thái

Làm an toàn thông tin thì học gì?

2012-05-02T14:27:00.000-07:00

1 Giới thiệu

Tôi nhận được thư từ của nhiều bạn hỏi về việc nên học gì và như thế nào để có thể tìm được việc làm và làm được việc trong ngành an toàn thông tin (information security). Tôi nghĩ việc đầu tiên bạn cần phải làm là in toàn bộ bài viết "Làm thế nào để trở thành white hat hacker" ra giấy, nhưng đừng đọc, mà hãy để chúng trong toilet khi nào cần thì xài dần.

Quay trở lại câu hỏi. An toàn thông tin là một ngành rộng lớn với rất nhiều lĩnh vực. Những gì tôi biết và làm được chỉ gói gọn trong một hai lĩnh vực. Có rất nhiều mảng kiến thức cơ bản mà tôi không nắm vững và cũng có nhiều kỹ năng mà tôi không thạo. Hack tài khoản Yahoo! Mail là một trong số đó. Tôi cũng không biết cách tìm địa chỉ IP của bạn chat :-(.

Xét theo năm mức ngu dốt thì tôi nằm ở mức "1OI - thiếu kiến thức" ở hầu hết các lĩnh vực trong an toàn thông tin. Cũng có lĩnh vực tôi nằm ở mức "2OI - thiếu nhận thức". Nhiều lần đọc sách vở hoặc nói chuyện với đồng nghiệp, tôi hay nhận ra rằng có nhiều thứ tôi không biết là tôi không biết. Theo ý của anh Ngô Quang Hưng thì đây là chuyện bình thường:

Dân máy tính thường phải đọc/học rất nhiều để theo kịp sự phát triển với tốc độ ánh sáng của ngành mình. Trong quá trình này, với mỗi vấn đề X của ngành, ta sẽ chuyển dần dần từ 3OI xuống 1OI. Sau đó, nếu X là cái mà ta thật sự thích hoặc cần cho công việc thì sẽ chuyển nó lên 0OI.

Rất nhiều sinh viên và nghiên cứu sinh KHMT ở mức 3OI khi mới bắt đầu đi học. Sau đó họ tìm hiểu về quá trình nghiên cứu, quá trình tìm các vấn đề và hướng nghiên cứu mới, quá trính cập nhật kiến thức về ngành của mình, và chuyển dần các thứ lên 2OI. Để có một quá trình hiệu quả từ 3OI lên 2OI không dễ chút nào. Ví dụ đơn giản: các journals, conference nào trong ngành mình là có giá trị, làm thế nào để tìm đọc các bài trong chúng, phương pháp lọc bài đọc thế nào, vân vân.

Tôi thấy anh Hưng nói có lý, nên mục tiêu chính của bài viết này là cung cấp một quá trình hiệu quả để bớt ngu về an toàn thông tin.

2 Làm an toàn thông tin là làm gì?

Tôi muốn viết phần này vì nhiều người tưởng tôi làm bảo vệ khi tôi nói tôi làm security. Ngoài ra có lẽ là do thị trường việc làm an toàn thông tin ở Việt Nam không phong phú nên hầu hết đều nghĩ rằng làm an toàn thông tin nghĩa là đảm bảo an toàn hệ thống mạng (network/system security), trong khi thực tế đây chỉ là một trong số rất nhiều công việc trong ngành.

Trong bốn phần nhỏ tiếp theo, tôi sẽ giới thiệu bốn nhóm công việc chính trong ngành. Đối với mỗi nhóm công việc, tôi sẽ bàn một chút về triển vọng nghề nghiệp ở Việt Nam và Mỹ, hai nơi mà tôi có dịp được quan sát. Nếu bạn không biết bạn thích làm gì thì cứ chọn một công việc rồi làm thử. Các công việc này đều có liên quan nhau, nên kiến thức mà bạn học được trong quá trình thử vẫn hữu ích cho những nghề khác.

2.1 An toàn sản phẩm (product security)

Công việc chính của nhóm này là làm việc với các đội phát triển sản phẩm để đảm bảo sản phẩm làm ra an toàn cho người dùng và an toàn cho hệ thống của công ty, cụ thể là:

Kiểm định mã nguồn và thiết kế của sản phẩm

Phát triển các giải pháp kỹ thuật và quy trình phát triển phần mềm an toàn để phát hiện và ngăn chặn những kỹ thuật tấn công đã biết

Đào tạo nhân lực để nâng cao nhận thức về an toàn thông tin cũng như kỹ năng viết mã an toàn

Nghiên cứu các hướng tấn công mới có thể ảnh hưởng hệ thống sản phẩm và dịch vụ của công ty

Tóm gọn lại thì nhóm này chuyên tìm lỗ hổng và kỹ thuật tấn công mới. Đây là công việc của tôi và tôi thấy đây là công việc thú vị nhất trong ngành :-).

Ở Mỹ thì thông thường thì chỉ có các hãng có phần mềm và dịch vụ lớn như Facebook, Google, Microsoft, Oracle, v.v. hay các tập đoàn tài chính ngân hàng lớn mới có đội ngũ tại chỗ để đảm nhiệm công việc này. Các công ty nhỏ thường chỉ thuê dịch vụ của các công ty tư vấn. IBM và Big Four đều có cung cấp dịch vụ tư vấn này. Dẫu vậy nếu được chọn lựa thì tôi sẽ chọn làm cho các công ty chuyên sâu như Matasano, iSec, Leviathan, Gotham, IOActive, Immunity, v.v.

Ở Việt Nam thì thị trường việc làm cho người làm an toàn sản phẩm có vẻ ảm đạm hơn. Cho đến nay tôi biết chỉ có một vài công ty ở Việt Nam là có nhân viên chuyên trách lĩnh vực này. Các công ty khác (nếu có quan tâm đến an toàn thông tin) thì hầu như chỉ tập trung vào an toàn vận hành. Các công ty tư vấn an toàn thông tin ở Việt Nam cũng không tư vấn an toàn sản phẩm, mà chỉ tập trung tư vấn chung chung về các quy trình và tiêu chuẩn an toàn thông tin.

2.2 An toàn vận hành (operations security)

Công việc chính của nhóm này là đảm bảo sự an toàn cho toàn bộ hệ thống thông tin của doanh nghiệp, với ba nhiệm vụ chính:

Ngăn chặn: đưa ra các chính sách, quy định, hướng dẫn về an toàn vận hành; kiện toàn toàn bộ hệ thống thông tin, từ các vành đai cho đến máy tính của người dùng cuối; cấp và thu hồi quyền truy cập hệ thống; quét tìm lỗ hổng trong hệ thống, theo dõi thông tin lỗ hổng mới và làm việc với các bên liên quan để vá lỗi, v.v.

Theo dõi và phát hiệ: giám sát an ninh mạng.

Xử lý: phản hồi (incident response) và điều tra số (digital forensics) khi xảy ra sự cố an toàn thông tin, từ tài khoản của nhân viên bị đánh cắp, rò rỉ thông tin sản phẩm mới cho đến tấn công từ chối dịch vụ.

Đây là công việc khó nhất, nhưng lại ít phần thưởng nhất của ngành an toàn thông tin.

Tương tự như trên, chỉ có các hãng lớn của Mỹ mới có đội ngũ tại chỗ để phụ trách toàn bộ khối lượng công việc đồ sộ này, nhất là mảng xử lý và điều tra. Đa số các công ty chỉ tập trung vào ngăn chặn và sử dụng dịch vụ của bên thứ ba cho hai mảng còn lại. Các hãng như Mandiant, Netwitness hay HBGary cung cấp dịch vụ điều tra các vụ xâm nhập và có rất nhiều hãng khác cung cấp dịch vụ giám sát an ninh mạng.

Ở Việt Nam thì thị trường việc làm cho người làm an toàn vận hành tương đối phong phú hơn so với an toàn sản phẩm. Các công ty và tổ chức tài chính lớn đều có một vài vị trí chuyên trách về an toàn vận hành. Đa số người làm về an toàn thông tin ở Việt Nam mà tôi biết là làm trong lĩnh vực này. Dẫu vậy hầu như chưa có ai và công ty tư vấn nào làm về phản hồi và điều tra sự cố.

2.3 Phát triển công cụ (applied security)

Công việc chính của nhóm này là phát triển và cung cấp các công cụ, dịch vụ và thư viện phần mềm có liên quan đến an toàn thông tin cho các nhóm phát triển sản phẩm sử dụng lại.

Nhóm này bao gồm các kỹ sư nhiều năm kinh nghiệm và có kiến thức vững chắc về an toàn thông tin, viết mã an toàn và mật mã học. Họ phát triển các thư viện và dịch vụ dùng chung như phân tích mã tĩnh - phân tích mã động (static - dynamic code analysis), hộp cát (sandboxing), xác thực (authentication), kiểm soát truy cập (authorization), mã hóa (encryption) và quản lý khóa (key management), v.v.

Đây là dạng công việc dành cho những ai đang viết phần mềm chuyên nghiệp và muốn chuyển qua làm về an toàn thông tin. Đây cũng là công việc của những người thích làm an toàn sản phẩm nhưng muốn tập trung vào việc xây dựng sản phẩm hơn là tìm lỗ hổng.

Rõ ràng loại công việc này chỉ xuất hiện ở các công ty phần mềm lớn. Ở các công ty phần mềm nhỏ hơn thì các kỹ sư phần mềm thường phải tự cáng đáng công việc này mà ít có sự hỗ trợ từ nguồn nào khác. Ở Việt Nam thì tôi không biết có ai làm dạng công việc này không.

2.4 Tìm diệt mã độc và các nguy cơ khác (threat analysis)

Ngoài an toàn sản phẩm ra thì đây là một lĩnh vực mà tôi muốn làm. Công việc chính của nhóm này là phân tích, truy tìm nguồn gốc và tiêu diệt tận gốc mã độc và các tấn công có chủ đích (targeted attack). Mã độc ở đây có thể là virút, sâu máy tính, hay mã khai thác các lỗ hổng đã biết hoặc chưa được biết đến mà phần mềm diệt virút thông thường chưa phát hiện được. Các loại mã độc này thường được sử dụng trong các tấn công có chủ đích vào doanh nghiệp.

Tôi nghĩ rằng sau hàng loạt vụ tấn công vừa rồi thì chắc hẳn các công ty lớn với nhiều tài sản trí tuệ giá trị đều muốn có những chuyên gia trong lĩnh vực này trong đội ngũ của họ. Ngoài ra các công ty chuyên về điều tra và xử lý sự cố như Mandiant, HBGary hay Netwitness mà tôi đề cập ở trên đều đang ăn nên làm ra và lúc nào cũng cần người. Các công ty sản xuất phần mềm diệt virút dĩ nhiên cũng là một lựa chọn.

Ở Việt Nam thì tôi nghĩ hầu hết doanh nghiệp vẫn chưa thấy được nguy cơ đến từ các cuộc tấn công có chủ đích, thành ra họ sẽ không tuyển người chuyên trách vấn đề này. Tôi cũng không biết có công ty tư vấn nào ở Việt Nam chuyên về điều tra và xử lý sự cố hay không. Tôi nghĩ lựa chọn khả dĩ nhất cho những người thích mảng công việc này là các công ty phần mềm diệt virút.

Tuy nhiên cũng cần lưu ý rằng trong vài năm gần đây ở Việt Nam còn xuất hiện những loại mã độc nhắm vào đông đảo người dùng máy tính bình thường. Vấn nạn này có lẽ sẽ còn kéo dài trong nhiều năm tới và lẽ đương nhiên "phe ta" lúc nào cũng cần thêm những chiến sĩ lành nghề như anh TQN. Thành ra dẫu triển vọng nghề nghiệp không sáng sủa cho lắm, nhưng tôi rất hi vọng sẽ ngày càng nhiều người tham gia vào việc phân tích các mã độc nhắm vào người dùng máy tính ở Việt Nam. Đối với tôi họ là những người hùng thầm lặng, chiến đấu đêm ngày với các "thế lực thù địch" để bảo vệ tất cả chúng ta.

3 Học như thế nào?

Đa số những bạn viết thư cho tôi đều đang học đại học ngành CNTT và tất cả đều than rằng chương trình học quá chán, không có những thứ mà các bạn muốn học. Tôi nghĩ đây là một ngộ nhận.

Hối tiếc lớn thứ nhì trong sự nghiệp học tập mấy chục năm của tôi là đã không học nghiêm túc khi còn là sinh viên (hối tiếc lớn nhất là tôi đã không nghỉ hẳn, nhưng đó là một câu chuyện dài khác). Tôi cũng đã nghĩ rằng chương trình học ở đại học là lạc hậu và không cần thiết. Bây giờ nhìn lại thì tôi thấy nội dung và cách dạy của từng môn học thì đúng là lạc hậu (chỉ có mấy môn triết học Mác-Lênin là bắt kịp ánh sáng thời đại), nhưng toàn bộ giáo trình đại học vẫn cung cấp được một cái sườn kiến thức rất cần thiết cho một kỹ sư an toàn thông tin.

Ở đại học người ta có cách tiếp cận top-down, nghĩa là dạy từ đầu đến cuối những kiến thức nằm trong chương trình. Điều này dễ dẫn đến tình trạng là người học phải học những kiến thức mà họ không thấy cần thiết. Nếu chương trình học cũ kỹ và không có nhiều thực hành, hoặc người dạy không chỉ ra được bức tranh toàn cảnh, vị trí hiện tại của người học và bước tiếp theo họ nên làm là gì thì người học sẽ dễ cảm thấy rằng họ đang phí thời gian học những kiến thức vô bổ.

Trong khi khi đi làm thì cách tiếp cận là bottom-up, nghĩa là lao vào làm, thấy thiếu kiến thức chỗ nào thì học để bù vào chỗ đó. Lúc này tôi hoàn toàn chủ động trong việc học và tôi cũng hiểu rõ tôi cần học cái gì và tại sao. Điều thú vị là mỗi khi truy ngược lại nguồn gốc của những kiến thức tôi cần phải có, tôi thường thấy chúng nằm trong chương trình đại học.

Ví dụ như tôi muốn luyện kỹ năng dịch ngược mã phần mềm (reverse code engineering - RCE) thì tôi thấy rằng tôi cần phải có kiến thức về tổ chức và cấu trúc máy tính. Hoặc nếu tôi muốn học về mật mã học thì tôi phải học lý thuyết tính toán, mà khởi nguồn là lý thuyết automata. Nhưng tại sao trước đó tôi cũng đi làm nhưng không thấy được những lỗ hổng kiến thức này? Tôi nghĩ là do tôi làm không đủ sâu. Ví dụ như nếu bạn suốt ngày chỉ lập trình PHP thì bạn sẽ không thể hiểu được tại sao phải nắm vững tổ chức và kiến trúc máy tính. Hoặc giả như công việc của bạn là sysadmin thì cũng sẽ rất khó để bạn thấy được tại sao cần phải học lý thuyết automata.

Những gì tôi nói lan man ở trên có thể tóm gọn lại thế này:

Học dựa theo chương trình đại học. Nếu bạn đang học đại học các ngành công nghệ thông tin, khoa học máy tính hay toán tin thì nên tập trung vào việc học các môn trong trường. Các học liệu trong phần 4 cũng được soạn theo các đại học lớn trên thế giới.

Học kiến thức căn bản thật vững (cái gì là căn bản thì xem phần 4), những món còn lại khi nào cần (căn cứ vào nhu cầu công việc) thì hẵng học.

Tìm dự án lề (side project) mà bạn thích để làm để có thể nhanh chóng nhận ra những mảng kiến thức còn thiếu.

Thời điểm tốt nhất để học một cái gì đó là khi bạn đang là sinh viên. Thời điểm tốt thứ hai là ngay bây giờ!

Các lớp mà tôi liệt kê trong phần 4 đa số là của đại học Stanford. Bạn không cần phải đến tận nơi, ngồi trong lớp mới có thể học được. Tôi thấy trong nhiều trường hợp thì bạn chỉ cần đọc lecture notes, sách giáo khoa mà lớp sử dụng rồi làm bài tập đầy đủ thì vẫn sẽ tiếp thu đủ kiến thức. Một số lớp mà tôi liệt kê dưới đây được dạy miễn phí rộng rãi trên Coursera.

Bạn có thể tham khảo chương trình SCPD nếu muốn học chung với các sinh viên Stanford khác. Đây là chương trình học từ xa thông qua video. Buổi sáng lớp diễn ra thì buổi chiều bạn đã có video để xem. Thi cử như các sinh viên chính quy khác và điểm phải trên B mới được học tiếp. Đây là chương trình mà tôi theo học. Điểm thú vị là mỗi học kỳ bạn chỉ cần lấy một lớp, nhưng Stanford vẫn sẽ cho bạn xem video của tất cả các lớp khác.

Ngoài Stanford và Coursera ra, bạn cũng có thể tham khảo các lớp trên Udacity, OCW và MITx. Khi tôi đang viết những dòng này thì MIT và Harvard công bố dự án edX. Chúng ta đang sống trong một thời đại cực kỳ thú vị! Bây giờ chỉ cần bạn chịu học thì muốn học cái gì cũng có lớp và học liệu miễn phí. Nhưng mà học cái gì bây giờ?

4 Học cái gì?

Có ba món quan trọng cần phải học: lập trình, lập trình và lập trình! Để làm việc được trong ngành này, bạn phải yêu thích lập trình. Không có cách nào khác. Thề luôn!

Tôi dành khá nhiều thời gian tìm hiểu giáo trình khoa học máy tính của các trường đại học lớn trên thế giới và tôi thấy tất cả các môn học đều có phần bài tập là lập trình. Học cái gì viết phần mềm cho cái đó. Học về hệ điều hành thì phần bài tập là viết một hệ điều hành. Học về mạng thì viết phần mềm giả lập router, switch hay firewall. Cá nhân tôi cũng thấy rằng lập trình là cách tốt nhất để tiếp thu kiến thức một môn học nào đó, biến nó thành của mình. Nói cách khác, lập trình là một cách mã hóa tri thức khá hiệu quả.

Ngoài ra nhìn vào mô tả công việc ở phần 2, bạn cũng có thể thấy kỹ năng lập trình quan trọng đến dường nào, bởi hầu hết các vấn đề và giải pháp của an toàn thông tin là đến từ phần mềm. Rõ ràng muốn tìm lỗi của phần mềm thì bạn phải hiểu được phần mềm thông qua mã nguồn trực tiếp hay trung gian của nó. Rất có thể bạn sẽ không phải lập trình hàng ngày, nhưng bạn phải viết được những công cụ nhỏ hay những thư viện hỗ trợ cho công việc và các lập trình viên khác.

