Hội hay là thảo?
(bài này đánh giá chất lượng một cá nhân, tổ chức khác, nếu bạn không thích xin vui lòng đừng đọc)
Thứ bảy tuần rồi tôi mới tham dự một hội thảo bảo mật có tên khá kêu là Đại hội hacker mũ trắng. Hội thảo được tổ chức khá hoành tráng, kéo dài từ 8h sáng đến tận 5h chiều ở Dinh Thống Nhất với sự tham dự của Microsoft, MiSoft, VietShield, Athena...Buổi sáng tôi bận việc nên chỉ tham gia vào phiên thứ hai, bắt đầu lúc 13h30. Tôi đến lúc 13h45, cũng may là bài tham luận đầu tiên của buổi chiều vẫn chưa bắt đầu. Chà, dân mình quan tâm đến bảo mật thật, tôi ước đoán có khoảng 800-1000 người ngồi gần hết hội trường chính của dinh Thống Nhất, trong đó khoảng 70%-80% là sinh viên (một người bạn của tôi tham dự phiên buổi sáng cho biết buổi sáng toàn mấy bậc trung niên ngồi nghe).
Gần 2h chiều, bài tham luận mang tên "10 phút tấn công hệ thống email server", với diễn giả là một tay CCIE, mở đầu cho phiên buổi chiều. Diễn giả bắt đầu bằng việc đưa ra khá nhiều định nghĩa, mà tôi chỉ ấn tượng nhất là hai định nghĩa như sau:
Cũng may phần tiếp theo khi nói về các nguy cơ trong việc sử dụng email, diễn giả có đề cập đến virus, spam và phishing. Nói về virus, diễn giả cho rằng cách phòng chống tốt nhất là sử dụng trình anti-virus ở phía client. Nói về spam, diễn giả cho rằng chống spam rất là khó và nó thường được sử dụng để tấn công DDoS vào hệ thống mail. Nói về phishing, diễn giả mô tả nó là cách thức bọn hacker chôm tiền của bạn rồi hết. Toàn bộ thời gian còn lại, tác giả nói về cách sniff hệ thống mạng để chôm mật khẩu email bằng Cain & Abel. Àh, giờ thì tôi mới hiểu, hèn chi diễn giả định nghĩa vùng biên như vậy. Tấn công hệ thống email server theo ý của diễn giả là sniff hay tấn công MITM để chôm mật khẩu của người dùng. Chấm hết.
Tôi kiên nhẫn ngồi nghe tiếp bài thứ hai mang tên Physical Security của một diễn giả đến từ Athena. Bài này đỡ hơn một tí, tay diễn giả ít ra còn biết mình đang nói về vấn đề gì. Nhưng xét chung thì cũng không có nhiều điểm hấp dẫn, bởi lẽ diễn giả luôn bắt đầu bằng "theo các tài liệu mà tôi đọc". Tôi bỏ về giữa chừng bởi lẽ tôi không nghĩ rằng tôi cần một người khác dịch và đọc tài liệu cho tôi nghe.
Nếu họ có tổ chức những hội thảo khác, chắc chắn tôi sẽ tham dự tiếp. Mặc dầu chúng có thể chẳng đem lại nhiều kiến thức, nhưng đối với một người làm tư vấn bảo mật như tôi, lên danh sách đen những cá nhân và công ty dởm là một việc làm hết sức quan trọng, nó sẽ giúp khách hàng của tôi không chọn nhầm đối tác.
-Thái
PS: anh bạn đi cùng có hỏi tôi một câu thế này, bao giờ VN mình mới có được một hội thảo cỡ như Blackhat? Lớn như Blackhat thì hơi khó, nhưng tôi nghĩ việc tổ chức một hội thảo nho nhỏ nhưng nghiêm túc là việc trong tầm tay. Không cần marketing, không cần báo chí, không quá ồn ào, không cần đông người, chỉ có hacking và security. Đó là ý kiến của một anh bạn khi tôi trao đổi qua email về việc làm sao đưa cộng đồng làm bảo mật ở VN xích gần hơn với thế giới bên ngoài. Hi vọng sang năm 2007 chúng ta sẽ có một hội thảo như vậy.
Thứ bảy tuần rồi tôi mới tham dự một hội thảo bảo mật có tên khá kêu là Đại hội hacker mũ trắng. Hội thảo được tổ chức khá hoành tráng, kéo dài từ 8h sáng đến tận 5h chiều ở Dinh Thống Nhất với sự tham dự của Microsoft, MiSoft, VietShield, Athena...Buổi sáng tôi bận việc nên chỉ tham gia vào phiên thứ hai, bắt đầu lúc 13h30. Tôi đến lúc 13h45, cũng may là bài tham luận đầu tiên của buổi chiều vẫn chưa bắt đầu. Chà, dân mình quan tâm đến bảo mật thật, tôi ước đoán có khoảng 800-1000 người ngồi gần hết hội trường chính của dinh Thống Nhất, trong đó khoảng 70%-80% là sinh viên (một người bạn của tôi tham dự phiên buổi sáng cho biết buổi sáng toàn mấy bậc trung niên ngồi nghe).
Gần 2h chiều, bài tham luận mang tên "10 phút tấn công hệ thống email server", với diễn giả là một tay CCIE, mở đầu cho phiên buổi chiều. Diễn giả bắt đầu bằng việc đưa ra khá nhiều định nghĩa, mà tôi chỉ ấn tượng nhất là hai định nghĩa như sau:
- Vùng biên: những vùng trung chuyển email + những vùng nhận email bao gồm cả workstation của người dùng cuối. Tác giả còn đưa ra thêm một vùng nào đó mà tôi không nhớ rõ.
- Directory harvest attack: đây là cách thức tấn công của spammer bằng cách gửi một email đến địa chỉ broadcast trong hệ thống để nó tự động forward đến các email khác, kiểu như gửi đến địa chỉ của mailing list vậy đó.
