Posts

Showing posts from 2018

Mastodon

Image
Hôm trước tôi giới thiệu Mastodon hơi vội vàng, nên giờ tôi muốn chia sẻ thêm một chút thông tin về công nghệ mạng xã hội này. Tôi gọi là công nghệ mạng xã hội vì Mastodon cho phép chúng ta tự xây dựng mạng xã hội cho riêng mình và kết nối với các mạng xã hội khác trên toàn thế giới. Nói cách khác, Mastodon là mạng của mạng.

Mastodon phổ biến ở các nước Nhật, Đức, Áo, Pháp và đã có tổng cộng hơn 1.4 triệu người dùng. Dự án của Mastodon trên GitHub thu hút 470 lập trình viên tham gia đóng góp, chứng tỏ nó là một dự án nghiêm túc và được sự ủng hộ của cộng đồng.

Mỗi người có thể tham gia vào một hoặc nhiều mạng Mastodon có sẵn (danh sách). Các mạng này liên kết với nhau, tin nhắn từ mạng này có thể xem ở mạng khác (mỗi mạng Mastodon cũng giống như một Page hoặc một Group trên Facebook, nhưng không bị Facebook kiểm soát). Ai không thích các mạng có sẵn, có thể tự thiết lập một mạng với luật chơi của riêng mình. Các thống kê về mạng Mastodon (xem ở https://dashboards.mnm.social và https…

Minds không mã hóa nội dung chat

Trong bài trước tôi có nói Minds mã hóa nội dung chat, nhưng lưu chìa khóa giải mã trên máy chủ. Chìa khóa giải mã được bảo vệ bằng mật khẩu của người dùng, nhưng mật khẩu này máy chủ biết. Nói cách khác, máy chủ Minds hoàn toàn có thể giải mã nội dung chat.

Tôi nhớ ra tôi chỉ mới xem mã nguồn app của Minds trên điện thoại, chưa xem phiên bản web ở địa chỉ https://minds.com. Tôi xem thì phát hiện phiên bản này không mã hóa nội dung chat. Nói cách khác, máy chủ Minds không cần làm gì cũng có thể xem được nội dung chat.

Nếu bạn sử dụng Minds, không nên gửi những nội dung nhạy cảm qua chat.

Tôi đã từng nghĩ Minds muốn bảo vệ riêng tư của người dùng, chỉ là họ không biết làm sao. Để giúp đỡ họ, tôi thông báo những lỗ hổng này cho Minds và đề nghị họ phải gỡ bỏ quảng cáo về "end-to-end encryption", cảnh báo người dùng về điểm yếu trong dịch vụ của họ và ngay lập tức tiến hành sửa lỗi.

Nhưng tôi đã lầm. Minds không gỡ bỏ quảng cáo, không cảnh báo người dùng và cũng không có động t…

Luật chơi

Thử tưởng tượng Việt Nam tham dự World Cup. Đội bóng của chúng ta thi đấu với đội chủ nhà nhiều tiền của và quyền lực. Đá được vài phút ai cũng thấy trọng tài có vẻ thiên vị chủ nhà. Nói chung luật chơi rất không công bằng. Bạn nghĩ chúng ta nên tiếp tục thi đấu hay là nghỉ giữa chừng?

Nếu nghỉ, chúng ta sẽ bị xử thua 0-3, chấm hết. Khiếu kiện gì đi chăng nữa thì cũng không thay đổi kết quả. Chúng ta cũng không có nhiều bằng chứng để khiếu kiện, vì mới thi đấu vài phút thôi mà.

Dân chuyên nghiệp phải chơi đến cùng, dẫu luật chơi thế nào đi chăng nữa. Nếu thắng thì chiến thắng đó rất tuyệt vời. Nếu thua, không sao cả, không ai kỳ vọng ta sẽ chiến thắng. Cách chúng ta thi đấu máu lửa, cống hiến, nhưng thua vì trọng tài và chủ nhà chơi xấu sẽ khiến khán giả phải suy nghĩ.

