Posts

Showing posts from 2012

Thuyền nhân

Tôi cứ thấy rùng mình mỗi khi nhớ lại câu chuyện của anh Ngô Quang Hưng và những người vượt biên cùng với anh ấy [1]. Một phần vì anh Hưng là người mà tôi quen biết, nên dễ có liên hệ cảm xúc hơn so với những nhân vật khác trong sách. Một phần vì tôi thấy sợ cái ý nghĩ rằng chỉ cần một xáo trộn ngẫu nhiên nào đó thì rất có thể đã không có giáo sư Ngô Quang Hưng. Và, khiếp đảm hơn nữa, còn bao nhiêu giáo sư Ngô Quang Hưng khác đã mãi mãi nằm lại với biển trong những năm tháng đó.

Khi những người con của đất nước của dân tộc phải đánh đổi mạng sống để chiến đấu bảo vệ quê hương xứ sở, đó đã là một bi kịch lớn. Khi họ phải vào sinh ra tử chỉ hòng thoát ra khỏi chính đất nước của mình, đó là một tấn hài kịch cười ra nước mắt ràng rụa, mà những kẻ hậu sinh không được quyền quên.

[1] Được mô tả chi tiết trong phần I cuốn Bên Thắng Cuộc của Huy Đức.

Cập nhật chương trình TetCon 2013

Sau hơn 2 tuần thảo luận, cuối cùng ban chuyên môn cũng đã tạm thời chọn được 9 bài (bao gồm 4 bài của khách mời) cho TetCon 2013. Mời xem chi tiết ở đây.

Theo thông tin mà tôi nhận được thì anh Sơn và anh Quỳnh hứa hẹn sẽ có hai bài rất hay. Về phần tôi thì tôi đang phân vân giữa hai chủ đề: nói về tấn công CRIME hay là nói về quá trình đi từ lỗi của Flickr cho đến CRIME. Bài đầu thì sẽ rất kỹ thuật, bài thứ hai sẽ thiên về chia sẻ những kinh nghiệm mà chúng tôi đã thu được trên con đường nghiên cứu về các lỗ hổng mật mã trên WWW.

Chọn bài nào nhỉ?

Khoe sách

Image

Cập nhật nhanh TetCon 2013

Về khách tham dự: mặc dù chưa quảng bá rộng rãi nhưng cho đến hôm nay đã có gần 300 người đăng ký tham dự TetCon 2013, trong đó gần 150 người đã thanh toán và xác nhận vé. Bạn nào chưa đăng ký, hoặc đăng ký rồi mà chưa đóng tiền thì hãy đăng ký và đóng tiền sớm, kẻo hết vé :-).

CFP của TetCon cũng hết hạn cách đây hơn một tuần trước. Dẫu vậy để khuyến khích cộng đồng nghiên cứu còn ít ỏi của chúng ta, ban chuyên môn vẫn tiếp tục nhận bài cho đến trước khi công bố chương trình. Đến thời điểm này thì chúng tôi nhận được tổng cộng 16 bài, kể cả bài của khách mời và không kể một số bài quá cẩu thả bị loại ngay từ đầu.

Hiện giờ ban chuyên môn đang đánh giá và sẽ sớm có thông báo về các bài được chọn. Rất có thể chúng tôi sẽ tăng số lượng bài chính thức lên 8-9 bài, thay vì 7 như dự kiến.

Nhớ

Image

Thanh toán trực tuyến

Một vấn đề lớn trong việc thiết kếtetcon.org là thanh toán tiền vé. Năm ngoái có 400 người đăng ký nhưng chỉ có khoảng 200 đến dự. Việc đăng ký rồi không đi dự gây khó khăn cho ban tổ chức trong việc lên kế hoạch cho hội thảo, vì thế năm nay chúng tôi yêu cầu phải thanh toán tiền vé trước.

