Tuesday, July 17, 2007

Hội hay là thảo?

(bài này đánh giá chất lượng một cá nhân, tổ chức khác, nếu bạn không thích xin vui lòng đừng đọc)

Thứ bảy tuần rồi tôi mới tham dự một hội thảo bảo mật có tên khá kêu là Đại hội hacker mũ trắng. Hội thảo được tổ chức khá hoành tráng, kéo dài từ 8h sáng đến tận 5h chiều ở Dinh Thống Nhất với sự tham dự của Microsoft, MiSoft, VietShield, Athena...Buổi sáng tôi bận việc nên chỉ tham gia vào phiên thứ hai, bắt đầu lúc 13h30. Tôi đến lúc 13h45, cũng may là bài tham luận đầu tiên của buổi chiều vẫn chưa bắt đầu. Chà, dân mình quan tâm đến bảo mật thật, tôi ước đoán có khoảng 800-1000 người ngồi gần hết hội trường chính của dinh Thống Nhất, trong đó khoảng 70%-80% là sinh viên (một người bạn của tôi tham dự phiên buổi sáng cho biết buổi sáng toàn mấy bậc trung niên ngồi nghe).

Gần 2h chiều, bài tham luận mang tên "10 phút tấn công hệ thống email server", với diễn giả là một tay CCIE, mở đầu cho phiên buổi chiều. Diễn giả bắt đầu bằng việc đưa ra khá nhiều định nghĩa, mà tôi chỉ ấn tượng nhất là hai định nghĩa như sau:
  • Vùng biên: những vùng trung chuyển email + những vùng nhận email bao gồm cả workstation của người dùng cuối. Tác giả còn đưa ra thêm một vùng nào đó mà tôi không nhớ rõ.
  • Directory harvest attack: đây là cách thức tấn công của spammer bằng cách gửi một email đến địa chỉ broadcast trong hệ thống để nó tự động forward đến các email khác, kiểu như gửi đến địa chỉ của mailing list vậy đó.
Thú thật rằng nghe diễn giả định nghĩa xong là tôi muốn đi về rồi. Có thể khác nhau về câu chữ, nhưng khái niệm vùng biên (perimeter) mà bao gồm luôn cả workstation của người dùng cuối thì có lẽ cái vùng biên đó nó không còn nằm ở biên nữa rồi. Tếu nhất là cách diễn giả định nghĩa directory harvest attack. Tôi hỏi anh bạn đi cùng, không biết tay này dịch tài liệu ở đâu nhỉ?

Cũng may phần tiếp theo khi nói về các nguy cơ trong việc sử dụng email, diễn giả có đề cập đến virus, spam và phishing. Nói về virus, diễn giả cho rằng cách phòng chống tốt nhất là sử dụng trình anti-virus ở phía client. Nói về spam, diễn giả cho rằng chống spam rất là khó và nó thường được sử dụng để tấn công DDoS vào hệ thống mail. Nói về phishing, diễn giả mô tả nó là cách thức bọn hacker chôm tiền của bạn rồi hết. Toàn bộ thời gian còn lại, tác giả nói về cách sniff hệ thống mạng để chôm mật khẩu email bằng Cain & Abel. Àh, giờ thì tôi mới hiểu, hèn chi diễn giả định nghĩa vùng biên như vậy. Tấn công hệ thống email server theo ý của diễn giả là sniff hay tấn công MITM để chôm mật khẩu của người dùng. Chấm hết.

Tôi kiên nhẫn ngồi nghe tiếp bài thứ hai mang tên Physical Security của một diễn giả đến từ Athena. Bài này đỡ hơn một tí, tay diễn giả ít ra còn biết mình đang nói về vấn đề gì. Nhưng xét chung thì cũng không có nhiều điểm hấp dẫn, bởi lẽ diễn giả luôn bắt đầu bằng "theo các tài liệu mà tôi đọc". Tôi bỏ về giữa chừng bởi lẽ tôi không nghĩ rằng tôi cần một người khác dịch và đọc tài liệu cho tôi nghe.

Nếu họ có tổ chức những hội thảo khác, chắc chắn tôi sẽ tham dự tiếp. Mặc dầu chúng có thể chẳng đem lại nhiều kiến thức, nhưng đối với một người làm tư vấn bảo mật như tôi, lên danh sách đen những cá nhân và công ty dởm là một việc làm hết sức quan trọng, nó sẽ giúp khách hàng của tôi không chọn nhầm đối tác.

-Thái

PS: anh bạn đi cùng có hỏi tôi một câu thế này, bao giờ VN mình mới có được một hội thảo cỡ như Blackhat? Lớn như Blackhat thì hơi khó, nhưng tôi nghĩ việc tổ chức một hội thảo nho nhỏ nhưng nghiêm túc là việc trong tầm tay. Không cần marketing, không cần báo chí, không quá ồn ào, không cần đông người, chỉ có hacking và security. Đó là ý kiến của một anh bạn khi tôi trao đổi qua email về việc làm sao đưa cộng đồng làm bảo mật ở VN xích gần hơn với thế giới bên ngoài. Hi vọng sang năm 2007 chúng ta sẽ có một hội thảo như vậy.

32 comments:

Anonymous said...

Haha hội thảo này xem chương trình hài hước vật vã nhỉ. Chương trình gì mà lôm côm lộn xộn: bài thì nói dài 45 phút, bài thì có 20 phút, có bài chỉ có 10 phút. Trong khi các hội thảo bảo mật quốc tế nghiêm túc đều có quy định giống nhau là các bài trình bày đều từ 50 phút tới 75 phút. Cu nào không có gì để nói tự khắc không dám tham gia tưg đầu ngay :-)

Một khác biệt nữa so với các hội thảo quốc tế là cấm tiệt tranh thủ để marketing sản phẩm. Xem ra cái hội thảo này thì mục tiêu chính là để quảng bá sản phẩm haha.

Thông thường hội thảo sẽ có 2 hướng chính: một là để educate people. Nội dung thường không mới, nhưng cũng phải trình bày được các kinh nghiệm hay, demo phải cool thì mới coi được. THướng thứ hai là trình bày các công cụ mới, các kết quả nghiên cứu mới. Hội thảo muốn hấp dẫn phải mạnh về mặt thứ 2. Hội thảo "Mũ trắng" này của các "hacker" VN về mặt thứ 1 xấp xỉ ZERO, còn mặt thứ 2 đúng bằng ZERO.

Cuối cùng: CCIE hay bằng gì cũng không nói lên điều gì cả. Muốn có nội dung trình bày hấp dẫn thì phải thực hiện việc nghiên cứu nghiêm túc và có kết quả đáng kể. Mấy cu có CCIE hay CISSP hay CEH có mấy người phải làm nghiên cứu đâu mà lên trình bày được.

Báo chí Việt Nam thỉnh thoảng lăng xê mấy cu CCIE, gọi là "tiến sĩ CISCO", vừa hài vừa ngu! Tiến sĩ là phải biết và có khả năng nghiên cứu ở trình độ cao. CCIE cũng chỉ là nắm vững các sản phẩm của CISCO để đi bán hàng cho nó chứ nghiên cứu thế nào được haha.

