Posts

Showing posts from 2021

Chiếc iPad trong vụ án Nguyễn Đức Chung

Tòa Việt Nam sử dụng chứng cứ số (digital evidences): Quá trình tranh tụng hai ngày qua, luật sư Nguyễn Văn Tú, một trong bốn người bào chữa cho cựu chủ tịch Hà Nội, một lần nữa đề nghị HĐXX xem xét "vật chứng quan trọng" được ông giao nộp từ ngày làm việc đầu tiên - chiếc iPad của bị cáo Chung. Luật sư Tú đề nghị HĐXX tiếp nhận chiếc iPad này và trưng cầu giám định của cơ quan điều tra về mốc thời gian, lịch sử cụ thể việc mở và dùng iPad. Việc này nhằm làm rõ, trong khoảng thời gian trước khi đóng thầu, ông Chung có thực sự dùng thiết bị để tiếp nhận email của Bùi Quang Huy (Tổng Giám đốc Công ty Nhật Cường, đang bỏ trốn) qua đó can thiệp dừng thầu trái quy định. Yêu cầu của luật sư được HĐXX chấp thuận. Chiếc iPad được làm thủ tục niêm phong ngay tại toà. Phản hồi về vật chứng, ông Chung xác nhận đó là tài sản của mình song chỉ sử dụng trong năm 2016, "có thể không nhớ password". Ông nói: "Lấy danh dự là một con người, không xem các email anh Huy gửi"....

Lừa đảo trên mạng

(Một phiên bản bài này đã gửi đăng VNExpress ) Tôi về Sài Gòn được vài bữa, mua một “sim” mới toanh, vừa dùng đã nhận được hàng chục tin nhắn giả mạo thương hiệu của một ngân hàng lớn. Để tối ưu, bọn tội phạm còn cất công phân loại khách hàng của từng ngân hàng để tin nhắn giả mạo thêm phần thuyết phục. Làm được như vậy đòi hỏi phải có đầu tư trang thiết bị và con người. Đại diện một cơ quan hữu trách cho biết mỗi năm người Việt mất hơn 1.000 tỷ đồng vì lừa đảo trên mạng. Tôi đoán thiệt hại thực tế cao hơn nhiều và sẽ còn tăng, vì người Việt càng lúc càng có nhiều tài sản trên mạng. Nạn nhân đa phần là người già, tiền mất đi là mồ hôi nước mắt họ dành dụm cả đời. Đây là “nỗi đau công nghệ” kéo dài đã lâu nhưng vẫn chưa có “anh hùng mạng” nào đứng ra giải quyết. Mỗi khi có tin về lừa đảo, tôi lại thấy ý kiến cho rằng chỉ người thiếu hiểu biết mới bị lừa. Tôi cũng từng nghĩ vậy, cho đến khi chính tôi, một kỹ sư an ninh mạng gần 20 năm, cũng bị lừa. Đồng nghiệp gửi cho tôi một đường dẫn, ...

Ở Mỹ du côn cũng khôn hơn

Một lần H. đến đón tôi ở Tân Sơn Nhất. Nó nhắn sẽ nhờ người quen làm thủ tục hải quan cho nhanh. Tôi đang xếp hàng, phía trước còn mấy chục người, người quen của H. xuất hiện chỉ vài giây là qua cổng luôn. Tôi biết là sẽ nhanh, nhưng không ngờ nhanh như vậy. Bi kịch muôn đời của loài người. Lúc đi từ cuối hàng lên, bao ánh mắt nhìn chằm chằm, tôi chỉ muốn độn thổ, nhưng nền xi măng khá cứng, tôi nghĩ vật lý hiện đại sẽ không cho phép, nên lại thôi. Một lần khác tôi chờ quét hành lý ở Nội Bài thì có hai vị trông rất ra dáng thượng lưu được một anh nhân viên sân bay dẫn lên chen ngang, cơ bản là đi tắt đón đầu, hoàn toàn không đếm xỉa gì đến tôi và những người khác. Vì đã trả tiền để được ưu tiên, tôi nhìn anh nhân viên quét hành lý rồi buộc miệng, "Chắc thời gian của mấy người này quan trọng hơn của tôi". Anh ấy rối rít xin lỗi, còn hai vị kia vẫn tỉnh bơ. Dường như trong mắt những người này, chỉ có ruồi muỗi mới phải xếp hàng, mà sang chảnh như họ thì làm gì có thời gian quan...

