thái

Thông báo mới về TetCon 2012

2011-12-28T16:08:00.000-08:00

Ban tổ chức TetCon 2012 xin trân trọng thông báo về thời gian và địa điểm chính thức của hội thảo như sau:

Thời gian: 8h - 18h, thứ sáu, 13/1/2012

Địa điểm: Phòng hội trường - Lầu 6 – Tòa nhà Trung Tâm Thông tin Hợp tác Quốc Tế Thông Tấn tại TP.HCM- 116-118 Nguyễn Thị Minh Khai, Phường 6, Quận 3, TP.HCM

Sau khi thống nhất chương trình hội thảo vào ngày 3/1/2012, ban tổ chức sẽ gửi email xác nhận với những khách đã đăng ký tham dự hội thảo. Trong thời gian chờ đợi, xin vui lòng xem qua chương trình dự kiến ở đây và danh sách diễn giả tạm thời ở đây. Đã có gần 300 khách đăng ký tham dự hội thảo, cho đến thời điểm tôi viết thông báo này. Hôm nay và ngày mai cũng là hạn chót để gửi tham luận đến TetCon 2012.

Hội thảo Tết 2012

2011-12-09T22:06:00.001-08:00

Một số cập nhật:

1. Thông tin mới về giá vé dự kiến:

* Đăng ký trước ngày 17/12/2011: 200.000 đồng/người.

* Đăng ký trước ngày 31/12/2011: 300.000 đồng/người.

* Đăng ký trong ngày hội thảo: 500.000 đồng/người.

Chúng tôi nhận thanh toán thanh toán bằng tiền mặt khi bạn đến dự hội thảo. Tất cả loại vé đều giảm 50% nếu có thẻ sinh viên còn hiệu lực.

Xin nhấp vào đây để đăng ký.

2. Mời gửi tham luận:

Hội thảo Tết là một diễn đàn để thảo luận những kinh nghiệm thực tiễn trong việc đảm bảo an toàn cho sản phẩm và hệ thống thông tin của doanh nghiệp, cũng như những nghiên cứu và phát triển mới nhất trong lĩnh vực an toàn thông tin ở Việt Nam cũng như trên thế giới. Tham luận có thể thuộc các chủ đề như:

Ứng dụng web và các khung ứng dụng.
Trình duyệt web và HTML5.
Thiết bị di động.
Điện toán đám mây.
Thương mại điện tử.
Phần mềm độc hại và an toàn cho người dùng cuối.
Tấn công từ chối dịch vụ.
Phòng chống và phát hiện xâm nhập.
Theo dõi và quản trị an toàn mạng.

Chúng tôi khuyến khích những tham luận bàn về các đề tài như:

Lập trình an toàn trên Android hoặc iOS.
Những tính năng mới trong HTML5 và ảnh hưởng của chúng đến sự an toàn của web
An toàn trong sử dụng công nghệ điện toán đám mây.
Đảm bảo an toàn cho một trang ngân hàng điện tử, thanh toán điện tử hoặc website buôn bán sản phẩm.
Kiện toàn an ninh cho những khung ứng dụng quen thuộc như .NET, LAMP, Ruby On Rails, Django, v.v.
Bài học rút ra từ những lần bị tấn công từ chối dịch vụ.
Kiện toàn an ninh cho hệ thống mạng nội bộ doanh nghiệp.
Kinh nghiệm xây dựng và triển khai các hệ thống phòng chống và phát hiện xâm nhập.

Xin nhấp vào đây để gửi tham luận.

---

Đã thành thông lệ, hằng năm vào dịp giáp Tết, ban quản trị diễn đàn HVA đều tổ chức một buổi họp mặt thân tình giữa các thành viên tích cực của diễn đàn. Tết Canh Thìn 2012 năm nay, song song với buổi họp mặt truyền thống, HVA sẽ phối hợp cùng với VNSECURITY tổ chức một hội thảo mini, nơi diễn giả trong và ngoài nước trình bày và trao đổi:

* Những kinh nghiệm thiết thực trong việc đảm bảo an toàn cho sản phẩm cũng như hệ thống thông tin của doanh nghiệp.

* Những nghiên cứu và phát triển mới nhất trong lĩnh vực an toàn thông tin ở Việt Nam cũng như trên thế giới.

Xin mời đăng ký tham gia và gửi bài tham luận ở đây (SSL).

cá

2011-12-08T22:08:00.001-08:00

hai con cá con đang bơi tung tăng thì gặp một con cá già bơi ngược chiều. con cá già gật đầu chào, rồi hỏi, "này nhóc, thấy nước mát không?". hai con cá con tiếp tục bơi một đoạn ngắn, rồi một con liếc mắt nhìn con kia và hỏi, "nước là cái quỷ gì vậy mậy?"

cá sống trong nước nhưng lại không biết là chúng đang sống trong nước. nước có mặt ở khắp mọi nơi, bao trùm tất cả nên cá không thể nào thấy được nước. cho đến khi chúng ra khỏi nước.

--

hôm qua vô tình đọc được những mẩu chuyện về cuộc sống thời "đêm trước đổi mới" cách đây chừng 20-25 năm. đúng là như nhiều người nói, không sống trong thời đó thì không thể nào mường tượng được một cuộc sống kỳ lạ đến như thế. thế mà chúng ta vẫn chịu đựng và chịu được. cho đến bây giờ. cho đến bao giờ?

có lẽ phải ra khỏi sự kỳ lạ mới thấy được sự lạ kỳ...

Pwnies Award 2011

2011-12-06T09:05:00.001-08:00

mấy hôm nay đang buồn buồn rầu rầu về những ước mơ lớn của cuộc đời. tự dưng nhớ đến đoạn video này, mở ra xem, thế là vui vẻ phấn chấn trở lại ;-).

J. đi nhanh quá, tôi gần như chạy theo mà vẫn không kịp. lúc về khách sạn, hắn nói, "tao mắc cỡ quá nên muốn nó kết thúc càng sớm càng tốt..." ha ha ha tôi cũng mắc cỡ, bối rối quá cứ tháo kính ra, đeo kính vào :-".

đường đến ước mơ còn xa lắc, còn nhiều lắm chông gai, nhưng thế mới vui!

Lớp học mật mã miễn phí ở Stanford

2011-11-19T12:46:00.001-08:00

Cập nhật: Lớp an toàn máy tính cũng sẽ được dạy miễn phí vào học kỳ mùa đông 2012! Lớp này là phiên bản mở của lớp CS155. Hai mảng đề tài thú vị mà lớp này sẽ giới thiệu là khai thác – phòng chống các lỗ hổng hư bộ nhớ và an toàn web. Nhóm nghiên cứu an toàn web của Stanford là những người tiên phong trong lĩnh vực này. Tôi nghĩ nếu không có thời gian thì chỉ nên học lớp mật mã, rồi sau đó xem dần bài giảng của lớp CS155 cũng được.

Chúng ta đang sống trong một thời đại rất thú vị ;-). Stanford vừa thông báo họ sẽ mở lớp dạy mật mã miễn phí do giáo sư Dan Boneh đứng lớp. Đây là phiên bản mở của lớp CS255 mà tôi học hồi năm ngoái. Loạt bài mật mã hiện đại mà tôi đang viết cũng là dựa trên nội dung của CS255.

Dan Boneh là chuyên gia hàng đầu thế giới về mật mã ứng dụng và cũng là giáo sư tuyệt vời nhất mà tôi từng được học. Không chỉ dạy cho bạn tất cả những gì bạn cần phải biết về mật mã ứng dụng, mà Dan còn sẽ truyền cho bạn niềm đam mê mật mã nói riêng và học thuật nói chung.

Đây là một cơ hội không thể bỏ qua! Tôi sẽ đã đăng ký (tự nguyện) làm trợ giảng và hi vọng là tôi sẽ hỗ trợ được cho các bạn chưa sử dụng tốt tiếng Anh theo đuổi lớp học này.

Tự dưng thấy vui quá ;-).

Kinh nghiệm tìm việc làm ở Silicon Valley

2011-11-08T23:14:00.000-08:00

0. Bạn nào đọc blog này thường xuyên thì chắc hẳn cũng biết là tôi mới từ Việt Nam chuyển sang sống và làm việc ở Silicon Valley gần một năm nay. Bây giờ tôi đang làm việc ở Google. Hôm nay tôi muốn chia sẻ một số kinh nghiệm tìm việc làm ở Silicon Valley (SV) [1].

Đa số những người Việt đang sống và làm việc ở SV mà tôi có dịp gặp đều là du học sinh, học đại học hoặc là nghiên cứu sinh tiến sĩ ở các trường đại học của Mỹ hoặc các nước, rồi chọn SV để làm việc và định cư lâu dài. Nhiều anh chị ngạc nhiên khi biết tôi không phải là du học sinh. Thú thật là tôi cũng ngạc nhiên, khi thấy có rất ít người từ VN qua đây như tôi.

Tôi tin là nhiều kỹ sư ở VN đủ khả năng và có mong muốn tìm được một việc làm ở SV. Nhưng có lẽ ít người có thông tin về các việc làm ở SV cũng như đường đi nước bước. Tôi cũng đang hỗ trợ một vài người bạn tìm việc, nên sẵn tiện viết lại đây một số suy nghĩ.

--

1. Đầu tiên bạn phải tự tin bạn đủ khả năng làm việc ở SV. Trước khi vào Google, tôi làm việc ở một công ty tư vấn nên tôi có dịp gặp gỡ, làm việc với khá nhiều kỹ sư của các hãng phần mềm lớn. Tôi nghĩ phần lớn trong số đó, nhất là những kỹ sư Ấn Độ và Trung Quốc, không giỏi hơn những kỹ sư ở VN mà tôi đã làm việc hoặc học chung trước đây.

Hồi tôi mới nhận được email từ Google, tôi cũng nghĩ tôi không đủ tiêu chuẩn và nhận lời phỏng vấn chỉ vì tò mò. Rồi tôi thấy hóa ra phỏng vấn ở Google không quá khó như tôi đã nghĩ. Tất cả các câu hỏi đều xoay quanh những việc tôi đã làm hàng ngày trong nhiều năm. Nói cách khác, nếu bạn làm việc chăm chỉ và kỷ luật, bạn có thể tìm được một công việc tốt ở bất kỳ công ty nào trên thế giới.

Vùng SV thu hút tài năng từ khắp nơi trên thế giới. Các công ty lớn như Google mỗi năm nhận được vài triệu hồ sơ ứng viên. Dẫu vậy hầu hết các công ty đều luôn ở trong tình trạng cần người và lúc nào cũng có vị trí trống. Do đó nếu có một chiến lược tìm việc hiệu quả, bạn sẽ có một việc làm tốt. Đây cũng là ý tiếp theo mà tôi muốn chia sẻ.

--

2. Tôi thấy chiến lược hiệu quả nhất để tìm việc có thể gói gọn trong câu thành ngữ: nhất cự ly, nhì tốc độ. Công ty thường tuyển người thông qua giới thiệu nội bộ và ưu tiên phỏng vấn các ứng viên do nhân viên cử tuyển. Ví dụ như khi cần tìm người Việt phụ trách thị trường VN, nơi đầu tiên mà công ty tìm kiếm ứng viên chính là đội ngũ nhân viên người Việt của họ. Vì vậy bạn cần phải tiếp cận với công ty từ nhiều hướng, càng gần càng tốt, càng nhanh càng tốt. Ví dụ như:

* Tiếp cận với HR thông qua các mạng xã hội như LinkedIn. Với một hồ sơ LinkedIn "bắt mắt", bạn có thể sẽ nhận được nhiều lời mời hấp dẫn. Tôi nhận được email đầu tiên của Google là qua LinkedIn.

* Tiếp cận với nhân viên hiện tại thông qua các dự án nguồn mở của công ty. Cơ hội được tuyển dụng của bạn sẽ tăng lên 2000% nếu như bạn được một nhân viên của công ty cử tuyển. Rất nhiều công ty có các dự án nguồn mở và sẽ rất khó để họ làm ngơ bạn một khi bạn có những đóng góp đáng kể vào các dự án đó.

* Tiếp cận với nhóm người Việt đang làm việc ở công ty đó. Tương tự như ý vừa rồi, đây cũng là một cách để hồ sơ của bạn được gửi trực tiếp đến những nơi cần đến mà không phải qua vòng sơ loại.

* Tham gia các cuộc thi và sự kiện do công ty tổ chức. Các công ty tổ chức thi thố cũng là để tìm kiếm tài năng, nên mỗi cuộc thi là một cơ hội cho bạn thể hiện với nhà tuyển dụng.

* Tiếp cận công nghệ bằng cách trở thành chuyên gia của một lĩnh vực mà công ty rất cần. Đây là cách tiếp cận khó nhất nhưng cũng là cách hiệu quả nhất.

* Tiếp cận địa lý bằng cách chuyển đến SV hoặc các khu vực khác ở Mỹ. Tôi thấy các công ty thường ưu tiên các ứng viên đang ở SV (vì chi phí tuyển dụng sẽ rẻ hơn), nên nếu bạn có cơ hội, bạn hãy chuyển đến SV.

* Tiếp cận với các công ty gia công có trụ sở tại VN. Tôi có hai người bạn trước đây được TMA gửi sang SV làm gia công cho một số hãng, rồi nhân cơ hội đó tìm việc làm và ở lại SV làm việc lâu dài luôn.

* Nếu bạn là sinh viên thì hãy ứng tuyển làm thực tập sinh. Điều kiện tuyển thực tập sinh thường dễ hơn nhân viên chính thức nên cơ hội của bạn sẽ cao hơn. Làm thực tập sinh cũng là con đường ngắn nhất để trở thành nhân viên chính thức.

--

3. Hai phần tôi vừa đưa ra là những ý quan trọng nhất quyết định phần lớn sự thành bại trong quá trình tìm việc của bạn. Phần tiếp theo tôi sẽ bàn sơ qua về việc thực hiện những ý này như thế nào.

Chuẩn bị

Bạn hãy tự hỏi thế này: bạn sẽ làm gì để chuẩn bị cho buổi phỏng vấn của bạn ở Facebook? Tôi nghĩ danh sách sẽ dài và rất may là bạn còn nhiều thời gian. Dẫu vậy, đừng chần chờ, mà hãy bắt tay vào ngay hôm nay. Bạn không thể biết cơ hội sẽ đến lúc nào, nên cách tốt nhất là phải chuẩn bị tốt.

Rõ ràng bạn cần phải chuẩn bị là tiếng Anh. Nếu bạn không thể sử dụng thành thạo tiếng Anh thì hãy dừng lại hết mọi việc để tập trung học tiếng Anh, cho đến khi nào bạn có thể giao tiếp bằng tiếng Anh qua điện thoại.

Chuẩn bị về nghề nghiệp chuyên môn thì phụ thuộc vào công việc mà bạn muốn làm. Đa số công việc ở SV là kỹ sư phần mềm. Với vị trí này, bạn có thể tham khao bài viết này của Steve Yegge để biết nên có những kiến thức nào. Tôi sẽ viết một bài dành riêng cho những bạn muốn làm kỹ sư an ninh ứng dụng.

Ngoài ra, bạn nên tìm đọc những cuốn sách cần đọc khi học khoa học máy tính và theo học các lớp học miễn phí của các đại học lớn như Stanford và MIT. Nếu bạn đạt được kết quả tốt trong các môn học này thì đó sẽ là một điểm rất sáng trong hồ sơ của bạn.

Giỏi tiếng Anh và giỏi chuyên môn sẽ giúp bạn thực hiện những chiến thuật tiếp cận mà tôi liệt kê ở trên. Tiếp cận càng gần và càng nhanh thì bạn sẽ càng có nhiều cơ hội. Để nắm bắt các cơ hội thì bạn cần phải có một hồ sơ cá nhân "đẹp" và kỹ năng phỏng vấn tốt.

Làm hồ sơ cá nhân (resumè)

Bạn cần hai hồ sơ khác nhau. Một hồ sơ trên LinkedIn để thu hút các cơ hội nghề nghiệp từ HR và những nguồn khác. Hồ sơ thứ hai là hồ sơ mà bạn gửi cho những nhà tuyển dụng khi họ yêu cầu.

Với hồ sơ LinkedIn, bạn nên tập trung vào các mảng kỹ năng chuyên môn, trình độ học vấn và các giải thưởng nếu có. Sự thật là những tay "săn đầu người" thường đánh giá ứng viên thông qua các từ khóa ;-), nên đây là nơi mà bạn càng có nhiều từ khóa nổi bật càng tốt. Đó là lý do tôi khuyên bạn nên tìm học các lớp học miễn phí của Stanford, bởi nếu bạn đạt được điểm tốt, thì bạn có thể có được từ khóa Stanford rất nặng ký trong hồ sơ của bạn.

Với hồ sơ mà bạn gửi cho nhà tuyển dụng, bạn phải khiêm tốn. Càng khiêm tốn càng tốt. Với người có ít hơn 10 năm kinh nghiệm làm việc, tôi nghĩ 1 trang A4 là đủ. Hồ sơ nên làm bằng LaTex, xuất ra tệp PDF với các đề mục chính như thông tin liên lạc, học vấn, kinh nghiệm làm việc, kỹ năng chuyên môn và giải thưởng nếu có. Nếu bạn có làm phần mềm hoặc có làm nghiên cứu thì có thể liệt kê những công trình nổi bật nhất.

Bạn cần phải cẩn trọng khi liệt kê các kỹ năng của bạn, bởi người phỏng vấn sẽ dựa vào đó mà đặt câu hỏi. Chỉ liệt kê những gì mà bạn thật sự "rành sáu câu". Tuyệt đối không liệt kê những mảng công việc mà bạn chỉ làm qua loa hoặc đã làm quá lâu nên bây giờ bạn không còn nhớ. Tuyệt đối không liệt kê quá nhiều từ khóa cùng một lúc, nếu không thì chính bạn sẽ là nạn nhân. Bạn nên hiểu rằng người phỏng vấn bạn rất có thể là những người tiên phong và là chuyên gia hàng đầu về các kỹ năng mà bạn ghi trong hồ sơ.

Sau khi làm hồ sơ, bạn nên gửi cho bạn bè hoặc đồng nghiệp đánh giá và phê bình. Bạn cũng có thể gửi cho tôi nếu bạn muốn.