Happy new year 2007 to you all!
:-)

Anonymous said...
This comment has been removed by a blog administrator.
Anonymous said...

anonymous có những ý kiến rất xác đáng. Hội thảo này đạt điểm rất thấp về chất lượng, tính trên tiêu chí chia sẻ kiến thức ở tầm nâng cao. Hội nghị này nên được xếp vào loại tự lăng xê và quảng cáo sản phẩm cho những người làm business thì chính xác hơn. Tuy nhiên không cần phàn nàn nhiều, những hội thảo này có tiếp diễn cũng sẽ bị tự đào thải chính nó nếu không có những thay đổi tích cực.

Giới quan tâm tới bảo mật tại Việt Nam hiện nay cần và khát có những hội thảo chuyên sâu về mặt kỹ thuật một cách đúng nghĩa. Một mặt có thể là giúp tăng cường chia sẻ và trao đổi thông tin, mặt khác là để thúc đẩy nâng cao trình độ kỹ thuật trong giới. Tôi nghĩ là nên bắt đầu từ những hội thảo cỡ nhỏ, rồi phát triển dần lên. Ngay lập tức mà mơ có được một cái như Blackhat ở VN thì làm sao thực hiện được, vì hội thảo ở tầm đó là phải thực hiện các trình bày bằng tiếng Anh, có mời các hacker nổi tiếng quốc tế tham dự.

Đồng ý rằng muốn có hội thảo có chất lượng thì những người tham gia trình bày phải là những người ở tầm nghiên cứu thực sự, chứ không phải như thành phần của cái hội thảo "Mũ trắng" kể trên. Vì từ một sysadmin/consultant/webmaster giỏi tới đẳng cấp một người có khả năng nghiên cứu tốt là khá xa. Nhìn có thể tưởng là gần mà thực ra là cả một khoảng cách rất lớn đó.

Chúc mừng năm mới anh em :-)
H

Anonymous said...

Có một điều đáng buồn là rất nhiều công ty lớn của Việt Nam lúc tranh tối tranh sáng thường đưa ra sản phẩm tồi cho khách hàng vì họ biết ngoài sản phẩm của họ ra không có những sản phẩm tốt hơn, chỉ đến lúc có một hãng khác đưa ra giá thấp hơn hoặc chất lượng tốt hơn thì lúc đó cả 2 hãng lại bắt tay nhau đưa ra sản phẩm tồi. Cách nghĩ này hiện tại rất phổ biến. Trong khi thị trường còn quá khát sản phẩm, thì bất cứ sản phẩm nào tung ra cũng được khách hàng chào đón, có thể họ sẽ mua về và chửi thầm người bán nhưng nếu họ không mua họ sẽ không có hàng để sử dụng. Mình nghĩ giải pháp trong tình trạng mà hàng hóa còn thiếu thốn chỉ có 1 cách duy nhất là đạo đức của người kinh doanh. Hàng hóa mình nói đến có thể là hữu hình hoặc là tri thức.

Đạt, datefield@yahoo.com

Neo said...

Tôi đang ở nước ngoài nên không biết nhiều về tình hình bảo mật trong nước, nhưng thật không ngờ trong bối cảnh một hội thảo về bảo mật, một người đã có một bằng cấp khá uy tín là CCIE lại có thể có những sai lầm ngớ ngẩn như vậy. Đúng như anh bạn anonymous đầu tiên đã nói, bằng cấp chẳng là gì nếu như không có kinh nghiệm nghiên cứu thực tế.

Có ai có thể giúp tôi giải đáp thắc mắc này không vì tôi không phải là người trong ngành bảo mật: tôi nghe nói các bằng cấp như CCIE, CISSP, CEH đều là các bằng có uy tín, muốn lấy được nó thì các thí sinh bắt buộc phải có trình độ cao (kiến thức + kinh nghiệm thật sự). Nhưng xem ra có lẽ là không phải, hình như chỉ cần ôm tài liệu gạo bài là có thể thi đậu. Có phải như vậy không?

conmale said...

Tôi chưa hề dự một buổi hội thảo nào ở trong nước nên không thể comment về tính chất và giá trị của các buổi hội thảo. Tuy nhiên, qua thông tin nhiều anh em đi dự những buổi hội thảo về cho biết, tôi thấy trở ngại lớn nhất có lẽ là do kinh nghiệm tổ chức và hình thành chương trình, xét duyệt nội dung hội thảo.... còn hạn chế.

Dân IT và Security ở VN cần nắm vững những biến chuyển về CNTT và Security một cách thực tế và xác thực nhất. Đồng thời, nên đưa ra được các giải pháp hoặc ít nhất là đường hướng giải quyết. Nên tránh lặp lại (đi theo sau) những gì đã được hội thảo, đã được trình bày ở những hội thảo khác.

Theo tôi, (sau khi thu thập thông tin từ nhiều nguồn), việc quan trọng nhất cho CNTT ở VN hiện nay là việc hình thành:

1) cơ sở hạ tầng cho hệ thống banking.
2) kiện toàn bảo mật cho cơ sở hạ tầng này (ở mức tinh tế nhất).
3) nâng cao chất lượng đường truyền Internet ở VN.

Đối với lực lượng cung cấp giải pháp và coders, nên hiểu và tránh những lỗi thường gặp. Nên có cái nhìn nghiêm túc hơn về bảo mật (thay vì viết cho chạy là đủ). CNTT ở VN có phát triển mạnh hay không là phụ thuộc phần lớn ở việc phát triển và đẩy mạnh thương mại điện tử ở VN. Nếu những hội thảo chỉ nằm ở giới hạn "fix" những lỗi, những lổ hổng hiện hữu bằng cách dùng các thiết bị hiện có (như firewall, proxy...) thì sẽ tự tạo cho mình vị thế "chạy theo lỗi" mãi mãi.

Những thương nghiệp lớn về thương mại điện tử ngần ngại khi vào Việt Nam là vì cơ sở hạ tầng ở VN không đủ để phục vụ cho nhu cầu của họ. Đây là sự thật hiển nhiên. Các sites ở VN của nhiều ban ngành chỉ lập ra để phục vụ nhu cầu "lập cho có" và không thực sự phục vụ nhu cầu người dùng. Ngay cả các site chuyên về tin tức thường lấy bài vở của lẫn nhau để đăng tải. Điều này dẫn đến tình trạng "thừa thông tin thừa" và "thiếu thông tin thiếu". Hầu hết các web site ở VN cùng đi theo một lối mòn, có một motif na ná nhau và bấy nhiêu lỗi (kỹ thuật + bảo mật) như nhau.

Điều quan trọng cho các hội đoàn, các tổ chức quan tâm đến bảo mật hiện nay là cải tổ và vứt bỏ cái "lối mòn" ấy đi, thay vì tạo điều kiện để bán chác những thiết bị chỉ giúp cho việc che đậy những yếu điểm vẫn còn hiện hữu.

Anonymous said...

Bàn chút về chất lượng hội thảo này: Athena không biết cách tổ chức để có một hội thảo có nội dung chất lượng tốt (với giả sử là họ thật sự mong muốn điều đó, chứ không phải có mục đích marketing cho chính họ cũng như các sản phẩm của Cisco và Microsoft).