Cũng may phần tiếp theo khi nói về các nguy cơ trong việc sử dụng email, diễn giả có đề cập đến virus, spam và phishing. Nói về virus, diễn giả cho rằng cách phòng chống tốt nhất là sử dụng trình anti-virus ở phía client. Nói về spam, diễn giả cho rằng chống spam rất là khó và nó thường được sử dụng để tấn công DDoS vào hệ thống mail. Nói về phishing, diễn giả mô tả nó là cách thức bọn hacker chôm tiền của bạn rồi hết. Toàn bộ thời gian còn lại, tác giả nói về cách sniff hệ thống mạng để chôm mật khẩu email bằng Cain & Abel. Àh, giờ thì tôi mới hiểu, hèn chi diễn giả định nghĩa vùng biên như vậy. Tấn công hệ thống email server theo ý của diễn giả là sniff hay tấn công MITM để chôm mật khẩu của người dùng. Chấm hết.
Tôi kiên nhẫn ngồi nghe tiếp bài thứ hai mang tên Physical Security của một diễn giả đến từ Athena. Bài này đỡ hơn một tí, tay diễn giả ít ra còn biết mình đang nói về vấn đề gì. Nhưng xét chung thì cũng không có nhiều điểm hấp dẫn, bởi lẽ diễn giả luôn bắt đầu bằng "theo các tài liệu mà tôi đọc". Tôi bỏ về giữa chừng bởi lẽ tôi không nghĩ rằng tôi cần một người khác dịch và đọc tài liệu cho tôi nghe.
Nếu họ có tổ chức những hội thảo khác, chắc chắn tôi sẽ tham dự tiếp. Mặc dầu chúng có thể chẳng đem lại nhiều kiến thức, nhưng đối với một người làm tư vấn bảo mật như tôi, lên danh sách đen những cá nhân và công ty dởm là một việc làm hết sức quan trọng, nó sẽ giúp khách hàng của tôi không chọn nhầm đối tác.
-Thái
PS: anh bạn đi cùng có hỏi tôi một câu thế này, bao giờ VN mình mới có được một hội thảo cỡ như Blackhat? Lớn như Blackhat thì hơi khó, nhưng tôi nghĩ việc tổ chức một hội thảo nho nhỏ nhưng nghiêm túc là việc trong tầm tay. Không cần marketing, không cần báo chí, không quá ồn ào, không cần đông người, chỉ có hacking và security. Đó là ý kiến của một anh bạn khi tôi trao đổi qua email về việc làm sao đưa cộng đồng làm bảo mật ở VN xích gần hơn với thế giới bên ngoài. Hi vọng sang năm 2007 chúng ta sẽ có một hội thảo như vậy.
Comments
Một khác biệt nữa so với các hội thảo quốc tế là cấm tiệt tranh thủ để marketing sản phẩm. Xem ra cái hội thảo này thì mục tiêu chính là để quảng bá sản phẩm haha.
Thông thường hội thảo sẽ có 2 hướng chính: một là để educate people. Nội dung thường không mới, nhưng cũng phải trình bày được các kinh nghiệm hay, demo phải cool thì mới coi được. THướng thứ hai là trình bày các công cụ mới, các kết quả nghiên cứu mới. Hội thảo muốn hấp dẫn phải mạnh về mặt thứ 2. Hội thảo "Mũ trắng" này của các "hacker" VN về mặt thứ 1 xấp xỉ ZERO, còn mặt thứ 2 đúng bằng ZERO.
Cuối cùng: CCIE hay bằng gì cũng không nói lên điều gì cả. Muốn có nội dung trình bày hấp dẫn thì phải thực hiện việc nghiên cứu nghiêm túc và có kết quả đáng kể. Mấy cu có CCIE hay CISSP hay CEH có mấy người phải làm nghiên cứu đâu mà lên trình bày được.
Báo chí Việt Nam thỉnh thoảng lăng xê mấy cu CCIE, gọi là "tiến sĩ CISCO", vừa hài vừa ngu! Tiến sĩ là phải biết và có khả năng nghiên cứu ở trình độ cao. CCIE cũng chỉ là nắm vững các sản phẩm của CISCO để đi bán hàng cho nó chứ nghiên cứu thế nào được haha.
Happy new year 2007 to you all!
:-)
Giới quan tâm tới bảo mật tại Việt Nam hiện nay cần và khát có những hội thảo chuyên sâu về mặt kỹ thuật một cách đúng nghĩa. Một mặt có thể là giúp tăng cường chia sẻ và trao đổi thông tin, mặt khác là để thúc đẩy nâng cao trình độ kỹ thuật trong giới. Tôi nghĩ là nên bắt đầu từ những hội thảo cỡ nhỏ, rồi phát triển dần lên. Ngay lập tức mà mơ có được một cái như Blackhat ở VN thì làm sao thực hiện được, vì hội thảo ở tầm đó là phải thực hiện các trình bày bằng tiếng Anh, có mời các hacker nổi tiếng quốc tế tham dự.
Đồng ý rằng muốn có hội thảo có chất lượng thì những người tham gia trình bày phải là những người ở tầm nghiên cứu thực sự, chứ không phải như thành phần của cái hội thảo "Mũ trắng" kể trên. Vì từ một sysadmin/consultant/webmaster giỏi tới đẳng cấp một người có khả năng nghiên cứu tốt là khá xa. Nhìn có thể tưởng là gần mà thực ra là cả một khoảng cách rất lớn đó.
Chúc mừng năm mới anh em :-)
H
Đạt, datefield@yahoo.com
Có ai có thể giúp tôi giải đáp thắc mắc này không vì tôi không phải là người trong ngành bảo mật: tôi nghe nói các bằng cấp như CCIE, CISSP, CEH đều là các bằng có uy tín, muốn lấy được nó thì các thí sinh bắt buộc phải có trình độ cao (kiến thức + kinh nghiệm thật sự). Nhưng xem ra có lẽ là không phải, hình như chỉ cần ôm tài liệu gạo bài là có thể thi đậu. Có phải như vậy không?
Dân IT và Security ở VN cần nắm vững những biến chuyển về CNTT và Security một cách thực tế và xác thực nhất. Đồng thời, nên đưa ra được các giải pháp hoặc ít nhất là đường hướng giải quyết. Nên tránh lặp lại (đi theo sau) những gì đã được hội thảo, đã được trình bày ở những hội thảo khác.
Theo tôi, (sau khi thu thập thông tin từ nhiều nguồn), việc quan trọng nhất cho CNTT ở VN hiện nay là việc hình thành:
1) cơ sở hạ tầng cho hệ thống banking.
2) kiện toàn bảo mật cho cơ sở hạ tầng này (ở mức tinh tế nhất).
