Friday, May 22, 2015

Hồ Chí Minh

Thằng bạn kêu lên FB chơi đi, nhiều cái hay lắm, nên tôi cũng mò lên xem. Đúng là nhiều cái hay thật, nhưng mà xem riết cũng ngán. Sao mà người ta chửi nhau dữ quá.

Mấy hôm nay người ta chửi nhau về Hồ Chí Minh. Nhân nói về cụ Hồ tôi mới nhớ có lần đi xe ôm, anh tài xế nói một câu hay lắm: "Ở đây bây giờ làm gì cũng phải "bác cùng chúng cháu hành quân" mới xong anh ơi". Ngồi nghĩ một hồi mới hiểu :). Cuộc đời Hồ Chí Minh giống như một bộ phim Liên Xô. Người ta nói, phim Mỹ khúc đầu dở, khúc sau hay, phim Liên Xô khúc đầu hay, khúc sau dở (còn phim Việt Nam thì khúc đầu giống phim Mỹ, khúc sau giống phim Liên Xô).

Hồ Chí Minh, cho đến trước kháng chiến chống Pháp, hay ơi là hay. Tôi ngưỡng mộ cụ Hồ trong giai đoạn này. Một người yêu nước, hoạt động bền bĩ, vào tù ra khám, vào sinh ra tử, bao nhiêu năm trời chỉ với một ước mơ cao quý là đem đến độc lập tự do cho người Việt Nam. Để rồi sau ba chục năm tha hương, Hồ Chí Minh quay lại cố hương và đạt đến đỉnh cao trong sự nghiệp cách mạng của ông vào ngày 2 tháng 9 năm 1945. Tác giả "Vietnam: A History" từng viết rằng cuộc đời trong giai đoạn này của Hồ Chí Minh giống như một bộ phim hành động hấp dẫn. Tôi nghĩ cú trở về của cụ Hồ quá hoàn hảo, ngay cả những nhà biên kịch xuất sắc nhất của Hollywood cũng khó thể nghĩ ra được.

Giai đoạn này của cụ Hồ có hai chi tiết gây tranh cãi. Thứ nhất là cụ có bán đứng Phan Bội Châu cho Phòng nhì Pháp vào năm 1925, thứ nhì liệu Nguyễn Ái Quốc mà chúng ta đã biết có thể đã chết ở Hồng Kong vào năm 1932 hay không? Tin vào những giả thuyết này cũng giống như tin người Mỹ không có lên Mặt Trăng. Chúng ta hay chửi Cộng Sản hay nói láo (chửi rất đúng), nhưng mà những người dựng lên những câu chuyện này cũng không thua gì mấy ông Cộng Sản. Họ cũng nói láo không chớp mắt, không biết xấu hổ.

Tôi đã đọc ít nhất ba cuốn sách viết về Hồ Chi Minh, tất cả đều có nhắc đến sự kiện Phan Bội Châu và các cuốn sách đều kết luận: với các bằng chứng và hồ sơ đã có, khả năng rất cao không phải do Hồ Chí Minh bán đứng Phan Bội Châu.
  • Cuốn thứ nhất là Ho Chi Minh: A Life, của William Duiker.
  • Cuốn thứ hai là Ho Chi Minh: The Missing Years, 1919-1941 của Sophie Quinn-Judge.
  • Cuốn thứ ba là Vietnam: A History, của Stanley Karnow. Cuốn này không có trên Google Books, nhưng các bạn có thể tìm đọc.
Những sử gia danh tiếng này đều dựa vào nguồn hồ sơ đáng tin cậy nhất là các báo cáo mật của Phòng nhì Pháp.

Nhưng chỉ cần suy nghĩ một chút, bạn sẽ thấy giả thuyết này rất vô lý. Nếu bạn tìm lại các hồ sơ sẽ thấy trước 1965, nghĩa là trong suốt 40 năm kể từ ngày Phan Bội Châu bị bắt, không ai nhắc đến giả thuyết này cả. Liệu có gì đáng nghi ngờ không, khi mà xung quanh Hồ Chí Minh bao nhiêu kẻ thù, thiếu gì người muốn hạ uy tín của cụ, tại sao lại phải chờ đến 40 năm, khi mà ông Hồ đã mất hết quyền lực và bệnh tật đầy mình mới khui ra? Vì lúc đó Hoàng Văn Chí mới viết cuốn From Colonialism to Communism trong đó cáo buộc Hồ Chí Minh phản bội Phan Bội Châu. Nguồn tài liệu của ông Chí như thế nào? Tôi không có bảng tiếng Anh, chỉ có bảng tiếng Việt (đoạn cuối trang 24) và nó như sau:

"Giới cách mạng Việt Nam ở Trung Quốc đều biết rõ việc này, và một người đồ đệ của ông Nguyễn Ái Quốc đã thuật lại với chúng tôi"

Trời, ổng nghe kể lại?! Tôi có đọc lầm không? Ông cáo buộc người ta một chuyện tày trời, rồi ông chỉ nói là ông nghe kể lại, vậy mà cũng có người tin?

Chuyện thứ hai là cụ Hồ không phải người Việt, mà là một ông gì đó tên là Hồ Tập Chương, gián điệp của Tàu. Cụ Hồ người Việt Nam đã chết vì bệnh lao phổi ở Hồng Kong vào năm 1932 rồi. Bọn chuyên thuyết âm mưu đẳng cấp quốc tế nghe cái này chắc cũng phải lạy người nghĩ ra cái thuyết này làm sư phụ. Họ gài cái thuyết này cũng hay lắm, vừa hạ uy tín ông Hồ, vừa chửi luôn mấy ông làm việc xung quanh cụ Hồ: mấy ông có mắt mà cũng như mù, mấy chục năm trời ở cạnh một ông người Tàu mà cứ tưởng ổng người Việt. Nghe tin này ông Phạm Xuân Ẩn sẽ rất buồn, vì bị mất danh hiệu điệp viên thế kỷ vô tay Hồ Tập Chương. Nhưng sếp của ông Chương mới là thiên tài. Lúc cụ Hồ ở Hồng Kong, mặc dù các hãng phim trong nước cứ làm phim về giai đoạn này hoài, là lúc sự nghiệp của cụ xuống dốc nhất. Mất uy tín (trong Đảng Cộng Sản), mất vợ/người yêu (Nguyễn Thị Minh Khai), mất sức khỏe (bị lao phổi), mất luôn tự do (bị chính quyền Hồng Kong giam giữ), nói chung là cụ mất tất cả. Thế mà bọn chúng vẫn nhìn ra được là mười mấy năm sau cụ sẽ trở thành trùm Cộng Sản Việt Nam. Không phải thiên tài không thể đoán trước được như vậy.

Nhưng... nhưng tại sao cụ Hồ lại có lúc không nhận mình là Nguyễn Ái Quốc? Vì ổng không muốn bị gắn với cái quá khứ Cộng Sản! Thời điểm mà cụ Hồ đưa ra những tuyên bố đó là lúc cụ đang ve vãn Mỹ, để được sự công nhận của quốc gia này, nhằm tránh đánh nhau với Pháp. Cũng có thể đó là một mũi tên bắn chết hai con nhạn, cụ muốn phủ nhận mình là Nguyễn Ái Quốc để lấy cảm tình của Stalin, người vốn chẳng ưa gì họ Nguyễn. Nghĩ thêm một chút, có ông điệp viên nào ngu đến mức kêu "Òh tao không phải là thằng đó đâu, tao chỉ giả dạng nó mấy chục năm cho vui thôi"? Phạm Xuân Ẩn giơ tay phát biểu, "Anh ơi thằng đó ngu vậy cho em nhận lại cái bằng điệp viên thế kỷ được không anh?".

Tóm lại, trước kháng chiến chống Pháp, cụ Hồ hoàn hảo. Những gì diễn ra sau đó, tiếc thay, lại không được hay lắm, nếu không muốn lập lại là rất giống phim Liên Xô.

Mùa đông 1946, cụ Hồ dẫn dân tộc vào cuộc chiến chín năm đẫm máu với người Pháp. Sự thật là cụ không muốn đánh nhau, bao nhiêu nỗ lực của cụ để được Mỹ và đồng minh ghi nhận, để hòa hoãn với người Pháp, đều đổ sông đổ biển theo những diễn biến của thời cuộc ngoài tầm kiểm soát của cụ. Người Pháp muốn chiếm đóng Việt Nam, người Mỹ muốn làm hài lòng người Pháp, chẳng ai xem cụ ra gì. Bị dồn vào đường cùng, Hồ Chí Minh buộc phải đánh trả. Khi quyết định đánh nhau với người Pháp, cụ Hồ cũng thừa hiểu rằng đó sẽ là một cuộc chiến dài hơi, nhưng có lẽ cụ đã không hình dung được nó vẫn còn tiếp diễn sáu năm sau ngày cụ qua đời.

Mùa thu 1949, Cộng Sản chiến thắng ở Trung Quốc, cụ Hồ dẫn dân tộc vào con đường Cộng Sản. Cụ không có nhiều lựa chọn, không đi theo Cộng Sản Trung Quốc thì lấy gì đánh nhau với Pháp? Nhưng chính quyết định này đã dẫn đến hàng loạt hệ quả kinh hoàng mà cho đến bây giờ chúng ta vẫn đang phải chứng kiến hàng ngày. Cụ Hồ nghĩ rằng cụ đánh nhau với Pháp để giải phóng dân tộc, nhưng người Mỹ nghĩ rằng đó là chiến tranh ý thức hệ, giữa Tư Bản và Cộng Sản, giữa Tự Do và Toàn Trị, giữa Dân Chủ và Độc Tài. Người Trung Quốc có tính toán riêng của họ, họ không muốn một Việt Nam mạnh, họ muốn nó nghèo nàn, lộn xộn, bị chia cắt và họ muốn đánh Mỹ đến người Việt Nam cuối cùng.

Quyết định dựa vào Trung Quốc để đánh Pháp là quyết định sai lầm lớn nhất của cụ Hồ. Quyết định này tạo điều kiện cho Trung Quốc chia cắt Việt Nam ở hiệp định Geneva và cũng khiến Mỹ kết luận cụ Hồ và Việt Minh là Cộng Sản trăm phần trăm (dô!) và quyết định đánh đến cùng (khi nào mệt quá thì về). Năm 1954 cụ Hồ có đánh tiếng là nếu để cho Việt Nam thống nhất, cụ sẽ không can dự vào chuyện Cộng Sản và Tư Bản, nhưng lúc đó đã quá muộn. Cụ đã biến tổ quốc trở thành bãi thử vũ khí của chiến tranh lạnh, nơi người Việt giết người Việt để làm hài lòng người Mỹ, người Trung Quốc và người Liên Xô.

Khi cụ nắm lại chính quyền vào năm 1954, cụ đã không hành xử như một người yêu tự do. Cải cách ruộng đất, bao nhiêu người chết, bây giờ người ta đổ lỗi là Trung Quốc nó ép, nhưng lãnh tụ ở đâu làm gì để bọn nó ép? Nhìn hẹp thì thấy Nhân Văn Giai Phẩm, nhìn rộng ra là thấy toàn bộ xã hội miền Bắc dưới tay cụ Hồ chẳng có một tẹo tự do. Có lẽ khi cụ nói không có gì quý hơn độc lập tự do, cụ chỉ nghĩ cho mình cụ thôi. Mà đừng nói chi chuyện phù phiếm đó, những chuyện cơm áo gạo tiền, kinh tế an sinh xã hội cụ cũng không có để lại bất kỳ ấn tượng nào. Cụ có tài kinh bang tế thế, có thể, nhưng cụ không có biểu diễn cho ai xem hết.

--

Đồ... đồ dư luận viên phản động (oxymoron detected!), sao hồi nãy bênh vực cụ Hồ quá trời rồi bây giờ lại quay ra chửi ghê thế?

Đâu, tôi có bênh hay chửi gì đâu, tôi đọc và tôi suy nghĩ, tôi thấy cái gì hợp lý thì tôi nói. Nếu bạn nghĩ là tôi nhắm mắt bảo vệ hay chửi Hồ Chí Minh bằng mọi giá thì có lẽ bạn đang xúc phạm trí thông minh của tôi rồi. Tôi muốn nhắc rằng, hồi xưa thông tin một chiều, não ai cũng bị tẩy trắng như bông bưởi. Bây giờ thông tin nhiều chiều, coi chừng lại bị tẩy thêm một lần nữa. Tẩy riếc mất khả năng suy nghĩ, ai nói gì nghe nấy, mà cứ tưởng là mình đang được khai sáng.

Thần thánh hóa hay lưu manh hóa lãnh tụ không cần suy nghĩ thì cũng y như nhau cả thôi. Những kẻ tự xưng là đấu tranh cho tự do dân chủ nhưng lại đi cổ xúy những thuyết âm mưu tầm xàm bá láp cũng không khác gì những ông cộng sản dùng bá quyền đàn áp tư tưởng người khác. Xã hội này đã quá thừa thải những người biết vâng lời hay những người "từ ấy trong tim bừng nắng hạ", cứ hễ nghe ai nói xấu chính quyền là người đó đúng, nhưng lại rất thiếu những người biết dùng cái đầu của mình làm chức năng cơ bản nhất của nó là suy nghĩ (giống như M. hay nói, trí thức phải biết dùng cái đầu, nghe câu này các chị em rất thích nhé :-).

Tôi kết luận: thay vì hàng ngày lên Facebook nhồi nhét vô đầu những chuyện tầm xàm bá láp, chi bằng học!

Thursday, May 21, 2015

Vietnam: A Hacker's Report

Disclaimer: this post contains solely my personal opinions. I do not speak for my employer or anyone else.

Last December I was invited to present on behalf of Google Security Team at Vietnam Information Security Day Conference, a national security event held annually by VNISA. The organizers always pick a theme for the event, and this year can’t be more serious: Information Security and National Sovereignty. The conference has always been, however, a bad joke. It has zero technical content, all presentations are sponsors sales pitches. It's like a lost poor Vietnamese half-brother of the rich spoiled American kid named RSA Conference. One presenter spent 30' literally reading out loud the history of Samsung from his slide deck to an audience that don't-care-just-come-here-to-have-free-lunch-and-to-escape-work. At some point I zoned out and wondered why I was even there. Anyway it’s difficult to reject a free trip to Vietnam, and impossible once I’d told my SO. I also thought I might make the conference a bit more interesting.

<In earlier versions of this post there were three paragraphs in which I described a meeting with some government agency. I was asked to remove them, and I obliged because it was a confidential meeting that I shouldn't have disclosed. I retained the following paragraph because it's relevant to what I presented at the conference>

The discussion changed to information security strategy for Vietnam. I’m no cybersecurity strategist, I didn't really know what I was talking about, but I know that the country needs more and better engineers. I told them Coursera and Udacity and their online courses taught by top professors, and that Vietnam should recognize their certificates as valid credentials as soon as possible. They need to make information security more appealing to students, perhaps by holding a nationwide capture the flag competition with big prizes, or by requiring private and public organizations at certain sizes or in certain sectors to hire at least one full-time security engineer. We chat a bit more, but I don’t remember what it was about.

The next day was the conference, which was bigger and more formal than I expected. Google was one of the gold sponsors, and I was assigned to give the second presentation, right after a government VIP who gave a leadership keynote, and successfully made most of the attendees asleep at 9 in the morning. From my experience and contacts, I know a lot of companies in Vietnam are spending all of their security budget buying turn-key solutions and paying ISO 27001 consultants or PCI DSS auditors, and I want to tell them that they’re doing it wrong.