- Ít nhất là về khía cạnh kỹ thuật, nếu không biết những người thật sự có khả năng thuyết trình thì nên kêu gọi sự trợ giúp và tham gia của giới kỹ thuật. Thông thường có thể làm điều đó qua cái gọi là "Call for papers", với thông báo rộng khắp để ai có khả năng có thể đăng ký nội dung. Như vậy thì chương trình vừa có sự đóng góp của những người thật sự có khả năng, vừa đạt được sự phong phú về nội dung. Hội thảo "hacker" này được tổ chức rất âm thầm, có lẽ chỉ có rất ít người trong giới biết.

- Điều tiên quyết để có chương trình tốt cần có ban duyệt chương trình. Dựa trên các nội dung đăng ký, ban này cần gạt bỏ những bài có chất lượng thấp, nội dung không thích hợp với định hướng của hội thảo. Vì vậy ban chương trình cần bao gồm những người thật sự có kinh nghiệm và kiến thức - chứ không cần những ông có chức sắc này nọ cho oai.

Xem ra demand về hội thảo security ở VN hiện là rất cao chứ không phải thấp (~1000 (?) người tham dự, đấy là chưa nói hội thảo "hacker" trên không được nhiều người biết tới). Vì vậy nếu anh em định làm một cái nghiêm túc thì chắc chắn là nó sẽ không "nhỏ" đâu, nếu cho phép tất cả những người muốn tham dự tới dự. Vấn đề là làm thế nào để nâng cao chất lượng hội thảo cả về khâu tổ chức và nội dung chương trình mà thôi.

Anonymous said...

Lần này vào công tác ỏ phía Nam, tôi còn được giao thêm nhiệm vụ "ngó qua" cái hội thảo do Athena tổ chức và khi cần thì nhắc nhở nếu có các hoạt động "quá đà". Cũng một phần muốn xem một số topic như: hệ thống cách ly phi chuẩn, 10 phút tấn công mail server, ...

Sau khi mất hết một ngày thì có kết luận sau, đây là một hội thảo nhằm marketing cho Athena và mang nhiều màu sắc "treo đầu dê bán thịt chó".

+Về bài phát biểu "Toàn cảnh an ninh mạng 2006" của Nguyễn Thế Đông, anh này không đủ tư cách trình bày chủ đề này và nội dung bài thì thiếu sót, không đầy đủ và phiếm diện. Khi trình bày anh Đông có biện luận đây là những thứ anh ta cóp nhặt được trong quá trình làm việc ở Athena và ở một số tỉnh, nhưng tên chủ đề vẫn là "toàn cảnh"!.

+Về trình bày của TS.Sáng có tên trên tờ giới thiệu hội thảo là "Hệ thống cách ly phi chuẩn" nhưng khi trình bày thì là về các chương trình nghiên cứu KHCN ở Sở, cộng thêm với việc anh ta đọc toàn văn các quyết định khen thưởng của ... tỉnh Đồng Nai dành cho ... anh ta! Một loạt các sản phẩm được anh ta giới thiệu nhưng sau đó được chốt lại là ... đang tiến hành. Có 2 slide về hệ thống cách ly phi chuẩn làm cho tôi hiểu mơ màng nó chính là hệ thống VPN + sử dụng thuật toán mã hoá của Ban Cơ Yếu CP. Một lần nữa lại có sự lập lờ gây tò mò trong thông tin quảng cáo và nội dung thật của hội thảo.

+Về bài "10 phút tấn công email server" mà tôi hân hạnh được thưởng thức cùng mrro. Thật kỳ lạ, tên slide lại là "Tấn công hệ thống email" và bên dưới có dòng chử nho nhỏ là tấn công vùng biên. Tôi và mrro tái mặt và hồi hộp đón chờ, đến khi hiểu ra thì mới biết là không có tấn công mail server gì hết, đơn giản là dùng chương trình sniff để lấy pw và email ở phía người dùng cuối (khái niệm vùng biên-OMG!). Và người trình bày có đầy đủ dấu hiệu của một người nói mà không biết mình đang nói gì! Một lần nữa nội dung trình bày rất yếu kém và không có liên quan gì đến nội dung đã được giới thiệu

+Nhận xét của tôi: lợi dụng thời điểm tranh tối tranh sáng, Athena đã tổ chức hội thảo này. Thực chất hội thảo này không có hacker mũ trắng hay đen gì hết. Nó cũng không mại cái gì cho cộng đồng và là một việc hoàn toàn mất thời gian. "Hacker mũ trắng" là thuật ngữ được Athena sáng tác cho khoá học "tả pí lù" A+,CCNA,... mà tôi tin chắc là học xong thì học viên cũng "tù pí lả" luôn.

Tôi nhận thấy những kiểu làm như thế này là cần phải chấn chỉnh.

Cơ quan QLNN và cả cộng đồng nghiên cứu bảo mật Việt Nam chắc chắn sẽ có những nhắc nhở cụ thể trong thời gian tới

Old Guardian

Anonymous said...

Hóa ra lại có cái là thuật toán mã hóa của riêng Vn tự sáng tạo một cách bí mật để dùng riêng à??? Bó tay mấy thằng ngu tốn tiền nhà nước :-D

Cái đề tài gì "cách ly phy chuẩn" là dịch từ cái gì trong tiếng Anh sang thế??? Mình thử tìm các tài liệu kỹ thuật xem nó làm cái gì trong đó mà không thấy đâu cả! Mà hình như đề tài này còn được giải gì đó?? Ở Việt Nam các bố làm khoa học kiểu tù mù vãi everything luôn! Bó toàn thân!!!

Anonymous said...

Riêng lần này tôi không có gì để phản đối sự phê phán của thaidn. Chất lượng hội thảo này không xứng tầm với những mỹ từ dành cho nó. Và từ "mũ trắng" chỉ được dùng như 1 tấm bình phong nhằm tránh né dư luận .

Mong là các hội thảo khác về hacking and/or security sẽ nghiêm túc và thực chất hơn.

Anonymous said...

Mọi người cũng nên biết rằng thật ra cũng có nhiều loại hội thảo, với nhiều tiêu chí khác nhau. Cũng cùng về nội dung bảo mật, nhưng có thể có những định hướng rất khác biệt. Chẳng hạn có những hội thảo dành cho giới business thì nội dung chủ yếu là để giới thiệu giải pháp, để tìm hiểu sản phẩm và gặp gỡ đối tác. Hội thảo kiểu này cũng không có gì sai cả, nhưng phải xác định mục tiêu chính xác, tránh lập lờ để người tham dự còn biết.

Nhiều người ở đây có lẽ quen thuộc và quan tâm hơn tới những hội thảo loại thiên về kỹ thuật. Ở những hội thảo loại này thì đương nhiên sẽ đề cao tiêu chí về trao đổi kiến thức ở tầm nâng cao hơn. Nếu hội thảo "Mũ trắng" đã xác định rõ nó thuộc loại này thì đúng là đáng bị phê phán vì làm ăn bố láo!

Đã đến lúc giới làm bảo mật Việt Nam (những người làm kỹ thuật chứ không phải business thuần túy) cần có những hội thảo kiểu "By hacker & For hacker" rồi. 2007 ư? Bắt đầu từ giờ cũng đã là muộn rồi đấy nhỉ?

Anonymous said...