Vậy làm thế nào để lập trình giỏi? Câu hỏi này làm tôi nhớ đến câu chuyện cười về ông lập trình viên không thể ra khỏi phòng tắm vì trên chai dầu gội có ghi hướng dẫn sử dụng là "cho vào tay, xoa lên đầu, xả nước và lập lại". Từ khóa trong câu chuyện này là "lập lại": muốn giỏi lập trình thì cách tốt nhất là lập trình nhiều vô!

Nhưng mà lập trình bằng ngôn ngữ gì bây giờ? Đây là câu hỏi dễ làm cho các lập trình viên oánh nhau nhất ;-). Cá nhân tôi thấy rằng người làm an toàn thông tin bây giờ cần phải thông thạo C, x86 Assembly, Python (hoặc Ruby) và JavaScript. Tôi có nói lý do tại sao trong phần giới thiệu sách tiếp theo.

Lập trình

Brian Kernighan, Dennis Ritchie, The C Programming Language (2nd Edition): kinh điển và phải-đọc cho tất cả những ai muốn học C! Linus Torvalds từng nói rằng "[...] all right-thinking people know that (a) K&R are _right_ and (b) K&R are right". Tôi đã từng rất sợ C (vì nghĩ nó phức tạp), và cuốn này giúp tôi không còn sợ nữa.

Randal Bryant, David O'Hallaron, Computer Systems: A Programmer's Perspective: cuốn này được dùng cho lớp CS107. Đọc cuốn này và làm bài tập của lớp CS107 sẽ rèn cho bạn kỹ năng lập trình C và x86 Assembly. Sau khi đọc cuốn này, bạn sẽ biết tại sao có lỗi tràn bộ đệm và cách khai thác chúng. Tôi rất thích các chương nói về x86 và sự liên kết giữa các công cụ như preprocessor, compiler và linker.

David Hanson, C Interfaces and Implementations: muốn mau "lên cơ" bida thì phải thường xuyên xem người khác chơi để mà học "đường" mới. Tương tự, muốn giỏi lập trình thì phải thường xuyên đọc mã của những cao thủ. David Hanson là một cao thủ C và cuốn sách này sẽ chỉ cho bạn nhiều "đường" mới trong việc sử dụng C. Tôi thích các bài tập của cuốn sách này. Tôi nghĩ chỉ cần luyện các bài này là đủ để trở thành một lập trình viên C hạng lông.

Justin Seitz, Gray Hat Python: Python Programming for Hackers and Reverse Engineers: cuốn này sẽ giúp bạn sử dụng Python để viết những công cụ nho nhỏ mà bất kỳ ai làm an toàn thông tin cũng sẽ phải viết một vài lần trong đời.

Douglas Crockford, JavaScript: The Good Parts: JavaScript là ngôn ngữ thống trị WWW. Nếu bạn muốn làm an toàn (ứng dụng và trình duyệt) web thì bắt buộc phải thành thạo ngôn ngữ. Cuốn sách rất mỏng này của tác giả JSON giới thiệu đầy đủ những vấn đề mà người làm an toàn ứng dụng cần phải biết về JavaScript. Cuốn này có thể dùng làm sách giáo khoa thay cho cuốn "Javascript: The Definitive Guide" trong lớp CS142 (xem bên dưới). Đọc cuốn này tôi mới hiểu closure là gì và bản chất prototypal của JavaScript.

Sẽ đọc: những cuốn được giới thiệu ở đây.

Hệ điều hành

Abraham Silberschatz, Peter Galvin, and Greg Gagne, Operating System Concepts, 8th Edition Update: cuốn này là giáo trình của lớp CS140. Tôi nghĩ không cần đọc cuốn này, chỉ cần đọc notes và làm bài tập (viết các phần khác nhau của một hệ điều hành!) là đủ. Đây là một lớp nặng. Tôi theo đuổi lớp CS140 này giữa chừng thì phải dừng lại do không có đủ thời gian.

Intel Software Developer Manuals: tôi thấy nên đọc tài liệu của 80386 trước, rồi sau đó hẵng đọc tài liệu của các CPU mới hơn.

Red Hat, Introduction to System Administration: tôi rất thích chương nói về "philosophy of sysadmin" của cuốn này và tôi nghĩ kỹ năng quản trị hệ thống là cực kỳ cần thiết khi muốn nghiên cứu các kỹ thuật tấn công/phòng thủ mới. Không thể làm an toàn vận hành nếu không có kỹ năng quản trị hệ thống.

Sẽ đọc: Mark Russinovich, David Solomon, Alex Ionescu, Windows Internals, Part 1: Covering Windows Server 2008 R2 and Windows 7.

Mạng máy tính

Richard Stevens, TCP/IP Illustrated Vol I: cuốn sách này quá nổi tiếng rồi nên tôi nghĩ không cần phải giới thiệu. Tôi chưa đọc Vol II, III nhưng nhất định sẽ tìm đọc trong thời gian tới. Lớp CS144 dùng một cuốn sách khác. Tôi chưa học lớp này, nhưng tôi thấy bài tập của họ khá thú vị.

Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent, Ronald W. Ritchey, Inside Network Perimeter Security, 2nd Edition: tôi thích cuốn này vì nó viết rất dễ hiểu về các vấn đề và công cụ thường gặp trong an toàn mạng.

Sẽ đọc: Fyodor, Nmap Network Scanning.

Sau khi đã có những kiến thức cơ bản ở trên, bạn có thể theo đuổi lớp CS155. Lớp này có trên Coursera với tên Computer Security. Song song với lớp CS155, bạn có thể tìm đọc các sách sau:

Tìm lỗi phầm mềm

Mark Dowd, John McDonald, Justin Schuh, The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities: Kinh điển và phải-đọc! Cuốn này là kinh thánh của lĩnh vực an ninh ứng dụng. Tôi thích nhất phần nói về tràn số nguyên và những vấn đề của ngôn ngữ C trong cuốn này.

Dafydd Stuttard, Marcus Pinto, The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws: cuốn này tập trung vào ứng dụng web. Tôi không đọc cuốn này kỹ lắm, mà chỉ thường dùng nó để tham khảo. Dẫu vậy tôi nghĩ nó là một cuốn giới thiệu tốt cho những ai mới bắt đầu.

Michal Zalewski, The Tangled Web: cuốn này mới xuất bản gần đây nhưng đã ngay lập tức trở thành kinh điển! Cuốn này đúc kết quá trình nghiên cứu về an ninh web trong vài năm trời của một trong những hacker xuất sắc nhất thế giới. Tôi nghĩ chỉ cần đọc cuốn này là bạn đã có thể bắt đầu tìm lỗ kiếm tiền được rồi. Cuốn này và cuốn ở trên được dùng làm sách giáo khoa của lớp CS142.

Sẽ đọc: Tobias Klein, A Bug Hunter's Diary: A Guided Tour Through the Wilds of Software Security

Dịch ngược mã phần mềm

Eldad Eilam, Reversing: Secrets of Reverse Engineering: mặc dù có rất nhiều người viết về RCE nhưng tôi thấy đây là cuốn duy nhất hệ thống hóa được các bước quan trọng cần phải làm khi cần dịch ngược mã của một tệp chương trình nào đó.

Chris Eagle, The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler: IDA Pro là công cụ tốt nhất để làm RCE và đây là cuốn sách tốt nhất về IDA Pro. Nắm vững C và x86 Assembly thì chỉ cần đọc cuốn này là bạn có thể bắt đầu RCE các phần mềm phức tạp.

Tham khảo các tài liệu về dịch ngược mã phần mềm của lớp PenTest của đại học NYU.

Sẽ đọc: Christian Collberg, Surreptitious Software: Obfuscation, Watermarking, and Tamperproofing for Software Protection: Obfuscation, Watermarking, and Tamperproofing for Software Protection

Sẽ đọc: Michael Sikorski, Andrew Honig, Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software

Điều tra số (digital forensics)

Brian Carrier, File System Forensic Analysis: Brian Carrier là tác giả của bộ công cụ forensic nổi tiếng The Sleuth Kit. Cuốn này đã giúp tôi "khai quật" được một đoạn video bị xóa lưu trong một máy camera quay lén các máy ATM.

Sẽ đọc: Cory Altheide, Harlan Carvey, Digital Forensics with Open Source Tools

Mật mã hóa

Niels Ferguson, Bruce Schneier, Practical Cryptography: tôi có nhiều kỷ niệm đẹp với cuốn này ;-). Hầu hết các kết quả làm việc của tôi trong vài năm vừa rồi là nhờ vào việc đọc cuốn này. Tôi chép lại đây giới thiệu rất hay của một người bạn: "The best security books, you can read "inside out", taking any recommendation on what to do and looking for people to do the opposite to find flaws. "Firewalls and Internet Security" was like that. So was "Practical Unix Security", and so is TOASSA. This is that book for crypto. It's also the one book on crypto you should allow yourself to read until you start actually finding crypto flaws."

Jonathan Katz, Yehuda Lindell, Introduction to Modern Cryptography: Principles and Protocols: đây là sách giáo khoa của lớp CS255. Lớp này là lớp Cryptography trên Coursera.

Sẽ đọc: Adam Young, Moti Yung, Malicious Cryptography: Exposing Cryptovirology

Chú ý đây là những cuốn sách tập trung vào công việc hàng ngày và sở thích của tôi -- nói cách khác, còn thiếu nhiều sách của các mảng công việc khác. Dẫu vậy tôi nghĩ những cuốn sách này sẽ giúp bạn có được một kiến thức nền tảng vững chắc để từ đó theo đuổi các nghề nghiệp khác nhau trong ngành an toàn thông tin. Trong thời gian tới tôi sẽ cập nhật thêm những cuốn sách mà tôi đang và sẽ đọc. Nếu bạn biết sách nào hay thì hãy giới thiệu cho tôi.

Ngoài ra trong các sách mà tôi vừa liệt kê không có cuốn sách toán (và lý thuyết khoa học máy tính) nào cả. Tôi nghĩ bạn sẽ tự có câu trả lời cho câu hỏi "Có nên học toán hay không?" khi bắt đầu học mật mã. Về hai mảng này thì tôi rất thích lớp "Great Ideas in Theoretical Computer Science" của Scott Aaronson và cuốn "A Computational Introduction to Number Theory and Algebra" của Victor Shoup. Thích đến nỗi tôi phải viết đoạn này chỉ để nhắc đến chúng ;-). Tôi cũng đã từng dành ra nhiều tháng để đánh vật với Introduction to the Theory of Computation của Michael Sipser. Nhưng thôi, tôi không muốn giới thiệu sách toán nữa vì tôi rất dốt món này!

5 Bắt đầu nói nhảm và hết

Phew! Không ngờ là tôi cũng viết được cho đến đây (hi vọng là bạn vẫn đang đọc!). Tôi định viết dông dài về thái độ học tập này nọ, nhưng thôi bài đã dài và nhiều thông tin rồi, nên tôi chỉ nói ngắn gọn thế này:

Cái mà tôi vừa "vẽ" ra là một con đường. Thú thật là tôi không biết đích đến của nó là gì -- tôi chỉ biết rằng hành trình mà tôi đã đi qua (và hi vọng là những chặng đường sắp tới) đã mang đến cho tôi rất nhiều niềm vui -- niềm vui của một con người đi khám phá thế giới, chinh phục những thử thách, để rồi chia sẻ những câu chuyện hay ho với tất cả mọi người.

Mỗi ngày tôi đều dành thời gian đọc sách, làm bài tập, viết mã hoặc chứng minh một cái gì đó. Không ai bắt tôi phải làm những chuyện đó. Có những thứ tôi học cũng không (hoặc chưa) có liên quan gì đến công việc. Tôi học chỉ vì tôi thích và tò mò. Tôi học vì tôi muốn hiểu thêm những thứ mà tôi cho là hay ho. Tôi học vì tôi muốn đi mãi, đi mãi, đi đến tận cùng những cái mà người ta viết trong sách, để xem ở đó có gì hay không.

Hôm rồi tôi đọc một mẩu chuyện về Richard Feynman, trong đó có đoạn kể về lúc Feynman bị bệnh gần đất xa trời, ông tâm sự rằng, "[I'm going to die but I'm not as sad as you think because] when you get as old as I am, you start to realize that you've told most of the good stuff you know to other people anyway". Đương nhiên những gì tôi biết làm sao mà "good" bằng những gì Feynman biết, nhưng dẫu sao thì tôi cũng sẽ học theo Feynman: có biết chuyện gì hay ho thì kể cho nhiều người khác cùng biết. Bài này là một chuyện như thế.

Happy hacking!

(cảm ơn đại ca M. đã đọc và sửa bản nháp của bài này)

Bài này tự hay

2012-04-02T21:52:00.003-07:00

Bài này tự hay.

Đây là một trong số các lỗ hổng mà tôi có đề cập đến trong bài nói chuyện về những lổ hổng ít được biết đến ở TetCon 2012. Các lỗ hổng như thế này có thể gây ra nhiều tác hại lớn trên các mạng xã hội, vì chúng rất dễ lây lan.

Khoe ;-)

2012-02-29T19:28:00.003-08:00

3 năm liên tục, woohoo!

dễ hoặc đúng

2012-02-05T22:21:00.000-08:00

hôm nay vô tình thấy lại một bài mà tôi đã viết cách đây đúng 3 năm. có lẽ bây giờ không còn đủ can đảm để viết những dòng như thế này nữa. hồi đó viết để trách móc và "khích tướng" một người bạn thân, còn hôm nay gửi lại đây để tự răn mình và xem như là một quyết tâm cho năm mới.

---

dễ hoặc đúng

sống ở đời tạo dựng được uy tín là đã khó, giữ được uy tín đó lại càng khó hơn, vậy mà sao bạn lại toàn hứa rồi không làm? rồi bạn hỏi: sao không ai tin tưởng bạn hết?! sao mà tin tưởng cho được khi mà ngay cả những chuyện lặt vặt bạn cũng thất hứa.

nghe đồn bạn mới tốn vài chục chai lo cho công an để đổi sang họ Hứa. hay là họ Lơ? tự bạn rất giỏi chơi trò Lơ, tưởng như cứ lơ một thời gian là người ta sẽ quên. đúng là người ta quên lời bạn hứa thật, nhưng tất cả đều nhớ: đừng có tin thằng này nữa.

tại sao khi tuyển người, người ta thường yêu cầu phải có kinh nghiệm làm việc, mặc dù có thể đó không phải là kinh nghiệm trong ngành mà họ đang tuyển? bởi người có kinh nghiệm thường có cách ứng xử đúng mực khi tham gia vào một môi trường làm việc tập thể.

chẳng hạn như: khi được giao việc, nếu làm được, thì họ sẽ nhận, không làm được thì sẽ từ chối. từ chối không có nghĩa là dở, mà là biểu hiện của việc biết lượng sức mình. vả lại nó cũng giúp cho người giao việc đỡ mất thời gian chờ đợi một người không có khả năng.

nếu nhận việc, họ sẽ làm cho xong và đúng hạn, bởi đó là trách nhiệm và uy tín của họ. không hề (và không thể) có chuyện lơ và hi vọng người ta sẽ quên. cũng sẽ không có chuyện "bỏ trốn", gọi điện thoại không nhấc máy, lấy lý do hết sức hèn là bận (ăn hay ngủ?) hay là không thấy điện thoại.

giữ lời hứa, ngoài trách nhiệm với người được hứa, còn là trách nhiệm với chính bản thân bạn. làm sao có thể sống một cuộc sống vô kỷ luật, không có nguyên tắc và luôn luôn thỏa hiệp một cách lười biếng như thế?

àh có, bạn có thể sống như thế, khi bạn còn nhỏ. chẳng ai yêu cầu một đứa bé 3-4 tuổi phải giữ lời hứa cả. lớn lên một chút, đi học, nếu cô giao bài tập khó quá, bạn có thể lăn ì ra khóc lóc, mà sẽ không có ai đuổi việc hay là trừ tiền thưởng của bạn.

cứ thất hứa với người khác hoài, rồi bạn bắt đầu thất hứa với chính bản thân mình, mà không hề cảm thấy xấu hổ hay tội lỗi. làm gì bạn cũng hẹn: "để mai làm", "để sau Tết", "để chừng nào rảnh rảnh"... rồi ngày cũng qua, Tết cũng hết, mà bạn vẫn chưa "rảnh" để lo cho chính tương lai của bạn.

những lời hứa, những dự định, những ước mơ, những hoài bão... nếu không thực hiện ngay bây giờ, thì bao giờ? hãy nhớ rằng: thời điểm tốt nhất để làm một việc gì đó là cách đây 5-10 năm, thời điểm tốt thứ hai chính là ngay lúc này.

đời người nhắm mắt lại chưa biết có còn dịp mở mắt ra nữa không. cuộc đời có bao lâu mà sao bạn lại hững hờ đến thế? nhanh lên chứ, vội vàng lên với chứ!

nhưng bạn vẫn đang sống khỏe, vẫn có cơm ăn áo mặc ngon lành, vẫn dư dả tiền bạc? àh nếu đây là cuộc sống bạn muốn sống, thì hãy tiếp tục. bạn đã sống được (hay là được sống) như thế từ lúc mới sinh ra rồi, chẳng cần phải cố gắng gì nữa đâu.

cuộc đời là thế, lúc nào cũng có hai lựa chọn: dễ hoặc đúng.

Thông báo mới về TetCon 2012

2011-12-28T16:08:00.000-08:00

Ban tổ chức TetCon 2012 xin trân trọng thông báo về thời gian và địa điểm chính thức của hội thảo như sau:

Thời gian: 8h - 18h, thứ sáu, 13/1/2012

Địa điểm: Phòng hội trường - Lầu 6 – Tòa nhà Trung Tâm Thông tin Hợp tác Quốc Tế Thông Tấn tại TP.HCM- 116-118 Nguyễn Thị Minh Khai, Phường 6, Quận 3, TP.HCM

Sau khi thống nhất chương trình hội thảo vào ngày 3/1/2012, ban tổ chức sẽ gửi email xác nhận với những khách đã đăng ký tham dự hội thảo. Trong thời gian chờ đợi, xin vui lòng xem qua chương trình dự kiến ở đây và danh sách diễn giả tạm thời ở đây. Đã có gần 300 khách đăng ký tham dự hội thảo, cho đến thời điểm tôi viết thông báo này. Hôm nay và ngày mai cũng là hạn chót để gửi tham luận đến TetCon 2012.

