Tuesday, July 17, 2007

Vàng hay bạc nhái

Ở chỗ tôi làm, cứ một hai tháng sẽ có một công ti đến xin trình bày các giải pháp hay sản phẩm IT của họ. Tôi thường được sếp đề nghị tham dự các buổi trình bày đó nếu như đề tài có liên quan đến bảo mật. Nói chung, các buổi trình bày thường không để lại ấn tượng gì nhiều, bởi đa số các công ti này đều chỉ là reseller cho những giải pháp có sẵn của một vài hãng có tên tuổi trên thế giới. Họ thường là dân sales, thành ra đối với một thằng làm kĩ thuật như tôi thì những gì họ nói không đem lại nhiều hứng thú. Tuy nhiên, khi biết tin là đầu giờ chiều sẽ có một công ti làm về dịch vụ bảo mật khá nổi tiếng ở VN đến trình bày, tôi đã háo hức chờ đợi.

Ấn tượng đầu tiên là họ đến trễ hơn lịch hẹn 30'. Họ hẹn 2h nhưng mãi đến 2h30 mới xuất hiện. E hèm, vậy thì chắc chỉ nghe được các đồng chí này nói trong 30' thôi, 3h tôi đã có một cuộc hẹn rất quan trọng khác. Thêm 10' chuẩn bị nữa, 2h40 họ bắt đầu nói. Khác với các công ti reseller, hai người trình bày hôm nay là hai người VN. Họ là hai trong số ít người VN đạt được chứng chỉ CISSP, thành ra tôi đã nghe nói về họ khá nhiều từ trước nhưng đây cũng chỉ mới là lần gặp đầu tiên. Ấn tượng thứ hai là người trình bày chính ăn nói quá tệ. Tôi có cảm giác rằng đây là lần đầu tiên anh này đi gặp khách hàng hay sao đó, nói chuyện cứ run rẩy, ấp a ấp úng, không có biểu hiện gì của sự tự tin cả. Cũng may là người thứ hai ăn nói lưu loát hơn nên tôi cũng nắm được những ý chính trong cái slide mà họ trình bày.

Đại loại họ là một công ti làm về dịch vụ bảo mật với các dịch vụ thông thường như penetration test, security auditing, computer forensic, ISO 17799 consulting, training...Họ mở đầu bằng cách giới thiệu về công ti, một tập hợp "các chuyên gia hàng đầu VN trong lĩnh vực bảo mật" rồi liệt kê một loạt các chứng chỉ mà họ có được cũng như danh sách các security partner và khách hàng hiện tại của họ. Sau đó họ bắt đầu giảng giải về các dịch vụ, lợi ích của các dịch vụ này là gì, cách thức họ tiến hành ra sao...Nói chung người trình bày dở cộng thêm cái slide không có gì hấp dẫn làm cho những người tham dự như tôi hết sức...buồn ngủ. Cuối cùng thì họ cũng trình bày xong, sau hơn 30' ậm ừ ậm ừ. Chà xong rồi ư, sao không thấy có cái gì đó nổi bật hết nhỉ?

Thật tình nghe họ nói xong, tôi hầu như chẳng còn có chút hứng thú nào để tiếp tục cuộc họp đó. Một công ti làm về bảo mật mà hầu như chẳng có một chút thông tin nào về R&D của họ thì giống như tự nhận là nhà khoa học mà chẳng công bố nổi một công trình nào cả. Anh làm penetration test ư? Anh tư vấn về các giải pháp bảo mật ư? Anh điều tra các vụ án CNTT ư? Anh là các chuyên gia hàng đầu ư? Vậy hãy nói cho tôi biết kết quả R&D của anh. Hãy chỉ cho tôi thấy những lổ hổng mà anh đã công bố. Hãy chỉ cho tôi thấy những attack vector mới mà anh đã tìm ra. Hãy chỉ cho tôi thấy những con worm mà anh đã phân tích. Hãy chỉ cho tôi thấy những phần mềm mà anh đã phát minh. Hãy chỉ cho tôi thấy những cuốn sách mà anh đã viết. Hãy chỉ cho tôi thấy những bài báo kinh điển mà anh đã công bố. Hãy chỉ cho tôi thấy những hoạt động của anh tại các sự kiện về bảo mật và hacking lớn trên thế giới. Hãy chỉ cho tôi thấy tay nghề của anh hơn là nói cho tôi biết những bằng cấp mà anh có!