3) nâng cao chất lượng đường truyền Internet ở VN.
Đối với lực lượng cung cấp giải pháp và coders, nên hiểu và tránh những lỗi thường gặp. Nên có cái nhìn nghiêm túc hơn về bảo mật (thay vì viết cho chạy là đủ). CNTT ở VN có phát triển mạnh hay không là phụ thuộc phần lớn ở việc phát triển và đẩy mạnh thương mại điện tử ở VN. Nếu những hội thảo chỉ nằm ở giới hạn "fix" những lỗi, những lổ hổng hiện hữu bằng cách dùng các thiết bị hiện có (như firewall, proxy...) thì sẽ tự tạo cho mình vị thế "chạy theo lỗi" mãi mãi.
Những thương nghiệp lớn về thương mại điện tử ngần ngại khi vào Việt Nam là vì cơ sở hạ tầng ở VN không đủ để phục vụ cho nhu cầu của họ. Đây là sự thật hiển nhiên. Các sites ở VN của nhiều ban ngành chỉ lập ra để phục vụ nhu cầu "lập cho có" và không thực sự phục vụ nhu cầu người dùng. Ngay cả các site chuyên về tin tức thường lấy bài vở của lẫn nhau để đăng tải. Điều này dẫn đến tình trạng "thừa thông tin thừa" và "thiếu thông tin thiếu". Hầu hết các web site ở VN cùng đi theo một lối mòn, có một motif na ná nhau và bấy nhiêu lỗi (kỹ thuật + bảo mật) như nhau.
Điều quan trọng cho các hội đoàn, các tổ chức quan tâm đến bảo mật hiện nay là cải tổ và vứt bỏ cái "lối mòn" ấy đi, thay vì tạo điều kiện để bán chác những thiết bị chỉ giúp cho việc che đậy những yếu điểm vẫn còn hiện hữu.
- Ít nhất là về khía cạnh kỹ thuật, nếu không biết những người thật sự có khả năng thuyết trình thì nên kêu gọi sự trợ giúp và tham gia của giới kỹ thuật. Thông thường có thể làm điều đó qua cái gọi là "Call for papers", với thông báo rộng khắp để ai có khả năng có thể đăng ký nội dung. Như vậy thì chương trình vừa có sự đóng góp của những người thật sự có khả năng, vừa đạt được sự phong phú về nội dung. Hội thảo "hacker" này được tổ chức rất âm thầm, có lẽ chỉ có rất ít người trong giới biết.
- Điều tiên quyết để có chương trình tốt cần có ban duyệt chương trình. Dựa trên các nội dung đăng ký, ban này cần gạt bỏ những bài có chất lượng thấp, nội dung không thích hợp với định hướng của hội thảo. Vì vậy ban chương trình cần bao gồm những người thật sự có kinh nghiệm và kiến thức - chứ không cần những ông có chức sắc này nọ cho oai.
Xem ra demand về hội thảo security ở VN hiện là rất cao chứ không phải thấp (~1000 (?) người tham dự, đấy là chưa nói hội thảo "hacker" trên không được nhiều người biết tới). Vì vậy nếu anh em định làm một cái nghiêm túc thì chắc chắn là nó sẽ không "nhỏ" đâu, nếu cho phép tất cả những người muốn tham dự tới dự. Vấn đề là làm thế nào để nâng cao chất lượng hội thảo cả về khâu tổ chức và nội dung chương trình mà thôi.
Sau khi mất hết một ngày thì có kết luận sau, đây là một hội thảo nhằm marketing cho Athena và mang nhiều màu sắc "treo đầu dê bán thịt chó".
+Về bài phát biểu "Toàn cảnh an ninh mạng 2006" của Nguyễn Thế Đông, anh này không đủ tư cách trình bày chủ đề này và nội dung bài thì thiếu sót, không đầy đủ và phiếm diện. Khi trình bày anh Đông có biện luận đây là những thứ anh ta cóp nhặt được trong quá trình làm việc ở Athena và ở một số tỉnh, nhưng tên chủ đề vẫn là "toàn cảnh"!.
+Về trình bày của TS.Sáng có tên trên tờ giới thiệu hội thảo là "Hệ thống cách ly phi chuẩn" nhưng khi trình bày thì là về các chương trình nghiên cứu KHCN ở Sở, cộng thêm với việc anh ta đọc toàn văn các quyết định khen thưởng của ... tỉnh Đồng Nai dành cho ... anh ta! Một loạt các sản phẩm được anh ta giới thiệu nhưng sau đó được chốt lại là ... đang tiến hành. Có 2 slide về hệ thống cách ly phi chuẩn làm cho tôi hiểu mơ màng nó chính là hệ thống VPN + sử dụng thuật toán mã hoá của Ban Cơ Yếu CP. Một lần nữa lại có sự lập lờ gây tò mò trong thông tin quảng cáo và nội dung thật của hội thảo.
+Về bài "10 phút tấn công email server" mà tôi hân hạnh được thưởng thức cùng mrro. Thật kỳ lạ, tên slide lại là "Tấn công hệ thống email" và bên dưới có dòng chử nho nhỏ là tấn công vùng biên. Tôi và mrro tái mặt và hồi hộp đón chờ, đến khi hiểu ra thì mới biết là không có tấn công mail server gì hết, đơn giản là dùng chương trình sniff để lấy pw và email ở phía người dùng cuối (khái niệm vùng biên-OMG!). Và người trình bày có đầy đủ dấu hiệu của một người nói mà không biết mình đang nói gì! Một lần nữa nội dung trình bày rất yếu kém và không có liên quan gì đến nội dung đã được giới thiệu
+Nhận xét của tôi: lợi dụng thời điểm tranh tối tranh sáng, Athena đã tổ chức hội thảo này. Thực chất hội thảo này không có hacker mũ trắng hay đen gì hết. Nó cũng không mại cái gì cho cộng đồng và là một việc hoàn toàn mất thời gian. "Hacker mũ trắng" là thuật ngữ được Athena sáng tác cho khoá học "tả pí lù" A+,CCNA,... mà tôi tin chắc là học xong thì học viên cũng "tù pí lả" luôn.
Tôi nhận thấy những kiểu làm như thế này là cần phải chấn chỉnh.
