See you at VNSECON07!
Tương tự như nhiều ngành nghề khoa học kỹ thuật khác, lĩnh vực bảo mật ở VN vẫn còn khá tụt hậu so với thế giới bên ngoài. Đây cũng là mục tiêu chính của hội thảo VNSECON07 (diễn ra trong hai ngày 03-04/08/2007 tại Nhà thi đấu Phú Thọ Tp.HCM): đưa giới an ninh mạng VN xích lại gần hơn với thế giới bên ngoài.
Sự khác biệt của VNSECON07
Nếu bạn quan tâm đến tình hình an ninh mạng, chắc hẳn bạn cũng biết rằng, năm nào ở VN cũng có tổ chức một vài hội thảo bảo mật. Đa số các hội thảo này do một số công ty tổ chức với mục đích quảng bá sản phẩm, vì thế chất lượng của chúng luôn là đề tài gây nhiều tranh cãi. VNSECON07 là một hội thảo hoàn toàn khác.
Thay vì định ra trước danh sách các bài tham luận sẽ được trình bày như các hội thảo khác, BTC VNSECON07 đã gửi “Call For Papers” từ tháng 3/2007 để kêu gọi sự tham gia viết tham luận của các chuyên gia bảo mật từ khắp nơi trên thế giới. Sau gần 3 tháng, tổng cộng đã có hơn 30 bài tham luận được gửi đến.
Dựa trên số bài này, Hội đồng chuyên môn của VNSECON07, bao gồm toàn những tên tuổi lớn của cộng đồng bảo mật ở VN và trên thế giới, đã sàn lọc và chọn ra 20 bài tham luận hấp dẫn nhất, bao phủ tất cả các đề tài, từ an ninh ngân hàng đến khai thác điểm yếu trong các game online và xâm nhập vào mạng điện thoại GSM.
“Đây chính là quy trình mà tất cả các hội thảo bảo mật trên thế giới đều phải làm để đảm bảo chất lượng của hội thảo”, một thành viên trong Hội đồng chuyên môn VNSECON07 cho biết.
Ngoài các bài tham luận ra, VNSECON07 còn có một cuộc thi hacking mang tên Capture the Flag, là cuộc thi tấn công và phòng thủ được khởi nguồn từ hội thảo hacker Defcon được tổ chức hàng năm tại Las Vegas, Mỹ. Cuộc thi CtF tại VNSECON 07 năm nay sẽ được thiết kế và điều hành bởi nhóm các chuyên gia bảo mật đã thiết kế & điều hành CtF cho nhiều hội thảo như HackInTheBox và Bellua Cyber Security.
“Nếu như Singapore có SyScan, Malaysia có HackInTheBox, chúng ta sẽ có một VNSECON xứng tầm quốc tế”, một thành viên BTC VNSECON07 tự tin khẳng định.
Bất kể bạn là ai, nếu bạn quan tâm đến bảo mật, bạn nên tham dự hội thảo này. Đây là cơ hội có một không hai để bạn có thể lắng nghe các chuyên gia bảo mật hàng đầu VN và thế giới trình bày các kết quả nghiên cứu mới nhất của họ. Đăng ký tham dự hội thảo tại http://conf.vnsecurity.net.
-Thái
-----
Những chủ đề "nóng" ở VNSECON07
Chương trình hội thảo VNSECON 07 đã được công bố, chuyên đề kỹ thuật đã khá đầy đủ với hầu hết các báo cáo do diễn giả nước ngoài trình bày, chuyên đề chính sách và thương mại điện tử với chủ yếu các báo cáo trong nước hiện vẫn đang tiếp tục được cập nhật. Một số chủ đề khá "nóng" và thời sự được trình bày tại hội thảo lần này hứa hẹn sẽ thu hút được sự tham dự đông đảo của giới chuyên môn và giới lãnh đạo.