Tôi bỏ dở cuộc họp giữa chừng. Buổi tối về nhà, tôi thử truy cập vào website của họ để xem như thế nào. Poke around một hồi tôi thấy họ xài dịch vụ share hosting với một vài lổ hổng nho nhỏ trong cái phần mềm CMS mà họ sử dụng. Ôi trời, vàng hay bạc nhái?

19 comments:

Anonymous said...

Nghe giong noi ve VietShield?

Anonymous said...

Các công tại VN vẫn hay đi lừa gà với những khẩu hiệu rất kêu như "hàng đẫu", "số một", "hoàn hảO", "đầu ngành"... Họ vẫn làm thế nghĩa là không ít gà sập bẫy họ...

Anonymous said...

Thai oi, sao may cai article gan day doc tieng Viet khong duoc vay?

thaidn said...

chà, do quên chỉnh font là Arial khi soạn. Giờ bạn đã đọc được chưa?

Sigmasvn said...

hehe,cũng có một cty resell vừa mới trình bày về CRM cho mình đó Thái,nói cũng y chang, chắc là thuộc nhóm đồng thau.

Anonymous said...

Doc duoc roi ban, nhung cung con nhieu cho bi hien o vuong do. Cam on cac bai viet cua ban nhe!

Anonymous said...

Tôi nhìn nhận vấn đề này dưới một khía cạnh khác, do đó tôi thấy những ý kiến của Thái trong post này là không thỏa đáng.

Thứ nhất, hãy xem mục đích của cuộc họp này là gì. Như Thái đã nói, đây là một buổi trình bày về các giải pháp và sản phẩm IT của một công ty, cụ thể ở đây là các giải pháp và dịch vụ về bảo mật. Dưới góc độ đó, tôi thấy những đề tài mà họ trình bày là hợp lý và logic. Họ giới thiệu về công ty, giới thiệu về các dịch vụ mà họ cung cấp, "... lợi ích của các dịch vụ này là gì, cách thức họ tiến hành ra sao...". Theo tôi, như vậy là đầy đủ và đúng với mục đích của buổi gặp mặt. Đây là một buổi gặp mặt đầu tiên giữa 2 bên để giới thiệu sản phẩm, không phải là một hội thảo của các chuyên gia bảo mật. Người tham dự cuộc họp này không chỉ có những người am hiểu hệ thống như Thái mà còn có thể là các nhà quản lý cấp cao, các nhân viên ở các bộ phận khác không chuyên về IT. Do đó, không thể nói quá chuyên sâu về kĩ thuật được. Không có một nhà khoa học nào mà khi mới làm quen một ai đó, ngay sau khi giới thiệu mình là khoa học là lập tức nói ngay vào những bài nghiên cứu của mình.

Thứ hai, không phải ai làm bảo mật cũng có làm những thứ như công bố những lỗ hổng bảo mật, tìm ra các attack vector, phát minh phần mềm, tham gia vào các sự kiện hacking, v.v... lai càng không cần phải viết sách hoặc viết "những bài báo kinh điển". Cũng có thể họ đã có làm những thứ này, nhưng như tôi đã nói ở phần trên, mục đích của cuộc gặp mặt này không phải là để nói về những thứ đó. Nhân đây cho hỏi, trong cái danh sách mà Thái đòi hỏi ở trên, Thái đã làm được những gì? Anh đã công bố lỗ hổng nào, phát minh ra phần mềm gì, viết được những sách gì? Bài báo về "Vietkey Linux" phải chăng là một bài báo "kinh điển"?

Tôi rất khâm phục Thái ở chỗ còn trẻ và tự học nhưng đã có một kiến thức khá vững về bảo mật. Tuy nhiên không thích anh ở chỗ đôi khi tỏ ra tự kiêu trong bài viết của mình.

Cuối cùng, hình như chữ "lỗ hổng" thì phải dùng dấu ngã ~ mới đúng.

Anonymous said...

neu la VietShield, thi tui dam chac nguoi trinh bay dau tien ko phai la anh Phung Hai. Neu la anh ta thi se ko co nhung ap ung khi gioi thieu ve cong ty nhu vay.