Hội thảo Tết 2012

2011-12-09T22:06:00.001-08:00

Một số cập nhật:

1. Thông tin mới về giá vé dự kiến:

* Đăng ký trước ngày 17/12/2011: 200.000 đồng/người.

* Đăng ký trước ngày 31/12/2011: 300.000 đồng/người.

* Đăng ký trong ngày hội thảo: 500.000 đồng/người.

Chúng tôi nhận thanh toán thanh toán bằng tiền mặt khi bạn đến dự hội thảo. Tất cả loại vé đều giảm 50% nếu có thẻ sinh viên còn hiệu lực.

Xin nhấp vào đây để đăng ký.

2. Mời gửi tham luận:

Hội thảo Tết là một diễn đàn để thảo luận những kinh nghiệm thực tiễn trong việc đảm bảo an toàn cho sản phẩm và hệ thống thông tin của doanh nghiệp, cũng như những nghiên cứu và phát triển mới nhất trong lĩnh vực an toàn thông tin ở Việt Nam cũng như trên thế giới. Tham luận có thể thuộc các chủ đề như:

Ứng dụng web và các khung ứng dụng.
Trình duyệt web và HTML5.
Thiết bị di động.
Điện toán đám mây.
Thương mại điện tử.
Phần mềm độc hại và an toàn cho người dùng cuối.
Tấn công từ chối dịch vụ.
Phòng chống và phát hiện xâm nhập.
Theo dõi và quản trị an toàn mạng.

Chúng tôi khuyến khích những tham luận bàn về các đề tài như:

Lập trình an toàn trên Android hoặc iOS.
Những tính năng mới trong HTML5 và ảnh hưởng của chúng đến sự an toàn của web
An toàn trong sử dụng công nghệ điện toán đám mây.
Đảm bảo an toàn cho một trang ngân hàng điện tử, thanh toán điện tử hoặc website buôn bán sản phẩm.
Kiện toàn an ninh cho những khung ứng dụng quen thuộc như .NET, LAMP, Ruby On Rails, Django, v.v.
Bài học rút ra từ những lần bị tấn công từ chối dịch vụ.
Kiện toàn an ninh cho hệ thống mạng nội bộ doanh nghiệp.
Kinh nghiệm xây dựng và triển khai các hệ thống phòng chống và phát hiện xâm nhập.

Xin nhấp vào đây để gửi tham luận.

---

Đã thành thông lệ, hằng năm vào dịp giáp Tết, ban quản trị diễn đàn HVA đều tổ chức một buổi họp mặt thân tình giữa các thành viên tích cực của diễn đàn. Tết Canh Thìn 2012 năm nay, song song với buổi họp mặt truyền thống, HVA sẽ phối hợp cùng với VNSECURITY tổ chức một hội thảo mini, nơi diễn giả trong và ngoài nước trình bày và trao đổi:

* Những kinh nghiệm thiết thực trong việc đảm bảo an toàn cho sản phẩm cũng như hệ thống thông tin của doanh nghiệp.

* Những nghiên cứu và phát triển mới nhất trong lĩnh vực an toàn thông tin ở Việt Nam cũng như trên thế giới.

Xin mời đăng ký tham gia và gửi bài tham luận ở đây (SSL).

cá

2011-12-08T22:08:00.001-08:00

hai con cá con đang bơi tung tăng thì gặp một con cá già bơi ngược chiều. con cá già gật đầu chào, rồi hỏi, "này nhóc, thấy nước mát không?". hai con cá con tiếp tục bơi một đoạn ngắn, rồi một con liếc mắt nhìn con kia và hỏi, "nước là cái quỷ gì vậy mậy?"

cá sống trong nước nhưng lại không biết là chúng đang sống trong nước. nước có mặt ở khắp mọi nơi, bao trùm tất cả nên cá không thể nào thấy được nước. cho đến khi chúng ra khỏi nước.

--

hôm qua vô tình đọc được những mẩu chuyện về cuộc sống thời "đêm trước đổi mới" cách đây chừng 20-25 năm. đúng là như nhiều người nói, không sống trong thời đó thì không thể nào mường tượng được một cuộc sống kỳ lạ đến như thế. thế mà chúng ta vẫn chịu đựng và chịu được. cho đến bây giờ. cho đến bao giờ?

có lẽ phải ra khỏi sự kỳ lạ mới thấy được sự lạ kỳ...

Pwnies Award 2011

2011-12-06T09:05:00.001-08:00

mấy hôm nay đang buồn buồn rầu rầu về những ước mơ lớn của cuộc đời. tự dưng nhớ đến đoạn video này, mở ra xem, thế là vui vẻ phấn chấn trở lại ;-).

J. đi nhanh quá, tôi gần như chạy theo mà vẫn không kịp. lúc về khách sạn, hắn nói, "tao mắc cỡ quá nên muốn nó kết thúc càng sớm càng tốt..." ha ha ha tôi cũng mắc cỡ, bối rối quá cứ tháo kính ra, đeo kính vào :-".

đường đến ước mơ còn xa lắc, còn nhiều lắm chông gai, nhưng thế mới vui!

Lớp học mật mã miễn phí ở Stanford

2011-11-19T12:46:00.001-08:00

Cập nhật: Lớp an toàn máy tính cũng sẽ được dạy miễn phí vào học kỳ mùa đông 2012! Lớp này là phiên bản mở của lớp CS155. Hai mảng đề tài thú vị mà lớp này sẽ giới thiệu là khai thác – phòng chống các lỗ hổng hư bộ nhớ và an toàn web. Nhóm nghiên cứu an toàn web của Stanford là những người tiên phong trong lĩnh vực này. Tôi nghĩ nếu không có thời gian thì chỉ nên học lớp mật mã, rồi sau đó xem dần bài giảng của lớp CS155 cũng được.

Chúng ta đang sống trong một thời đại rất thú vị ;-). Stanford vừa thông báo họ sẽ mở lớp dạy mật mã miễn phí do giáo sư Dan Boneh đứng lớp. Đây là phiên bản mở của lớp CS255 mà tôi học hồi năm ngoái. Loạt bài mật mã hiện đại mà tôi đang viết cũng là dựa trên nội dung của CS255.

Dan Boneh là chuyên gia hàng đầu thế giới về mật mã ứng dụng và cũng là giáo sư tuyệt vời nhất mà tôi từng được học. Không chỉ dạy cho bạn tất cả những gì bạn cần phải biết về mật mã ứng dụng, mà Dan còn sẽ truyền cho bạn niềm đam mê mật mã nói riêng và học thuật nói chung.

Đây là một cơ hội không thể bỏ qua! Tôi sẽ đã đăng ký (tự nguyện) làm trợ giảng và hi vọng là tôi sẽ hỗ trợ được cho các bạn chưa sử dụng tốt tiếng Anh theo đuổi lớp học này.

Tự dưng thấy vui quá ;-).

Kinh nghiệm tìm việc làm ở Silicon Valley

2011-11-08T23:14:00.000-08:00

0. Bạn nào đọc blog này thường xuyên thì chắc hẳn cũng biết là tôi mới từ Việt Nam chuyển sang sống và làm việc ở Silicon Valley gần một năm nay. Bây giờ tôi đang làm việc ở Google. Hôm nay tôi muốn chia sẻ một số kinh nghiệm tìm việc làm ở Silicon Valley (SV) [1].

Đa số những người Việt đang sống và làm việc ở SV mà tôi có dịp gặp đều là du học sinh, học đại học hoặc là nghiên cứu sinh tiến sĩ ở các trường đại học của Mỹ hoặc các nước, rồi chọn SV để làm việc và định cư lâu dài. Nhiều anh chị ngạc nhiên khi biết tôi không phải là du học sinh. Thú thật là tôi cũng ngạc nhiên, khi thấy có rất ít người từ VN qua đây như tôi.

Tôi tin là nhiều kỹ sư ở VN đủ khả năng và có mong muốn tìm được một việc làm ở SV. Nhưng có lẽ ít người có thông tin về các việc làm ở SV cũng như đường đi nước bước. Tôi cũng đang hỗ trợ một vài người bạn tìm việc, nên sẵn tiện viết lại đây một số suy nghĩ.

--

1. Đầu tiên bạn phải tự tin bạn đủ khả năng làm việc ở SV. Trước khi vào Google, tôi làm việc ở một công ty tư vấn nên tôi có dịp gặp gỡ, làm việc với khá nhiều kỹ sư của các hãng phần mềm lớn. Tôi nghĩ phần lớn trong số đó, nhất là những kỹ sư Ấn Độ và Trung Quốc, không giỏi hơn những kỹ sư ở VN mà tôi đã làm việc hoặc học chung trước đây.

Hồi tôi mới nhận được email từ Google, tôi cũng nghĩ tôi không đủ tiêu chuẩn và nhận lời phỏng vấn chỉ vì tò mò. Rồi tôi thấy hóa ra phỏng vấn ở Google không quá khó như tôi đã nghĩ. Tất cả các câu hỏi đều xoay quanh những việc tôi đã làm hàng ngày trong nhiều năm. Nói cách khác, nếu bạn làm việc chăm chỉ và kỷ luật, bạn có thể tìm được một công việc tốt ở bất kỳ công ty nào trên thế giới.

Vùng SV thu hút tài năng từ khắp nơi trên thế giới. Các công ty lớn như Google mỗi năm nhận được vài triệu hồ sơ ứng viên. Dẫu vậy hầu hết các công ty đều luôn ở trong tình trạng cần người và lúc nào cũng có vị trí trống. Do đó nếu có một chiến lược tìm việc hiệu quả, bạn sẽ có một việc làm tốt. Đây cũng là ý tiếp theo mà tôi muốn chia sẻ.

--

2. Tôi thấy chiến lược hiệu quả nhất để tìm việc có thể gói gọn trong câu thành ngữ: nhất cự ly, nhì tốc độ. Công ty thường tuyển người thông qua giới thiệu nội bộ và ưu tiên phỏng vấn các ứng viên do nhân viên cử tuyển. Ví dụ như khi cần tìm người Việt phụ trách thị trường VN, nơi đầu tiên mà công ty tìm kiếm ứng viên chính là đội ngũ nhân viên người Việt của họ. Vì vậy bạn cần phải tiếp cận với công ty từ nhiều hướng, càng gần càng tốt, càng nhanh càng tốt. Ví dụ như:

* Tiếp cận với HR thông qua các mạng xã hội như LinkedIn. Với một hồ sơ LinkedIn "bắt mắt", bạn có thể sẽ nhận được nhiều lời mời hấp dẫn. Tôi nhận được email đầu tiên của Google là qua LinkedIn.

* Tiếp cận với nhân viên hiện tại thông qua các dự án nguồn mở của công ty. Cơ hội được tuyển dụng của bạn sẽ tăng lên 2000% nếu như bạn được một nhân viên của công ty cử tuyển. Rất nhiều công ty có các dự án nguồn mở và sẽ rất khó để họ làm ngơ bạn một khi bạn có những đóng góp đáng kể vào các dự án đó.

* Tiếp cận với nhóm người Việt đang làm việc ở công ty đó. Tương tự như ý vừa rồi, đây cũng là một cách để hồ sơ của bạn được gửi trực tiếp đến những nơi cần đến mà không phải qua vòng sơ loại.

* Tham gia các cuộc thi và sự kiện do công ty tổ chức. Các công ty tổ chức thi thố cũng là để tìm kiếm tài năng, nên mỗi cuộc thi là một cơ hội cho bạn thể hiện với nhà tuyển dụng.

* Tiếp cận công nghệ bằng cách trở thành chuyên gia của một lĩnh vực mà công ty rất cần. Đây là cách tiếp cận khó nhất nhưng cũng là cách hiệu quả nhất.

* Tiếp cận địa lý bằng cách chuyển đến SV hoặc các khu vực khác ở Mỹ. Tôi thấy các công ty thường ưu tiên các ứng viên đang ở SV (vì chi phí tuyển dụng sẽ rẻ hơn), nên nếu bạn có cơ hội, bạn hãy chuyển đến SV.

* Tiếp cận với các công ty gia công có trụ sở tại VN. Tôi có hai người bạn trước đây được TMA gửi sang SV làm gia công cho một số hãng, rồi nhân cơ hội đó tìm việc làm và ở lại SV làm việc lâu dài luôn.

* Nếu bạn là sinh viên thì hãy ứng tuyển làm thực tập sinh. Điều kiện tuyển thực tập sinh thường dễ hơn nhân viên chính thức nên cơ hội của bạn sẽ cao hơn. Làm thực tập sinh cũng là con đường ngắn nhất để trở thành nhân viên chính thức.

--

3. Hai phần tôi vừa đưa ra là những ý quan trọng nhất quyết định phần lớn sự thành bại trong quá trình tìm việc của bạn. Phần tiếp theo tôi sẽ bàn sơ qua về việc thực hiện những ý này như thế nào.

Chuẩn bị

Bạn hãy tự hỏi thế này: bạn sẽ làm gì để chuẩn bị cho buổi phỏng vấn của bạn ở Facebook? Tôi nghĩ danh sách sẽ dài và rất may là bạn còn nhiều thời gian. Dẫu vậy, đừng chần chờ, mà hãy bắt tay vào ngay hôm nay. Bạn không thể biết cơ hội sẽ đến lúc nào, nên cách tốt nhất là phải chuẩn bị tốt.

Rõ ràng bạn cần phải chuẩn bị là tiếng Anh. Nếu bạn không thể sử dụng thành thạo tiếng Anh thì hãy dừng lại hết mọi việc để tập trung học tiếng Anh, cho đến khi nào bạn có thể giao tiếp bằng tiếng Anh qua điện thoại.

Chuẩn bị về nghề nghiệp chuyên môn thì phụ thuộc vào công việc mà bạn muốn làm. Đa số công việc ở SV là kỹ sư phần mềm. Với vị trí này, bạn có thể tham khao bài viết này của Steve Yegge để biết nên có những kiến thức nào. Tôi sẽ viết một bài dành riêng cho những bạn muốn làm kỹ sư an ninh ứng dụng.

Ngoài ra, bạn nên tìm đọc những cuốn sách cần đọc khi học khoa học máy tính và theo học các lớp học miễn phí của các đại học lớn như Stanford và MIT. Nếu bạn đạt được kết quả tốt trong các môn học này thì đó sẽ là một điểm rất sáng trong hồ sơ của bạn.

Giỏi tiếng Anh và giỏi chuyên môn sẽ giúp bạn thực hiện những chiến thuật tiếp cận mà tôi liệt kê ở trên. Tiếp cận càng gần và càng nhanh thì bạn sẽ càng có nhiều cơ hội. Để nắm bắt các cơ hội thì bạn cần phải có một hồ sơ cá nhân "đẹp" và kỹ năng phỏng vấn tốt.

Làm hồ sơ cá nhân (resumè)

Bạn cần hai hồ sơ khác nhau. Một hồ sơ trên LinkedIn để thu hút các cơ hội nghề nghiệp từ HR và những nguồn khác. Hồ sơ thứ hai là hồ sơ mà bạn gửi cho những nhà tuyển dụng khi họ yêu cầu.

Với hồ sơ LinkedIn, bạn nên tập trung vào các mảng kỹ năng chuyên môn, trình độ học vấn và các giải thưởng nếu có. Sự thật là những tay "săn đầu người" thường đánh giá ứng viên thông qua các từ khóa ;-), nên đây là nơi mà bạn càng có nhiều từ khóa nổi bật càng tốt. Đó là lý do tôi khuyên bạn nên tìm học các lớp học miễn phí của Stanford, bởi nếu bạn đạt được điểm tốt, thì bạn có thể có được từ khóa Stanford rất nặng ký trong hồ sơ của bạn.

Với hồ sơ mà bạn gửi cho nhà tuyển dụng, bạn phải khiêm tốn. Càng khiêm tốn càng tốt. Với người có ít hơn 10 năm kinh nghiệm làm việc, tôi nghĩ 1 trang A4 là đủ. Hồ sơ nên làm bằng LaTex, xuất ra tệp PDF với các đề mục chính như thông tin liên lạc, học vấn, kinh nghiệm làm việc, kỹ năng chuyên môn và giải thưởng nếu có. Nếu bạn có làm phần mềm hoặc có làm nghiên cứu thì có thể liệt kê những công trình nổi bật nhất.

Bạn cần phải cẩn trọng khi liệt kê các kỹ năng của bạn, bởi người phỏng vấn sẽ dựa vào đó mà đặt câu hỏi. Chỉ liệt kê những gì mà bạn thật sự "rành sáu câu". Tuyệt đối không liệt kê những mảng công việc mà bạn chỉ làm qua loa hoặc đã làm quá lâu nên bây giờ bạn không còn nhớ. Tuyệt đối không liệt kê quá nhiều từ khóa cùng một lúc, nếu không thì chính bạn sẽ là nạn nhân. Bạn nên hiểu rằng người phỏng vấn bạn rất có thể là những người tiên phong và là chuyên gia hàng đầu về các kỹ năng mà bạn ghi trong hồ sơ.

Sau khi làm hồ sơ, bạn nên gửi cho bạn bè hoặc đồng nghiệp đánh giá và phê bình. Bạn cũng có thể gửi cho tôi nếu bạn muốn.

Phỏng vấn

Một cách chuẩn bị cho buổi phỏng vấn là thử sức với các câu hỏi phỏng vấn trên mạng. Tôi nghĩ có hẳn vài cuốn sách viết về các câu hỏi này. Blog KHMT cũng có một bộ câu hỏi phỏng vấn rất thú vị. Tôi chưa từng gặp các câu hỏi kiểu như "Làm sao để dời một ngọn núi?", nên tôi nghĩ bạn cũng không cần phải bỏ nhiều thời gian cho dạng câu hỏi đó.

Bạn cũng nên thử phỏng vấn với bạn bè và đồng nghiệp. Nếu có cơ hội, thử phỏng vấn với các công ty khác nhau, bất kể bạn có muốn làm việc cho họ hay không. Việc phỏng vấn sẽ giúp bạn nhận ra những điểm yếu trong kiến thức cũng như kỹ năng phỏng vấn, để có thể khắc phục kịp thời trước khi phỏng vấn với công ty mà bạn yêu thích.