Sau cơn bão khai thác lỗi tràn bộ đệm của Microsoft IIS và SQL Injection trong ASP các web site trong nước hiện khá yên ổn do phần lớn đã nâng cấp hệ điều hành Windows 2003 và sử dụng .NET cho ứng dụng web. Do đó, báo cáo "Next Generation .NET Attacks" (Tấn công .NET thế hệ kế tiếp) của Paul Craig hứa hẹn sẽ đem đến cho cả giới quản trị mạng/bảo mật và hacker sự quan tâm đặc biệt. Paul sẽ trình bày các phương pháp khai thác lỗ hổng bảo mật dành cho .NET chưa từng được công bố.
Virus luôn là mối quan tâm lo lắng hàng đầu của các tổ chức và cá nhân khi mà các thông kê số lượng virus mới luôn tăng lên mỗi ngày. Làm thế nào các tổ chức như Symantec, Sophos, Message Lab, BKIS phát hiện và khống chế các virus mới? Paul Barrie Ducklin đến từ Sophos Australia sẽ mang đến một trình bày rất hấp dẫn và thú vị đối với tất cả người nghe: "Live Malware Attack" (Xem trực tiếp chương trình mã độc tấn công). Hẳn người dùng vẫn còn nhớ sự lây lan nhanh chóng mặt của virus Code Red khai thác lỗ hổng Windows, hay virus nội Gaixinh qua Yahoo Messenger. Làm thế nào các chương trình mã độc làm được điều đó? Làm thế nào các tổ chức phản ứng nhanh có thể khống chế chúng? Tất cả sẽ có trong phần minh họa trực quan hết sức sống động với các công cụ của Sophos - một trong các nhà cung cấp phần mềm nổi tiếng thế giới.
Cũng về chủ đề mã độc nhưng ở một khía cạnh khác: phân tích tĩnh thay vì phân tích động (trực tiếp). Dr. Jose Nazario, Kỹ sư bảo mật cao cấp của công ty bảo mật Arbor Networks sẽ cho thấy sức mạnh của công cụ tìm kiếm Google trong việc tìm kếm các lỗi bảo mật cũng như các chương trình mã độc với báo cáo "Googling for Malware and Bugs" (Tìm kiếm chương trình mã độc và lỗi bảo mật bằng Google). Đây là một phương pháp rất hữu ích cho những người nghiên cứu về bảo mật bởi cơ sở dữ liệu khổng lồ và sức mạnh tìm kiếm của Google là một công cụ vô song nếu biết khai thác.
Game online đang là một thị trường béo bở với rất nhiều nhà cung cấp trong nước nhảy vào cuộc chơi, việc thương mại hoá các đồ chơi trong game cũng đang được thừa nhận và bảo vệ. Việc chống gian lận trong game online vì thế hết sức được quan tâm từ cả phía người chơi lẫn nhà cung cấp. Các công cụ nhằm qua mặt sự kiểm soát của nhà cung cấp, chơi tự động trình độ cao luôn được giới game thủ săn lùng. Mikado và ReD Dragon của nhóm VNSECURITY sẽ trình bày chi tiết về các kỹ thuật chống gian lận trong game online cũng như những phương pháp, kỹ thuật để qua mặt các hệ thống này trong báo cáo "Cheating Massively Multiplayer Online Game for Fun and Profit" (Gian lận game online nhiều người chơi để tiêu khiển và kiếm lợi). Báo cáo này cũng đề cập đến một vấn đề hầu như còn rất ít được quan tâm ở Việt Nam là bảo mật và tính riêng tư của người chơi khi mà một số hệ thống chống gian lận của nhà cung cấp đang sử dụng kỹ thuật rootkit để ngăn chặn và phát hiện gian lận.
Điện thoại di động đang và sẽ là dịch vụ có tốc độ phát triển phi mã ở Việt Nam khi kho số đã "cháy" sau hàng loạt "cuộc đua" khuyến mãi của các nhà cung cấp dịch vụ. Bên cạnh đó, điện thoại di động đang được xem như một bước đệm của thanh toán trực tuyến với các hình thức mobile banking, thanh toán qua SMS do vẫn được xem là bảo mật (dựa trên sim) và tiện dụng, phổ biến với đại đa số người dùng. Có thể sau khi nghe báo cáo của Skyper (cựu tổng biên tập tạp chí Phrack) "Build your own GSM interceptor for $900" (Tự tạo bộ chặn bắt sóng GSM với giá 900 USD) sẽ có cái nhìn dè dặt hơn về tính bảo mật của giao thức viễn thông này.