Hoan toan dong y voi ban ve khia canh thu nhat. Day chi la buoi gioi thieu ve cong ty cua ho.

Chu "lo hong" dau hoi la dung roi, ko phai dau nga(~) dau ban

$$$ said...

Đây là vấn đề phức tạp. Security là ngành tương đối mới. Thời loạn thì thiếu gì người xưng hùng xưng vương. Ngay cả các công ty bảo mật danh tiếng trên thế giới cũng đấu đá nhau hàng ngày xem coi ai mới thật sự hiểu biết về security. Thời điểm này làm security cũng như làm bảo tiêu nên tui đồng ý với thái là:
1. Secure website và hệ thống của chính mình cho tốt.
2. Tham gia đóng góp cho cộng đồng bằng các nguyên cứu về security.
3. Quan hệ tốt với giới "giang hồ" IT. Hehehe làm security quan trọng là được bạn bè nể mặt.

Tóm lại nếu người ta không nể trọng thì bạn khó thuyết phục người ta giao cả hệ thống cho bạn. Tôi không nghĩ thái tự kiu nhưng tính thái hay nói thẳng nên hay làm mích lòng người khác.

thaidn said...

Trước hết xin chào mừng anh và xin cảm ơn anh đã có những ý kiến rất thẳng thắn.

---{snip}---
Thứ nhất, hãy xem mục đích của cuộc họp này là gì. Như Thái đã nói, đây là một buổi trình bày về các giải pháp và sản phẩm IT của một công ty, cụ thể ở đây là các giải pháp và dịch vụ về bảo mật. Dưới góc độ đó, tôi thấy những đề tài mà họ trình bày là hợp lý và logic. Họ giới thiệu về công ty, giới thiệu về các dịch vụ mà họ cung cấp, "... lợi ích của các dịch vụ này là gì, cách thức họ tiến hành ra sao...". Theo tôi, như vậy là đầy đủ và đúng với mục đích của buổi gặp mặt. Đây là một buổi gặp mặt đầu tiên giữa 2 bên để giới thiệu sản phẩm, không phải là một hội thảo của các chuyên gia bảo mật. Người tham dự cuộc họp này không chỉ có những người am hiểu hệ thống như Thái mà còn có thể là các nhà quản lý cấp cao, các nhân viên ở các bộ phận khác không chuyên về IT. Do đó, không thể nói quá chuyên sâu về kĩ thuật được. Không có một nhà khoa học nào mà khi mới làm quen một ai đó, ngay sau khi giới thiệu mình là khoa học là lập tức nói ngay vào những bài nghiên cứu của mình.
---{/snip}---

Tôi không cho rằng những gì họ trình bày là dư thừa. Bằng cấp, danh sách partner, danh sách khách hàng là cần nhưng chưa đủ để giới thiệu về một công ti làm dịch vụ tư vấn bảo mật. Những điều mà họ liệt kê ra có thể đáp ứng được nhu cầu về mặt thông tin của các cấp quản lí, nhưng còn nhu cầu của những người làm công tác kĩ thuật? Hóa ra người trình bày không cần quan tâm gì về đám làm kĩ thuật cả, chỉ cần thuyết phục người cấp trên là được?

Tôi không yêu cầu họ nói chi tiết những nghiên cứu của họ, mà chỉ cần họ liệt kê ra những gì họ làm được, có thể chỉ là những gạch đầu dòng bình thường như cái cách mà họ dành thời gian giới thiệu về bằng cấp, partner và khách hàng của họ. Sự thật là trong toàn buổi nói chuyện, họ luôn nói về kĩ thuật là chính và những người tham gia buổi họp đó cũng toàn là dân kĩ thuật. Còn gì nhàm chán hơn nếu như trong một hội nghị của các nhà khoa học, anh không nói về nghiên cứu của anh mà đem bằng cấp của anh ra để nói?