Có ai có tài liệu về cái gọi là "Hệ thống cách ly phi chuẩn" thì chia sẻ cho anh em nghiên cứu với, search chỉ toàn thấy là giải thưởng và một số thông tin mờ hồ về việc "tạo ra một môi trường cách ly hoàn toàn về mặt giao thức TCP/IP giữa mạng nội bộ được bảo vệ với hệ thống Internet bên ngoài nhưng dữ liệu truyền giữa các mạng nội bộ qua Internet vẫn bình thường"! Một công trình nghiên cứu tầm vóc quốc tế (đoạt cúp vàng Giải thưởng Công nghệ thông tin - Truyền thông Châu Á - Thái Bình Dương (APICTA) 2006) mà lại không thấy thông tin kỹ thuật nào rõ ràng hết vậy ta.

Astalavista said...

Hi mọi người,
Nói về hội thảo bên tui cũng có giấy mời nhưng không đi được. Từ đầu tui đã hình dung được đây chủ yếu là marketing vì sếp đã định giao cho tui chuẩn bị để cùng sếp làm một bài quảng bá ... hình ảnh. Mặc dù một phần nhỏ mục đích của hội thảo cũng là "toàn cảnh bảo mật". Nhưng nghe anh em đi về "báo cáo" như vậy tôi thấy cũng bình thường. Hội thảo nào mà chẳng rùm beng trước thất vọng sau (đầu dê thịt chó gì đó).

Bàn về phần bảo mật, có người hỏi về mấy chứng chỉ có vẻ uy tín như CCIE, CISSP hay CEH nào đó. Tui cũng biết qua và những cái này thực sự cũng đòi thực nghiệm không nhiều thì ít, nhưng nội dung mỗi cái lại khác nhau. CCIE Lab hỏi các bạn rất nhiều về bảo mật, không chỉ riêng Cisco đâu, Cisco chỉ là một phương thức thực hiện các lí thuyết bảo mật thôi. Những người có được CCIE Lab theo tôi có một cái nhìn về bảo mật (khía cạnh kỹ thuật) khá tốt, nhưng tất nhiên việc thực nghiệm chi li chi tiết thì chắc chắn không bằng một số người gạo cội trong giới "hacker" chúng ta ... CISSP thiên về Policy Compliance hơn, nó là một quy trình chuẩn về bảo mật an toàn thông tin, không chỉ riêng vấn đề kỹ thuật (mạng máy tính & phần mềm). CEH thì lí thuyết nhất, có lẽ vì có mấy cái này mà hội thảo mới được "mạnh dạn" gán cho cái tên Hacker Mũ Trắng đấy ...

Về CNTT Vn, nói hơi to tát nhưng Conmale đưa vấn đề Cơ Sở Hạ Tầng lên đầu tôi thấy không hợp lí lắm. Bởi những ai làm trong lĩnh vực tư vấn triển khai hệ thống cho các doanh nghiệp cũng biết rằng đa số Cơ sở hạ tầng của họ (những ông lớn) đều được đầu tư rất nhiều. Những hệ thống Firewall, IPS, Endpoint Security, hay những giải pháp xác thực ... đều là hàng cao cấp, cập nhật nhanh, quản trị dễ dàng. Tui nghĩ mấu chốt của vấn đề bảo mật ở VN chính là năng lực và ý thức bảo mật của các nhà quản trị mạng. Trước hết về ý thức, cái này khỏi bàn vì ví dụ ngon lành nhất chính là vụ của Bộ GD-ĐT, quản trị mạng Quách Tuấn Ngọc phải phát rồ lên khi bị một chú nhóc lớp 12 "chui" vào nhà, nơi mà lão nghĩ là chắc chẳng ma nào thích vọc tới.
Còn về năng lực thì cơ quan nhà nước thì khỏi nói, có quan tâm đâu mà cải thiện năng lực. May ra có một số doanh nghiệp mà tin học liên quan đến việc kinh doanh như các ngân hàng chẳng hạn, họ cũng có đội ngũ trình độ khá cao, được đào tạo thường xuyên và bài bản. Thế nhưng tui vấn thấy một số lỗi lại xảy ra trong ... phần mềm ứng dụng (cái này khác với Cơ sở hạ tầng à nha), đôi khi những lỗi rất ngớ ngẩn.

Tóm lại theo tui để cải thiện tình hình bảo mật cho CNTT VN là thực tỉnh nhận tức cho hai tầng lớp:
- Các ông to bà lớn (thực ra những người này rất giỏi, không biết gì mà họ cũng thuyết minh được này trình bày được nọ, giỏi)
- Giới coding ứng dụng.

Anonymous said...

Trước hết về ý thức, cái này khỏi bàn vì ví dụ ngon lành nhất chính là vụ của Bộ GD-ĐT, quản trị mạng Quách Tuấn Ngọc phải phát rồ lên khi bị một chú nhóc lớp 12 "chui" vào nhà, nơi mà lão nghĩ là chắc chẳng ma nào thích vọc tới.

Cái ví dụ ngon lành nhất của bồ là 1 ví dụ sai toét loét; vì chuyên môn của bác Ngọc không phải là quản trị mạng. Và trong trường hợp website Moet đó bác Ngọc cũng không phải là người quản trị (trực tiếp), mà chỉ là người quản lý thôi.


Theo tôi vấn đề hiện nay là các tổ chức và cá nhân làm H&S vẫn còn "tức nhau tiếng gáy", chưa thực sự mong muốn phát triển trình độ H&S Việt Nam mà chỉ muốn chứng tỏ mình.

Những buổi "hội thảo" trước giờ ít nhiều đều nhằm phô trương kỹ năng kết hợp với marketing tổ chức mình, chỉ "lòe" những người dùng thông thường chứ thực sự chất lượng thì vẫn ở mức cơ bản.


Điều tui mong nhất hiện nay là các tổ chức cứ phát triển kiến thức, kỹ năng thật tốt theo tiêu chí của mình; thay vì cứ đi bươi móc, châm chích phát biểu/tiêu chí hoạt động của tổ chức khác. Phê phán hành động thì được, chứ những phát biểu chưa rõ thông tin mà đã "châm" nhau, thì vẫn chỉ là sự hiếu thắng tuổi trẻ mà thôi.

Z_

conmale said...

Bồ Astalavista nói rằng:

"Về CNTT Vn, nói hơi to tát nhưng Conmale đưa vấn đề Cơ Sở Hạ Tầng lên đầu tôi thấy không hợp lí lắm. Bởi những ai làm trong lĩnh vực tư vấn triển khai hệ thống cho các doanh nghiệp cũng biết rằng đa số Cơ sở hạ tầng của họ (những ông lớn) đều được đầu tư rất nhiều. Những hệ thống Firewall, IPS, Endpoint Security, hay những giải pháp xác thực ... đều là hàng cao cấp, cập nhật nhanh, quản trị dễ dàng."

Nhưng tôi đề cập đến:
"cơ sở hạ tầng cho hệ thống banking".

Điều này có nghĩa tôi muốn nói đến cơ sở hạ tầng cho phép thực hiện các "banking transaction" ở mức có thể chấp nhận được. Tại sao tôi nói như thế? Lý do rất đơn giản là cho đến nay, những công ty như PayPal vẫn ngấp nghé mà chưa dám xông vào thị trường VN. Cả những nhóm như Verisign, Thawte... đều tuyên bố rằng họ chưa có thể xúc tiến doanh nghiệp ở VN cho đến khi VN có một cơ sở hạ tầng cho banking ở mức chấp nhận được.