Thông thường thì bạn sẽ được phỏng vấn qua điện thoại trước. Cuộc phỏng vấn ngắn đầu tiên là của HR, sau đó sẽ có trung bình 2 cuộc phỏng vấn kỹ thuật khác. Bạn nên sử dụng điện thoại bàn có loa lớn, không nên trả lời phỏng vấn qua điện thoại di động. Nếu được thì yêu cầu họ phỏng vấn qua Skype hoặc Google+ Hangout, để lỡ như bạn không nghe kịp, thì bạn có thể hỏi họ lại qua cửa sổ chat ;-). Trước khi trả lời, bạn nên nhắc lại câu hỏi và cũng đừng ngại hỏi lại câu hỏi nếu bạn không nghe kịp hoặc không hiểu.

Nếu vượt qua được các cuộc phỏng vấn qua điện thoại (chúc mừng!), bạn sẽ được mời đến trụ sở của công ty để phỏng vấn. Thông thường bạn sẽ phỏng vấn liên tục với nhiều người trong một ngày. Như tôi đã nói ở trên, thực tế các buổi phỏng vấn không khó. Các câu hỏi chỉ xoay quanh những kỹ năng mà bạn liệt kê trong hồ sơ, nên hãy an tâm nếu bạn đã có quá trình làm việc chăm chỉ. Chúc thành công!

Vượt qua được vòng phỏng vấn rồi thì 90% là bạn sẽ được tuyển dụng. Lúc này một bước quan trọng là thỏa thuận lương bổng, điều kiện làm việc.

Thỏa thuận lương bổng

Lưu ý là mọi thỏa thuận lương bổng ở SV đều là trước thuế và có rất nhiều loại thuế bạn phải đóng. Ví dụ tôi phải nộp gần 40% thu nhập cho thuế.

Hiện giờ thì mức thu nhập trung bình của kỹ sư phần mềm mới ra trường ở SV tôi nghĩ là ở mức 80.000 USD/năm. Mỗi năm kinh nghiệm bạn có thể tính thêm 10%. Trong quá trình đàm phán lương bổng, có thể HR sẽ hỏi mức lương ở công ty cũ của bạn. Bạn không phải và không nên trả lời câu hỏi này, bởi có thể HR đang tìm lý do để hạ lương bạn xuống ;-).

Thường các công ty sẽ gửi cho bạn một thư đề nghị (offer letter), trong đó ngoài con số lương chính thức, còn có thể có:

* Số ngày nghỉ phép ăn lương. Thông thường là từ 10 ngày đến 15 ngày.

* Mức thưởng hàng năm. Đa số các công ty đều có quy định một mức cụ thể và bạn có thể được hơn nếu làm tốt.

* Cổ phần của công ty. Cái này thì có quá nhiều dạng nên tôi không bàn ở đây.

* Các loại bảo hiểm, bao gồm bảo hiểm sức khỏe, mắt, răng và bảo hiểm nhân thọ. Thông thường các công ty sẽ trả một phần và bạn sẽ trả một phần. Không có bảo hiểm thì khó mà sống sót được ở Mỹ, nên bạn phải coi kỹ các loại bảo hiểm mà công ty tài trợ.

* Tiền thưởng ký hợp đồng. Công ty sẽ gửi cho bạn một khoản "lót tay" nếu bạn đồng ý làm việc cho họ.

* Tiền chuyển địa điểm. Công ty sẽ tài trợ vé máy bay cũng như các khoản phí khác để bạn chuyển từ VN sang SV.

* Hưu trí và các lợi ích khác.

Đừng bao giờ vội vàng chấp nhận offer. Đây là một cuộc thương lượng và không có lý do gì bạn phải đồng ý với đề nghị đầu tiên của đối phương. Có những thứ mà bạn có thể thương lượng: tiền lương, cổ phần, tiền thưởng ký hợp đồng và tiền chuyển địa điểm. Rất có thể chỉ sau một vài email mà bạn sẽ có vài chục ngàn Mỹ kim ;-).

Chúc may mắn!

--

[1]: Về mặt địa lý thì các công ty công nghệ không còn chỉ tập trung ở khu vực Silicon Valley nữa, mà đã lan rộng ra khắp vùng vịnh San Francisco. Tôi gọi chung là Silicon Valley vì địa danh này quen thuộc với nhiều người.

Tìm Lỗ Lấy Tiền

2011-11-03T23:49:00.000-07:00

Trước giờ tôi ít khi kiểm tra hộp thư rác, thế mà tự dưng sáng nay vô coi thì phát hiện ra lá thư này do Mozilla gửi từ vài ngày trước:

We would like to thank you for your help on:

Bug 665814 - (CVE-2011-3389) Rizzo/Duong chosen plaintext attack (BEAST) on SSL/TLS 1.0 (facilitated by websockets -76)

While this doesn't qualify for a full $3000 bug bounty under our guidelines and no shipping version of Firefox was directly vulnerable to this attack (the vulnerable websockets version was disabled by default), your work did prompt us to strengthen our TLS implementation and push hard on Sun to get a fixed Java implementation to protect our users.

If you send me an address we can send each of you a check for $1000.00 USD or we can do a wire transfer. For the wire transfer we will need.

Bank Name:
Bank address:
SWIFT/IBAN Code:
Account number:
Name on account:
Your Home address:
[...]

Nội dung "nhìn" quá giống một tác phẩm của những nhà văn Nigeria từng đoạt giải Ig Nobel văn học 2005, hèn gì mà Gmail nhận nhầm. Hên quá ;-).

Tiện đây tôi cũng giới thiệu một chút về những chương trình Tìm Lỗ Lấy Tiền ;-) của các công ty phần mềm trên thế giới, mà tiêu biểu là Google, Mozilla và mới đây là Facebook.

Một trong những đề tài tranh cãi ưa thích của đám làm an toàn thông tin là cách thức công bố lỗ hổng. Trước đây nếu bạn tìm ra một lỗ hổng an ninh mới (gọi là 0-day vulnerability) trong một phần mềm quan trọng thì bạn có một số lựa chọn sau đây:

Giữ riêng để sử dụng khi cần.
Tìm cách bán ra chợ trời hoặc các "đầu nậu" mờ ám.
Bán cho các "đầu nậu" hợp pháp, vốn sẽ cung cấp lại cho nhà sản xuất phần mềm.
Thông báo miễn phí cho nhà sản xuất.
Công bố rộng rãi.

Đương nhiên bạn sẽ im lặng nếu chọn phương án 1 hoặc 2. Phương án số 3 cũng giống phương án số 4, chỉ khác là bạn sẽ được thưởng tiền và không cần phải làm việc trực tiếp với nhà sản xuất. Phương án số 4 và số 5 chính là đề tài của các cuộc cãi vã triền miên.

Nếu bạn chọn số 5 thì nhà sản xuất và nhiều người khác sẽ quy kết bạn là kẻ vô trách nhiệm (và có thể là háo danh nếu bạn là người mới), bởi thông tin về lỗ hổng có thể gây nguy hại cho người khác. Dẫu vậy vẫn có nhiều chuyên gia chọn phương án này, bởi vì họ cho rằng đây là cách tốt nhất khiến cho nhà sản xuất nhanh chóng sửa lỗi, vốn có thể đã bị phát hiện trước đó bởi những người chọn phương án số 1 và 2.

Phương án số 4 là lựa chọn phổ biến nhất, vì nó là một cách an toàn để tạo dựng uy tín cũng như tìm kiếm cơ hội nghề nghiệp. Khi chọn cách này, bạn sẽ làm việc với nhà sản xuất để giúp họ sửa lỗi. Khi lỗi được sửa, đa số nhà sản xuất sẽ ghi nhận sự đóng góp của bạn trên trang nhà của họ. Đôi khi họ cũng tặng quà hoặc gửi vé mời tham dự các hội thảo và các buổi tiệc mà họ tài trợ. Nhiều người chọn phương án này. Dẫu vậy nhìn chung là bạn phải làm việc không công cho nhà sản xuất. Kế hoạch công bố lỗi hay nghiên cứu của bạn sẽ phụ thuộc vào kế hoạch sửa lỗi của nhà sản xuất, mà có khi kéo dài vài năm. Cũng có trường hợp người thông báo lỗi bị nhà sản xuất đe dọa, thưa kiện và bị bỏ tù. Đây cũng là nguyên nhân chính khiến cho một số chuyên gia tên tuổi khởi xướng chiến dịch No More Free Bugs.

Từ hơn một năm nay thì các hãng phần mềm, đi đầu là Google, bắt đầu xây dựng các chương trình Tìm Lỗ Lấy Tiền kết hợp các điểm hay của phương án số 3, 4 và 5. Dẫu có thể khác nhau về chi tiết, nhưng tất cả các chương trình đều có luật chơi giống nhau: thưởng tiền (và hiện vật) cho những người săn lùng và thông báo lỗ hổng an ninh cho nhà sản xuất. Ví dụ như nếu bạn tìm được một lỗ hổng trong trình duyệt Firefox thì Mozilla sẽ thưởng cho bạn một số tiền. Hay nếu như bạn tìm được một lỗ hổng của Gmail thì Google cũng sẽ thưởng tiền cho bạn và còn trân trọng ghi tên bạn vào Google Security Hall of Fame. Thực sự tôi không có chủ ý thông báo nghiên cứu của mình cho họ để kiếm tiền thưởng, nhưng Mozilla cũng chủ động đề nghị.

Tôi nghĩ đây là một dạng "thú vui" mà những ai thích an ninh ứng dụng nên thử, những khi "nông nhàn" chẳng hạn. Nếu phát hiện lỗ hổng nguy hiểm, bạn vừa được thưởng tiền, vừa được ghi nhận, vừa thêm cơ hội nghề nghiệp. Tôi nghĩ trong năm vừa rồi, Sergey Glazunov, một tay tìm lỗ lấy tiền chuyên nghiệp, có thể đã bỏ túi vài chục ngàn đến cả trăm ngàn Mỹ kim. Ở VN hồi năm 2010 có anh Bùi Quang Minh cũng được Google thưởng một ngàn Mỹ kim cho lỗ hổng trong trình duyệt Chrome. Ngoài ra tham gia vào các chương trình này cũng là một cách tự giới thiệu hiệu quả, nếu như bạn muốn làm việc ở các hãng phần mềm lớn.

Thử xem ;-).

Mật mã hiện đại (2)

2011-10-26T23:48:00.000-07:00

Mời xem, đặt câu hỏi cũng như bình luận ở đây.

Nhân tiện đây tôi cũng có một thông báo nhỏ là từ rày về sau phần lớn các bài viết kỹ thuật của tôi sẽ được viết trên blog Khoa Học Máy Tính. Mời các bạn đón đọc. Tôi vẫn sẽ cập nhật blog này khi có nhu cầu ;-).

BEAST

2011-09-25T23:13:00.000-07:00

So we gave a talk and a live demo at ekoparty last week to show how BEAST exploits a weakness in SSL to decrypt secret cookies.

Please note that BEAST does not do any harm to remote servers. In fact, no packet from BEAST has ever been sent to any servers. We chose PayPal because they do everything right when it comes to server-side SSL, and that is good to demonstrate the power of BEAST, which is a client-side SSL attack. We reported the vulnerability to browser, plugin and SSL vendors several months ago (CVE-2011-3389).

Current version of BEAST consists of Javascript/applet agents and a network sniffer. We have some choices for the agent. At the time we reported the bug to vendors, HTML5 WebSockets could be used to build a BEAST agent but, due to unrelated reasons, the WebSockets protocol was already in the process of changing in such a way that stopped it. We can't use the new WebSockets protocol shipped with browsers. We use a Java applet in this video, but please be aware that it may be possible to implement a Javascript agent with XMLHttpRequest as well. Why don't you take a look? ;-)

Note that it is relatively easy to run a script or an applet in your browser without you doing anything (e.g, by intercepting any HTTP requests from your browser.) After all, each agent is just a piece of Javascript or an applet. Once an agent has been loaded, BEAST can patiently wait until you sign in to some valuable websites to steal your accounts.

In order to make the Java applet agent work, we have to bypass the same-origin policy (SOP). Some people have gotten the impression that BEAST required an SOP bypass bug to work and so it's not a threat by itself. That's not true. It is well known that even with a SOP bypass in Java, you can't read existing cookies. You can send requests and may read responses (which may include new cookies), but no, you can't read existing cookies. In the video (and the live demo as well,) we show clearly that we decrypt _existing_ cookies that were already stored in the browser's cookie jar. During our research, we indeed found a Java SOP bypass. We wanted to focus on more important parts of BEAST such as the actual crypto attack and optimizations, so we stopped looking for alternatives, and used the SOP vulnerability to make an agent.

A. Shamir (the S in RSA) once said "Cryptography is typically bypassed, not penetrated," and please keep reading if you are curious what happened during our anecdote of penetrating crypto.

It began with the alleged backdoor in OpenBSD's IPSEC stack. One day in late December 2010 Juliano sent me an email telling me that he got a new idea. He was at some beach in Indonesia reading tls-cbc.txt (I know that beach and TLS and CBC should not appear in the same sentence but, well, maybe he's not very interested in bikinis) and he came up with the chosen-boundary attack. In hindsight, it's obvious that somebody would think of that when they read about Dai's attack. In hindsight, however, everything is obvious. It takes somebody like Juliano to have such a good idea. I am so lucky that he always shares his ideas with me. I wrote some test cases (using the wonderful tlslite library), and after some hours, my conclusion was... it can't work in browsers. I then moved to the States, and was busy with new life, new job and schooling, so I didn't have time to research that idea any further, even after Juliano kept asking me to check it again. Don't listen to me if I tell you your attack can't work :-). Don't listen to anybody telling you that.

Fast forward to early April. I was working on some project at Matasano, and some SSL code that I saw that day made me realize that I wrote wrong tests for Juliano's idea. In fact, it seems that I didn't quite understand it back then. As soon as I got back home, I re-read Juliano's email, my notes and scripts. I decided that I needed to make it work with pen and paper first, so I drew some diagrams. The result looked hopeful. I then modified the test cases, re-ran them, and for the first time, I saw that chosen-boundary attack may work. That moment was so wonderful. It turns out that I had to "reverse" the idea to make it "compatible" with browsers, and after some more hours, not only I saw that the attack is possible, but I also understood which conditions I need to make it really work. The conditions looked easy too. I was very excited. I would have screamed loudly hahaha. I took note of what I had seen so far, and sent it to Juliano.

At first, Juliano didn't understand my note (because it's a reverse of his idea,) but he caught up very quickly, and he agreed that it looks doable. So the main condition is to be able to send two SSL records in the same cookie-bearing request (if you've read the leaked draft, we call this the blockwise privilege.) We were both very excited, because at that moment we know that it is just a matter of browser features for us to create a reliable exploit for something that people have thought un-exploitable in years.

I collected a list of browser features and plugins that allow me to send cookie-bearing requests. I took a look at the Browser Security Handbook by Michal Zalewski, and found some candidates: Javascript XMLHttpRequest, Java URLConnection, Flash URLRequest, and Silverlight WebClient API. We really wanted to make the attack work with native Javascript, so we spent a lot of time on XMLHttpRequest object. At some point, Juliano and I were even reading C++ source code of various browsers (which is even harder to understand than assembly as a friend once said.) Maybe we've missed something really obvious, but we've never made XMLHttpRequest work the way we need. It was both surprising and frustrating that it is so hard to ~~open full-duplex channels~~ do request streaming in modern browsers. People have to invent a lot of ugly bitches that known as Comet techniques. I studied every single one of them, but none of them meets what we need. I also studied HTML5 WebSockets, then concluded that it's not what I need because it includes a \x00 byte in front of every packet. More about WebSockets in a moment.

So I moved on to Java URLConnection. I'd never written an applet before, but researching is doing exactly things that you haven't done before. So I wrote an applet, and tried to make it perform the blockwise step. The Internet is really helpful. I found a wonderful URLConnection mini-guide in Stack Overflow. I also wrote a small SSL server to test my applet. It worked as expected. I could open a request, append more data to it as long as I want, and each time I "flush" the output stream, Java would send out a record in the same SSL connection. So wonderful, but I want more. I want something that works without any plugins. Once again I started writing tests for XMLHttpRequest, reading C++ code, or studying Comet. Rinse and repeat. Nothing worked.

One day while in the shower, I realized that those things haven't worked simply because they can't work. That's why people have to invent WebSockets. Hmm, why couldn't I use WebSockets? I re-read my note. So they have a \x00 prefix, which prevents me from fully controlling the chosen block. I remembered that Bellare et al. also had the same problem when they tried to attack SSH, so I re-read their paper. I was quite disappointed to know that they didn't describe any practical way to solve that problem. Then I came up with the idea of chaining of predictable IV. I wrote a small WebSockets simulator to test it, and it works. Not very fast though, since WebSockets requires that my chosen block to be a valid UTF-8 string. It's funny that we also had to deal with UTF-8 in the ASP.NET exploit. Anyway, it doesn't need any plugins. It was late April.

We split the work. I wanted to work on the paper, and Juliano wanted to work on the exploit. I started writing right away, but Juliano had to delay the exploit several months later. He got a name for it anyway. "This thing is so complicated. I would like to call it B.E.A.S.T so people kind of get stuck calling it 'the BEAST attack'. We can figure out what BEAST means later."

Writing in English has never been easy for both of us. It took us several months with a lot of help from friends to finish the ASP.NET paper, and I couldn't believe that I had to write another one even before releasing that paper. But I did eventually. Along the way, I found Bard's papers, which was extremely helpful for me. I read his paper carefully. So many "We believe". I have to confess that I am a non-believer, so I made a rule for myself: no "We believe" in my paper. Anyway, although Bard's attacks can't work, his papers were written in very nice English. So I stole a lot of phrases, expressions and statements from him. Of course I cited him many times.

So I kept writing, and Juliano helped with editing. By mid May, we finally had something good enough to ask for review from friends. I guess that no "We believe" is a good rule, since everybody said that the paper is easy to understand. We also got an awesome review from Kenny Paterson. If you happen to write a crypto paper, and need some cryptographer to review it, you may want to ask Kenny. He's very friendly, encouraging, and his review always teaches us a lot.

So we got a not-so-bad paper, but still no actual exploit because Juliano was still in some beach somewhere. We agreed that we should contact browser and SSL vendors early so that they can work on the patch, since we planned to (but didn't) release something in July. We sent the paper to Google, Mozilla, Apple, Microsoft, Opera and Oracle. All of them responded very quickly, which is pretty impressing. Mozilla created bug 665814, and it became the discussion board of all people working on the fix. Later I discovered that there were also people from IETF and other vendors that we didn't contact.