Cơ quan QLNN và cả cộng đồng nghiên cứu bảo mật Việt Nam chắc chắn sẽ có những nhắc nhở cụ thể trong thời gian tới
Old Guardian
Cái đề tài gì "cách ly phy chuẩn" là dịch từ cái gì trong tiếng Anh sang thế??? Mình thử tìm các tài liệu kỹ thuật xem nó làm cái gì trong đó mà không thấy đâu cả! Mà hình như đề tài này còn được giải gì đó?? Ở Việt Nam các bố làm khoa học kiểu tù mù vãi everything luôn! Bó toàn thân!!!
Mong là các hội thảo khác về hacking and/or security sẽ nghiêm túc và thực chất hơn.
Nhiều người ở đây có lẽ quen thuộc và quan tâm hơn tới những hội thảo loại thiên về kỹ thuật. Ở những hội thảo loại này thì đương nhiên sẽ đề cao tiêu chí về trao đổi kiến thức ở tầm nâng cao hơn. Nếu hội thảo "Mũ trắng" đã xác định rõ nó thuộc loại này thì đúng là đáng bị phê phán vì làm ăn bố láo!
Đã đến lúc giới làm bảo mật Việt Nam (những người làm kỹ thuật chứ không phải business thuần túy) cần có những hội thảo kiểu "By hacker & For hacker" rồi. 2007 ư? Bắt đầu từ giờ cũng đã là muộn rồi đấy nhỉ?
Nói về hội thảo bên tui cũng có giấy mời nhưng không đi được. Từ đầu tui đã hình dung được đây chủ yếu là marketing vì sếp đã định giao cho tui chuẩn bị để cùng sếp làm một bài quảng bá ... hình ảnh. Mặc dù một phần nhỏ mục đích của hội thảo cũng là "toàn cảnh bảo mật". Nhưng nghe anh em đi về "báo cáo" như vậy tôi thấy cũng bình thường. Hội thảo nào mà chẳng rùm beng trước thất vọng sau (đầu dê thịt chó gì đó).
Bàn về phần bảo mật, có người hỏi về mấy chứng chỉ có vẻ uy tín như CCIE, CISSP hay CEH nào đó. Tui cũng biết qua và những cái này thực sự cũng đòi thực nghiệm không nhiều thì ít, nhưng nội dung mỗi cái lại khác nhau. CCIE Lab hỏi các bạn rất nhiều về bảo mật, không chỉ riêng Cisco đâu, Cisco chỉ là một phương thức thực hiện các lí thuyết bảo mật thôi. Những người có được CCIE Lab theo tôi có một cái nhìn về bảo mật (khía cạnh kỹ thuật) khá tốt, nhưng tất nhiên việc thực nghiệm chi li chi tiết thì chắc chắn không bằng một số người gạo cội trong giới "hacker" chúng ta ... CISSP thiên về Policy Compliance hơn, nó là một quy trình chuẩn về bảo mật an toàn thông tin, không chỉ riêng vấn đề kỹ thuật (mạng máy tính & phần mềm). CEH thì lí thuyết nhất, có lẽ vì có mấy cái này mà hội thảo mới được "mạnh dạn" gán cho cái tên Hacker Mũ Trắng đấy ...
Về CNTT Vn, nói hơi to tát nhưng Conmale đưa vấn đề Cơ Sở Hạ Tầng lên đầu tôi thấy không hợp lí lắm. Bởi những ai làm trong lĩnh vực tư vấn triển khai hệ thống cho các doanh nghiệp cũng biết rằng đa số Cơ sở hạ tầng của họ (những ông lớn) đều được đầu tư rất nhiều. Những hệ thống Firewall, IPS, Endpoint Security, hay những giải pháp xác thực ... đều là hàng cao cấp, cập nhật nhanh, quản trị dễ dàng. Tui nghĩ mấu chốt của vấn đề bảo mật ở VN chính là năng lực và ý thức bảo mật của các nhà quản trị mạng. Trước hết về ý thức, cái này khỏi bàn vì ví dụ ngon lành nhất chính là vụ của Bộ GD-ĐT, quản trị mạng Quách Tuấn Ngọc phải phát rồ lên khi bị một chú nhóc lớp 12 "chui" vào nhà, nơi mà lão nghĩ là chắc chẳng ma nào thích vọc tới.
Còn về năng lực thì cơ quan nhà nước thì khỏi nói, có quan tâm đâu mà cải thiện năng lực. May ra có một số doanh nghiệp mà tin học liên quan đến việc kinh doanh như các ngân hàng chẳng hạn, họ cũng có đội ngũ trình độ khá cao, được đào tạo thường xuyên và bài bản. Thế nhưng tui vấn thấy một số lỗi lại xảy ra trong ... phần mềm ứng dụng (cái này khác với Cơ sở hạ tầng à nha), đôi khi những lỗi rất ngớ ngẩn.
Tóm lại theo tui để cải thiện tình hình bảo mật cho CNTT VN là thực tỉnh nhận tức cho hai tầng lớp:
- Các ông to bà lớn (thực ra những người này rất giỏi, không biết gì mà họ cũng thuyết minh được này trình bày được nọ, giỏi)
- Giới coding ứng dụng.
Cái ví dụ ngon lành nhất của bồ là 1 ví dụ sai toét loét; vì chuyên môn của bác Ngọc không phải là quản trị mạng. Và trong trường hợp website Moet đó bác Ngọc cũng không phải là người quản trị (trực tiếp), mà chỉ là người quản lý thôi.
Theo tôi vấn đề hiện nay là các tổ chức và cá nhân làm H&S vẫn còn "tức nhau tiếng gáy", chưa thực sự mong muốn phát triển trình độ H&S Việt Nam mà chỉ muốn chứng tỏ mình.
Những buổi "hội thảo" trước giờ ít nhiều đều nhằm phô trương kỹ năng kết hợp với marketing tổ chức mình, chỉ "lòe" những người dùng thông thường chứ thực sự chất lượng thì vẫn ở mức cơ bản.
Điều tui mong nhất hiện nay là các tổ chức cứ phát triển kiến thức, kỹ năng thật tốt theo tiêu chí của mình; thay vì cứ đi bươi móc, châm chích phát biểu/tiêu chí hoạt động của tổ chức khác. Phê phán hành động thì được, chứ những phát biểu chưa rõ thông tin mà đã "châm" nhau, thì vẫn chỉ là sự hiếu thắng tuổi trẻ mà thôi.
