Hacker đe doạ an ninh máy tính

GS John Vu23/10/2025 13:00
Hacker đe doạ an ninh máy tính

Vài năm tới, vấn đề chính cho nhiều công ti sẽ là cách chuẩn bị cho đe doạ an ninh tiếp đây hay còn gọi là tấn công xi be.

Điều này bao giờ cũng là thách thức khi ngày càng nhiều “hacker” tấn công vào hệ thông tin của công tin trên cơ sở hàng ngày. Trong quá khứ, các hacker phần lớn là người phát triển phần mềm chán chường và muốn làm cái gì đó vui đùa bất kể hậu quả. Ngày nay hacker phần lớn là “tội phạm có tổ chức” những người tuyển mộ các người phát triển phần mềm để đánh cắp thông tin như số thẻ tín dụng, tài khoản ngân hàng, và thông tin sở hữu riêng của công ti, hay gây tổn hại cho kinh doanh của công ti (phá hoại, khủng bố).

Vấn đề chính là hầu hết những người chịu trách nhiệm về hệ thông tin KHÔNG có tri thức hay nhân lực để quản lí họ. Theo cuộc khảo cứu điểm bài về an ninh ở 25 nước đã phát triển trên thế giới, họ thấy rằng 75% người chịu trách nhiệm hệ thông tin của chính phủ KHÔNG phải là người phần mềm, nhiều người trong số này là các quan chức chính phủ được đề bạt vào chức vụ đó. Nghiên cứu này cũng thấy rằng trên 60% công ti tư nhân cũng không có chính sách, thủ tục, và người có hiểu biết an ninh tốt chịu trách nhiệm về hệ thống an ninh. Điều đó nghĩa là cả chính phủ và các công ti tư nhân đều mong manh với tấn công xi be.

Phần mềm trở nên ngày càng lớn hơn và phức tạp hơn bởi vì mọi người cứ thêm vào nó và thay đổi nó. Mọi người muốn các tính năng mới, chức năng mới, ứng dụng mới, và tất cả họ đều muốn nó nhanh hơn cho nên phần lớn những người quản lí dự án phần mềm đều hội tụ vào việc chuyển giao phần mềm đúng hạn với nhiều chức năng hơn nhưng ít chú ý tới an ninh. Ngày nay nhiều phần mềm được gắn với Internet và nó tạo ra nhiều mong manh hơn trước đây. Vấn đề khác là ở chỗ với khoán ngoài, việc phát triển phần mềm được thực hiện trên toàn thế giới, ở mọi kiểu chỗ. Khi người ta thêm các chức năng mới, cấu phần mới, họ thêm nhiều phức tạp hơn cho hệ thống phần mềm với nhiều mã hơn và điều đó mở ra nhiều lỗi mà “hacker” có thể tận dụng.

Bởi vì an ninh máy tính là lĩnh vực mới trong kĩ nghệ phần mềm, rất ít đại học cung cấp đào tạo này cho nên có thiếu hụt trầm trọng về chuyên viên an ninh máy tính trên khắp thế giới. Nhiều quan chức và người quản lí tin rằng họ đã có “tường lửa” tại chỗ nên hệ thống của họ được an toàn. Điều đó cũng giống như có ổ khoá ở cửa trước nhà bạn cho nên bạn không lo nghĩ về mọi người vào nhà bạn. Vấn đề là tường lửa có thể chặn “hacker nghiệp dư” nhưng không chặn được “hacker chuyên nghiệp”, cũng giống như ổ khoá cửa có thể chặn được một số người không cho vào nhà bạn qua cửa chính nhưng KHÔNG chặn được kẻ trộm biết cách vào nhà bạn từ các chỗ khác. Có tường lửa là KHÔNG đủ. Bạn cần nhân lực có kĩ năng để lập ra chính sách, chủ trương, thủ tục và quản lí hệ thống an ninh, không có họ mọi tiền bạc chi vào tường lửa hay công cụ an ninh đều sẽ vô dụng. Tôi tin rằng an ninh vững chắc chỉ có thể được chuyển giao nếu có người có kĩ năng tại chỗ để làm cho điều đó xảy ra và điều mấu chốt là có nhiều đào tạo an ninh hơn cho mọi người dùng máy tính. Điều quan trọng là công ti phải tập trung hơn nữa vào việc kiếm người có kĩ năng với trang thiết bị đúng tại chỗ để giám sát và đáp ứng với vấn đề an ninh trước cuộc tấn công xi be.