It turns out that fixing this is not easy, because every proposed solution is incompatible with some existing SSL applications. OpenSSL has already included a fix several years ago, but it is turned off by default, thanks to Internet Explorer 6's broken SSL implementation. Somebody also pointed out that due to another attack released in March, the WebSockets protocol was already in the process of changing in such a way that stopped our attack. People kept asking for a working PoC, but we could not give them anything. At some point, it seemed that no vendor wanted to patch this. We also started losing interest in convincing them. We got more compliments from cryptographers we contacted.

We didn't release anything in July as planned, since nothing has been fixed. Instead we went to BlackHat, won a pwnie for the ASP.NET bug, delivered a presentation on the attack at Matasano's private dinner. People liked it. We got several follow-up emails and an invitation to present it again at some internal conference of a client. Juliano and some other friends rooted all servers and yet lost their CTF game. Still no actually BEAST. "We can work together on BEAST when I visit you next week", but we ended up drinking all nights. So many hi 5...

Then Juliano submited the talk to ekoparty. Opera patched. We got excited. That was five weeks ago.

Juliano told me that the talk got 10/10 rating from all of the judges, and he felt that it's time to give birth to BEAST. Since WebSockets is not a good option anymore, and there was so little time to research other alternatives, we agreed that we should focus on Java and Silverlight. He worked and worked and worked. It turns out that BEAST is not easy to code. At some point, Juliano had to install Windows and Visual Studio to write a Silverlight applet in, cough cough, VB.NET. Well, he has to do things he's never done before.

BEAST finally decrypted the first byte of some cookies. It is so surreal to witness some idea that exists only in your mind actually evolves into working code. Moments like this are very rewarding, and it makes researching very worth doing. Juliano was so tired, so I asked him to send the code to me. This is why we've enjoyed doing things together. We can make progress as long as there is at least one guy up. He has done the heavy work, now it's my turn to baby-sit BEAST.

I installed Eclipse, learned Java, and started hacking the code. Since Juliano stopped as soon as BEAST decrypts the first byte, I had to fix bugs to make it decrypt more bytes more reliably. The next thing I did was to find a way to bypass the same-origin policy (SOP) with some agent. A friend was so generous that he gave me one of his Java 0-days to bypass SOP. Anyway, that bug has a dependency that we couldn't satisfy, so I had to find another one. I started reviewing JVM's source code. Honestly, I didn't expect to find a SOP bypass, but I did. What interesting is that the bug is very good for BEAST, but not so good for other types of attackers. You need to be able to do MiTM to use it. Well, that makes sense when you know that I found the bug when I was MiTM-ing a Java applet. I could look for other ways to create an agent, but both of us agreed that we should focus on optimizations. I needed to make BEAST fast. The version that Juliano sent me was so slow that all we got were expired cookies. BEAST is just a baby, it deserves fresh cookies. I spent the last week or so working on that. As you see in the demo, BEAST now takes minutes to decrypt very long unexpired cookies.

In summary, we had an idea, and we've done several things we've never done before to make it work. That's our story of penetrating crypto. Thank you for your time.

Thanks to Marsh Ray and Juliano Rizzo for reading and editing drafts of this.

Chạm dây thần kinh số 7

2011-08-15T14:44:00.000-07:00

Tối qua ngủ mà mép trái miệng cứ giật giật, cứ sợ sáng dậy sẽ bị "méo hình mất tiếng". Sáng dậy đi làm vẫn còn, giờ ngồi gõ mấy chữ này lâu lâu miệng lại giật giật. Tìm lòng vòng thì thấy người ta nói dây thần kinh số 7 bị chạm, do mệt mỏi, căng thẳng, lo âu... Mai đi khám rồi sẽ biết, nhưng mà có vẻ người ta nói cũng đúng, mấy ngày nay tôi thấy mệt mỏi, buồn và đôi khi cũng giận dữ, muốn trả đũa vì những chuyện mà người khác gây ra cho tôi.

Những lúc như thế này, tôi thường nhớ đến một ý tưởng của Đức Phật. Đức Phật nói rằng ông yêu thương hết tất cả chúng sanh, và Phật giáo cũng khuyên chúng ta phải yêu thương hết tất cả chúng sanh. Bất kể người ta làm gì Đức Phật, Đức Phật cũng sẽ thương yêu họ. Nhưng mà tại sao? Tôi không nhớ Đức Phật có giảng giải về câu hỏi này. Chắc hẳn Phật giáo có giải thích, và có lẽ lúc mà tôi nghe qua về giải thích đó, tôi thấy nó không phù hợp với những cái mà tôi tin tưởng nên tôi không nhớ.

Thông thường với những câu hỏi thế này, tôi sẽ cho vào một cái giỏ, những lúc rảnh rỗi lại đem một hai cái ra ngồi nghĩ, nghĩ đến chừng nào thông suốt hiểu rõ thì mới thôi. Hiểu rõ chưa chắc đã là đồng ý, nhưng mà hiểu rõ những ý tưởng thú vị thì lúc nào cũng sướng. Có một điều trùng hợp lạ lùng là mặc dầu tôi không cố ý tìm hiểu Phật giáo, nhưng mà một hai năm gần đây, những điều thú vị mà tôi ngộ ra được đều có liên quan hoặc đã được Phật giáo nói đến từ rất lâu.

Tôi nghĩ về câu hỏi tại sao ở trên trong một thời gian dài. Tôi thấy có một số giải thích dựa vào luân hồi, rằng Đức Phật thương yêu tất cả chúng sanh vì ngài hiểu rằng cả thảy đều là cha là mẹ của chúng ta từ muôn vạn kiếp trước. Tôi không tin vào luân hồi, nhưng tôi tin vào nhân quả và tôi nghĩ Đức Phật thương yêu tất cả chúng ta vì ngài thấy cả lũ chúng ta còn quá u mê, không hiểu cái sức mạnh bao trùm vũ trụ của luật nhân quả.

Ngài biết rằng phàm ai làm chuỵện ác, làm chuyện xấu, gieo nghiệp thì sớm muộn gì họ cũng sẽ phải lãnh quả báo cho những việc làm của họ. Đức Phật hiểu rõ luật nhân quả, nhưng ngài vẫn không thể thay đổi được luật nhân quả. Ai làm thì nấy chịu, ai tu thì nấy hưởng. Bao đời nay Đức Phật và Phật giáo cũng chỉ muốn truyền dạy những điều đơn giản như thế này mà thôi.

Ví dụ ngày hôm nay tôi nguyền rủa một ai đó, Đức Phật biết rằng rồi chính tôi sẽ phải trả giá cho việc làm đó của tôi, nên ngài thương tôi rồi sẽ phải chịu đau chịu khổ. Giống như ba mẹ thương con cái vô điều kiện, cầm lòng không đặng khi thấy con mình chịu đau chịu khổ, bất kể nó đã làm sai làm trái gì trước đó.

---

Miệng vẫn còn giật giật, nghĩa là tôi chưa làm được như Đức Phật, nhưng tôi sẽ cố gắng vậy. Cuối cùng rồi thương yêu người khác, dẫu họ là ai, có làm gì sai trái với ta không, cũng chính là thương yêu chính bản thân ta.

Chiến tranh mạng

2011-06-07T18:15:00.001-07:00

Trong hơn một tuần vừa rồi có khá nhiều website của VN bị tấn công và ngược lại cũng có khá nhiều website của TQ bị xâm nhập. Trên HVA, diễn đàn mà tôi tham gia thường xuyên, có một chủ đề bàn về "cuộc chiến" giữa hacker VN và TQ thu hút cả ngàn ý kiến. Có lẽ vì chủ đề này mà chính HVA cũng đã hai lần bị tấn công từ chối dịch vụ với cường độ lớn trong tuần vừa rồi.

Có rất nhiều câu hỏi và lời kêu gọi được đặt ra trong chủ đề trên HVA. Có bạn kêu là chúng ta phải tiếp tục tấn công. Có bạn phê phán việc tấn công với lý do TQ mạnh hơn VN rất nhiều về hacking. Có bạn hỏi nếu xảy ra chiến tranh mạng (cyber war) thì chúng ta nên làm gì, tấn công lại hay là phòng thủ ra sao. Có bạn đề nghị nên có một tài liệu hướng dẫn kiện toàn bảo mật để giảm thiểu thiệt hại khi TQ tấn công. Một số anh em trong ban quản trị HVA cũng đã soạn và công bố rộng rãi một tài liệu như thế. Cần phải nhấn mạnh rằng, dẫu ý kiến có khác nhau, hành động có khác nhau nhưng hầu hết mọi người đều "muốn làm một cái gì đó", nhất là những bạn đang học và làm việc trong lĩnh vực an toàn thông tin. Tôi nghĩ đó là điều đáng trân trọng. Bài viết này của tôi cũng xuất phát từ ý định "muốn làm một cái gì đó".

Điều đầu tiên mà tôi muốn nói là những việc hack qua hack lại như vừa qua là hoàn toàn bình thường. Mỗi ngày có hàng trăm hàng ngàn sự vụ như thế, bí mật hay công khai. Không có gì bất thường ở đây cả. Cái khác và cũng là cái làm mọi người phản ứng là lần này thì vì hack cho vui hay hack vì tiền thì ở đây là hack với động cơ chính trị. Nhưng việc đổi động cơ không làm thay đổi bản chất của hành động này là mấy: một nhóm người, đa số là trẻ, hack đơn giản vì họ có thể. Nói cách khác, nếu như trước đây chúng ta không quan tâm đến hiện tượng này, thì bây giờ tôi nghĩ cũng không có lý do gì chính đáng để quan tâm đến nó nhiều hơn trước.

Thật tế là không cần phải được nhà nước hỗ trợ, không cần phải có trang thiết bị dụng cụ hiện đại, chỉ cần một máy tính kết nối Internet và một ít thời gian, bất kỳ ai ở cả hai phía, với một chút kỹ thuật hacking, đều có thể tự phát thực hiện những vụ tấn công vừa rồi. Thế mà cả hai phía đều có những “thành công” tương đối. Điều đó nói lên rằng, những nạn nhân trong vụ tấn công vừa qua, nếu không bị tấn công bây giờ bởi TQ, thì ngày mai ngày kia sẽ bị tấn công, bởi Thổ Nhĩ Kỳ, Indonesia hay bởi bất kỳ một anh sinh viên chán học nào đó.

Các website này bị xâm nhập đơn giản vì an toàn thông tin không phải là thứ mà người quản lý quan tâm. Đôi khi họ có lý do chính đáng, đôi khi là do họ vô trách nhiệm; nhưng tựu trung lại, họ không quan tâm. Việc bị TQ phá hoại hay bị anh Tèo nào đó xâm nhập đối với họ đều như nhau. Họ không quan tâm cũng đúng. Thử nhìn xem sau một tuần, hàng ngàn website bị tấn công, có thiệt hại đáng kể nào về kinh tế hay con người hay không? Nếu tôi là chủ của một cửa hàng bán giày dép, và tôi trả cho FPT 2 triệu/tháng để duy trì một website quảng bá cửa hàng, thì tôi và cả FPT sẽ chẳng bận tâm nếu như website tự dưng bị biến dạng. Không riêng gì website quảng bá doanh nghiệp, website của các cơ quan bộ ngành mọc lên cho “bằng chị bằng em” cũng sẽ cùng chung số phận: sống chết mặc bây, tiền thầy (đã) bỏ túi! Tóm lại, việc các website này bị xâm nhập là không thể tránh khỏi, và tôi nghĩ chúng ta cũng không nên bận tâm làm gì.

Tôi không cổ vũ việc xâm nhập và phá hoại các website TQ của nhiều bạn như thời gian vừa rồi. Giới lãnh đạo TQ đã thể hiện rõ họ sẵn sàng “đổi trắng thay đen”, chà đạp lên sự thật và công lý để đạt được mục tiêu. Do đó hành động xâm nhập website TQ, dẫu chỉ là tự phát, manh mún và cũng chẳng đem đến thiệt hại gì đáng kể cho TQ, có thể sẽ được “nhào nặn” thành một cái cớ có lợi cho TQ hơn là VN, nhất là khi VN là phía khơi mào cho “cuộc chiến” trên mạng hiện nay. Việc này khó có thể xảy ra, nhưng cái “lưỡi bò” vô lý đến thế mà họ còn dám đưa ra, thì tôi tin là chẳng việc gì mà họ không làm. Vả lại sự thật là TQ rất mạnh về hacking (vì họ đông đúc hơn), nên tôi e là những hành động tự phát vừa rồi nếu kéo dài có thể dẫn đến những thiệt hại nặng nề cho VN, nếu như giới hacker lành nghề của TQ bắt đầu tham gia. Đây cũng là điểm thứ hai mà tôi muốn nhấn mạnh: VN rất thiếu (người) và yếu (khoa học kỹ thuật) về an toàn thông tin.

Tôi có được biết từ vài năm nay Bộ Quốc Phòng VN có chương trình gửi người sang đào tạo tại các nước tiên tiến về an toàn thông tin như Mỹ và Nga (và có thể cả TQ). Tôi không có nhiều thông tin về chương trình này cũng như kết quả của nó, nhưng tôi hi vọng là những chương trình như thế này đã giúp quân đội VN có một đội ngũ trẻ và giỏi về chuyên môn phụ trách công tác an toàn thông tin. Sự thiếu sót có thể quan sát được là ở khối dân sự. Đây là vấn đề mà tôi nghĩ ai quan tâm đến an toàn thông tin ở VN cũng có thể thấy, dẫu vậy tôi cũng muốn đưa ra một vài ví dụ (cảm tính) để chứng minh cho ý này.

Cách đây gần một năm tôi có làm việc với VNCERT để cảnh báo về lỗ hổng trong khung phát triển ứng dụng web ASP.NET của Microsoft cho các doanh nghiệp và tổ chức ở VN. Trong thời gian đó tôi cũng có làm việc với Microsoft để đưa ra các miếng vá. Microsoft mất khoảng 11 ngày để có miếng vá và họ bắt đầu đẩy các miếng vá này xuống máy chủ của khách hàng ngay sau đó. Tôi lên danh sách một số website của các tờ báo, ISP, ngân hàng, công ty chứng khoán, công ty thanh toán điện tử... có sử dụng phiên bản bị lỗi của ASP.NET và theo dõi xem khi nào thì họ cài đặt các miếng vá. Sau một tuần, chưa có công ty nào cài đặt bảng vá. Sau hai tuần, có một ISP đã cài bảng vá. Sau một tháng, 15% số website đã được vá. Sau đó tôi không theo dõi nữa cho đến trước khi viết bài này. Tôi chọn ngẫu nhiên ba website thì hai trong số đó vẫn chưa được vá lỗi. Đó chỉ là một lỗ hổng trong số cả chục ngàn lỗ hổng đã biết và chưa được biết đến.

Tôi làm nghề này cho đến nay là được gần chín năm. Tôi tham gia HVA cũng chừng đó thời gian. Số thành viên của HVA lên đến cả trăm ngàn người. Các khóa học để trở thành hacker được quảng bá rầm rộ. Dẫu vậy sự thật là số người cùng bắt đầu với tôi ở HVA, cho đến nay vẫn còn làm an toàn thông tin và muốn tiếp tục làm, tôi nghĩ đếm không hết một bàn tay. Hầu hết bỏ ngang, chuyển sang làm một việc khác không liên quan đến chuyên môn. Tôi thấy không riêng gì ngành này, mà hầu hết các ngành khoa học kỹ thuật ở VN đều bị tình trạng tương tự: áp lực xã hội buộc con người ta bỏ nghề, làm một việc khác dễ kiếm tiền hơn.

An toàn thông tin là một ngành học cần sự đầu tư dài hơi, bởi nó đòi hỏi kiến thức chuyên sâu trong hầu hết các phân ngành của khoa học máy tính cũng như các lĩnh vực khó nhai như mật mã học, xác suất thống kê. Đó là chưa kể kiến thức cơ bản về luật pháp, thiết kế, quản trị, tâm lý và thậm chí kinh tế học hành vi. Sự thật là cho đến bây giờ tôi vẫn luôn là người mới và vẫn học đều đặn mỗi ngày mới hi vọng là sau vài năm nữa mới đủ kiến thức và kinh nghiệm để làm việc cho tốt. Đó cũng là điều thứ ba mà tôi muốn nói đến: cách duy nhất để có thể chiến thắng, hoặc ít nhất là tự vệ là xây dựng và duy trì một đội ngũ kỹ thuật chuyên sâu tại chỗ. Dẫu vậy, tôi sẽ không nói về việc chủ động tấn công bởi nó không áp dụng được cho các doanh nghiệp dân sự, đối tượng mà tôi muốn hỗ trợ ở đây, nên tôi chỉ tập trung vào việc làm sao để phòng thủ.

Cần phải nhận ra rằng, đối với một doanh nghiệp, một vụ tấn công có chủ đích (targeted attack) do hacker TQ thực hiện dưới sự chỉ đạo của nhà nước TQ thật ra không khác gì mấy với một vụ tấn công do hacker được thuê bởi một đối thủ kinh doanh nào đó. Vả lại, như đã nói ở trên, bất kỳ một anh sinh viên chán học nào cũng có thể tấn công và xâm nhập vào mạng máy tính của các doanh nghiệp, chỉ vì anh ấy tò mò và không có gì để làm. Đó là còn chưa kể đến hàng ngàn anh học trò khác luôn rình mò lấp ló hễ thấy chỗ nào chui vào được là chui vào. Tôi cho rằng các hacker tham gia vào các vụ tấn công từ cả hai phía trong thời gian vừa qua là thuộc nhóm này. Đây cũng là nhóm ít nguy hiểm nhất, bởi lẽ chúng không phải là dạng tấn công có chủ đích như các nhóm kể trên.

Một sự thật là đa số doanh nghiệp VN tập trung vào các giải pháp “sản xuất hàng loạt” để hòng ngăn chặn nhóm đối tượng tấn công không có chủ đích. Họ mua tường lửa, phần mềm chống virus, thiết bị phát hiện và phòng chống xâm nhập. Họ dành nhiều tiền để đạt các chứng chỉ PCI DSS, ISO 27001. Đã có rất rất nhiều vụ tấn công trong quá khứ và trong một năm vừa qua nhắm vào các công ty đã đầu tư hàng triệu đô la thậm chí là nhà sáng chế của các giải pháp này. Rất nhiều công ty công nghệ lớn của thế giới đã gục ngã khi bị chọn làm đích ngắm. Một khi kẻ tấn công đã chọn bạn làm mục tiêu, thì tất cả những giải pháp “sản xuất hàng loạt” kể trên đều dễ dàng bị vô hiệu hóa. Một phương thức phòng thủ hiệu quả phải là một phương thức có thể phát hiện và ngăn chặn được nhóm đối tượng tấn công có chủ đích. Chỉ có một cách duy nhất là đầu tư vào con người, xây dựng hệ thống chuyên biệt giám sát tất cả các hoạt động của hệ thống thông tin. Tôi có bàn một hướng triển khai một hệ thống như thế ở đây.