Đối thủ càng muốn ta bỏ cuộc thì ta càng phải chơi hết mình. Chúng ta có thể giận dỗi, dừng trận đấu lại để nói chuyện với trọng tài, nhưng nếu muốn có cơ hội chiến thắng thì phải tiếp tục chơi cho đến hết trận.

Chúng…

Chia sẻ dữ liệu dân cư: nguy cơ và gợi ý

Chủ tịch Hà Nội Nguyễn Đức Chung đề xuất chia sẻ dữ liệu trên chứng minh thư và hộ chiếu của người dân với các ngân hàng, cơ quan công chứng và các ngành khác. Việc người đứng đầu thủ đô muốn làm cho cuộc sống người dân thuận tiện hơn và kiếm thêm một ít tiền cho ngân sách là đáng hoan nghênh. Dẫu vậy tôi nghĩ cần phải cẩn trọng trong việc chia sẻ dữ liệu và cách thức chia sẻ, để không xâm phạm quyền riêng tư của người dân, tạo điều kiện cho tội phạm đánh cắp danh tính (identity theft) bùng nổ, hoặc tạo ra một mục tiêu lý tưởng cho các hacker Trung Quốc.

Thông tin trên chứng minh thư là PII, không thể tùy tiện chia sẻ
Chủ tịch Hà Nội nói rằng thông tin trong chứng minh thư và hộ chiếu không phải là bí mật đời tư, nên bà con đừng lo. Thông tin trên chứng minh thư là dạng thông tin xác định được danh tính và nơi ở của từng người, thuật ngữ chuyên ngành gọi thông tin này là personally identifying information (PII). PII thường không quá nhạy cảm, nhưng khi được sử dụng để liên kết các ngu…

Facebook và Minds

(trả lời email của một bạn sinh viên hỏi ý kiến về mạng xã hội Minds)

Bài này đã đăng trên tờ Người Đô Thị.

Tôi không có Facebook, tôi đã xóa tài khoản từ năm 2010, vì tôi muốn bảo vệ cuộc sống riêng tư và năng suất lao động.

Tôi không thích Facebook vì họ có quá nhiều thủ thuật khiến người dùng trở nên phụ thuộc, luôn bất an không biết mình có đang bỏ lỡ gì hay không, ray rức bực dọc nếu chưa "up hình" hay cập nhật status mới, báo cho cả thế giới biết mình đang nghĩ gì làm gì ở đâu với ai.

Thiền sư Thích Nhất Hạnh nói muốn thảnh thơi, hạnh phúc thì phải an trú trong hiện tại, nhưng Facebook khiến người ta lúc nào cũng sống ở tương "like". Lúc ở nhà thì muốn đi chơi để có hình mới "up Facebook", lúc đi chơi chỉ muốn về nhà để "up hình", chưa về tới nhà nhưng trong đầu đã lởn vởn suy nghĩ "hình này nên viết chú thích ra sao".

Tôi hiểu có cách sử dụng Facebook thông minh, biến nó thành công cụ để cải cách xã hội, như nhiều nhà hoạt động ở…

Thư ngỏ thứ hai gửi Quốc hội về Dự thảo Luật An Ninh Mạng

Image
Kính thưa Quốc hội,
Cách đây 10 ngày, thông qua báo chí và mạng xã hội, với tư cách một chuyên gia an ninh mạng, tôi đã gửi đến Quốc hội một lá thư ngỏ, đề nghị không thông qua Dự thảo Luật An Ninh Mạng và đề xuất những điều chỉnh cụ thể giúp kiện toàn an ninh mạng quốc gia và đồng thời đảm bảo phát triển kinh tế và tự do của người dân. Lá thư của tôi đã lan truyền nhanh chóng và nhận được sự ủng hộ mạnh mẽ của dư luận. Đại biểu Nguyễn Lân Hiếu nói rằng lá thư đã giúp ông có thêm nhiều thông tin hữu ích.
Dẫu vậy chỉ trong vài giờ nữa Quốc hội, nhiều khả năng, sẽ vẫn bỏ phiếu thông qua Dự thảo Luật. Tôi viết lá thư thứ hai này, với tâm thức của một người con xa nhà nhưng không lúc nào thôi trăn trở, mong muốn đất mẹ Việt Nam giàu có, thịnh vượng. Tôi xin kể những câu chuyện, những suy tư về mối liên hệ giữa tự do, phát triển và công nghệ, chỉ với hi vọng Quốc hội sẽ hiểu thêm về tầm quan trọng của tự do trên Internet và từ đó hoãn thông qua Dự thảo Luật.
Kính thưa Quốc hội,
Tôi may mắn thu…

