Posts

Showing posts from 2020

Reminder: Livestream trò chuyện với Hieupc

Image
Thứ bảy tuần này 19/9 (22h đêm, giờ Việt Nam), Huân Trương và tôi sẽ làm một buổi livestream với Hieupc. Tham gia cùng chúng tôi còn có bạn Junnie Nguyễn, cựu nhân viên Facebook phụ trách điều tra các vụ lừa đảo, giả mạo, đánh cắp danh tính. Bạn Junnie ở Ireland, đó là lý do mà chương trình sẽ bắt đầu lúc 22h đêm ở Việt Nam, vì phải cân bằng 3 múi giờ khác nhau ;-).Thời gian: (nhấn vào đây để đưa vào Google Calendar)Giờ Việt Nam: 22:00 tối thứ bảy, 19/9/2020Giờ California: 08:00 sáng thứ bảy, 19/9/2020
Livestream:https://youtu.be/wjABQ4ODQkM
Facebook event:https://www.facebook.com/events/347449939946860/
Chương trình sẽ gồm 4 phần:Phần đầu chúng tôi sẽ ôn lại kỷ niệm xưa, cái thuở ban đầu xài dial up với account “chùa” mà vẫn hack hiếc tè le. Chúng ta sẽ biết cơ duyên nào mà Hieupc đến với hacking và con đường dẫn đến vòng lao lý.Chuyện Hiếu đã làm rất sai, ảnh hưởng lớn đến nhiều người, không phải là chuyện nên tôn vinh hay ngưỡng mộ, nhưng Hiếu cũng đã trả giá sòng phẳng. Chúng tôi muố…

Podcast 4.04: Trò chuyện với Hieupc

Image
Hieupc (Ngô Minh Hiếu) là một hacker Gia Lai (không hiểu sao cái xứ này lại có nhiều hacker như vậy, có ai còn nhớ DanTruongX?) bị mật vụ Mỹ lừa bắt vào năm 2013 và bị kết án 13 năm tù vì đã đánh cắp và bán thông tin cá nhân của hàng trăm triệu người Mỹ. Hieupc vừa ra tù vào cuối năm ngoái và đang ở Việt Nam.Tôi đọc câu chuyệncuộc đời của Hiếu trên KrebsOnSecurity thấy nhớ bạn bè và một thời trai trẻ. Tôi có thằng bạn, nhà cũng khá giả, cũng đi du học sớm, cũng hack hiếc dữ dội. Tôi nói với nó, chỉ cần lựa chọn khác nhau một chút, Hieupc và tụi tôi có thể đã đổi vị trí cho nhau. Hai thằng gật gù. Tuổi trẻ hiếu thắng, lại nắm trong tay bao nhiêu quyền lực, muốn hack cái gì cũng được, không có ai hướng dẫn chỉ bảo, không có hình mẫu để noi theo, phải rất tỉnh táo và may mắn mới không sa chân lỡ bước, nhất là khi kiếm tiền dễ quá.Mỗi chọn lựa đều có hậu quả. Hiếu đã chọn sai, để rồi phải trả giá bằng 7 năm tù, ngay trong độ tuổi tươi đẹp nhất của một đời người. Đắt nhưng công bằng và cần…

Why you want to encrypt password hashes

Image
Troy Hunt of Have I Been Pwned fame wrote that because encryption is reversible but hashing is not passwords should be hashed, not encrypted. I think passwords should hashed-then-encrypted, i.e., they are hashed with a slow memory-hard function like Argon, scrypt or bscrypt, then the hashes are encrypted using AES-SIV with a key residing in a remote oracle. I believe this offers the best security at a minimum cost, providing pretty good usability. It is not exactly a new idea. The remote key works as a secret pepperFacebook also uses a remote oracle in their password hashing scheme. My first big project at Google was to modernize our password hashing scheme. I was having so much fun, spending days to design and implement a variant of scrypt in assembly (because I can and because it's actually faster than GCC intrinsics). In the end, I realized, however, it's a game that I can never win. I need a slow memory-hard hash function, but it can't be too slow because of usability…