Những hệ thống firewall, IPS... theo tôi không phải là cơ sở hạ tầng mà chỉ là những thiết bị hỗ trợ cho cơ sở hạ tầng. Cơ sở hạ tầng phải nói đến băng thông và bảo đảm throughput của băng thông từ bên trong ra bên ngoài information highway. Cơ sở hạ tầng phải nói đến "sống lưng" của carriers ở VN.

Điều đáng quan ngại ở VN hiện nay là VN trở thành một thị trường béo bở cho các công ty mua bán thiết bị hăm hở, tranh giành thị trường. Một carrier class như FPT chẳng hạn không thể chấp nhận có 5, 7 loại thiết bị từ 5, 7 hãng khác nhau. Mỗi loại thiết bị có thể là "hàng cấp cao" nhưng vấn đề nằm ở chỗ, chúng có làm việc với nhau ở mức tối ưu, có bảo đảm tính bình ổn, có cho phép nâng cao và mở rộng ở mức độ vĩ mô hay không.

Những điều tôi nêu ra ở đây hoàn toàn là tai nghe, mắt thấy từ chuyến tôi về thăm nhà tết vừa rồi.

Vài ý kiến.

Anonymous said...

Bổ sung thêm giải thích về "cách ly phi chuẩn". Theo tất cả những gì tôi được biết (rất ít ỏi) thì đây là một hệ thống có sử dụng một "vách ngăn cách ly" bằng cách phá vỡ cấu trúc của gói tin IP (cả header luôn) dùng một phương cách bí mật (không công bố!!!) sau đó tái tạo lại ở đích đến. Theo những ý rất ngắn mà TS.Sáng trình bày tôi có cảm nhận đây là một hệ thống VPN không dùng các thuật tóan mở (dùng thuật tóan của BCY).

Lọai sản phẩm có phương châm an tòan kiểu này thường thuộc trường phái CCCP cách đây 20 năm.

Hiện tại không ai giữ an tòan trong giao tiếp bằng việc giữ kín thuật toán nữa. Các biện pháp phá mã công với máy móc hiện đại (hoặc gián điệp, mua chuộc con người) sẽ dễ dàng làm phá sản các hệ thống ntn và gây thiệt hại rất lớn (bài học của Sony DVD)

Trên đây là những thứ lờ mờ cảm nhận được của tôi từ những phát biểu của nhóm. Không có thông tin chính thức hay tài liệu nào.

Nếu có gì sơ suất mong anh em góp ý thêm

OG

Astalavista said...

Okie, bác nói thế em cũng công nhận, đã hiểu sai ý Cơ sơ hạ tầng banking của bác, nhưng em nghĩ cái đó là ở vĩ mô, của các bác nhà nước, tuy nó không phức tạp nhưng lại không dễ để thay đổi.
Bác nói cũng đúng là VN là thị trường béo bở để các hãng nước ngoài tuồn "hàng cao cấp" vào, cái đó hiện tại mình phải chấp nhận thôi. VN thực sự CHƯA (em không nói là không) làm được những thiết bị như thế. Đến như FPT thống lãnh thị trường IT VN(chủ quan) cũng chỉ là reseller mà thôi.
VN đang cần những người như conmale thì bác lại đi nhởi ở xứ người ...

Cụ thể một tí, về banking (chắc bác conmale bên kia làm về cái này nhỉ), thì chắc chắn đường truyền của các carrier ở VN chưa thể đáp ứng tối ưu được cho các nghiệp vụ ngân hàng rồi, còn về các "thiết bị phụ trợ CSHT" như FW, IPS/IDS, Endpoint Sec, ... em nghĩ cũng bắt đầu kha khá rồi (các hệ thống của VCB hay Statebank cũng khá khủng). Thế nhưng tại sao người ta cứ tùm lum bù loa lên là bảo mật VN còn quá kém, kể cả những ông lớn trong banking hay chính phủ. Em vẫn giữ ý kiến là lỗi ngay trong những phần mềm ứng dụng (hầu hết là tự phát triển) và ý thức về bảo mật (không chịu cập nhật update chẳng hạn, rất đơn giản thôi mà) ...
Thế thôi, chẳng hiểu đầu óc người ta để đi đâu.

P/S: Các ví dụ về QTN mình chỉ nói chung chung thôi mà :D. Mình đã đọc báo cáo "sự thật" của Mr.Kiên quản trị website rồi. Nhưng có cái lỗi ấy mà nửa năm cũng không fix được thì cũng tài. Nhỉ?

Anonymous said...

Tôi không phủ định nội dung chương trình rất kém so với những tiêu chí, khẩu ngữ mà đơn vị tổ chức đưa ra. Mặc dù mang danh là đại hội cho các White Hat Hacker nhưng nội dung chính yếu để Marketing (educate the customers), PR một số tên tuổi và giới thiệu sản phẩm.

Cùng với việc thiếu kinh nghiệm tổ chức, sự cập rập trong các khâu chuẩn bị, lộn xộn trong khâu chọn chủ đề, cách đặt tên mang tính PR "nặng" cùng với các chủ đề khá chung chung, kết quả không như mong đợi của một số các hacker là không thể tránh khỏi.

Cũng giống như sàn diễn ca nhạc, đằng sau nó là lũng cũng rất nhiều thứ hỗn tạp và cả những người say mê, tâm huyết nhất cũng lắc đầu cho qua.

Hy vọng lần tới 2007 sẽ mang tính thời sự cao hơn kèm theo mô hình workshop (có phí tham dự) cho đúng nghĩa một đại hội dành cho các hacker (cả mũ trắng & đen)

CCIE#15693

Anonymous said...

Trong số các comment ở đây có một số ý kiến rất đáng chú ý. Ví dụ, đúng là hội thảo của Athena không được nhiều người biết tới. Nhưng nếu họ muốn thông báo rộng rãi cho giới bảo mật Việt Nam thì có thể dùng cách nào?

- Qua các phương tiện báo chí? Chắc hẳn không phải ai cũng đọc báo hàng ngày.

- Qua các forum về security? Không phải ai cũng theo dõi các forum thường xuyên, đặc biệt là khi các forum đó hầu như chằng mang lại nhiều thông tin và kiến thức có giá trị.

Thông thường việc trao đổi thông tin kiểu này tốt nhất là được gửi tới một kênh thông tin chung mà hầu như ai trong giới bảo mật cũng biết, chẳng hạn mailing list. Ví dụ các thông báo về các hội thảo lớn trên thế giới đều được gửi lên BugTraq, nơi mà ai cũng subscribe. Nhưng hình như Việt Nam không hề có một mailing list nào dành riêng cho giới bảo mật cả?

Các bác nghĩ sao về việc thiết lập một mailing list như vậy làm kênh trao đổi thông tin cho Việt Nam? Nếu có một cơ sở nghiên cứu dào tạo (trường Đại học) hoặc một cơ quan nào đó của chính phủ đứng ra làm việc này thì tốt nhất.

mikado said...