Không đề

Cách đây mấy tuần tôi có dịp gặp gỡ với bác sĩ Lê Minh Ngọc và Nguyễn Phương Mai, 2 trong số 40.000 y bác sĩ chi viện cho miền Nam. Bác sĩ Ngọc từ Bệnh viện Y Hà Nội vào làm trưởng khoa chữa trị bệnh nhân nặng nhất ở Bình Dương, "tưởng đi 1 tháng rồi về, ai dè đi đúng 100 ngày". Còn bác sĩ Mai thì đang làm việc ở Luân Đôn, "thấy mình là người Việt mà quê nhà đang gặp nạn" nên đã bỏ việc về Bình Dương hỗ trợ. Tôi đã đem câu chuyện của hai vị bác sĩ trẻ kể cho nhiều người. Mỗi lần kể là mỗi lần nghẹn ngào, một phần vì nhớ lại những gì đã xảy ra với gia đình và bạn bè, một phần vì các bạn ấy cho tôi một hi vọng. Với những con người bản lĩnh và chân thành như vầy, lịch sử rồi cũng sẽ phải sang trang. Xin cúi đầu cảm ơn bác sĩ Ngọc, bác sĩ Mai và tất cả những ai đã dấn thân giúp đỡ đồng bào.

Lỗ hổng của Sổ sức khỏe điện tử

Cập nhật: xem thêm một số chi tiết kỹ thuật . Tôi không có thời gian viết chi tiết, nên chỉ công bố email mà tôi chia sẻ với Bộ TTTT, Bộ Y Tế và Viettel. Xin được lọc bỏ tên và email của những người đã trực tiếp liên hệ để đảm bảo riêng tư. Tất cả các lỗ hổng đã biết đều đã được sửa. Team SSKĐT còn đang cân nhắc một số giải pháp bảo vệ riêng tư cho người dùng tốt hơn tôi mong đợi. Dẫu vậy đề nghị đưa mã nguồn lên GitHub của tôi chưa được thực hiện. --- On Mon, Oct 4, 2021 at 3:40 AM <đã lọc bỏ> wrote: <đã lọc bỏ> gửi lại từ GMAIL Dear Thái, Sáng nay, anh Long Bộ trưởng Y tế có chuyển <đã lọc bỏ> các thông tin liên quan đến ý kiến của Thái. Rất mong Thái có thêm ý kiến chi tiết về mặt kỹ thuật để anh em có thể nhanh chóng khắc phục các điểm yếu nếu có. <Đã lọc bỏ> CC kèm trong email này <đã lọc bỏ> Viettel và các anh em Cục CNTT Bộ Y tế để cũng tham gia luôn. <đã lọc bỏ> sẽ giúp trao đổi và follow cụ thể về mặt kỹ thuật. Cảm ơn Thái nhé! --- ...

