dụng diStorm64 bằng cách tự compile lại (thậm chí có chỉnh sửa, nhiều hay ít) rồi phân phối bản binary như bồ mô tả, là ứng với clause thứ hai của BSD license, nghĩa là Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution..

Có một chỗ không rõ ở đây (tôi đồng ý với bồ về điểm mập mờ này của BSD license), là cái cụm từ *other materials*. Nếu *other materials* bao gồm luôn cả bản thân cái binary, thì việc để lại copyright như bồ mô tả là hoàn toàn hợp luật. Ngược lại, nếu *other materials* không bao gồm bản thân cái binary, thì việc để lại copyright như bồ mô tả là không hợp luật.

Đương nhiên, muốn biết là có hợp lệ hay không, thì phải ra tòa mới biết :-p. Đây cũng là lý do mà có thể, MS đã vi phạm bản quyền của University of California (khi sử dụng code BSD trong các utilities như ftp.exe, nslookup.exe...) nhưng UoC cũng chẳng dại gì mà đi đối đầu trước tòa với một tên lắm tiền nhiều của như MS.

Thật tế mặc dù MS không ghi credit rõ ràng cho UoC, nhưng rất nhiều người, trong đó có tôi và bồ, đều biết là MS sử dụng BSD code của UoC. Như thế là quá đủ cho UoC nói riêng và BSD developer nói chung rồi. Họ chỉ cần thế mà thôi, credit cho họ, cách này hay cách khác.

Một điểm cần chú ý nữa là convention của cộng đồng trong việc sử dụng BSD code là phải credit cho developer trong documentation hay là phần help/about của cái application. Đây chính là một thứ luật bất thành văn đã trở thành văn hóa trong cộng đồng.

Bồ có thể làm đúng luật pháp trên giấy tờ, nhưng như thế là chưa đủ, bồ còn phải đúng với luật chơi của cái cộng đồng mà bồ là một phần của nó, nếu muốn nhận được sự tôn trọng.

Tác giả của diStorm64 đã tận tay email cho BKIS để hỏi tại sao không credit cho anh ấy, nhưng BKIS đã không làm gì, mặc dù đã sử dụng code được phân phát miễn phí của anh này. Đây là điều không thể chấp nhận, về mặt đạo đức nghề nghiệp.

--m
Có lẽ cần làm rõ một điểm, tại sao tôi lại không tin là BKIS đã mua license của WinRAR:

1. Đối với BKIS, nếu họ mà bỏ tiền ra mua license của WinRAR, thì họ đã la làng từ rất lâu rồi. Nên nhớ là họ luôn cố gắng *quảng bá* hình ảnh của họ bằng mọi giá, thì không có lý do gì họ không rêu rao việc tôn trọng pháp lý (một hành động đáng hoan nghênh) khi ký hợp đồng với WinRAR.

2. Nếu vì lý do gì đó, họ *quên* không la làng vụ ký hợp đồng hay thỏa thuận với WinRAR, thì khi anh TQN đưa ra bằng chứng và đặt câu hỏi về tính hợp pháp của việc nhúng rar.exe vào Sysinfo.dll, thì chắc chắn BKIS đã nhanh chân *đính chính* vụ này rồi. Dẫu gì thì đây cũng là một cơ hội PR ngon lành.

3. Quay lại câu hỏi ở trên, nếu BKIS đã có mua license từ WinRAR thì tại sao rar.exe lại hiện lên là *shareware version*?

Đương nhiên, có thể vì những trớ trêu gì đó, BKIS làm chuyện này hoàn toàn hợp pháp nhưng lại quên PR, không thèm đính chính và quên đính kèm thông tin license vào Sysinfo.dll. Nếu thật vậy thì tôi sẽ rất vui, bởi lẽ ít ra họ cũng chơi đúng luật lệ quốc tế.

Nhưng tôi không ngây thơ một cách ngu ngốc (chứ đừng nghĩ là *bình tĩnh phán đoán tình hình* nhé) mà tin vào chuyện cổ tích này.

--m
vangmoon: tôi nghĩ chưa đến lúc tôi cần phải đưa bằng chứng chứng minh rằng bọn WinRAR đã trả lời đúng như những gì tôi đã trình bày. Cho đến khi đó, bồ có quyền không tin, chẳng sao cả.

Tôi chỉ muốn bồ giải thích, tại sao nếu BKIS đã mua license của WinRAR, mà phiên bản rar.exe đính kèm lại hiện là shareware và không có bất kỳ thông tin gì về license?

