Việc công bố Hồ sơ ứng dụng dành cho thiết bị di động mới, một chương trình chứng nhận bao gồm các phương pháp và yêu cầu tốt nhất để giữ cho các ứng dụng di động an toàn hơn mức hiện tại của nhà cung cấp, là kết quả từ sự hợp tác của hơn 20 công ty thành viên ioXt như Amazon, Comcast, Google....
Brooke Davis và Eugene Liderman đến từ nhóm bảo mật và quyền riêng tư Android của Google, trong một bài đăng trên blog họ cho biết: “Cơ sở bảo mật này giúp giảm thiểu các mối đe dọa phổ biến và giảm xác suất xuất hiện các lỗ hổng bảo mật đáng kể”.
"Hồ sơ này tận dụng các tiêu chuẩn và nguyên tắc hiện có do OWASP MASVS và Sáng kiến VPN Tin cậy (VPN Trust Initiative) đưa ra, đồng thời cho phép các nhà phát triển phân biệt các khả năng bảo mật xung quanh chất lượng chương trình mật mã, xác thực, bảo mật mạng và tiết lộ lỗ hổng bảo mật".
Chương trình tập trung vào các ứng dụng dành cho thiết bị di động vì đây thường là các ứng dụng giao diện người dùng phía khách cho các thiết bị thông minh và dịch vụ đám mây. Nó bao gồm một loạt kỳ vọng bổ sung cho các ứng dụng mạng riêng ảo (VPN), phần nhiều trong số đó, như VPN Onavo đã ngừng hoạt động của Facebook, đã bị cáo buộc đưa ra các tuyên bố bảo mật gây hiểu nhầm.
Harold Li, Chủ tịch Sáng kiến VPN Tin cậy và Phó chủ tịch ExpressVPN, cho biết trong một tuyên bố “VPN là trung tâm của quyền riêng tư, bảo mật và quyền trên internet, nhưng các thành viên của VTI biết rõ rằng chúng tôi không thể cung cấp các biện pháp bảo vệ đó nếu không có sự tin tưởng và minh bạch. Chương trình này sẽ cung cấp cho người tiêu dùng nhiều quyền kiểm soát và tự tin hơn trong việc lựa chọn các giải pháp tự bảo vệ trực tuyến".
Về mặt thực tế, điều đó có nghĩa là một ứng dụng VPN được ioXt chứng nhận sẽ có những tiết lộ thông tin ở đâu đó, nếu các hoạt động kinh doanh của nhà cung cấp liên quan đến việc bán dữ liệu và ít nhất sẽ thực hiện một số nỗ lực để triển khai mã của nó theo hướng bảo mật. Việc cả Google và Facebook đều là thành viên của ioXt, trong khi Apple thì không, cho thấy bộ quy tắc phù hợp với các mô hình kinh doanh dựa trên quảng cáo.
Nhưng chương trình của ioXt là tự nguyện, cho phép tự chứng nhận (mặc dù các nhà cung cấp có thể chọn chứng nhận từ phòng thí nghiệm được ủy quyền của ioXt) và tốn tiền.
Brad Ree, CTO của ioXt Alliance cho biết: “Chứng nhận Ứng dụng Di động bắt đầu ở mức 799 USD mỗi năm và chứng nhận thiết bị bắt đầu ở mức 1.950 USD mỗi năm. Tuy nhiên, các chứng nhận thường dựa trên toàn bộ dòng sản phẩm có chiết khấu theo số lượng".
Ree cho biết ioXT cung cấp cả chứng nhận bản thân với phần thưởng dành cho nhà nghiên cứu và chứng nhận xác thực từ phòng thí nghiệm. Ông nói: “Mục tiêu của chúng tôi là cung cấp một chương trình chứng nhận có thể mở rộng đến hàng trăm nghìn thiết bị được sản xuất bởi các nhà sản xuất trên toàn thế giới. Chúng tôi tin rằng chúng tôi có những phương pháp có thể mở rộng quy mô từ các công ty khởi nghiệp nhỏ cho tới các tập đoàn lớn."
Vì vậy, điều này sẽ không bắt được các tác nhân độc hại hay giúp ích nhiều cho các lỗ hổng do lập trình kém chất lượng.
Thay vào đó, những đơn vị tham gia có khả năng là các công ty đã có tên tuổi đang tìm cách tạo sự khác biệt với các nhà cung cấp ít trách nhiệm hơn. Phần đầu tiên của các ứng dụng được chứng nhận bao gồm: Comcast Xfinity Authenticator, ExpressVPN, Bàn phím không dây GreenMAX DRC, Hubspace Affero, McAfee Innovations (VPN), NordVPN, OpenVPN cho Android, Private Internet Access (VPN), VPN Private và ứng dụng Google One (chứa VPN của Google One).