Chiến dịch gây quỹ chống COVID của VietBay đã quyên được hơn 800 nghìn USD

Image
Với tình hình dịch bệnh đang dần được kiểm soát ở Sài Gòn, Bình Dương và các vùng lân cận, chúng tôi xin kết thúc chiến dịch gây quỹ “ Hỗ trợ người Việt Nam đang gặp khó khăn do Covid-19 ". Từ mục tiêu ban đầu 24,000 USD, tính tới ngày 30 tháng 9 chiến dịch gây quỹ đã nhận được 699.135,43 USD và 466.751.456 VND bao gồm đóng góp và cam kết đóng góp cho các dự án chính và 104.255,5 USD đóng góp cho các dự án theo chỉ định của nhà hảo tâm. Chúng tôi đã giải ngân được hơn 740.000 USD và sẽ tiếp tục giải ngân phần còn lại trong những ngày sắp tới. Do phải mất 4 đến 6 tuần để nhận được đóng góp qua Facebook cũng như các công ty quản lý đóng góp từ thiện, chúng tôi sẽ cập nhật thành quả cuối cùng của chiến dịch vào cuối tháng 11. Cho các dự án đang tiếp diễn, chúng tôi sẽ cập nhật thường xuyên khi có kết quả. Xem theo dõi thông tin trên trang Facebook của VietBay:  https://www.facebook.com/VietBayArea.USA/ . Chúng tôi sẽ mãi không quên tấm lòng của những nhà hảo tâm, các đối tác và tình ...

Câu hỏi thường gặp về vụ lộ dữ liệu Sổ sức khỏe điện tử

Dữ liệu của tôi có bị lộ hay không? Nếu bạn tiêm vaccine COVID ở Việt Nam, khả năng cao là dữ liệu bạn khai báo để được tiêm sẽ được đưa vào Sổ sức khỏe điện tử. Tùy thuộc vào địa điểm tiêm, dữ liệu bao gồm tên, ngày tháng năm sinh, địa chỉ nhà, nơi làm việc, số điện thoại, số chứng minh thư, số bảo hiểm y tế, số bảo hiểm xã hội… Hệ thống có lưu thông tin hộ gia đình, từ đó có thể biết được ai sống cùng một nhà và mối quan hệ gia đình. Hệ thống này còn lưu trữ cả hồ sơ bệnh án, nhưng tôi không rõ nếu chỉ tiêm vaccine COVID thì có phải khai báo gì không. Kẻ xấu lợi dụng lỗ hổng sẽ có thể tìm kiếm và tải về tất cả thông tin kể trên. Tôi không có bằng chứng có ai đó đã làm như vậy. Để xác nhận 100%, phải có một cuộc điều tra độc lập. Tôi không nghĩ người ta sẽ làm vậy, trừ khi Quốc hội và Chính phủ vào cuộc. Tôi cần phải làm gì để tự bảo vệ? Thật sự tôi không có giải pháp nào cả. Dữ liệu danh tính là dữ liệu trọn đời, mất rồi không thể nào lấy lại được. Nếu kẻ xấu lấy được thông tin này, ...

Thư ngỏ gửi Thủ tướng Phạm Minh Chính về việc thay đổi tư duy làm app chống dịch

Kính gửi Thủ tướng Phạm Minh Chính, Tôi là Dương Ngọc Thái, kỹ sư an ninh mạng đang làm việc ở Google, Hoa Kỳ. Tôi viết thư này để thông báo cho Thủ tướng biết một số lỗ hổng nghiêm trọng của hệ thống Sổ sức khỏe điện tử. Đây là hệ thống do Bộ Y tế quản lý và cho đến thời điểm này có chứa thông tin cá nhân và sức khỏe của gần 25 triệu người Việt Nam, bao gồm cả đại biểu Quốc hội và lãnh đạo các cấp. Con số có thể không dừng ở 25 triệu người, vì toàn bộ những người đã tiêm vaccine Covid-19 đều sẽ có thông tin trên hệ thống này. Thông tin bị lộ bao gồm: tên, địa chỉ, số chứng minh nhân dân, số điện thoại, nơi làm việc, một số người có số bảo hiểm y tế thì có thể truy ra tình trạng và lịch sử bệnh tật; từ địa chỉ hoặc dữ liệu hộ khẩu có thể truy ra thông tin về người thân trong gia đình. Đây là các thông tin nhân thân nhạy cảm, có thể bị lợi dụng để lừa đảo hoặc thậm chí xâm hại an ninh quốc gia. Để làm bằng chứng về mối nguy hại, tôi đính kèm một số thông tin cơ bản của 298 Đại biểu Quốc...