Với sự bùng nổ của thị trường chứng khoán Việt Nam trong năm qua, nhiều ngân hàng thương mại, công ty chứng khoán được mở và ăn nên làm ra. Khác với kiểu ngân hàng truyền thống trước đây, ngày nay các ngân hàng phải kết nối với các ngân hàng khác và nối vào mạng để cung cấp nhiều dịch vụ hơn cho khách hàng. Các ngân hàng ở các nước đang có tốc độ phát triển nhanh thường "đi tắt đón đầu" ở bước này và để lộ ra những lỗ hổng có thể bị lợi dụng. Với kinh nghiệm làm việc trong lĩnh vực bảo mật ngân hàng, Fabrice A. Marie qua báo cáo "Banking Security in Fast Developing Countries" (Bảo mật ngân hàng cho các nước đang phát triển nhanh) sẽ đề cập đến những "vết xe đổ" cần tránh cho các ngân hàng trong vấn đề bảo mật. Các nguy cơ thực tế như gian lận ATM, thẻ tín dụng, ứng dụng nghiệp vụ, bảo mật mạng ngân hàng cũng được đưa thảo luận kèm với các giải pháp. Đây là chủ đề rất đáng quan tâm đối với giới lãnh đạo công nghệ thông tin và tài chính của các ngân hàng.
Mặc dù gặp khó khăn về tài trợ do tổ chức lần đầu và không chấp nhận các báo cáo giới thiệu sản phẩm, ban tổ chức hội thảo đang cố gắng để đạt được mục tiêu đề ra: một hội thảo bảo mật chất lượng mang tầm quốc tế.
-seekzero (nguồn)
Sự khác biệt của VNSECON07
Nếu bạn quan tâm đến tình hình an ninh mạng, chắc hẳn bạn cũng biết rằng, năm nào ở VN cũng có tổ chức một vài hội thảo bảo mật. Đa số các hội thảo này do một số công ty tổ chức với mục đích quảng bá sản phẩm, vì thế chất lượng của chúng luôn là đề tài gây nhiều tranh cãi. VNSECON07 là một hội thảo hoàn toàn khác.
Thay vì định ra trước danh sách các bài tham luận sẽ được trình bày như các hội thảo khác, BTC VNSECON07 đã gửi “Call For Papers” từ tháng 3/2007 để kêu gọi sự tham gia viết tham luận của các chuyên gia bảo mật từ khắp nơi trên thế giới. Sau gần 3 tháng, tổng cộng đã có hơn 30 bài tham luận được gửi đến.
Dựa trên số bài này, Hội đồng chuyên môn của VNSECON07, bao gồm toàn những tên tuổi lớn của cộng đồng bảo mật ở VN và trên thế giới, đã sàn lọc và chọn ra 20 bài tham luận hấp dẫn nhất, bao phủ tất cả các đề tài, từ an ninh ngân hàng đến khai thác điểm yếu trong các game online và xâm nhập vào mạng điện thoại GSM.
“Đây chính là quy trình mà tất cả các hội thảo bảo mật trên thế giới đều phải làm để đảm bảo chất lượng của hội thảo”, một thành viên trong Hội đồng chuyên môn VNSECON07 cho biết.
Ngoài các bài tham luận ra, VNSECON07 còn có một cuộc thi hacking mang tên Capture the Flag, là cuộc thi tấn công và phòng thủ được khởi nguồn từ hội thảo hacker Defcon được tổ chức hàng năm tại Las Vegas, Mỹ. Cuộc thi CtF tại VNSECON 07 năm nay sẽ được thiết kế và điều hành bởi nhóm các chuyên gia bảo mật đã thiết kế & điều hành CtF cho nhiều hội thảo như HackInTheBox và Bellua Cyber Security.