Cứ cho rằng thông tin về việc BKIS có mua hay không mua, có giấy phép hay không giấy phép, trong việc sử dụng rar.exe sẽ mãi mãi không được làm sáng tỏ (vì bất cứ lý do gì, chẳng hạn như bọn WinRAR không muốn cho ai biết), thì cũng chẳng có vấn đề gì. Tôi nghĩ, đối với một người hiểu chuyện, những phân tích của anh TQN là đủ để rút ra kết luận rồi.

vangmoon wrote:


Cái ý này em xin bổ sung tý nhé, các pác phê bình được văn học người khác thì phải rất am tường trong lĩnh vực văn học. Mấy bác bình luận bóng đá cũng vậy, ok là có thể không đá giỏi như các cầu thủ chuyên nghiệp, nhưng họ có thể chê bai cầu thủ chuyên nghiệp nào đó đá hay hay đá dỡ, bởi vì điều quan trọng là các bác bình luận bóng đã đó đã phải ăn bóng đá, ngủ bóng đã, và rất thích, đam mê, hiểu biết lĩnh vực bóng đá.

Nhiều pác bên ddth, hay 1 số bác ở đây, trình độ, em xin phép nói thẳng, là thuộc loại chẳng hơn ai, bập bõm 1 ít IT, nhưng lại rất thích hay mỡ mồm chê bai. Xem xét 1 vấn đề thì phải nhìn rộng ra, xét đến cả hoàn cảnh lịch sử, các ràng buộc... các bác cứ ngẫm xem, windows viết phiên bản đầu tiên ra đời từ tháng 11/1985, cho đến bản vista ngày nay, chạy nhiều khi màn hình xanh, kiến trúc thiết kế phần lõi, độ ổn định làm sao đọ được với Linux, nhưng không có windows với cái màn hình xanh chết chóc của nó thì thử hõi nền IT thế giới có phát triễn được như hiện nay?

 


Ôi giời, thế trình độ thế nào, thì mới được chê bai? Cái này giống như là ad hominem attack, kiểu như thằng này nó không có bằng PhD, *không làm cho Tây*, nên mấy cái lập luận của nó không đáng giá.

Quan trọng là cái argument kìa bồ ơi. Nếu được, bồ thử chỉ ra, ngoại trừ comment của bồ, những argument nào ở đây là *bập bõm*?

Mà chuyện này có liên quan gì đến Windows? Windows có giúp thế giới IT phát triển cỡ nào, thì nó cũng không phải là thứ bất khả xâm phạm, để không ai có quyền chê bai nó.

Nói thật, mỗi lần đọc mấy cái comment kiểu này, tôi thấy tội nghiệp cho người viết.

--m
anh TQN: tôi nghĩ Gil, vốn cũng chẳng phải là tay mơ về RCE, có thể tự làm việc này khi cần thiết, lúc ra kiện ra tòa chẳng hạn.

Nhưng thật sự tôi nghĩ việc đó là không cần thiết, bởi lẽ chắc chắn Gil (hay thậm chí WinRAR) sẽ không kiện vụ này ra tòa. Kiện tụng không phải là chuyện đơn giản, nhất là kiện tụng *xuyên quốc gia* như thế này, thành ra không phải cứ ai phạm luật là kiện.

learn2hack: đừng nghĩ mục tiêu của việc này là kiện BKIS ra tòa. Nếu BKIS đạt được thỏa thuận với WinRAR, thì như anh conmale đã nói, đó là điều rất đáng mừng, có thể xem là thành công, chứ không phải là thất bại, của anh TQN và nhiều anh em khác ở đây.

--m

PS: nghĩ mà buồn cho các anh em developer ở BKIS khi phải làm việc cho một công ty bị cồng đồng ghét bỏ. Tôi thật sự không hiểu, tại sao những tay quản lý BKIS chưa bao giờ có hành động hay phát ngôn thiện chí nào đó, để tranh thủ sự ủng hộ của cộng đồng?

Nếu tôi là người đứng đầu BKIS, tôi đã xem sự kiện các anh ở Blue Moon Security gửi lỗi là một cơ hội vàng để *kết thân* với những người đồng nghiệp giàu thiện chí. Đương nhiên, tôi sẽ xem sự kiện *vi phạm bản quyền* này là một cơ hội bạch kim, để thay đổi hình ảnh của BKIS, vốn đã chẳng mấy đẹp đẽ, trong lòng cộng đồng.

Tôi nghĩ chắc là do *cơ chế* nên những công ty như BKIS, chẳng cần giới kỹ nghệ ủng hộ, vẫn có thể sống khỏe, bằng những hoạt động *under the table*.
Tin mới nhận: Gil, tác giả diStorm64, đã xác nhận là BKAV Pro vi phạm copyright của anh ta, và nói rằng, rất muốn *kick their ass*.

Trích đoạn email mà Gil gửi cho tôi:

Gil, creator of diStorm64 wrote:


I confirmed they use diStorm. It was a really simple matter to confirm so through the exports list of the sysinfo.dll.

Since I can't read vietnamic (or whatever you call it there) I didn't find any mention howsoever about diStorm in the help or documentation.