Phỏng vấn

Một cách chuẩn bị cho buổi phỏng vấn là thử sức với các câu hỏi phỏng vấn trên mạng. Tôi nghĩ có hẳn vài cuốn sách viết về các câu hỏi này. Blog KHMT cũng có một bộ câu hỏi phỏng vấn rất thú vị. Tôi chưa từng gặp các câu hỏi kiểu như "Làm sao để dời một ngọn núi?", nên tôi nghĩ bạn cũng không cần phải bỏ nhiều thời gian cho dạng câu hỏi đó.

Bạn cũng nên thử phỏng vấn với bạn bè và đồng nghiệp. Nếu có cơ hội, thử phỏng vấn với các công ty khác nhau, bất kể bạn có muốn làm việc cho họ hay không. Việc phỏng vấn sẽ giúp bạn nhận ra những điểm yếu trong kiến thức cũng như kỹ năng phỏng vấn, để có thể khắc phục kịp thời trước khi phỏng vấn với công ty mà bạn yêu thích.

Thông thường thì bạn sẽ được phỏng vấn qua điện thoại trước. Cuộc phỏng vấn ngắn đầu tiên là của HR, sau đó sẽ có trung bình 2 cuộc phỏng vấn kỹ thuật khác. Bạn nên sử dụng điện thoại bàn có loa lớn, không nên trả lời phỏng vấn qua điện thoại di động. Nếu được thì yêu cầu họ phỏng vấn qua Skype hoặc Google+ Hangout, để lỡ như bạn không nghe kịp, thì bạn có thể hỏi họ lại qua cửa sổ chat ;-). Trước khi trả lời, bạn nên nhắc lại câu hỏi và cũng đừng ngại hỏi lại câu hỏi nếu bạn không nghe kịp hoặc không hiểu.

Nếu vượt qua được các cuộc phỏng vấn qua điện thoại (chúc mừng!), bạn sẽ được mời đến trụ sở của công ty để phỏng vấn. Thông thường bạn sẽ phỏng vấn liên tục với nhiều người trong một ngày. Như tôi đã nói ở trên, thực tế các buổi phỏng vấn không khó. Các câu hỏi chỉ xoay quanh những kỹ năng mà bạn liệt kê trong hồ sơ, nên hãy an tâm nếu bạn đã có quá trình làm việc chăm chỉ. Chúc thành công!

Vượt qua được vòng phỏng vấn rồi thì 90% là bạn sẽ được tuyển dụng. Lúc này một bước quan trọng là thỏa thuận lương bổng, điều kiện làm việc.

Thỏa thuận lương bổng

Lưu ý là mọi thỏa thuận lương bổng ở SV đều là trước thuế và có rất nhiều loại thuế bạn phải đóng. Ví dụ tôi phải nộp gần 40% thu nhập cho thuế.

Hiện giờ thì mức thu nhập trung bình của kỹ sư phần mềm mới ra trường ở SV tôi nghĩ là ở mức 80.000 USD/năm. Mỗi năm kinh nghiệm bạn có thể tính thêm 10%. Trong quá trình đàm phán lương bổng, có thể HR sẽ hỏi mức lương ở công ty cũ của bạn. Bạn không phải và không nên trả lời câu hỏi này, bởi có thể HR đang tìm lý do để hạ lương bạn xuống ;-).

Thường các công ty sẽ gửi cho bạn một thư đề nghị (offer letter), trong đó ngoài con số lương chính thức, còn có thể có:

* Số ngày nghỉ phép ăn lương. Thông thường là từ 10 ngày đến 15 ngày.

* Mức thưởng hàng năm. Đa số các công ty đều có quy định một mức cụ thể và bạn có thể được hơn nếu làm tốt.

* Cổ phần của công ty. Cái này thì có quá nhiều dạng nên tôi không bàn ở đây.

* Các loại bảo hiểm, bao gồm bảo hiểm sức khỏe, mắt, răng và bảo hiểm nhân thọ. Thông thường các công ty sẽ trả một phần và bạn sẽ trả một phần. Không có bảo hiểm thì khó mà sống sót được ở Mỹ, nên bạn phải coi kỹ các loại bảo hiểm mà công ty tài trợ.

* Tiền thưởng ký hợp đồng. Công ty sẽ gửi cho bạn một khoản "lót tay" nếu bạn đồng ý làm việc cho họ.

* Tiền chuyển địa điểm. Công ty sẽ tài trợ vé máy bay cũng như các khoản phí khác để bạn chuyển từ VN sang SV.

* Hưu trí và các lợi ích khác.

Đừng bao giờ vội vàng chấp nhận offer. Đây là một cuộc thương lượng và không có lý do gì bạn phải đồng ý với đề nghị đầu tiên của đối phương. Có những thứ mà bạn có thể thương lượng: tiền lương, cổ phần, tiền thưởng ký hợp đồng và tiền chuyển địa điểm. Rất có thể chỉ sau một vài email mà bạn sẽ có vài chục ngàn Mỹ kim ;-).

Chúc may mắn!

--

[1]: Về mặt địa lý thì các công ty công nghệ không còn chỉ tập trung ở khu vực Silicon Valley nữa, mà đã lan rộng ra khắp vùng vịnh San Francisco. Tôi gọi chung là Silicon Valley vì địa danh này quen thuộc với nhiều người.

Tìm Lỗ Lấy Tiền

2011-11-03T23:49:00.000-07:00

Trước giờ tôi ít khi kiểm tra hộp thư rác, thế mà tự dưng sáng nay vô coi thì phát hiện ra lá thư này do Mozilla gửi từ vài ngày trước:

We would like to thank you for your help on:

Bug 665814 - (CVE-2011-3389) Rizzo/Duong chosen plaintext attack (BEAST) on SSL/TLS 1.0 (facilitated by websockets -76)

While this doesn't qualify for a full $3000 bug bounty under our guidelines and no shipping version of Firefox was directly vulnerable to this attack (the vulnerable websockets version was disabled by default), your work did prompt us to strengthen our TLS implementation and push hard on Sun to get a fixed Java implementation to protect our users.

If you send me an address we can send each of you a check for $1000.00 USD or we can do a wire transfer. For the wire transfer we will need.

Bank Name:
Bank address:
SWIFT/IBAN Code:
Account number:
Name on account:
Your Home address:
[...]

Nội dung "nhìn" quá giống một tác phẩm của những nhà văn Nigeria từng đoạt giải Ig Nobel văn học 2005, hèn gì mà Gmail nhận nhầm. Hên quá ;-).

Tiện đây tôi cũng giới thiệu một chút về những chương trình Tìm Lỗ Lấy Tiền ;-) của các công ty phần mềm trên thế giới, mà tiêu biểu là Google, Mozilla và mới đây là Facebook.

Một trong những đề tài tranh cãi ưa thích của đám làm an toàn thông tin là cách thức công bố lỗ hổng. Trước đây nếu bạn tìm ra một lỗ hổng an ninh mới (gọi là 0-day vulnerability) trong một phần mềm quan trọng thì bạn có một số lựa chọn sau đây:

Giữ riêng để sử dụng khi cần.
Tìm cách bán ra chợ trời hoặc các "đầu nậu" mờ ám.
Bán cho các "đầu nậu" hợp pháp, vốn sẽ cung cấp lại cho nhà sản xuất phần mềm.
Thông báo miễn phí cho nhà sản xuất.
Công bố rộng rãi.

Đương nhiên bạn sẽ im lặng nếu chọn phương án 1 hoặc 2. Phương án số 3 cũng giống phương án số 4, chỉ khác là bạn sẽ được thưởng tiền và không cần phải làm việc trực tiếp với nhà sản xuất. Phương án số 4 và số 5 chính là đề tài của các cuộc cãi vã triền miên.

Nếu bạn chọn số 5 thì nhà sản xuất và nhiều người khác sẽ quy kết bạn là kẻ vô trách nhiệm (và có thể là háo danh nếu bạn là người mới), bởi thông tin về lỗ hổng có thể gây nguy hại cho người khác. Dẫu vậy vẫn có nhiều chuyên gia chọn phương án này, bởi vì họ cho rằng đây là cách tốt nhất khiến cho nhà sản xuất nhanh chóng sửa lỗi, vốn có thể đã bị phát hiện trước đó bởi những người chọn phương án số 1 và 2.

Phương án số 4 là lựa chọn phổ biến nhất, vì nó là một cách an toàn để tạo dựng uy tín cũng như tìm kiếm cơ hội nghề nghiệp. Khi chọn cách này, bạn sẽ làm việc với nhà sản xuất để giúp họ sửa lỗi. Khi lỗi được sửa, đa số nhà sản xuất sẽ ghi nhận sự đóng góp của bạn trên trang nhà của họ. Đôi khi họ cũng tặng quà hoặc gửi vé mời tham dự các hội thảo và các buổi tiệc mà họ tài trợ. Nhiều người chọn phương án này. Dẫu vậy nhìn chung là bạn phải làm việc không công cho nhà sản xuất. Kế hoạch công bố lỗi hay nghiên cứu của bạn sẽ phụ thuộc vào kế hoạch sửa lỗi của nhà sản xuất, mà có khi kéo dài vài năm. Cũng có trường hợp người thông báo lỗi bị nhà sản xuất đe dọa, thưa kiện và bị bỏ tù. Đây cũng là nguyên nhân chính khiến cho một số chuyên gia tên tuổi khởi xướng chiến dịch No More Free Bugs.

Từ hơn một năm nay thì các hãng phần mềm, đi đầu là Google, bắt đầu xây dựng các chương trình Tìm Lỗ Lấy Tiền kết hợp các điểm hay của phương án số 3, 4 và 5. Dẫu có thể khác nhau về chi tiết, nhưng tất cả các chương trình đều có luật chơi giống nhau: thưởng tiền (và hiện vật) cho những người săn lùng và thông báo lỗ hổng an ninh cho nhà sản xuất. Ví dụ như nếu bạn tìm được một lỗ hổng trong trình duyệt Firefox thì Mozilla sẽ thưởng cho bạn một số tiền. Hay nếu như bạn tìm được một lỗ hổng của Gmail thì Google cũng sẽ thưởng tiền cho bạn và còn trân trọng ghi tên bạn vào Google Security Hall of Fame. Thực sự tôi không có chủ ý thông báo nghiên cứu của mình cho họ để kiếm tiền thưởng, nhưng Mozilla cũng chủ động đề nghị.

Tôi nghĩ đây là một dạng "thú vui" mà những ai thích an ninh ứng dụng nên thử, những khi "nông nhàn" chẳng hạn. Nếu phát hiện lỗ hổng nguy hiểm, bạn vừa được thưởng tiền, vừa được ghi nhận, vừa thêm cơ hội nghề nghiệp. Tôi nghĩ trong năm vừa rồi, Sergey Glazunov, một tay tìm lỗ lấy tiền chuyên nghiệp, có thể đã bỏ túi vài chục ngàn đến cả trăm ngàn Mỹ kim. Ở VN hồi năm 2010 có anh Bùi Quang Minh cũng được Google thưởng một ngàn Mỹ kim cho lỗ hổng trong trình duyệt Chrome. Ngoài ra tham gia vào các chương trình này cũng là một cách tự giới thiệu hiệu quả, nếu như bạn muốn làm việc ở các hãng phần mềm lớn.

Thử xem ;-).

Mật mã hiện đại (2)

2011-10-26T23:48:00.000-07:00

Mời xem, đặt câu hỏi cũng như bình luận ở đây.

Nhân tiện đây tôi cũng có một thông báo nhỏ là từ rày về sau phần lớn các bài viết kỹ thuật của tôi sẽ được viết trên blog Khoa Học Máy Tính. Mời các bạn đón đọc. Tôi vẫn sẽ cập nhật blog này khi có nhu cầu ;-).

BEAST

2011-09-25T23:13:00.000-07:00

So we gave a talk and a live demo at ekoparty last week to show how BEAST exploits a weakness in SSL to decrypt secret cookies.

Please note that BEAST does not do any harm to remote servers. In fact, no packet from BEAST has ever been sent to any servers. We chose PayPal because they do everything right when it comes to server-side SSL, and that is good to demonstrate the power of BEAST, which is a client-side SSL attack. We reported the vulnerability to browser, plugin and SSL vendors several months ago (CVE-2011-3389).

Current version of BEAST consists of Javascript/applet agents and a network sniffer. We have some choices for the agent. At the time we reported the bug to vendors, HTML5 WebSockets could be used to build a BEAST agent but, due to unrelated reasons, the WebSockets protocol was already in the process of changing in such a way that stopped it. We can't use the new WebSockets protocol shipped with browsers. We use a Java applet in this video, but please be aware that it may be possible to implement a Javascript agent with XMLHttpRequest as well. Why don't you take a look? ;-)

Note that it is relatively easy to run a script or an applet in your browser without you doing anything (e.g, by intercepting any HTTP requests from your browser.) After all, each agent is just a piece of Javascript or an applet. Once an agent has been loaded, BEAST can patiently wait until you sign in to some valuable websites to steal your accounts.

In order to make the Java applet agent work, we have to bypass the same-origin policy (SOP). Some people have gotten the impression that BEAST required an SOP bypass bug to work and so it's not a threat by itself. That's not true. It is well known that even with a SOP bypass in Java, you can't read existing cookies. You can send requests and may read responses (which may include new cookies), but no, you can't read existing cookies. In the video (and the live demo as well,) we show clearly that we decrypt _existing_ cookies that were already stored in the browser's cookie jar. During our research, we indeed found a Java SOP bypass. We wanted to focus on more important parts of BEAST such as the actual crypto attack and optimizations, so we stopped looking for alternatives, and used the SOP vulnerability to make an agent.

A. Shamir (the S in RSA) once said "Cryptography is typically bypassed, not penetrated," and please keep reading if you are curious what happened during our anecdote of penetrating crypto.

It began with the alleged backdoor in OpenBSD's IPSEC stack. One day in late December 2010 Juliano sent me an email telling me that he got a new idea. He was at some beach in Indonesia reading tls-cbc.txt (I know that beach and TLS and CBC should not appear in the same sentence but, well, maybe he's not very interested in bikinis) and he came up with the chosen-boundary attack. In hindsight, it's obvious that somebody would think of that when they read about Dai's attack. In hindsight, however, everything is obvious. It takes somebody like Juliano to have such a good idea. I am so lucky that he always shares his ideas with me. I wrote some test cases (using the wonderful tlslite library), and after some hours, my conclusion was... it can't work in browsers. I then moved to the States, and was busy with new life, new job and schooling, so I didn't have time to research that idea any further, even after Juliano kept asking me to check it again. Don't listen to me if I tell you your attack can't work :-). Don't listen to anybody telling you that.

Fast forward to early April. I was working on some project at Matasano, and some SSL code that I saw that day made me realize that I wrote wrong tests for Juliano's idea. In fact, it seems that I didn't quite understand it back then. As soon as I got back home, I re-read Juliano's email, my notes and scripts. I decided that I needed to make it work with pen and paper first, so I drew some diagrams. The result looked hopeful. I then modified the test cases, re-ran them, and for the first time, I saw that chosen-boundary attack may work. That moment was so wonderful. It turns out that I had to "reverse" the idea to make it "compatible" with browsers, and after some more hours, not only I saw that the attack is possible, but I also understood which conditions I need to make it really work. The conditions looked easy too. I was very excited. I would have screamed loudly hahaha. I took note of what I had seen so far, and sent it to Juliano.

At first, Juliano didn't understand my note (because it's a reverse of his idea,) but he caught up very quickly, and he agreed that it looks doable. So the main condition is to be able to send two SSL records in the same cookie-bearing request (if you've read the leaked draft, we call this the blockwise privilege.) We were both very excited, because at that moment we know that it is just a matter of browser features for us to create a reliable exploit for something that people have thought un-exploitable in years.

I collected a list of browser features and plugins that allow me to send cookie-bearing requests. I took a look at the Browser Security Handbook by Michal Zalewski, and found some candidates: Javascript XMLHttpRequest, Java URLConnection, Flash URLRequest, and Silverlight WebClient API. We really wanted to make the attack work with native Javascript, so we spent a lot of time on XMLHttpRequest object. At some point, Juliano and I were even reading C++ source code of various browsers (which is even harder to understand than assembly as a friend once said.) Maybe we've missed something really obvious, but we've never made XMLHttpRequest work the way we need. It was both surprising and frustrating that it is so hard to ~~open full-duplex channels~~ do request streaming in modern browsers. People have to invent a lot of ugly bitches that known as Comet techniques. I studied every single one of them, but none of them meets what we need. I also studied HTML5 WebSockets, then concluded that it's not what I need because it includes a \x00 byte in front of every packet. More about WebSockets in a moment.

So I moved on to Java URLConnection. I'd never written an applet before, but researching is doing exactly things that you haven't done before. So I wrote an applet, and tried to make it perform the blockwise step. The Internet is really helpful. I found a wonderful URLConnection mini-guide in Stack Overflow. I also wrote a small SSL server to test my applet. It worked as expected. I could open a request, append more data to it as long as I want, and each time I "flush" the output stream, Java would send out a record in the same SSL connection. So wonderful, but I want more. I want something that works without any plugins. Once again I started writing tests for XMLHttpRequest, reading C++ code, or studying Comet. Rinse and repeat. Nothing worked.

One day while in the shower, I realized that those things haven't worked simply because they can't work. That's why people have to invent WebSockets. Hmm, why couldn't I use WebSockets? I re-read my note. So they have a \x00 prefix, which prevents me from fully controlling the chosen block. I remembered that Bellare et al. also had the same problem when they tried to attack SSH, so I re-read their paper. I was quite disappointed to know that they didn't describe any practical way to solve that problem. Then I came up with the idea of chaining of predictable IV. I wrote a small WebSockets simulator to test it, and it works. Not very fast though, since WebSockets requires that my chosen block to be a valid UTF-8 string. It's funny that we also had to deal with UTF-8 in the ASP.NET exploit. Anyway, it doesn't need any plugins. It was late April.

We split the work. I wanted to work on the paper, and Juliano wanted to work on the exploit. I started writing right away, but Juliano had to delay the exploit several months later. He got a name for it anyway. "This thing is so complicated. I would like to call it B.E.A.S.T so people kind of get stuck calling it 'the BEAST attack'. We can figure out what BEAST means later."

Writing in English has never been easy for both of us. It took us several months with a lot of help from friends to finish the ASP.NET paper, and I couldn't believe that I had to write another one even before releasing that paper. But I did eventually. Along the way, I found Bard's papers, which was extremely helpful for me. I read his paper carefully. So many "We believe". I have to confess that I am a non-believer, so I made a rule for myself: no "We believe" in my paper. Anyway, although Bard's attacks can't work, his papers were written in very nice English. So I stole a lot of phrases, expressions and statements from him. Of course I cited him many times.