Tuy nhiên chương trình này vẫn có một số giá trị, ví dụ: Hồ sơ ứng dụng dành cho thiết bị di động bao gồm các yêu cầu hợp lý như "Không có mật khẩu chung”. Nó cũng nhắc nhở các nhà cung cấp tuân thủ các phương pháp bảo mật bằng cách đặt các câu hỏi như liệu nhà cung cấp có chương trình báo cáo lỗ hổng bảo mật hay không, các loại bản cập nhật được áp dụng tự động, các bản cập nhật có được ký hay không,...
Đáng chú ý là việc bao gồm một hoặc hai nút trên danh sách sản phẩm được chứng nhận: Bất đồng với Chứng nhận (Dispute Certification) và Báo cáo lỗ hổng bảo mật. Nút Dispute Certification dẫn đến một biểu mẫu web để loại bỏ các nhà cung cấp không tuân thủ cam kết của họ và bao gồm một liên kết đến một chương trình trao thưởng từ 100 - 600 USD của ioXt Alliance. Nút thứ hai bao gồm một liên kết mailto: cung cấp một đầu mối liên hệ để người dùng báo cáo lỗ hổng bảo mật, với chương trình tiền thưởng cho việc cung cấp lỗi có thể áp dụng tùy thuộc vào các chương trình và chính sách của nhà cung cấp.
Tiết lộ được liệt kê trên các trang sản phẩm được chứng nhận có thể giúp người dùng đưa ra quyết định sáng suốt hơn. Nếu bạn là kiểu người có thể từ chối ứng dụng Xfinity Authenticator vì nó không ghim chứng chỉ x503, hệ thống chứng nhận của ioXt có thể làm thay đổi cuộc sống.
Nhưng chủ yếu, chương trình của ioXt sẽ giúp các nhà cung cấp sử dụng danh sách kiểm tra như một cơ chế để báo hiệu sự siêng năng và tuân thủ đối với thị trường. Không có gì ngăn cản bất kỳ công ty nào trong số họ thiết lập các tiêu chuẩn nội bộ và phát hành các sản phẩm an toàn như vẫn diễn ra gần đây.
Nguyễn Anh Tuấn (theo The Register)
16:00 | 12/05/2020
15:00 | 09/06/2021
10:00 | 29/10/2021
08:00 | 24/10/2023
13:00 | 18/02/2020
23:00 | 02/09/2022
09:00 | 22/08/2018
09:00 | 05/08/2024
Khung An ninh mạng của NIST (Cybersecurity Framework - CSF) được biết đến là một công cụ linh hoạt và toàn diện giúp các tổ chức nắm bắt, quản lý các mối đe dọa an ninh mạng một cách hiệu quả, từ việc xác định rủi ro, triển khai các biện pháp bảo vệ cho đến phản ứng khi xảy ra sự cố. CSF 2.0 được thiết kế phù hợp với nhiều mô hình, quy mô khác nhau của các tổ chức và những điều chỉnh, cập nhật bổ sung nhằm phản ánh sự phát triển nhanh chóng của công nghệ trí tuệ nhân tạo và blockchain. Bài báo sẽ thông tin tới độc giả Khung An ninh mạng phiên bản 2.0 của NIST và những cập nhật quan trọng trong phiên bản mới này.
08:00 | 16/07/2024
Trước nhu cầu về bảo mật an toàn thông tin trong hệ thống các cơ quan nhà nước, các tổ chức, doanh nghiệp và cá nhân ngày càng gia tăng, hoạt động kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự cũng tăng lên nhanh chóng với quy mô rộng trên phạm vi cả nước. Điều này đặt ra yêu cầu cấp thiết về sự thay đổi của hành lang pháp lý phải phù hợp với bối cảnh thực tế.
11:00 | 25/01/2024
Trong cuộc cách mạng công nghệ 4.0, mã hóa thông tin trở thành một ngành quan trọng và có nhiều ứng dụng trong đời sống xã hội, các ứng dụng, thiết bị mã hóa và bảo mật thông tin đang được sử dụng ngày càng phổ biến hơn trong các lĩnh vực khác nhau trên thế giới, từ lĩnh vực an ninh, quân sự, quốc phòng,… đến các lĩnh vực dân sự như thương mại, điện tử… Bài viết sẽ giới thiệu tóm tắt một số nội dung có trong tiêu chuẩn TCVN 11367-3:2016 về Công nghệ thông tin – Các kỹ thuật an toàn – Thuật toán mật mã, phần 3: Mã khối.
10:00 | 11/10/2023
Việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật hay không. Để tạo ra kết quả chuẩn xác của một cuộc đánh giá cũng phụ thuộc nhiều vào yếu tố con người. Bài viết sau sẽ giới thiệu về tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã.