Wednesday, November 22, 2006

Không có đường tắt nào đâu

Khi được một sinh viên hỏi có cách nào đạt được trình độ cao về bảo mật trong một thời gian ngắn, Richard Bejtlich, một trong những chuyên gia bảo mật hàng đầu thế giới, đã trả lời thế này:
In my opinion, it seems like this question seeks to learn some sort of "hidden truth" that I might possess, and acquire it in record time. The reality is that there are really no shortcuts to learning as complex a topic as digital security. I have been professionally involved with this topic for almost ten years, yet I consider myself halfway to the level of skill and proficiency I would prefer to possess. In another ten years I'll probably still be halfway there, since the threats and vulnerabilities and assets will have continued to evolve!
Quá chính xác, không có con đường tắt nào đâu! Muốn thành công thì bắt buộc phải luôn luôn làm việc siêng năng và chăm chỉ. Tài năng là do sự khổ luyện mà thành, tôi vẫn luôn nghĩ như vậy. Dẫu bạn có thông minh hơn người, điều đó cũng sẽ trở nên vô nghĩa nếu như bạn không có sự chuyên tâm trong công việc.

Richard cũng cho một số lời khuyên cho những người mới bắt đầu. Việc đầu tiên cần làm là đọc:
If you want to "know what I know," a good place to start is by reading one or more of my books. I recommend starting with Tao, then continuing with Extrusion and finishing with Forensics. Chapter 13 from Tao explicitly addresses the issue of security analyst training and development. My company research page lists over a dozen documents I've written, and this blog is a record of almost four years of thoughts on digital security.

For books outside of my own, my top ten books of the last ten years contains some of the best books on digital security. My reading page shows books I recommend in five categories. I also show the books waiting to be read on my shelf, but I wouldn't consider an appearance there to be an endorsement unless I offer a favorable Amazon.com review. Please note my recommended lists do not include books from 2006 (and maybe 2005), but I plan to write a "best of" list at the end of this year. I'll update the recommendations lists if I have time.
Còn gì đã hơn khi có một tay như Richard chọn sách cho mình đọc kia chứ? Việc thứ hai mà Richard khuyên chúng ta nên làm là:
In addition to reading, I highly recommend becoming familiar with the majority of the security tools listed by Fyodor. It also helps to specialize (at least in the beginning) in one of the five categories I show on my reading page.
Đây sẽ là một trong những đề tài mà tôi sẽ viết nhiều trong thời gian sắp tới: giới thiệu các công cụ bảo mật nổi tiếng trên thế giới.

9 comments:

mikado said...

Quá đúng!

Anonymous said...

Richard là chuyên gia bảo mật hàng đầu??? Nếu ai đó định hướng để đạt được đẳng cấp cao trong cộng đồng hacker thế giới thì không nên coi đó là một cái đích để hướng tới.

Tiêu chí quan trọng nhất để khẳng định trình độ của một hacker là khả năng sáng tạo, phát kiến cũng như cống hiến về mặt kỹ thuật cho community, chứ không phải có hiểu biết chung, hay là chỉ thành thạo các công cụ. Richard hoàn toàn không làm được điều gì về mặt sáng tạo. Theo mình anh ta mất quá nhiều thời gian vào việc review những quyển sách (nhiều cuốn vô bổ), hay thử nghiệm phần mềm một cách nhăng nhít. Mức độ hiểu biết một cách sâu sắc về các lãnh vực của Richard cũng có ít nhiều hạn chế. Thực chất về mặt kỹ thuật, Richard cũng chỉ là loại tầm tầm mà thôi.

Vì vậy trong ranking của mình, Richard xếp hàng thấp nhất trong đội ngũ những người có thể gọi là "hacker" trên thế giới.

Anonymous said...

Quá đúng!

thaidn said...

Bồ anonymous nói rất có lý. Bản thân tôi cũng đắn đo khi giới thiệu Richard như là một chuyên gia bảo mật hàng đầu. Tuy nhiên, nếu chỉ xét ở gốc độ am hiểu về các vấn đề căn bản của bảo mật thì tôi nhận xét Richard là người có kiến thức khá vững vàng. Richard không thể hiểu biết sâu sắc về crypto như Bruce Schneier hay có những sáng tạo kì vĩ như H.D.Moore, nhưng dựa trên cái nền mà Richard có được thì sẽ dễ dàng hơn trong việc tìm hiểu chuyên sâu về các vấn đề này. Đó là giá trị của Richard.

Anonymous said...

Các bài tiếp của blog này định tập trung giới thiệu các công cụ hacking nổi tiếng thế giới?

Cũng thú vị đấy, nhưng mình vừa tự hỏi có bao giờ những hacker đẳng cấp cao bỏ thời gian giới thiệu các công cụ không nhỉ?

Không, họ không có thời gian làm việc đó, vì họ quá bận ngồi tạo công cụ của riêng mình, để rồi nó trở nên nổi tiếng và lại được những người khác giới thiệu với nhau.

Keep going, though, because that can be helpful for newbies. Just my idea about a difference between the classy hackers and others :-)

thaidn said...

Để tôi làm rõ thế này, bản thân tôi và những anh em khác khi mở cái blog này ra không phải để chứng minh rằng chúng tôi là hacker đẳng cấp cao hay đẳng cấp thấp gì đó. Những người tham gia viết blog này, hay ít nhất là tôi, chẳng bao giờ tự xem mình là classy hacker cả. Tôi biết rõ mình là ai, mình đang ở vị trí nào, mình cần phải vươn lên vị trí nào và ở vị trí hiện tại thì tôi có thể giúp ích gì cho những người khác.

Tôi biết rõ rằng mình chưa đủ kiến thức và kinh nghiệm, hay còn gọi là đủ tầm để sáng tạo ra những công cụ của riêng mình, để rồi trở nên nổi tiếng. Tôi đang cố gắng học để làm được điều đó, không phải vì muốn nổi tiếng, mà chi đơn giản vì nó đem lại cho tôi pleasure (http://www.procul.org/blog/2006/09/13/h%e1%bb%8dc-bao-nhieu-la-o%e1%bb%a7/ Ở vị trí hiện tại, tôi cho rằng cách tốt nhất để tôi có thể giúp những người mới bắt đầu khác là chia sẻ kiến thức và kinh nghiệm hiện có của mình, để cùng nhau tiến bộ. Tôi hoan nghênh tất cả mọi người cùng tham gia. Còn nếu các classy hacker khác không có thời gian làm chuyện mà tôi đang làm, tôi sẽ không phiền họ, bởi việc sáng tạo quan trọng hơn rất nhiều việc viết tutorial.

Về câu hỏi của bồ anonymous, "có bao giờ những hacker đẳng cấp cao bỏ thời gian giới thiệu các công cụ không nhỉ?" thì tôi cũng xin mạn phép thưa rằng http://sectools.org là website của Fyodor.

Anonymous said...

Để thành chuyên gia bảo mật đẳng cấp, trước hết phải là hacker ...

Xin trích ra vài đoạn text ở links:
http://suutap.linhtinh.googlepages.com/hva
--------------
ạn có biêt không tác giả bài báo " Bắn Phá Trên Mạng" " Phía sau thẻ tín dụng " trên Echip , số báo ra ngày 7-8-2003 là Mrro ( Thai ) . Bạn biết anh ta là ai không , anh ta là 1 trong những thủ lĩnh của HVA . Anh ta lúc nào cũng nói với báo chí là tuyên chiến với những kẻ sử dụng CC ( thẻ tín dụng ) . Nhưng thực chất đó là 1 con người giả tạo , một kẻ sử dụng thẻ tín dụng thành thạo và chuyên nghiệp nhất trong hàng ngũ HVA . Chúng tôi đã được sự giúp đỡ của 1 nhóm Hacker để xâm nhập vào diễn đàn kín của HVA để xem rõ bộ mặt thực của con người này : ...

--------------
Hello all,
Hôm nay rảnh rỗi ngồi lục lại đóng "hồ sơ thần chết" đặt trong cái thư mục mrro'sreturn (hehe, hồi trước định làm một cái mass defacement mới đặt tên như vậy). Đem post lên đây chẳng phải khoe khoang gì mà là để nhớ lại cái thời còn "tung hòanh", kể ra cũng vui, hi vọng là mọi người chia sẻ niềm vui này cùng mrro ;). Tất cả mấy cái "hồ sơ" này bây giờ đều không gây tác hại gì và chẳng đáng là gì so với đám "hồ sơ" của Phương "gà con" ;).

Hôm nay là cái subfolder VDC.

Đây là file chứa nội dugn lúc mrro hack cái www.vdcmedia.com, theo cái ngày nó được tạo ra thì là ngày 08/09/2002

Anonymous said...

Tôi cho rằng những kẻ luôn luôn bức xúc, bực dọc và đau khổ vì sự hiện diện của HVA và những thành viên của nó và những chuyện từ ngày xa xưa là những kẻ vô công rồi nghề, ngồi lê đôi mách và vô ích của xã hội.

Hãy làm một cái gì ích lợi cho xã hội thay vì dành thời gian cho những việc vô ích và thấp hèn (như việc vu khống kẻ khác). Tuy nhiên, việc trước tiên nên làm là học lại căn bản đạo đức làm người.

Anonymous said...

Hi ban thaidn,

Moi nguoi trong xa hoi co mot cong viec cua minh, ho lam cong viec do vi cam thay co ich cho cong dong, cho xa hoi. Co nhung nguoi tim duoc loi ich trong cong hien cua minh, cung co nguoi khong thay co loi ich gi, do la le thuong tinh. Rieng voi toi, toi thay nhung dieu ban viec co tac dong tich cuc den tu tuong va viec trao doi kien thuc doi voi nhung nguoi trong cung linh vuc. Toi moi doc blog cua ban trong thoi gian gan day va thay rang rat hap dan. Mong ban tiep tuc cong hien nhieu nua. Rat cam on!