So I kept writing, and Juliano helped with editing. By mid May, we finally had something good enough to ask for review from friends. I guess that no "We believe" is a good rule, since everybody said that the paper is easy to understand. We also got an awesome review from Kenny Paterson. If you happen to write a crypto paper, and need some cryptographer to review it, you may want to ask Kenny. He's very friendly, encouraging, and his review always teaches us a lot.

So we got a not-so-bad paper, but still no actual exploit because Juliano was still in some beach somewhere. We agreed that we should contact browser and SSL vendors early so that they can work on the patch, since we planned to (but didn't) release something in July. We sent the paper to Google, Mozilla, Apple, Microsoft, Opera and Oracle. All of them responded very quickly, which is pretty impressing. Mozilla created bug 665814, and it became the discussion board of all people working on the fix. Later I discovered that there were also people from IETF and other vendors that we didn't contact.

It turns out that fixing this is not easy, because every proposed solution is incompatible with some existing SSL applications. OpenSSL has already included a fix several years ago, but it is turned off by default, thanks to Internet Explorer 6's broken SSL implementation. Somebody also pointed out that due to another attack released in March, the WebSockets protocol was already in the process of changing in such a way that stopped our attack. People kept asking for a working PoC, but we could not give them anything. At some point, it seemed that no vendor wanted to patch this. We also started losing interest in convincing them. We got more compliments from cryptographers we contacted.

We didn't release anything in July as planned, since nothing has been fixed. Instead we went to BlackHat, won a pwnie for the ASP.NET bug, delivered a presentation on the attack at Matasano's private dinner. People liked it. We got several follow-up emails and an invitation to present it again at some internal conference of a client. Juliano and some other friends rooted all servers and yet lost their CTF game. Still no actually BEAST. "We can work together on BEAST when I visit you next week", but we ended up drinking all nights. So many hi 5...

Then Juliano submited the talk to ekoparty. Opera patched. We got excited. That was five weeks ago.

Juliano told me that the talk got 10/10 rating from all of the judges, and he felt that it's time to give birth to BEAST. Since WebSockets is not a good option anymore, and there was so little time to research other alternatives, we agreed that we should focus on Java and Silverlight. He worked and worked and worked. It turns out that BEAST is not easy to code. At some point, Juliano had to install Windows and Visual Studio to write a Silverlight applet in, cough cough, VB.NET. Well, he has to do things he's never done before.

BEAST finally decrypted the first byte of some cookies. It is so surreal to witness some idea that exists only in your mind actually evolves into working code. Moments like this are very rewarding, and it makes researching very worth doing. Juliano was so tired, so I asked him to send the code to me. This is why we've enjoyed doing things together. We can make progress as long as there is at least one guy up. He has done the heavy work, now it's my turn to baby-sit BEAST.

I installed Eclipse, learned Java, and started hacking the code. Since Juliano stopped as soon as BEAST decrypts the first byte, I had to fix bugs to make it decrypt more bytes more reliably. The next thing I did was to find a way to bypass the same-origin policy (SOP) with some agent. A friend was so generous that he gave me one of his Java 0-days to bypass SOP. Anyway, that bug has a dependency that we couldn't satisfy, so I had to find another one. I started reviewing JVM's source code. Honestly, I didn't expect to find a SOP bypass, but I did. What interesting is that the bug is very good for BEAST, but not so good for other types of attackers. You need to be able to do MiTM to use it. Well, that makes sense when you know that I found the bug when I was MiTM-ing a Java applet. I could look for other ways to create an agent, but both of us agreed that we should focus on optimizations. I needed to make BEAST fast. The version that Juliano sent me was so slow that all we got were expired cookies. BEAST is just a baby, it deserves fresh cookies. I spent the last week or so working on that. As you see in the demo, BEAST now takes minutes to decrypt very long unexpired cookies.

In summary, we had an idea, and we've done several things we've never done before to make it work. That's our story of penetrating crypto. Thank you for your time.

Thanks to Marsh Ray and Juliano Rizzo for reading and editing drafts of this.

Chạm dây thần kinh số 7

2011-08-15T14:44:00.000-07:00

Tối qua ngủ mà mép trái miệng cứ giật giật, cứ sợ sáng dậy sẽ bị "méo hình mất tiếng". Sáng dậy đi làm vẫn còn, giờ ngồi gõ mấy chữ này lâu lâu miệng lại giật giật. Tìm lòng vòng thì thấy người ta nói dây thần kinh số 7 bị chạm, do mệt mỏi, căng thẳng, lo âu... Mai đi khám rồi sẽ biết, nhưng mà có vẻ người ta nói cũng đúng, mấy ngày nay tôi thấy mệt mỏi, buồn và đôi khi cũng giận dữ, muốn trả đũa vì những chuyện mà người khác gây ra cho tôi.

Những lúc như thế này, tôi thường nhớ đến một ý tưởng của Đức Phật. Đức Phật nói rằng ông yêu thương hết tất cả chúng sanh, và Phật giáo cũng khuyên chúng ta phải yêu thương hết tất cả chúng sanh. Bất kể người ta làm gì Đức Phật, Đức Phật cũng sẽ thương yêu họ. Nhưng mà tại sao? Tôi không nhớ Đức Phật có giảng giải về câu hỏi này. Chắc hẳn Phật giáo có giải thích, và có lẽ lúc mà tôi nghe qua về giải thích đó, tôi thấy nó không phù hợp với những cái mà tôi tin tưởng nên tôi không nhớ.

Thông thường với những câu hỏi thế này, tôi sẽ cho vào một cái giỏ, những lúc rảnh rỗi lại đem một hai cái ra ngồi nghĩ, nghĩ đến chừng nào thông suốt hiểu rõ thì mới thôi. Hiểu rõ chưa chắc đã là đồng ý, nhưng mà hiểu rõ những ý tưởng thú vị thì lúc nào cũng sướng. Có một điều trùng hợp lạ lùng là mặc dầu tôi không cố ý tìm hiểu Phật giáo, nhưng mà một hai năm gần đây, những điều thú vị mà tôi ngộ ra được đều có liên quan hoặc đã được Phật giáo nói đến từ rất lâu.

Tôi nghĩ về câu hỏi tại sao ở trên trong một thời gian dài. Tôi thấy có một số giải thích dựa vào luân hồi, rằng Đức Phật thương yêu tất cả chúng sanh vì ngài hiểu rằng cả thảy đều là cha là mẹ của chúng ta từ muôn vạn kiếp trước. Tôi không tin vào luân hồi, nhưng tôi tin vào nhân quả và tôi nghĩ Đức Phật thương yêu tất cả chúng ta vì ngài thấy cả lũ chúng ta còn quá u mê, không hiểu cái sức mạnh bao trùm vũ trụ của luật nhân quả.

Ngài biết rằng phàm ai làm chuỵện ác, làm chuyện xấu, gieo nghiệp thì sớm muộn gì họ cũng sẽ phải lãnh quả báo cho những việc làm của họ. Đức Phật hiểu rõ luật nhân quả, nhưng ngài vẫn không thể thay đổi được luật nhân quả. Ai làm thì nấy chịu, ai tu thì nấy hưởng. Bao đời nay Đức Phật và Phật giáo cũng chỉ muốn truyền dạy những điều đơn giản như thế này mà thôi.

Ví dụ ngày hôm nay tôi nguyền rủa một ai đó, Đức Phật biết rằng rồi chính tôi sẽ phải trả giá cho việc làm đó của tôi, nên ngài thương tôi rồi sẽ phải chịu đau chịu khổ. Giống như ba mẹ thương con cái vô điều kiện, cầm lòng không đặng khi thấy con mình chịu đau chịu khổ, bất kể nó đã làm sai làm trái gì trước đó.

---

Miệng vẫn còn giật giật, nghĩa là tôi chưa làm được như Đức Phật, nhưng tôi sẽ cố gắng vậy. Cuối cùng rồi thương yêu người khác, dẫu họ là ai, có làm gì sai trái với ta không, cũng chính là thương yêu chính bản thân ta.

Chiến tranh mạng

2011-06-07T18:15:00.001-07:00

Trong hơn một tuần vừa rồi có khá nhiều website của VN bị tấn công và ngược lại cũng có khá nhiều website của TQ bị xâm nhập. Trên HVA, diễn đàn mà tôi tham gia thường xuyên, có một chủ đề bàn về "cuộc chiến" giữa hacker VN và TQ thu hút cả ngàn ý kiến. Có lẽ vì chủ đề này mà chính HVA cũng đã hai lần bị tấn công từ chối dịch vụ với cường độ lớn trong tuần vừa rồi.

Có rất nhiều câu hỏi và lời kêu gọi được đặt ra trong chủ đề trên HVA. Có bạn kêu là chúng ta phải tiếp tục tấn công. Có bạn phê phán việc tấn công với lý do TQ mạnh hơn VN rất nhiều về hacking. Có bạn hỏi nếu xảy ra chiến tranh mạng (cyber war) thì chúng ta nên làm gì, tấn công lại hay là phòng thủ ra sao. Có bạn đề nghị nên có một tài liệu hướng dẫn kiện toàn bảo mật để giảm thiểu thiệt hại khi TQ tấn công. Một số anh em trong ban quản trị HVA cũng đã soạn và công bố rộng rãi một tài liệu như thế. Cần phải nhấn mạnh rằng, dẫu ý kiến có khác nhau, hành động có khác nhau nhưng hầu hết mọi người đều "muốn làm một cái gì đó", nhất là những bạn đang học và làm việc trong lĩnh vực an toàn thông tin. Tôi nghĩ đó là điều đáng trân trọng. Bài viết này của tôi cũng xuất phát từ ý định "muốn làm một cái gì đó".

Điều đầu tiên mà tôi muốn nói là những việc hack qua hack lại như vừa qua là hoàn toàn bình thường. Mỗi ngày có hàng trăm hàng ngàn sự vụ như thế, bí mật hay công khai. Không có gì bất thường ở đây cả. Cái khác và cũng là cái làm mọi người phản ứng là lần này thì vì hack cho vui hay hack vì tiền thì ở đây là hack với động cơ chính trị. Nhưng việc đổi động cơ không làm thay đổi bản chất của hành động này là mấy: một nhóm người, đa số là trẻ, hack đơn giản vì họ có thể. Nói cách khác, nếu như trước đây chúng ta không quan tâm đến hiện tượng này, thì bây giờ tôi nghĩ cũng không có lý do gì chính đáng để quan tâm đến nó nhiều hơn trước.

Thật tế là không cần phải được nhà nước hỗ trợ, không cần phải có trang thiết bị dụng cụ hiện đại, chỉ cần một máy tính kết nối Internet và một ít thời gian, bất kỳ ai ở cả hai phía, với một chút kỹ thuật hacking, đều có thể tự phát thực hiện những vụ tấn công vừa rồi. Thế mà cả hai phía đều có những “thành công” tương đối. Điều đó nói lên rằng, những nạn nhân trong vụ tấn công vừa qua, nếu không bị tấn công bây giờ bởi TQ, thì ngày mai ngày kia sẽ bị tấn công, bởi Thổ Nhĩ Kỳ, Indonesia hay bởi bất kỳ một anh sinh viên chán học nào đó.

Các website này bị xâm nhập đơn giản vì an toàn thông tin không phải là thứ mà người quản lý quan tâm. Đôi khi họ có lý do chính đáng, đôi khi là do họ vô trách nhiệm; nhưng tựu trung lại, họ không quan tâm. Việc bị TQ phá hoại hay bị anh Tèo nào đó xâm nhập đối với họ đều như nhau. Họ không quan tâm cũng đúng. Thử nhìn xem sau một tuần, hàng ngàn website bị tấn công, có thiệt hại đáng kể nào về kinh tế hay con người hay không? Nếu tôi là chủ của một cửa hàng bán giày dép, và tôi trả cho FPT 2 triệu/tháng để duy trì một website quảng bá cửa hàng, thì tôi và cả FPT sẽ chẳng bận tâm nếu như website tự dưng bị biến dạng. Không riêng gì website quảng bá doanh nghiệp, website của các cơ quan bộ ngành mọc lên cho “bằng chị bằng em” cũng sẽ cùng chung số phận: sống chết mặc bây, tiền thầy (đã) bỏ túi! Tóm lại, việc các website này bị xâm nhập là không thể tránh khỏi, và tôi nghĩ chúng ta cũng không nên bận tâm làm gì.

Tôi không cổ vũ việc xâm nhập và phá hoại các website TQ của nhiều bạn như thời gian vừa rồi. Giới lãnh đạo TQ đã thể hiện rõ họ sẵn sàng “đổi trắng thay đen”, chà đạp lên sự thật và công lý để đạt được mục tiêu. Do đó hành động xâm nhập website TQ, dẫu chỉ là tự phát, manh mún và cũng chẳng đem đến thiệt hại gì đáng kể cho TQ, có thể sẽ được “nhào nặn” thành một cái cớ có lợi cho TQ hơn là VN, nhất là khi VN là phía khơi mào cho “cuộc chiến” trên mạng hiện nay. Việc này khó có thể xảy ra, nhưng cái “lưỡi bò” vô lý đến thế mà họ còn dám đưa ra, thì tôi tin là chẳng việc gì mà họ không làm. Vả lại sự thật là TQ rất mạnh về hacking (vì họ đông đúc hơn), nên tôi e là những hành động tự phát vừa rồi nếu kéo dài có thể dẫn đến những thiệt hại nặng nề cho VN, nếu như giới hacker lành nghề của TQ bắt đầu tham gia. Đây cũng là điểm thứ hai mà tôi muốn nhấn mạnh: VN rất thiếu (người) và yếu (khoa học kỹ thuật) về an toàn thông tin.

Tôi có được biết từ vài năm nay Bộ Quốc Phòng VN có chương trình gửi người sang đào tạo tại các nước tiên tiến về an toàn thông tin như Mỹ và Nga (và có thể cả TQ). Tôi không có nhiều thông tin về chương trình này cũng như kết quả của nó, nhưng tôi hi vọng là những chương trình như thế này đã giúp quân đội VN có một đội ngũ trẻ và giỏi về chuyên môn phụ trách công tác an toàn thông tin. Sự thiếu sót có thể quan sát được là ở khối dân sự. Đây là vấn đề mà tôi nghĩ ai quan tâm đến an toàn thông tin ở VN cũng có thể thấy, dẫu vậy tôi cũng muốn đưa ra một vài ví dụ (cảm tính) để chứng minh cho ý này.

Cách đây gần một năm tôi có làm việc với VNCERT để cảnh báo về lỗ hổng trong khung phát triển ứng dụng web ASP.NET của Microsoft cho các doanh nghiệp và tổ chức ở VN. Trong thời gian đó tôi cũng có làm việc với Microsoft để đưa ra các miếng vá. Microsoft mất khoảng 11 ngày để có miếng vá và họ bắt đầu đẩy các miếng vá này xuống máy chủ của khách hàng ngay sau đó. Tôi lên danh sách một số website của các tờ báo, ISP, ngân hàng, công ty chứng khoán, công ty thanh toán điện tử... có sử dụng phiên bản bị lỗi của ASP.NET và theo dõi xem khi nào thì họ cài đặt các miếng vá. Sau một tuần, chưa có công ty nào cài đặt bảng vá. Sau hai tuần, có một ISP đã cài bảng vá. Sau một tháng, 15% số website đã được vá. Sau đó tôi không theo dõi nữa cho đến trước khi viết bài này. Tôi chọn ngẫu nhiên ba website thì hai trong số đó vẫn chưa được vá lỗi. Đó chỉ là một lỗ hổng trong số cả chục ngàn lỗ hổng đã biết và chưa được biết đến.

Tôi làm nghề này cho đến nay là được gần chín năm. Tôi tham gia HVA cũng chừng đó thời gian. Số thành viên của HVA lên đến cả trăm ngàn người. Các khóa học để trở thành hacker được quảng bá rầm rộ. Dẫu vậy sự thật là số người cùng bắt đầu với tôi ở HVA, cho đến nay vẫn còn làm an toàn thông tin và muốn tiếp tục làm, tôi nghĩ đếm không hết một bàn tay. Hầu hết bỏ ngang, chuyển sang làm một việc khác không liên quan đến chuyên môn. Tôi thấy không riêng gì ngành này, mà hầu hết các ngành khoa học kỹ thuật ở VN đều bị tình trạng tương tự: áp lực xã hội buộc con người ta bỏ nghề, làm một việc khác dễ kiếm tiền hơn.

An toàn thông tin là một ngành học cần sự đầu tư dài hơi, bởi nó đòi hỏi kiến thức chuyên sâu trong hầu hết các phân ngành của khoa học máy tính cũng như các lĩnh vực khó nhai như mật mã học, xác suất thống kê. Đó là chưa kể kiến thức cơ bản về luật pháp, thiết kế, quản trị, tâm lý và thậm chí kinh tế học hành vi. Sự thật là cho đến bây giờ tôi vẫn luôn là người mới và vẫn học đều đặn mỗi ngày mới hi vọng là sau vài năm nữa mới đủ kiến thức và kinh nghiệm để làm việc cho tốt. Đó cũng là điều thứ ba mà tôi muốn nói đến: cách duy nhất để có thể chiến thắng, hoặc ít nhất là tự vệ là xây dựng và duy trì một đội ngũ kỹ thuật chuyên sâu tại chỗ. Dẫu vậy, tôi sẽ không nói về việc chủ động tấn công bởi nó không áp dụng được cho các doanh nghiệp dân sự, đối tượng mà tôi muốn hỗ trợ ở đây, nên tôi chỉ tập trung vào việc làm sao để phòng thủ.

Cần phải nhận ra rằng, đối với một doanh nghiệp, một vụ tấn công có chủ đích (targeted attack) do hacker TQ thực hiện dưới sự chỉ đạo của nhà nước TQ thật ra không khác gì mấy với một vụ tấn công do hacker được thuê bởi một đối thủ kinh doanh nào đó. Vả lại, như đã nói ở trên, bất kỳ một anh sinh viên chán học nào cũng có thể tấn công và xâm nhập vào mạng máy tính của các doanh nghiệp, chỉ vì anh ấy tò mò và không có gì để làm. Đó là còn chưa kể đến hàng ngàn anh học trò khác luôn rình mò lấp ló hễ thấy chỗ nào chui vào được là chui vào. Tôi cho rằng các hacker tham gia vào các vụ tấn công từ cả hai phía trong thời gian vừa qua là thuộc nhóm này. Đây cũng là nhóm ít nguy hiểm nhất, bởi lẽ chúng không phải là dạng tấn công có chủ đích như các nhóm kể trên.