Tôi cần một dịch vụ cho phép tôi mở một tài khoản, nhấn vài nút là tạo thành một cái form thanh toán tiền vé để có thể đặt lên tetcon.org. Có bạn nào biết công ty nào ở Việt Nam cung cấp một dịch vụ như thế? Tôi đã thử tìm nhưng mà không thấy có công ty nào cung cấp được một dịch vụ như thế cả, đành phải thanh toán qua chuyển khoản ngân hàng. Tôi biết như thế là rất bất tiện, cho cả ban tổ chức lẫn khách tham dự, nhưng đành phải chịu thôi.

Thật ngạc nhiên là cả chục năm nay chúng ta cứ nói về tiềm năng của thị trường thanh toán trực tuyến ở Việt Nam, nhưng cho đến giờ vẫn chưa có một công ty nào thực sự sống được bằng dịch vụ này, như PayPal ở Mỹ. Các công ty mở ra rồi chết đi như rạ. Các công ty cò…

Làm web

tetcon.org trước đây được đặt trên Google Sites, nhưng không hiểu sao VNPT lại chặn dịch vụ này, thế là tôi phải chuyển nó qua một dịch vụ khác. Chuyển qua thì dễ rồi, cái khó là phải tự thiết kế lại toàn bộ website, chứ không thể dùng mẫu có sẵn của Google Sites nữa.

Ban đầu tôi tính thuê anh Min Tran, một designer mà tôi rất ngưỡng mộ. Nghĩ đi nghĩ lại thì thấy có lẽ tôi không có đủ tiền để thuê anh Min (tôi cũng không muốn anh ấy phải thiết kế cho tôi với giá rẻ), nên tôi quyết định tự thiết kế. Dẫu sao thì tôi cũng muốn tập thiết kế web từ lâu rồi.

Loay hoay hơn một tuần thì cũng thành ra phiên bản như bây giờ. Logo là do anh conmale thiết kế, phần còn lại thì tôi làm với Bootstrap và Google Docs. Có nhiều chỗ tôi chưa thích lắm, nhưng nhìn chung là tôi hài lòng với bản thiết kế này.

Bootstrap rất hữu ích. Bootstrap vừa giải quyết giúp tôi các vấn đề cơ bản - nhưng rất quan trọng - như layout, grid system, reset, responsive UI, v.v. vừa cung cấp rất nhiều UI element mà bất kỳ webs…

Mời đăng ký tham dự TetCon 2013

Tôi vui mừng thông báo là chúng tôi đã chốt được địa điểm và thời gian tổ chức TetCon 2013. Hội thảo sẽ được tổ chức vào ngày 15/1/2013, tại đại học Bách Khoa Tp.HCM. Hôm nay chúng tôi bắt đầu nhận đăng ký tham dự tại địa chỉ http://tetcon.org/register.html.

Cảm ơn và hẹn gặp lại ở TetCon 2013!

Hai tham luận "nặng ký" tại TetCon 2013

CFP của TetCon 2013 đã đi được nửa chặng đường. Tổng kết lại thì có một tin vui và một tin buồn.

Tin buồn là số lượng bài mà chúng tôi nhận được từ cộng đồng trong nước ít và chất lượng chưa cao. Đây không phải là một tin quá ngạc nhiên, bởi số lượng người làm an toàn thông tin ở Việt Nam vẫn rất ít. Chúng ta có Hiệp hội ATTT, nhưng trong đó có nhiều CISO hơn là chuyên gia kỹ thuật lành nghề. Chúng ta có giải thưởng ATTT hàng năm, nhưng giải này trao cho các CISO, chứ không phải dành cho các hacker. Đây cũng là tình trạng chung của ngành công nghệ thông tin ở Việt Nam: quá nhiều nhà quản lý và quá ít kỹ sư giỏi.