“Nếu như Singapore có SyScan, Malaysia có HackInTheBox, chúng ta sẽ có một VNSECON xứng tầm quốc tế”, một thành viên BTC VNSECON07 tự tin khẳng định.
Bất kể bạn là ai, nếu bạn quan tâm đến bảo mật, bạn nên tham dự hội thảo này. Đây là cơ hội có một không hai để bạn có thể lắng nghe các chuyên gia bảo mật hàng đầu VN và thế giới trình bày các kết quả nghiên cứu mới nhất của họ. Đăng ký tham dự hội thảo tại http://conf.vnsecurity.net.
-Thái
-----
Những chủ đề "nóng" ở VNSECON07
Chương trình hội thảo VNSECON 07 đã được công bố, chuyên đề kỹ thuật đã khá đầy đủ với hầu hết các báo cáo do diễn giả nước ngoài trình bày, chuyên đề chính sách và thương mại điện tử với chủ yếu các báo cáo trong nước hiện vẫn đang tiếp tục được cập nhật. Một số chủ đề khá "nóng" và thời sự được trình bày tại hội thảo lần này hứa hẹn sẽ thu hút được sự tham dự đông đảo của giới chuyên môn và giới lãnh đạo.
Sau cơn bão khai thác lỗi tràn bộ đệm của Microsoft IIS và SQL Injection trong ASP các web site trong nước hiện khá yên ổn do phần lớn đã nâng cấp hệ điều hành Windows 2003 và sử dụng .NET cho ứng dụng web. Do đó, báo cáo "Next Generation .NET Attacks" (Tấn công .NET thế hệ kế tiếp) của Paul Craig hứa hẹn sẽ đem đến cho cả giới quản trị mạng/bảo mật và hacker sự quan tâm đặc biệt. Paul sẽ trình bày các phương pháp khai thác lỗ hổng bảo mật dành cho .NET chưa từng được công bố.
Virus luôn là mối quan tâm lo lắng hàng đầu của các tổ chức và cá nhân khi mà các thông kê số lượng virus mới luôn tăng lên mỗi ngày. Làm thế nào các tổ chức như Symantec, Sophos, Message Lab, BKIS phát hiện và khống chế các virus mới? Paul Barrie Ducklin đến từ Sophos Australia sẽ mang đến một trình bày rất hấp dẫn và thú vị đối với tất cả người nghe: "Live Malware Attack" (Xem trực tiếp chương trình mã độc tấn công). Hẳn người dùng vẫn còn nhớ sự lây lan nhanh chóng mặt của virus Code Red khai thác lỗ hổng Windows, hay virus nội Gaixinh qua Yahoo Messenger. Làm thế nào các chương trình mã độc làm được điều đó? Làm thế nào các tổ chức phản ứng nhanh có thể khống chế chúng? Tất cả sẽ có trong phần minh họa trực quan hết sức sống động với các công cụ của Sophos - một trong các nhà cung cấp phần mềm nổi tiếng thế giới.
Cũng về chủ đề mã độc nhưng ở một khía cạnh khác: phân tích tĩnh thay vì phân tích động (trực tiếp). Dr. Jose Nazario, Kỹ sư bảo mật cao cấp của công ty bảo mật Arbor Networks sẽ cho thấy sức mạnh của công cụ tìm kiếm Google trong việc tìm kếm các lỗi bảo mật cũng như các chương trình mã độc với báo cáo "Googling for Malware and Bugs" (Tìm kiếm chương trình mã độc và lỗi bảo mật bằng Google). Đây là một phương pháp rất hữu ích cho những người nghiên cứu về bảo mật bởi cơ sở dữ liệu khổng lồ và sức mạnh tìm kiếm của Google là một công cụ vô song nếu biết khai thác.