Z_
"Về CNTT Vn, nói hơi to tát nhưng Conmale đưa vấn đề Cơ Sở Hạ Tầng lên đầu tôi thấy không hợp lí lắm. Bởi những ai làm trong lĩnh vực tư vấn triển khai hệ thống cho các doanh nghiệp cũng biết rằng đa số Cơ sở hạ tầng của họ (những ông lớn) đều được đầu tư rất nhiều. Những hệ thống Firewall, IPS, Endpoint Security, hay những giải pháp xác thực ... đều là hàng cao cấp, cập nhật nhanh, quản trị dễ dàng."
Nhưng tôi đề cập đến:
"cơ sở hạ tầng cho hệ thống banking".
Điều này có nghĩa tôi muốn nói đến cơ sở hạ tầng cho phép thực hiện các "banking transaction" ở mức có thể chấp nhận được. Tại sao tôi nói như thế? Lý do rất đơn giản là cho đến nay, những công ty như PayPal vẫn ngấp nghé mà chưa dám xông vào thị trường VN. Cả những nhóm như Verisign, Thawte... đều tuyên bố rằng họ chưa có thể xúc tiến doanh nghiệp ở VN cho đến khi VN có một cơ sở hạ tầng cho banking ở mức chấp nhận được.
Những hệ thống firewall, IPS... theo tôi không phải là cơ sở hạ tầng mà chỉ là những thiết bị hỗ trợ cho cơ sở hạ tầng. Cơ sở hạ tầng phải nói đến băng thông và bảo đảm throughput của băng thông từ bên trong ra bên ngoài information highway. Cơ sở hạ tầng phải nói đến "sống lưng" của carriers ở VN.
Điều đáng quan ngại ở VN hiện nay là VN trở thành một thị trường béo bở cho các công ty mua bán thiết bị hăm hở, tranh giành thị trường. Một carrier class như FPT chẳng hạn không thể chấp nhận có 5, 7 loại thiết bị từ 5, 7 hãng khác nhau. Mỗi loại thiết bị có thể là "hàng cấp cao" nhưng vấn đề nằm ở chỗ, chúng có làm việc với nhau ở mức tối ưu, có bảo đảm tính bình ổn, có cho phép nâng cao và mở rộng ở mức độ vĩ mô hay không.
Những điều tôi nêu ra ở đây hoàn toàn là tai nghe, mắt thấy từ chuyến tôi về thăm nhà tết vừa rồi.
Vài ý kiến.
Lọai sản phẩm có phương châm an tòan kiểu này thường thuộc trường phái CCCP cách đây 20 năm.
Hiện tại không ai giữ an tòan trong giao tiếp bằng việc giữ kín thuật toán nữa. Các biện pháp phá mã công với máy móc hiện đại (hoặc gián điệp, mua chuộc con người) sẽ dễ dàng làm phá sản các hệ thống ntn và gây thiệt hại rất lớn (bài học của Sony DVD)
Trên đây là những thứ lờ mờ cảm nhận được của tôi từ những phát biểu của nhóm. Không có thông tin chính thức hay tài liệu nào.
Nếu có gì sơ suất mong anh em góp ý thêm
OG
Bác nói cũng đúng là VN là thị trường béo bở để các hãng nước ngoài tuồn "hàng cao cấp" vào, cái đó hiện tại mình phải chấp nhận thôi. VN thực sự CHƯA (em không nói là không) làm được những thiết bị như thế. Đến như FPT thống lãnh thị trường IT VN(chủ quan) cũng chỉ là reseller mà thôi.
VN đang cần những người như conmale thì bác lại đi nhởi ở xứ người ...
Cụ thể một tí, về banking (chắc bác conmale bên kia làm về cái này nhỉ), thì chắc chắn đường truyền của các carrier ở VN chưa thể đáp ứng tối ưu được cho các nghiệp vụ ngân hàng rồi, còn về các "thiết bị phụ trợ CSHT" như FW, IPS/IDS, Endpoint Sec, ... em nghĩ cũng bắt đầu kha khá rồi (các hệ thống của VCB hay Statebank cũng khá khủng). Thế nhưng tại sao người ta cứ tùm lum bù loa lên là bảo mật VN còn quá kém, kể cả những ông lớn trong banking hay chính phủ. Em vẫn giữ ý kiến là lỗi ngay trong những phần mềm ứng dụng (hầu hết là tự phát triển) và ý thức về bảo mật (không chịu cập nhật update chẳng hạn, rất đơn giản thôi mà) ...
Thế thôi, chẳng hiểu đầu óc người ta để đi đâu.
P/S: Các ví dụ về QTN mình chỉ nói chung chung thôi mà :D. Mình đã đọc báo cáo "sự thật" của Mr.Kiên quản trị website rồi. Nhưng có cái lỗi ấy mà nửa năm cũng không fix được thì cũng tài. Nhỉ?
Cùng với việc thiếu kinh nghiệm tổ chức, sự cập rập trong các khâu chuẩn bị, lộn xộn trong khâu chọn chủ đề, cách đặt tên mang tính PR "nặng" cùng với các chủ đề khá chung chung, kết quả không như mong đợi của một số các hacker là không thể tránh khỏi.
Cũng giống như sàn diễn ca nhạc, đằng sau nó là lũng cũng rất nhiều thứ hỗn tạp và cả những người say mê, tâm huyết nhất cũng lắc đầu cho qua.
Hy vọng lần tới 2007 sẽ mang tính thời sự cao hơn kèm theo mô hình workshop (có phí tham dự) cho đúng nghĩa một đại hội dành cho các hacker (cả mũ trắng & đen)
CCIE#15693
- Qua các phương tiện báo chí? Chắc hẳn không phải ai cũng đọc báo hàng ngày.
- Qua các forum về security? Không phải ai cũng theo dõi các forum thường xuyên, đặc biệt là khi các forum đó hầu như chằng mang lại nhiều thông tin và kiến thức có giá trị.
Thông thường việc trao đổi thông tin kiểu này tốt nhất là được gửi tới một kênh thông tin chung mà hầu như ai trong giới bảo mật cũng biết, chẳng hạn mailing list. Ví dụ các thông báo về các hội thảo lớn trên thế giới đều được gửi lên BugTraq, nơi mà ai cũng subscribe. Nhưng hình như Việt Nam không hề có một mailing list nào dành riêng cho giới bảo mật cả?