Thư ngỏ gửi Quốc hội về dự thảo luật An Ninh Mạng

Một bản tóm gọn của lá thư này đã đăng trên tờ Một Thế Giới.

Tôi xin lỗi vì thư dài. Tôi đã cố gắng viết ngắn lại, đã chỉnh sửa nhiều lần và đây là phiên bản vừa ý nhất. Hi vọng mọi người sẽ đọc hết, cho ý kiến và chia sẻ với nhiều người khác. Dự thảo Luật An Ninh Mạng, nếu được Quốc hội thông qua vào ngày 12/6/2018, sẽ ảnh hưởng trực tiếp đến tất cả chúng ta, không chừa một ai, nên tôi hi vọng sẽ có nhiều người hơn hiểu các vấn đề dự thảo này.

Ở Mỹ người dân có thể gọi điện thoại hoặc email cho dân biểu của họ để phản ánh vấn đề mà họ quan tâm. Ở Việt Nam mỗi thành phố hay tỉnh đều có Văn phòng đoàn Đại biểu Quốc hội. Nếu bạn đồng ý với những gì tôi viết trong thư, tôi đề nghị scan rồi gửi email, hoặc gửi fax, hoặc in ra và gửi thư đến văn phòng nơi bạn đang sinh sống.

Chân thành cảm ơn những người bạn không tiện nêu tên ở đây đã đọc và chỉnh sửa các bản nháp.

Cập nhật: thư ngỏ thứ hai, trước giờ Quốc hội bấm nút.

--

Kính thưa Quốc Hội,
Tôi là Dương Ngọc Thái, kỹ sư an ninh mạng đang làm vi…

Băm mật khẩu đúng cách

1/ Sử dụng scrypt, bcrypt, PBKDF2 hoặc argon2. Thuật toán nào trong số này cũng được, cứ chọn một cái mà dùng, thay thế cho MD5, SHA2, v.v.
2/ Băm _mỗi_ mật khẩu với một "muối" (salt) ngẫu nhiên dài 64 bit. Muối này không cần phải giữ bí mật, lưu chung với chỗ lưu mật khẩu cũng được.
3/ (Nâng cao) Băm _tất cả_ mật khẩu với một "tiêu" (pepper) ngẫu nhiên dài 128 bit. Tiêu này cần được giữ bí mật, lưu ở một máy chủ khác với chỗ lưu mật khẩu.
Tại sao phải làm những bước này? Tại sao thêm muối thôi không đủ? Tại sao cần phải có cả tiêu?
Các câu hỏi này tôi để dành cho các bạn sinh viên như là bài tập về nhà. Các bạn có thể trả lời vào phần comment bên dưới hoặc là email cho tôi ở thaidn@gmail.com.

Khoe cho các bạn sinh viên có cảm hứng trả lời câu hỏi: tôi thiết kế thuật toán băm mật khẩu đang được Google sử dụng để bảo vệ mật khẩu của tất cả người dùng.

Người Việt Nam chọn mật khẩu như thế nào?