Một sự thật là đa số doanh nghiệp VN tập trung vào các giải pháp “sản xuất hàng loạt” để hòng ngăn chặn nhóm đối tượng tấn công không có chủ đích. Họ mua tường lửa, phần mềm chống virus, thiết bị phát hiện và phòng chống xâm nhập. Họ dành nhiều tiền để đạt các chứng chỉ PCI DSS, ISO 27001. Đã có rất rất nhiều vụ tấn công trong quá khứ và trong một năm vừa qua nhắm vào các công ty đã đầu tư hàng triệu đô la thậm chí là nhà sáng chế của các giải pháp này. Rất nhiều công ty công nghệ lớn của thế giới đã gục ngã khi bị chọn làm đích ngắm. Một khi kẻ tấn công đã chọn bạn làm mục tiêu, thì tất cả những giải pháp “sản xuất hàng loạt” kể trên đều dễ dàng bị vô hiệu hóa. Một phương thức phòng thủ hiệu quả phải là một phương thức có thể phát hiện và ngăn chặn được nhóm đối tượng tấn công có chủ đích. Chỉ có một cách duy nhất là đầu tư vào con người, xây dựng hệ thống chuyên biệt giám sát tất cả các hoạt động của hệ thống thông tin. Tôi có bàn một hướng triển khai một hệ thống như thế ở đây.

(bài này được báo VietnamNet đăng lại ở đây).

Oakland 2011

2011-05-21T22:32:00.002-07:00

Tuần sau tôi sẽ trình bày ở hội thảo Oakland 2011 với paper "Cryptography in the Web: The Case of Cryptographic Design Flaws in ASP.NET":

This paper discusses how cryptography is misused in the security design of a large part of the Web. Our focus is on ASP.NET, the web application framework developed by Microsoft that powers 25% of all Internet web sites. We show that attackers can abuse multiple cryptographic design ﬂaws to compromise ASP.NET web applications. We describe practical and highly efﬁcient attacks that allow attackers to steal cryptographic secret keys and forge authentication tokens to access sensitive information. The attacks combine decryption oracles, unauthenticated encryptions, and the reuse of keys for different encryption purposes. Finally, we give some reasons why cryptography is often misused in web technologies, and recommend steps to avoid these mistakes.

Lần này thay đổi không khí, nộp paper cho một hội thảo hàn lâm, may mắn là không những họ không kỳ thị mà còn ủng hộ, giúp đỡ chỉnh sửa và làm cho paper tốt lên rất nhiều. Tôi đang chỉnh sửa lại vài chỗ trong paper trước khi gửi lên e-print. Bạn nào quan tâm thì có thể quay lại đây vài ngày tới, tôi sẽ gửi đường dẫn đầy đủ đến paper lên đây.

Paper này đánh dấu chặng đường hai năm của dự án nghiên cứu cách thức các kỹ thuật cryptography được sử dụng (sai) trong môi trường phát triển web. Đây là hướng nghiên cứu mà có lẽ tôi sẽ vẫn theo đuổi trong thời gian tới. Hai năm trước cá nhân tôi còn rất mù mờ về cryptography nói chung và sử dụng cryptography nói riêng. Những điều tôi biết chủ yếu gói gọn trong cuốn sách "Practical Cryptography" http://www.schneier.com/book-practical.html) của Niels Ferguson và Bruce Schneier. Thật tế là hầu hết các tấn công mà bọn tôi sử dụng trong các nghiên cứu vừa qua đều được đề cập đến trong cuốn PC. Dẫu vậy tôi rút ra được một bài học quan trọng trong quá trình làm nghiên cứu đó là luôn đặt câu hỏi tại sao, không bao giờ dễ dàng chấp nhận sự thật mà sách vở tài liệu liệt kê ra. Đằng sau mỗi câu hỏi rất có thể là một hướng nghiên cứu mới.

Ví dụ như sách có nói về length-extension attack trong các hàm hash theo mô hình Merkle-Damgard nhưng không nói cụ thể về cách thức triển khai tấn công. Bọn tôi tò mò, tìm hiểu cách triển khai tấn công này (cũng như tìm hiểu cấu trúc của MD5 và SHA1), và "tình cờ" phát hiện ra có thể sử dụng phương thức này để tấn công bộ API của Flickr. Hoặc như sách nói nếu xử lý padding không đúng, có thể khiến cho hệ thống bị tấn công theo phương thức "chosen-ciphertext attack" nhưng cũng không nói cụ thể thế nào, mà chỉ trích dẫn một paper khác.

Một nghiên cứu khác mà bọn tôi đang theo đuổi cũng là ở dạng người ta cho rằng là không thể làm được, nhưng rốt cuộc khi tìm hiểu sâu hơn thì bọn tôi mới nhận ra rằng thật ra không những có thể triển khai tấn công mà còn rất nhanh và đơn giản.

Cryptography không phải là một giải pháp trọn vẹn cho vấn đề security, nhưng mà cryptography là một phần của tất cả các giải pháp cho các vấn đề security. Dẫu vậy, sử dụng cryptography đúng cách là không dễ và hiện giờ lập trình viên cũng không được hỗ trợ như đối với các vấn đề liên quan đến memory corruption. Số lỗ hổng cryptography là rất nhiều và hầu hết là nghiêm trọng. Thật tế nhắm mắt tìm trên Google các đoạn mã cryptography, thì cá nhân tôi thấy phần lớn trong số đó là không an toàn.

Theo quan sát của tôi thì hiện giờ trong cộng đồng security ở VN cũng như nước ngoài, có rất ít người tập trung vào đề tài đánh giá việc sử dụng cryptography đúng cách trong các phần mềm thương mại. Đây là một cơ hội cho bạn nào muốn làm nghiên cứu trong mảng đề tài an ninh ứng dụng. Ngoài an ninh ứng dụng ra, thì có thể kết hợp cryptography và hardware reverse engineering để nghiên cứu cách cryptography được sử dụng trong các thiết bị điện tử cá nhân như đầu đọc sách, đồ chơi, điện thoại hoặc các loại smartcard như thẻ thanh toán. Đây cũng là lĩnh vực còn ít người làm và còn nhiều cái để làm.

Xấu hổ và tự hào

2011-05-17T15:28:00.002-07:00

Nhân dịp hôm nay đọc được một loạt bài về "yêu nước, tự hào dân tộc" trên VietnamNet, tôi xin kể cho các bạn nghe một câu chuyện nhỏ.

Chỗ tôi ở có nhiều người Ấn Độ. Tôi cũng có một thằng bạn người Ấn Độ. Một hôm hai đứa đang xếp hàng chờ mua đồ ăn trưa thì có một người, qua diện mạo tôi đoán cũng là người Ấn Độ, chen ngang hàng, giành mua trước.

Lúc quay lại bàn ăn, tôi có hỏi thằng bạn là mày thấy thế nào khi tự dưng có thằng người Ấn Độ làm chuyện khó coi trước mặt mày và bạn mày. Bạn tôi kêu, ơ mày hỏi gì lạ, tao không thấy gì cả, nó là người Ấn Độ, tao là người Ấn Độ, nhưng không có nghĩa là tao có trách nhiệm hay là bắt buộc phải xấu hổ về chuyện nó làm. Ai làm nấy chịu, tao chỉ xấu hổ nếu tao làm sai.

Hết chuyện rồi ;-).

Bây giờ bạn thử đổi "Ấn Độ" bằng "Việt Nam" và thử tự hỏi, có nên thấy xấu hổ nếu một chuyện tương tự xảy ra? Chưa hết, bây giờ bạn thử đổi "xấu hổ" bằng "tự hào" và thay vì có người chen ngang hàng, thì có một người Việt Nam tự nguyện nhường chỗ, rồi đọc lại và thử tự hỏi, có nên thấy tự hào?

Sau khi trả lời xong rồi, bạn thử đọc lại câu chuyện, lần này bỏ luôn yếu tố có anh bạn nước ngoài, mà hãy thử tưởng tượng là tất cả diễn ra ở Việt Nam, xung quanh toàn người Việt Nam. Bạn có còn cảm thấy xấu hổ hay tự hào khi một người Việt Nam chen ngang hàng và một người khác nhường chỗ cho bạn?

Nếu mà rảnh như tôi hôm nay, thì bạn hãy thử hỏi: Tại sao chúng ta có quyền tự hào về những điều tốt đẹp liên quan đến Việt Nam? Tại sao chúng ta phải có trách nhiệm xấu hổ về những điều xấu xa liên quan đến Việt Nam?

Nếu mà mấy câu hỏi đó chưa ép phê, thì bạn hãy thử thay Việt Nam bằng một danh định nào đó của bạn. Ví dụ như nếu bạn là một kỹ sư máy tính, thì thay bằng kỹ sư máy tính, nếu bạn theo đạo Phật thì thay bằng đạo Phật, nếu bạn là đàn ông thì thay bằng đàn ông...

-----

Coi báo đài, tôi thấy những người vừa có thành tích này nọ thường được hỏi một câu thế này: anh/chị có thấy tự hào khi là người Việt Nam [đầu tiên] làm được X? Nếu tôi không lầm thì câu hỏi này hàm ý "là người Việt Nam" sẽ khiến cho việc "làm được X" đáng để tự hào thêm một tẹo. Mà nhiều khi thấy tự hào thêm thật chứ.

Ví dụ như hồi trước có lần tôi đi hội nghị X, làm được việc Y, tôi cũng nghĩ, "ôi trời ơi, tự hào quá, ở nhà có ai làm được như ta". Xong rồi nhìn lại việc Y đã làm, tôi tìm mãi mà không thấy giá trị thật sự, đóng góp trí tuệ của chúng tăng lên được chút nào. Một tẹo cũng không. Ơ hay, nhưng tôi vẫn tự hào vì không có ai làm được như tôi! Thế rồi nhìn quanh cái hội nghị X, tôi thấy ở đấy có một đám đã làm Y và còn hơn thế nữa từ đời tám hoánh rồi. Nhưng mà chúng nó không phải là người Việt Nam! Lại quay lại chỗ giá trị thực sự của Y...

----

Rốt cuộc rồi khi nào thì chúng ta có quyền tự hào? Khi nào thì chúng ta phải có trách nhiệm xấu hổ? Tôi nghĩ trả lời hai câu hỏi đơn giản này cũng là một cách để bớt "chấp" vào những danh định.

Siêu hacker

2011-05-17T12:19:00.006-07:00

1. MPlayer, Google Chrome, VLC, MythTV... có chung điểm gì? Chúng đều xài thư viện FFmpeg. Rất nhiều phần mềm khác sử dụng thư viện này và có thể cái tivi hay chiếc điện thoại của bạn cũng sử dụng FFmpeg.

2. Xen, VirtualBox, Linux Kernel-based Virtual Machine... có chung điểm gì? Chúng đều dùng công nghệ của QEmu. Xen nghe có vẻ xa lạ? Amazon EC2, và có thể công nghệ điện toán đám mây mà bạn đang dùng, sử dụng Xen.

3. IOCCC, ra đời năm 1984, là một cuộc thi quốc tế để chọn ra đoạn mã C rối rắm sáng tạo nhất. Đúng như tên gọi, các đoạn mã chiến thắng IOCCC thường rối rắm nhưng lại cực kỳ sáng tạo và đương nhiên phải hữu ích.

Đơn cử như năm 2000, người chiến thắng viết một chương trình có kích thước 475 byte, in ra giá trị của 2^6972593 - 1, số nguyên tố lớn nhất từng được biết đến tại thời điểm đó, trong vài phút. Đừng thử ở nhà: viết chương trình tính số đó, xem coi mất bao lâu.

Đơn cử như năm 2001, người chiến thắng viết một trình biên dịch có thể tự biên dịch chính nó, có thể biên dịch và chạy mã nguồn C mà không cần phải có một chương trình hỗ trợ nào khác. Kích thước trình biên dịch này lên đến...2048 byte.

4. Tính các chữ số thập phân của số Pi là một thú vui của nhiều người từ vài ngàn năm nay. Cho đến năm 1995, thuật toán tốt nhất để tính chữ số thứ n trong hệ nhị phân của Pi mất thời gian O(n^3log(n)^3). Năm 1997, một thuật toán mới được công bố với thời gian tính toán chỉ mất O(n^2), nghĩa là tốt hơn thuật toán cũ 43%.

Năm 2009, thuật toán này cho đến nay vẫn được xem là thuật toán tốt nhất cho bài toán này và nó đã được dùng để tính chữ số thập phân thứ 2.7 ngàn tỉ của Pi, giữ kỷ lục thế giới vào thời điểm đó. Điều đáng nói là toàn bộ quá trình tính toán được thực hiện bằng một máy tính để bàn có giá 3.000 USD, trong khi kỷ lục cũ được thực hiện bằng một siêu máy tính gồm 640 node, mỗi node có tốc độ tính toán 147.2 gigaflops với tổng bộ nhớ là 13.5 terabyte.

5. Cách đây vài ngày trên Internet xuất hiện một đoạn chương trình cho phép bạn khởi động và chạy phiên bản mới nhất của nhân Linux ngay trên trình duyệt. Có đủ trọn bộ busybox, vi, emacs và cả một trình biên dịch. Chỉ thiếu mỗi...Firefox nữa thôi là bạn có thể chạy Firefox trong Linux trong Firefox trong Linux. Àh tôi quên nói là chương trình này, do chạy trên trình duyệt, được viết toàn bộ bằng...Javascript.

----

1, 2, 3, 4, 5 có điểm gì chung? Chúng đều là thành quả của một người. Fabrice Bellard.

Khi con mê thì thầy độ, khi ngộ rồi thì con tự độ con

2011-04-17T23:11:00.051-07:00

Hồi Tết tôi tình cờ đọc được một cuốn sách nhỏ, do mẹ tôi ghi lại từ lời giảng của một ông thầy chùa. Nói nghe có vẻ cổ tích, nhưng mà thiệt là cuốn sách vài chục trang đó thật sự đã thay đổi nhiều thứ trong con người tôi.

Vài tháng nay lúc nào tôi cũng thấy tràn trề sức sống. Cuộc sống hàng ngày cũng nhẹ nhàng dễ chịu, mặc dù bây giờ công việc căng thẳng và nhiều áp lực hơn hồi ở nhà. Giờ mà ai hỏi tôi có bí quyết gì trong cuộc sống hay không, tôi sẽ vui vẻ trả lời là có...

Cuốn sách mở đầu bằng một câu hỏi: người đi chùa lễ Phật thường hay niệm "Nam Mô A Di Đà Phật", vậy có biết, có hiểu "A Di Đà Phật" là gì không? Tôi sẽ dừng lại một chút để các bạn... Google, nếu không thì có thể đọc bài này cũng được. Tóm gọn lại thì có quan niệm cho rằng A Di Đà Phật là một ông Phật, mà nếu bạn chịu khó kêu tên ông Phật đó ra, thì có thể bạn sẽ được về miền Tây Phương Cực Lạc.

Có lần một người bạn nói với tôi rằng, đạo Phật không phải là một tôn giáo mà là một hệ tư tưởng. Khác với đa số các tôn giáo khác, đạo Phật cho rằng nhân quả là một thuộc tính sẵn có của vũ trụ, và thuộc tính này không bị chi phối bởi bất kỳ "đấng tối cao" nào cả. Giống như ánh sáng thì phải chạy với vận tốc 299792458 m/s, số PI gần đúng là phải là 3.14159265. Nghĩa là mình làm thì mình chịu. Mình làm thì mình hưởng. Không một ai, không một "đấng tối cao" nào có thể thay đổi được gì cả.

Tới đây là có thể thấy sự khác biệt cơ bản và rất lớn giữa đạo Phật với các tôn giáo khác rồi. Vì ở đa số các tôn giáo khác, chỉ cần có niềm tin, rồi cầu nguyện hàng ngày với một "đấng tối cao" là mọi thứ có thể được giải quyết hết . Hành động cầu nguyện, xin tội, rửa tội... hàm ý rằng, "đấng tối cao" có thể tác động đến cuộc sống của mỗi người.

Vậy lúc mà chúng ta niệm Phật, "Nam mô A Di Đà Phật", tại sao phải kêu tên ông Phật A Di Đà, một khi đã quan niệm rằng, không có ông Phật nào có thể giúp ích được gì?

Cuốn sách đưa ra một câu trả lời sâu sắc.

Bên trong mỗi con người chúng ta đều có một ông Phật. Ông Phật đó có quyền năng vô biên, có thể xoay chuyển trời đất. Ông Phật đó làm chuyện gì cũng được. Ông Phật đó đau khổ cỡ nào nào cũng có thể vượt qua. Nói chung ông Phật đó là độc cô cầu bại, thiên hạ vô địch. Ông Phật cũng từng tuyên bố: thiên thượng thiên hạ, duy ngã độc tôn! Nghĩa là từ trên trời cao xuống dưới đất thấp, chỉ có duy nhất mình ổng mà thôi, ngự trị bên trong mỗi con người đã, đang và sẽ sống trên hành tinh này.

Ổng là ai mà ghê ghớm đến vậy? Chính là cái tâm, cái suy nghĩ, cái hồn của chúng ta! A Di Đà Phật đúng là tên của một ông Phật, nhưng mà ông Phật đó chẳng phải ai xa lạ, mà chính là ta. Kêu tên ông Phật, nhưng thật ra là kêu gọi cái tâm Phật của chính mình.

Thử nghĩ mà xem. Cả thảy loài người, có gì chung nhất? Mặt mũi chân tay? Chưa chắc. Tim gan phèo phổi? Chưa chắc. Phải chăng là ý thức? Ai cũng có một ý thức, dẫu vô hình nhưng lại ngự trị thường trực trong mỗi con người chúng ta. Dẫu nghèo hàn đói khổ hay là giàu sang tột cùng, thì cái ý thức đó vẫn trung thành, ở mãi cạnh ta, ngày cũng như đêm, không bao giờ rời xa. Cái ý thức đó, cuốn sách cho rằng, chính là tâm Phật.