I read (as much as I could understand) from your blog post and some forum that they also violate WinRAR license.

I emailed them a day after you sent me the first email and I didn't get any response. It is really a shame that a commercial software that is written by students and lecturers ignore licenses, and especially open source licenses...

It's really cool you're an open source advocate, then I guess I'd like to kick their ass and see how you can help about it. Believe me that I hate them more than you. As the one who sat a LOT of hours and wrote that library. But to be honest, I'm not surprised that they don't give a damn about licenses...

 


Có thể thấy là Gil, đã dành thời gian để email cho đám BKIS, rồi mặc dù không hiểu tiếng Việt nhưng vẫn đọc tin tức tiếng Việt về vụ này, nên tôi nghĩ anh này sẽ không để cho BKIS yên đâu.

--m

PS: anh TQN ơi, tôi có PM cho anh, không biết anh có nhận được không?
nbthanh: em nghĩ đúng là nên chấm dứt toàn bộ vụ này lại, những gì cần làm, cần nói thì đã làm, đã nói hết rồi, còn gì nữa để mà tiếp tục?

FAL: tôi không biết nữa bồ, đám WinRAR khá bất ngờ với việc này, có lẽ chúng cũng mới gặp lần đầu.

lion_king_lovely_1985: tôi cá $10 là bài của bồ ngày mai sẽ bị xóa, còn account của bồ nhẹ thì bị ăn sẹo, nặng thì bị cấm cửa đến năm 2050 luôn.

gsmith: có hai điều tôi không hiểu: những câu lion_king_lovely_1985 viết và tại sao bồ lại là *elite member*.

--m

thangdiablo wrote:
Như tôi đã nói phía trên, với một người quản trị mạng nếu quan niệm đưa firewall vào hệ thống là an toàn và có thể ăn ngon ngủ kỹ là một sai lầm.

Firewall có bảo vệ được hệ thống tốt hay không còn do rất nhiều yếu tố chủ quan và khách quan.

Nhưng với tiêu đề của Topic [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không?"

Tôi đang muốn xoáy vào việc bảo vệ thông tin của một hệ thống là nên như thế nào?

Đâu sẽ là những nơi chứa ẩn mối nguy hiểm tiềm tàng nhất và dễ bị đánh gục nhất?

Tôi đồng ý với mrro về việc firewall có bug, đây là chuyện đương nhiên nên tôi mới nói firewall phải được update và kiện toàn chính nó một cách thường xuyên là vì vậy.

Xét trên bình diện tấn công để lấy cắp thông tin tôi nghĩ firewall không phải là nơi các attacker tập trung khai thác trước.


 


Bữa trước đang trả lời cho thangdiablo thì gái nó réo quá, nên phải chạy đi :p, rồi quên bẵng, hôm nay mới thấy lại topic này.

Trong bài trả lời của thangdiablo có một câu hỏi (tô đậm), mà tôi cho là sai (nghĩa là mục tiêu đặt ra sai, nên sẽ dẫn đến ý định, hành động và kết quả cũng sẽ sai). Thật sự đây là một câu hỏi sai điển hình mà tôi đã gặp rất nhiều lần.

Trong một bài viết trên blog cá nhân, tôi có viết thế này:

http://vnhacker.blogspot.com/2008/04/detecting-snake-oil.html wrote:

"you can be secure using our products | our solutions are secure" are something you often hear from a security-clueless. excuse me, secure from what, secure against whom? just go ahead, ask this question and see how they react. please keep in mind that nothing can be secure against unexpected disasters, i.e. earth quake, flood, electricity blackout, etc...and nothing can be secure against a trusted employee who somehow turns malicious (or maybe mistakenly performs some irreversible actions).
 


Nghĩa là, muốn xác định "mối nguy hiểm tiềm tàng và dễ bị đánh gục nhất" thì trước nhất, chúng ta phải trả lời được câu hỏi: ai và cái gì?

Ví dụ như đối với một cái firewall, nếu chọn *ai* là *hacker bên ngoài*, thì chắc chắn, đúng như thangdiablo nói, firewall (xác suất cao) khó là một mối nguy hiểm tiềm tàng và dễ bị đánh gục nhất. Nhưng nếu chọn *ai* là một tay *network admin bất mãn*, thì lúc này rõ ràng firewall lại trở thành mối nguy hiểm tiềm tàng và dễ bị đánh gục nhất. Chỉ nhấn một nút, toàn bộ hệ thống thông tin sẽ đi toi.

Tương tự, nếu chọn *cái gì* là *tấn công tràn bộ đệm* thì firewall cũng khó là một mối nguy hiểm tiềm tàng và dễ bị đánh gục nhất, nhưng nếu chọn *cái gì* là *dính sét lan truyền* (là cái case mà thangdiablo vừa gặp) thì lúc này, rõ ràng firewall cũng trở thành một mối nguy hiểm tiềm tàng và dễ bị đánh gục nhất.