(vào đây để kiểm tra xem thông tin cá nhân của bạn có bị lộ hay không - công cụ này do anh Quân Nguyễn Đức xây dựng)

Trong số 160 triệu tài khoản VNG bị lộ có gần 75 triệu tài khoản là của những người có thể xác định được chính xác ngoài đời. Gắn với 75 triệu tài khoản này là hơn 22 triệu mật khẩu (vì ý tưởng lớn gặp nhau, người ta hay chọn mật khẩu giống nhau -- các bạn có biết là có website hẹn hò chuyên ghép đôi những người chọn cùng mật khẩu?)

Các mật khẩu này được mã hóa với một thuật toán rất dễ bị bẻ gãy (dành cho dân trong nghề: thuật toán MD5, một round duy nhất, không salt gì cả). Tôi tin đây là vụ lộ mật khẩu của người Việt Nam lớn nhất từ xưa đến nay và việc bẻ khóa các mật khẩu này sẽ cung cấp một nguồn thông tin hiếm hoi về cách mà người Việt Nam chọn những bí mật riêng tư nhất của mình. Việc phân tích các mật khẩu sẽ giúp chúng ta biết được mật khẩu nào yếu và từ đó chọn cho mình mật khẩu tốt nhất. Và đương nhiên ai mà không muốn biết thằng Tèo nhà hàng xóm chọn mật khẩu…

Vụ lộ 160 triệu tài khoản của VNG

Cập nhật 2/5/2018: con số tài khoản có thông tin cá nhân tăng từ 34 triệu lên 75 triệu vì tôi tính luôn những tài khoản có tên và ngày sinh. Tôi thấy tính như vầy chính xác hơn.

Cập nhật 5/5/2018: vào đây để xem có lộ thông tin hay không. Công cụ do bạn Quân Nguyễn Đức làm.

Cập nhật 9/5/2018: Google đã gửi thông báo cho khoảng 500.000 người có tài khoản Gmail bị lộ mật khẩu.

Cuối tuần rồi, ngay trước kỳ nghỉ lễ dài ngày ở Việt Nam, một người nào đó tung lên mạng bộ cơ sở dữ liệu người dùng của VNG, công ty game và Internet lớn nhất Việt Nam. Tôi tìm được một bản copy và tôi đánh giá đây là dữ liệu thật, trải dài từ 2005 đến giữa năm 2015, chứa khoảng 160 triệu tài khoản, bao gồm thông tin cá nhân, mật khẩu và câu trả lời cho câu hỏi bí mật. Đây là vụ lộ dữ liệu lớn nhất trong lịch sử ở Việt Nam, có thể xem là một vụ Equifax của Việt Nam. Nếu bạn từng chơi game hay sử dụng các sản phẩm của VNG, bạn nên đổi mật khẩu và câu trả lời cho câu hỏi bí mật càng sớm càng tốt.

Nếu có thời gian t…

Mẹo phỏng vấn tìm việc

Các bạn sinh viên mới ra trường thường hay nhào vào phỏng vấn ngay ở chỗ mình muốn làm nhất. Nhưng chỗ mình muốn thường là chỗ nhiều người khác muốn, phỏng vấn mấy chỗ đó khó, tỉ lệ chọi cao, được họ mời phỏng vấn đã khó, vượt qua càng khó hơn. Nếu mới ra trường mà nhào vô những chỗ đó liền không khác gì lấy trứng chọi đá.

Tại sao các bạn không phỏng vấn lòng vòng lấy kinh nghiệm, chừng nào cứng cáp rồi hẵng phỏng vấn chỗ mình thích nhất?
Đi phỏng vấn thử nhiều nơi sẽ giúp bạn tự tin, bình tĩnh và có nhiều cơ hội hơn để phát hiện và vá những lỗ hổng trong kiến thức và kỹ năng giao tiếp. Nếu tiếng Anh nói người ta không nghe được thì về tập nói chậm lại, phát âm từng chữ cho rõ ràng hơn, tập theo các video của anh Dan Hauber. Nếu người ta hỏi về networking ú ớ không biết gì cả thì bỏ ngay cái dòng "expert in networking" trong resume và lấy cuốn TCP Illustrated Vol I ra đọc lại. Đừng để đến khi phỏng vấn cho dream job của mình mới phát hiện ra mình còn thiếu cái này hụt chỗ k…