---{snip}---
Thứ hai, không phải ai làm bảo mật cũng có làm những thứ như công bố những lỗ hổng bảo mật, tìm ra các attack vector, phát minh phần mềm, tham gia vào các sự kiện hacking, v.v... lai càng không cần phải viết sách hoặc viết "những bài báo kinh điển". Cũng có thể họ đã có làm những thứ này, nhưng như tôi đã nói ở phần trên, mục đích của cuộc gặp mặt này không phải là để nói về những thứ đó. Nhân đây cho hỏi, trong cái danh sách mà Thái đòi hỏi ở trên, Thái đã làm được những gì? Anh đã công bố lỗ hổng nào, phát minh ra phần mềm gì, viết được những sách gì? Bài báo về "Vietkey Linux" phải chăng là một bài báo "kinh điển"?
---{/snip}---

Hì, tôi dám chắc chắn nếu họ có trong tay những thứ mà tôi đề cập thì họ đã nói về chúng từ lâu rồi. Đồng ý với anh là không phải ai đang làm bảo mật cũng có những điều mà tôi đưa ra, bản thân tôi mang tiếng là làm bảo mật nhưng cũng chưa có được những thứ đó (tôi chưa bao giờ xem bài báo Vietkey Linux là kinh điển cả và tôi nghĩ anh biết bài báo như thế nào mới xứng đáng được gọi là kinh điển). Tuy nhiên tôi chỉ là một cá nhân đơn lẻ, nhận nhiệm vụ bảo vệ hệ thống của công ti mình, tất cả những gì tôi quan tâm là làm sao hệ thống của tôi an toàn và tôi đã chứng minh cho sếp của mình (khách hàng duy nhất của tôi) khả năng của tôi qua thực tế công việc.

Ngược lại, họ là một công ti làm về dịch vụ tư vấn bảo mật "hàng đầu VN". Một khi anh đã đứng ra mở công ti riêng làm dịch vụ tư vấn bảo mật thì anh phải chứng minh được rằng anh có nghề trong lĩnh vực này. Và cách chứng minh duy nhất là kết quả nghiên cứu và phát triển của anh. Anh là một công ti, anh phải có đội ngũ nghiên cứu, và người ta sẽ nhìn vào kết quả nghiên cứu của anh để đánh giá thực lực của công ti anh. Làm penetration test là một công việc đòi hỏi sự sáng tạo và nếu như anh không có cách nào chứng minh rằng anh sở hữu kĩ năng đó (thông qua những lỗ hổng mà anh đã công bố chẳng hạn), thì làm sao khách hàng có thể tin tưởng thuê anh?

Hãy nhìn vào các công ti làm về bảo mật nổi tiếng trên thế giới, họ quảng cáo bằng gì? Bằng cấp? Không. Họ quảng cáo bằng kết quả nghiên cứu của họ. Họ phát hành các khuyến cáo, họ liên tục công bố những lỗ hổng, hướng tấn công, phần mềm và bài viết mới ở các hội nghị bảo mật lớn trên thế giới. Đó là sự khác biệt giữa những công ti làm bảo mật thực sự có nghề với những nơi đem Nessus ra quét rồi cho đó là làm penetration test.

Nếu như sau này anh Anonymous có ý định mở công ti làm bảo mật thì tôi nghĩ nên chú ý đến những điều này.

---{snip}---
Tôi rất khâm phục Thái ở chỗ còn trẻ và tự học nhưng đã có một kiến thức khá vững về bảo mật. Tuy nhiên không thích anh ở chỗ đôi khi tỏ ra tự kiêu trong bài viết của mình.

Cuối cùng, hình như chữ "lỗ hổng" thì phải dùng dấu ngã ~ mới đúng.
---{/snip}---

Chà, từ trước giờ tôi viết sai mà không biết. Xin cảm ơn anh đã nhắc nhở, cả về lỗi chính tả lẫn về sự tự kiêu trong bài viết của tôi. Xin ghi nhận.

-Thái.

Anonymous said...

Trước hết xin chào mừng anh và xin cảm ơn anh đã có những ý kiến rất thẳng thắn.