Hơn nữa, công ti phải hội tụ vào chương trình đào tạo an ninh để cho nhiều người nhận biết về vấn đề này. Vi phạm an ninh thường là sai lầm bất cẩn trong những người phát triển phần mềm. Khi mở email hay sao một xâu vào bộ nhớ, để tràn chồng trong mã của họ cũng có thể gây hậu quả nghiêm trọng vì chúng tạo ra sự mong manh mà có thể bị kẻ tấn công khai thác để thực hiện các đoạn mã hại. Mã hại này có thể được dùng để phát tán virus, sâu, hay chèn thêm cửa hậu vào máy tính để đánh cắp thông tin nhạy cảm hay phá huỷ mọi tệp.  Theo nghiên cứu mới đây của Carnegie Mellon, 64 phần trăm những chỗ mong manh trên thế giới đều là kết quả của lỗi viết mã.

Tôi tin công ti phải có chính sách an ninh tại chỗ để xác định cách thực hiện an ninh. Chính sách an ninh sẽ xác định mức độ an ninh và vai trò và trách nhiệm của người dùng, người quản trị và người quản lí. Tổ chức an ninh cũng nên được thiết lập để giám sát việc dùng tính toán để cảnh báo về vấn đề an ninh (Virus, tấn công xi be v.v.). Người dùng nên chắc rằng hệ điều hành và ứng dụng máy tính của họ được vá bằng những miếng vá dịch vụ mới nhất và sửa nóng ngay. Họ không nên mở email từ những người gửi không biết hay các nguồn không biết cũng như chặn lại các kiểu tài liệu đính kèm như .bas, .bat, .exe và .vbs. vì chúng có thể chứa mã hại.

English version

computer security threat

This year and the next few years, the main issues for many companies would be how to prepare for the next security threat or cyber attack. This is always a challenge as more and more “Hackers” are attacking company’s information systems on a daily basis. In the past, hackers are mostly software developers who are bore and want to do something for fun regardless of the consequences. Today hackers are mostly “Organized crimes” who recruit software developers to steal information such as credit card numbers, bank accounts, and company’s proprietary information, or do damage to company’s business (Sabotage, terrorism).

The main problem is most people in charge of information systems do NOT have knowledge or resources to manage them. According to the security review study of 25 developed countries around the world, they found that 75% of people in charge of government information systems are NOT software people, many of them are government officials who got promoted to the positions. The study also found that over 60% of private company also does not have good security policies, procedures and knowledgeable people in charge of security systems. That means both government and private companies are vulnerable to cyber attack.

As software is becoming larger and more complex because people keep adding to it and changing it. People want new features, new functions, new applications, and they all want it faster so most software project managers are focusing on deliver the software on time with more functionalities but few would pay attention to security. Today many softwares are connected to the Internet and it creates more vulnerability than before. Another issue is that with outsourcing, software development is done around the world, in all kinds of places. As people adding new functions, new components, they are adding more complexity to software system with more codes and it opens up more errors that “hackers” can take advantage.

Because computer security is a new field in software engineering, very few universities offer this training so there is a critical shortage of computer security specialist all over the world. Many officials and managers believe that they already have “Firewall” in place so their systems are secured. It is just like having a lock in your front door so you do not worry about people enters your house. The problem is firewall can stop some “Amateur hackers” but not “Professional hackers”, just like the door lock can stop some people from entering your house through the front door but NOT stop a thief who know how to get in your house from other places. Having firewalls is NOT enough. You need to have skilled resources to set policies, directions, procedures and manage your security systems, without them all money spent on security firewall or tools will be worthless. I believe that a robust security can only be delivered if there are skilled people in place to make it happen and it is critical to have more security training for all computer users. It is important that company should be focusing more on getting the skilled people with the right equipment in place to monitor and respond to security issues before cyber attack.

Moreover, company should focus on security-training program so more people are aware of this problem. Security breach is a frequent yet unintended mistake among software developers.  When open an email or copying a string in memory, having a stack overflow in their code could all have serious consequences as they create a vulnerability that can be used to execute malicious code by an attacker. The malicious code may be used to spread a virus, a worm, or insert a back door on a machine to steal sensitive information or destroy all the files.  According to a recent Carnegie Mellon study, 64 percent of vulnerabilities in the world are the result of coding errors.

I believe company should have a security policy in place to determine how security will be implemented. A security policy will define the level of security and the roles and responsibilities of users, administrators and managers. A security organization should also be established to monitor computing usages to alert of security issues (Virus, cyber attack etc.). Users should make sure that their computers operating systems and applications are patched with the latest service packs and hot fixes. They should not open email from unknown senders or unknown sources as well as block certain email attachment types such as .bas, .bat, .exe and .vbs. since they could contain malicious codes.

 


Gửi bình luận
(0) Bình luận
1

Cơ hội nghề nghiệp

Công nghệ thông tin (CNTT) là lĩnh vực lớn nơi mọi người có thể xây dựng chuyên môn nghề nghiệp riêng của họ theo nhiều cách.
2

Vòng đời kiểm thử

Nhiều người trong các bạn đã hỏi tôi về kiểm thử và mối quan hệ của nó với vòng đời phát triển phần mềm. Về căn bản kiểm thử tuân theo vòng đời tương ứng với mọi pha của vòng đời phát triển.
3

Cách đo

Tôi nhận được một email từ một sinh viên: “Tại sao chúng ta phải đo công việc của mình? Đo là khó và phí thời gian vì nó không cung cấp cho tôi giá trị. Nếu chúng ta có lỗi, chúng ta có thể sửa chúng về sau bất kể chúng có bao nhiêu. Tôi không biết tại sao chúng ta cần đo?”
4

Quy trình phần mềm

Tôi nhận được một email mà người gửi hỏi: “Khác biệt giữa qui trình phần mềm và qui trình được xác định là gì? Khác biệt giữ qui trình được xác định và qui trình cá nhân là gì?”
5

Dự án phần mềm thành công

Một sinh viên hỏi tôi: Làm sao thầy biết liệu dự án phần mềm là thành công hay không? Nếu phần mềm chạy tốt, nó có là thành công không? Nếu mã qua được mọi kiểm thử nó có là thành công không?”

Mỗi ngày đều là ngày học ở trường

Tôi tin vào việc học cả đời bởi vì mọi ngày đều là ngày học ở trường.

Ứng dụng di động

Ba mươi năm qua, nhiều người phát triển phần mềm đã làm tiền bằng việc viết phần mềm chạy trên máy tính cá nhân (PC) và đã tạo ra hàng nghìn công ti phần mềm nhưng điều đó tất cả đã thay đổi khi công ti như Microsoft chi phối thị trường.

Quản lý dự án Agile

Phần lớn đào tạo về quản lí dự án đều hội tụ vào dự án lớn tạp trung theo cách tiếp cận “vòng đời thác đổ”. Khi nhiều công ti dùng phương pháp agile, người quản lí dự án phải được đào tạo lại để bắt kịp với thay đổi công nghệ và phương pháp để cho họ có thể hiệu quả hơn.

Giáo sư John Vu: Hãy học cách quản trị và đặt ràng buộc lên AI trước khi quá muộn

Trong bức thư mới nhất gửi từ Hoa Kỳ, Giáo sư John Vu – Nguyên Phong đã đưa ra những lời nhắc về tương lai của nhân loại, khi AI đang bước sang ngưỡng cửa có thể tự huấn luyện, điều chỉnh và tiến hóa mà không cần sự can thiệp của con người.

Lựa chọn lĩnh vực học tập

Lựa chọn lĩnh vực học tập là chọn lựa mấu chốt khi sinh viên chuyển từ trường trung học vào đại học.

Bàn về AI, GS John Vu nói thẳng: Nếu máy móc vượt trội, con người sẽ trở nên vô giá trị và có thể bị đào thải

Nói về việc đưa trí tuệ nhân tạo (AI) vào giáo dục, Giáo sư John Vu – Nguyên Phong cho rằng AI có thể hỗ trợ, nhưng tuyệt đối không thể thay thế vai trò của giáo viên trong việc định hình nhân cách cho thế hệ trẻ.

Giáo sư John Vu – Nguyên Phong bàn về AI trong giáo dục

Nói về việc đưa trí tuệ nhân tạo (AI) vào giáo dục, Giáo sư John Vu – Nguyên Phong cho rằng AI có thể hỗ trợ, nhưng tuyệt đối không thể thay thế vai trò của giáo viên trong việc định hình nhân cách cho thế hệ trẻ.

Người lập trình hay người phát triển

Tuần trước tôi nhận được một email hỏi: “Khác biệt giữa người lập trình và người phát triển phần mềm là gì? Người lập trình có thể trở thành người phát triển được không?

Bạn không cần thêm thành tựu đâu, điều bạn cần là nghỉ ngơi

Suy ngẫm - TĐ - 10/07/2026 11:00
 Có những người dành cả tuổi trẻ để thoát khỏi nghèo khó, nhưng rồi khi đã bước ra khỏi nó, họ lại không biết làm thế nào để dừng việc “sống sót”.

Thành công ở đại học

Blog GS John VU - GS John Vu - 10/07/2026 10:00
Thành công nghĩa là đạt tới mục đích của bạn, dù chúng là bất kì cái gì.

Cuộc sống bình dị thích mặc đồ cũ, ăn cơm bụi của 'tượng đài điện ảnh' Châu Nhuận Phát

Phong cách sống - Ngọc Thanh - 10/07/2026 09:00
Dù nắm trong tay khối tài sản khổng lồ, tài tử Châu Nhuận Phát vẫn giữ lối sống giản dị đến mức khó tin.