A history of elliptic curves in tweets

Kepler: so, you see, the orbit of a planet is elliptical. To find where the Earth is, we need a method to calculate the arc length of an ellipse.Newton: This is a fluent problem, and, as usual, it can be solved with an infinite series expansion.Leibniz: Hold my beer, what's a fluent? The arc length of an ellipse is an integral problem. You want to compute $\int f(x)dx$ where $f(x) = \sqrt{\frac{1 - k^2x^2}{1 - x^2}}$ for a certain constant $k$. For that, you have to find a closed form function such that $F'(x) = f(x)$.100 years had passed. The search for Leibniz's closed-form solution for the elliptic integral, that is $f(x) = \int_{c}^{x} R \left(t, \sqrt{P(t)} \right) dt$ where $R$ is a rational function and $P$ is a polynomial of degree 3 or 4, had been fruitless.By the end of the 17th century, Bernoulli -- which one is left as an exercise -- conjectured that the task is impossible. It was finally confirmed by Liouville in the 19th century who proved that elliptic integ…

So you want to roll your own crypto?

A coworker of mine asked:How are people supposed to learn (from mistakes) if they don't roll their own crypto?The short answer is do roll your own crypto, but don't use it in production until it's vetted by professionals. The long answer below might take a few years to hash out.Making mistakes is an unavoidable part of the learning process. I've been rolling crypto for Google production for years, but my code is not bug free and will never be. I found that the cheapest way to learn from mistakes is to learn from other people’s mistakes. I recommend taking Cryptography I, doing CTFs, and solving crypto challenges. This won't take long, and very quickly you'd be pretty dangerous because you'd be able to find many crypto bugs.But it's just the beginning. When I got to Google, I thought I knew crypto because look at all the bugs I found! I was so wrong. It took me years to learn the tradecraft from the real experts which fortunately my employer has plenty.T…

Reminder: Tìm việc ở Thung lũng Silicon

Image
9h sáng nay giờ Việt Nam (7h tối giờ California), tôi sẽ tham gia buổi buổi nói chuyện về cơ hội tìm việc làm ở Silicon Valley. Khách mời khá đa dạng,  có kỹ sư, quản lý, nghiên cứu, có nam có nữ, có công ty lớn và cả startup. Mời mọi người tham gia và nhờ loan tin giùm.Giờ Việt Nam: 30/8/2020, 9:00-11:00 (sáng chủ nhật hôm nay)
Giờ USA/Los_Angeles: August 29, 19:00-21:00 (tối thứ bảy hôm nay)
Live stream: https://www.youtube.com/watch?v=tkEzXpuPeAA
Đặt câu hỏi: https://app.sli.do/event/wki7lk13
Facebook event: https://www.facebook.com/events/1006788999773076/
Chương trìnhKhách mời tự giới thiệuChuẩn bị nghề nghiệpPhỏng vấnThỏa thuận lương bổngTrải nghiệm cuộc sống ở Silicon ValleyBan tổ chức và khách mờiHuân Trương, Embedded Engineer, TeslaThái Dương, Security Engineer, GoogleTuấn Đặng, Backend Integration Engineer, EasyPost, ex-MicrosoftChân Lê, Tech Lead, Salesforce, ex-FacebookĐạt Lê, Marketing, early-stage fintech, Ex-UberTrịnh Công, R&D manager, Applied Materials IncHạnh Phạm, …

Section 230: the sword and armor of the Internet

This piece of mine was originally in Vietnamese and published in VnExpress, the most popular Internet newspaper in Vietnam. I was humbled to learn that the Vietnam experts at Harvard Kennedy School wanted it translated to English and included in a policy memo that they'll share with the Government of Vietnam.The translation was done by Nguyen Quy Tam, Fulbright School of Public Policy and Management, and reposted here with Tam's permission.--I first went online 20 years ago and probably never disconnected. I was one of the first generation of young Vietnamese to grow up on the Internet. I honestly couldn't imagine what my life would be like without it. For years of being schooled in Vietnam, I quietly learned how to "self-censor". I know what I shouldn't say, be obedient and don't dare to ask questions. Life is simple, white - black, friend - enemy, right - wrong, it is all predefined, just memorize.Fortunately, what was not learned in school, I learned f…