---{snip}---
Thứ nhất, hãy xem mục đích của cuộc họp này là gì. Như Thái đã nói, đây là một buổi trình bày về các giải pháp và sản phẩm IT của một công ty, cụ thể ở đây là các giải pháp và dịch vụ về bảo mật. Dưới góc độ đó, tôi thấy những đề tài mà họ trình bày là hợp lý và logic. Họ giới thiệu về công ty, giới thiệu về các dịch vụ mà họ cung cấp, "... lợi ích của các dịch vụ này là gì, cách thức họ tiến hành ra sao...". Theo tôi, như vậy là đầy đủ và đúng với mục đích của buổi gặp mặt. Đây là một buổi gặp mặt đầu tiên giữa 2 bên để giới thiệu sản phẩm, không phải là một hội thảo của các chuyên gia bảo mật. Người tham dự cuộc họp này không chỉ có những người am hiểu hệ thống như Thái mà còn có thể là các nhà quản lý cấp cao, các nhân viên ở các bộ phận khác không chuyên về IT. Do đó, không thể nói quá chuyên sâu về kĩ thuật được. Không có một nhà khoa học nào mà khi mới làm quen một ai đó, ngay sau khi giới thiệu mình là khoa học là lập tức nói ngay vào những bài nghiên cứu của mình.
---{/snip}---

Tôi không cho rằng những gì họ trình bày là dư thừa. Bằng cấp, danh sách partner, danh sách khách hàng là cần nhưng chưa đủ để giới thiệu về một công ti làm dịch vụ tư vấn bảo mật. Những điều mà họ liệt kê ra có thể đáp ứng được nhu cầu về mặt thông tin của các cấp quản lí, nhưng còn nhu cầu của những người làm công tác kĩ thuật? Hóa ra người trình bày không cần quan tâm gì về đám làm kĩ thuật cả, chỉ cần thuyết phục người cấp trên là được?

Tôi không yêu cầu họ nói chi tiết những nghiên cứu của họ, mà chỉ cần họ liệt kê ra những gì họ làm được, có thể chỉ là những gạch đầu dòng bình thường như cái cách mà họ dành thời gian giới thiệu về bằng cấp, partner và khách hàng của họ. Sự thật là trong toàn buổi nói chuyện, họ luôn nói về kĩ thuật là chính và những người tham gia buổi họp đó cũng toàn là dân kĩ thuật. Còn gì nhàm chán hơn nếu như trong một hội nghị của các nhà khoa học, anh không nói về nghiên cứu của anh mà đem bằng cấp của anh ra để nói?


---{snip}---
Thứ hai, không phải ai làm bảo mật cũng có làm những thứ như công bố những lỗ hổng bảo mật, tìm ra các attack vector, phát minh phần mềm, tham gia vào các sự kiện hacking, v.v... lai càng không cần phải viết sách hoặc viết "những bài báo kinh điển". Cũng có thể họ đã có làm những thứ này, nhưng như tôi đã nói ở phần trên, mục đích của cuộc gặp mặt này không phải là để nói về những thứ đó. Nhân đây cho hỏi, trong cái danh sách mà Thái đòi hỏi ở trên, Thái đã làm được những gì? Anh đã công bố lỗ hổng nào, phát minh ra phần mềm gì, viết được những sách gì? Bài báo về "Vietkey Linux" phải chăng là một bài báo "kinh điển"?
---{/snip}---

Hì, tôi dám chắc chắn nếu họ có trong tay những thứ mà tôi đề cập thì họ đã nói về chúng từ lâu rồi. Đồng ý với anh là không phải ai đang làm bảo mật cũng có những điều mà tôi đưa ra, bản thân tôi mang tiếng là làm bảo mật nhưng cũng chưa có được những thứ đó (tôi chưa bao giờ xem bài báo Vietkey Linux là kinh điển cả và tôi nghĩ anh biết bài báo như thế nào mới xứng đáng được gọi là kinh điển). Tuy nhiên tôi chỉ là một cá nhân đơn lẻ, nhận nhiệm vụ bảo vệ hệ thống của công ti mình, tất cả những gì tôi quan tâm là làm sao hệ thống của tôi an toàn và tôi đã chứng minh cho sếp của mình (khách hàng duy nhất của tôi) khả năng của tôi qua thực tế công việc.

Ngược lại, họ là một công ti làm về dịch vụ tư vấn bảo mật "hàng đầu VN". Một khi anh đã đứng ra mở công ti riêng làm dịch vụ tư vấn bảo mật thì anh phải chứng minh được rằng anh có nghề trong lĩnh vực này. Và cách chứng minh duy nhất là kết quả nghiên cứu và phát triển của anh. Anh là một công ti, anh phải có đội ngũ nghiên cứu, và người ta sẽ nhìn vào kết quả nghiên cứu của anh để đánh giá thực lực của công ti anh. Làm penetration test là một công việc đòi hỏi sự sáng tạo và nếu như anh không có cách nào chứng minh rằng anh sở hữu kĩ năng đó (thông qua những lỗ hổng mà anh đã công bố chẳng hạn), thì làm sao khách hàng có thể tin tưởng thuê anh?