Thử nghĩ mà xem... Cái tâm Phật đó có trí tuệ vô biên, khiến chúng ta thành kỹ sư, bác sĩ, nhà toán học, phi hành gia... Cái tâm Phật đó cũng khiến chúng ta thành dốt nát, nghiện hút, hiếp dâm, giết người...

Có khó khăn nào mà cái tâm Phật đó chưa trải qua? Có khó khăn nào mà cái tâm Phật đó chưa từng đối mặt và không thể vượt qua? Bệnh tật, đói nghèo, chiến tranh, chết chóc... chẳng có gì mà cái tâm Phật chưa từng trải qua và không thể vượt qua. Thử nghĩ mà xem...

----

Khi mà chúng ta biết là khổ đau khó khăn nào chúng ta cũng có thể vượt qua, thì tức là chúng ta đã vượt qua hết tất cả khó khăn khổ đau rồi đó. Khi xưa việc gì cũng khổ, cũng khóc, còn bây giờ khi đã có trí tuệ hiểu biết dù trời sập cũng không khóc, nhà tan cửa nát cũng không buồn đau, bởi ta biết đó là lẽ tự nhiên, và ta có khả năng chịu được. Khổ mà ta có khả năng chịu được, thì làm gì còn cái khổ nào nữa đâu?

Huệ Năng từng nói, "Đâu dè tự tánh thường sanh muôn pháp", nghĩa là cái tâm ta muốn gì được đó, làm gì cũng được, vậy mà từ xưa đến nay, ta cứ mãi đi cầu ông này bà kia, cứ đi quỳ quỳ lạy lạy những bức tượng đất để cầu mong được ai đó ban phước cho. Ta cũng có khả năng làm Bồ Tát, cũng có khả năng làm Phật, vậy mà chúng ta đi cầu Phật, năn nỉ Phật mà không chịu làm Phật, đi cầu Bồ Tát, đi xin Bồ Tát mà không chịu làm Bồ Tát!

Huệ Năng từng nói, "Dè đâu tánh tự nhiên vốn thanh tịnh". Như vậy ta có sẵn bản tánh tự nhiên rất thanh tịnh mà chẳng bao giờ ta chịu xài, mà xài toàn tham, sân, si, ghen ghét, thù oán, ích kỷ, hẹp hòi, bỏn xẻn... Tại sao ta lại tự làm cho tâm ta bị bôi nhọ, bị vẩn đục?

Phật nói rằng, "Ta thành Phật được thì tất cả chúng sanh đều thành Phật được vì tất cả chúng sanh đều có khả năng thành Phật, nếu biết trở về tự tánh sáng suốt trí huệ". Làm thế nào để trở về với cái tâm Phật sáng suốt thông tuệ? Phật nói rằng, "Quay đầu là bờ".

Chúng ta đi ra từ bờ, rồi cứ đi mãi đi mãi. Trong cái hành trình đó, chúng ta gắn vào cái tâm trong sáng, gắn vào cái tâm trí tuệ biết bao nhiêu là phiền muộn, biết bao nhiêu là gian dối, biết bao nhiêu là u mê, để rồi chúng ta quên mất rằng, nơi chúng ta cần đến, cái mà chúng ta cần phải có, chính là ở nơi mà chúng ta đã bắt đầu, chính là cái mà chúng ta đã có khi mới bắt đầu. Vậy nên, quay lại đơn giản là từ bỏ, là gạt bỏ, là rửa sạch những cái u mê, ngu muội mà chúng ta đã thu nhặt được từ lúc ra đi. Làm sao biết cái gì là u mê, cái gì là ngu muội?

Kinh Kim Cang có câu, "Ưng vô sở trụ nhi sanh kỳ tâm". Nghĩa là đừng dựa vào đâu mà sanh ra tâm, cái tâm của ta vốn đã thiên hạ vô địch rồi, chẳng cần phải dựa vào bất cứ thứ gì nữa! Nói cách khác, cái gì nằm ngoài cái tâm, cả thảy đều làm cho ta thêm u mê, cả thảy đều làm cho ta thêm ngu muội, cả thảy đều làm cho ta thêm buồn phiền đau đớn. Thử nghĩ mà xem.

---

Những thứ hữu hình như nhà cửa, xe cộ, tiền tài... đều làm cho ta thêm khổ. Mua thêm cái quần cái áo, thì mỗi lần giặt đồ lại mệt thêm một chút. Lỡ mà mua đồ tốt, lại sợ hư sợ rách, phải hì hục giặt tay. Mua thêm một món đồ điện tử, thì lại tốn thời gian *chơi* với nó cho đáng của. Lỡ mà mua đồ mới, mỗi lần trầy tróc, rơi rớt đổ bể, lại buồn thúi ruột vì tiếc của. Riết rồi không biết ta làm chủ tài sản, hay là tài sản làm chủ ta.

Còn những thứ vô hình thì sao? Có cái gì làm cho ta thêm khổ, thêm ngu muội nữa hay không? Có, nhiều lắm, mà toàn những cái tinh vi thôi.

Có lần anh Ngô Quang Hưng hỏi thế này:

[...]Tại sao bạn lại identify mình với một khái niệm trừu tượng là Việt Nam? Tại sao bạn lại quan tâm khi cái gọi là “Việt Nam” mất đất? Tại sao bạn lại quan tâm về quyền con người, quyền chính trị, quyền mưu cầu hạnh phúc của dân “Việt Nam” khi 99% số người trong đó bạn không hề quen biết?

[...]Tại sao identify mình với một khái niệm trừu tượng khá áp đặt là “đất nước”? Chỉ một xáo trộn ngẫu nhiên của lịch sử sẽ dẫn đến một “Việt Nam” rất khác với một “Việt Nam” mà ta biết bây giờ. Nó đã có thể là của Tàu. Nó đã có thể không có nửa phía Nam. Khi đó identity của bạn là gì? Bạn có chắc rằng mình không phải là hậu duệ của một chú Tàu xì nào đó không?

Paul Graham cũng có lần viết thế này:

As a rule, any mention of religion on an online forum degenerates into a religious argument. Why? Why does this happen with religion and not with Javascript or baking or other topics people talk about on forums?

What's different about religion is that people don't feel they need to have any particular expertise to have opinions about it. All they need is strongly held beliefs, and anyone can have those. No thread about Javascript will grow as fast as one about religion, because people feel they have to be over some threshold of expertise to post comments about that. But on religion everyone's an expert.

Then it struck me: this is the problem with politics too. Politics, like religion, is a topic where there's no threshold of expertise for expressing an opinion. All you need is strong convictions.

[...]I think what religion and politics have in common is that they become part of people's identity, and people can never have a fruitful argument about something that's part of their identity. By definition they're partisan.

[...]More generally, you can have a fruitful discussion about a topic only if it doesn't engage the identities of any of the participants. What makes politics and religion such minefields is that they engage so many people's identities. But you could in principle have a useful conversation about them with some people. And there are other topics that might seem harmless, like the relative merits of Ford and Chevy pickup trucks, that you couldn't safely talk about with others.

The most intriguing thing about this theory, if it's right, is that it explains not merely which kinds of discussions to avoid, but how to have better ideas. If people can't think clearly about anything that has become part of their identity, then all other things being equal, the best plan is to let as few things into your identity as possible.

Most people reading this will already be fairly tolerant. But there is a step beyond thinking of yourself as x but tolerating y: not even to consider yourself an x. The more labels you have for yourself, the dumber they make you.

Phải chăng danh định, bản ngã, cái tôi và thậm chí là tri thức chính là những thứ vô hình ta tự gắn vào tâm Phật của ta để rồi làm cho tâm Phật vốn có khả năng thiên biến vạn hóa trở nên ngu muội, u mê? Từ ngàn năm trước Phật đã dạy, chớ có dựa vào đâu mà sanh tâm! Thế mà ta nào có nghe.

---

Tôi định đưa ra nhiều ví dụ rút ra từ bản thân để minh họa cho ý những danh định vô hình đã làm u muội con người ta như thế nào. Rồi tôi lại nghĩ, ai mà tò mò thì tốt nhất là nên làm một thử nghiệm thế này: mỗi ngày thức dậy, tìm một cái x là một phần của con người mình, rồi sống ngày hôm đó mà không nghĩ mình là x nữa.

Chẳng hạn như, sáng ngủ dậy, nghĩ mình là người Việt Nam, rồi sống ngày hôm đó, nghĩ mình không phải là người Việt Nam, xem thử có gì khác hay không. Có thể thay Việt Nam bằng rất rất nhiều thứ khác như giới tính, nghề nghiệp, công ty, trường học, vùng miền, thu nhập, bằng cấp...

Hay như là ngay bây giờ ngồi đây đọc những dòng này và hãy thử quên đi tôn giáo, quên đi đức tin của mình, để rồi xem cái mà bạn thấy và cảm nhận có khác gì so với trước hay không.

Tôi tin là rồi bạn sẽ nhận ra rốt cuộc rồi những cái danh định kia chẳng có ý nghĩa gì cả, và đúng như lời Phật dạy, chúng chỉ làm cho bạn u mê thêm mà thôi. Rời bỏ chúng, gạt chúng sang một bên là cách duy nhất để quay trở về với tâm Phật, quay về với nguồn sức mạnh khổng lồ nhưng cũng vô cùng yên bình thanh thản và bát ái bao la đang ở bên trong con người bạn.

Đêm đầu tiên ở Mỹ

2011-02-11T07:14:00.001-08:00

Giờ là 6h30 sáng, giật mình dậy lúc 3h sáng, nằm loay hoay mãi không ngủ được nữa. Cũng phải, giờ này ở nhà là mới tầm 9h-10h tối. Đói bụng và thèm hủ tíu mì sườn quá. Nghe nói ở đây có chợ của bà con VN, món gì cũng có, chắc cuối tuần phải chạy ra xem.

Trời lạnh. Mặc đến 4 cái áo mà vẫn thấy lạnh. Có lẽ là do chưa mặc đúng loại áo? Mang 2 chiếc vớ đi ngủ; giậc mình dậy, 1 chiếc đã biến mất từ lúc nào.

---

Trưa nay, lúc đi từ sân bay về thành phố, đi ngang qua đại lộ 101, tự dưng lại nhớ đến cái đoạn Steve Jobs và Steve Wozniak đang chạy xe trên 101 thì Jobs nói đại loại như, "Oh, I've got a name for the company. Apple Computer". Và như người ta nói, phần còn lại trở thành lịch sử.

Tôi nói với ông chủ, "I'm here to work for you and study crypto and things for a few years. I then start my own company".

Phần còn lại sẽ trở thành lịch sử?

---

Người ở lại mỗi ngày gửi một email cho người ra đi. Những email dài như những vệt nắng vàng vắt ngang các triền đồi...

Mật mã hiện đại (1)

2011-01-14T00:24:00.008-08:00

Tôi dự tính viết về đề tài này từ cả năm nay, mà mãi tới bây giờ mới có đủ động lực để viết. Có hai lý do khiến tôi bắt đầu.

Thứ nhất, số là tôi đang theo học mật mã, mà kinh nghiệm cho thấy cách học (và đọc sách) tốt nhất là viết, tóm tắt lại và giải thích rành mạch rõ ràng những gì vừa học được cho người khác. Chừng nào làm được như thế thì mới có thể xem là đã hiểu được vấn đề đang muốn học.

Thứ hai, hôm rồi tôi đọc một mẩu chuyện về Richard Feynman, trong đó có đoạn kể về lúc Feynman bị bệnh, gần đất xa trời, ông tâm sự rằng, "[I'm going to die but I'm not as sad as you think because] when you get as old as I am, you start to realize that you've told most of the good stuff you know to other people anyway". Đương nhiên những gì tôi biết làm sao mà "good" bằng những gì Feynman biết, nhưng dẫu sao thì tôi cũng sẽ học theo Feynman, có biết cái gì hay ho thì giải thích cho nhiều người khác cùng biết.

--*--

I. Mở đầu

1. Giới thiệu

Loạt bài này tôi sẽ giới thiệu về mật mã học hiện đại, tập trung vào giải thích cách thức hoạt động của các thành phần mật mã cơ sở (cryptographic primitive) và làm sao sử dụng chúng cho đúng cách.

Mật mã là công cụ rất mạnh mẽ làm nhiều người lầm tưởng rằng cứ sử dụng mật mã là an toàn, mà không biết rằng mật mã là con dao hai lưỡi. Bạn có thể xây dựng một hệ thống với đầy đủ các ý tưởng hay ho nhất của mật mã, nhưng nếu bạn không dùng mật mã đúng cách, hệ thống của bạn sẽ hoàn toàn thiếu an toàn.

Đã có rất nhiều ví dụ, mà tiêu biểu là các kết quả làm việc gần đây của tôi và đồng nghiệp (xem đây, đây và đây). Hoặc như gần đây, hệ thống bảo vệ máy PS3 của Sony bị phá vỡ hoàn toàn chỉ vì sử dụng sai mật mã. Không riêng gì Sony, mà rất nhiều hãng lớn trên thế giới, từ Oracle, Yahoo!, đến Microsoft, đã sử dụng sai mật mã và làm cho sản phẩm của họ thiếu an toàn.

Điều này cho thấy, chỉ biết mật mã giúp gì cho bạn là chưa đủ, mà bạn cần phải biết làm thế nào để sử dụng chúng đúng cách. Khi biết cách sử dụng đúng mật mã rồi, bạn sẽ có thể dùng mật mã để xây dựng các hệ thống an toàn hơn, và đồng thời có thể đánh giá được sản phẩm sử dụng mật mã của bên thứ ba.

Giáo trình mà tôi sử dụng là cuốn sách "Introduction To Modern Cryptography" của Jonathan Katz và Yehuda Lindell (từ đây về sau gọi là KL). Trong quá trình học mật mã, tôi cũng đã đọc thử nhiều sách khác nhau, nhưng cuốn KL này là thích hợp hơn nhất cho việc tìm hiểu mật mã học hiện đại. KL cũng được sử dụng làm giáo trình để dạy mật mã cho cấp đại học và cao học ở nhiều trường đại học trên thế giới. Bạn nào có điều kiện thì nên mua sách. Nếu là sinh viên thì có thể liên hệ với tôi (ở TP.HCM) để mượn sách mà đọc.

Một cuốn sách miễn phí khác có thể dùng để thay thế KL là cuốn Handbook of Applied Cryptography. Kết thúc mỗi bài viết, tôi sẽ liệt kê trang nào trong KL hoặc HAC cần phải đọc.

Loạt bài được chia làm ba phần lớn. Phần đầu tiên nói về mã đối xứng, phần thứ hai nói về mã bất đối xứng, và phần thứ ba sẽ bàn về các đề tài nâng cao. Trong phần thứ nhất tôi sẽ giải quyết vấn đề: làm thế nào để chị A và anh B liên lạc với nhau an toàn, khi hai người đã có một khóa bí mật chung? Vấn đề của phần thứ hai sẽ là làm thế nào để chị A và anh B chưa quen biết nhau có thể tạo ra một khóa bí mật chung chỉ có hai anh chị biết mà thôi? Trong phần thứ ba, tùy vào tình hình mà tôi sẽ viết về các đề tài như tiền điện tử, bầu cử điện tử hay đấu giá điện tử.

Tôi cũng muốn lưu ý là nội dung loạt bài sẽ có những phần không nằm trong cuốn KL, và tôi sẽ cố gắng để người đọc hiểu được loạt bài này mà không cần phải tham khảo thêm tài liệu khác. Nghĩa là khi nào cần thì tôi sẽ cung cấp các kiến thức hỗ trợ, ví dụ như các kiến thức toán (bao gồm lý thuyết xác suất, lý thuyết số, đại số trừu tượng và một ít lý thuyết độ phức tạp tính toán). Tôi cũng không chắc là tôi làm được (tự vì tôi cũng đang học như bạn mà thôi!), nhưng mà tôi sẽ cố gắng. Mục tiêu của tôi là nếu bạn theo sát loạt bài viết này từ đầu, thì khi kết thúc, bạn sẽ hiểu mật mã học hiện đại hoạt động ra sao, và cách sử dụng chúng như thế nào cho đúng và an toàn.

2. Tại sao mật mã?

Trước khi đi vào nội dung chính của bài viết đầu tiên, tôi muốn dành ra ít phút để thuyết phục bạn là tại sao chúng ta cần phải học mật mã. Cá nhân tôi thấy có ba lý do chính.

Thứ nhất, mật mã là công cụ rất quan trọng, được sử dụng ở mọi nơi. Tôi đồ rằng nhiều bạn dùng mật mã hàng ngày mà lại không biết. Bạn có dùng GMail hoặc có bao giờ mua hàng trên Amazon không? Nếu có thì bạn đã dùng mật mã rồi đó.

Bạn có chú ý là khi bạn vào GMail hoặc Amazon, địa chỉ mà bạn sử dụng bắt đầu bằng HTTPS thay vì HTTP không? Chữ S trong HTTPS là viết tắt của Secure, hiểu nôm na rằng HTTPS là phiên bản an toàn hơn so với HTTP, và sự an toàn này là nhờ vào bộ giao thức mật mã mang tên Secure Socket Layer, phiên bản mới hơn gọi là Transport Layer Security. Nhờ có SSL/TLS mà bạn có thể an tâm giao dịch với Amazon mà không sợ thông tin giao dịch của bạn bị đánh cắp hoặc chỉnh sửa trong quá trình truyền từ máy tính của bạn lên đến máy chủ của Amazon. Nói cách khác, không có mật mã thì đã không có thương mại điện tử rồi!

SSL/TLS được dùng chủ yếu để bảo vệ thế giới web, mà Internet thì đâu chỉ có web. Mật mã còn có thể được sử dụng để đảm bảo an toàn cho email. Email có hai vấn đề cần phải giải quyết. Thứ nhất, làm thế nào để đảm bảo tính riêng tư, tỉ như chị A viết thư cho anh B, thì chỉ có anh B đọc được thư đó thôi, không ai khác đọc được cả. Thứ hai, làm thế nào để hiện thực hóa vấn đề chữ ký trong thư từ thông thường, nói cách khác làm sao để anh B biết chắc là thư đang đọc đến từ chị A, không bị ai sửa chữa giả mạo gì cả, và sau này chị A cũng không thể chối là chị không phải là tác giả của lá thư đó? Đây chính là yêu cầu bắt buộc của khái niệm chữ ký điện tử mà chúng ta thường nghe. Tương tự như SSL/TLS, PGP/OpenPGP là tiêu chuẩn phổ biến nhất để bảo vệ email thông qua các thành tựu của mật mã học.