Các bác nghĩ sao về việc thiết lập một mailing list như vậy làm kênh trao đổi thông tin cho Việt Nam? Nếu có một cơ sở nghiên cứu dào tạo (trường Đại học) hoặc một cơ quan nào đó của chính phủ đứng ra làm việc này thì tốt nhất.
Okie, bác nói thế em cũng công nhận, đã hiểu sai ý Cơ sơ hạ tầng banking của bác, nhưng em nghĩ cái đó là ở vĩ mô, của các bác nhà nước, tuy nó không phức tạp nhưng lại không dễ để thay đổi
Thì tôi nghĩ rằng ý kiến này không có gì sai lạc nhưng có phần thụ động. Qua một số lần trao đổi với các anh "ở trên", tôi thấy rõ các anh (ít ra là một số anh) rất quan tâm về những vấn đề khai triển cơ sở hạng tầng cho đúng nghĩa của nó. Tuy nhiên, khai triển thế nào cho "đúng nghĩa" phụ thuộc rất nhiều vào nguồn phản hồi từ các anh em làm công tác kỹ thuật và từ các môi trường liên quan đến CNTT / TMĐT. Anh em nên tích cực đưa ra nhu cầu và suy nghĩ của mình về việc "nên phát triển thế nào". Nếu cứ ngồi đó mà chờ "các bác nhà nước" thì các bác ấy chẳng có mấy ai động tay, động chân để làm cho nó trở thành hiện thực một cách nhanh chóng và hiệu quả đâu. Các bác càng ngồi trên cao, càng nghiêng hẳn về sách lược (nếu các bác ấy thật sự quan tâm), hoặc nghiêng hẳn về... cái ghế (nếu các bác ấy chỉ lo cho cái ghế).
Bồ Astalavista lại nói:
Bác nói cũng đúng là VN là thị trường béo bở để các hãng nước ngoài tuồn "hàng cao cấp" vào, cái đó hiện tại mình phải chấp nhận thôi. VN thực sự CHƯA (em không nói là không) làm được những thiết bị như thế. Đến như FPT thống lãnh thị trường IT VN(chủ quan) cũng chỉ là reseller mà thôi.
Thì tôi không đồng ý quan điểm này. Tại sao phải "chấp nhận mà thôi"? Thật sự mà nói, hầu hết các quốc gia trên thế giới, kể cả các quốc gia đã phát triển và đang phát triển đều phải MUA hàng hoá, thiết bị cho cơ sở hạ tầng. Ngay cả các quốc gia có thể sản xuất hàng cao cấp, những cơ quan chức năng của quốc gia ấy vẫn phải mua thiết bị. Đơn giản là vì nhóm sản xuất thiết bị không dính dáng gì đến nhóm quyết định cơ sở hạ tầng của một quốc gia cả. Điều quan trọng là mua thiết bị gì cho thích hợp.
Điểm tôi đưa ra ở đây là điểm phê bình cho thực trạng các công ty (tư nhân + nhà nước) sẵn sàng bỏ tiền ra mua hàng (thậm chí bỏ ra nhiều hơn giá thành ;)) mà không cân nhắc một cách khoa học và hợp lý. Ở VN, thiết bị gì cũng có, đây là điều tôi thấy rõ. Tuy nhiên, điều đáng nói là chúng đóng vai trò thế nào trong việc hình thành CSHT? Có những người đã ví CSHT cho CNTT ở VN giống như một chiếc áo đẹp có... trăm mảnh. Nếu bồ có điều kiện, thử viếng các đơn vị như VNPT, FPT, VIETTEL... xem qua thiết bị ở đó cho... mãn nhãn ;). Nói một cách khác, những anh em quan tâm đến những khía cạnh kỹ thuật này (và nếu có thể tạo ảnh hưởng thì càng tốt) thì nên tư duy và phản hồi cái thực trạng đó. Đám nước ngoài (đặc biệt là những đám thương mại mua đi bán lại) chẳng care cho "chiếc áo" đó có trăm mảnh hay ngàn mảnh. Họ chỉ care cho việc họ có bán được hàng hay không mà thôi.
Việc quyết định mua hàng với giá cao hơn giá thành (vì lý do gì đó ;)) là chuyện tệ hại đã đành. Mua rồi để biến "chiếc áo" càng nhiều mảnh hơn là chuyện mới thực sự đáng ngại.
Riêng câu nhận định:
VN đang cần những người như conmale thì bác lại đi nhởi ở xứ người ...
thì tôi không thể bàn nhiều. Chỉ biết rằng, tôi rời VN từ 20 năm trước. Tôi không muốn bàn nhiều về chính trị nhưng sự thật, tôi rời VN là vì thời ấy tôi hoàn toàn không có một cơ hội nào ở VN (ngoài việc chạy mánh, he he). Hì hì, lúc ấy dẫu điểm thi vào ĐH của tôi gấp ba lần khối bạn bè trong trường, tôi vẫn không được ngồi trên chế ghế ĐH ở VN. Tuy vậy, cho đến nay, tôi vẫn thường xuyên trao đổi, liên lạc (và hỗ trợ khi có thể) với các anh em có nhu cầu. Please, đừng trách tôi mà tội nghiệp :).
Về nhận định này của Astalavista:
còn về các "thiết bị phụ trợ CSHT" như FW, IPS/IDS, Endpoint Sec, ... em nghĩ cũng bắt đầu kha khá rồi (các hệ thống của VCB hay Statebank cũng khá khủng). Thế nhưng tại sao người ta cứ tùm lum bù loa lên là bảo mật VN còn quá kém, kể cả những ông lớn trong banking hay chính phủ.
thì tôi cho rằng bồ cũng bị dính vào "niềm tin ở thiết bị" rồi :). Những thứ "thiết bị phụ trợ" kia quả thật đóng vai trò phụ trợ. Những ai tin tưởng rằng đặt FW, IDS/IPS... vào một hệ thống thì tự nhiên nó sẽ bảo mật thì đó là "ảo tưởng an toàn". Dẫu có bao nhiêu FW, IDS/IPS trên hệ thống, chừng nào một dịch vụ được mở ra thì chừng ấy còn có risk. Bồ có thể FW hết các cổng dịch vụ và chừa lại cổng 80 cho web, dịch vụ ấy vẫn có thể bị tấn công và hệ thống ấy vẫn có thể bị nhân nhượng. FW có thể che đậy một số "known exploitation" nhưng không thể che đậy tất cả mọi "possible exploitation".