Ngoài ra, không phải nơi nào có *mối nguy hiểm tiềm tàng và dễ bị đánh gục nhất* là chúng ta đổ tiền bạc và công sức vào đó. Chúng ta chỉ bảo vệ những thứ đáng được bảo vệ bằng những phương pháp thích hợp nhất về kinh tế và kỹ thuật mà thôi. Đây cũng là lý do người ta phân loại thông tin hay thiết kế network ra thành nhiều segment có mức độ bảo vệ khác nhau.

Bản chất của ý tưởng này chính là một câu hỏi khác mà chúng ta cần phải trả lời: cái gì là quan trọng nhất đối với chúng ta? Mỗi tổ chức, mỗi hệ thống thông tin, sẽ có một câu trả lời khác nhau. Và những *mối nguy hiểm tiềm tàng và dễ bị đánh gục nhất* chưa chắc là những thứ quan trọng nhất, và do đó, không đáng để tập trung bảo vệ.

Ví dụ như đối với một tổ chức tài chính, điều quan trọng nhất là thông tin tài chính của khách hàng. Họ cần phải bảo vệ để đảm bảo được 3 yếu tố Confidentially - Integrity - Availability của những thông tin này. Không ai phàn nàn nếu ngày mai báo đưa tin, con firewall của tổ chức tài chính A bị tấn công (tin này chắc sẽ không lên mặt báo đâu :p).

Nhưng đối với một hãng sản xuất firewall, như Cisco hay Juniper, sẽ là một thảm họa, nếu như hệ thống firewall mà họ đang chạy trong nội mạng, bị *dập* cho đến chết, bằng bất cứ cách nào.

Gái lại réo rồi :p,

--m

nbthanh wrote:

mrro wrote:
Tôi nghĩ vụ này có thể chấm dứt ở đây được rồi.

--m
 

"Chấm dứt" = ??? 


Vì câu hỏi "BKAV Pro có vi phạm bản quyền?" đã được trả lời *chính thức* rồi.

--m
Tin mới nhận: bọn WinRAR đã trả lời là BKIS chưa hề có *written permission* để thực hiện hai cái quy định 4a và 4b.

Đây là trích đoạn 2 email tôi đã trao đổi với WinRAR:

mrro wrote:

To those it may concern,

We have found a commerical software named BKAV Pro, which is the most popular antivirus software in Vietnam produced by BKIS http://www.bkis.com.vn), happens to embed a shareware version of rar.exe in one of its DLLs. You can check yourself by downloading BKAV Pro from http://north.bkav.com.vn/BPro1717.exe, installing it, then looking for Sysinfo.dll located in "%Program Files%\BKAV/"

As far as we know, this violates RAR archiver license agreement. We want to know if BKIS actually has purchased licenses or gained written permission from WinRAR to do this.

 


Trả lời của WinRAR:

WinRAR wrote:

Hello Thai,

thank you for you information, we will check it.

Best regards,
Gerhard Luehning at WinRAR-Support

win.rar GmbH
Schumannstr. 17
10117 Berlin
Germany
 


Email thứ hai của tôi:

mrro wrote:

Hello Gerhard,

Here are some pictures showing that BKAV Pro does indeed embed a shareware version of rar.exe in its Sysinfo.dll.

http://chiase.anhso.net/as/08/06/18/PEIn218319.jpg

http://chiase.anhso.net/as/08/06/18/RAR.997197.jpg

http://chiase.anhso.net/as/08/06/18/6-18197197.png

All I want to know is if BKAV Pro has got your written permission.

Thanks,
 


Trả lời của WinRAR:

WinRAR wrote:

Hello Thai,

> All I want to know is if BKAV Pro has got your written permission.

As far as I know, it has no permission of doing this.

Thank you for your information, we will check it.

Best regards,
Gerhard Luehning at WinRAR-Support

win.rar GmbH
Schumannstr. 17
10117 Berlin
Germany
 


Tôi nghĩ vụ này có thể chấm dứt ở đây được rồi.

--m
TQN: tôi nghĩ anh hơi quan trọng hóa vấn đề, chẳng thể nào mà dồn developer của BKAV Pro đến đường cùng với những vấn đề này. Họ vẫn sẽ phát triển, buôn bán, kinh doanh BKAV Pro tiếp tục như cũ. Nhưng từ bây giờ, khi làm bất cứ việc gì, họ đã biết là sẽ có người phát hiện ra. Nên hoặc là họ phải liệu mà che đậy cho kín, hoặc là họ phải biết cách cư xử cho đúng luật chơi.