Nếu bạn là lập trình viên, thì chắc chắn sẽ có lúc nào đó bạn gặp phải vấn đề xác thực người dùng, và lúc đó bạn sẽ cần phải sử dụng mật mã để xây dựng nên một cơ chế quản lý mật khẩu và xác thực người dùng một cách an toàn. Thay vì lưu mật mã trực tiếp xuống cơ sở dữ liệu, nhiều lập trình viên đã biết sử dụng các thuật toán băm một chiều để bảo vệ mật khẩu. Tuy vậy phần lớn trong số đó vẫn sử dụng sai mật mã, khiến cho mặc dù có dùng mật mã, nhưng hệ thống của họ vẫn không an toàn hơn là mấy. Thí dụ như nếu bạn chỉ băm mật khẩu xuyên qua MD5 một lần, thì bạn đã làm sai! Cách làm đúng là phải băm ít nhất 1000 lần, và còn nhiều tiểu tiết khác nữa!

Người ta còn dùng mật mã để bảo vệ các giao thức mạng không dây. Thầy tôi thường nói ông phải cảm ơn những người đã thiết kế ra tiêu chuẩn 802.11i, còn được biết đến là WEP, bởi WEP đã phạm phải mọi sai lầm từng được biết đến trong các sách giáo khoa về mật mã, nên mỗi lần cần đưa ra ví dụ về cách sử dụng sai mật mã, thầy tôi chỉ việc lấy một ví dụ từ WEP! Ông gọi WEP là một giao thức được "thiết kế sau những cánh cửa đóng", đi ngược lại hoàn toàn với tiêu chí mở trong mã hóa (tôi sẽ nói thêm về tiêu chí mở này ở bên dưới). Trong loạt bài này, bạn sẽ thấy ngoài WEP ra còn có rất nhiều giao thức, thuật toán mã hóa được "thiết kế sau những cánh cửa đóng", và tất cả đều không an toàn.

Ngoài những ứng dụng trực tiếp kể trên ra, mật mã còn được sử dụng trong nhiều lĩnh vực có vẻ không liên quan mấy, ví dụ như bầu cử, đấu giá, tiền điện tử hay bảo vệ bản quyền điện tử. Đây là những chủ đề mà bản thân tôi chưa có cơ hội tìm hiểu; dẫu vậy tôi có kế hoạch sẽ tìm hiểu chúng trong tương lai gần. Tóm lại, lý do thứ nhất cần phải học mật mã là vì mật mã rất mạnh mẽ và có thể giúp chúng ta giải quyết nhiều vấn đề tự nhiên đến từ cuộc sống.

Thứ hai, mật mã rất đẹp, đơn giản vì nó là sự giao thoa và ứng dụng của rất nhiều nhánh trong toán học, mà toán đẹp cỡ nào thì khỏi phải bàn rồi phải không? ;-).

Giáo sư Phạm Huy Điển từng viết rất hay như thế này:

Lâu nay không ít người cảm thấy thất vọng vì đã “uổng công” học Toán. Nghe người ta nói thì Toán học là “chìa khóa” cho mọi vấn đề, nhưng trên thực tế thì học sinh sau khi tốt nghiệp lại chẳng biết dùng kiến thức Toán đã học được trong nhà trường vào việc gì trong cuộc sống, nhất là những bài toán khó mà họ đã tốn bao công sức nhồi nhét trong các “lò luyện” đủ loại. Đây là một thực tế, xuất phát từ việc xác định nội dung và phương pháp dạy Toán không hợp lý trong các nhà trường hiện nay. Toán học đã bị biến thành một môn “đánh đố thuần túy”, thay vì một bộ môn khoa học mang đầy chất thực tiễn. Tuy nhiên, còn một lý do khác khiến chúng ta không nhìn thấy được bóng dáng của Toán học trong thực tiễn thường ngày, đó là Toán học ngày nay không mấy khi trực tiếp đi được vào các ứng dụng trong thực tiễn mà thường phải “ẩn” sau các ngành khoa học khác: Sinh học, Môi trường, Tài chính, Kinh tế… và thậm chí ngay cả Công nghệ thông tin, một lĩnh vực có thể xem như là được sinh ra từ Toán học. Đã có những ý kiến nói về sự lãng phí của nguồn nhân lực đang làm Toán hiện nay và không ít người cũng đã tưởng là thật…

May mắn thay, khoa học Mật mã đã góp một phần quan trọng trong việc làm sáng tỏ cái “sự thật oan trái” này. Có thể nói rằng hiếm có lĩnh vực nào mà vai trò của các công cụ Toán học lại được thể hiện rõ ràng đến như vậy. Chính Toán học đã làm nên cuộc cách mạng trong công nghệ mật mã, trước hết là bằng sự hiện thực hóa các ý tưởng về mật mã khóa công khai mà các nhà mật mã chuyên nghiệp đã ấp ủ từ lâu, và sau đó là đưa một số kết quả của Toán học (thuộc loại trừu tượng vào bậc nhất) tiếp cận với các ứng dụng trong thực tiễn.

Bạn nào hồi phổ thông có học chuyên toán chắc hẳn sẽ nhớ đến định lý nhỏ (rất đẹp!) của Fermat phát biểu rằng: nếu là số nguyên tố, thì ta có: . Khi học mật mã, bạn sẽ thấy lại định lý này và nhiều ứng dụng tuyệt vời của nó! Tôi có thể bật mí sơ là hệ mã nổi tiếng RSA được xây dựng dựa trên kết quả của định lý đơn giản này!

Ngoài toán ra, mật mã học hiện đại còn được xây dựng dựa trên lý thuyết trung tâm của khoa học máy tính: lý thuyết độ phức tạp tính toán (mà thiệt ra cũng là toán thôi). Thành ra đối với những người học khoa học máy tính hoặc nói đơn giản là làm IT như chúng ta, tìm hiểu về mật mã là một cách để thưởng thức cái đẹp của khoa học máy tính.

Bạn nào học lý thuyết độ phức tạp tính toán rồi thì đều biết là có những bài toán mà chúng ta chưa biết khó cỡ nào, chỉ biết là sao bao nhiêu năm nghiên cứu, thế giới vẫn chưa tìm ra thuật toán "hiệu quả" để giải. Câu hỏi là có cách nào lợi dụng những bài toán khó đó để phục vụ cho lợi ích của con người? Nghe có vẻ hơi ngược đời đúng không, chưa tìm ra lời giải thì làm sao mà lợi với chả dụng? Thế mà những người tiên phong của mật mã hiện đại đã nghĩ ra cách sử dụng các bài toán khó như thế và chính những ứng dụng độc đáo sáng tạo như thế này làm nên vẻ đẹp của mật mã!

Lý do thứ ba? Tự bảo vệ những quyền con người cơ bản của chính chúng ta!

Ai cũng có quyền có bí mật, và ai cũng có quyền quyết định khi nào và như thế nào họ sẽ tiết lộ bí mật đó cho người khác. Chúng ta kết nối vào Internet để gửi email, đọc blog, mua một món hàng hay công bố một bài viết mới; mỗi một hành động như thế đều có thể được diễn dịch theo nhiều ngữ nghĩa khác nhau, mà mỗi cách diễn dịch đôi khi lại đem đến những thiệt hại không mong muốn cho chính chúng ta. Thành ra cách tốt nhất là hạn chế tiết lộ danh tính, và nếu ẩn danh được thì càng tốt (cá nhân tôi cho rằng, sở dĩ Internet phát triển như ngày nay một phần là vì bản chất ẩn danh của nó, dẫu đây chỉ là một sự ngộ nhận). Hơn nữa, không phải cái gì chúng ta nói, chúng ta viết đều là dành cho tất cả mọi người; đôi khi chúng ta muốn chỉ duy nhất một nhóm vài người có thể đọc và nghe được những ý kiến của chúng ta. Đây là quyền riêng tư. Mời bạn đọc thêm A Cypherpunk's Manifesto.

Ai cũng có quyền tự do ngôn luận, tự do thể hiện, tự do tí toáy, ở ngoài đời thật hoặc ở trên Internet. Chắc hắn không cần phải giải thích, tất cả chúng ta đều biết những quyền này quan trọng như thế nào đối với sự tự do của mỗi cá nhân. Vậy ai muốn xâm hại những quyền con người cơ bản của chúng ta? Tôi nghĩ câu hỏi này là thừa, bởi vì rõ ràng sự tự do của tất cả chúng ta đã, đang và sẽ bị xâm hại. Khi bạn không kết nối vào được Facebook, nghĩa là bạn đã không còn được tự do.

May mắn thay, những thành tựu trong vài chục năm vừa qua của mật mã có thể phần nào giúp tất cả chúng ta đảm bảo được tính riêng tư và sự tự do trong cuộc sống hàng ngày. Tôi hi vọng là qua loạt bài viết này, tất cả các bạn sẽ hiểu được sức mạnh của mật mã, rồi từ đó sử dụng chúng đúng cách để bảo vệ những quyền và lợi ích chính đáng của bản thân.

3. Nguyên lý Kerckhoff

Nguyên lý do ông Kerckhoff phát biểu vào thế kỷ 19 với nội dung như sau:

Một hệ thống mã hóa phải an toàn ngay cả khi tất cả thông tin về hệ thống đó đều đã được công bố ra ngoài. Bí mật duy nhất của hệ thống là một khóa ngắn.

Thực tế cho thấy tất cả các công nghệ mã hóa "thiết kế sau những cánh cửa đóng" đều bị phá vỡ nhanh chóng ngay khi một ai đó "reverse engineer" và công bố thiết kế của chúng. RC4 (dùng để mã hóa mạng không dây), A5/1 (dùng để mã hóa mạng điện thoại GSM), CSS (dùng để mã hóa đĩa DVD), Crypto-1 (dùng để mã hóa các thẻ thanh toán điện tử)... tất cả đều bị phá vỡ trong một thời gian ngắn, kể từ lúc thuật toán bị "reverse engineer".

Thành ra khi sử dụng mật mã, chúng ta sẽ tuyệt đối tuân thủ nguyên lý Kerckhoff này. Nói cách khác, chúng ta chỉ sử dụng những thuật toán, tiêu chuẩn, hệ thống mã hóa mở. May mắn là đã có sẵn rất nhiều thuật toán, tiêu chuẩn và hệ thống mã hóa mở, chúng ta chỉ việc chọn cái thích hợp mà dùng, không cần phải xây dựng lại từ đầu. Tuyệt đối không sử dụng những tiểu chuẩn, thuật toán, hệ thống đóng! Nói cách khác, tránh "security through obscurity".

Mật mã là sân chơi của những ông già bảo thủ ;-), những người luôn đặt ra những điều kiện khó nhất, và rồi cố gắng xây dựng một hệ thống an toàn trong những điều kiện đó. Điều thú vị là họ thành công!

Ăn thì nhiều chứ ở bao nhiêu

2011-01-13T10:19:00.006-08:00

Hôm rồi nói chuyện với một người bạn lâu rồi không gặp, bạn kêu chuẩn bị mua nhà. "Sẽ vay ngân hàng, chứ có con rồi mà ở nhà thuê tội nghiệp nó quá!". Nghe thiệt là cảm động. Dẫu vậy tôi không đồng ý chút nào.

Nói dông nói dài hay nói ngắn gọn sẽ là không nên mua nhà khi không có đủ tiền. Thế nào là đủ tiền? Đủ để trả toàn bộ số tiền của căn nhà thì quá hay, nhưng nếu phải vay thì làm sao chỉ trả nhiều nhất là 3 đến 5 năm. Thiệt ra bản thân tôi cũng không chắc nếu tôi có đủ tiền để mua nhà, thì tôi sẽ mua nhà, hay là sẽ dùng tiền làm việc khác.

Tôi thấy mua vật dụng thường là rước khổ vào thân. Mua thêm cái quần cái áo, thì mỗi lần giặt đồ lại mệt thêm một chút. Lỡ mà mua đồ tốt, lại sợ hư sợ rách, phải hì hục giặt tay. Mua thêm một món đồ điện tử, thì lại tốn thời gian *chơi* với nó cho đáng của. Lỡ mà mua đồ mới, mỗi lần trầy tróc, rơi rớt đổ bể, lại buồn thúi ruột vì tiếc của. Những cái khổ này chỉ là cỏn con thôi, nhưng mà chú ý là tài sản giá trị càng lớn thì càng khổ nhiều. Thành ra giờ tôi chủ yếu là bán thôi, hạn chế mua sắm ;-).

Quay lại chuyện mua nhà. Tôi nghĩ 90% hoặc hơn bà con mình bây giờ muốn mua nhà thì đều phải vay tiền và trả trong vòng từ 10 đến 15 năm. Nhiều ngân hàng còn không cho vay tiền, bắt buộc phải vay vàng. Khỏi phải nói là số tiền phải trả hàng tháng lúc này sẽ cao hơn rất nhiều so với tiền thuê nhà.

Hậu quả rõ ràng nhất là áp lực lớn hơn rất nhiều! Và áp lực đó sẽ còn kéo dài cả chục năm! Mà trong suốt quãng thời gian đó, có khác gì thuê nhà, khác ở chỗ giá cao hơn rất nhiều, của ông ngân hàng? Không có tiền trả nợ vài tháng là ông ngân hàng sẽ lấy lại nhà, cũng y như đi thuê nhà, có phải vậy không? Có người xem áp lực là động cơ làm việc để trả nợ, nhưng tôi không nghĩ "làm việc để trả nợ" có thể làm cho người ta hạnh phúc. Tự do được làm việc mình thích và say mê mới đem lại hạnh phúc thật sự. Vậy nên câu hỏi đầu tiên là: có đáng không?

"Đáng chứ! Ráng cày trả nợ, rồi sẽ có cái nhà, còn hơn là ở nhà thuê mười mấy năm, xong rốt cuộc không có gì trong tay!"

Đây là suy nghĩ thường thấy của nhiều người. Nghe có vẻ hợp lý, nhưng hãy thử nghĩ thêm một chút. Câu hỏi đầu tiên của tôi diễn giải ra là: việc sở hữu một căn nhà liệu có đáng để sống không hạnh phúc trong một thời gian dài hay không? Cái hạnh phúc có được căn nhà có đáng hi sinh một quãng thời gian rất dài của tuổi trẻ cho cái mục tiêu "làm việc trả nợ" hay không? Đây là những câu hỏi đáng để suy nghĩ, và những người khác nhau có thể sẽ có những câu trả lời khác nhau; thậm chí cùng một người, nhưng cũng có thể sẽ trả lời khác nhau trong từng quãng đời khác nhau.

Cái tâm lý "ở nhà thuê rốt cuộc cũng trắng tay" chỉ đúng khi người ta nghĩ tài sản của một con người chỉ bao gồm những thứ hàng hóa sờ mó và nhìn thấy được mà thôi. Số tiền góp vào mua căn nhà, có thể dùng để mua nhiều tài sản vô hình khác, mà tôi cho rằng, phần nhiều trong số đó làm cho con người ta hạnh phúc hơn. Ví dụ như?

Mua những trải nghiệm! Chăm sóc người thân! Học một cái gì đó mới và khó! Chinh phục và thay đổi thế giới! Làm từ thiện!

Tôi nghĩ hai vợ chồng sẽ hạnh phúc hơn khi dắt tay nhau đi du lịch khắp nơi trên thế giới, ăn những món ăn lạ lùng nhất ở những nơi lãng mạn nhất, hơn là hì hụi làm ngày làm đêm năm này qua tháng nọ, đến lúc trả xong nợ nhiều khi chẳng còn muốn đi với nhau.

Tôi nghĩ đứa bé cần sự quan tâm chăm sóc của cả ba lẫn mẹ, cần được ăn uống đầy đủ bổ dưỡng, cần được vui chơi giải trí, cần được đầu tư học hành đến nơi đến chốn... hơn là cần một cái nhà. Cái nhà đúng là cần thiệt, nhưng mà nhà thuê vẫn giải quyết được nhu cầu đúng không? Trong khi đó do cần phải tập trung trả tiền mua nhà, liệu ba mẹ có đủ tiền để nuôi dưỡng giáo dục con cái?

Học một cái gì đó mới và khó! Tôi không biết mô tả cái hạnh phúc này như thế nào, đành mượn lời của anh Đàm Thanh Sơn:

Tôi vẫn nhớ lần đầu tiên mình thực sự hiểu được cơ học lượng tử là lúc tôi học năm thứ 3 đại học. Sau đó trong một vài ngày, tôi đi ngoài đường với trạng thái lâng lâng, nhìn những khuôn mặt của những người đi trên đường và nghĩ: những con người kia phần lớn là những người bất hạnh, vì họ cũng như mình vài ngày trước đây không hiểu gì về bản chất lượng tử của thế giới. Cảm giác đó đã qua từ lâu, nhưng tôi nghĩ trong tương lai gần, nếu không phải là ngay bây giờ, một con người được giáo dục toàn diện phải biết những khái niệm cơ bản của cơ học lượng tử, cũng như ai cũng biết đến ba định luật của Newton, hay nguồn gốc phân tử của tính di truyền. Đó là vì không biết các định luật lượng tử thì khó thưởng thức được một phần cái Đẹp của thế giới quanh ta, cái đẹp ở mức nguyên tử.

Làm từ thiện! Ai cũng biết đem lại niềm vui hạnh phúc cho người khác chính là đem lại hạnh phúc niềm vui cho chính bản thân mình. Chinh phục và thay đổi thế giới! Đương nhiên là hạnh phúc, và đương nhiên là không thể làm được nếu bị ràng buộc bởi cái rào cản "làm việc để trả nợ". Cần tự do!

Công bằng mà nói, đối với nhiều người mua một cái nhà là một trải nghiệm và cũng là một cách chăm sóc người thân của họ. Những lý do hết sức chính đáng và đáng được tôn trọng. Câu hỏi thứ hai là: liệu người thân của bạn có thật sự hạnh phúc khi thấy bạn phải làm việc vất vả cực nhọc để mua cho họ một cái nhà?

Tóm lại, con người ta có nhiều nhu cầu lắm, nhu cầu ở chỉ là một trong số đó mà thôi. Chẳng phải như ông bà đã nói, ăn thì nhiều chứ ở bao nhiêu!