Em nghe dau tha'ng 7 hay tha'ng 8 nam nay rd co' to chuc 1 security conference, da so' la ca'c speaker nguo`i nuo'c ngoa`i. Khong ro la ke hoach nay co' thuc hien duoc khong, rd cung co' xin giay phep to chuc roi, do'n cho` xem, hy vo.ng se co' 1 cai conference da'ng de bo thoi gian ra di xem

conmale said...

Bồ Astalavista nói:
Okie, bác nói thế em cũng công nhận, đã hiểu sai ý Cơ sơ hạ tầng banking của bác, nhưng em nghĩ cái đó là ở vĩ mô, của các bác nhà nước, tuy nó không phức tạp nhưng lại không dễ để thay đổi

Thì tôi nghĩ rằng ý kiến này không có gì sai lạc nhưng có phần thụ động. Qua một số lần trao đổi với các anh "ở trên", tôi thấy rõ các anh (ít ra là một số anh) rất quan tâm về những vấn đề khai triển cơ sở hạng tầng cho đúng nghĩa của nó. Tuy nhiên, khai triển thế nào cho "đúng nghĩa" phụ thuộc rất nhiều vào nguồn phản hồi từ các anh em làm công tác kỹ thuật và từ các môi trường liên quan đến CNTT / TMĐT. Anh em nên tích cực đưa ra nhu cầu và suy nghĩ của mình về việc "nên phát triển thế nào". Nếu cứ ngồi đó mà chờ "các bác nhà nước" thì các bác ấy chẳng có mấy ai động tay, động chân để làm cho nó trở thành hiện thực một cách nhanh chóng và hiệu quả đâu. Các bác càng ngồi trên cao, càng nghiêng hẳn về sách lược (nếu các bác ấy thật sự quan tâm), hoặc nghiêng hẳn về... cái ghế (nếu các bác ấy chỉ lo cho cái ghế).

Bồ Astalavista lại nói:
Bác nói cũng đúng là VN là thị trường béo bở để các hãng nước ngoài tuồn "hàng cao cấp" vào, cái đó hiện tại mình phải chấp nhận thôi. VN thực sự CHƯA (em không nói là không) làm được những thiết bị như thế. Đến như FPT thống lãnh thị trường IT VN(chủ quan) cũng chỉ là reseller mà thôi.

Thì tôi không đồng ý quan điểm này. Tại sao phải "chấp nhận mà thôi"? Thật sự mà nói, hầu hết các quốc gia trên thế giới, kể cả các quốc gia đã phát triển và đang phát triển đều phải MUA hàng hoá, thiết bị cho cơ sở hạ tầng. Ngay cả các quốc gia có thể sản xuất hàng cao cấp, những cơ quan chức năng của quốc gia ấy vẫn phải mua thiết bị. Đơn giản là vì nhóm sản xuất thiết bị không dính dáng gì đến nhóm quyết định cơ sở hạ tầng của một quốc gia cả. Điều quan trọng là mua thiết bị gì cho thích hợp.

Điểm tôi đưa ra ở đây là điểm phê bình cho thực trạng các công ty (tư nhân + nhà nước) sẵn sàng bỏ tiền ra mua hàng (thậm chí bỏ ra nhiều hơn giá thành ;)) mà không cân nhắc một cách khoa học và hợp lý. Ở VN, thiết bị gì cũng có, đây là điều tôi thấy rõ. Tuy nhiên, điều đáng nói là chúng đóng vai trò thế nào trong việc hình thành CSHT? Có những người đã ví CSHT cho CNTT ở VN giống như một chiếc áo đẹp có... trăm mảnh. Nếu bồ có điều kiện, thử viếng các đơn vị như VNPT, FPT, VIETTEL... xem qua thiết bị ở đó cho... mãn nhãn ;). Nói một cách khác, những anh em quan tâm đến những khía cạnh kỹ thuật này (và nếu có thể tạo ảnh hưởng thì càng tốt) thì nên tư duy và phản hồi cái thực trạng đó. Đám nước ngoài (đặc biệt là những đám thương mại mua đi bán lại) chẳng care cho "chiếc áo" đó có trăm mảnh hay ngàn mảnh. Họ chỉ care cho việc họ có bán được hàng hay không mà thôi.

Việc quyết định mua hàng với giá cao hơn giá thành (vì lý do gì đó ;)) là chuyện tệ hại đã đành. Mua rồi để biến "chiếc áo" càng nhiều mảnh hơn là chuyện mới thực sự đáng ngại.

Riêng câu nhận định:
VN đang cần những người như conmale thì bác lại đi nhởi ở xứ người ...
thì tôi không thể bàn nhiều. Chỉ biết rằng, tôi rời VN từ 20 năm trước. Tôi không muốn bàn nhiều về chính trị nhưng sự thật, tôi rời VN là vì thời ấy tôi hoàn toàn không có một cơ hội nào ở VN (ngoài việc chạy mánh, he he). Hì hì, lúc ấy dẫu điểm thi vào ĐH của tôi gấp ba lần khối bạn bè trong trường, tôi vẫn không được ngồi trên chế ghế ĐH ở VN. Tuy vậy, cho đến nay, tôi vẫn thường xuyên trao đổi, liên lạc (và hỗ trợ khi có thể) với các anh em có nhu cầu. Please, đừng trách tôi mà tội nghiệp :).

Về nhận định này của Astalavista:
còn về các "thiết bị phụ trợ CSHT" như FW, IPS/IDS, Endpoint Sec, ... em nghĩ cũng bắt đầu kha khá rồi (các hệ thống của VCB hay Statebank cũng khá khủng). Thế nhưng tại sao người ta cứ tùm lum bù loa lên là bảo mật VN còn quá kém, kể cả những ông lớn trong banking hay chính phủ.

thì tôi cho rằng bồ cũng bị dính vào "niềm tin ở thiết bị" rồi :). Những thứ "thiết bị phụ trợ" kia quả thật đóng vai trò phụ trợ. Những ai tin tưởng rằng đặt FW, IDS/IPS... vào một hệ thống thì tự nhiên nó sẽ bảo mật thì đó là "ảo tưởng an toàn". Dẫu có bao nhiêu FW, IDS/IPS trên hệ thống, chừng nào một dịch vụ được mở ra thì chừng ấy còn có risk. Bồ có thể FW hết các cổng dịch vụ và chừa lại cổng 80 cho web, dịch vụ ấy vẫn có thể bị tấn công và hệ thống ấy vẫn có thể bị nhân nhượng. FW có thể che đậy một số "known exploitation" nhưng không thể che đậy tất cả mọi "possible exploitation".

Bài tham gia đầu tiên trong mục này, tôi đã cho rằng:
Đối với lực lượng cung cấp giải pháp và coders, nên hiểu và tránh những lỗi thường gặp. Nên có cái nhìn nghiêm túc hơn về bảo mật (thay vì viết cho chạy là đủ). CNTT ở VN có phát triển mạnh hay không là phụ thuộc phần lớn ở việc phát triển và đẩy mạnh thương mại điện tử ở VN. Nếu những hội thảo chỉ nằm ở giới hạn "fix" những lỗi, những lổ hổng hiện hữu bằng cách dùng các thiết bị hiện có (như firewall, proxy...) thì sẽ tự tạo cho mình vị thế "chạy theo lỗi" mãi mãi.

thì nhận xét của bồ Astalavista:
Em vẫn giữ ý kiến là lỗi ngay trong những phần mềm ứng dụng (hầu hết là tự phát triển) và ý thức về bảo mật (không chịu cập nhật update chẳng hạn, rất đơn giản thôi mà)
Thế thôi, chẳng hiểu đầu óc người ta để đi đâu....
tương hợp với ý kiến của tôi ở trên (ngoại trừ quan điểm dùng thiết bị).