Một điểm mới trong hội thảo năm nay là sẽ có một số diễn giả người nước ngoài, trình bày bằng tiếng Anh -1-. Việc mở rộng TetCon cho các diễn giả nước ngoài vừa giúp giải quyết vấn đề thiếu bài, vừa đem đến cho TetCon những cập nhật mới nhất trong ngành an toàn thông tin trên thế giới. Dẫu vậy nếu "quốc tế hóa" TetCon quá sớm và quá nhanh, chúng tôi e rằng cộng đồng …

Rành sáu câu

Bạn Triết có hỏi tôi "Thế nào là rành sáu câu một lĩnh vực nào đó?". Tôi nghĩ rành sáu câu ít nhất phải như thế này (tương đương mức 0IO - Không dốt):
Bạn có thể đọc hiểu những thảo luận, tài liệu, sách vở, tin tức... liên quan đến lĩnh vực đó.Bạn biết những vấn đề gì đã được giải quyết và cách giải quyết chúng.Bạn biết khi người ta nói sai.Bạn đọc phần giới thiệu một bài báo và biết ngay nó có quan trọng hay không.Bạn biết những nhân vật nổi tiếng và các kết quả chính của họ. --

Có bạn nào biết tại sao lại là rành sáu câu, mà không phải năm hay bảy câu không? :-)

Giấc mơ Mỹ

Image
Một nét văn hóa thú vị của người Mỹ là họ đầu tư nhiều thời gian, công sức và tiền bạc cho các thú vui chơi ngoài trời. Hầu hết các công ty, trường học hay cơ quan nhà nước đều nghỉ hẳn hai ngày cuối tuần và thay vì chỉ nằm ì ở nhà ăn ngủ xem phim thì người ta đi câu cá, hiking, leo núi, lặn biển... Mặc dù chỉ là thú vui, nhưng họ chơi rất bài bản với đầy đủ trang thiết bị dụng cụ và kế hoạch tập luyện để chinh phục các thử thách của môn chơi.
Tôi có một anh đồng nghiệp trong tuần làm việc rất kinh, 8h-9h sáng là có mặt và hầu như ngày nào cũng 7h tối mới ra khỏi văn phòng. Hỏi chuyện mới biết cuối tuần anh này đi chơi còn kinh hơn nữa: tuần nào cũng đi chơi rock climbing.
Tôi nghĩ thái độ "làm ra làm, chơi ra chơi" đến từ niềm tin vào giấc mơ Mỹ: nếu bạn chăm chỉ làm việc thì nước Mỹ sẽ cho bạn thời gian, sức khỏe và tiền bạc để theo đuổi những gì bạn yêu thích trong một môi trường an toàn và tự do.
Những gì "mắt thấy tai nghe" sau gần hai năm ở đây đã làm cho tô…

Làm resume

Gần một năm trước tôi có viết thế này trong bài Kinh nghiệm tìm việc làm ở Silicon Valley:
Bạn cần hai hồ sơ khác nhau. Một hồ sơ trên LinkedIn để thu hút các cơ hội nghề nghiệp từ HR và những nguồn khác. Hồ sơ thứ hai là hồ sơ mà bạn gửi cho những nhà tuyển dụng khi họ yêu cầu.  Với hồ sơ LinkedIn, bạn nên tập trung vào các mảng kỹ năng chuyên môn, trình độ học vấn và các giải thưởng nếu có. Sự thật là những tay "săn đầu người" thường đánh giá ứng viên thông qua các từ khóa ;-), nên đây là nơi mà bạn càng có nhiều từ khóa nổi bật càng tốt. Đó là lý do tôi khuyên bạn nên tìm học các lớp học miễn phí của Stanford, bởi nếu bạn đạt được điểm tốt, thì bạn có thể có được từ khóa Stanford rất nặng ký trong hồ sơ của bạn.  Với hồ sơ mà bạn gửi cho nhà tuyển dụng, bạn phải khiêm tốn. Càng khiêm tốn càng tốt. Với người có ít hơn 10 năm kinh nghiệm làm việc, tôi nghĩ 1 trang A4 là đủ. Hồ sơ nên làm bằng LaTex, xuất ra tệp PDF với các đề mục chính như thông tin liên lạc, học vấn, kinh…