Bài tham gia đầu tiên trong mục này, tôi đã cho rằng:
Đối với lực lượng cung cấp giải pháp và coders, nên hiểu và tránh những lỗi thường gặp. Nên có cái nhìn nghiêm túc hơn về bảo mật (thay vì viết cho chạy là đủ). CNTT ở VN có phát triển mạnh hay không là phụ thuộc phần lớn ở việc phát triển và đẩy mạnh thương mại điện tử ở VN. Nếu những hội thảo chỉ nằm ở giới hạn "fix" những lỗi, những lổ hổng hiện hữu bằng cách dùng các thiết bị hiện có (như firewall, proxy...) thì sẽ tự tạo cho mình vị thế "chạy theo lỗi" mãi mãi.
thì nhận xét của bồ Astalavista:
Em vẫn giữ ý kiến là lỗi ngay trong những phần mềm ứng dụng (hầu hết là tự phát triển) và ý thức về bảo mật (không chịu cập nhật update chẳng hạn, rất đơn giản thôi mà)
Thế thôi, chẳng hiểu đầu óc người ta để đi đâu.... tương hợp với ý kiến của tôi ở trên (ngoại trừ quan điểm dùng thiết bị).
Qua một số lần trao đổi với các anh "ở trên", tôi thấy rõ các anh (ít ra là một số anh) rất quan tâm về những vấn đề khai triển cơ sở hạng tầng cho đúng nghĩa của nó. Tuy nhiên, khai triển thế nào cho "đúng nghĩa" phụ thuộc rất nhiều vào nguồn phản hồi từ các anh em làm công tác kỹ thuật và từ các môi trường liên quan đến CNTT / TMĐT. Anh em nên tích cực đưa ra nhu cầu và suy nghĩ của mình về việc "nên phát triển thế nào". Nếu cứ ngồi đó mà chờ "các bác nhà nước" thì các bác ấy chẳng có mấy ai động tay, động chân để làm cho nó trở thành hiện thực một cách nhanh chóng và hiệu quả đâu. Các bác càng ngồi trên cao, càng nghiêng hẳn về sách lược (nếu các bác ấy thật sự quan tâm), hoặc nghiêng hẳn về... cái ghế (nếu các bác ấy chỉ lo cho cái ghế).
Bác nói đúng, nhưng cách thực hiện gần như duy nhất bây giờ cũng là qua các diễn đàn IT. Nhưng như bên em, nhà cung cấp giải pháp, ít khi đụng chạm trực tiếp đến phần QoS của backbone (chủ yếu là LAN, WAN solutions, có động chạm đến đường truyền thì cũng chỉ biết phụ thuộc bên các nhà cung cấp như FOX hay VDC mà thôi), nên lấy gì mà kêu bây giờ, không bằng chứng, không nhu cầu. Còn dân kỹ thuật của các cơ quan, doanh nghiệp quản lí trực tiếp các dịch vụ liên quan đến đường truyền backbone (như bọn Ngân Hàng chẳng hạn), nhưng có thể họ cũng chưa có trình độ, hoặc "chưa có thời gian" tìm hiểu là các transaction của họ thì yêu cầu QoS đối với đường truyền cụ thể như thế nào, vì thế chắc cũng không biết kêu gì, cùng lắm cũng chỉ vi mô kiểu đường truyền chậm này nọ, rồi mặc bên nhà cung cấp xử lí thế nào cũng không biết. Còn về phía nhà cung cấp đường truyền, đây là mắt xích quan trọng nhất, thì muốn nâng cấp đường truyền lại liên quan trực tiếp đến lợi nhuận của họ, muốn họ thay đổi chỉ có cách nhờ "các bác nhà nước" can thiệp.
Tóm lại là có hai cách:
- Một là, thụ động chờ các bác nhà nước
- Hai là, dân IT kỹ thuật của các ngành liên quan nâng cao trình độ và quan tâm hơn để thường xuyên kêu la này nọ (chẳng hạn nghiệp vụ của tôi cần điều kiện b này c nọ, mà csht của các bác lại chỉ đạt đến a thôi, thế là được rồi).
Về phần thị trường thiết bị bảo mật VN
Các quốc gia "công nghệ cao" vẫn phải mua nhưng mua một phần thôi, còn VN thì tất tần tật là nhởi hàng ngoại hết. Ý em là hiện tại mình phải chấp nhận thôi (em trước học nghành điện tử em cũng biết, có thể sẽ đi được, nhưng chắc sẽ lâu lắm)
Về thực trạng mua trang thiết bị như một đống hổ lốn của các doanh nghiệp cơ quan nhà nước như bác nói cũng chưa chính xác lắm. Công nhận là các cơ quan/doanh nghiệp này không thể biết hết được các tính năng của giải pháp mà họ vừa được cung cấp, đã thích hợp hay chưa. Còn đứng về phía nhà cung cấp giải pháp (có thể như bọn em chẳng hạn), em khẳng định là các giải pháp (kể cả khủng như Vietcombank, Bộ Tài Chính hay StateBank) vẫn chưa đủ, mặc dù họ cũng đã đầu tư rất rất nhiều tiền. Và vẫn phải công nhận rằng các nhà cung cấp giải pháp vẫn thường lấy lợi nhuận làm đầu.
Em nghĩ vấn đề này chỉ được giải quyết khi mà trình độ IT dân kỹ thuật của các cơ quan/doanh nghiệp được cải thiết, biết cái gì họ được tư vấn, cái nào là thích hợp cho hệ thống của mình. Như thế mới đỡ bị những nhà cung cấp giải pháp (như em) lừa :)
Chỉ biết rằng, tôi rời VN từ 20 năm trước. Tôi không muốn bàn nhiều về chính trị nhưng sự thật, tôi rời VN là vì thời ấy tôi hoàn toàn không có một cơ hội nào ở VN (ngoài việc chạy mánh, he he). Hì hì, lúc ấy dẫu điểm thi vào ĐH của tôi gấp ba lần khối bạn bè trong trường, tôi vẫn không được ngồi trên chế ghế ĐH ở VN. Tuy vậy, cho đến nay, tôi vẫn thường xuyên trao đổi, liên lạc (và hỗ trợ khi có thể) với các anh em có nhu cầu. Please, đừng trách tôi mà tội nghiệp :).