Astalavista said...

"Bồ" Conmale nói:
Qua một số lần trao đổi với các anh "ở trên", tôi thấy rõ các anh (ít ra là một số anh) rất quan tâm về những vấn đề khai triển cơ sở hạng tầng cho đúng nghĩa của nó. Tuy nhiên, khai triển thế nào cho "đúng nghĩa" phụ thuộc rất nhiều vào nguồn phản hồi từ các anh em làm công tác kỹ thuật và từ các môi trường liên quan đến CNTT / TMĐT. Anh em nên tích cực đưa ra nhu cầu và suy nghĩ của mình về việc "nên phát triển thế nào". Nếu cứ ngồi đó mà chờ "các bác nhà nước" thì các bác ấy chẳng có mấy ai động tay, động chân để làm cho nó trở thành hiện thực một cách nhanh chóng và hiệu quả đâu. Các bác càng ngồi trên cao, càng nghiêng hẳn về sách lược (nếu các bác ấy thật sự quan tâm), hoặc nghiêng hẳn về... cái ghế (nếu các bác ấy chỉ lo cho cái ghế).
Bác nói đúng, nhưng cách thực hiện gần như duy nhất bây giờ cũng là qua các diễn đàn IT. Nhưng như bên em, nhà cung cấp giải pháp, ít khi đụng chạm trực tiếp đến phần QoS của backbone (chủ yếu là LAN, WAN solutions, có động chạm đến đường truyền thì cũng chỉ biết phụ thuộc bên các nhà cung cấp như FOX hay VDC mà thôi), nên lấy gì mà kêu bây giờ, không bằng chứng, không nhu cầu. Còn dân kỹ thuật của các cơ quan, doanh nghiệp quản lí trực tiếp các dịch vụ liên quan đến đường truyền backbone (như bọn Ngân Hàng chẳng hạn), nhưng có thể họ cũng chưa có trình độ, hoặc "chưa có thời gian" tìm hiểu là các transaction của họ thì yêu cầu QoS đối với đường truyền cụ thể như thế nào, vì thế chắc cũng không biết kêu gì, cùng lắm cũng chỉ vi mô kiểu đường truyền chậm này nọ, rồi mặc bên nhà cung cấp xử lí thế nào cũng không biết. Còn về phía nhà cung cấp đường truyền, đây là mắt xích quan trọng nhất, thì muốn nâng cấp đường truyền lại liên quan trực tiếp đến lợi nhuận của họ, muốn họ thay đổi chỉ có cách nhờ "các bác nhà nước" can thiệp.
Tóm lại là có hai cách:
- Một là, thụ động chờ các bác nhà nước
- Hai là, dân IT kỹ thuật của các ngành liên quan nâng cao trình độ và quan tâm hơn để thường xuyên kêu la này nọ (chẳng hạn nghiệp vụ của tôi cần điều kiện b này c nọ, mà csht của các bác lại chỉ đạt đến a thôi, thế là được rồi).

Về phần thị trường thiết bị bảo mật VN
Các quốc gia "công nghệ cao" vẫn phải mua nhưng mua một phần thôi, còn VN thì tất tần tật là nhởi hàng ngoại hết. Ý em là hiện tại mình phải chấp nhận thôi (em trước học nghành điện tử em cũng biết, có thể sẽ đi được, nhưng chắc sẽ lâu lắm)
Về thực trạng mua trang thiết bị như một đống hổ lốn của các doanh nghiệp cơ quan nhà nước như bác nói cũng chưa chính xác lắm. Công nhận là các cơ quan/doanh nghiệp này không thể biết hết được các tính năng của giải pháp mà họ vừa được cung cấp, đã thích hợp hay chưa. Còn đứng về phía nhà cung cấp giải pháp (có thể như bọn em chẳng hạn), em khẳng định là các giải pháp (kể cả khủng như Vietcombank, Bộ Tài Chính hay StateBank) vẫn chưa đủ, mặc dù họ cũng đã đầu tư rất rất nhiều tiền. Và vẫn phải công nhận rằng các nhà cung cấp giải pháp vẫn thường lấy lợi nhuận làm đầu.
Em nghĩ vấn đề này chỉ được giải quyết khi mà trình độ IT dân kỹ thuật của các cơ quan/doanh nghiệp được cải thiết, biết cái gì họ được tư vấn, cái nào là thích hợp cho hệ thống của mình. Như thế mới đỡ bị những nhà cung cấp giải pháp (như em) lừa :)

Chỉ biết rằng, tôi rời VN từ 20 năm trước. Tôi không muốn bàn nhiều về chính trị nhưng sự thật, tôi rời VN là vì thời ấy tôi hoàn toàn không có một cơ hội nào ở VN (ngoài việc chạy mánh, he he). Hì hì, lúc ấy dẫu điểm thi vào ĐH của tôi gấp ba lần khối bạn bè trong trường, tôi vẫn không được ngồi trên chế ghế ĐH ở VN. Tuy vậy, cho đến nay, tôi vẫn thường xuyên trao đổi, liên lạc (và hỗ trợ khi có thể) với các anh em có nhu cầu. Please, đừng trách tôi mà tội nghiệp :).
Phải chăng đây là mặc cho dòng đời xô đẩy :)

thì tôi cho rằng bồ cũng bị dính vào "niềm tin ở thiết bị" rồi :). Những thứ "thiết bị phụ trợ" kia quả thật đóng vai trò phụ trợ. Những ai tin tưởng rằng đặt FW, IDS/IPS... vào một hệ thống thì tự nhiên nó sẽ bảo mật thì đó là "ảo tưởng an toàn". Dẫu có bao nhiêu FW, IDS/IPS trên hệ thống, chừng nào một dịch vụ được mở ra thì chừng ấy còn có risk. Bồ có thể FW hết các cổng dịch vụ và chừa lại cổng 80 cho web, dịch vụ ấy vẫn có thể bị tấn công và hệ thống ấy vẫn có thể bị nhân nhượng. FW có thể che đậy một số "known exploitation" nhưng không thể che đậy tất cả mọi "possible exploitation".
Thì em cũng hiểu cài này mà, các thiết bị chỉ một phần thôi, mặc dù các thiết bị tự học (dựa theo hành vi hoặc behavior) không chỉ bảo vệ "known exploitation" đâu.
Ý kiến của em bổ sung thêm một ý mà các bác với em đều "tương hợp" :D
Em vẫn giữ ý kiến là lỗi ngay trong những phần mềm ứng dụng (hầu hết là tự phát triển) và ý thức về bảo mật (không chịu cập nhật update chẳng hạn, rất đơn giản thôi mà)
Thế thôi, chẳng hiểu đầu óc người ta để đi đâu....

Anonymous said...