(bài này được báo VietnamNet đăng lại ở đây).

Oakland 2011

2011-05-21T22:32:00.002-07:00

Tuần sau tôi sẽ trình bày ở hội thảo Oakland 2011 với paper "Cryptography in the Web: The Case of Cryptographic Design Flaws in ASP.NET":

This paper discusses how cryptography is misused in the security design of a large part of the Web. Our focus is on ASP.NET, the web application framework developed by Microsoft that powers 25% of all Internet web sites. We show that attackers can abuse multiple cryptographic design ﬂaws to compromise ASP.NET web applications. We describe practical and highly efﬁcient attacks that allow attackers to steal cryptographic secret keys and forge authentication tokens to access sensitive information. The attacks combine decryption oracles, unauthenticated encryptions, and the reuse of keys for different encryption purposes. Finally, we give some reasons why cryptography is often misused in web technologies, and recommend steps to avoid these mistakes.

Lần này thay đổi không khí, nộp paper cho một hội thảo hàn lâm, may mắn là không những họ không kỳ thị mà còn ủng hộ, giúp đỡ chỉnh sửa và làm cho paper tốt lên rất nhiều. Tôi đang chỉnh sửa lại vài chỗ trong paper trước khi gửi lên e-print. Bạn nào quan tâm thì có thể quay lại đây vài ngày tới, tôi sẽ gửi đường dẫn đầy đủ đến paper lên đây.

Paper này đánh dấu chặng đường hai năm của dự án nghiên cứu cách thức các kỹ thuật cryptography được sử dụng (sai) trong môi trường phát triển web. Đây là hướng nghiên cứu mà có lẽ tôi sẽ vẫn theo đuổi trong thời gian tới. Hai năm trước cá nhân tôi còn rất mù mờ về cryptography nói chung và sử dụng cryptography nói riêng. Những điều tôi biết chủ yếu gói gọn trong cuốn sách "Practical Cryptography" http://www.schneier.com/book-practical.html) của Niels Ferguson và Bruce Schneier. Thật tế là hầu hết các tấn công mà bọn tôi sử dụng trong các nghiên cứu vừa qua đều được đề cập đến trong cuốn PC. Dẫu vậy tôi rút ra được một bài học quan trọng trong quá trình làm nghiên cứu đó là luôn đặt câu hỏi tại sao, không bao giờ dễ dàng chấp nhận sự thật mà sách vở tài liệu liệt kê ra. Đằng sau mỗi câu hỏi rất có thể là một hướng nghiên cứu mới.

Ví dụ như sách có nói về length-extension attack trong các hàm hash theo mô hình Merkle-Damgard nhưng không nói cụ thể về cách thức triển khai tấn công. Bọn tôi tò mò, tìm hiểu cách triển khai tấn công này (cũng như tìm hiểu cấu trúc của MD5 và SHA1), và "tình cờ" phát hiện ra có thể sử dụng phương thức này để tấn công bộ API của Flickr. Hoặc như sách nói nếu xử lý padding không đúng, có thể khiến cho hệ thống bị tấn công theo phương thức "chosen-ciphertext attack" nhưng cũng không nói cụ thể thế nào, mà chỉ trích dẫn một paper khác.

Một nghiên cứu khác mà bọn tôi đang theo đuổi cũng là ở dạng người ta cho rằng là không thể làm được, nhưng rốt cuộc khi tìm hiểu sâu hơn thì bọn tôi mới nhận ra rằng thật ra không những có thể triển khai tấn công mà còn rất nhanh và đơn giản.

Cryptography không phải là một giải pháp trọn vẹn cho vấn đề security, nhưng mà cryptography là một phần của tất cả các giải pháp cho các vấn đề security. Dẫu vậy, sử dụng cryptography đúng cách là không dễ và hiện giờ lập trình viên cũng không được hỗ trợ như đối với các vấn đề liên quan đến memory corruption. Số lỗ hổng cryptography là rất nhiều và hầu hết là nghiêm trọng. Thật tế nhắm mắt tìm trên Google các đoạn mã cryptography, thì cá nhân tôi thấy phần lớn trong số đó là không an toàn.

Theo quan sát của tôi thì hiện giờ trong cộng đồng security ở VN cũng như nước ngoài, có rất ít người tập trung vào đề tài đánh giá việc sử dụng cryptography đúng cách trong các phần mềm thương mại. Đây là một cơ hội cho bạn nào muốn làm nghiên cứu trong mảng đề tài an ninh ứng dụng. Ngoài an ninh ứng dụng ra, thì có thể kết hợp cryptography và hardware reverse engineering để nghiên cứu cách cryptography được sử dụng trong các thiết bị điện tử cá nhân như đầu đọc sách, đồ chơi, điện thoại hoặc các loại smartcard như thẻ thanh toán. Đây cũng là lĩnh vực còn ít người làm và còn nhiều cái để làm.

Xấu hổ và tự hào

2011-05-17T15:28:00.002-07:00

Nhân dịp hôm nay đọc được một loạt bài về "yêu nước, tự hào dân tộc" trên VietnamNet, tôi xin kể cho các bạn nghe một câu chuyện nhỏ.

Chỗ tôi ở có nhiều người Ấn Độ. Tôi cũng có một thằng bạn người Ấn Độ. Một hôm hai đứa đang xếp hàng chờ mua đồ ăn trưa thì có một người, qua diện mạo tôi đoán cũng là người Ấn Độ, chen ngang hàng, giành mua trước.

Lúc quay lại bàn ăn, tôi có hỏi thằng bạn là mày thấy thế nào khi tự dưng có thằng người Ấn Độ làm chuyện khó coi trước mặt mày và bạn mày. Bạn tôi kêu, ơ mày hỏi gì lạ, tao không thấy gì cả, nó là người Ấn Độ, tao là người Ấn Độ, nhưng không có nghĩa là tao có trách nhiệm hay là bắt buộc phải xấu hổ về chuyện nó làm. Ai làm nấy chịu, tao chỉ xấu hổ nếu tao làm sai.

Hết chuyện rồi ;-).

Bây giờ bạn thử đổi "Ấn Độ" bằng "Việt Nam" và thử tự hỏi, có nên thấy xấu hổ nếu một chuyện tương tự xảy ra? Chưa hết, bây giờ bạn thử đổi "xấu hổ" bằng "tự hào" và thay vì có người chen ngang hàng, thì có một người Việt Nam tự nguyện nhường chỗ, rồi đọc lại và thử tự hỏi, có nên thấy tự hào?

Sau khi trả lời xong rồi, bạn thử đọc lại câu chuyện, lần này bỏ luôn yếu tố có anh bạn nước ngoài, mà hãy thử tưởng tượng là tất cả diễn ra ở Việt Nam, xung quanh toàn người Việt Nam. Bạn có còn cảm thấy xấu hổ hay tự hào khi một người Việt Nam chen ngang hàng và một người khác nhường chỗ cho bạn?

Nếu mà rảnh như tôi hôm nay, thì bạn hãy thử hỏi: Tại sao chúng ta có quyền tự hào về những điều tốt đẹp liên quan đến Việt Nam? Tại sao chúng ta phải có trách nhiệm xấu hổ về những điều xấu xa liên quan đến Việt Nam?

Nếu mà mấy câu hỏi đó chưa ép phê, thì bạn hãy thử thay Việt Nam bằng một danh định nào đó của bạn. Ví dụ như nếu bạn là một kỹ sư máy tính, thì thay bằng kỹ sư máy tính, nếu bạn theo đạo Phật thì thay bằng đạo Phật, nếu bạn là đàn ông thì thay bằng đàn ông...

-----

Coi báo đài, tôi thấy những người vừa có thành tích này nọ thường được hỏi một câu thế này: anh/chị có thấy tự hào khi là người Việt Nam [đầu tiên] làm được X? Nếu tôi không lầm thì câu hỏi này hàm ý "là người Việt Nam" sẽ khiến cho việc "làm được X" đáng để tự hào thêm một tẹo. Mà nhiều khi thấy tự hào thêm thật chứ.

Ví dụ như hồi trước có lần tôi đi hội nghị X, làm được việc Y, tôi cũng nghĩ, "ôi trời ơi, tự hào quá, ở nhà có ai làm được như ta". Xong rồi nhìn lại việc Y đã làm, tôi tìm mãi mà không thấy giá trị thật sự, đóng góp trí tuệ của chúng tăng lên được chút nào. Một tẹo cũng không. Ơ hay, nhưng tôi vẫn tự hào vì không có ai làm được như tôi! Thế rồi nhìn quanh cái hội nghị X, tôi thấy ở đấy có một đám đã làm Y và còn hơn thế nữa từ đời tám hoánh rồi. Nhưng mà chúng nó không phải là người Việt Nam! Lại quay lại chỗ giá trị thực sự của Y...

----

Rốt cuộc rồi khi nào thì chúng ta có quyền tự hào? Khi nào thì chúng ta phải có trách nhiệm xấu hổ? Tôi nghĩ trả lời hai câu hỏi đơn giản này cũng là một cách để bớt "chấp" vào những danh định.

Siêu hacker

2011-05-17T12:19:00.006-07:00

1. MPlayer, Google Chrome, VLC, MythTV... có chung điểm gì? Chúng đều xài thư viện FFmpeg. Rất nhiều phần mềm khác sử dụng thư viện này và có thể cái tivi hay chiếc điện thoại của bạn cũng sử dụng FFmpeg.

2. Xen, VirtualBox, Linux Kernel-based Virtual Machine... có chung điểm gì? Chúng đều dùng công nghệ của QEmu. Xen nghe có vẻ xa lạ? Amazon EC2, và có thể công nghệ điện toán đám mây mà bạn đang dùng, sử dụng Xen.

3. IOCCC, ra đời năm 1984, là một cuộc thi quốc tế để chọn ra đoạn mã C rối rắm sáng tạo nhất. Đúng như tên gọi, các đoạn mã chiến thắng IOCCC thường rối rắm nhưng lại cực kỳ sáng tạo và đương nhiên phải hữu ích.

Đơn cử như năm 2000, người chiến thắng viết một chương trình có kích thước 475 byte, in ra giá trị của 2^6972593 - 1, số nguyên tố lớn nhất từng được biết đến tại thời điểm đó, trong vài phút. Đừng thử ở nhà: viết chương trình tính số đó, xem coi mất bao lâu.

Đơn cử như năm 2001, người chiến thắng viết một trình biên dịch có thể tự biên dịch chính nó, có thể biên dịch và chạy mã nguồn C mà không cần phải có một chương trình hỗ trợ nào khác. Kích thước trình biên dịch này lên đến...2048 byte.

4. Tính các chữ số thập phân của số Pi là một thú vui của nhiều người từ vài ngàn năm nay. Cho đến năm 1995, thuật toán tốt nhất để tính chữ số thứ n trong hệ nhị phân của Pi mất thời gian O(n^3log(n)^3). Năm 1997, một thuật toán mới được công bố với thời gian tính toán chỉ mất O(n^2), nghĩa là tốt hơn thuật toán cũ 43%.

Năm 2009, thuật toán này cho đến nay vẫn được xem là thuật toán tốt nhất cho bài toán này và nó đã được dùng để tính chữ số thập phân thứ 2.7 ngàn tỉ của Pi, giữ kỷ lục thế giới vào thời điểm đó. Điều đáng nói là toàn bộ quá trình tính toán được thực hiện bằng một máy tính để bàn có giá 3.000 USD, trong khi kỷ lục cũ được thực hiện bằng một siêu máy tính gồm 640 node, mỗi node có tốc độ tính toán 147.2 gigaflops với tổng bộ nhớ là 13.5 terabyte.

5. Cách đây vài ngày trên Internet xuất hiện một đoạn chương trình cho phép bạn khởi động và chạy phiên bản mới nhất của nhân Linux ngay trên trình duyệt. Có đủ trọn bộ busybox, vi, emacs và cả một trình biên dịch. Chỉ thiếu mỗi...Firefox nữa thôi là bạn có thể chạy Firefox trong Linux trong Firefox trong Linux. Àh tôi quên nói là chương trình này, do chạy trên trình duyệt, được viết toàn bộ bằng...Javascript.

----

1, 2, 3, 4, 5 có điểm gì chung? Chúng đều là thành quả của một người. Fabrice Bellard.

Khi con mê thì thầy độ, khi ngộ rồi thì con tự độ con

2011-04-17T23:11:00.051-07:00

Hồi Tết tôi tình cờ đọc được một cuốn sách nhỏ, do mẹ tôi ghi lại từ lời giảng của một ông thầy chùa. Nói nghe có vẻ cổ tích, nhưng mà thiệt là cuốn sách vài chục trang đó thật sự đã thay đổi nhiều thứ trong con người tôi.

Vài tháng nay lúc nào tôi cũng thấy tràn trề sức sống. Cuộc sống hàng ngày cũng nhẹ nhàng dễ chịu, mặc dù bây giờ công việc căng thẳng và nhiều áp lực hơn hồi ở nhà. Giờ mà ai hỏi tôi có bí quyết gì trong cuộc sống hay không, tôi sẽ vui vẻ trả lời là có...

Cuốn sách mở đầu bằng một câu hỏi: người đi chùa lễ Phật thường hay niệm "Nam Mô A Di Đà Phật", vậy có biết, có hiểu "A Di Đà Phật" là gì không? Tôi sẽ dừng lại một chút để các bạn... Google, nếu không thì có thể đọc bài này cũng được. Tóm gọn lại thì có quan niệm cho rằng A Di Đà Phật là một ông Phật, mà nếu bạn chịu khó kêu tên ông Phật đó ra, thì có thể bạn sẽ được về miền Tây Phương Cực Lạc.

Có lần một người bạn nói với tôi rằng, đạo Phật không phải là một tôn giáo mà là một hệ tư tưởng. Khác với đa số các tôn giáo khác, đạo Phật cho rằng nhân quả là một thuộc tính sẵn có của vũ trụ, và thuộc tính này không bị chi phối bởi bất kỳ "đấng tối cao" nào cả. Giống như ánh sáng thì phải chạy với vận tốc 299792458 m/s, số PI gần đúng là phải là 3.14159265. Nghĩa là mình làm thì mình chịu. Mình làm thì mình hưởng. Không một ai, không một "đấng tối cao" nào có thể thay đổi được gì cả.

Tới đây là có thể thấy sự khác biệt cơ bản và rất lớn giữa đạo Phật với các tôn giáo khác rồi. Vì ở đa số các tôn giáo khác, chỉ cần có niềm tin, rồi cầu nguyện hàng ngày với một "đấng tối cao" là mọi thứ có thể được giải quyết hết . Hành động cầu nguyện, xin tội, rửa tội... hàm ý rằng, "đấng tối cao" có thể tác động đến cuộc sống của mỗi người.

Vậy lúc mà chúng ta niệm Phật, "Nam mô A Di Đà Phật", tại sao phải kêu tên ông Phật A Di Đà, một khi đã quan niệm rằng, không có ông Phật nào có thể giúp ích được gì?

Cuốn sách đưa ra một câu trả lời sâu sắc.

Bên trong mỗi con người chúng ta đều có một ông Phật. Ông Phật đó có quyền năng vô biên, có thể xoay chuyển trời đất. Ông Phật đó làm chuyện gì cũng được. Ông Phật đó đau khổ cỡ nào nào cũng có thể vượt qua. Nói chung ông Phật đó là độc cô cầu bại, thiên hạ vô địch. Ông Phật cũng từng tuyên bố: thiên thượng thiên hạ, duy ngã độc tôn! Nghĩa là từ trên trời cao xuống dưới đất thấp, chỉ có duy nhất mình ổng mà thôi, ngự trị bên trong mỗi con người đã, đang và sẽ sống trên hành tinh này.

Ổng là ai mà ghê ghớm đến vậy? Chính là cái tâm, cái suy nghĩ, cái hồn của chúng ta! A Di Đà Phật đúng là tên của một ông Phật, nhưng mà ông Phật đó chẳng phải ai xa lạ, mà chính là ta. Kêu tên ông Phật, nhưng thật ra là kêu gọi cái tâm Phật của chính mình.

Thử nghĩ mà xem. Cả thảy loài người, có gì chung nhất? Mặt mũi chân tay? Chưa chắc. Tim gan phèo phổi? Chưa chắc. Phải chăng là ý thức? Ai cũng có một ý thức, dẫu vô hình nhưng lại ngự trị thường trực trong mỗi con người chúng ta. Dẫu nghèo hàn đói khổ hay là giàu sang tột cùng, thì cái ý thức đó vẫn trung thành, ở mãi cạnh ta, ngày cũng như đêm, không bao giờ rời xa. Cái ý thức đó, cuốn sách cho rằng, chính là tâm Phật.

Thử nghĩ mà xem... Cái tâm Phật đó có trí tuệ vô biên, khiến chúng ta thành kỹ sư, bác sĩ, nhà toán học, phi hành gia... Cái tâm Phật đó cũng khiến chúng ta thành dốt nát, nghiện hút, hiếp dâm, giết người...

Có khó khăn nào mà cái tâm Phật đó chưa trải qua? Có khó khăn nào mà cái tâm Phật đó chưa từng đối mặt và không thể vượt qua? Bệnh tật, đói nghèo, chiến tranh, chết chóc... chẳng có gì mà cái tâm Phật chưa từng trải qua và không thể vượt qua. Thử nghĩ mà xem...

----

Khi mà chúng ta biết là khổ đau khó khăn nào chúng ta cũng có thể vượt qua, thì tức là chúng ta đã vượt qua hết tất cả khó khăn khổ đau rồi đó. Khi xưa việc gì cũng khổ, cũng khóc, còn bây giờ khi đã có trí tuệ hiểu biết dù trời sập cũng không khóc, nhà tan cửa nát cũng không buồn đau, bởi ta biết đó là lẽ tự nhiên, và ta có khả năng chịu được. Khổ mà ta có khả năng chịu được, thì làm gì còn cái khổ nào nữa đâu?

