thái

Thời gian Giờ California PDT, 20:00 - 22:00, May 2nd 2020 (tối thứ bảy tuần này) Giờ Việt Nam GMT+7, 10:00 - 12:00, 2020-05-03 (sáng chủ nhật tuần này) Livestream https://www.youtube.com/watch?v=w1HH-5OiMHY Backup: https://stream.meet.google.com/stream/7cf13929-49af-4ddc-b049-12fc1c8aeb40 (username: livestream@vietbay.group, password: vietbay12#) Đặt câu hỏi https://app.sli.do/event/x4d48rp3/live/questions Hoặc hỏi trực tiếp trên YouTube livestream Nội dung * Giới thiệu sơ lược về contact tracing * Căn bản về dịch ngược app Android * "Mổ bụng" công nghệ đột phá Bluezone * Q&A

Bluezone đã sửa lỗi! Xem cập nhật ngày 3/8/2020:  https://vnhacker.blogspot.com/2020/08/cap-nhat-ve-bluezone.html . Tôi có viết trả lời phỏng vấn cho một tờ báo, không chắc là họ sẽ đăng. Tôi gửi lên đây để mọi người hiểu dùng Bluezone nguy hiểm như thế nào. Thú thật quỹ thời gian và năng lượng của tôi cho chuyện này đã cạn. Tôi hi vọng những anh chị em nào quan tâm sẽ tiếp tục trợ giúp. 1. Lỗi về ID hiện là một trong những lỗ hổng lớn nhất của Bluezone. Trong khi các app ở Singapore, Hàn Quốc sẽ dùng các mã thay đổi liên tục. Nhưng app Bluezone lại gắn cho mỗi tài khoản một mã số. Điều này ảnh hưởng như thế nào đến người dùng? Cụ thể hacker có thể khai thác được những thông tin gì từ điểm yếu này? Cộng đồng có thể bị ảnh hưởng thế nào nếu lỗ hổng này bị tấn công? Các ứng dụng truy vết tiếp xúc như Bluezone hoạt động bằng cách thu phát tín hiệu Bluetooth. Mỗi tín hiệu có chứa hai thông số: mã số người dùng và địa chỉ Bluetooth. Bất kỳ điện thoại hay thiết bị thu sóng Bluetooth nà

Prologue Bluezone  ( Android , iOS ) is a Bluetooth-based contact tracing app sponsored by the Government of Vietnam and developed by a coalition of local tech companies and the Ministry of Information and Communications. The developers claim that the app is designed to alert people who may have come in contact with the virus while keeping their identity anonymous. The Android and iOS apps were released a few days ago, and according to the official tally they have attracted more than 150,000 users (last update April 30th 2020). The media quoted a top official touting that Bluezone is a breakthrough because it allows the government not to collect people's information and is able to solve the basic errors in similar apps from other countries. Needless to say, Bluezone piqued my curiosity. I want to know it works. The developers pledge to open source the app, but they actually haven't released neither code nor documentation. I break software professionally, and decided to

Cập nhật 3/8/2020: Bluezone đã sửa lỗi! Xem https://vnhacker.blogspot.com/2020/08/cap-nhat-ve-bluezone.html . Hôm qua có bạn gửi vào blog bài viết sau, được cho là phản hồi của Bluezone về báo cáo của tôi: https://whitehat.vn/threads/phan-tich-cac-van-de-lien-quan-den-bluezone.13534 . Từ ngày đầu tiên, tôi đã gửi 2 email cho nhóm Bluezone, vì chưa nhận được phản hồi chính thức, nên ban đầu tôi không có ý định trả lời. Hôm nay tôi lỡ mất công giải thích cho một số người bạn, nên gửi lên đây luôn vậy. Cảm ơn anh Minh Trần đã giúp kiểm chứng cách Bluetooth hoạt động như thế nào. Tôi trả lời 2 ý đầu tiên. Những ý còn lại tôi đã viết đầy đủ trong báo cáo, tôi nghĩ cán bộ coi thi không cần giải thích gì thêm. Tôi vẫn giữ lời khuyên ban đầu: ai đang cài Bluezone nên tạm thời gỡ bỏ, ai chưa cài thì không nên cài, cho đến khi tôi gửi thông báo mới. Tôi hi vọng việc này sẽ không trở thành "tin tôi hay tin Bluezone", vì đó là một sự chia rẽ không đem lại lợi ích gì cho tất cả mọi