--m

K4i wrote:

Hì, đã đọc qua. Có tầm 5 dòng comment đầu tiên nhưng đáng tiếc là không còn chỗ nào nhắc đến nữa, cũng không có file license.txt, file readme.txt nào cả. Microsoft không phạm luật và điều này có thể dẫn tới là BKIS cũng có thể không phạm luật. Vì nếu như có lập luận là khi code được dịch ra rồi, tức là đoạn code đó được phân phối dưới dạng binary chứ không phải source code thì Microsoft cũng phải nhắc đến giấy phép BSD chứ, trong khi đó ngoài comment ở mã nguồn ra, hình như là không có chỗ nào khác nhắc đến BSD trong Windows.
 


Thực tế chẳng có bằng chứng nào chứng tỏ là Microsoft sử dụng mã nguồn của BSD cả. Không ai nhìn thấy mã nguồn của Windows để có thể confirm chắc chắn điều này 100%. Những dấu tích của BSD networking code trong Windows có thể kể đến các utilities như ftp.exe, telnet.exe (thử strings mấy cái file này sẽ thấy) và các file header kể trên. Nhưng ngoài các file header ra, không ai có thể kiểm chứng là các utilities sử dụng những đoạn BSD code nào, ở đâu và ra sao. Hơn nữa, Microsoft, nếu có sử dụng, thì cũng chỉ dùng những đoạn code rất nhỏ, rời rạc, và bản thân những đoạn code này không phải là một chương trình hay thư viện hoàn chỉnh.

Đây là sự khác biệt giữ Microsoft và các bác BKIS. Kết quả reverse engineering của bác TQN và bác hacnho cho thấy, rõ ràng các bác BKIS bê nguyên xi thư viện distorm64 vào BKAV Pro và sử dụng thư viện này như là một phần của chương trình.

Đương nhiên, rồi sẽ chẳng có ai bị thưa kiện gì đâu, tác giả distorm64 có nói với tôi, khi phát hành distorm64 theo BSD thì họ cũng biết thể nào cũng sẽ có những tay đạo code chôm code của họ rồi.

Vấn đề cần phải lưu tâm ở đây là về đạo đức, nếu là một người đàng hoàng và có kiến thức, thì chẳng ai đi chôm công sức của người khác, nhất là khi họ đã phát hành miễn phí những sáng tạo của họ.

Tôi luôn dành cho những kẻ sử dụng giấy phép tự do như BSD mà vẫn không tuân thủ luật chơi một sự khinh bỉ sâu sắc.

K4i wrote:

Thực sự là cái giấy phép BSD quá mập mờ và nhập nhằng. Mong mọi người chỉ giáo tiếp.
 


Tôi thì thấy ngược lại, BSD rất rõ ràng và đơn giản (nếu so với GPL). Nó chỉ có 3 cái yêu cầu, được trình bày rất dễ hiểu.

Sự mập mờ và nhập nhằng chỉ xảy ra, khi người ta cố tình mập mờ và nhập nhằng để không tuân thủ theo những nguyên tắc của BSD.

K4i wrote:

Còn về Winrar thì đã có rõ ràng, không còn gì để nói cả. Nhưng mình băn khoăn là mrro chỉ thông báo kô cho họ hay có liên lạc với bác TQN để lấy chứng cứ và gửi nó cho Winrar.
 


Tôi chỉ thông báo cho họ, chứ chưa có cung cấp thông tin. Nhưng vẫn chưa thấy họ liên lạc lại.

--m

gsmith wrote:

Cái này biết từ lâu rồi! Ai sài BkavPro để ý chút là biết không cần RE chi hết...
Có 1 số điểm lưu ý như sau:
- RAR trong BkavPro không có vai trò gì quan trọng cả (không có nó cũng không sao), còn tại sao RAR ở đấy thì các bác biết rồi...
- như bác lamer @ vnsecurity.net nói thì chưa biết thì không nên nói linh tinh.
- ngoài ra, 1 điểm quan trong nữa là giá 299.000VND các bác có biết là khách hàng trả tiền để mua phần mềm hay mua cái gì không nhỉ? (có lẽ chỉ bác nào sài BkavPro mới rõ thôi).


Thân mến,
P/S: Em thì em vẫn ủng hộ Bkav, phần mềm diệt virus duy nhất là của Việt Nam đấy. (Hy vọng các bác hiểu ý em).
 


- Có quan trọng hay không quan trọng cũng không quan trọng bằng việc cố tình nhúng trái phép rar.exe vào BKAV Pro.

- tôi nghĩ bồ mới là người nói linh tinh, hãy thử đọc lại toàn bộ topic đi rồi phát biểu.

- cái này là phát biểu *hay* nhất trong ngày. chẳng cần biết khách hàng bỏ tiền ra mua cái gì, điều quan trọng là BKIS đã kinh doanh BKAV Pro. Thậm chí chẳng cần BKIS có kinh doanh hay không kinh doanh BKAV Pro, thì license của rar.exe cũng không cho phép hành động nhúng như thế.