I started the presentation saying that I had nothing to sell, but I just wanted to share some experiences of how we do security at Google. I showed a photo of taviso@ and asked if anyone knows him. I saw one hand, and it was a friend of mine. I told them about Sophail, and explained why buying more devices or “APT solutions” does not necessarily result in better security. I told them about the recent disclosed vulnerabilities in Cisco ASA, F5 load balancers, and assured them that we've found vulnerabilities in anything that we've ever looked at. I emphasized that software always has vulnerabilities, and security software is just another type of software. If anything, security software is often more complex, and thus has more vulnerabilities.

This would for sure piss off the other sponsors, but it’s exactly what I wanted to do. I wanted to make enemies not friends. I quoted the CISO of Sony in a 2007 interview with CIO Magazine that he would not invest "$10 million to avoid a possible $1 million loss”, and explained why risk management by the numbers alone does not work, and why people should not bother with things like ITIL or ISO 27001 unless they need them to win contracts. It's like you don't need a CISSP to become a security engineer, unless your job requires it. I told them essentially what I told the gentlemen in the earlier meeting: they need to spend all of their money on training and recruiting engineers, and they need to do that now. Google won’t hire an army of full-time security engineers, if there’s a off-the-shelf solution for the security problems we’re facing. Of course not every one is Google, but more on that just in a moment.

Every one in the industry understands that breaking in a system is way easier than safeguarding it. I pointed out another asymmetry that many people are unaware of: the defenders understand their systems better than any adversaries. Once the attackers get in, they might trigger a custom trap or trigger a signal that the defenders have spent years building and tuning. No off-the-shelf solutions can do this, and having a team of competent security engineers is the only way to do it. Most small and medium businesses should stand on the shoulder of giants like Google or Amazon, and consider instead of building their own systems leveraging ready-to-use, usually cheaper and safer cloud services. For extremely sensitive data, they might want to use end-to-end encryption to avoid leaking data to third parties.


meme-5788076497436672.jpg


I thought the talk was well received. Aside from one sales representative from Trend Micro accusing me of lying to sell Google cloud services, many people greeted me afterward and said the presentation was eye-opening for them. I was invited to meet with the security team at Viettel, the largest communications corporation owned by the Ministry of Defense. While I was talking to Viettel, a uniformed man interrupted us, and asked me to have a private conversation with him. We walked outside the main conference room, the man introduced himself as an officer at the Information Security Agency at the Ministry of Defense. I thought I was in trouble, because of things that I wrote on this blog. 

The officer said that he thought the talk was interesting, but immediately got down to business and asked if I can help him identify the bloggers behind some blogs on blogspot.com(!?) “They just posted a few things, then disappeared forever. We’ve tried to track them down, but no luck. Can you give us their IP or email addresses?” I explained that I don’t have the authority to answer this question, but if he emails me I’ll route it to the right person. I said that it’s unlikely that Google will do anything, as “their culture is different from ours.” I don’t know why, but I wanted to pretend that even though I can’t do anything I’m on their side. Luckily, it’s the only question that he had. I went back to the main hall, but it wasn’t more than 5 minutes before I was asked by another uniformed man to have a private conversation with him. He’s another officer at the Ministry of Defense, and he asked me exactly the same question. I played the same trick, and he let me go after explaining that this is a matter of national security, and as a Vietnamese it’s my responsibility to help him. It's not the last time during my trip I was asked to fulfill my citizenship duty by ratting out my own people.


A less serious but funnier encounter was with a female engineer, friend of friend, working at the Information Security Agency at the Very Important Ministry that I don't want to call out to protect her identity. Given the sensitive nature of her system, it’s a top secret that she has relied solely on a friend of mine, who is not an employee at that ministry, on everyday operations security. “I’ve got a lot of guidances from the information security agencies at other ministries, but I won’t trust them much because they take themselves too seriously. Everything they sent was stamped Top Secret, even if it was a copy of Microsoft’s announcement that Windows XP was no longer supported”. She told me that her agency has bought all the vulnerability scanners ever made, but she has no idea what she would do with them. “My boss always wants to buy concrete things. It’s easier to convince management that we’ve spent the money well by buying hardware, than doing intangible things like training the staff, but, most importantly, it’s the best way to get kick back”.