Vietbay Sharing: Tìm việc ở Silicon Valley

Đây là buổi chia sẻ do anh Huân Trương tổ chức. Tôi cũng sẽ tham gia.
Huân muốn nhắm tới các bạn sinh viên (trong và ngoài nước) muốn tìm cơ hội làm việc tại Silicon Valley. Tôi hi vọng cũng sẽ hữu ích với những ai đã đi làm rồi.
Giờ Việt Nam: 30/8/2020, 9:00-11:00 (sáng chủ nhật tuần này) Giờ USA/Los_Angeles: August 29, 19:00-21:00 (tối thứ bảy tuần này)
Live Stream: https://www.youtube.com/watch?v=tkEzXpuPeAA
Đặt câu hỏi: https://app.sli.do/event/wki7lk13
Các chủ đề có thể được bàn tàn: - Cuộc sống ở Silicon Valley ra sao - Làm sao để có được cuộc phỏng vấn đầu tiên - Resume, referral, và LinkedIn - Chuẩn bị cho cuộc phỏng vấn đầu tiên - COVID và Silicon Valley - Những ngộ nhận thường gặp - Những mẹo vặt khác - Hỏi đáp
Tôi có viết vài bài về chuyện này: - Kinh nghiệm tìm việc làm ở Silicon Valley - Làm resume - Mẹo phỏng vấn tìm việc

"Bẩn thỉu và mất dạy"

Image
Nguồn
TanNg là Tổng giám đốc VCCorp, công ty chủ quản của những tờ báo hết sức uy tín như Kênh14 hay GenK. Thú thật tôi kỳ vọng người ở vị trí như TanNg phải chửi một cách bài bản và có trình độ hơn, chứ chửi vầy tôi không biết trả lời sao luôn.
Edit: tôi bỏ một đoạn snarky. Tôi muốn make fun, nhưng giờ đọc lại chẳng thấy mắc cười gì hết. Hi vọng mọi người sẽ tập trung vào phần còn lại của bài này.
Thôi bỏ, người khôn nói chuyện ý tưởng chứ ai lại bàn tán cá nhân. Cuộc tranh luận trên GitHub khiến tôi nhận ra một chi tiết thú vị, rằng khi tranh luận với ai đó ta thường tìm hiểu coi đối phương là ai, nhưng có thể với lý do rất khác nhau.
Người tranh luận để chiến thắng bằng mọi giá sẽ dựa vào thân thế, sự nghiệp (hay là lack thereof) của đối phương để dìm hàng lý lẽ của người ta. Đây là ngụy biện bằng cách tấn công cá nhân, vì thay vì tấn công ý kiến, họ sẽ tấn công người đưa ý kiến. Anh chẳng hiểu gì về contact tracing cả, anh có làm contact tracing bao giờ chưa, anh làm hay là anh chỉ sử…

Bằng chứng máy chủ Bluezone có thể âm thầm lấy dữ liệu của người dùng

Tôi vừa đưa lên https://github.com/thaidn/bluezone hướng dẫn để những lập trình viên và những ai quan tâm có thể tận mắt chứng kiến cách máy chủ Bluezone có thể âm thầm lấy lịch sử tiếp xúc của tất cả người dùng Bluezone. Xin nhấn mạnh là tất cả, bất kể người đó có từng tiếp xúc với F nào hay không.Tóm lại máy chủ có toàn quyền quyết định lấy dữ liệu bất kỳ lúc nào mà không cần có sự đồng ý của người dùng. Có thể máy chủ sẽ không bao giờ làm vậy, nhưng câu hỏi là làm sao chúng ta có thể kiểm tra được nếu họ không cam kết và không cung cấp thông tin cách họ làm trên máy chủ?Xem thêm thảo luận ở đây.