Huệ Năng từng nói, "Đâu dè tự tánh thường sanh muôn pháp", nghĩa là cái tâm ta muốn gì được đó, làm gì cũng được, vậy mà từ xưa đến nay, ta cứ mãi đi cầu ông này bà kia, cứ đi quỳ quỳ lạy lạy những bức tượng đất để cầu mong được ai đó ban phước cho. Ta cũng có khả năng làm Bồ Tát, cũng có khả năng làm Phật, vậy mà chúng ta đi cầu Phật, năn nỉ Phật mà không chịu làm Phật, đi cầu Bồ Tát, đi xin Bồ Tát mà không chịu làm Bồ Tát!

Huệ Năng từng nói, "Dè đâu tánh tự nhiên vốn thanh tịnh". Như vậy ta có sẵn bản tánh tự nhiên rất thanh tịnh mà chẳng bao giờ ta chịu xài, mà xài toàn tham, sân, si, ghen ghét, thù oán, ích kỷ, hẹp hòi, bỏn xẻn... Tại sao ta lại tự làm cho tâm ta bị bôi nhọ, bị vẩn đục?

Phật nói rằng, "Ta thành Phật được thì tất cả chúng sanh đều thành Phật được vì tất cả chúng sanh đều có khả năng thành Phật, nếu biết trở về tự tánh sáng suốt trí huệ". Làm thế nào để trở về với cái tâm Phật sáng suốt thông tuệ? Phật nói rằng, "Quay đầu là bờ".

Chúng ta đi ra từ bờ, rồi cứ đi mãi đi mãi. Trong cái hành trình đó, chúng ta gắn vào cái tâm trong sáng, gắn vào cái tâm trí tuệ biết bao nhiêu là phiền muộn, biết bao nhiêu là gian dối, biết bao nhiêu là u mê, để rồi chúng ta quên mất rằng, nơi chúng ta cần đến, cái mà chúng ta cần phải có, chính là ở nơi mà chúng ta đã bắt đầu, chính là cái mà chúng ta đã có khi mới bắt đầu. Vậy nên, quay lại đơn giản là từ bỏ, là gạt bỏ, là rửa sạch những cái u mê, ngu muội mà chúng ta đã thu nhặt được từ lúc ra đi. Làm sao biết cái gì là u mê, cái gì là ngu muội?

Kinh Kim Cang có câu, "Ưng vô sở trụ nhi sanh kỳ tâm". Nghĩa là đừng dựa vào đâu mà sanh ra tâm, cái tâm của ta vốn đã thiên hạ vô địch rồi, chẳng cần phải dựa vào bất cứ thứ gì nữa! Nói cách khác, cái gì nằm ngoài cái tâm, cả thảy đều làm cho ta thêm u mê, cả thảy đều làm cho ta thêm ngu muội, cả thảy đều làm cho ta thêm buồn phiền đau đớn. Thử nghĩ mà xem.

---

Những thứ hữu hình như nhà cửa, xe cộ, tiền tài... đều làm cho ta thêm khổ. Mua thêm cái quần cái áo, thì mỗi lần giặt đồ lại mệt thêm một chút. Lỡ mà mua đồ tốt, lại sợ hư sợ rách, phải hì hục giặt tay. Mua thêm một món đồ điện tử, thì lại tốn thời gian *chơi* với nó cho đáng của. Lỡ mà mua đồ mới, mỗi lần trầy tróc, rơi rớt đổ bể, lại buồn thúi ruột vì tiếc của. Riết rồi không biết ta làm chủ tài sản, hay là tài sản làm chủ ta.

Còn những thứ vô hình thì sao? Có cái gì làm cho ta thêm khổ, thêm ngu muội nữa hay không? Có, nhiều lắm, mà toàn những cái tinh vi thôi.

Có lần anh Ngô Quang Hưng hỏi thế này:

[...]Tại sao bạn lại identify mình với một khái niệm trừu tượng là Việt Nam? Tại sao bạn lại quan tâm khi cái gọi là “Việt Nam” mất đất? Tại sao bạn lại quan tâm về quyền con người, quyền chính trị, quyền mưu cầu hạnh phúc của dân “Việt Nam” khi 99% số người trong đó bạn không hề quen biết?

[...]Tại sao identify mình với một khái niệm trừu tượng khá áp đặt là “đất nước”? Chỉ một xáo trộn ngẫu nhiên của lịch sử sẽ dẫn đến một “Việt Nam” rất khác với một “Việt Nam” mà ta biết bây giờ. Nó đã có thể là của Tàu. Nó đã có thể không có nửa phía Nam. Khi đó identity của bạn là gì? Bạn có chắc rằng mình không phải là hậu duệ của một chú Tàu xì nào đó không?

Paul Graham cũng có lần viết thế này:

As a rule, any mention of religion on an online forum degenerates into a religious argument. Why? Why does this happen with religion and not with Javascript or baking or other topics people talk about on forums?

What's different about religion is that people don't feel they need to have any particular expertise to have opinions about it. All they need is strongly held beliefs, and anyone can have those. No thread about Javascript will grow as fast as one about religion, because people feel they have to be over some threshold of expertise to post comments about that. But on religion everyone's an expert.

Then it struck me: this is the problem with politics too. Politics, like religion, is a topic where there's no threshold of expertise for expressing an opinion. All you need is strong convictions.

[...]I think what religion and politics have in common is that they become part of people's identity, and people can never have a fruitful argument about something that's part of their identity. By definition they're partisan.

[...]More generally, you can have a fruitful discussion about a topic only if it doesn't engage the identities of any of the participants. What makes politics and religion such minefields is that they engage so many people's identities. But you could in principle have a useful conversation about them with some people. And there are other topics that might seem harmless, like the relative merits of Ford and Chevy pickup trucks, that you couldn't safely talk about with others.

The most intriguing thing about this theory, if it's right, is that it explains not merely which kinds of discussions to avoid, but how to have better ideas. If people can't think clearly about anything that has become part of their identity, then all other things being equal, the best plan is to let as few things into your identity as possible.

Most people reading this will already be fairly tolerant. But there is a step beyond thinking of yourself as x but tolerating y: not even to consider yourself an x. The more labels you have for yourself, the dumber they make you.

Phải chăng danh định, bản ngã, cái tôi và thậm chí là tri thức chính là những thứ vô hình ta tự gắn vào tâm Phật của ta để rồi làm cho tâm Phật vốn có khả năng thiên biến vạn hóa trở nên ngu muội, u mê? Từ ngàn năm trước Phật đã dạy, chớ có dựa vào đâu mà sanh tâm! Thế mà ta nào có nghe.

---

Tôi định đưa ra nhiều ví dụ rút ra từ bản thân để minh họa cho ý những danh định vô hình đã làm u muội con người ta như thế nào. Rồi tôi lại nghĩ, ai mà tò mò thì tốt nhất là nên làm một thử nghiệm thế này: mỗi ngày thức dậy, tìm một cái x là một phần của con người mình, rồi sống ngày hôm đó mà không nghĩ mình là x nữa.

Chẳng hạn như, sáng ngủ dậy, nghĩ mình là người Việt Nam, rồi sống ngày hôm đó, nghĩ mình không phải là người Việt Nam, xem thử có gì khác hay không. Có thể thay Việt Nam bằng rất rất nhiều thứ khác như giới tính, nghề nghiệp, công ty, trường học, vùng miền, thu nhập, bằng cấp...

Hay như là ngay bây giờ ngồi đây đọc những dòng này và hãy thử quên đi tôn giáo, quên đi đức tin của mình, để rồi xem cái mà bạn thấy và cảm nhận có khác gì so với trước hay không.

Tôi tin là rồi bạn sẽ nhận ra rốt cuộc rồi những cái danh định kia chẳng có ý nghĩa gì cả, và đúng như lời Phật dạy, chúng chỉ làm cho bạn u mê thêm mà thôi. Rời bỏ chúng, gạt chúng sang một bên là cách duy nhất để quay trở về với tâm Phật, quay về với nguồn sức mạnh khổng lồ nhưng cũng vô cùng yên bình thanh thản và bát ái bao la đang ở bên trong con người bạn.

Đêm đầu tiên ở Mỹ

2011-02-11T07:14:00.001-08:00

Giờ là 6h30 sáng, giật mình dậy lúc 3h sáng, nằm loay hoay mãi không ngủ được nữa. Cũng phải, giờ này ở nhà là mới tầm 9h-10h tối. Đói bụng và thèm hủ tíu mì sườn quá. Nghe nói ở đây có chợ của bà con VN, món gì cũng có, chắc cuối tuần phải chạy ra xem.

Trời lạnh. Mặc đến 4 cái áo mà vẫn thấy lạnh. Có lẽ là do chưa mặc đúng loại áo? Mang 2 chiếc vớ đi ngủ; giậc mình dậy, 1 chiếc đã biến mất từ lúc nào.

---

Trưa nay, lúc đi từ sân bay về thành phố, đi ngang qua đại lộ 101, tự dưng lại nhớ đến cái đoạn Steve Jobs và Steve Wozniak đang chạy xe trên 101 thì Jobs nói đại loại như, "Oh, I've got a name for the company. Apple Computer". Và như người ta nói, phần còn lại trở thành lịch sử.

Tôi nói với ông chủ, "I'm here to work for you and study crypto and things for a few years. I then start my own company".

Phần còn lại sẽ trở thành lịch sử?

---

Người ở lại mỗi ngày gửi một email cho người ra đi. Những email dài như những vệt nắng vàng vắt ngang các triền đồi...

Mật mã hiện đại (1)

2011-01-14T00:24:00.008-08:00

Tôi dự tính viết về đề tài này từ cả năm nay, mà mãi tới bây giờ mới có đủ động lực để viết. Có hai lý do khiến tôi bắt đầu.

Thứ nhất, số là tôi đang theo học mật mã, mà kinh nghiệm cho thấy cách học (và đọc sách) tốt nhất là viết, tóm tắt lại và giải thích rành mạch rõ ràng những gì vừa học được cho người khác. Chừng nào làm được như thế thì mới có thể xem là đã hiểu được vấn đề đang muốn học.

Thứ hai, hôm rồi tôi đọc một mẩu chuyện về Richard Feynman, trong đó có đoạn kể về lúc Feynman bị bệnh, gần đất xa trời, ông tâm sự rằng, "[I'm going to die but I'm not as sad as you think because] when you get as old as I am, you start to realize that you've told most of the good stuff you know to other people anyway". Đương nhiên những gì tôi biết làm sao mà "good" bằng những gì Feynman biết, nhưng dẫu sao thì tôi cũng sẽ học theo Feynman, có biết cái gì hay ho thì giải thích cho nhiều người khác cùng biết.

--*--

I. Mở đầu

1. Giới thiệu

Loạt bài này tôi sẽ giới thiệu về mật mã học hiện đại, tập trung vào giải thích cách thức hoạt động của các thành phần mật mã cơ sở (cryptographic primitive) và làm sao sử dụng chúng cho đúng cách.

Mật mã là công cụ rất mạnh mẽ làm nhiều người lầm tưởng rằng cứ sử dụng mật mã là an toàn, mà không biết rằng mật mã là con dao hai lưỡi. Bạn có thể xây dựng một hệ thống với đầy đủ các ý tưởng hay ho nhất của mật mã, nhưng nếu bạn không dùng mật mã đúng cách, hệ thống của bạn sẽ hoàn toàn thiếu an toàn.

Đã có rất nhiều ví dụ, mà tiêu biểu là các kết quả làm việc gần đây của tôi và đồng nghiệp (xem đây, đây và đây). Hoặc như gần đây, hệ thống bảo vệ máy PS3 của Sony bị phá vỡ hoàn toàn chỉ vì sử dụng sai mật mã. Không riêng gì Sony, mà rất nhiều hãng lớn trên thế giới, từ Oracle, Yahoo!, đến Microsoft, đã sử dụng sai mật mã và làm cho sản phẩm của họ thiếu an toàn.

Điều này cho thấy, chỉ biết mật mã giúp gì cho bạn là chưa đủ, mà bạn cần phải biết làm thế nào để sử dụng chúng đúng cách. Khi biết cách sử dụng đúng mật mã rồi, bạn sẽ có thể dùng mật mã để xây dựng các hệ thống an toàn hơn, và đồng thời có thể đánh giá được sản phẩm sử dụng mật mã của bên thứ ba.

Giáo trình mà tôi sử dụng là cuốn sách "Introduction To Modern Cryptography" của Jonathan Katz và Yehuda Lindell (từ đây về sau gọi là KL). Trong quá trình học mật mã, tôi cũng đã đọc thử nhiều sách khác nhau, nhưng cuốn KL này là thích hợp hơn nhất cho việc tìm hiểu mật mã học hiện đại. KL cũng được sử dụng làm giáo trình để dạy mật mã cho cấp đại học và cao học ở nhiều trường đại học trên thế giới. Bạn nào có điều kiện thì nên mua sách. Nếu là sinh viên thì có thể liên hệ với tôi (ở TP.HCM) để mượn sách mà đọc.

Một cuốn sách miễn phí khác có thể dùng để thay thế KL là cuốn Handbook of Applied Cryptography. Kết thúc mỗi bài viết, tôi sẽ liệt kê trang nào trong KL hoặc HAC cần phải đọc.

Loạt bài được chia làm ba phần lớn. Phần đầu tiên nói về mã đối xứng, phần thứ hai nói về mã bất đối xứng, và phần thứ ba sẽ bàn về các đề tài nâng cao. Trong phần thứ nhất tôi sẽ giải quyết vấn đề: làm thế nào để chị A và anh B liên lạc với nhau an toàn, khi hai người đã có một khóa bí mật chung? Vấn đề của phần thứ hai sẽ là làm thế nào để chị A và anh B chưa quen biết nhau có thể tạo ra một khóa bí mật chung chỉ có hai anh chị biết mà thôi? Trong phần thứ ba, tùy vào tình hình mà tôi sẽ viết về các đề tài như tiền điện tử, bầu cử điện tử hay đấu giá điện tử.

Tôi cũng muốn lưu ý là nội dung loạt bài sẽ có những phần không nằm trong cuốn KL, và tôi sẽ cố gắng để người đọc hiểu được loạt bài này mà không cần phải tham khảo thêm tài liệu khác. Nghĩa là khi nào cần thì tôi sẽ cung cấp các kiến thức hỗ trợ, ví dụ như các kiến thức toán (bao gồm lý thuyết xác suất, lý thuyết số, đại số trừu tượng và một ít lý thuyết độ phức tạp tính toán). Tôi cũng không chắc là tôi làm được (tự vì tôi cũng đang học như bạn mà thôi!), nhưng mà tôi sẽ cố gắng. Mục tiêu của tôi là nếu bạn theo sát loạt bài viết này từ đầu, thì khi kết thúc, bạn sẽ hiểu mật mã học hiện đại hoạt động ra sao, và cách sử dụng chúng như thế nào cho đúng và an toàn.

2. Tại sao mật mã?

Trước khi đi vào nội dung chính của bài viết đầu tiên, tôi muốn dành ra ít phút để thuyết phục bạn là tại sao chúng ta cần phải học mật mã. Cá nhân tôi thấy có ba lý do chính.

Thứ nhất, mật mã là công cụ rất quan trọng, được sử dụng ở mọi nơi. Tôi đồ rằng nhiều bạn dùng mật mã hàng ngày mà lại không biết. Bạn có dùng GMail hoặc có bao giờ mua hàng trên Amazon không? Nếu có thì bạn đã dùng mật mã rồi đó.

Bạn có chú ý là khi bạn vào GMail hoặc Amazon, địa chỉ mà bạn sử dụng bắt đầu bằng HTTPS thay vì HTTP không? Chữ S trong HTTPS là viết tắt của Secure, hiểu nôm na rằng HTTPS là phiên bản an toàn hơn so với HTTP, và sự an toàn này là nhờ vào bộ giao thức mật mã mang tên Secure Socket Layer, phiên bản mới hơn gọi là Transport Layer Security. Nhờ có SSL/TLS mà bạn có thể an tâm giao dịch với Amazon mà không sợ thông tin giao dịch của bạn bị đánh cắp hoặc chỉnh sửa trong quá trình truyền từ máy tính của bạn lên đến máy chủ của Amazon. Nói cách khác, không có mật mã thì đã không có thương mại điện tử rồi!

SSL/TLS được dùng chủ yếu để bảo vệ thế giới web, mà Internet thì đâu chỉ có web. Mật mã còn có thể được sử dụng để đảm bảo an toàn cho email. Email có hai vấn đề cần phải giải quyết. Thứ nhất, làm thế nào để đảm bảo tính riêng tư, tỉ như chị A viết thư cho anh B, thì chỉ có anh B đọc được thư đó thôi, không ai khác đọc được cả. Thứ hai, làm thế nào để hiện thực hóa vấn đề chữ ký trong thư từ thông thường, nói cách khác làm sao để anh B biết chắc là thư đang đọc đến từ chị A, không bị ai sửa chữa giả mạo gì cả, và sau này chị A cũng không thể chối là chị không phải là tác giả của lá thư đó? Đây chính là yêu cầu bắt buộc của khái niệm chữ ký điện tử mà chúng ta thường nghe. Tương tự như SSL/TLS, PGP/OpenPGP là tiêu chuẩn phổ biến nhất để bảo vệ email thông qua các thành tựu của mật mã học.

Nếu bạn là lập trình viên, thì chắc chắn sẽ có lúc nào đó bạn gặp phải vấn đề xác thực người dùng, và lúc đó bạn sẽ cần phải sử dụng mật mã để xây dựng nên một cơ chế quản lý mật khẩu và xác thực người dùng một cách an toàn. Thay vì lưu mật mã trực tiếp xuống cơ sở dữ liệu, nhiều lập trình viên đã biết sử dụng các thuật toán băm một chiều để bảo vệ mật khẩu. Tuy vậy phần lớn trong số đó vẫn sử dụng sai mật mã, khiến cho mặc dù có dùng mật mã, nhưng hệ thống của họ vẫn không an toàn hơn là mấy. Thí dụ như nếu bạn chỉ băm mật khẩu xuyên qua MD5 một lần, thì bạn đã làm sai! Cách làm đúng là phải băm ít nhất 1000 lần, và còn nhiều tiểu tiết khác nữa!