Cập nhật

2010-12-29T19:20:00.039-08:00

Tôi chuẩn bị chuyển đến một miền nhiều hoa vàng để học. Thiệt ra là đi làm toàn thời gian, và đi học bán thời gian thôi, nhưng mà tôi nghĩ làm việc cũng là học, chỉ khác là ai trả tiền cho ai mà thôi, nên thôi cứ xem như là đi học toàn thời gian.

Tôi làm cho một cty nhỏ chuyên về tư vấn và nghiên cứu an toàn thông tin, và tôi học mật mã ở một trường đại học uy tín. Hi vọng đây sẽ là những ngày tháng thú vị của cuộc đời. Tôi sẽ viết nhiều hơn.

PS: nếu mà bạn nghĩ chúng ta nên gặp, ở đây hay ở nơi tôi sắp đến, thì hãy cho tôi biết nha.

Funemployed

2010-10-12T00:30:00.011-07:00

Yesterday, I formally resigned my position as chief information security officer of DongA Bank. I still have more than two weeks at the bank though. My last day will be 1st November, 2010.

For now I’m going to remain a bit tight-lipped about what exactly I’m going to do next, partly because I’m just not exactly sure yet, and partly because I’m resolving to stay open to new opportunities and new ideas. So feel free to drop me a line if you have a deal or something for me ;-).

First time on screen

2010-10-01T19:30:00.006-07:00

Padding Oracles Everywhere - ekoparty security conference from ekoparty on Vimeo.

This is our presentation at EKOPARTY. We started with Juliano presented in Spanish about the theory behind the attack, and I started describing the ASP.NET vulnerability in English since 26'.

Well, although there's still a lot of room for improvement, but I'm happy to see my accent is getting better ;-).

Những lá thư từ Barcelona

2010-09-13T05:35:00.013-07:00

(đang ở xa, nhớ nhà, nhớ người dưng nên đâm ra nhớ bài này. viết cho mục Du Lịch tạp chí Làm Giàu số tháng 08/2010)

Barcelona, ngày...

Anh đã đến Barcelona rồi em ạh. Ở đây bây giờ là mùa xuân, cây cỏ xanh rì sức sống. Lạ lắm em, trong mường tượng của anh, Barcelona nghĩa là bóng đá, với câu lạc bộ FC Barcelona hào hoa cùng vô vàn hảo thủ trứ danh thế giới, nhưng trên đoạn đường ngắn đi từ sân bay về khách sạn, anh có cảm giác mơ hồ rằng, thủ phủ xứ Catalonia khiến bao người say đắm không chỉ vì bóng đá...

Chiều nay anh và J quyết định sẽ đi thăm trung tâm Barcelona, nhân tiện tìm cái gì đó ăn, trước khi trở về khách sạn để chuẩn bị cho buổi thuyết trình ngày mai. J là người Argentina gốc Tây Ban Nha, tiếng mẹ đẻ cũng là tiếng Tây Ban Nha, nhưng hắn cũng chưa đến Tây Ban Nha lần nào. Kể ra cũng thú vị em nhỉ, một thằng ở châu Á, một thằng ở Nam Mỹ, quen và làm việc chung với nhau cả năm, rồi lại gặp nhau lần đầu ở một thành phố nằm bên bờ Địa Trung Hải.

Khách sạn của bọn anh ở khá xa trung tâm, nên cả hai quyết định sẽ đi bộ ra trạm tàu điện ngầm gần nhất, rồi từ đó sẽ đi tàu vô trung tâm. Đây cũng là cách di chuyển nhanh gọn và kinh tế nhất ở đây. Ngoài tàu điện ngầm ra, thì Barcelona, như bao thành phố hiện đại khác, cũng có hệ thống TRAM (xe điện), xe buýt, và đương nhiên, taxi. Barcelona nằm trong đới khí hậu Địa Trung Hải, nhiệt độ quanh năm mát mẻ, bây giờ lại đang là mùa xuân, nên anh chỉ cần giày bata, quần jean, áo thun, rồi khoác thêm một chiếc áo khoác mỏng là đã thoải mái dạo phố rồi.

Em yêu,

Anh còn nhớ lần đầu tiên đi nước ngoài, anh đã vô cùng thán phục và ấn tượng trước vẻ hiện đại hoành tráng của Singapore. Những tòa nhà cao chọc trời, những khu phố mua sắm sáng trưng, những con đường luôn tấp nập những chiếc xe sang trọng. Anh nghĩ Barcelona cũng sẽ như thế, thậm chí có khi còn hiện đại hơn, thành phố lớn nhất nhì Tây Ban Nha mà em. Hóa ra anh nhầm to.

Barcelona cổ kính và yên bình lắm em àh. Không có những tòa nhà cao chọc trời, mà chỉ có những khu phố cổ với các ngôi nhà và các công trình kiến trúc trường tồn với thời gian. Không có những khu phố mua sắm sáng trưng, mà chỉ có đầy ắp những nhà hát và viện bảo tàng lừng danh thế giới. Không có những con đường tấp nập xe cộ sang trọng, mà chỉ có những con phố nhỏ trải đá nhẵn bóng, loại đá xanh to bảng gập gềnh, và người ta thì đi bộ hoặc chạy xe đạp. Mọi thứ vẫn cứ như vài trăm năm về trước. Thậm chí, em có biết không, đứng ở quãng trường Plaça de Catalunya, anh có cảm giác chỉ cần nhắm mắt lại rồi mở mắt ra, chỉ một tích tắc thôi, là anh sẽ quay ngay về thời trung cổ!

paella

Đi dạo một hồi thì trời cũng đã xế chiều, bọn anh quyết định ghé vào một nhà hàng trên đại lộ Passeig de Gràcia để ăn tối. J hỏi anh muốn ăn gì, anh quả quyết phải ăn đặc sản Tây Ban Nha. Thế là hắn gọi ngay một đĩa paella và hai vại bia San Miguel to đùng. Paella là món ăn đặc trưng của TBN, gồm có các loại hải sản như tôm, sò hay nghêu trộn đều với cơm, rau xanh, đậu và dầu ôliu. Ăn khá lạ miệng và...mặn. Chắc là em sẽ thích lắm đó. J bảo anh người Barcelona sống gần biển, nên họ quen ăn mặn, bởi vậy hắn mới kêu bia San Miquel, vốn có vị ngọt ngọt, để trung hòa. J nói đúng em àh, uống kèm bia thì paella trở nên ngon hơn rất nhiều.

---

Barcelona, ngày...

Em ơi,

Tối qua có một chuyện vui. Sau khi ăn tối, phần vì do cả ngày hôm trước đã bay rất xa, phần vì phải chuẩn bị cho buổi thuyết trình, anh và J quyết định quay về khách sạn. Lúc đó là khoảng 6h chiều. Thấy cũng còn sớm chán, nên cả hai quyết định nằm ngủ một chút. Trời ạh, không ngờ lúc mà anh giật mình dậy, đồng hồ đã chỉ 7h45 và ngoài trời đã sáng bưng! Anh lật đật gọi J dậy, bởi bọn anh phải thuyết trình lúc 9h. Cả hai nháo nhào chuẩn bị, và khi bọn anh bắt đầu nghĩ đến tình huống xấu nhất vì không đủ thời gian, thì trời bắt đầu...sụp tối. Hai thằng nhìn nhau cười rần rần, rung rinh cả khách sạn. Hóa ra ở đây mặt trời lặn lúc gần 9h tối lận em àh.

Sáng nay bọn anh thuyết trình tốt. Người ta thích những gì tụi anh làm, nên nhiều hi vọng là sẽ còn được mời đi trình bày ở những thành phố khác. Nhưng bây giờ thì phải khám phá Barcelona đã! Bọn anh chỉ được tài trợ khách sạn trong những ngày hội thảo diễn ra, nên việc đầu tiên phải làm là đi tìm khách sạn mới. Do J nói tốt tiếng Tây Ban Nha, nên hắn xung phong đi tìm khách sạn, và sau khi biến mất hơn 2h đồng hồ, J quay về, bảo đã tìm được một phòng với giá 100 euro/đêm. Anh nghĩ thầm, chà đắt như thế thì chắc hẳn cũng phải sang trọng lắm đây. Hóa ra anh lại nhầm to.

Chỗ mà J thuê được không phải là khách sạn, mà chỉ là một nhà nghỉ mang tên Centric Point. Phòng của bọn anh rất nhỏ, chỉ để được một chiếc giường hai tầng, ngoài nước nóng và toilet riêng ra thì không có bất kỳ tiện nghi nào khác. Điểm sáng duy nhất là Centric Point nằm ngay trên đại lộ Plaça de Catalunya, rất gần khu trung tâm Barcelona. Anh nói với J rằng chắc hắn đã bị lừa, làm sao mà căn phòng tồi tàn này lại đáng giá 100 euro/đêm. J bảo không, hắn đã đi rất nhiều nơi, chỗ nào cũng giá thế này. Anh nghĩ, thôi cứ ở tạm đêm nay, ngày mai tính tiếp. Em àh, lần sau đi với em, anh sẽ đặt trước qua Internet, lúc đó giá sẽ rất rẻ mà lại có phòng tốt, nha!

---

Barcelona, ngày...

Sáng nay bọn anh dậy sớm, check out ra khỏi khách sạn, nhưng vẫn gửi hành lý lại, ăn sáng với bánh mì nướng, mật ong và bơ, rồi lên đường. Những người bạn TBN có gửi cho tụi anh một danh sách những nhà hát, viện bảo tàng và công trình kiến trúc nổi tiếng, nên kế hoạch là đi tham quan hết những nơi đó, rồi đi tìm khách sạn mới.

Bọn anh ghé thăm nhiều nơi, ví dụ như nhà hát Liceu, cung điện âm nhạc Palau de la Música, công viên Güell, nhưng ấn tượng nhất là La Pedrera, tòa nhà rất độc đáo, di sản văn hóa thế giới, do thiên tài kiến trúc Antoni Gaudí thiết kế và xây dựng từ năm 1903 đến năm 1906. Gaudí đã phá vỡ hoàn toàn kiến trúc cổ điển khi không sử dụng bất kỳ một đường thẳng nào để thiết kế La Pedrera. Tòa nhà không sử dụng những bức tường chịu lực thường thấy, mà thay vào đó là những mái vòm và cột có chiều cao khác nhau.

La Pedrera

Bước vào ngôi nhà, em sẽ có cảm giác như đi vào một hang động thiên nhiên với trần nhà và những bức tường được ráp lại từ hàng nghìn viên gạch nhỏ rồi được uống cong tạo hình sóng gợn rất tự nhiên. Có lẽ vì thế mà người dân bản địa gọi tòa nhà này là "Hang Đá". Thú vị nhất có lẽ là sân thượng, nơi mà Gaudí dựng lên hàng loạt ống khói nhiều màu sắc theo trường phái siêu thực. Nhiều ống khói trong giống như những chiến binh trong những bộ phim khoa học viễn tưởng, nhưng cũng có những ống khói trông như những gã hề vô dụng. Từ sân thượng, em cũng có thể có một cái nhìn bao quát toàn cảnh trung tâm Barcelona. Em biết không, J là người rất ít chụp ảnh, vậy mà hôm đó hắn đã chụp đầy hết hai thẻ nhớ, và lúc ra về, hắn nói với anh, hắn gần như đã khóc trước vẻ đẹp của La Pedrera.

Rời La Pedrera, bọn anh ăn trưa với tapas, một dạng đồ ăn vặt rất phổ biến ở Tây Ban Nha, rồi quay về Centric Point lấy hành lý để tìm khách sạn mới. Có người chỉ bọn anh nên đi vào khu vực La Rambla, ở đó là nơi tập trung du khách, nên khách sạn sẽ rẻ hơn. Thế là hai thằng bắt taxi, thẳng tiến La Rambla.

La Rambla là đại lộ du lịch chính ở Barcelona, bắt đầu từ quảng trường trung tâm thành phố, chạy dài ra đến bờ Địa Trung Hải. Em cứ nghĩ nó giống như khu Phạm Ngũ Lão - Đề Thám ở nhà, nhưng rộng và dài hơn 10 lần. Tính ra cũng đúng thôi, mỗi năm Barcelona đón hơn 5 triệu du khách, phải có chỗ cho họ nghỉ ngơi và vui chơi chứ. Bọn anh quyết định dừng taxi ở đầu La Rambla, rồi đi bộ xem con đường này có gì hay mà thu hút nhiều người đến vậy.

Ờ, hay thiệt em àh. La Rambla rất rộng, nhưng phần lớn diện tích là dành cho người đi bộ, chỉ chừa hai làn xe rất nhỏ ở hai bên. Nếu đứng nhìn về phía biển, thì bên trái của La Rambla là Barri Gòtic, trung tâm của thành phố Barcelona cổ xưa, còn bên phải là El Raval, trung tâm ăn chơi nhảy múa của Barcelona hiện đại. Anh nghĩ chính sự pha trộn giữa cái cũ và cái mới, giữa du khách và người bản địa, và, đương nhiên, giữa du khách năm châu bốn bể với nhau, đã tạo cho La Rambla nét độc đáo rất riêng mà anh chưa từng thấy ở đâu cả.

Điều làm anh thích thú nhất khi đi dọc La Rambla là những màn biểu diễn của các nghệ sĩ đường phố. Này là một cao thủ tâng bóng nghệ thuật không thua gì Lionel Messi; này là một cái xác không đầu nhưng tay chân vẫn nhịp theo điệu nhạc; này là một người đưa thư bỗng dưng bất động như thể thời gian đã ngừng trôi; này là một cô gái trẻ ngồi say mê vẽ trên cát, như thể xung quanh không có ai đang ngơ ngác ngắm nhìn...

La Rambla

---

Barcelona, ngày...

Rốt cuộc thì hôm qua bọn anh cũng tìm được một khách sạn rẻ hơn, 80 euro/đêm cho một phòng giường đôi rộng rãi hơn ở Centric Point. Có vô vàn khách sạn như thế dọc hai bên La Rambla, thành ra lần tới anh và em sẽ ở đây nhen.

Sáng nay J nói muốn đi thăm khu Barri Gòtic, trung tâm của Barcelona cổ. Anh cũng đồng ý, nhưng anh nhấn mạnh là chiều nay anh sẽ đi thăm sân vận động Camp Nou, và xem trận derby vùng Catalan giữa FC Barcelona và RCD Espanol. Ngày cuối cùng rồi, qua đến tận đây mà không đi xem Lionel Messi đá thì uổng quá, đúng không em?

hẻm xéo

Thú thật là sau 3 ngày ở đây, anh không nghĩ là anh vẫn có thể tiếp tục thưởng thức đền đài cung điện hay những kiến trúc cổ nữa. Dẫu vậy, Barri Gòtic vẫn có sức quyến rũ ghê hồn em àh. Anh thích nhất là lúc anh và J đi xuyên qua những con hẻm nhỏ, sâu hun hút, rộng chừng hơn 1m, hai bên là sừng sững những ngôi nhà cổ, có từ cả ngàn năm trước. Những con hẻm cứ đan xen vào nhau, như một mê cung vĩ đại. Anh tự hỏi, phải chăng nhà văn Lý Lan đã lấy cảm hứng từ những con hẻm này để nghĩ ra cái tên Hẻm Xéo khi dịch tập truyện Harry Potter? Rồi anh lại nghĩ, cứ chọn một đường mà đi, có khi đi mãi, đi mãi, sẽ lạc vào những quảng trường mêng mông, và bắt gặp những đoàn quân La Mã cổ xưa đang duyệt binh, chờ ra trận. Đường nào cũng tới La Mã mà phải không em?

-*-

J không thích bóng đá, nên buổi chiều anh đi một mình đến sân vận động Camp Nou. Anh không biết đường, nên cứ vừa đi vừa hỏi. May mắn là người Catalan khá hiếu khách, cứ thấy anh lớ ngớ dò đường là họ chủ động tiếp cận, rồi mặc kệ rào cản ngôn ngữ, họ sẵn sàng dẫn anh đến địa điểm tiếp theo để từ đó anh có thể tự đi tiếp. Thế là sau hơn một tiếng đi xe điện ngầm rồi đi TRAM, rồi chuyển sang đi bộ, cuối cùng anh cũng đến được Camp Nou!

Không giống như coi trên tivi, Camp Nou không quá to đâu em, thậm chí diện tích xây dựng có vẻ còn nhỏ hơn sân Thống Nhất ở nhà. Dẫu vậy Camp Nou được thiết kế rất khéo léo và khoa học, đảm bảo dù ngồi ở đâu trên khán đài, khán giả đều vẫn có thể nhìn rõ các diễn biến trên sân cỏ. Anh cứ đứng mãi trên mặt cỏ xanh rì, mà vẫn không thể tin rằng anh đang đứng ở Camp Nou, nơi mà những thần tượng của anh, những Maradona, Ronaldo và Messi, đã và đang thi đấu!

-*-

Em mến yêu,

Đó là một buổi chiều rất đáng nhớ với anh. Khi lần đầu tiên anh được xem Messi bằng xương bằng thịt chơi bóng. Khi lần đầu tiên anh được sống trong cái không khí cuồng nhiệt hò reo không ngớt suốt trận mà đôi khi anh cho là điên khùng khi coi tivi ở nhà. Và anh cũng lần đầu tiên nhận ra rằng, anh sẽ không thể có niềm vui trọn vẹn nếu thiếu em.

Đi đâu, Barcelona hay bất kỳ nơi nào khác trên thế giới, không quan trọng bằng đi với ai, phải không em?

Sugar

One year

2010-09-09T13:13:00.007-07:00

On this day one year ago, Juliano and I released the Flickr bug which is a small beautiful crypto vulnerability that affects a dozen of high profile web 2.0 sites. Personally, it's my first published advisory, and I could still recall exactly how excited was I when Juliano called to tell that our work was voted as one of best web hacking techniques of 2009.

Actually the Flickr bug was an accidental discovery. At that time we were following something else that eventually leads to our second research Practical Padding Oracle Attacks a.k.a POET. We were chosen to present at Black Hat in Barcelona and USENIX WOOT in Washington DC. We came, we talked (well Juliano went alone to WOOT because I couldn't get a visa on time,) and people love it so much that they even nominated POET for the Pwnie award for Most Innovative Research. Well, we didn't get the award, but peer recognition is always a good source of motivation.

Fast forward to today. I just got my Argentine visa this morning. Tomorrow I will take a long flight to Buenos Aires to join, well who else, Juliano, to present at EKOPARTY about a zero-day crypto vulnerability in ASP.NET, the web technology from Microsoft. This is probably the most critical vulnerability in the history of ASP.NET, the underlined technology that powers more or less 25% of the web sites on the Internet. In short, we break the Internet!