--m
Hehe vừa coi đá banh vừa bàn luận chuyện nhà bác Quảng vui phết :p

K4i wrote:

hi, mrro.
đoạn này thì mình không hiểu rõ lắm ý mrro. Có mấy ý thế này
- diStorm64 là một thư viện và mã nguồn của nó đã được phân phối theo giấy phép BSD. Cái này mình đồng ý.
- Nếu như bồ nói ở trên thì mình hoàn toàn có thể hiểu rằng, BKIS không hề phân phối lại (redistribution) thư viện diStorm64 dưới dạng binary mà chỉ dùng nó như một thư viện trong chương trình và sau đó phân phối sản phẩm của mình (BKAV) dưới dạng binary cho khách hàng mà không cần giấy phép BSD. Rất có thể lập luận sau này (có thể có) của BKIS sẽ nhằm vào chữ redistribution để phản bác.
 


Tôi cho rằng hành động "nhúng" diStorm64 vào DLL của BKIS chính là việc phân phối lại phiên bản binary của diStorm64.

Giấy phép BSD của diStorm64 quy định, nếu anh phân phối lại phiên bản binary của diStorm64 thì anh phải thực hiện cái điều thứ 2 mà tôi đã quote ra ở trên.

Giấy phép BSD không quan tâm đến việc anh phân phối cái application của anh (dựa trên diStorm64, ở đây là BKAV Pro) ra sao, theo giấy phép nào. Chừng nào anh phân phối lại những đoạn code BSD, hoặc phân phối lại binary dịch từ chính những đoạn code BSD (là những software hay library hoàn chỉnh), thì giấy phép BSD nó mới có hiệu lực.

Đây chính là sự khác biệt cơ bản giữa BSD và GPL.

(coi đá banh, sáng mai trả lời tiếp khúc dưới :p)
--m

K4i wrote:

Thực sự là rất khó nói về vấn đề cái app có vi phạm giấy phép BSD hay không, vì hiện tại em cũng chưa được đọc tường tận đc cái giấy phép BSD này thế nào. Cái BSD license của FaL ở trên cũng chỉ nói rất chung chung về việc phân phối app dưới dạng binary thì vẫn phải là sử dụng lại giấy phép này còn app này chỉ sử dụng một thư viện được phân phối dưới giấy phép BSD mà BSD thì chả nói gì về việc sử dụng thư viện thì thế nào cả (GNU có cả giấy phép cho việc sử dụng các lib LGPL).
 


Tôi nghĩ bồ có chút nhầm lẫn ở đây. Giấy phép BSD ghi rất rõ, ở điều số 2, là phân phối dưới dạng binary thì cũng phải must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution..

Cái binary mà giấy phép BSD đề cập không phải là binary của cái application sử dụng diStorm64 (BKAV Pro), mà chính là binary của diStorm64.

Giấy phép BSD không cần phân biệt giữa library với non-library bởi vì nó khác với GPL là nó không yêu cầu người sử dụng phải cung cấp lại mã nguồn (và nhiều yêu cầu khác).

K4i wrote:

Vừa lượn qua wiki, thấy bên đó viết rằng Microsoft và OS X có sử dụng lại một phần networking code của BSD mà có thấy thằng Microsoft hay Apple đề cập đến điều đó đâu.
 


Có đó bồ. Tìm thử file winsock.h xem.

--m
Cảm ơn bác TQN đã có phát hiện thú vị này. Tôi đã email cho đám RAR/WinRAR cũng như Arkon để thông báo. Chờ xem họ có phản ứng gì không.

Tôi cũng có tổng kết lại ở http://vnhacker.blogspot.com/2008/06/bkav-pro-vi-phm-bn-quyn-phn-mm.html cho mọi người dễ theo dõi:


Về việc dùng BSD library, giấy phép BSD của diStorm64 có quy định (đoạn tô đậm là do tôi tô):

The ultimate disassembler library.
Copyright (c) 2003,2004,2005,2006,2007,2008, Gil Dabah
All rights reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

* Neither the name of the diStorm nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.

Theo tìm hiểu cũng của TQN và nhiều người khác, BKIS không hề thực hiện dòng tô đậm ở trên. Không thể tìm thấy bất cứ dòng nào đề cập đến cái "copyright notice, this list of conditions and the following disclaimer" này trong tài liệu của BKAV Pro cũng như trên website của BKIS.