So it isn't that we don't have money, but the core of the problem is as old as humanity: people with power are corrupted. Given the raising tension against China, these people, whose one job is protect the country's information infrastructure, see nothing but an opportunity to pocket themselves a handsome share of government money. Most of the colluding vendors, sadly, are from the U.S. One source told me that the standard kick back rate is as high as 30%, not including expensive parties or sexual bribes. I very much want to help defend my motherland, and I know I'm capable of making meaningful contributions, but the mere thought that I have to deal with these people makes me feel sick. Not that had anybody asked me, I think they just don't care that much, or, perhaps, they just don't trust me.

The last interesting bit that I’ve learned was how VCCorp got hacked. The company runs the country’s largest display ad network, and has an interesting portfolio of Internet products and services. They got hacked so bad that for several weeks during October and November most of their websites were down. A few reliable sources told me that the attackers had compromised a web cache proxy at the largest, state-owned ISP, and replaced the cached copies of Adobe Flash on Windows and Mac OS X with trojaned versions. Laptops and workstations of VCCorp’s sysadmins were infected, and from there everything else was hacked. What interesting was A68, code name of the very powerful Information Security Agency at the Ministry of Public Security, told the victim and everyone involved that the incident was a matter of national security. They seized control of all evidences, and forbade any public disclosures, even if millions of people are probably still infected. Why? I think they want to hide something. At any rate, if you travel to Vietnam, never install anything.

The last two weeks in my trip I spent most of my time organizing TetCon Saigon 2015. The conference was a huge success, we attracted 400 attendees and a nice line up of speakers. Organizing a conference is tiresome, raising money, selecting talks, talking to partners, arranging speaker details, etc. all that take a lot of precious time that I'd rather spend with my family. Anyway what should be done needs to be done, and hopefully something good will come out of it. I was and am lucky with my career. I've got chances to see and work on wonderful things, and I take it as my duty to give some of my comrades the chances that I've got. Not to rat them out, hell no!

Friday, May 1, 2015

Support a Nepal village through this difficult time

I donated $100. I hope some of you can help these people out. This friend of mine is trustworthy and I trust her assessment of OSED.

Please donate, and help spread the word amongst your network.
https://life.indiegogo.com/fundraisers/directly-help-khokana/x/10666555

On Fri, May 1, 2015 at 2:28 PM, Lena Bui wrote:
Dear Friends,

As some of you know, I am currently living in Nepal. Thank you for reaching out to me during the earthquake to check on my wellbeing. I am doing very well and have remained largely unharmed through this disaster. But many of my friends here are not so fortunately. Many of you have asked how to help and so I'm now reaching out to you.

If you haven't already donated to bigger NGOs or are still on the fence wondering where your money would make sense then please consider donating directly to my friends' village - Khokana - a small, beautiful, very old and traditional village South of Kathmandu that have been reduced to rubbles.

Me and my friend Sian are setting up this fundraising, as we have access to electricity and internet, but the money will go directly to OSED (Organization for Social and Education Development), the local NGO that was founded and run by locals, who have also lost their homes. Unlike international aids and relief teams that come in and out, the members of OSED have to live through this disaster and shoulder the oncoming hardship of being homeless during monsoon season without adequate access to food, water and shelter. Through my experience working with them I know they are hardworking, honest, reliable, incredibly resilient and truly embody the spirit of giving and sharing. The residents of Khokana have coped and organized themselves through the worst 2 days of the earthquake without help from the government or outsiders, they will know how to allocate given resources and work through what is most necessary. Here is a place where you can help locals help themselves, trust that your money will be put to good use and directly arrive those who need it most.

Please donate, and help spread the word amongst your network.
https://life.indiegogo.com/fundraisers/directly-help-khokana/x/10666555

Hear and see the situation in Khokana from locals: https://vimeo.com/126597713

Many thanks and best wishes to all,
Lena Bui