‘Không khóc giữa nhân gian’ - Học cách bình yên đi qua nỗi buồn

Từ sách - Phim - FN - 10/07/2026 08:00
​​​​​​​Chúng ta lầm tưởng rằng sở hữu càng nhiều thì càng hạnh phúc, nhưng đâu ngờ càng nắm chặt, càng mong cầu thì khổ lụy càng chất chồng.

Cách đo

Blog GS John VU - 09/07/2026 11:00
Tôi nhận được một email từ một sinh viên: “Tại sao chúng ta phải đo công việc của mình? Đo là khó và phí thời gian vì nó không cung cấp cho tôi giá trị. Nếu chúng ta có lỗi, chúng ta có thể sửa chúng về sau bất kể chúng có bao nhiêu. Tôi không biết tại sao chúng ta cần đo?”

Bạn không cần phải hòa hợp với tất cả mọi người

Suy ngẫm - PV - 09/07/2026 10:00
Bạn không cần phải hòa hợp với tất cả mọi người, và thậm chí bạn cũng không cần phải chú ý đến hầu hết mọi người.

Khương Bình, người từng được ca ngợi là "thiên tài toán học" và điều đáng để suy ngẫm

Phong cách sống - PV - 09/07/2026 09:00
Không có tin vui nhận giải, cũng chẳng có tranh cãi mới, chỉ một đoạn video ghi lại cảnh doanh nghiệp địa phương đến tận nhà thăm hỏi đã một lần nữa kéo cô gái từng đứng nơi đầu sóng ngọn gió dư luận này quay trở lại trong tầm mắt của công chúng.

Không khóc giữa nhân gian - Chỉ cần sống thật với mình

Từ sách - Phim - PV - 09/07/2026 08:00
Đôi khi, ta phải chọn buông tay ai đó – không phải vì hết thương, mà để vá lại những niềm tin rách rưới trong cuộc đời mình.

Vòng đời kiểm thử

Blog GS John VU - GS John Vu - 08/07/2026 11:00
Nhiều người trong các bạn đã hỏi tôi về kiểm thử và mối quan hệ của nó với vòng đời phát triển phần mềm. Về căn bản kiểm thử tuân theo vòng đời tương ứng với mọi pha của vòng đời phát triển.

Giàu có và đẹp trai, vậy mà vẫn không thể chinh phục được trái tim cô ấy

Suy ngẫm - PV - 08/07/2026 10:00
Đừng ngây thơ. Không phải bạn không đủ tốt, mà là bạn chưa nắm bắt được ba điểm mấu chốt này.

Sống với nghề viết thuê hơn 100.000 lá thư suốt 59 năm

Phong cách sống - Nguyệt Anh - 08/07/2026 09:00
Gần 60 năm qua, ông Jiang Mingdian (Trung Quốc) đã viết hơn 100.000 lá thư thay cho các gia đình có người thân ở nước ngoài, trở thành một trong những người viết thư thuê cuối cùng còn hoạt động.

'Không khóc giữa nhân gian' vì ta đã học được cách đi qua nỗi buồn

Từ sách - Phim - PV - 08/07/2026 08:00
“Không khóc giữa nhân gian” là quyển sách nhỏ được Đại đức Thích Đồng Tâm viết từ những ngày lòng trải qua những chông chênh của kiếp nhân sinh để gửi tới những “Người thương”, và cũng chính từ đó mà Đại đức học được cách mỉm cười đi qua dông bão bằng một tâm bình an hơn mỗi sớm mai thức dậy.

Quy trình phần mềm

Blog GS John VU - GS John Vu - 07/07/2026 11:00
Tôi nhận được một email mà người gửi hỏi: “Khác biệt giữa qui trình phần mềm và qui trình được xác định là gì? Khác biệt giữ qui trình được xác định và qui trình cá nhân là gì?”

Lớp vỏ bọc của những người đàn ông thành đạt

Suy ngẫm - PV - 07/07/2026 10:00
Bạn chỉ thấy vẻ oai phong và quyền lực của họ trước công chúng, nhưng bạn không bao giờ thấy những khó khăn gian khổ của họ phía sau hậu trường.

Nở rộ dịch vụ bán ảnh "phông bạt", từ bữa ăn omakase đến khoang thương gia

Phong cách sống - Việt Anh - 07/07/2026 09:00
Những bức ảnh check-in tại nhà hàng cao cấp, khách sạn hạng sang hay khoang bay thương gia đang được mua bán trên mạng xã hội để phục vụ nhu cầu "sống ảo".
HẠT GIỐNG TÂM HỒN
2019 Bản quyền thuộc về hatgiongtamhon.com.vn. Phát triển bởi ONECMS