It's been one hell of a year ;-).

hacker vs hiệp sĩ

2010-09-02T20:09:00.006-07:00

(hôm nay tự dưng thấy lại mấy bài viết của những người muôn năm cũ)

***

Lời trần tình của một Hacker

password: reaLLy waNNa knOw my P(ass) ?

[alice@hvaonline.net ~]$ export HISTFILESIZE=0

[alice@hvaonline.net ~]$ export HISTFILE=/dev/null

[alice@hvaonline.net ~]$ cat ./hacker-manifesto.txt

/*****************************************/

Những lời sau đây tôi viết ít lâu sau khi bị bắt.

LỜI TRẦN TÌNH CỦA MỘT HACKER

Tác giả: +++The Mentor+++

Viết ngày 8/1/1986

/*****************************************/

Hôm nay thế là lại thêm một người nữa bị tóm, tin đăng đầy trên báo. „Trẻ tuổi bị giam trong vụ án rùm beng về máy tính“, „Hacker bị bắt sau khi mở khóa ngân hàng“...

Lũ trẻ khốn kiếp. Chúng nào có khác gì nhau.

Nhưng các người, với mớ tâm lý học chắp vá với tư duy công nghệ những năm 50 của các người, có bao giờ nhìn vào tâm tư của hacker không? Có bao giờ các người tự hỏi cái gì đã thúc y hành động, lực nào đã dập thành y, khuôn nào đã đúc nên y không?

Ta là một hacker, hãy bước vào thế giới của ta...

Thế giới của ta khởi đầu từ ghế nhà trường... Ta khôn lanh hơn phần lớn trẻ em khác, mấy thứ rác rưởi họ dạy bọn ta khiến ta phát chán...

Đứa cá biệt khốn kiếp. Chúng nào có khác gì nhau.

Rồi ta vào trung học. Được nghe cô giáo giảng đi giảng lại đến mười lăm lần phép rút gọn phân số. Hiểu bài. „Dạ không, thưa cô, con không viết lời giải ạ. Con tính nhẩm thôi ạ...“

Ranh con khốn kiếp. Chắc lại cóp bài rồi. Chúng nào có khác gì nhau.

Hôm nay ta có một khám phá. Khám phá ra một cái máy tính. Xem nào, cái này thật là hay. Nó làm được mọi chuyện theo ý ta. Nếu nó làm sai, đó là bởi vì ta lẫn. Chứ chẳng phải vì nó không mến ta... Hay vì cảm thấy bị ta hăm dọa... Hay vì tưởng ta là một cái bịch thịt huyênh hoang... Hay vì không chịu ta dạy dỗ và thấy tốt nhất là nên té khỏi đây...

Ranh con khốn kiếp. Suốt ngày chỉ có chơi game. Chúng nào có khác gì nhau.

Và điều đó rồi xảy ra... một cánh cửa mở toang ra thế giới... rượt đuổi nhau trên đường dây điện thoại như chất heroin chạy trong huyết quản dân ghiền, phát một xung điện, phát giác một góc trú chân xa lánh nỗi bất lực thường ngày... phát hiện một diễn đàn. „Đây rồi... đây mới là chốn dung thân của ta...“

Nơi đây ta quen biết mọi người... kể cả nếu ta chưa bao giờ gặp họ, chưa bao giờ nói chuyện với họ, có thể không bao giờ nghe được thêm tin tức gì về họ nữa... Ta vẫn quen biết hết mọi người...

Ranh con khốn kiếp. Lại choán mất đường điện thoại rồi. Chúng nào có khác gì nhau.

Các người có thể đưa đ(ầu) ra mà cá rằng bọn ta nào có khác gì nhau!

Trên ghế nhà trường bọn ta đã được đút cho từng thìa bột trong khi bọn ta thèm ăn chả nướng... Các người mớm cho bọn ta từng mẩu thịt, thứ thịt vô vị đã được nhai nát sẵn. Bọn ta bị ngó lơ bởi những kẻ thờ ơ, bị hành hạ bởi những tên cuồng bạo. Vài người có chữ dạy được bọn ta đã phát hiện bọn ta là những học trò ngoan, nhưng vài người như thế chỉ như những giọt nước trong sa mạc.

Còn đây mới là thế giới của bọn ta... thế giới hạt điện tử và khóa chuyển mạch, vẻ đẹp của kbps. Bọn ta xài „chùa“ những dịch vụ đáng lẽ ra rẻ như bèo nếu nhà cung cấp không phải là bọn đầu cơ trục lợi lòng tham không đáy, còn các người thì gọi bọn ta là tội phạm.

Bọn ta khám phá... còn các người gọi bọn ta là tội phạm.

Bọn ta theo đuổi kiến thức... còn các người gọi bọn ta là tội phạm. Bọn ta tồn tại không định kiến màu da, dân tộc, tín ngưỡng... còn các người gọi bọn ta là tội phạm.

Các người chế bom nguyên tử, điều khiển chiến tranh, giết chóc, bịp bợm, nói dối và cố lừa cho bọn ta tin những việc đó mang lại cho bọn ta điều tốt đẹp, còn bọn ta vẫn cứ bị gọi là tội phạm.

Phải, ta là tội phạm đấy. Tội ác của ta là tội ham hiểu biết. Tội ác của ta là tội đánh giá con người không qua vẻ họ tỏ mà qua lời họ nói, qua ý họ nghĩ. Tội ác của ta là tội khôn lanh hơn các người, một tội ác mà các người không bao giờ tha thứ.

Ta là một hacker, và đây là tuyên ngôn của ta. Các người có thể ngăn chặn một cá nhân này, nhưng các người không thể nào ngăn chặn được tất cả... Nói cho cùng, chúng ta nào có khác gì nhau.

+++The Mentor+++

/*****************************************/

Lời trần tình của một hacker, còn gọi là „tuyên ngôn hacker“, đã trở thành kinh điển như một trong những tư liệu đầu tiên soi vào góc tối của tâm lý giới hacker.

Bài này được lưu truyền trên hàng ngàn website với nhiều bản hơi khác nhau. Alice dịch từ nguyên bản tiếng Anh http://www.phrack.org/archives/7/P07-03.

/*****************************************/

[alice@hvaonline.net ~]$ logout

Closing connection ...

****

Lời trần tình của một hiệp sĩ

[anon@hvaonline.net ~]$ export HISTFILESIZE=0

[anon@hvaonline.net ~]$ export HISTFILE=/dev/null

[anon@hvaonline.net ~]$ cat ./hiepsimu.txt

/*****************************************/

Những lời sau đây tôi viết ít lâu sau khi tôi bị mù

LỜI TRẦN TÌNH CỦA MỘT HIỆP SĨ

Tác giả: +++khuyết danh+++

Viết ngày 16/1/2007

/*****************************************/

Hôm nay thế là ta đã tóm thêm được một thằng, tin đăng đầy trên báo. "hiệp sĩ tiếp tục ra tay trừ gian diệt bạo", "vỏ quýt dày có móng tay nhọn: thêm một tin tặc bị hiệp sĩ tóm gọn", "lại thêm một xác chết trên đường lãng du của người hiệp sĩ tôi yêu", "ôi chàng hiệp sĩ của lòng em"...

ngon ăn vãi, với cái đà này không chóng thì chày ta sẽ trở thành đạo sĩ!

Như bao kẻ giàu có và nổi tiếng vẫn làm, ta đang viết hồi kí, "và ta đã trở thành hiệp sĩ như thế đó". Ôi một cuộc đời lãng mạn và máu lửa quá! Thằng cha nhà-văn-chuyên-viết-hồi-kí-thuê đã phải thốt lên như thế đó.

Ta bắt đầu từ ghế nhà trường... Ta chẳng khôn lanh hơn phần lớn trẻ em khác, được cái bố mẹ ta khôn lanh hơn bố mẹ chúng... Mấy thứ cao siêu họ dạy ta khiến ta phát ngán, chẳng hiểu gì sấc...

ôi cháu nó ngoan lắm ạh, vào lớp toàn ngủ, không phá phách gì hết, vậy mà làm bài lúc nào cũng được 10 điểm hết trơn. con trai hai bác quả là có tài!

Rồi ta vào trung học. Được nghe cô giáo giảng đi giảng lại đến mười lăm lần phép rút gọn phân số. Vẫn chẳng hiểu gì sấc. Thôi kệ, bố mẹ ta vẫn hiểu là được...

ôi lời giải của cháu hay nhất lớp đó các bác. con trai hai bác vừa thông minh lại vừa thương người khi cho bạn ngồi cạnh chép y nguyên bài của mình. hai bác thiệt là có phước!

Hôm nay nhà ta có một món đồ chơi mới. Không biết ông già ta chôm ở đâu về một cái máy to đùng mà người ta gọi là máy vi tính. Nó chẳng chiếu film được. Nó chẳng bắt sóng tivi được. Một cái máy ngu ngốc.

ôi cháu trai hai bác nhanh trí lắm ạh. hãy xem cách cháu chơi game kìa, thiệt là điệu nghệ, nhìn hoa cả mắt. nghe nói dạo này chơi game online có tương lai lắm đó, hai bác ráng đầu tư cho cháu nó nhé!

Và điều đó đã xảy ra... một cánh cửa mở toang ra thế giới... ta được cắt cử vào làm cán bộ một trung tâm nghiên cứu nhà nước sau khi thi rớt cái đại học chết tiệt. Bố già kêu ta ráng ở đó một hai năm rồi sẽ kiếm cho ta một suất học bổng du học Mỹ. Thôi kệ, ở đây cũng vui, đường truyền Internet tốc độ cao, tha hồ cho ta cày bừa...

Nơi đây ta quen biết tất cả mọi người... kể cả nếu ta chưa bao giờ gặp họ, chưa bao giờ nói chuyện với họ, có thể không bao giờ nghe được thêm tin tức gì về họ nữa... Ta vẫn quen biết hết mọi người, ai cũng gọi ta là con của anh năm, chị sáu ở bộ...

thằng cháu nó làm việc rất chăm chỉ, rất có tinh thần trách nhiệm đó anh năm. em thấy nó có khiếu làm công nghệ thông tin đó, suốt ngày thấy nó ôm chặt cái máy tính. thôi đi qua Mỹ chi cho mệt, cứ ở lại đây, em sẽ sắp xếp cho nó một chỗ không ngon không ăn tiền, anh năm yên tâm!

Thế là ta được lên chức, dễ còn hơn cả lên lê-vồ trong cái game mà ta đang cày nữa. Họ giao cho ta một nhiệm vụ nghe có vẻ trọng đại nhỉ, giám đốc trung tâm chuyên trị vi-rút các loại, sỉ và lẻ. Chà, vậy là phải vào bệnh viện để diệt vi-rút àh?

không phải vậy anh hai ơi, vi-rút là vi-rút máy tính đó. vi-rút máy tính àh? nó là cái gì thế? ta ngồi ôm máy tính suốt ngày có bị nhiễm không vậy trời?

Mặc dầu ta vẫn chưa sờ hay bắt được tận tay con vi-rút nào nhưng cuộc sống của ta vẫn tươi đẹp, trung tâm của ta vẫn ăn nên làm ra. Bọn báo chí vẫn hay gọi điện phỏng vấn, xin ý kiến của ta về một con vi-rút lạ hoắc nào đó. Ôi mặc kệ, ta chẳng cần biết chúng làm gì, cứ đem cái bài "đang lây lan, diễn biến rất phức tạp, đề nghị liên hệ với tôi để biết thêm chi tiết" ra là mọi người lại nhìn ta với con mắt thán phục. Ôi ta cũng phục ta thật! Tự nhiên lại thành chuyên gia.

Và chuyện gì phải đến đã đến, thành quả sau bao nhiêu năm cố gắng phấn đấu của ta, ta đã được phong hiệp sĩ. Ta không nhớ được ai phong, phong hồi nào và vì lý do gì. Mặc kệ, ta vẫn thích. Ôi hiệp sĩ, nghe nó mới cao sang làm sao. Ôi hiệp sĩ, nghe nó mới danh giá làm sao. Ôi hiệp sĩ, nghe nó mới man-lì làm sao. Ôi hiệp sĩ, ta đã trở thành hiệp sĩ rồi sao?

Nhưng hiệp sĩ không thể là hiệp sĩ nếu như không có những kẻ tiểu nhân, lưu manh hay côn đồ làm nền! Ta không muốn trở thành một chàng hiệp sĩ cô đơn (mặc dù nghe có vẻ cũng lãng mạn gớm). Ta phải có kẻ thù để tiêu diệt, ta phải trừ gian diệt bạo sao cho xứng đáng với danh hiệu hiệp sĩ này! Ai đây, ai sẽ là kẻ thù không đội trời chung của ta đây? Àh phải rồi, đám tin tặc. Tin tặc ơi là tin tặc ơi, hãy trách ông trời tại sao đã sinh ra tụi bây mà con sinh ra hiệp sĩ là ta đây hahaha!

Ta là một hiệp sĩ, và đây là tuyên ngôn của ta. Các người có thể thoát được một cá nhân này, nhưng các người không thể nào thoát được được tất cả... Nói cho cùng, tụi tao nào có khác gì nhau.

+++khuyết danh+++

/*****************************************/

Lời trần tình của một hiệp sĩ, còn gọi là „tuyên ngôn hiệp sĩ", đã trở thành kinh điển như một trong những tư liệu đầu tiên soi vào góc tối của tâm lý giới hiệp sĩ.

/*****************************************/

[anon@hvaonline.net ~]$ logout

Closing connection...

Hội thảo bảo mật quốc tế SyScan HCMC 2010

2010-08-26T00:18:00.003-07:00

Nghe BTC SyScan HCMC 2010 nói là hiện giờ đã cuối tháng 8 rồi mà có ít người đăng ký quá. Bạn nào có điều kiện thì nên đăng ký tham dự và kêu gọi bạn bè đăng ký. Nếu đã đi làm thì nên giới thiệu cho đồng nghiệp để đăng ký theo nhóm, sẽ được giảm giá.

Đây là cơ hội rất hiếm có để được tham dự một hội thảo bảo mật có uy tín và chất lượng với các diễn giả là những tay hacker "có số má" trên thế giới. Đăng ký tham dự cũng là cách để ủng hộ cho sự phát triển của ngành và nghề an toàn thông tin ở VN.

Click vào đây để đăng ký. Xem thêm thông tin bên dưới.

----

SyScan (Symposium on Security for Asia Network) là một trong các hội thảo bảo mật chuyên đề uy tín ở châu Á. Khác với các hội thảo bảo mật khác, SyScan không nói về sản phẩm hay giải pháp thương mại, mà là nơi các chuyên gia bảo mật hàng đầu trên thế giới đến để chia sẻ các nghiên cứu, phát hiện và kinh nghiệm của họ với giới bảo mật trong khu vực. Các diễn giả ở SyScan là những chuyên gia thuộc nhóm giỏi nhất, nổi bật nhất trong lĩnh vực họ nghiên cứu, sẽ đến và chia sẻ trong một hội thảo diễn ra trong hai ngày.

Đây là lần đầu tiên hội thảo SyScan được tổ chức ở Việt Nam với sự phối hợp đồng tổ chức giữa Syscan, công ty IET và nhóm VNSECURITY – nhóm nghiên cứu bảo mật hàng đầu hiện nay ở VN và cũng là nhà tổ chức hội thảo bảo mật quốc tế VNSECON năm 2007. Hội thảo SyScan 2010 HCM sẽ diễn ra từ ngày 23 đến 24 tháng 9 năm 2010 tại khách sạn Sheraton, 88 Đồng Khởi – Q.1 – Tp.HCM. Trọng tâm của hội thảo năm nay sẽ nhắm vào các chủ đề bảo mật nóng bỏng hiện nay trên thế giới như: Bảo mật hệ điều hành, Ảo hoá và Điện toán đám mây, Bảo mật trình duyệt, Bảo mật thiết bị di động, hệ thống nhúng, Web 2.0, Mạng viễn thông, Mạng máy tính, Chính sách an ninh, Chiến tranh điện tử… Các đề tài này sẽ được xét duyệt bởi một hội đồng kỹ thuật gồm các chuyên gia bảo mật hàng đầu:

Thomas Lim – Sáng lập SyScan, CEO công ty bảo mật COSEINC
Dave Aitel – Sáng lập viên và là CEO của công ty bảo mật ImmunitySec
Marc Maiffret – Đồng sáng lập và là Chief Hacking Officer của công ty bảo mật eEye
Matthew “Shok” Conover – Công ty bảo mật Symantec
Thanh Nguyen – Security Center of Excellence, Intel / Sáng lập viên VNSECURITY

Các báo cáo sẽ được các diễn giả trình bày bằng tiếng Anh. Tuy nhiên các tài liệu và bản thuyết trình sẽ được chiếu song ngữ tiếng Anh và tiếng Việt. Song song với buổi hội thảo, sẽ diễn ra các khoá huấn luyện ngắn hạn do các chuyên gia tên tuổi đứng lớp với các chủ đề khá chuyên biệt như Khai thác lỗi hổng bảo mật trên Windows, Bảo mật ứng dụng Web, Xây dựng mạng Wifi an toàn...

Do tổ chức ở VN, ban tổ chức đã cân nhắc mức chi phí phù hợp cho đa số các đối tượng quan tâm đến bảo mật có thể tham gia. BTC hiện đang cho đăng ký tham dự sớm với chi phí tham dự hội thảo chỉ là 200 USD (50 USD đối với sinh viên)/người từ nay đến hết tháng 8. Đây là giá rất rẻ cho hội thảo quốc tế về an ninh mạng và bảo mật có quy mô và chất lượng cao (giá trung bình ở các hội thảo khác trong đó có Syscan 2010 Singapore là khoảng 500-1500 USD/người). Ngoài ra, mỗi người tham dự sẽ có cơ hội bốc thăm trúng thưởng máy tính bảng iPad của hãng Apple. Để đăng ký, bạn hãy gửi thông tin cho ban tổ chức qua trang web sau http://www.syscan.org/hcm/registration.php. Đại diện BTC ở VN sẽ liên hệ bạn để xác nhận và thống nhất về phương thức thanh toán. Nếu bạn có thắc mắc hay câu hỏi, xin vui lòng liên hệ qua địa chỉ email conf @ vnsecurity chấm net.