Á Căn Đình - ekoparty 2012

Image
Lý do "chính thức" chuyến đi Á Căn Đình của tôi là để tham dự ekoparty 2012 và trình bày tấn công CRIME (niềm vui nho nhỏ: lần đầu tiên một nghiên cứu của tôi được viết thành bài riêng trên Wikipedia :-).
Người ta nói "một bức hình có giá trị bằng ngàn lời nói", nên thôi bài này chỉ có hình, phần lớn được chôm ở đây.


Á Căn Đình - Lan man

Image
Cuối cùng sau bao nhiêu ngày ròng rã làm thủ tục giấy tờ chúng tôi cũng đến được Á Căn Đình. Khó khăn lớn nhất, như mọi khi, là visa.

Tôi đã đến Á Căn Đình một lần hồi còn ở Việt Nam. Lúc đó thủ tục khá nhiêu khê và tôi còn phải bay ra Hà Nội hai lần mới lấy được visa. Tôi cứ ngỡ nếu đã sống ở Mỹ rồi thì mọi việc sẽ dễ dàng hơn, nhưng không phải như thế. Tôi vẫn phải bay đến một thành phố khác để phỏng vấn visa, để passport lại, rồi quay về nhà thấp thỏm chờ đợi. Cho đến ngày cuối cùng trước chuyến đi tôi mới nhận lại được passport, sau khi đã gọi cho FedEx cả chục lần. Nếu ông Thomas Friedman là người Việt Nam thì cuốn sách nổi tiếng của ông ấy có lẽ sẽ mang tên là "Thế giới lồi lõm (vì visa)". Nhưng thôi, dẫu sao thì chúng tôi cũng đã ở đây.

O.o
Sáng thứ hai, đường từ sân bay về trung tâm thành phố đông nghẹt người và xe. Thấp thoáng hai bên đường là những tòa nhà, hình như là chung cư, nhìn cũ và bẩn. Buenos Aires đang ở cuối đông đầu xuân. Trời lạnh, nhiều gió, xám xịt …

TetCon 2013 - Call for Papers

Đến hẹn lại lên, hội thảo TetCon 2013 sẽ được tổ chức vào ngày 11/1/2013 tại Tp.HCM (địa điểm cụ thể sẽ được thông báo sau). Hôm nay chúng tôi bắt đầu nhận bài tham luận tại địa chỉ https://sites.google.com/a/tetcon.org/2013/cfp.

Đề tài
Tham luận có thể thuộc các chủ đề như:
* Điện toán đám mây.
* Thương mại điện tử.
* Thiết bị di động.
* Tấn công từ chối dịch vụ.
* Trình duyệt web và HTML5.
* Ứng dụng web và các khung ứng dụng.
* Phần mềm độc hại và an toàn cho người dùng cuối.
* Phòng chống và phát hiện xâm nhập.
* Theo dõi và quản trị an toàn mạng.

Chúng tôi khuyến khích những tham luận bàn về các đề tài như:
* An toàn trong sử dụng điện toán đám mây.
* Đảm bảo an toàn cho một trang ngân hàng điện tử, thanh toán điện tử hoặc website buôn bán sản phẩm.
* Lập trình an toàn trên Android hoặc iOS.
* Những tính năng mới trong HTML5 và ảnh hưởng của chúng đến sự an toàn của web
* Kiện toàn an ninh cho những khung ứng dụng quen thuộc như .NET, LAMP, Ruby On Rails, Django, v.v.
* Bài học r…