Cảnh báo: lỗ hổng lộ thông tin gần 25 triệu người đã tiêm vaccine ở Việt Nam

Sau khi tôi nói về tư duy làm app quốc dân , một đồng bọn nhắn tin kêu tôi vô coi hệ thống Sổ sức khỏe điện tử, "chắc nó nát lắm". Hệ thống này do Bộ Y tế quản lý và Viettel thực hiện. Thú thật, sau khi báo lỗi và góp ý về Bluezone tôi cũng thấy ngán làm việc với các team quốc doanh. Nhưng số trời hay sao đó, ba tôi đủ tiêu chuẩn nhưng chưa được cấp thẻ xanh, thẻ vàng Covid. Thế là tôi phải vô coi Sổ sức khỏe điện tử (SSKĐT) cấp thẻ thế nào. Vô coi thì tôi thấy Sổ sức khỏe điện tử có nhiều lỗ hổng bảo mật sơ đẳng, làm lộ thông tin cá nhân và dữ liệu sức khỏe của gần 25 triệu người Việt Nam và người nước ngoài đang sống ở Việt Nam, bao gồm cả đại biểu Quốc hội và lãnh đạo các cấp. Nói chung, nếu bạn từng tiêm vaccine ở Việt Nam, thông tin của bạn nhiều khả năng đã được lưu trữ trong hệ thống này, bất kể bạn đã cài app hay chưa. Thông tin bị lộ bao gồm: tên, địa chỉ, số chứng minh nhân dân, số điện thoại, nơi làm việc, một số người có số bảo hiểm y tế thì có thể truy ra tình...

Quyền được gãi ngứa

(Một phiên bản của bài này đã đăng trên VNExpress ) Làm công nghệ gần hai mươi năm, vậy mà tôi phải vã mồ hôi mới đăng ký được cho ba tôi tiêm vaccine trên Cổng tiêm chủng quốc gia. Ba tôi đã lớn tuổi, biết xài điện thoại thông minh, tuy không thạo lắm. Ông không tự đăng ký được nên tôi phải giúp. Đó là đầu tháng tám vừa qua. Tôi điền thông tin xong, thấy cũng thuận tiện, nhưng sau đó Cổng tiêm chủng yêu cầu "xác nhận số điện thoại". Họ gửi về điện thoại của ba tôi một mã số, phải nhập đúng mã số đó mới được đăng ký. Tôi gọi điện từ nước ngoài về, hỏi mã số để nhập lên cổng. Ông ngơ ngác: "Mã gì con?". Tôi ngớ người, hóa ra ba tôi chưa từng nhập mã OTP để giao dịch trực tuyến. Tôi giải thích một hồi, nhấn nút "gửi lại mã" mấy lần, máy của ông vẫn không nhận được. Mỗi lần gửi mã số mới, hệ thống chỉ chờ hai phút thôi, chậm hơn là phải làm lại. Cuối cùng, tôi quyết định cứ đăng ký bằng số khác, thầm nhủ "họ hỏi thì ráng giải thích". Đăng ký đến giờ...

VietBay Sponsors Newsletter 9/13/2021: 3x matching opportunities!

Image
Dear sponsors, In the last days of August 2021, our campaign crossed the $500K milestone. This is already beyond our wildest dreams, but it doesn’t end there. Netflix employees and anonymous VietBay members have given us another 3x matching sponsorship: for every $1 you contribute, they will donate an additional $2 for up to $70,000! This is the great news that we alluded to in our last newsletter. The new matching funds, however, are being depleted very quickly! At the time I am writing this line, we’ve successfully matched about $50K out of $70K. You still have a chance to triple up your donation if you act fast :-). We plan to give 10,000 more food packages, 50,000 more 3M 8210 N95 masks, 20 more patient monitors, and 60 more syringe pumps. Given the great momentum we have seen, we expect the final numbers to be much greater! Things happened VietBay kids and friends performed live music on Castro street in downtown Mountain View and raised $950 on the spot for our campaign. With m...