Người ta còn dùng mật mã để bảo vệ các giao thức mạng không dây. Thầy tôi thường nói ông phải cảm ơn những người đã thiết kế ra tiêu chuẩn 802.11i, còn được biết đến là WEP, bởi WEP đã phạm phải mọi sai lầm từng được biết đến trong các sách giáo khoa về mật mã, nên mỗi lần cần đưa ra ví dụ về cách sử dụng sai mật mã, thầy tôi chỉ việc lấy một ví dụ từ WEP! Ông gọi WEP là một giao thức được "thiết kế sau những cánh cửa đóng", đi ngược lại hoàn toàn với tiêu chí mở trong mã hóa (tôi sẽ nói thêm về tiêu chí mở này ở bên dưới). Trong loạt bài này, bạn sẽ thấy ngoài WEP ra còn có rất nhiều giao thức, thuật toán mã hóa được "thiết kế sau những cánh cửa đóng", và tất cả đều không an toàn.

Ngoài những ứng dụng trực tiếp kể trên ra, mật mã còn được sử dụng trong nhiều lĩnh vực có vẻ không liên quan mấy, ví dụ như bầu cử, đấu giá, tiền điện tử hay bảo vệ bản quyền điện tử. Đây là những chủ đề mà bản thân tôi chưa có cơ hội tìm hiểu; dẫu vậy tôi có kế hoạch sẽ tìm hiểu chúng trong tương lai gần. Tóm lại, lý do thứ nhất cần phải học mật mã là vì mật mã rất mạnh mẽ và có thể giúp chúng ta giải quyết nhiều vấn đề tự nhiên đến từ cuộc sống.

Thứ hai, mật mã rất đẹp, đơn giản vì nó là sự giao thoa và ứng dụng của rất nhiều nhánh trong toán học, mà toán đẹp cỡ nào thì khỏi phải bàn rồi phải không? ;-).

Giáo sư Phạm Huy Điển từng viết rất hay như thế này:

Lâu nay không ít người cảm thấy thất vọng vì đã “uổng công” học Toán. Nghe người ta nói thì Toán học là “chìa khóa” cho mọi vấn đề, nhưng trên thực tế thì học sinh sau khi tốt nghiệp lại chẳng biết dùng kiến thức Toán đã học được trong nhà trường vào việc gì trong cuộc sống, nhất là những bài toán khó mà họ đã tốn bao công sức nhồi nhét trong các “lò luyện” đủ loại. Đây là một thực tế, xuất phát từ việc xác định nội dung và phương pháp dạy Toán không hợp lý trong các nhà trường hiện nay. Toán học đã bị biến thành một môn “đánh đố thuần túy”, thay vì một bộ môn khoa học mang đầy chất thực tiễn. Tuy nhiên, còn một lý do khác khiến chúng ta không nhìn thấy được bóng dáng của Toán học trong thực tiễn thường ngày, đó là Toán học ngày nay không mấy khi trực tiếp đi được vào các ứng dụng trong thực tiễn mà thường phải “ẩn” sau các ngành khoa học khác: Sinh học, Môi trường, Tài chính, Kinh tế… và thậm chí ngay cả Công nghệ thông tin, một lĩnh vực có thể xem như là được sinh ra từ Toán học. Đã có những ý kiến nói về sự lãng phí của nguồn nhân lực đang làm Toán hiện nay và không ít người cũng đã tưởng là thật…

May mắn thay, khoa học Mật mã đã góp một phần quan trọng trong việc làm sáng tỏ cái “sự thật oan trái” này. Có thể nói rằng hiếm có lĩnh vực nào mà vai trò của các công cụ Toán học lại được thể hiện rõ ràng đến như vậy. Chính Toán học đã làm nên cuộc cách mạng trong công nghệ mật mã, trước hết là bằng sự hiện thực hóa các ý tưởng về mật mã khóa công khai mà các nhà mật mã chuyên nghiệp đã ấp ủ từ lâu, và sau đó là đưa một số kết quả của Toán học (thuộc loại trừu tượng vào bậc nhất) tiếp cận với các ứng dụng trong thực tiễn.

Bạn nào hồi phổ thông có học chuyên toán chắc hẳn sẽ nhớ đến định lý nhỏ (rất đẹp!) của Fermat phát biểu rằng: nếu là số nguyên tố, thì ta có: . Khi học mật mã, bạn sẽ thấy lại định lý này và nhiều ứng dụng tuyệt vời của nó! Tôi có thể bật mí sơ là hệ mã nổi tiếng RSA được xây dựng dựa trên kết quả của định lý đơn giản này!

Ngoài toán ra, mật mã học hiện đại còn được xây dựng dựa trên lý thuyết trung tâm của khoa học máy tính: lý thuyết độ phức tạp tính toán (mà thiệt ra cũng là toán thôi). Thành ra đối với những người học khoa học máy tính hoặc nói đơn giản là làm IT như chúng ta, tìm hiểu về mật mã là một cách để thưởng thức cái đẹp của khoa học máy tính.

Bạn nào học lý thuyết độ phức tạp tính toán rồi thì đều biết là có những bài toán mà chúng ta chưa biết khó cỡ nào, chỉ biết là sao bao nhiêu năm nghiên cứu, thế giới vẫn chưa tìm ra thuật toán "hiệu quả" để giải. Câu hỏi là có cách nào lợi dụng những bài toán khó đó để phục vụ cho lợi ích của con người? Nghe có vẻ hơi ngược đời đúng không, chưa tìm ra lời giải thì làm sao mà lợi với chả dụng? Thế mà những người tiên phong của mật mã hiện đại đã nghĩ ra cách sử dụng các bài toán khó như thế và chính những ứng dụng độc đáo sáng tạo như thế này làm nên vẻ đẹp của mật mã!

Lý do thứ ba? Tự bảo vệ những quyền con người cơ bản của chính chúng ta!

Ai cũng có quyền có bí mật, và ai cũng có quyền quyết định khi nào và như thế nào họ sẽ tiết lộ bí mật đó cho người khác. Chúng ta kết nối vào Internet để gửi email, đọc blog, mua một món hàng hay công bố một bài viết mới; mỗi một hành động như thế đều có thể được diễn dịch theo nhiều ngữ nghĩa khác nhau, mà mỗi cách diễn dịch đôi khi lại đem đến những thiệt hại không mong muốn cho chính chúng ta. Thành ra cách tốt nhất là hạn chế tiết lộ danh tính, và nếu ẩn danh được thì càng tốt (cá nhân tôi cho rằng, sở dĩ Internet phát triển như ngày nay một phần là vì bản chất ẩn danh của nó, dẫu đây chỉ là một sự ngộ nhận). Hơn nữa, không phải cái gì chúng ta nói, chúng ta viết đều là dành cho tất cả mọi người; đôi khi chúng ta muốn chỉ duy nhất một nhóm vài người có thể đọc và nghe được những ý kiến của chúng ta. Đây là quyền riêng tư. Mời bạn đọc thêm A Cypherpunk's Manifesto.

Ai cũng có quyền tự do ngôn luận, tự do thể hiện, tự do tí toáy, ở ngoài đời thật hoặc ở trên Internet. Chắc hắn không cần phải giải thích, tất cả chúng ta đều biết những quyền này quan trọng như thế nào đối với sự tự do của mỗi cá nhân. Vậy ai muốn xâm hại những quyền con người cơ bản của chúng ta? Tôi nghĩ câu hỏi này là thừa, bởi vì rõ ràng sự tự do của tất cả chúng ta đã, đang và sẽ bị xâm hại. Khi bạn không kết nối vào được Facebook, nghĩa là bạn đã không còn được tự do.

May mắn thay, những thành tựu trong vài chục năm vừa qua của mật mã có thể phần nào giúp tất cả chúng ta đảm bảo được tính riêng tư và sự tự do trong cuộc sống hàng ngày. Tôi hi vọng là qua loạt bài viết này, tất cả các bạn sẽ hiểu được sức mạnh của mật mã, rồi từ đó sử dụng chúng đúng cách để bảo vệ những quyền và lợi ích chính đáng của bản thân.

3. Nguyên lý Kerckhoff

Nguyên lý do ông Kerckhoff phát biểu vào thế kỷ 19 với nội dung như sau:

Một hệ thống mã hóa phải an toàn ngay cả khi tất cả thông tin về hệ thống đó đều đã được công bố ra ngoài. Bí mật duy nhất của hệ thống là một khóa ngắn.

Thực tế cho thấy tất cả các công nghệ mã hóa "thiết kế sau những cánh cửa đóng" đều bị phá vỡ nhanh chóng ngay khi một ai đó "reverse engineer" và công bố thiết kế của chúng. RC4 (dùng để mã hóa mạng không dây), A5/1 (dùng để mã hóa mạng điện thoại GSM), CSS (dùng để mã hóa đĩa DVD), Crypto-1 (dùng để mã hóa các thẻ thanh toán điện tử)... tất cả đều bị phá vỡ trong một thời gian ngắn, kể từ lúc thuật toán bị "reverse engineer".

Thành ra khi sử dụng mật mã, chúng ta sẽ tuyệt đối tuân thủ nguyên lý Kerckhoff này. Nói cách khác, chúng ta chỉ sử dụng những thuật toán, tiêu chuẩn, hệ thống mã hóa mở. May mắn là đã có sẵn rất nhiều thuật toán, tiêu chuẩn và hệ thống mã hóa mở, chúng ta chỉ việc chọn cái thích hợp mà dùng, không cần phải xây dựng lại từ đầu. Tuyệt đối không sử dụng những tiểu chuẩn, thuật toán, hệ thống đóng! Nói cách khác, tránh "security through obscurity".

Mật mã là sân chơi của những ông già bảo thủ ;-), những người luôn đặt ra những điều kiện khó nhất, và rồi cố gắng xây dựng một hệ thống an toàn trong những điều kiện đó. Điều thú vị là họ thành công!

Ăn thì nhiều chứ ở bao nhiêu

2011-01-13T10:19:00.006-08:00

Hôm rồi nói chuyện với một người bạn lâu rồi không gặp, bạn kêu chuẩn bị mua nhà. "Sẽ vay ngân hàng, chứ có con rồi mà ở nhà thuê tội nghiệp nó quá!". Nghe thiệt là cảm động. Dẫu vậy tôi không đồng ý chút nào.

Nói dông nói dài hay nói ngắn gọn sẽ là không nên mua nhà khi không có đủ tiền. Thế nào là đủ tiền? Đủ để trả toàn bộ số tiền của căn nhà thì quá hay, nhưng nếu phải vay thì làm sao chỉ trả nhiều nhất là 3 đến 5 năm. Thiệt ra bản thân tôi cũng không chắc nếu tôi có đủ tiền để mua nhà, thì tôi sẽ mua nhà, hay là sẽ dùng tiền làm việc khác.

Tôi thấy mua vật dụng thường là rước khổ vào thân. Mua thêm cái quần cái áo, thì mỗi lần giặt đồ lại mệt thêm một chút. Lỡ mà mua đồ tốt, lại sợ hư sợ rách, phải hì hục giặt tay. Mua thêm một món đồ điện tử, thì lại tốn thời gian *chơi* với nó cho đáng của. Lỡ mà mua đồ mới, mỗi lần trầy tróc, rơi rớt đổ bể, lại buồn thúi ruột vì tiếc của. Những cái khổ này chỉ là cỏn con thôi, nhưng mà chú ý là tài sản giá trị càng lớn thì càng khổ nhiều. Thành ra giờ tôi chủ yếu là bán thôi, hạn chế mua sắm ;-).

Quay lại chuyện mua nhà. Tôi nghĩ 90% hoặc hơn bà con mình bây giờ muốn mua nhà thì đều phải vay tiền và trả trong vòng từ 10 đến 15 năm. Nhiều ngân hàng còn không cho vay tiền, bắt buộc phải vay vàng. Khỏi phải nói là số tiền phải trả hàng tháng lúc này sẽ cao hơn rất nhiều so với tiền thuê nhà.

Hậu quả rõ ràng nhất là áp lực lớn hơn rất nhiều! Và áp lực đó sẽ còn kéo dài cả chục năm! Mà trong suốt quãng thời gian đó, có khác gì thuê nhà, khác ở chỗ giá cao hơn rất nhiều, của ông ngân hàng? Không có tiền trả nợ vài tháng là ông ngân hàng sẽ lấy lại nhà, cũng y như đi thuê nhà, có phải vậy không? Có người xem áp lực là động cơ làm việc để trả nợ, nhưng tôi không nghĩ "làm việc để trả nợ" có thể làm cho người ta hạnh phúc. Tự do được làm việc mình thích và say mê mới đem lại hạnh phúc thật sự. Vậy nên câu hỏi đầu tiên là: có đáng không?

"Đáng chứ! Ráng cày trả nợ, rồi sẽ có cái nhà, còn hơn là ở nhà thuê mười mấy năm, xong rốt cuộc không có gì trong tay!"

Đây là suy nghĩ thường thấy của nhiều người. Nghe có vẻ hợp lý, nhưng hãy thử nghĩ thêm một chút. Câu hỏi đầu tiên của tôi diễn giải ra là: việc sở hữu một căn nhà liệu có đáng để sống không hạnh phúc trong một thời gian dài hay không? Cái hạnh phúc có được căn nhà có đáng hi sinh một quãng thời gian rất dài của tuổi trẻ cho cái mục tiêu "làm việc trả nợ" hay không? Đây là những câu hỏi đáng để suy nghĩ, và những người khác nhau có thể sẽ có những câu trả lời khác nhau; thậm chí cùng một người, nhưng cũng có thể sẽ trả lời khác nhau trong từng quãng đời khác nhau.

Cái tâm lý "ở nhà thuê rốt cuộc cũng trắng tay" chỉ đúng khi người ta nghĩ tài sản của một con người chỉ bao gồm những thứ hàng hóa sờ mó và nhìn thấy được mà thôi. Số tiền góp vào mua căn nhà, có thể dùng để mua nhiều tài sản vô hình khác, mà tôi cho rằng, phần nhiều trong số đó làm cho con người ta hạnh phúc hơn. Ví dụ như?

Mua những trải nghiệm! Chăm sóc người thân! Học một cái gì đó mới và khó! Chinh phục và thay đổi thế giới! Làm từ thiện!

Tôi nghĩ hai vợ chồng sẽ hạnh phúc hơn khi dắt tay nhau đi du lịch khắp nơi trên thế giới, ăn những món ăn lạ lùng nhất ở những nơi lãng mạn nhất, hơn là hì hụi làm ngày làm đêm năm này qua tháng nọ, đến lúc trả xong nợ nhiều khi chẳng còn muốn đi với nhau.

Tôi nghĩ đứa bé cần sự quan tâm chăm sóc của cả ba lẫn mẹ, cần được ăn uống đầy đủ bổ dưỡng, cần được vui chơi giải trí, cần được đầu tư học hành đến nơi đến chốn... hơn là cần một cái nhà. Cái nhà đúng là cần thiệt, nhưng mà nhà thuê vẫn giải quyết được nhu cầu đúng không? Trong khi đó do cần phải tập trung trả tiền mua nhà, liệu ba mẹ có đủ tiền để nuôi dưỡng giáo dục con cái?

Học một cái gì đó mới và khó! Tôi không biết mô tả cái hạnh phúc này như thế nào, đành mượn lời của anh Đàm Thanh Sơn:

Tôi vẫn nhớ lần đầu tiên mình thực sự hiểu được cơ học lượng tử là lúc tôi học năm thứ 3 đại học. Sau đó trong một vài ngày, tôi đi ngoài đường với trạng thái lâng lâng, nhìn những khuôn mặt của những người đi trên đường và nghĩ: những con người kia phần lớn là những người bất hạnh, vì họ cũng như mình vài ngày trước đây không hiểu gì về bản chất lượng tử của thế giới. Cảm giác đó đã qua từ lâu, nhưng tôi nghĩ trong tương lai gần, nếu không phải là ngay bây giờ, một con người được giáo dục toàn diện phải biết những khái niệm cơ bản của cơ học lượng tử, cũng như ai cũng biết đến ba định luật của Newton, hay nguồn gốc phân tử của tính di truyền. Đó là vì không biết các định luật lượng tử thì khó thưởng thức được một phần cái Đẹp của thế giới quanh ta, cái đẹp ở mức nguyên tử.

Làm từ thiện! Ai cũng biết đem lại niềm vui hạnh phúc cho người khác chính là đem lại hạnh phúc niềm vui cho chính bản thân mình. Chinh phục và thay đổi thế giới! Đương nhiên là hạnh phúc, và đương nhiên là không thể làm được nếu bị ràng buộc bởi cái rào cản "làm việc để trả nợ". Cần tự do!

Công bằng mà nói, đối với nhiều người mua một cái nhà là một trải nghiệm và cũng là một cách chăm sóc người thân của họ. Những lý do hết sức chính đáng và đáng được tôn trọng. Câu hỏi thứ hai là: liệu người thân của bạn có thật sự hạnh phúc khi thấy bạn phải làm việc vất vả cực nhọc để mua cho họ một cái nhà?

Tóm lại, con người ta có nhiều nhu cầu lắm, nhu cầu ở chỉ là một trong số đó mà thôi. Chẳng phải như ông bà đã nói, ăn thì nhiều chứ ở bao nhiêu!

Cập nhật

2010-12-29T19:20:00.039-08:00

Tôi chuẩn bị chuyển đến một miền nhiều hoa vàng để học. Thiệt ra là đi làm toàn thời gian, và đi học bán thời gian thôi, nhưng mà tôi nghĩ làm việc cũng là học, chỉ khác là ai trả tiền cho ai mà thôi, nên thôi cứ xem như là đi học toàn thời gian.

Tôi làm cho một cty nhỏ chuyên về tư vấn và nghiên cứu an toàn thông tin, và tôi học mật mã ở một trường đại học uy tín. Hi vọng đây sẽ là những ngày tháng thú vị của cuộc đời. Tôi sẽ viết nhiều hơn.

PS: nếu mà bạn nghĩ chúng ta nên gặp, ở đây hay ở nơi tôi sắp đến, thì hãy cho tôi biết nha.

Funemployed

2010-10-12T00:30:00.011-07:00

Yesterday, I formally resigned my position as chief information security officer of DongA Bank. I still have more than two weeks at the bank though. My last day will be 1st November, 2010.

For now I’m going to remain a bit tight-lipped about what exactly I’m going to do next, partly because I’m just not exactly sure yet, and partly because I’m resolving to stay open to new opportunities and new ideas. So feel free to drop me a line if you have a deal or something for me ;-).

First time on screen

2010-10-01T19:30:00.006-07:00

Padding Oracles Everywhere - ekoparty security conference from ekoparty on Vimeo.

This is our presentation at EKOPARTY. We started with Juliano presented in Spanish about the theory behind the attack, and I started describing the ASP.NET vulnerability in English since 26'.

Well, although there's still a lot of room for improvement, but I'm happy to see my accent is getting better ;-).