Thiếu tá Buang, vợ và 5 con

Image
Đây là một trong những bức ảnh nổi tiếng nhất của chiến tranh Việt Nam. Có lẽ nó cũng không mấy xa lạ với nhiều người trong chúng ta, bởi lẽ năm nào người ta cũng chiếu trên tivi vào dịp 30 tháng 4.
Tôi không nhớ tôi thấy bức ảnh này lần đầu tiên là khi nào, nhưng tôi vẫn còn nhớ câu chuyện của nó: đây là cảnh lính Mỹ và miền Nam Việt Nam vứt trực thăng xuống biển trong khi tháo chạy khỏi Sài Gòn vào ngày cuối cùng của chiến tranh Việt Nam. Tại sao họ lại đẩy trực thăng xuống biển? Tôi không nhớ ai đã trả lời câu hỏi này cho tôi, người kể truyện trên tivi hay trên báo đài hay ở trường học hay là do tôi tự nghĩ ra, nhưng câu trả lời mà tôi biết đã luôn là: họ không muốn những trực thăng này rơi vào tay của quân đội Bắc Việt Nam.
Thực sự thì đây cũng là một câu trả lời khá hợp lý, mà có lẽ tôi sẽ không bao giờ thắc mắc nếu không vô tình đi thăm viện bảo tàng cũng là hàng không mẫu hạm USS Midway ở San Diego. Hóa ra có một câu chuyện khác, rất khác so với những gì tôi đã nghĩ, đằng sau …

Tìm lổ kiếm tiền (2)

Image
Cập nhật: viết thêm một chút về tìm lổ lấy tiền.

Nếu không làm việc ở Mỹ thì có thể tôi sẽ về Việt Nam làm tư vấn tự do và tìm lổ kiếm thêm. Tôi nghĩ nếu siêng năng thì thu nhập từ việc tìm lổ có thể đảm bảo được một cuộc sống trung lưu ở Sài Gòn.

Chương trình trao thưởng của Google chỉ trong vòng một năm đã trao hơn 400.000 USD tiền thưởng cho hơn 200 người báo lỗi (Facebook cũng đã trả số tiền tương tự sau 6 tháng). Có người kiếm được 10.000-20.000 USD/tuần từ chương trình này. Tôi không biết Nils Juenemann kiếm được tổng cộng bao nhiêu trong năm vừa rồi, nhưng với 86 lỗi được chấp nhận thì con số đó chắc chắn lớn hơn 50.000 USD. Đây là thu nhập trong mơ của nhiều người, kể cả ở Mỹ. Đó là chưa kể cơ hội nghề nghiệp. Team của tôi luôn ưu tiên tuyển những người đóng góp thường xuyên vào chương trình này. Nhiều người trong team được mời phỏng vấn và offer công việc vì đã phát hiện những lỗ hổng thú vị.

Nếu muốn làm an ninh ứng dụng mà không biết bắt đầu từ đâu thì có lẽ một cách đơn g…

Ai cũng có tội

Vừa rồi ở nước Nga người ta bắt bỏ tù một ban nhạc vì dám hát nhạc chế nhạo Putin. Àh không, tội của họ là vi phạm trật tự công cộng, chứ ở một nước dân chủ như Nga thì không thể bị bỏ tù vì chế nhạo tổng thống.

Thế mới hiểu tại sao người ta nói ở Nga luật pháp được tạo ra bởi các nhà thơ và thực thi bởi những nhà phê bình. Các điều luật bao giờ cũng có thể hiểu hoặc diễn dịch theo nhiều cách khác nhau. Cùng một hành vi lúc thì vi phạm pháp luật lúc thì không, không ai biết đường nào mà lần.

Thế là dần dần ai cũng có tội và chính quyền có thể bắt bất kỳ ai bất kỳ lúc nào họ muốn.

Riêng tư trên Internet

Chép lại đây bài trả lời phỏng vấn một tạp chí về sự riêng tư trên Internet. Bài này dài hơn bài đăng báo, vì tôi biết bài đăng báo sẽ bị cắt.