Trả lời phỏng vấn BBC Việt Ngữ về Bluezone

(Một phần phỏng vấn được BBC đăng ở đây)
1. Anh có thể cho biết cơ chế hoạt động của Bluezone để hỗ trợ người dùng cũng như các cơ quan nhà nước Việt Nam trong việc phòng chống dịch Covid-19?
Thưa chị, Bluezone là một ứng dụng điện thoại giúp phát hiện ai đã tiếp xúc với ai, thông qua sóng Bluetooth Low Energy. Bluezone giúp cơ quan nhà nước Việt Nam thực hiện truy vết tiếp xúc (contact tracing), để phát hiện nguồn lây nhiễm (F0) và những ai có nguy cơ phơi nhiễm (F1, F2, v.v.). Người sử dụng Bluezone sẽ biết được họ từng tiếp xúc với F0 hay F1 nào không.
Trên lý thuyết là như vậy, còn thực tế hiệu quả và độ chính xác như thế nào thì tôi không có đủ thông tin để đánh giá.
2. Sau cập nhật mới nhất, liệu Bluezone còn những lỗ hổng nào mất an toàn cho người dùng không? Quyền riêng tư của người dùng được đảm bảo tới đâu?
Trước khi trả lời câu hỏi này, tôi muốn kể một chút về “duyên nợ" của tôi với Bluezone. Khi Bluezon…

Jonny Kim

Image
Hôm nay tôi mới biết về Jonny Kim. Jonny là Navy SEAL nhiều năm chinh chiến ở Iraq, bác sĩ tốt nghiệp Harvard Medical School và bây giờ là phi hành gia NASA.
SEAL là lực lượng tinh nhuệ nhất của Hải quân Mỹ. Harvard Medical School là trường y số một thế giới. Ai cũng có thể phi hành tỏi, chứ muốn trở thành phi hành gia của NASA thì khó ngang với lên trời.
Nhà Jonny nghèo, ba nghiện rượu và hay đánh con. Tốt nghiệp cấp 3, Jonny quyết định đăng lính với ước mơ trở thành SEAL để bảo vệ người khác. Tốt nghiệp SEAL với vai trò cứu thương chiến trường và lính bắn tỉa, Jonny đã thực hiện hơn 100 chiến dịch ở Iraq, được trao Huân chương Sao Bạc (Silver Star Medal).
Lúc ở Iraq, chứng kiến đồng đội chết mà không cứu được, Jonny muốn học để trở thành bác sĩ. Ở Mỹ muốn học bác sĩ phải có bằng đại học, nên Jonny vào học toán ở UC San Diego, tốt nghiệp thủ khoa luôn. Đang học ở Harvard, Jonny đăng ký chương trình phi hành gia của NASA, cùng với 11 người khác vượt qua hơn 18.000 ứng viên. Làm nhiêu đó …

Cập nhật về Bluezone

Image
Bằng cách phân tích phiên bản Android mới nhất (2.0.3, phát hành ngày 3/8/2020), tôi thấy app Bluezone đã sửa chữa những lỗ hổng quan trọng nhất mà tôi đã loan báo hồi tháng 4. Cụ thể, Bluezone đã không còn sử dụng một ID duy nhất, mà đã tự động thay đổi ID mỗi vài phút. Ngoài ra, Bluezone cũng đã không còn thu thập địa chỉ Bluetooth Classic nữa, nhờ nỗ lực thuyết phục của anh Phan Dương Hiệu.
Nếu như trước đây ai cũng có thể theo dõi hay thu thập thông tin của người sử dụng Bluezone, với cách làm hiện tại thì chỉ có đội phát triển Bluezone và Chính phủ Việt Nam mới có thể thu thập thông tin. Những F0 sẽ được cấp một mã OTP để tải lên máy chủ Bluezone toàn bộ lịch sử tiếp xúc. Từ F0, máy chủ sẽ thông báo đến các F1 và toàn bộ lịch sử tiếp xúc của F1 cũng sẽ được đưa lên máy chủ Bluezone.
Với cách làm này, máy chủ Bluezone sẽ có thông tin social graph (ai quen ai; ai gặp ai, vào lúc nào) của người dùng. Hiện tại Bluezone có hơn 2 triệu cài đặt và nhiều khả năng sẽ tăng cao trong thời gi…

"Giỏi CNTT nhưng không hiểu gì về chính trị"

Image
Mỗi lần tôi viết bài gì đó về chính sách hay chính trị Việt Nam là y như rằng sẽ có người nói "bạn giỏi công nghệ thông tin, nhưng bạn không hiểu gì cả về chính trị xã hội".