Cập nhật 3/8/2020: Bluezone đã sửa lỗi! Xem  https://vnhacker.blogspot.com/2020/08/cap-nhat-ve-bluezone.html . Cập nhật 31/7/2020 : bài này được viết từ hồi tháng 4/2020. Sau đó đội ngũ phát triển Bluezone đã có những chỉnh sửa để khắc phục các lỗ hổng liệt kê ở đây. Tuy vậy tôi vẫn chưa thấy họ công bố chính thức cách họ làm (cụ thể là cách họ tạo và thay đổi mã Bluezone ID). Tôi không biết mã nguồn mà họ đã công bố trên GitHub có phải là mã nguồn mới nhất hay không, nên nếu muốn đánh giá lại phải reverse engineering khá mất thời gian. Cuối tuần này tôi sẽ dành thời gian coi và sẽ gửi thông báo sau. Tóm tắt Bluezone là ứng dụng truy vết tiếp xúc , giúp cảnh báo nếu bạn đã ở gần người nhiễm COVID-19. Ứng dụng này do Chính phủ Việt Nam phát hành và được thực hiện bởi các doanh nghiệp công nghệ số Việt Nam gồm: Memozone, VNPT, MobiFone và BKAV. Ngày 18/4/2020 VnExpress dẫn lời Bộ trưởng Nguyễn Mạnh Hùng : Bluezone là bước tiến mới, có tính đột phá trong việc sử dụng công nghệ để

James Pearson , trưởng đại diện Reuters ở Việt Nam, dẫn lời hai nguồn tin cho biết máy chủ của Facebook đặt ở Viettel và VNPT đã bị tắt trong vòng 7 tuần , từ giữa tháng 2 đến đầu tháng 4 năm nay. Các máy chủ này chỉ được mở lại sau khi Facebook đồng ý tăng cường kiểm duyệt các nội dung "chống chính phủ". Theo VietnamNet, khi người dân than phiền vào Facebook chập chờn, VNPT và Viettel đã giải thích như sau: Trước những phàn nàn của người dùng Internet, mới đây một số nhà mạng lớn trong nước đã lên tiếng để trấn an người dùng. Chia sẻ trên fanpage của mình, nhà mạng VNPT đưa ra lời giải thích, hiện tượng đường truyền Facebook không ổn định là do vấn đề kết nối tới máy chủ quốc tế. Đây cũng là cách lý giải được đưa ra bởi nhà mạng Viettel. Cả VNPT và Viettel đều cho biết đang tích cực phối hợp cùng các đơn vị đối tác liên quan để kiểm tra nhằm khác phục triệt để. Trên fanpage của mình, hai đơn vị này cũng ngỏ lời mong người sử dụng thông cảm. Tại sao Facebook lại đặ