--


Xin chào anh, hiện nhiều ý kiến lo lắng rằng việc sử dụng quá nhiều các website nước ngoài từ mạng xã hội đến các công cụ tìm kiếm sẽ làm thông tin người dùng Việt Nam mất an toàn. Ý kiến của anh như thế nào về vấn đề này?

Tôi hiểu câu hỏi của anh là việc sử dụng các sản phẩm và dịch vụ của các công ty nước ngoài có thể khiến cho thông tin cá nhân của người dùng Việt Nam bị khai thác và lợi dụng bởi các công ty này.
Tôi nghĩ việc này không hẳn là xấu 100%.


Trước tiên, tôi nghĩ đây là sự công bằng. Các công ty như Google hay Facebook cung cấp dịch vụ của họ hoàn toàn miễn phí cho tất cả mọi người. Đổi lại các công ty này yêu cầu được quyền sử dụng thông tin mà chúng ta cung cấp cho họ để kiếm tiền. Cách họ kiếm tiền hầu hết cũng xoay quanh việc hiển thị quảng cáo và tôi thấy việc này cũng không gây hại đến sự an toàn của người dùng.


Ngoài ra, dữ l…

Luyện đá

Lý Tiểu Long nói rằng ông không sợ những kẻ luyện 10.000 cú đá khác nhau, mà ông chỉ sợ những kẻ luyện một cú đá duy nhất 10.000 lần.


Câu hỏi là: nên chọn cú đá nào để luyện? 


Để tôi kể cho bạn nghe một câu chuyện về Edward Witten mà có lần tôi nghe lóm [1]. Witten học đại học ngành chính là lịch sử và ngành phụ là ngôn ngữ. Sau khi tốt nghiệp, ông ấy nghĩ rằng mặc dù những ngành này rất lý thú, nhưng chúng sẽ không thể giúp ông kiếm sống được. Suy đi tính lại, Witten thấy ngành mà ông thực sự muốn học là kinh tế. Thế là ông ấy đi đăng ký học cao học về kinh tế và được trường đại học Wiscosin chấp nhận. Thế nhưng, chỉ sau vài học kỳ, Witten lại bỏ ngang chương trình học này, vì "Tôi thấy không thích nữa".


Vậy là lịch sử không, ngôn ngữ không và bây giờ là kinh tế cũng không phải là thứ Witten muốn học. Làm gì bây giờ? Bất thình lình Witten trở thành trợ lý báo chí cho thượng nghị sĩ George McGovern, người đang tranh cử tổng thống Mỹ. Witten viết các bài báo chính trị phản đối c…

Làm an toàn thông tin thì học gì?

1 Giới thiệu

Tôi nhận được thư từ của nhiều bạn hỏi về việc nên học gì và như thế nào để có thể tìm được việc làm và làm được việc trong ngành an toàn thông tin (information security). Tôi nghĩ việc đầu tiên bạn cần phải làm là in toàn bộ bài viết "Làm thế nào để trở thành white hat hacker" ra giấy, nhưng đừng đọc, mà hãy để chúng trong toilet khi nào cần thì xài dần.

Quay trở lại câu hỏi. An toàn thông tin là một ngành rộng lớn với rất nhiều lĩnh vực. Những gì tôi biết và làm được chỉ gói gọn trong một hai lĩnh vực. Có rất nhiều mảng kiến thức cơ bản mà tôi không nắm vững và cũng có nhiều kỹ năng mà tôi không thạo. Hack tài khoản Yahoo! Mail là một trong số đó. Tôi cũng không biết cách tìm địa chỉ IP của bạn chat :-(.

Xét theo năm mức ngu dốt thì tôi nằm ở mức "1OI - thiếu kiến thức" ở hầu hết các lĩnh vực trong an toàn thông tin. Cũng có lĩnh vực tôi nằm ở mức "2OI - thiếu nhận thức". Nhiều lần đọc sách vở hoặc nói chuyện với đồng nghiệp, tôi hay nhận r…