Về vấn đề BKIS nhúng rar.exe vào BKAV Pro, giấy phép của rar.exe có những quy định thế này (những đoạn tô đậm là do tôi tô):

The RAR (and its Windows version - WinRAR) archiver are shareware. This means:

1. All copyrights to RAR and WinRAR are exclusively owned by the author - Alexander Roshal.
2. Anyone may use this software during a test period of 40 days. Following this test period of 40 days or less, if you wish to continue to use WinRAR, you MUST register.
3. There are 2 basic types of licenses issued for WinRAR, these are:

a. A single computer USAGE license. The user purchases ONE license to USE the WinRAR archiver on ONE computer.

b. A Multiple USAGE license. The user purchases a number of USAGE licenses for use, by the purchaser, the purchaser's employees or accredited agents, on the same number of computers.

The number of licenses in network environment must not be less than the maximum possible amount of simultaneous users.

Once registered, the user is granted a non-exclusive license to use WinRAR on as many computers as defined by the licensing terms above according to the number of licenses purchased, for any legal purpose. The registered WinRAR software may not be rented or leased, but may be permanently transferred, in it's entirety, if the person receiving it agrees to the terms of this license. If the software is an update, the transfer must include the update and all previous versions.
4. The RAR/WinRAR unregistered trial version may be freely distributed, with exceptions noted below, provided the distribution package is not modified in any way.

a. No person or company may distribute separate parts of the package with the exception of the UnRAR components, without written permission of the copyright owner.

b. The RAR/WinRAR unregistered trial version may not be distributed inside of any other software package without written permission of the copyright owner.


c. Hacks/cracks, keys or key generators may not be included on the same distribution.

Như vậy, điều 2 quy định, ai mà sử dụng RAR archiver (là file rar.exe) thì sau 40 ngày phải đăng ký. Theo TQN tìm hiểu, phiên bản rar.exe được đính kèm với BKAV Pro là phiên bản chưa đăng ký, nghĩa là sau 40 ngày, tất cả những ai mà sử dụng BKAV Pro đều vi phạm bản quyền của tác giả RAR/WinRAR.

Điều 4, khoản a và b quy định, nếu không có sự đồng ý ở dạng văn bản (written permission) của tác giả RAR/WinRAR thì không ai được phép phân phối toàn bộ hoặc phân phối một phần của bộ phần mềm RAR/WinRAR. BKAV Pro có chứa (vi phạm 4b) và chỉ chứa mỗi rar.exe (vi phạm 4a), nên nếu chưa có sự đồng ý của tác giả RAR/WinRAR, thì rõ ràng BKIS đã vi phạm quy định này.

Tôi đã có viết email hỏi tác giả RAR/WinRAR xem trước giờ họ đã có đồng ý cho BKIS tách và nhúng rar.exe vào BKAV Pro hay chưa (tôi cũng có email cho tác giả của diStorm64 về việc BKIS vi phạm bản quyền của họ). Chắc nay mai sẽ có trả lời sớm.

Nhưng thậm chí nếu câu trả lời của RAR/WinRAR là có, thì tôi cũng đang thắc mắc, không biết các vị sản xuất "phần mềm diệt virus được hơn 90 quốc gia sử dụng" sẽ bình luận thế nào về việc cố tình đẩy người sử dụng vào tình trạng vi phạm bản quyền, như đã phân tích ở trên?

Trong một diễn biến khác, gần đây Blue Moon Security phát hiện và thông báo cho BKIS hai lỗi bảo mật của BKAV Pro nhưng BKIS từ chối, không xem đây là lỗi và quyết định không sửa chúng.

PS: để tránh tình trạng một số người nhảy vào bình luận theo kiểu, "sao không giỏi làm như BKIS blah blah blah", tôi nói trước là không làm không có nghĩa là tôi không có quyền nói, đặc biệt là nói đúng.
 
Hi thangdiablo,

Vấn đề cối lõi mà tôi muốn đưa ra, không phải là việc tấn công một firewall khó hay dễ, mà là việc đưa thêm một thiết bị vào hệ thống, dẫu thiết bị đó là firewall, ids, hay bất kỳ thiết bị bảo mật nào, đều sẽ làm phát sinh thêm những mối nguy mới trên hệ thống.

Firewall, về bản chất, cũng chỉ là một software chạy trên một hardware, mà đã là software, do con người tạo ra, thì thể nào cũng sẽ có lỗi. Kinh nghiệm của tôi cho thấy, nơi nào mà có software chạy, từ máy ATM cho đến các vệ tinh, nơi đó sẽ có bug, và có thể trong số các bug này, sẽ có những bug gây nguy hại đến sự an toàn của hệ thống.

Đương nhiên, các software, cụ thể là các hệ điều hành, chạy trên firewall thường rất nhỏ gọn, thường đã được kiện toàn trước khi xuất xưởng, và không phổ biến như Windows, Linux hay Mac, thành ra kiến thức về cách thức chúng hoạt động cũng như các kỹ thuật tìm kiếm và khai thác lỗ hổng bảo mật cũng không phổ biến đại trà.