(Bài này đã đăng trên VnExpress . Tôi cũng có viết một bài khác, bớt nghiêm túc hơn .) Sếp mới nhắn tin hỏi tôi có muốn đánh giá an ninh cho một nhóm đang thiết kế công nghệ "truy vết tiếp xúc người nhiễm Covid" hay không. "Nhóm thiết kế đang quan tâm yếu tố đảm bảo riêng tư của ứng dụng. Họ đang cần người. Nếu anh muốn giúp tôi sẽ gửi anh xem". Tôi đọc tin mà thấy mở cờ trong bụng. Mấy tuần rồi, đóng góp lớn nhất của tôi, nếu có thể xem là đóng góp, là ở nhà. Dự án là cơ hội tuyệt vời để một kỹ sư như tôi làm gì đó hữu ích hơn. Sau khi qua đỉnh dịch, xã hội sẽ dần trở lại cuộc sống bình thường. Nhưng không có nghĩa Covid-19 sẽ không trở lại. Cho đến khi có vaccine, các chuyên gia dự báo sẽ còn nhiều đợt bùng phát. Mỗi khi có người nhiễm mới, chúng ta lại phải thực hiện truy vết tiếp xúc, tức là xác định họ đã từng ở đâu, tiếp xúc những ai để cách ly. Khi số người nhiễm bệnh bùng nổ hoặc khi có những ca "siêu lây nhiễm", tiếp xúc hàng trăm người, tru

Cập nhật 24/4/2020: cảnh báo lỗ hổng nghiêm trọng trong ứng dụng Bluezone . Cập nhật 19/4/2020 : thông qua bạn bè, BKAV nói rằng giải pháp của họ "độc lập với nhóm Châu Âu và Singapore" (nguyên văn). Tôi đã ngỏ lời sẽ giúp đánh giá an ninh, nếu BKAV cung cấp mô tả kỹ thuật, nhưng chưa nhận được phản hồi. Một bạn nói từ BKAV có liên lạc với bạn tôi, bảo là có nghe buổi hội thảo hôm qua và sẽ gửi app và thông tin để nhờ mọi người xem giúp. Hôm nay BKAV công bố giải pháp truy vết tiếp xúc Bluezone. VnExpress dẫn lời Bộ trưởng Nguyễn Mạnh Hùng : Bluezone là bước tiến mới, có tính đột phá trong việc sử dụng công nghệ để phòng chống dịch bệnh. Đột phá ở chỗ, chính quyền không thu thập thông tin người dân, thông tin chỉ lưu trên điện thoại cá nhân. Đột phá ở chỗ, ứng dụng chỉ đúng những người tiếp xúc gần và đủ lâu để có thể lây nhiễm, tránh việc một người bị nhiễm thì cả làng, cả khu bị cách ly. Đột phá ở chỗ, phần mềm mang tính toàn cầu khi sẽ để ở dạng nguồn mở để các quốc

Cập nhật: xem toàn bộ livestream ở  https://youtu.be/UcYriiVekGI . Cập nhật: chuyển livestream qua YouTube thay vì Google Meet. Cách đây vài năm tôi có cùng với bạn bè ở Bay Area tổ chức VietBay Tech Talks , làm được vài kỳ thì phải nghỉ vì thiếu người nói chuyện. Gần đây tụi tôi khởi động lại chương trình này với tên gọi mới là VietBay Sharing, mở rộng ra nhiều đề tài, chứ không chỉ tech. Hai kỳ trước chúng tôi bàn về Personal Financial Planning . Thể theo yêu cầu của một số người bạn, lần này tụi tôi sẽ bàn về công nghệ truy vết đảm bảo riêng tư (privacy-preserving contact tracing), một công nghệ hứa hẹn sẽ là giúp chúng ta chung sống với Cô-Vy. Chúng tôi sẽ thảo luận cách thức công nghệ này hoạt động, nó có ý nghĩa thế nào đối với riêng tư của mỗi người và hiệu quả của nó trong việc phòng chống Cô-Vy ra sao. Mấy lần trước tụi tôi chỉ làm nội bộ, giờ giấc không phù hợp với người ở Việt Nam, nhưng lần này ai cũng có thể tham gia. Hi vọng sẽ nhận được nhiều câu hỏi (đặt