Phải chăng đây là mặc cho dòng đời xô đẩy :)
thì tôi cho rằng bồ cũng bị dính vào "niềm tin ở thiết bị" rồi :). Những thứ "thiết bị phụ trợ" kia quả thật đóng vai trò phụ trợ. Những ai tin tưởng rằng đặt FW, IDS/IPS... vào một hệ thống thì tự nhiên nó sẽ bảo mật thì đó là "ảo tưởng an toàn". Dẫu có bao nhiêu FW, IDS/IPS trên hệ thống, chừng nào một dịch vụ được mở ra thì chừng ấy còn có risk. Bồ có thể FW hết các cổng dịch vụ và chừa lại cổng 80 cho web, dịch vụ ấy vẫn có thể bị tấn công và hệ thống ấy vẫn có thể bị nhân nhượng. FW có thể che đậy một số "known exploitation" nhưng không thể che đậy tất cả mọi "possible exploitation".
Thì em cũng hiểu cài này mà, các thiết bị chỉ một phần thôi, mặc dù các thiết bị tự học (dựa theo hành vi hoặc behavior) không chỉ bảo vệ "known exploitation" đâu.
Ý kiến của em bổ sung thêm một ý mà các bác với em đều "tương hợp" :D
Em vẫn giữ ý kiến là lỗi ngay trong những phần mềm ứng dụng (hầu hết là tự phát triển) và ý thức về bảo mật (không chịu cập nhật update chẳng hạn, rất đơn giản thôi mà)
Thế thôi, chẳng hiểu đầu óc người ta để đi đâu....
Tôi chỉ tham dự buổi sáng, để nghe cái " cách ly phi chuẩn" cao siêu... nhưng nghe xong bài của ông TS.Sáng thì tôi cũng không biết ông này đang muốn nói cái gì, tòan nói về cá nhân & những sản phẩm.....đang còn trên giấy...
-Về bài "tòan cảnh bảo mật" của ông Đông, ông này cũng nói & nói, copy & paste từ những thông tin trên báo, forum.v..v. nếu ai biết đọc thì đọc từ lâu lắm rồi !!!
-Buổi chiều thì kô biết nói gì, nhưng có được cái CD của athena, bỏ vào xem cái "tấn công email 10p" thì thấy Cain 4.2 hoho chả hiểu tấn công quái gì ( trong đầu nghĩ là Mdeamon, mail enable hay Exchange )....pótay.
Theo tôi nhớ tại hội thảo Mã nguồn mở lần 1 (năm 2000) tại Hà nội, nhóm của rd có phát biểu 2 bài. Một số cá nhân cũng đã ra sức chê bai với lời lẽ y hệt như các bạn ở đây! Với thời gian ít ỏi như thế, người ta không thể nói hết những gì mình biết phải không ?
Toi it khi tham gia cac dien dan cung nhu post comment nhung hom nay duoc 1 hoc vien goi cho cai link doc bai nay cung thay vui vui nen co doi chut y kien cho xom tu.
- qua that nhu anh thaidn co noi,bai bao cao cua chu Q hoi bat can, thieu su chuan bi chu dao va cung co nghe anh ta noi lai nhu vay. Qua that la 1 dieu dang tiec, tuy nhien toi co tham du buoi sang va cung co nghe duoc 1 so y kien hay vi du nhu microsft gioi thieu ve cac giai phap security, ve fore front hay ben vietshield noi ve mot so loi web thong dung...
- theo toi nghi hoi thao nay mang tinh chat marketing la chu yeu,nen chat luong nhu vay cung tam on.du doi khi hoi buon cuoi 1 chut nhu truong hop tan cong mail server.nhung khong sao,dam dung ra noi cho du dung hay sai cung la nguoi can dam.:))
Thằng anonymous bên trên nữa có kiểu biện luận vòng vo đánh trống lảng của trẻ ranh. Vì anh cũng đã có tham gia comment trong cái entry này, nên cho mày biết quan điểm của riêng anh:
(1) Anh không ngại gì mà không gửi proposal đến hội thảo bảo mật, có điều như bác nào đã nói: hội thảo này không có public CFP nên có muốn cũng không tham gia được.
(2) Cho dù hội thảo này có public CFP anh cũng không gửi khi biết chương trình hội thảo nó thế này. Lên trình bày cùng với cái thằng CCIE gì ở trên chẳng hóa ra tự hạ giá mình quá, anh còn mặt mũi nào nhìn bạn bè quanh anh?
(3) Thời gian nhiều thì trình bày dài, ít thì trình bày ngắn. Tuy nhiên đã nói là phải nói đúng, không chấp nhận kiểu bố láo bố toét.
Chúng mày hiểu ý anh chứ?
Mà như gì nữa, hẳn là 1 thằng vô học rồi đó chứ.
Hacker gioi chua chac da la mot bao cao gioi. Mot bao cao vien gioi chua chac da la mot Hacker gioi.
Chuyen Athena ho to chuc dung la hoi bi kem nhung cung chang viec gi ma anh em ta mat sat nhau.
Cai nay de lam LV da thay hoi .... kem roi ma bac TS len trinh bay thi dung la qua dang nhi? :(
/me đang chuẩn bị cho một hội thảo security vào khoảng tháng 8. Hi vọng là chất lượng sẽ tương đối. Tuy nhiên có thu phí tham dự. Website & CFP sẽ được đưa ra trong tháng này. Technical track đa số sẽ là speaker nước ngoài. Hội thảo dùng tiếng Anh nhưng sẽ có phiên dịch.
--rd
P/S: một bác anonymous có nhắc đến hội thảo mã nguồn mở 2000, năm đó VISC (vnsecurity) có 2 bài về Linux Security và Linux Virtual Server for HA & Scalable Internet Services. Khen chê sao thì /me không có ý kiến nhưng hội thảo đó là hội thảo về Linux & mã nguồn mở chứ không phải hội thảo về security nên chủ đề trình bày chỉ hướng đến security awareness ;)