Nhưng tất cả chỉ là vấn đề thời gian (và tiền bạc) mà thôi. Chẳng hạn như đối với Cisco IOS, từ năm 2005, Michale Lynn đã công bố các phương thức khai thác lỗi của nó (trước đó có FX từ năm 2003 đã có những research hoàn chỉnh về Cisco IOS). Kể từ đó đến nay, đã có rất nhiều research của các hãng và cá nhân tên tuổi trên thế giới về các lỗ hổng bảo mật trên hệ điều hành này của Cisco. Thậm chí gần đây, người ta còn phát triển được cả rootkit trên IOS.

Tôi không có sử dụng các bộ công cụ như Core Impact hay CANVAS nhưng tôi nghĩ là trong đó chắc chắn đã có những module khai thác những lỗ hổng đã biết và chưa biết trên Cisco IOS.

Bản thân tôi, trong một lần đi hỗ trợ cho một khách hàng, cũng rơi vào tình huống là con firewall chạy Checkpoint trên Windows chính là nguyên nhân gây ra sự cố DDoS (xem thêm ở đây http://vnhacker.blogspot.com/2007/07/tn-cng-ddos-bng-pdf-spam.html)



Hôm nay tôi có một case khá thú vị. Một khách hàng gọi điện, báo server của họ đặt ở FPT Telecom (chỗ 64-66 Võ Văn Tần Q.3) bị phía FPT Telecom...tắt mất vì có quá nhiều traffic đi vào server này, có thời điểm lên đến 100Mbs. Họ nhờ tôi đến FPT Telecom trực tiếp kiểm tra xem nguyên nhân tại sao có quá nhiều traffic đến server.

Trên đường đi, tôi được biết server của khách hàng tôi không hề bị treo hay gặp vấn đề gì cả, chỉ có...firewall của FPT Telecom (nếu tôi đoán không lầm là Checkpoint trên Windows) lại bị treo khi phải tiếp nhận và xử lí lượng traffic lớn như thế; thành ra toàn bộ các server nằm phía sau con firewall này coi như bị cách ly với thế giới bên ngoài.

 


Tôi nghĩ vấn đề ở đây chủ yếu là tâm lý. Mọi người đều chỉ nhớ đến các mối nguy của con web-server chạy các web-application bởi vì đó là môi trường họ làm việc hàng ngày, chúng quen thuộc và gần gũi, còn firewall thường là dạng thiết bị "setup once, run forever", người ta thường chẳng nhớ đến sự tồn tại của nó.

Ngoài ra các mối nguy trên web-application cũng được thảo luận thường xuyên và sôi nổi (ngay trên diễn đàn này), còn các mối nguy trên firewall thì ít được nhắc đến, nên người ta không nghĩ là chúng nguy hại.

Cuối cùng, khi nghĩ đến các kết nối từ A đến B, người ta chỉ thường nghĩ đến việc bảo vệ B khỏi bị A tấn công, mà quên rằng, A vẫn có thể tấn công vào các điểm C, D hay E nằm trên đường đi từ A vào B. Các thiết bị trung gian như firewall, proxy, ids, content caching...đều làm cho hệ thống phức tạp hơn, mà phức tạp thì bao giờ cũng kém an toàn ( ví dụ như có rất nhiều hướng tấn công các web-application lợi dụng sự tồn tại của các proxy, chẳng hạn như HTTP Response Splitting hay HTTP Response Smuggling).

--m
Cái này gọi là captive portal. Xem thêm ở đây http://en.wikipedia.org/wiki/Captive_portal.

--m

conmale wrote:

Trong trường hợp này, liệu "stateful FW" có khả năng thế nào để detect và ngăn chặn trước khi nó đi đến web server?
 


Vậy phải coi cái khái niệm "stateful" này nó được mở rộng đến đâu, trong 7 tầng *địa ngục* OSI:

1. Nếu chỉ giới hạn đến tầng network/transportation thì câu trả lời là thua.

2. Nếu mở ra được đến application, hiểu được HTTP, thì cũng chưa chắc gì đã detect hoặc ngăn chặn được.

Có nguyên một bộ *evaluation criteria* dành riêng cho web application firewall, thử xem ở đây http://www.webappsec.org/projects/wafec/v1/wasc-wafec-v1.0.html sẽ thấy là có vô vàn thứ phải evaluate trước khi biết là anh firewall này có khả năng chống lại những loại attack mà anh conmale đề cập không. Và có khả năng là một chuyện, còn tay admin có tận dụng được khả năng này hay không, lại là một chuyện khác.

--m
Hì đã chạy Kubuntu sao còn vương vấn GNOME? Nếu thích GNOME thì nên chọn chạy Ubuntu ngay từ đầu.

--m
 
Go to Page:  First Page Page 18 19 20 21 23 24 25 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|