Hãy nhìn vào các công ti làm về bảo mật nổi tiếng trên thế giới, họ quảng cáo bằng gì? Bằng cấp? Không. Họ quảng cáo bằng kết quả nghiên cứu của họ. Họ phát hành các khuyến cáo, họ liên tục công bố những lỗ hổng, hướng tấn công, phần mềm và bài viết mới ở các hội nghị bảo mật lớn trên thế giới. Đó là sự khác biệt giữa những công ti làm bảo mật thực sự có nghề với những nơi đem Nessus ra quét rồi cho đó là làm penetration test.

Nếu như sau này anh Anonymous có ý định mở công ti làm bảo mật thì tôi nghĩ nên chú ý đến những điều này.

---{snip}---
Tôi rất khâm phục Thái ở chỗ còn trẻ và tự học nhưng đã có một kiến thức khá vững về bảo mật. Tuy nhiên không thích anh ở chỗ đôi khi tỏ ra tự kiêu trong bài viết của mình.

Cuối cùng, hình như chữ "lỗ hổng" thì phải dùng dấu ngã ~ mới đúng.
---{/snip}---

Chà, từ trước giờ tôi viết sai mà không biết. Xin cảm ơn anh đã nhắc nhở, cả về lỗi chính tả lẫn về sự tự kiêu trong bài viết của tôi. Xin ghi nhận.

-Thái.

Anonymous said...

hì, cách viết "lổ hổng" này là đặc trưng của Thái mà...

Dầu sao tôi cũng cảm thấy một số bạn HVA vẫn còn hơi hiếu thắng.

Khi có người nhận định trình độ mặt bằng chung của Hacker VN chưa cao, trên diễn đàn HVA có nhiều phản ứng theo tôi là khá nóng nảy, dẫn đến vụ "Bọn ăn hại không bằng SV 8h" ;) . Ngay cả sau vụ này, khi chàng admin VK đã quyết định chuyển cờ "bác Quảng, bác Quảng" chứ ko còn "NTQ", nhiều người vẫn có ấn tượng không tốt về BKIS, thỉnh thoảng lại chọt.

Khi vụ Huy Remy xôn xao, vài bạn lại bảo tao mà là Huy thì đã tháo cái ổ cứng đi chôn; còn lâu mấy thằng C15 mới biết ;) , dù rằng tao không phải "Hacker số 1 VN" =))

... Còn các chuyện PR này nọ, quan trọng là xem kết quả họ làm như thế nào, chứ không phải xem xét câu phát biểu của họ có vẻ Hô To hay không. Thực sự nếu làm kinh doanh, phải biết rằng khi thuyết phục thì thuyết phục cấp lãnh đạo là ưu tiên cao nhất, còn thuyết phục "đám kỹ thuật" thuộc ưu tiên thấp nhất.

Dù sao đi nữa áp đặt các tiêu chuẩn của "hàng đầu thế giới" lên các công ty VN rồi phê phán công ty VN là yếu kém, thì có phần quá nghiêm khắc.

$$$ said...

Thật sự HVA là nơi hỗn tạp đủ hạng người. Blog là loại hình thích hợp việc truyền tải những thông tin nghiêm túc hơn forum. Tôi nghĩ chuyện HVA, NTQ hay huyRemy không liên quan gì đến blog này trừ những nhận định tuần túy kỹ thuật.

Vấn đề về PR, có lẽ anh chưa làm về security - Việc áp dụng security hay IT bắt đầu từ việc phân tích nhu cầu của doanh nghiệp. Sau đó giám đốc IT sẽ đề ra chiến lược để đạt được mục tiêu đề ra. Kế hoạch này sẽ giao cho PM để implement. Như vậy việc quyết định mua 1 sản phẩm hay dịch vụ nào trước hết phải được "đám kỹ thuật" evaluate sau đó các cấp lãnh đạo mới dựa trên những đánh giá đó + đánh giá riêng của lãnh đạo về tài chính, chiến lược để ra quyết định.
Oh tất nhiên có những ngoại lệ đi đêm với lãnh đạo để ép "đám kỹ thuật" phải chấp nhận mua hàng thì không nói.