Vụ cướp khẩu trang

Image
Cập nhật 9/9/2021 : đại diện Bộ KHĐT người trực tiếp tham gia dự án này đã gửi cho tôi một lá thư dài nói rằng đây là "tai nạn nghề nghiệp", "ngoài ý muốn". Tôi thấy người viết thư cũng có ý tốt, dẫu gì cũng đã quan tâm giúp đỡ những nhóm thiện nguyện, việc xảy ra trên mặt báo có thể là ngoài ý muốn thật. Tôi bỏ đoạn nói về "đoạn tình đoạn nghĩa", vì tôi thấy họ cũng không muốn việc xảy ra như vậy. Tôi thật sự thấy tiếc cho họ, câu chuyện hay cuối cùng bị phá hỏng vì hai chữ thành tích. Nếu là tôi, tôi sẽ chỉ viết ngắn gọn một dòng: "Chúng tôi thấy kiều bào ở nước ngoài vất vả quyên tiền, săn mua khẩu trang, nên phụ bà con một tay trong khâu vận chuyển, để cùng nhau chung tay vì Việt Nam." Mà người ta muốn lập thành tích để chào mừng cái gì đây trời? Chả lẽ chào mừng Việt Nam đã có mười mấy ngàn người chết vì COVID?! Cập nhật 14/9/2021 : đại diện bộ KHĐT gửi cho tôi một số thông tin chứng minh rằng họ không chủ động ngỏ lời giúp đỡ, mà là người c...

Sponsors Newsletter 8/29/2021: patient monitors and syringe pumps

Image
We shared this letter with our contributors and sponsors earlier today. Tôi không có thời gian dịch ra tiếng Việt, nếu mọi người có thắc mắc gì xin cứ hỏi tôi sẽ trả lời. --- Dear supporters,   We would like to give you an update on how we have used your generous donation to help Vietnamese struggling due to COVID-19. In less than two months, VietBay has raised $388,622 and disbursed $343,679 to provide 50,000+ meals and food packages, 26,300 3M N95 masks, and $50,000 worth of medical equipment for our fellow Vietnamese. Aside from our main partner the Lotus Charity Foundation, we have  also worked closely with VNHelp and provided funding for the Joy Foundation, “Những người yêu Sài Gòn” and more than 10 grass-root charity groups. Together with our partners we have provided: 17,977 food packages for people in need in Saigon, Binh Duong, etc., 30,000 meals for homeless, Covid patients and people in need in Saigon, 35 tons of vegetables, 20 tons of rice for people in quarantined...

Người ta có thể xác định vị trí của blogger hay không?

Image
Một bạn đọc hỏi . Đây là một câu hỏi hay, có thể dùng để phỏng vấn. Hồi trước tôi có làm dự án chuyển Blogger sang sử dụng HTTPS, nghĩa là tất cả phiên truy cập của tác giả và bạn đọc đều được mã hóa, khiến không dễ để ai đó theo dõi hay xác định vị trí của một blogger nào đó. Tuy vậy không nên chủ quan, nếu không cẩn thận vẫn có thể để lộ địa điểm hay danh tính. Một số biện pháp tự bảo vệ: 1/ Không nên click vào link trong comment. Người ta có thể dùng cách này để xác định địa chỉ IP của bạn. 2/ Mỗi khi muốn viết blog, mở một cửa sổ Incognito, soạn blog xong thì đóng cửa sổ đó lại. Việc này ngăn chặn kẻ xấu khai thác lỗ hổng của Blogger nếu có. 3/ Không nên tự truy cập vào blog của mình quá nhiều lần, nhất là sau khi mới đăng bài mới. 4/ Mở tính năng "Use secure DNS" của Chrome để hạn chế lộ thông tin qua kênh DNS khi truy cập blog. 5/ Khi post hình lên blog nhớ đổi tên hình, nếu tên có chứa thông tin nhạy cảm. Blogger đã tự động bỏ thông tin địa điểm ra khỏi hình, nhưng khô...