Làm thuê và làm chủ

Bà chủ một doanh nghiệp đăng đàn trên VNExpress viết rằng:
Đã vậy, sau khi cứng cáp một chút, nhiều bạn ngay lập tức ngó nghiêng, nhảy việc. Thực tế đó khiến nhiều doanh nghiệp rất ngại tuyển sinh viên mới ra trường mà luôn yêu cầu tối thiểu vài năm kinh nghiệm. Nó cũng gây ấn tượng không đẹp đến hình ảnh, uy tín, chất lượng của lao động Việt Nam trong con mắt nhà tuyển dụng nước ngoài. Tôi có cảm giác bà chủ doanh nghiệp này nghĩ rằng thuê sinh viên mới ra trường là ban ơn cho họ, nên sinh viên cứng cáp rồi bỏ đi là đồ vong ơn. Mối quan hệ giữa nhân viên với công ty là một hợp đồng làm ăn, thuận mua vừa bán, chẳng có ơn nghĩa gì ở đây cả. Nếu người làm chủ cảm thấy ban phát ơn huệ khi thuê một ai đó, tức là họ đã thuê nhầm người. Nếu người làm thuê không muốn ra đi vì cảm thấy phải trả ơn, tức là họ đã ở nhầm chỗ.

Nếu là chủ, khi nhân viên không thấy hạnh phúc, muốn ra đi, tôi sẽ làm hết sức để họ hạnh phúc, giữ họ ở lại. Tôi sẽ tạo ra dự án thú vị, đào tạo, huấn luyện, tạo điều kiện…

My crypto team is hiring!

Job description: https://careers.google.com/jobs#!t=jo&jid=/google/information-security-engineer-1160-n-mathilda-ave-sunnyvale-ca-94089-3705990001&.

My team works to improve the security and privacy of billions of people using Google and Alphabet products. We are looking for strong Software Engineer/Security Engineer candidates to join our crypto team, whose mission is to help developers at Google and elsewhere use cryptography correctly. We're the creators of Tink and Project Wycheproof.

As a member of this team, you help other Google engineers analyze, evaluate, design and implement cryptosystems. If you're a Software Engineer interested in building crypto software, you'll contribute to the development of Tink and tailor-made cryptosystems that we design for our products. If you're a Security Engineer interested in finding crypto vulnerabilities, you'll work on Wycheproof, and own security reviews and consulting for new crypto deployments.

Our team is bas…

USDV

(Xem thêm Tại sao Việt Nam nên "ôm hôn" Bitcoin)

Ý tưởng điên: ngân hàng nhà nước Việt Nam (NHNNVN) phát hành USDV, một đồng tiền mật mã có giá trị tương đương với USD (1 USDV = 1 USD). Đồng USDV được thiết kế giống như USDT, nhưng được bảo hộ bởi nhà nước Việt Nam và mỗi đồng USDV tạo ra sẽ có một đồng USD bỏ vào kho dự trữ của NHNNVN. Kho dự trữ này sẽ được kiểm toán thường xuyên, không giống như USDT.

NHNNVN có hệ thống website và app cho phép ai ở bất kỳ nơi nào trên thế giới cũng có thể mua và bán USDV. Để bootstrap hệ thống, NHNNVN bắt buộc tất cả sàn giao dịch tiền mật mã ở Việt Nam phải sử dụng USDV, thay vì USD. Chỉ có một nơi duy nhất có thể đổi USD sang USDT và ngược lại và nơi đó nằm dưới sự kiểm soát của NHNNVN.

Đồng USDV này đem lại các lợi ích:

* NHNNVN sẽ thu hút lượng USD lớn để làm dự trữ ngoại tệ. Về lý thuyết NHNNVN không thể sử dụng lượng dự trữ USD cho bất kỳ mục đích nào (không thể cho vay hoặc đầu tư), nhưng dự trữ lượng lớn USD sẽ tăng uy tín của NHN…