Anonymous said...

Cho tôi góp ý một chú. Đây xem là ý kiến chủ quan,tùy hỉ các bạn xem xét.
Một công ty bảo mật ( cung cấp giải pháp bảo mật ) không hẳn phải là nơi có thể nghiên cứu các lổ hổng. Cũng không hẳn phải là nơi viết ra phần mềm, củng không hẳn phải là nơi ngọa hổ tàng long như ý bạn Thái. Công ty bảo mật có thể là công ty cung cấp các giải pháp nền tảng cho bảo mật, bao gồm phần cứng, phần mềm, giải pháp công nghệ cũng như con người. Nhưng không nhất thiết phải là nơi có thể "show off" các bug mà họ đả tìm ra, ... Có thể vì Thái phản cảm khi họ "show off" các chứng chỉ nên suy nghĩ theo hướng tiêu cực. Tôi nghĩ khác, đó là quy tắc khi đi thuyết phục khách hàng. Tôi bán hàng, tôi cần cho anh biết tôi có sản phẩm gì, người của tôi có được chuẩn quốc tế công nhận hay không. Sản phẩm của tôi có phù hợp với anh hay không. Chấm hết. Nếu Thái mở company bảo mật, đi tới khách hàng rùi kể nào là tui biết bug này, tôi phá được bug nọ rùi nghĩ là "PRO", thì tôi tin chắc là Công ty sập tiệm mau thôi. Thái cần phải mở lòng hơn một chút, thì mọi việc cũng bình thường thôi.
Thân,

Anonymous said...

Bài víet rất hay nhưng có những chỗ dùng thuât ngữ chuyên môn anh nên mở ngoặc giải thích thêm để các newbie được rõ!!
Thanks!

Anonymous said...

Thái .. là ai ? điều này chắc là bạn càng rõ hơn tôi, trong các vấn đề mà bạn nêu thì theo bạn : bạn là vàng hay bạc nhái?
Nếu tôi hỏi bạn bạn có những phát minh gì ? Việt key Linux .. tôi thấy có người nhắc đến nó trong bài này , nhưng tôi đã từng mua cái CD đó và sau đó là gì bạn biết không tiếc 35 nghìn, tôi đã quay về với Redhat
Bạn quá Ngông Cuồng

Anonymous said...

bác Thái nên khiêm tốn học hỏi anh em, kể cả những gì mà bác cho là vô tích sự, tớ thấy anh em phản bác ý kiến Thái đưa ra là đều đúng cả, có thể đôi khi họ quá lời với bạn : bởi chả ai biết bạn là ai ... bạn là IT đệ nhất chăng, thú thật bác Quảng là dân thành danh trong vấn đề này ngày còn đi học tớ chả mấy khi coi bác ấy là gì nhưng những gì bác ấy làm thì dân Sec nên học hỏi .. thấy bác ấy có chê bai ai đâu !!"
còn chuyện chàng Huy nọ, thú thật mấy chú nhà báo cố đưa Huy lên hàng đệ nhất anh hào chứ trên thực tế tay này là gì ? chỉ nỗi tội sài máy nhà và internet ở nhà mà chơi là đã thấy ngu rồi ... đã ngu mà còn không biết xóa dấu vết.
Tiêu chuẩn nào cho một Hack lên hàng cao thủ chắc là trong blog này không ít bác biết ...
kể cả chàng nhóc Trí cũng thế , vào được , del được nhưng đó là trò chơi của chú nhóc vào mà còn phải biết che giấu và xóa vết nữa...Nếu Trí cũng như bác Huy là dân chính hiệu thì hiểu chuyện này rồi, ai đời mà để lại quá nhiều trong máy cá nhân là quá tầm thường ...

Anonymous said...

Nếu đúng cty kia là VietShield thì người trình bày đúng là bác Điểm rồi. Bác Điểm giỏi nhưng trình bày ko good lắm

Nguyen Quoc Trung said...

Theo Thái thì các công ty bảo mật nên công bố các lỗi giống như BKIS công bố với các ngân hàng ah?