Đại hội này, tôi chỉ tình cờ nghe được lúc 4h chiều và chạy đi lấy vé mời... Không quảng cáo, không banner (trước dinh Độc Lập, không đăng báo....
Tôi chỉ tham dự buổi sáng, để nghe cái " cách ly phi chuẩn" cao siêu... nhưng nghe xong bài của ông TS.Sáng thì tôi cũng không biết ông này đang muốn nói cái gì, tòan nói về cá nhân & những sản phẩm.....đang còn trên giấy...
-Về bài "tòan cảnh bảo mật" của ông Đông, ông này cũng nói & nói, copy & paste từ những thông tin trên báo, forum.v..v. nếu ai biết đọc thì đọc từ lâu lắm rồi !!!
-Buổi chiều thì kô biết nói gì, nhưng có được cái CD của athena, bỏ vào xem cái "tấn công email 10p" thì thấy Cain 4.2 hoho chả hiểu tấn công quái gì ( trong đầu nghĩ là Mdeamon, mail enable hay Exchange )....pótay.

Anonymous said...

Theo tôi khi chỉ trích người khác thì mọi người nên nhìn lại mình một chút: Nếu cảm thấy mình giỏi, hãy đăng ký phát biểu tại các hội thảo như thế chứ đừng nép vào một chỗ rồi ra sức chê bai như thế.
Theo tôi nhớ tại hội thảo Mã nguồn mở lần 1 (năm 2000) tại Hà nội, nhóm của rd có phát biểu 2 bài. Một số cá nhân cũng đã ra sức chê bai với lời lẽ y hệt như các bạn ở đây! Với thời gian ít ỏi như thế, người ta không thể nói hết những gì mình biết phải không ?

Anonymous said...

Chào các anh em,
Toi it khi tham gia cac dien dan cung nhu post comment nhung hom nay duoc 1 hoc vien goi cho cai link doc bai nay cung thay vui vui nen co doi chut y kien cho xom tu.
- qua that nhu anh thaidn co noi,bai bao cao cua chu Q hoi bat can, thieu su chuan bi chu dao va cung co nghe anh ta noi lai nhu vay. Qua that la 1 dieu dang tiec, tuy nhien toi co tham du buoi sang va cung co nghe duoc 1 so y kien hay vi du nhu microsft gioi thieu ve cac giai phap security, ve fore front hay ben vietshield noi ve mot so loi web thong dung...
- theo toi nghi hoi thao nay mang tinh chat marketing la chu yeu,nen chat luong nhu vay cung tam on.du doi khi hoi buon cuoi 1 chut nhu truong hop tan cong mail server.nhung khong sao,dam dung ra noi cho du dung hay sai cung la nguoi can dam.:))

Anonymous said...

Thằng anonymous ngay bên trên anh dường như là thày giáo mà nói năng như thằng Chí phèo ấy nhỉ? Khen thằng CCIE dũng cảm dám lên trình bày à? Mày làm anh nhớ lại cái câu của Lenin "Ngu dốt cộng với nhiệt tình ...". Bó tay cái kiểu biện luận ngu xuẩn!

Thằng anonymous bên trên nữa có kiểu biện luận vòng vo đánh trống lảng của trẻ ranh. Vì anh cũng đã có tham gia comment trong cái entry này, nên cho mày biết quan điểm của riêng anh:

(1) Anh không ngại gì mà không gửi proposal đến hội thảo bảo mật, có điều như bác nào đã nói: hội thảo này không có public CFP nên có muốn cũng không tham gia được.

(2) Cho dù hội thảo này có public CFP anh cũng không gửi khi biết chương trình hội thảo nó thế này. Lên trình bày cùng với cái thằng CCIE gì ở trên chẳng hóa ra tự hạ giá mình quá, anh còn mặt mũi nào nhìn bạn bè quanh anh?

(3) Thời gian nhiều thì trình bày dài, ít thì trình bày ngắn. Tuy nhiên đã nói là phải nói đúng, không chấp nhận kiểu bố láo bố toét.

Chúng mày hiểu ý anh chứ?

Anonymous said...

Nói năng như 1 thằng vô học....

Mà như gì nữa, hẳn là 1 thằng vô học rồi đó chứ.

Anonymous said...

Lắm thằng hợm hĩnh nhỉ!

Anonymous said...

Moi nguoi dang xem va ban luan ve cai DH Hacker Mu Trang nhu xem mot tran bong da. Ngoi tren san thi che cau thu nay te, cau thu kia kem. Cu thu cung xuong san xem co bi thang khac no che khong thi biet.

Hacker gioi chua chac da la mot bao cao gioi. Mot bao cao vien gioi chua chac da la mot Hacker gioi.

Chuyen Athena ho to chuc dung la hoi bi kem nhung cung chang viec gi ma anh em ta mat sat nhau.

Flatkid said...

Ít ra thì các comment này cũng là bài học để BTC (Athena) rút kinh nghiệm biết đâu họ sẽ làm tốt hơn trong kỳ tới.

mybb said...

hmm, nghe gioi thieu qua ve cai "he thong cach ly phi chuan" lam lai nho lai cai LV minh chinh sua OpenVPN ma da noi chuyen voi Thai 1 lan ay nhi? Den luc lam xong moi nhan ra la minh lam khong khac gi OpenVPN + Iptables, co chang la them vu cho phep user them vao user-defined encryption (ma thuc chat la phai giau cai alg nay di :D ).
Cai nay de lam LV da thay hoi .... kem roi ma bac TS len trinh bay thi dung la qua dang nhi? :(

Anonymous said...

Không biết cái bài về "Hệ thống cách ly phi chuẩn" nói về chủ đề gì, nhưng như mọi người mô tả thì vấn đề được đưa ra có lẽ liên quan đến 1 công nghệ của Nga mà Ban cơ yếu chính phủ chuyển giao công nghệ về khoảng năm 2003 (IIRC). Nếu đúng là như vậy thì có thể hiểu vùng cách ly phi chuẩn là một vùng trong đó sử dụng giao thức hoàn toàn phi chuẩn cho network communication. Công nghệ của Nga là closed system nhưng cho phép đưa vào các giải thuật riêng bên ngoài vào. Nếu ku mybb muốn nghiên cứu về cái này thì khi nào về VN /me sẽ đưa cho. Tuy nhiên chỉ đưa cho ku tài liệu giới thiệu thôi chứ không đưa tài liệu kỹ thuật chi tiết được.

/me đang chuẩn bị cho một hội thảo security vào khoảng tháng 8. Hi vọng là chất lượng sẽ tương đối. Tuy nhiên có thu phí tham dự. Website & CFP sẽ được đưa ra trong tháng này. Technical track đa số sẽ là speaker nước ngoài. Hội thảo dùng tiếng Anh nhưng sẽ có phiên dịch.

--rd

P/S: một bác anonymous có nhắc đến hội thảo mã nguồn mở 2000, năm đó VISC (vnsecurity) có 2 bài về Linux Security và Linux Virtual Server for HA & Scalable Internet Services. Khen chê sao thì /me không có ý kiến nhưng hội thảo đó là hội thảo về Linux & mã nguồn mở chứ không phải hội thảo về security nên chủ đề trình bày chỉ hướng đến security awareness ;)