Game online đang là một thị trường béo bở với rất nhiều nhà cung cấp trong nước nhảy vào cuộc chơi, việc thương mại hoá các đồ chơi trong game cũng đang được thừa nhận và bảo vệ. Việc chống gian lận trong game online vì thế hết sức được quan tâm từ cả phía người chơi lẫn nhà cung cấp. Các công cụ nhằm qua mặt sự kiểm soát của nhà cung cấp, chơi tự động trình độ cao luôn được giới game thủ săn lùng. Mikado và ReD Dragon của nhóm VNSECURITY sẽ trình bày chi tiết về các kỹ thuật chống gian lận trong game online cũng như những phương pháp, kỹ thuật để qua mặt các hệ thống này trong báo cáo "Cheating Massively Multiplayer Online Game for Fun and Profit" (Gian lận game online nhiều người chơi để tiêu khiển và kiếm lợi). Báo cáo này cũng đề cập đến một vấn đề hầu như còn rất ít được quan tâm ở Việt Nam là bảo mật và tính riêng tư của người chơi khi mà một số hệ thống chống gian lận của nhà cung cấp đang sử dụng kỹ thuật rootkit để ngăn chặn và phát hiện gian lận.
Điện thoại di động đang và sẽ là dịch vụ có tốc độ phát triển phi mã ở Việt Nam khi kho số đã "cháy" sau hàng loạt "cuộc đua" khuyến mãi của các nhà cung cấp dịch vụ. Bên cạnh đó, điện thoại di động đang được xem như một bước đệm của thanh toán trực tuyến với các hình thức mobile banking, thanh toán qua SMS do vẫn được xem là bảo mật (dựa trên sim) và tiện dụng, phổ biến với đại đa số người dùng. Có thể sau khi nghe báo cáo của Skyper (cựu tổng biên tập tạp chí Phrack) "Build your own GSM interceptor for $900" (Tự tạo bộ chặn bắt sóng GSM với giá 900 USD) sẽ có cái nhìn dè dặt hơn về tính bảo mật của giao thức viễn thông này.
Với sự bùng nổ của thị trường chứng khoán Việt Nam trong năm qua, nhiều ngân hàng thương mại, công ty chứng khoán được mở và ăn nên làm ra. Khác với kiểu ngân hàng truyền thống trước đây, ngày nay các ngân hàng phải kết nối với các ngân hàng khác và nối vào mạng để cung cấp nhiều dịch vụ hơn cho khách hàng. Các ngân hàng ở các nước đang có tốc độ phát triển nhanh thường "đi tắt đón đầu" ở bước này và để lộ ra những lỗ hổng có thể bị lợi dụng. Với kinh nghiệm làm việc trong lĩnh vực bảo mật ngân hàng, Fabrice A. Marie qua báo cáo "Banking Security in Fast Developing Countries" (Bảo mật ngân hàng cho các nước đang phát triển nhanh) sẽ đề cập đến những "vết xe đổ" cần tránh cho các ngân hàng trong vấn đề bảo mật. Các nguy cơ thực tế như gian lận ATM, thẻ tín dụng, ứng dụng nghiệp vụ, bảo mật mạng ngân hàng cũng được đưa thảo luận kèm với các giải pháp. Đây là chủ đề rất đáng quan tâm đối với giới lãnh đạo công nghệ thông tin và tài chính của các ngân hàng.
Mặc dù gặp khó khăn về tài trợ do tổ chức lần đầu và không chấp nhận các báo cáo giới thiệu sản phẩm, ban tổ chức hội thảo đang cố gắng để đạt được mục tiêu đề ra: một hội thảo bảo mật chất lượng mang tầm quốc tế.
-seekzero (nguồn)
Comments
Hy vọng bạn thaidn rút kinh nghiệm, khi trích dẫn lại bài người khác nên có sự đồng ý trước của tác giả, hoặc nêu rõ tên (đồng?) tác giả, hoặc ít ra cũng có link đến bài gốc.
-Thái
Em la Hoang Yen, sap toi co nha xuat ban ho nho em lam bien tap cho cuon sach The gioi bao mat va hacking Vietnam, em mong anh gop cho em vai bai viet cua anh, hay lich su ve HVA, hoac nhung cau chuyen ma anh biet, em thay anh rat gioi van va da doc nhieu bai cua anh rat hay la bo ich, mong anh giup em 1 so bai Ym cua em la hoangyenxinhdep hoac gui email cho em ve hoangyenxinhdep@yahoo.com