Giám đốc bảo mật mới ở Mozilla: Loại bỏ mã nguồn cũ

Mozilla Corp. đã thuê một chiến lược gia bảo mật trước đây của Microsoft để giúp bảo mật các phần mềm nguồn mở, đặc biệt là trình duyệt FireFox.

Window Snyder - người mới được thuê - đã được công nhận chính thức vào chức vụ “Chief Security Something” tuần trước. Chẳng có gì là không bình thường nếu một công ty nào đó có nhà lãnh đạo với chức danh “Chief Lizard Wrangler” – Window nói. Bà cũng phát biểu rằng hiện bà đang có một số kế hoạch lớn trong nỗ lực phát triển nhóm bảo mật của mình.

“Chúng tôi sẽ chuyển sang thế chủ động mới, đưa cách thức thêm thành phần tác động bảo mật vào tài khoản”, Synder nói. “Chúng tôi muốn giảm toàn bộ nguy hiểm (cho Firefox) bằng cách xác định những chỗ không cần sử dụng một thành phần nào đó và loại bỏ tất cả các mã nguồn cũ”.

Ở Microsoft, Snyder chịu trách nhiệm về bảo mật sign-offs trên Windows XP SP2 và Windows Server 2003. Trước Mozilla, bà đã làm việc với Matasano Security, một công ty có trụ sở tại New York, công ty đầu tiên sau khi Snyder rời khỏi Microsoft. Synder cũng là một trong những thành viên sáng lập nhóm @stake hacking-group-turned-consultancy, được Symantec thu nạp năm 2004.

“Chúng tôi muốn Firefox có mã nguồn cơ bản gọn và ít điểm truy nhập hệ thống hơn”, Snyder nói.

“Nếu chúng tôi tìm ra được bất kỳ thường trình phân tách nào đã xây dựng hàng năm trước để quản lỳ các file bây giờ chẳng mấy ai sử dụng, chúng tôi sẽ loại bỏ ngay. Đó là mầm mống tiềm ẩn các lỗ hổng nặng hơn giá trị của thành phần”. Điều đó không có nghĩa là Firefox sẽ thường xuyên bị cắt giảm mã nguồn và xây dựng lại từ đầu. Chúng tôi chỉ loại bỏ các mã hoặc chuyển thành phần cũ thành tuỳ chọn cài đặt, chứ không để chúng trong mã nguồn cơ sở chung.

“Chúng tôi không nói là Firefox có nhiều lỗi”, Synder nói như khi bà bảo vệ bản ghi track bảo mật của trình duyệt trước kia.

“Chỉ đếm lỗi thì không thể đánh giá chính xác được mức độ bảo mật của một ứng dụng”, Synder phản bác trước một số lời chỉ trích về trình duyệt nguồn mở khi so sánh với đối thủ cạnh tranh chính Internet Explorer của Microsoft. Một năm trước đây Symatec đã kiểm lại và kết luận rằng Firefox có số lỗ hổng gấp đôi IE.

“Mọi người nên đếm số ngày nguy hiểm. Lỗ hổng của người sử dụng tồn tại trong bao lâu? Thời gian giữa lần cung cấp bản vá lỗi và bản nâng cấp là bao nhiêu?”. Nếu theo hướng này thì sản phẩm của Mozollia cầm chắc chiến thắng trong tay. “Chúng tôi đang thay đổi (bản vá lỗi) theo từng ngày chứ không phải theo tuần hay tháng”.

Microsoft thường bị chỉ trích là phát triển các bản vá lỗi và chương trình kiểm tra quá lâu. Thậm chí có khi một hoạt động phá hoại đã diển ra tràn lan rồi mà Microsoft phải mất hàng tuần mới cung cấp được bản vá lỗi.

Synder thừa nhận rằng Mozilla có một chương trình nâng cao built-in (dựng sẵn) khi muốn tiến hành thực hiện bản vá lỗi. Điều đó nhanh hơn nhiều so với Microsoft. “Hầu hết người sử dụng của chúng tôi đều ở nhà. Với các bản update được để mặc định, chúng tôi có thể thu thập được 90% thông tin cập nhật cơ sở cho phiên bản tiếp theo chỉ trong khoảng 8 ngày”. Trong khi bản và lỗi của Microsoft cho IE thường được phát triển chậm hơn nhiều. Vì các khách hàng doanh nghiệp của họ phải tự kiểm tra nội bộ trước khi đưa lại thông tin cho công ty làm việc.

Mozilla cũng điều tra và thực thi các thành phần khác để nâng cao tính năng bảo mật cho Firefox.

“Chúng tôi đã sẵn sàng đặt chương trình chống phishing vào (Firefox) 2.0”. Hiện Synder đang tính đến các phương thức và kỹ thuật quản lý bộ nhớ, mã quản lý và kiểu hộp sandbox mới. Chương trình hứa hẹn nhất là phát triển quản lý heap, làm cho phần ghi khu vực bộ nhớ khó bị khai thác hơn. “Điều đó có thể giới hạn khả năng khai thác lỗ hổng”, Synder nói.

“Mozilla sẽ phản ứng nhanh chóng với các lỗ hổng, sửa chữa tất cả sai sót tác động bảo mật. Khi chúng tôi bổ sung thành phần, chúng tôi sẽ luôn xem xét đến vấn đề ảnh hưởng bảo mật”, Synder hứa.

Nói vậy nhưng, theo kế hoạch thì thứ năm là ngày phát hành phiên bản Firefox 1.5.0.7, bản cập nhật bảo mật cho browser. Tuy nhiên cho đến trưa (theo giờ PDT) cùng ngày, bản cập nhật này vẫn chưa hề được đưa lên website của Mozilla. 

T.Thu