HOSE đã hoạt động ổn định?

Tôi thấy tin là HOSE đã đưa vào sử dụng thành công hệ thống tạm thời của FPT: Nhờ sự vào cuộc của FPT, HoSE đủ khả năng xử lý số lượng giao dịch lên đến 3-5 triệu lệnh một ngày, cao gấp nhiều lần mức 900.000 như trước đó. Tôi đã có nghi ngại, nhưng bây giờ phải nói chúc mừng team FPT!

VietBay COVID-19 relief campaign - Sponsors Newsletter 8/19/2021: masks, PPEs and oximeters

Image
We shared this letter with our contributors and sponsors earlier today. Tôi không có thời gian dịch ra tiếng Việt, nếu mọi người có thắc mắc gì xin cứ hỏi tôi sẽ trả lời. --- Dear sponsors, We’d like to give you an update on the current situation of the COVID-19 outbreak in Vietnam, what we’ve done to help and what will come next. Please let us know if you don’t want to receive further updates.   Current situation   Source: VNExpress   Source: VNExpress At this point the numbers are just statistics. Please watch this 30 seconds clip to truly experience what’s happening: everything is super overloaded and Saigon’s healthcare system can collapse at any moment.   If you have more time, we highly recommend watching this video of a doctor from Hanoi volunteering to fight COVID in Binh Duong sharing his experience. It's 2 hours but it's worth every second.   What’ve we done?   We have quite a few updates on our homepage: https://www.vietbay.group/events/fundrai...

Kinh nghiệm phỏng vấn ở Silicon Valley với FAANG

Hai bài viết rất hay của một bạn tự xưng là Kỹ sư Sờ-cu-rờ-ti  gửi đăng (xin thề theo luật omega tôi không biết đây có phải là chunxong không): https://socurity.wordpress.com/2021/05/15/kinh-nghiem-phong-van-o-silicon-valley-voi-faang/ https://socurity.wordpress.com/2021/06/24/kinh-nghiem-phong-van-o-silicon-valley-voi-faang-phan-2/ Bây giờ mà tôi đi phỏng vấn thì rớt hết. Hồi xưa cũng rớt hết, mà giờ cũng rớt hết. May quá Google không định kỳ phỏng vấn lại.

BKAV đã bị hack như thế nào?

Image
BKAV lại bị hack , hacker nói sẽ live stream, nhưng, móng tay nhọn gặp da mặt dày, BKAV đã "xịt nước" tắt hết máy chủ!  Sợ té đái là có thiệt nha bà con ơi. Để đền bù cho đông đảo người hâm mộ, trong đó có tôi, hacker công bố hai video mô tả quá trình hack vào BKAV. Trong video thứ nhất (thanks chunxong for the shoutout to this blog!), chunxong tìm thấy một máy chủ của BKAV ở địa chỉ https://118.70.155.198:8008 . Máy chủ này giờ đã chết. Thật tội nghiệp, không biết ăn phải quả "thủy lôi" của vị lãnh đạo thiện chiến nào. Trong video, có lẽ quay ngày 7/8/2021, máy chủ này chạy một sản phẩm security do BKAV tự chế có cái tên rất kêu BKAV IPS Firewall . Máy chủ yêu cầu phải đăng nhập và a-lê-hấp hacker nhập  ' or 1=1-- và vô được luôn! Cập nhật : chỗ này chưa chính xác lắm. chunxong nói rằng đoạn code đăng nhập mặc dù có lỗi SQL Injection, nhưng trước đó còn có một đoạn kiểm tra mật khẩu phải đúng như regular expression như sau: ^(?=.*[a-z])(?=.*[A-Z])(?=.*[0...