Thú thật tôi rất hay nghi ngờ bản thân, nhưng mà nếu bao nhiêu năm nay bao nhiêu người cùng nói một ý thì chắc đúng con mẹ nó rồi. Thật sự tôi đã bị thuyết phục. Bây giờ tôi đã tin tôi giỏi công nghệ thông tin.

Thay lời cảm ơn, xin thân tặng những người hâm mộ luôn vững tin vào tài năng của tôi ngay cả khi tôi thấy lung lay nhất một tấm hình tác giả trong trang phục công sở.

Áo giáp và thanh gươm

(Một phiên bản của bài này đã đăng trên VnExpress)(English translation)

Tôi lên mạng lần đầu gần 20 năm trước và có lẽ chưa bao giờ ngừng kết nối.

Tôi thuộc thế hệ thanh niên Việt Nam đầu tiên lớn lên với Internet. Thật sự tôi không thể tưởng tượng được cuộc sống của mình sẽ thế nào nếu thiếu nó. Bao nhiêu năm đến trường ở Việt Nam, tôi âm thầm học được cách "tự kiểm duyệt". Tôi biết cái gì không nên nói, biết vâng lời và không dám đặt câu hỏi. Cuộc sống thật đơn giản, trắng - đen, bạn - thù, đúng - sai đã được phân định sẵn, chỉ cần học thuộc lòng.

May thay, những gì không được học ở trường, tôi đã học được từ Internet. Những người bạn từ khắp nơi trên thế giới, thông qua các bài viết, blog hay tranh luận trên các diễn đàn mở đã dạy tôi cách suy nghĩ, khuyến khích tôi đặt câu hỏi, yêu cầu tôi phải luôn nghi ngờ, hướng dẫn tôi cách đồng ý và không đồng ý với người khác và với chính mình.

Tôi không phải học trò giỏi, nhưng người thầy Internet đã giúp tôi hiểu rằng thế giới nh…

Reminder về buổi hỏi đáp sử dụng Internet an toàn

Image
Nhắc lại là 10h sáng chủ nhật tuần này giờ Việt Nam chúng tôi sẽ tổ chức một buổi chia sẻ về sử dụng Internet an toàn. Tôi gửi lại thông tin bên dưới.

Mọi người có thể đặt câu hỏi ở đây. Hiện giờ đã có hơn 70 câu hỏi, nên ban tổ chức sẽ ưu tiên trả lời những câu hỏi có nhiều người bầu chọn và những câu hỏi hay.

Có một tin vui là tôi đã mời được bạn tôi là Nguyễn Đặng Phương tham gia chương trình. Phương là chuyên gia bảo mật tiên phong của Việt Nam, với những phát hiện quan trọng từ rất sớm. Phương cũng là người đã dẫn dắt tôi vô nghề. Tôi chọn làm kỹ sư an ninh mạng chứ không theo nghiệp ca hát nữa cũng là tại ông nội này.

Nghề của Phương là tìm và khai thác lỗi phần mềm. Đây cũng là một phần công việc của tôi, nhưng so với Phương tôi chỉ là dân nghiệp dư.Phương là chuyên gia tầm cỡ thế giới về lập trình máy kỳ dị và xâm nhập vào các hệ thống điều khiển công nghiệp (SCADA). Thường thì tôi làm có thể không giỏi hơn người ta, nhưng nói sẽ không thua, nhưng trong trường hợp này thì tôi thu…

Luật của Mỹ về du học sinh

Cập nhật: DHS và ICE đã rút lại lệnh cấm!