(Một phiên bản khác, nghiêm túc hơn, đã đăng trên VnExpress .) Công ty của tôi Google tuyên bố hợp tác với Apple để cùng phát triển một công nghệ truy vết đảm bảo riêng tư . Đây là công nghệ hứa hẹn sẽ giúp chúng ta chung sống với Cô-Vy. Ngoài Google và Apple ra thì rất nhiều nhóm nghiên cứu ở phương Tây cũng đang ngày đêm nghiên cứu về vấn đề này. Chỉ trong vòng vài tuần ngắn ngủi đã có hơn 60 nhóm dự án ra đời , đa số là mã nguồn mở, trong đó có những nhóm dự án đến từ các đại học danh tiếng thế giới như ETH (Thụy Sĩ, đây là đại học mà Einstein từng… thi rớt), MIT, Stanford (Mỹ) hay Waterloo (Canada). Đặc biệt mới cách đây vài phút tôi được biết đến dự án Epione ở UC Berkeley (trường này có chỗ đậu xe miễn phí dành riêng cho người đoạt giải Nobel). Bạn Ni Triệu, một chuyên gia mật mã người Việt Nam, đứng đầu dự án này. Nguồn: dự án  DP-3T . Dịch và trình bày bởi Tùng Nguyễn, Andrew Nguyễn và Huy Nguyễn. Truyện tranh ở trên mô tả ý tưởng cơ bản của công nghệ này. Nhìn t

(Một phiên bản hay hơn của bài này đã đăng trên VnExpress ) Khi chúng tôi lên máy bay quay lại California vào đầu tháng hai, dịch COVID-19 đã bùng phát ở Việt Nam và Châu Á. Từ Tân Sơn Nhất đến Hồng Kông, ai cũng đeo khẩu trang. Sân bay Hồng Kông còn kiểm tra thân nhiệt mỗi người. Nhưng khi đến San Francisco thì người đeo khẩu trang trở thành thiểu số. Ngay cả các viên chức hải quan, mỗi ngày tiếp xúc với hàng trăm người từ khắp nơi trên thế giới, cũng không đeo khẩu trang hay giữ khoảng cách an toàn. Qua khỏi hải quan, vào thang máy để ra về, tôi thấy trong thang máy đã có sẵn một đại gia đình. Thấy chúng tôi đeo khẩu trang, họ ngay lập tức trở nên sợ hãi, nói với nhau xôn xao bằng tiếng Tây Ban Nha. Rồi người thì lấy tay bịt miệng, người kéo khăn choàng lên che, người thì cố gắng đứng càng xa càng tốt. Tình hình còn tệ hơn khi chúng tôi đón Uber về nhà. Anh tài xế khó chịu ra mặt, nhấn hết ga, có vẻ như chỉ muốn kết thúc chuyến đi càng sớm càng tốt. Ban đầu tôi cũng thấy bực, k

Tình hình ở Mỹ càng lúc càng tệ. Hôm qua Trump yêu cầu dân chúng ở yên trong nhà cho đến hết tháng 4. Có lẽ trong lịch sử tị nạn chưa bao giờ Việt Kiều Mỹ lại mong chờ ngày "giải phóng" như lúc này. Ở ổ dịch New York, mọi ngả đường đều dẫn về thành Rome. Thống đốc bang New York Andrew Cuomo đang được ca tụng vì các phát biểu và hành động hợp lòng dân, nhưng tôi ước gì ông ấy yêu cầu dân chúng ở yên trong nhà sớm hơn nữa. Người New York có vẻ không tuân thủ lệnh ở yên trong nhà. Cách đây mấy hôm khi tàu cứu thương Comfort của hải quân Mỹ cập cảng New York, hàng trăm người tụ tập... coi và chụp hình. Dân hiếu kỳ bất kể sinh mạng ở đâu cũng có, thuyết tiến hóa Darwin không chỉ sai ở Việt Nam, bà con an tâm nha. Bay Area và California yêu cầu dân ở yên trong nhà chỉ trước New York có vài ngày mà tỉ lệ lây nhiễm lẫn số người chết chỉ bằng 1/10 New York (có thể một phần là do nhiều kết quả test đang bị trễ, nhưng số người chết là một chỉ số đáng tin cậy). Thống đốc Califo