Sau khi ngừng cấp visa H1B cho dân nhập cư có trình độ, nước Mỹ của Trump tiếp tục nhắm vào một nhóm người nhập cư khác là du học sinh. Nếu quy định mới của ICE, thuộc Department of Homeland Security (DHS) không được gỡ bỏ, du học sinh đang ở Mỹ sẽ bị trục xuất trong vòng 10 ngày nếu trường của họ vì COVID-19 chuyển sang dạy học online 100%. Quy định bất nhân này nhằm gây áp lực buộc các trường phải mở cửa trở lại, vì điều đó có lợi cho chiến dịch tranh cử của Trump, bất kể bây giờ mỗi ngày nước Mỹ có hơn 60 ngàn ca nhiễm COVID-19 mới.

Harvard, MIT và nhiều trường khác đã khởi kiện. Các trường kiện dựa vào cơ sở pháp lý gì và có khả năng thắng không? Tôi không phải là luật sư, nhưng sẵn tính tò mò nên tôi đã dành thời gian tìm hiểu luật di trú của nước Mỹ để trả lời các câu hỏi này.

Nếu ai phát hiện tôi hiểu sai chỗ nào xin vui lòng chỉ giúp.

Tổ chức nhà nước Mỹ

Trước tiên về mặt tổ chức nhà nước, nước Mỹ có 3 nhánh:
* Hành pháp: bao gồm Tổng t…

VietBay Sharing: Hỏi đáp về sử dụng Internet an toàn

Image
Cách đây mấy năm, tôi có tổ chức một buổi workshop về sử dụng Internet an toàn ở Đại học Bách Khoa Tp.HCM. Hôm đó có khoảng 100 người đến dự, nhưng khi tôi đang nói giữa chừng thì... cúp điện, không biết do nghiệp quật hay do thế lực thù địch.

Chờ mãi điện không lên, tôi quyết định nói chay thì ban tổ chức ra năn nỉ như sắp khóc đừng nói nữa anh ơi, xin đừng nói nữa làm gì. Tôi hỏi tại sao thì ban tổ chức nói nhà trường cúp điện, chứ không phải do có sự cố. Tôi nhìn ra xung quanh mới thấy ở đâu cũng sáng chỉ có chỗ tôi đang đứng là tối thui. Tôi nói không có điện thì tôi sẽ nói chay.

Tôi quay lại nói được 2' thì ban tổ chức lại ra năn nỉ như sắp khóc đừng nói nữa anh ơi, xin đừng nói nữa làm gì. Tôi hỏi tại sao thì lần này ban tổ chức nói an ninh yêu cầu nhà trường cúp điện, vì có 20 người thuộc diện "theo dõi đặc biệt" đến tham dự workshop. Ban tổ chức đã rất nhiệt tình giúp tôi, tôi cũng không muốn gây khó dễ cho họ, nên tôi quyết định dừng.

Khi tôi nói với bà con lý d…

Giấc mơ Mỹ

(Một phiên bản bài này đã đăng ở VnExpress)

Trump mới ký lệnh ngừng cấp H1B, loại visa đã giúp tôi đến Mỹ.

Tháng 10 năm 2010, tôi nghỉ việc ở một ngân hàng tại TP HCM rồi không tìm được việc khác. Tôi không còn nhớ ý tưởng đến từ đâu, nhưng sau khi thất nghiệp hơn một tháng, ra nước ngoài làm việc trở thành chuyện phải thử cho biết. Tôi bắt đầu phỏng vấn ở một ngân hàng của Anh. Cuộc phỏng vấn theo tôi diễn ra khá suôn sẻ, nhưng sau đó không thấy họ nói năng gì về ký hợp đồng và làm giấy tờ. Tôi email nhắc vài lần, họ đều nói “đang xử lý hồ sơ”. Đến lúc họ chủ động liên hệ lại thì tôi đã đến Mỹ.

Người Mỹ làm rất nhanh. Tôi email một đồng nghiệp ở Mỹ khi thấy anh đăng trên Twitter cần tuyển người, không ngờ năm phút sau anh đã hỏi “khi nào phỏng vấn được?”. Nhưng phỏng vấn xong, tôi nghĩ “chắc rớt rồi”. Vì gặp phải chuyên gia thứ thiệt nên tôi lộ ra nguyên hình là một chuyên gia miệt vườn.

Cho đến giờ tôi vẫn không hiểu tại sao họ chọn tôi. Lúc nhận được thư mời nhận việc, thấy mức lươ…